UNITesi

Tanner and Hawknet are two honeypot systems designed to detect and log HTTP requests made by potential attackers toward the systems. The purpose of studying these honeypots is to examine the techniques used and the variety of attacks received, with a focus on the differences between honeypots with varying levels of interaction. Honeypot systems are fundamental tools in cybersecurity as they allow the detection and monitoring of malicious activities and the identification of new threats. There are various types of honeypots, ranging from the more static ones, where no interaction takes place, to the more dynamic ones, which faithfully emulate the operation of a real system. This study aims to analyze the data collected from these two systems over a period of time, with the objective of studying the differences between the two types and understanding whether the use of a high-interaction honeypot can provide a more comprehensive and detailed analysis of attack types compared to a low-interaction honeypot. The analysis focuses on several aspects of HTTP requests. The comparison offers an in-depth view of attack techniques, allowing for an assessment of the effectiveness of both systems. Our analysis showed that a high-interaction system was able to capture approximately 31 times more requests per day over a seven-day evaluation period compared to the low-interaction system. In addition to this significant finding, we collected a greater variety of attacks. In fact, we observed various different requests in the high-interaction honeypot, whereas requests were often similar in the low-interaction honeypot. This observation is supported by the study of HTTP methods used in the requests, which were significantly more varied in the high-interaction honeypot, thus offering broader interaction. Furthermore, we also noted greater dynamism in the requests in the high-interaction honeypot compared to its counterpart, as reflected in a more variable graph of daily requests and overall activity, while the low-interaction honeypot showed more linear patterns. Through this study, we can conclude that the use of these tools is not only essential for obtaining valuable information to safeguard IT systems, but that the choice of which honeypot to employ is crucial to obtaining better data and, consequently, adopting protective measures that are better suited to one’s needs.

Tanner e Hawknet sono due sistemi honeypot progettati per rilevare e salvare richi- este HTTP effettuate da presunti attaccanti verso i sistemi. Lo studio di questi honeypot pone l’obiettivo di studiare le tecniche utilizzate e la varietà di attacchi ricevuti, mettendo l’accento sulle differenze tra honeypot di di- versa interazione. I sistemi honeypot rappresentano strumenti fondamentali nella sicurezza informat- ica poiché permettono di rilevare e monitorare attività malevole e identificare nuove minacce. Ne esistono di vari tipi, dai più statici, dove non sono presenti alcun tipo di interazioni, ai più dinamici, che emulano fedelmente il funzionamento di un sistema reale. Il presente studio si pone l’obiettivo di andare ad analizzare i dati provenienti da questi due sistemi in un intervallo di tempo, con lo scopo di studiare le differenze tra le due tipologie e comprendere se l’utilizzo di un honeypot ad alta interazione possa offrire uno studio sui tipi di attacchi più esaustivo e dettagliato rispetto ad uno con una bassa interazione. L’analisi si concentra su diversi aspetti delle richieste HTTP. Il confronto fornisce una visione approfondita delle tecniche di attacco, consentendo di valutare l’efficacia di entrambi i sistemi. La nostra analisi ha mostrato che un sistema di alta interazione è riuscito a catturare circa 31 volte in più di richieste al giorno per sette giorni di valutazione, rispetto a quella di bassa interazione. Oltre a questo dato, già significativo, abbiamo raccolto una varietà di attacchi mag- giore, infatti possiamo notare varie richieste diverse tra loro nell’honeypot ad alta interazione, mentre abbiamo richieste spesso simili tra loro nella seconda honey- pot. A dare validità a questa affermazione è lo studio eseguito sui metodi HTTP presenti nelle richieste, nettamente più varia in un honeypot, che presenta quindi un’interazione più ampia. Ma non solo, abbiamo potuto constatare anche la dinam- icità delle richieste in un honeypot rispetto alla rivale, avendo in uno un grafico sulle interazioni delle richieste giornaliere, e nei giorni complessivi, più vario rispetto al grafico più lineari in quella a bassa interazione. Tramite questo studio possiamo concludere come l’utilizzo di questi strumenti, non solo sia fondamentale per ottenere informazioni utili per la salvaguardia di sistemi informatici, ma che la scelta su quale honeypot optare sia fondamentale per poter ottenere dati migliori e di conseguenza poter adottare misure di protezione adeguate alle proprie esigenze.

