El Q-Hpot® es un honeypot que funciona con un factor de forma extremadamente pequeño, un servidor de consumo de muy bajo consumo y se basa en tres paquetes de código abierto: Honeyd y NOVA ("Obfuscation de la red y Anti-Reconocimiento Virtualizado"), además de HoneyBadger , Un intruso comprensivo del ataque del TCP capaz de detectar y de registrar una variedad de ataques de la inyección del flujo del TCP, incluyendo ataques del día 0 (día cero). HoneyBadger se ha combinado con la geolocalización para identificar la ubicación del atacante.
Un honeypot es un servidor señuelo que se utiliza para la ofuscación de la red, negando el acceso del atacante a los datos reales de la red mientras que da al atacante la información falsa en el número y tipos de sistemas en la red. La combinación de estos dos paquetes de honeypot, que incluye una actualización de Honeyd, permite la creación de múltiples servidores virtuales, realistas y señuelos. Estos servidores virtuales ofrecen superficies de ataque para hackers y emulan casi cualquier sistema operativo y servicio de red, con cualquier puerto abierto deseado y para cualquier topología de red. El Q-Hpot puede dar a una red la apariencia de tener literalmente 100 o más servidores adicionales, además de los servidores reales en la red que está protegiendo, proporcionando así ofuscación de red y ocultación de los servidores de red reales. La única limitación en el número de servidores de señuelo es el número de direcciones IP de LAN disponibles.
La adición de HoneyBadger ofrece a los administradores que usan el Q-Hpot, a diferencia de otros sistemas de honeypot, la capacidad de combatir identificando la ubicación del atacante a través de la geolocalización de las direcciones IP del atacante, así como prevenir ataques de inyección TCP, incluyendo 0 días Zero Day).
Como resultado, el Q-Hpot aumenta en gran medida la probabilidad de un ataque que se captura antes de servidores o estaciones de trabajo se ven comprometidos, y los datos, exfiltración.
NOVA incluye algoritmos de aprendizaje de máquina para determinar qué nodos de red son hostiles o benignos. NOVA también permite la lista blanca de objetos de red para evitar falsos positivos. Los algoritmos de aprendizaje de máquina procesan datos de flujo agregado, que incluyen tamaños de paquetes, direcciones de destino y los puertos TCP y UPD contactados. Esto permite que los algoritmos de aprendizaje de máquina de NOVA funcionen eficazmente aunque un atacante use el cifrado para evadir la inspección profunda de paquetes (DPI). Si se detecta un ataque a cualquiera de los servidores virtuales de NOVA, los administradores de red son notificados por correo electrónico, mensajes de libnotify y entradas de syslog. Las advertencias de NOVA también están integradas con Nagios® en el Q-Box® como un mecanismo adicional de monitoreo y notificación. NOVA proporciona una interfaz Web para supervisar el estado de seguridad del Q-Hpot y se integra con el Q-Box para el monitoreo centralizado.