Tommaso Rescio
- Politecnico di Torino
- https://www.polito.it/
10 giugno 2021 - SESSIONE 3: CYBERSECURITY
Analisi del traffico anomalo attraverso honeypot potenziate da DPI
Analysis of Anomalous Traffic Through DPI-Enhanced Honeypots
Analisi del traffico anomalo attraverso honeypot potenziate da DPI
Tommaso Rescio è assegnista di ricerca presso il Politecnico di Torino. Ha conseguito la laurea triennale in Ingegneria Informatica presso l'Università Degli Studi di Firenze nel 2018. Ha conseguito la laurea magistrale in Communications and Computer Networks Engineering presso il Politecnico di Torino nel 2021. Nel 2021 è entrato a far parte di SmartData @ Polito come Research Fellow con una borsa di studio finanziata dal Consortium GARR. I suoi principali interessi di ricerca si concentrano principalmente sul monitoraggio del traffico per la sicurezza informatica.
Tommaso Rescio is a Research Fellow at Politecnico di Torino. He received his Bachelor’s degree in Computer Engineering at Università Degli Studi di Firenze in 2018. He got his Master’s degree in Communications and Computer Networks Engineering at Politecnico di Torino in 2021. In 2021, he joined SmartData@Polito as a GARR Research Fellow. He won a scholarship organized by Consortium GARR thanks to his master thesis. His main research interest are mainly focused on traffic monitoring for cybersecurity.
ABSTRACT
Le honeypot sono ampiamente utilizzate per comprendere attacchi informatici e nuove vulnerabilità di rete. Esponendo servizi vulnerabili, attirano attacchi, consentendo dunque una caratterizzazione del loro comportamento e lo sviluppo di contromisure efficaci. Una ben nota limitazione di questo tipo di honeypot è che sono protocol-specific, ovvero espongono solo uno o un limitato set di servizi, spesso su poche porte ben note. Presentiamo dunque un honeypot basata su Deep Packet Inspection (DPIPot). DPIPot si integra con i sistemi di honeypot esistenti, cercando la miglior honeypot per rispondere alle richieste in base ai pacchetti inviati dagli attaccanti. In questo paper riportiamo la nostra prima esperienza nell'implementazione di DPIPot. Confrontiamo il traffico che raggiunge DPIPot con quello che raggiunge honeypot statiche e dimostriamo che DPIPot è in grado di interagire con più aggressori e ottenere più informazioni sugli attacchi.
Honeypots are widely used to understand cyberattacks and new network vulnerabilities. By exposing vulnerable services, they attract malicious sources, allowing a characterisation of their behaviour and the development of effective countermeasures. A well-known limitation of this kind of frameworks is that they are mostly protocol-specific, i.e. they expose only one (or a limited) set of services, often on just a few well-known ports. As such, they miss attacks searching for services deployed on non-standard ports, as well as attacks searching for less popular services. We introduce a Deep Packet Inspection honeypot (DPIPot). DPIPot integrates state-of-the-art DPI with existing honeypot systems, searching for the best honeypot to answer to requests based on the packets coming from the attackers. In this paper we report our early experience deploying DPIPot. We compare the traffic reaching DPIPot with the one reaching static honeypots and show that DPIPot is able to engage with more attackers and obtain more information about attacks.