Contribution to the design of a flexible and adaptive solution for the management of heterogeneous honeypot systems

Los sistemas de informacion en red estan profundamente integrados en todos los aspectos de la actual sociedad moderna sobrecargada de informacion. En ella se desarrollan constantemente actividades tales como la ejecucion de transacciones comerciales, relacionadas con servicios gubernamentales o de caracter social entre miles de millones de usuarios, cuyo funcionamiento depende en gran parte de grandes sistemas informaticos en red. El crecimiento reciente del denominado ciberespacio en el que se desarrollan estas actividades ha sido espectacular. Sin embargo, los ordenadores y las redes que lo forman se han convertido en blanco de ataques por parte de adversarios y criminales. Las crecientes intrusiones en los sistemas informaticos en red son actividades que los desestabilizan, comprometiendo su seguridad en terminos de confidencialidad, disponibilidad o integridad, las tres caracteristicas principales que debe tener un sistema seguro y estable. Un sistema trampa o sistema senuelo (honeypot) es un importante recurso de seguridad que sacrifica su propia seguridad con el fin de capturar el trafico de red y las actividades de usuarios sospechosos con el objeto de estudiarlos posteriormente. Las contribuciones de esta tesis se centran en el diseno de sistemas flexibles y adaptativos de creacion y gestion de senuelos. La tesis presenta un estado del arte completo y actualizado en el ambito de los senuelos, proponiendo una nueva taxonomia basada en una vision anatomica que extrae dos elementos comunes a todos los sistemas senuelo (el senuelo propiamente dicho y el programa de seguridad), asi como la forma en que ambos se organizan (acoplamiento fuerte o debil). La taxonomia propuesta ha sido validada mediante su aplicacion a un extenso conjunto de herramientas y proyectos de sistemas senuelo existentes, lo que ha permitido mejorar la compresion de esa area de investigacion y desarrollo. La principal contribucion de la tesis es el diseno de un nuevo sistema de creacion y gestion de senuelos basado en tecnologias de redes definidas por software (SDN), denominado HoneyMagic. Dicho sistema propone una nueva arquitectura flexible y extensible basada en un lenguaje generico de definicion de redes de senuelos (TIHDL) y que utiliza la tecnologia SDN para facilitar el mecanismo de redireccion transparente del trafico interesante desde senuelos de baja intensidad hacia senuelos de media o alta intensidad para una investigacion mas detallada. Con este objeto, el controlador SDN de HoneyMagic implementa un mecanismo de transferencia de conexiones TCP transparente. Ademas, aporta un enfoque de control de datos personalizable que permite al usuario configurar reglas arbitrarias de filtrado y redireccion de trafico segun sus requisitos, asi como el despliegue de redes de senuelos heterogeneos sobre distintas plataformas de virtualizacion. Adicionalmente la tesis presenta las pruebas realizadas para validar las funciones de HoneyMagic, asi como datos de ataques especificos para comparar las funcionalidades y el rendimiento de HoneyMagic con otras herramientas relativas. Los resultados experimentales muestran que el sistema puede manejar de forma eficiente diferentes sistemas senuelo para capturar datos, gestionando la redireccion del trafico interesante de acuerdo con los objetivos de seguridad. ABSTRACT Networked computer systems are deeply integrated into every aspect of modern information-overloaded society. The mechanisms that keep our modern society owing smoothly, with activities such as efficient execution of government and commercial transactions and services, or consistent facilitation of social transactions among billions of users, are all dependent on large networked computer systems. Recent growth of the cyberspace has been phenomenal and consequently, the computers and the networks that make the Internet have become the targets of adversaries and criminals. Intrusions into a computer or network system are activities that destabilize them by compromising security in terms of confidentiality, availability or integrity, the three main characteristics of a secure and stable system. A honeypot is a valid and vital security facility used to deliberately sacrifice its own information system resource in order to capture unauthorized network traffic and malicious system activity. This thesis focuses on contribution to the design of flexible and adaptive honeypot systems. It encompasses discussion of the state of the art in the honeypot development and research area. It presents a novel taxonomy of honeypots based on a new anatomic view over honeypots, which extracts two common elements in all honeypots, decoy and security program, to define the honeypot, and also, provides the organization forms of these two elements, which are tight coupling and loose coupling. The taxonomy is validated by applying it to investigate an extensive set of existing honeypots. Detailed discussion and analysis of the related work provide a clear understanding of the research and development statement of this area. The main contribution of this thesis is the design of a novel creation and management system based on software-defined network technologies (SDN), called HoneyMagic. This system proposes a new flexible and extensible architecture based on SDN framework and a generic honeynet description language (TIHDL). It uses the SDN technology to facilitate transparent traffic redirection mechanism to forward or redirect the interesting traffic into corresponding honeypots for further investigation. For this purpose, the HoneyMagic SDN controller application implements the stealthy TCP connection handover mechanism. Also, it also presents a customizable data control approach that can allow the user to configure arbitrary traffic filtering and redirection rules according to the research requirement, as well as the deployment of the heterogeneous decoys on different virtualization platforms. In addition, the thesis presents the tests performed to validate the functions of HoneyMagic, as well as specific attack data to compare the functionalities and performance of HoneyMagic with other related tools. The experimental results show that the system can efficiently handle different honeypot systems to capture data, managing the traffic redirection interesting according to security objectives. The thesis presents experiment to validate the functions of the HoneyMagic. The thesis also provides specific attacks to compare the functionalities and performance of HoneyMagic with other relative tools. The experimental results show that the system can efficiently handle different honeypots to capture data and redirect the interesting traffic in stealthy into corresponding honeypots according to the security goals as well.