Визначення структури і змісту основних завдань сценарної хмари НoneyРot та моделювання її поведінкових реакцій на прикладах типових мережевих атак

Abstract

В роботі досліджено питання методів порушення параметрів штатного функціонування мережевого обладнання сучасних корпоративних мереж та проаналізовано статистику використання таких методів. Розглянуто концепцію активного захисту та наведено особливості функціонування та впровадження технологій активного захисту на прикладі мережі Honeynet. Визначено можливі напрями використання технологій штучного інтелекту (AI) та машинного навчання (ML) для реалізації поведінкових реакцій системи Honeypot. Імітаційне моделювання зворотних реакцій Honeypot виконано на прикладі реалізації спрощеної (тестової) мережевої структури в умовах відтворення кількох найбільш поширених різновидів мережевих атак. Наведено приклад системи фільтрації трафіку НР. Програмний імітатор НР, реалізовано на мові програмування Python із використанням бібліотек scappy та re. Розглянуто механізми зворотних реакцій НР відповідають визначеному переліку атак. Результати роботи можуть бути використані в освітніх цілях та, як допоміжний (довідковий) матеріал для розширення рівня професійної обізнаності персоналу підрозділів з ІБ.The paper investigates the issue of methods of violating the parameters of the normal functioning of network equipment of modern corporate networks and analyzes the statistics of the use of such methods. The concept of active protection is considered and the peculiarities of functioning and implementation of active protection technologies are presented on the example of the Honeynet network. Possible directions of using artificial intelligence (AI) and machine learning (ML) technologies to implement the behavioral reactions of the Honeypot system are identified. Simulation modeling of Honeypot feedback is performed on the example of implementing a simplified (test) network structure in the conditions of reproducing several of the most common types of network attacks. An example of HP traffic filtering system is presented. The HP software simulator is implemented in the Python programming language using the scappy and re libraries. The considered HP response mechanisms correspond to a certain list of attacks. The results of the work can be used for educational purposes and as auxiliary (reference) material to expand the level of professional awareness of the personnel of IS departments.