Honeypots und Honeynets
Details
- Förderung:
- Laufzeit: Seit 2006
- Ansprechpartner: Elmar Gerhards-Padilla, Christoph Fuchs
Kurzdarstellung
Zur Entdeckung und Analyse neuer Angriffsarten, können Honeypots einen bedeutenden Beitrag leisten. Ein Honeypot ist eine Netzwerkressource (z.B. PC, Router, IP-Adresse) deren Wert ausschließlich darin liegt, angegriffen und kompromittiert zu werden. Der Vorteil eines Honeypots gegenüber anderen Intrusion-Detection-Verfahren liegt darin, dass jeglicher Zugriff auf den Honeypot als Angriff gewertet werden kann und damit die Notwendigkeit entfällt, zwischen regulärem und unerlaubtem Datenverkehr zu unterscheiden. Dadurch sinkt die Menge der auszuwertenden Daten beträchtlich. Nichtsdestotrotz fallen an einem Honeypot riesige Datenmengen an, was zur Notwendigkeit automatisierter Analysen führt. Mittels dieser ist es möglich, bisher unbekannte Angriffe zu erkennen, aufzuzeichnen, die ausgenutzte Sicherheitslücke zu identifizieren und eine Signatur des beobachteten Angriffs zu erstellen.
Ziele
- Erfahrung im Umgang mit Honeypots
- Identifizierung neuer Einsatzzwecke
- Entwicklung einer Verfahrenskette zur Entdeckung und Auswertung bislang unbekannter Angriffe
- Automatische Erzeugung von Angriffssignaturen
- Identifizierung von Angriffstrends
- Erkenntnisse über Vorgehensweise der Angreifer
- Beobachtung des Verhaltens von Botnetzen
- Erkenntnisse über die Funktionsweise von Bots
- Identifikation und Überwachung von Non-IRC-Botnetzen