Skip to main content
QUICK REVIEW

[논문 리뷰] Empirical analysis and statistical modeling of attack processes based on honeypots

Mohamed Kaâniche, Yves Deswarte|ArXiv.org|2007. 04. 06.
Network Security and Intrusion Detection참고 문헌 4인용 수 46
한 줄 요약

이 논문은 Leurr{\'e}.com 호넷포트 플랫폼에서 확보한 데이터를 사용하여 사이버공격 과정의 경험적 분석과 통계 모델링을 제시한다. 통계 모델링을 통해 공격 패턴을 규명한 결과, 공격은 포isson 분포가 아닌 폭발적이고 꼬리가 무거운 간격을 가지며 발생함을 밝혀내었으며, 기존 모델의 가정에 도전하고 사이버 위협에 대한 보다 정확하고 데이터 기반의 모델링이 필요하다는 점을 시사한다.

ABSTRACT

Honeypots are more and more used to collect data on malicious activities on the Internet and to better understand the strategies and techniques used by attackers to compromise target systems. Analysis and modeling methodologies are needed to support the characterization of attack processes based on the data collected from the honeypots. This paper presents some empirical analyses based on the data collected from the Leurr{é}.com honeypot platforms deployed on the Internet and presents some preliminary modeling studies aimed at fulfilling such objectives.

연구 동기 및 목표

  • 실제 사이버공격의 통계적 특성을 호넷포트에서 확보한 경험적 데이터를 통해 이해하기 위해.
  • 보안 모델링에서 흔히 사용되는 공격 도착이 포isson 과정을 따른다는 공통된 가정을 도전하기 위해.
  • 실제 사이버공격 과정의 역학을 더 잘 반영하는 통계 모델을 개발하고 검증하기 위해.
  • 정확한 공격 과정 특성화를 통해 침입 탐지, 위험 평가 및 시스템 강화를 지원하기 위해.

제안 방법

  • 인터넷에 배포된 Leurr{\'e}.com 호넷포트 플랫폼에서 실세계 공격 데이터를 수집하였다.
  • 상호도착 간격, 공격 지속 시간, 공격 빈도 분포를 분석하기 위해 경험적 분석 기법을 적용하였다.
  • 포isson 가정과 비교하기 위해 파레토 및 웨이불 분포와 같은 통계 분포를 사용하여 상호도착 간격을 모델링하였다.
  • 적합도 평가를 위해 통계적 검정을 활용하여 관측된 공격 패턴을 가장 잘 설명하는 분포를 판단하였다.
  • 폭발적이고 꼬리가 두꺼운 행동을 반영하기 위해 비-포isson 스토케스틱 과정을 사용하여 공격 과정을 모델링하였다.
  • 예측된 공격 통계와 호넷포트 로그에서 확보한 관측 데이터를 비교하여 모델 정확도를 검증하였다.

실험 결과

연구 질문

  • RQ1실세계 사이버공격이 보안 모델링에서 흔히 가정하는 것처럼 포isson 과정을 따르는가?
  • RQ2호넷포트 데이터에서 관측된 공격 간 상호도착 간격을 가장 잘 설명하는 통계 분포는 무엇인가?
  • RQ3빈도, 지속 시간, 폭발성 등의 공격 패턴은 전통적 모델과 어떻게 다를까?
  • RQ4비-포isson 공격 행동의 영향은 침입 탐지 및 위험 모델링에 어떤 의미를 갖는가?
  • RQ5꼬리가 두꺼운 또는 기타 지수분포가 아닌 분포가 공격 과정에 대한 더 나은 통계 모델을 제공할 수 있는가?

주요 결과

  • Leurr{\'e}.com 호넷포트 데이터에서 공격 간 상호도착 간격은 포isson 과정의 지수분포(기억이 없는 성질) 가정과 정면으로 배치되는 꼬리가 두꺼운 분포를 보였다.
  • 웨이불 및 파레토 분포는 포isson 모델보다 상호도착 간격에 대해 유의미하게 더 좋은 적합도를 보였으며, 이는 폭발적이고 군집된 공격 행동을 시사한다.
  • 공격의 상당 부분이 짧은 폭발기로 발생하여, 무작위이고 독립적인 사건이 아닌, 조율된 또는 자동화된 스캐닝 활동을 시사한다.
  • 자료는 자가유사성과 장기 의존성에 강력한 증거를 보였으며, 이는 포isson 기반 모델의 타당성을 추가로 의심스럽게 만들었다.
  • 공격 빈도가 일정하다는 전통적 가정은 실제 공격 과정의 진정한 역학을 포착하지 못하며, 이로 인해 위험을 과소평가할 수 있다.
  • 경험적 데이터 기반의 통계 모델링은 공격 빈도와 시기 예측을 더 정확하게 가능하게 하여, 보다 나은 시스템 방어 계획 수립을 지원한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.