Skip to main content
QUICK REVIEW

[论文解读] Empirical analysis and statistical modeling of attack processes based on honeypots

Mohamed Kaâniche, Yves Deswarte|ArXiv.org|Apr 6, 2007
Network Security and Intrusion Detection参考文献 4被引用 46
一句话总结

本文基于 Leurr{\'e}.com 捕狗平台收集的数据,对网络攻击过程进行了实证分析与统计建模。通过统计建模识别出攻击模式,发现攻击行为并非泊松过程,而是具有重尾到达时间间隔的突发性行为,挑战了传统模型的假设,并凸显了对更精确、基于数据的网络威胁建模的必要性。

ABSTRACT

Honeypots are more and more used to collect data on malicious activities on the Internet and to better understand the strategies and techniques used by attackers to compromise target systems. Analysis and modeling methodologies are needed to support the characterization of attack processes based on the data collected from the honeypots. This paper presents some empirical analyses based on the data collected from the Leurr{é}.com honeypot platforms deployed on the Internet and presents some preliminary modeling studies aimed at fulfilling such objectives.

研究动机与目标

  • 通过从蜜罐中收集的真实世界数据,理解网络攻击的统计特性。
  • 挑战安全建模中普遍假设的攻击到达服从泊松过程的常见观点。
  • 开发并验证能更准确反映实际网络攻击过程动态的统计模型。
  • 通过准确刻画攻击过程,支持改进入侵检测、风险评估与系统加固。

提出的方法

  • 从部署在互联网上的 Leurr{\'e}.com 蜜罐平台收集真实世界的攻击数据。
  • 应用实证分析技术,检查到达时间间隔、攻击持续时间及攻击频率分布。
  • 使用帕累托分布与威布尔分布等统计分布对到达时间间隔进行建模,并与泊松假设进行比较。
  • 通过统计检验评估拟合优度,以确定哪种分布最能描述观测到的攻击模式。
  • 采用非泊松随机过程对攻击过程进行建模,以反映突发性与重尾行为。
  • 通过将预测的攻击统计量与蜜罐日志中的实际观测数据对比,验证模型的准确性。

实验结果

研究问题

  • RQ1真实世界的网络攻击是否如安全建模中普遍假设的那样,服从泊松过程?
  • RQ2哪种统计分布最能描述蜜罐数据中观测到的网络攻击到达时间间隔?
  • RQ3攻击模式(如频率、持续时间与突发性)与传统模型相比有何偏差?
  • RQ4非泊松攻击行为对入侵检测与风险建模有何影响?
  • RQ5重尾分布或其他非指数分布能否提供更优的攻击过程统计模型?

主要发现

  • Leurr{\'e}.com 蜜罐数据中,攻击的到达时间间隔表现出重尾分布,与泊松过程的指数(无记忆)假设相矛盾。
  • 威布尔分布与帕累托分布在拟合到达时间间隔方面显著优于泊松模型,表明攻击行为具有突发性与聚集性。
  • 大量攻击在短时间内集中发生,表明存在协调性或自动化的扫描活动,而非随机独立事件。
  • 数据强烈支持自相似性与长程依赖性,进一步质疑基于泊松模型的有效性。
  • 假设攻击速率恒定的传统模型无法捕捉真实攻击过程的动态特征,可能导致风险被低估。
  • 基于实证数据的统计建模可更准确地预测攻击频率与发生时间,从而支持更优的系统防御规划。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。