QUICK REVIEW
[論文レビュー] A Survey on Honeypot Software and Data Analysis
Marcin Nawrocki, Matthias Wählisch|arXiv (Cornell University)|Aug 22, 2016
Network Security and Intrusion Detection参考文献 61被引用数 127
ひとこと要約
この調査は、ハニーポットソフトウェアとデータ分析手法の包括的概観を提供する。分類、展開上の考慮点、倫理的側面を含み、実務者がハニーポットを選択・分析する際のガイドとなる。
ABSTRACT
In this survey, we give an extensive overview on honeypots. This includes not only honeypot software but also methodologies to analyse honeypot data.
研究の動機と目的
- ハニーポットソフトウェアとその展開文脈の網羅的な概要を提供する。
- ハニーポットデータとログ収集の分析手法を調査する。
- ハニーポットの使用に伴う倫理的・法的懸念を明確にする。
- 目的とインタラクションレベルに基づいてハニーポットのタイプを選択する実践的な指針を提供する。
提案手法
- ハニーポットを本番利用と研究利用で分類し、インタラクションレベル(低/中/高)で分類する。
- サーバーハニーポットとクライアントハニーポット、および実装の物理的対仮想的を説明する。
- 歴史的および商用のハニーポットソフトウェアとその機能を要約する。
- ハニーポットの利点と欠点、および予防・検出・反応における役割を論じる。
- ハニーポットに関連するデータ分析手法とログ構造の概要を示す。
実験結果
リサーチクエスチョン
- RQ1展開可能なハニーポットソフトウェアの主なタイプと特徴は何か?
- RQ2ハニーポットのログデータをどのように分析して行動可能なセキュリティ洞察を得るべきか?
- RQ3異なるハニーポットのインタラクションレベルと展開文脈のトレードオフは何か?
- RQ4セキュリティ研究と防御のためのハニーポット利用における倫理的・法的配慮は何か?
- RQ5ハニーポットは従来のセキュリティ機構(ファイアウォール、IDS、AV)を検知と反応でどのように補完できるか?
主な発見
- ハニーポットは本番活動による汚染がなく、ノイズを減らした集中分析を可能にするデータを提供します。
- 自分自身を対象とした攻撃にさらされることで、異常な活動やゼロデイ攻撃の検出を可能にする。
- 本分類は、本番用と研究用のハニーポット、低/中/高のインタラクションレベル、サーバー対クライアント、物理対仮想の形式を区別する。
- 高インタラクションのハニーポットは豊富な攻撃ログを提供するが展開・維持がより複雑で、低インタラクションのハニーポットは展開が容易だが得られるデータは詳細度が低い。
- ハニーポットは予防・検知ツールを補完する形で最も効果的で、オフライン/ログ中心の検査により反応と法科学分析の能力が高い。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。