In the current cybersecurity landscape, characterized by a constant rise in cyber threats and increasingly sophisticated attacks, it is essential to have tools capable of proactively detecting malicious behavior. Addressing this need, the present work explores the implementation of a honeypot infrastructure as a means to study the techniques employed by attackers without compromising real environments. During an internship at Eurosystem S.p.A., a honeypot platform was designed within a controlled environment, using exclusively open-source tools. At the core of the architecture was Cowrie, used to simulate a vulnerable SSH terminal, integrated with Mosquitto for the MQTT protocol. This setup was complemented by a monitoring system consisting of Telegraf, InfluxDB, and Grafana for data collection, visualization, and analysis. The technical pipeline included the configuration of honeypot nodes, the definition of exposed services, the automation of log collection, and the subsequent application of data analysis and threat intelligence techniques. By studying recurring patterns and correlating events, it was possible to identify suspicious behaviors and gather Indicators of Compromise (IoCs) useful for strengthening defenses. The results demonstrate how a honeypot infrastructure, low-cost and based on open-source tools, can be a valuable asset in active defense strategies, offering a privileged vantage point on the attackers’ patterns and contributing to the development of smarter and more responsive detection systems.

Nel contesto attuale della cybersecurity, caratterizzato da un aumento costante delle minacce informatiche e dalla crescente sofisticazione degli attacchi, diventa fondamentale disporre di strumenti capaci di rilevare in modo proattivo comportamenti malevoli. A partire da questa esigenza, il presente lavoro ha esplorato l’implementazione di un’infrastruttura honeypot come mezzo per studiare le tecniche adottate dagli attaccanti senza compromettere ambienti reali. Durante un tirocinio svolto presso Eurosystem S.p.A., è stata progettata una piattaforma honeypot in ambiente controllato, facendo uso esclusivo di strumenti open-source. Il cuore dell’architettura è stato costituito da Cowrie, per la simulazione di un terminale SSH vulnerabile, integrato con Mosquitto per il protocollo MQTT, a cui si è affiancato un sistema di monitoraggio composto da Telegraf, InfluxDB e Grafana per la raccolta, visualizzazione e analisi dei dati. La pipeline tecnica ha previsto la configurazione dei nodi honeypot, la definizione dei servizi esposti, l’automazione della raccolta dei log e la successiva applicazione di tecniche di data analysis e threat intelligence. Attraverso lo studio di pattern ricorrenti e la correlazione degli eventi, è stato possibile identificare comportamenti sospetti e raccogliere Indicatori di Compromissione (IoC) utili per il potenziamento delle difese. I risultati ottenuti dimostrano come un’infrastruttura honeypot, anche a basso costo e basata su strumenti open, possa rappresentare un valido alleato nelle strategie di difesa attiva, offrendo un punto di osservazione privilegiato sul modus operandi degli attaccanti e contribuendo allo sviluppo di sistemi di rilevamento più intelligenti e tempestivi.

Un sistema Honeypot per l’analisi di attacchi informatici in ambiente controllato

PERIC, MARKO
2024/2025

Abstract

In the current cybersecurity landscape, characterized by a constant rise in cyber threats and increasingly sophisticated attacks, it is essential to have tools capable of proactively detecting malicious behavior. Addressing this need, the present work explores the implementation of a honeypot infrastructure as a means to study the techniques employed by attackers without compromising real environments. During an internship at Eurosystem S.p.A., a honeypot platform was designed within a controlled environment, using exclusively open-source tools. At the core of the architecture was Cowrie, used to simulate a vulnerable SSH terminal, integrated with Mosquitto for the MQTT protocol. This setup was complemented by a monitoring system consisting of Telegraf, InfluxDB, and Grafana for data collection, visualization, and analysis. The technical pipeline included the configuration of honeypot nodes, the definition of exposed services, the automation of log collection, and the subsequent application of data analysis and threat intelligence techniques. By studying recurring patterns and correlating events, it was possible to identify suspicious behaviors and gather Indicators of Compromise (IoCs) useful for strengthening defenses. The results demonstrate how a honeypot infrastructure, low-cost and based on open-source tools, can be a valuable asset in active defense strategies, offering a privileged vantage point on the attackers’ patterns and contributing to the development of smarter and more responsive detection systems.
2024
A Honeypot system for the analysis of cyberattacks in a controlled environment
Nel contesto attuale della cybersecurity, caratterizzato da un aumento costante delle minacce informatiche e dalla crescente sofisticazione degli attacchi, diventa fondamentale disporre di strumenti capaci di rilevare in modo proattivo comportamenti malevoli. A partire da questa esigenza, il presente lavoro ha esplorato l’implementazione di un’infrastruttura honeypot come mezzo per studiare le tecniche adottate dagli attaccanti senza compromettere ambienti reali. Durante un tirocinio svolto presso Eurosystem S.p.A., è stata progettata una piattaforma honeypot in ambiente controllato, facendo uso esclusivo di strumenti open-source. Il cuore dell’architettura è stato costituito da Cowrie, per la simulazione di un terminale SSH vulnerabile, integrato con Mosquitto per il protocollo MQTT, a cui si è affiancato un sistema di monitoraggio composto da Telegraf, InfluxDB e Grafana per la raccolta, visualizzazione e analisi dei dati. La pipeline tecnica ha previsto la configurazione dei nodi honeypot, la definizione dei servizi esposti, l’automazione della raccolta dei log e la successiva applicazione di tecniche di data analysis e threat intelligence. Attraverso lo studio di pattern ricorrenti e la correlazione degli eventi, è stato possibile identificare comportamenti sospetti e raccogliere Indicatori di Compromissione (IoC) utili per il potenziamento delle difese. I risultati ottenuti dimostrano come un’infrastruttura honeypot, anche a basso costo e basata su strumenti open, possa rappresentare un valido alleato nelle strategie di difesa attiva, offrendo un punto di osservazione privilegiato sul modus operandi degli attaccanti e contribuendo allo sviluppo di sistemi di rilevamento più intelligenti e tempestivi.
Honeypot
Cybersecurity
Log Analysis
Data Collection
Lauree triennali
File in questo prodotto:
File Dimensione Formato  
Tesi_Marko_Peric.pdf

accesso aperto

Dimensione 2.77 MB
Formato Adobe PDF
Visualizza/Apri
2.77 MB Adobe PDF Visualizza/Apri

The text of this website © Università degli studi di Padova. Full Text are published under a non-exclusive license. Metadata are under a CC0 License

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.12608/93193