Skip to main content
QUICK REVIEW

[论文解读] A Survey on Honeypot Software and Data Analysis

Marcin Nawrocki, Matthias Wählisch|arXiv (Cornell University)|Aug 22, 2016
Network Security and Intrusion Detection参考文献 61被引用 127
一句话总结

本综述提供了对蜜罐软件和数据分析方法的全面概述,包括分类、部署考量和伦理方面,为从业者在选择和分析蜜罐时提供指导。

ABSTRACT

In this survey, we give an extensive overview on honeypots. This includes not only honeypot software but also methodologies to analyse honeypot data.

研究动机与目标

  • 提供对蜜罐软件及其部署环境的广泛概述。
  • 调查用于分析蜜罐数据和日志记录实践的方法。
  • 澄清围绕蜜罐使用的伦理与法律问题。
  • 就基于目标和交互级别来选择蜜罐类型提供实用性建议。

提出的方法

  • 按生产用途与研究用途以及交互级别(低/中/高)对蜜罐进行分类。
  • 描述服务器端蜜罐、客户端蜜罐以及物理与虚拟实现。
  • 总结历史与商业蜜罐软件及其能力。
  • 讨论蜜罐的优缺点及其在预防、检测和应对中的作用。
  • 概述与蜜罐相关的数据分析方法与日志结构。

实验结果

研究问题

  • RQ1有哪些可用于部署的蜜罐软件的主要类型及特征?
  • RQ2应如何分析来自蜜罐的日志数据以提供可执行的安全洞察?
  • RQ3不同蜜罐交互级别与部署环境之间存在哪些权衡?
  • RQ4在用于安全研究与防御的蜜罐使用中有哪些伦理与法律考量?
  • RQ5蜜罐如何在检测与应对方面补充传统安全机制(防火墙、入侵检测系统、杀毒软件)?

主要发现

  • 蜜罐提供不被生产活动污染的数据,有助于专注分析并降低噪声。
  • 通过暴露于针对自身的攻击,它们能够检测异常或零日活动。
  • 一个分类法区分生产蜜罐与研究蜜罐,以及低/中/高交互级别,以及服务器端与客户端、物理与虚拟形式。
  • 高交互蜜罐提供丰富的攻击日志,但部署与维护更复杂;低交互蜜罐部署更容易,但数据细节较少。
  • 蜜罐最适合用来补充预防和检测工具,在离线/日志为中心的检查中具有强大的应对与取证分析能力。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。