Využití honeypotů pro vylepšení analýzy kybernetických hrozeb

Thumbnail Image
Files
final-thesis.pdf(4.36 MB)
appendix-1.zip(4.2 MB)
review_141395.html(4.22 KB)
Date
Authors
ORCID
Advisor
Referee
Mark
B
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Tato práce se věnuje nasazení honeypotů jako zdroje dat pro analýzu kybernetických hrozeb. Za tímto účelem je nakonfigurován honeypot a vystaven v cloudu na internet po určitou dobu pro sběr dat. V další části je navrhnut nástroj v jazyce Python pro dotazování tří zdrojů informací o hrozbách, který slouží k získávání metadat o indikátorech. Užitečnost nástroje je demonstována v praxi tím, že je využit k získávání metadat o indikátorech, které byli extrahovány ze sesbíraných dat. Poslední část práce se zabývá výsledky a trendy v chování útočníků na základě shromážděných a zpracovaných dat. V případové studii se práce zaměřuje na jednu SSH a relaci a výsledkem je zmapování technik útočníků na MITRE ATT&CK model.
This thesis aims to research honeypots as a source of data for cyber threat intelligence analysis. To conduct this, a honeypot instance is configured and exposed to the internet in the cloud for a specified period. In the next part, a Python tool for querying three threat intelligence feeds is proposed. This tool serves for indicator enrichment. The utility of the tool is demonstrated in practice by enabling the analysis of indicators observed on the honeypot infrastructure. The last part of the work discusses the results and trends in the attacker’s behaviour based on the collected and processed data. In a case study, the focus is given to a single SSH session of interest and the acquired knowledge from it is mapped to the MITRE ATT&CK framework revealing attackers tactics, techniques and procedures.
Description
Keywords
honeypot, T-Pot, Python, MITRE ATT&CK, Docker, cloud, zpravodajství o hrozbách, honeypot, T-Pot, Python, MITRE ATT&CK, Docker, cloud, cyber threat intelligence
Citation
JANOUT, V. Využití honeypotů pro vylepšení analýzy kybernetických hrozeb [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
bez specializace
Comittee
doc. Ing. Leoš Boháč, Ph.D. (předseda) doc. Ing. Petr Mlýnek, Ph.D. (místopředseda) Mgr. Václav Stupka, Ph.D. (člen) Ing. Tomáš Mácha, Ph.D. (člen) Ing. Ondřej Krajsa, Ph.D. (člen) Ing. Tomáš Gerlich (člen) Ing. Jan Pospíšil (člen)
Date of acceptance
2022-06-07
Defence
V případě, že se útočník úspěšně připojil na honeypot vícekrát, jaké byly rozdíly mezi jednotlivými relacemi? - Student dostatečně vysvětlil otázku. Student obhájil diplomovou práci.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
URI
http://hdl.handle.net/11012/204752
Collections
2022
Citace PRO