[정보보안] Honeypot(허니팟)이란?

[정보보안] Honeypot(허니팟)이란?

허니팟은 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템이다.
이를 통해 공격자를 추적하고 정보를 수집하는 역할을 한다.
공격자를 속이기 위해 마치 정상 시스템에 침투한 것처럼 속여야 한다.(일종의 덫이다.)
아래의 그림을 보면 쉽게 이해할 수 있다.
마치 꿀단지 안의 꿀로 공격자를 유인하는 모습이다.
허니팟에 공격자들을 끌어들이기 위해서는 다음의 요구사항들을 만족시켜야 한다.
  • 쉽게 해커에게 노출되어야 한다.
  • 사용자 PC환경과 유사해야 한다.
  • 쉽게 해킹이 가능한 것처럼 보여야 한다.
  • 해당 시스템에 접근하는 모든 패킷을 감시해야 한다.
  • 해당 시스템에 접근하는 모든 감시 기록은 관리자가 볼 수 있어야 한다.

허니팟은 크게 2가지로 구분된다.
  • Server side honeypot 
    • 서버 단 허니팟 모델
  • Client side honeypot
    • PC단에서 인터넷 사용 중 발생하는 침해 행위를 탐지하는 모델
최근 개인 사용자 컴퓨터에 대한 공격이 증가하고 있다.
이에 따라 개인 PC에 대한 보호를 필요로 하고 있고, 그 때 사용되는 허니팟이 클라이언트 허니팟이다.


클라이언트 허니팟의 종류

  1. High interaction
    • unknown공격도 탐지 가능하지만 구현하기가 쉽지 않다.
  2. Low interaction
    • 구현하기는 쉽지만 알려지지 않은 행위에 대해 탐지가 어렵다
  3. Hybrid Client Honeypots
    • 1,2번의 장점을 결합한 것

출처

댓글

이 블로그의 인기 게시물

[소프트웨어공학] NS(Nassi-Schneiderman) 차트

[컴퓨터네트워크] Telnet이란?

[Python] # -*- coding: utf-8 -*-를 쓰는 이유