Efficienza delle honeypot: confronto tra una soluzione statica e una parzialmente dinamica

CELLI, MARTINA
2023/2024

Abstract

Tanner e Hawknet sono due sistemi honeypot progettati per rilevare e salvare richi- este HTTP effettuate da presunti attaccanti verso i sistemi. Lo studio di questi honeypot pone l’obiettivo di studiare le tecniche utilizzate e la varietà di attacchi ricevuti, mettendo l’accento sulle differenze tra honeypot di di- versa interazione. I sistemi honeypot rappresentano strumenti fondamentali nella sicurezza informat- ica poiché permettono di rilevare e monitorare attività malevole e identificare nuove minacce. Ne esistono di vari tipi, dai più statici, dove non sono presenti alcun tipo di interazioni, ai più dinamici, che emulano fedelmente il funzionamento di un sistema reale. Il presente studio si pone l’obiettivo di andare ad analizzare i dati provenienti da questi due sistemi in un intervallo di tempo, con lo scopo di studiare le differenze tra le due tipologie e comprendere se l’utilizzo di un honeypot ad alta interazione possa offrire uno studio sui tipi di attacchi più esaustivo e dettagliato rispetto ad uno con una bassa interazione. L’analisi si concentra su diversi aspetti delle richieste HTTP. Il confronto fornisce una visione approfondita delle tecniche di attacco, consentendo di valutare l’efficacia di entrambi i sistemi. La nostra analisi ha mostrato che un sistema di alta interazione è riuscito a catturare circa 31 volte in più di richieste al giorno per sette giorni di valutazione, rispetto a quella di bassa interazione. Oltre a questo dato, già significativo, abbiamo raccolto una varietà di attacchi mag- giore, infatti possiamo notare varie richieste diverse tra loro nell’honeypot ad alta interazione, mentre abbiamo richieste spesso simili tra loro nella seconda honey- pot. A dare validità a questa affermazione è lo studio eseguito sui metodi HTTP presenti nelle richieste, nettamente più varia in un honeypot, che presenta quindi un’interazione più ampia. Ma non solo, abbiamo potuto constatare anche la dinam- icità delle richieste in un honeypot rispetto alla rivale, avendo in uno un grafico sulle interazioni delle richieste giornaliere, e nei giorni complessivi, più vario rispetto al grafico più lineari in quella a bassa interazione. Tramite questo studio possiamo concludere come l’utilizzo di questi strumenti, non solo sia fondamentale per ottenere informazioni utili per la salvaguardia di sistemi informatici, ma che la scelta su quale honeypot optare sia fondamentale per poter ottenere dati migliori e di conseguenza poter adottare misure di protezione adeguate alle proprie esigenze.
INFORMATICA
INFORMATICA
Honeypot efficiency: Comparing a static and partially dynamic solution
Tanner and Hawknet are two honeypot systems designed to detect and log HTTP requests made by potential attackers toward the systems. The purpose of studying these honeypots is to examine the techniques used and the variety of attacks received, with a focus on the differences between honeypots with varying levels of interaction. Honeypot systems are fundamental tools in cybersecurity as they allow the detection and monitoring of malicious activities and the identification of new threats. There are various types of honeypots, ranging from the more static ones, where no interaction takes place, to the more dynamic ones, which faithfully emulate the operation of a real system. This study aims to analyze the data collected from these two systems over a period of time, with the objective of studying the differences between the two types and understanding whether the use of a high-interaction honeypot can provide a more comprehensive and detailed analysis of attack types compared to a low-interaction honeypot. The analysis focuses on several aspects of HTTP requests. The comparison offers an in-depth view of attack techniques, allowing for an assessment of the effectiveness of both systems. Our analysis showed that a high-interaction system was able to capture approximately 31 times more requests per day over a seven-day evaluation period compared to the low-interaction system. In addition to this significant finding, we collected a greater variety of attacks. In fact, we observed various different requests in the high-interaction honeypot, whereas requests were often similar in the low-interaction honeypot. This observation is supported by the study of HTTP methods used in the requests, which were significantly more varied in the high-interaction honeypot, thus offering broader interaction. Furthermore, we also noted greater dynamism in the requests in the high-interaction honeypot compared to its counterpart, as reflected in a more variable graph of daily requests and overall activity, while the low-interaction honeypot showed more linear patterns. Through this study, we can conclude that the use of these tools is not only essential for obtaining valuable information to safeguard IT systems, but that the choice of which honeypot to employ is crucial to obtaining better data and, consequently, adopting protective measures that are better suited to one’s needs.
DRAGO, IDILIO
Autorizzo consultazione esterna dell'elaborato
Corso di Laurea
File in questo prodotto:
File Dimensione Formato  
Tesi_Martina_Celli.pdf

non disponibili

Dimensione 820.27 kB
Formato Adobe PDF
820.27 kB Adobe PDF

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14240/6478