Date of Award

6-2023

Document Type

Thesis

Degree Name

Master of Science in Information Security

Department

Information Systems and Security

First Advisor

Dr. Saed Alrabaee

Abstract

Implementations of deception technology is crucial in discovering attacks by creating a controlled and monitored environment for detecting malicious activity. This technology involves the deployment of decoys, traps, and honeypots that mimic natural systems and network assets to attract and identify attackers. The use of deception technology provides an early warning system for detecting cyber-attacks, allowing organizations to respond quickly and mitigate damage. This article proposed a framework that focuses on maximizing the efficiency of deception technology in detecting sophisticated attacks. The framework employs multi-layered deception techniques at various levels of the network, system, and application to provide comprehensive coverage and increase the likelihood of detecting attacks. The strategic placement of decoys and honeypots throughout the network ensures maximum visibility to potential attackers and minimizes accidental interaction with legitimate users. The framework adapts dynamically to changes in the network environment, maintaining the effectiveness of decoys and honeypots through obfuscation, encryption, and access control. Additionally, the framework integrates seamlessly with existing security tools, such as intrusion detection systems, firewalls, and SIEM systems, for efficient threat intelligence sharing and unified response to detected attacks. This thesis aims to present a comprehensive strategy for utilizing deception technology. Our proposed approach focuses on defining realistic decoy attributes and fingerprints and identifying the most suitable locations to deploy the decoys within the network for improved visibility and enhanced detection capabilities. Furthermore, we outline effective techniques for minimizing false negatives in logs, and increasing accuracy. Additionally, we conduct lab demonstrations to simulate various types of attacks and demonstrate how deception technology can successfully detect them.

Arabic Abstract

يعد تنفيذ تقنية الخداع أمرًا بالغ الأهمية في اكتشاف الهجمات من خلال إنشاء بيئة خاصة للرقابة والمراقبة لاكتشاف النشاط الضار. تتضمن هذه التقنية نشر الشراك الخداعية والفخاخ ومصائد الجذب التي تحاكي الأنظمة الطبيعية وأصول الشبكة لجذب وتحديد المهاجمين. يوفر استخدام تقنية الخداع نظام إنذار مبكر للكشف عن الهجمات الإلكترونية، مما يسمح للمؤسسات بالاستجابة بسرعة وتخفيف الضرر. اقترحت هذه المقالة إطارًا يركز على تعظيم كفاءة تقنية الخداع في اكتشاف الهجمات المعقدة. يستخدم إطار العمل تقنيات خداع متعددة الطبقات على مستويات مختلفة من الشبكة والنظام والتطبيق لتوفير تغطية شاملة وزيادة احتمال اكتشاف الهجمات. يضمن الموقع الاستراتيجي للشراك الخداعية ومصائد الجذب في جميع أنحاء الشبكة أقصى قدر من الرؤية للمهاجمين المحتملين ويقلل من التفاعل العرضي مع المستخدمين الشرعنيين. يتكيف إطار العمل ديناميكيًا مع التغييرات في بيئة الشبكة، مما يحافظ على فعالية الشراك الخداعية ومصائد الجذب من خلال التشويش والتشفير والتحكم في الوصول. بالإضافة إلى ذلك، يتكامل إطار العمل بسلاسة مع أدوات الأمان الحالية، مثل أنظمة الكشف عن التسلل، وجدران الحماية، وأنظمة والمراقبة ومحللات سجل الأحداث SIEM، من أجل مشاركة معلومات التهديدات بشكل فعال والاستجابة الموحدة للهجمات المكتشفة. تهدف هذه الأطروحة إلى تقديم إستراتيجية شاملة للاستخدام الأمثل لتكنولوجيا الخداع. يركز نهجنا المقترح على تحديد سمات شرك الواقعية وبصمات الأصابع وتحديد أنسب المواقع لنشر الفخاخ داخل الشبكة لتحسين الرؤية وقدرات الكشف المحسنة. علاوة على ذلك، فإننا نحدد الأساليب الفعالة لتقليل السلبيات الخاطئة في السجلات وزيادة الدقة .بالإضافة إلى ذلك، نجري عروض معملية لمحاكاة أنواع مختلفة من الهجمات وإظهار كيف يمكن لتقنية الخداع اكتشافها بنجاح.

Download
COinS