キーストロークダイナミクスによるハッカーのプロファイリング

指紋の考え方は、第二次世界大戦の無線信号インテリジェンスと非常によく似ています。コードのスタイル、つまり反対側のワイヤレスオペレーターの「こぶし」を学習することを目的とした部門全体がかつてありました。これらのプロファイルを追跡し、無線の方向探知を使用することで、部隊や船舶の動き、スタッフの割り当てなどに関する驚くべき情報を入手しました。

特定のクラッカーがどのように動作するかのニュアンスを学んで、あなたは同じことをすることを考えています。入力のリズム、頻繁に繰り返される入力の間違いなどは、特定のクラッカーの「拳」を学習するために使用できます。これはいくつかの点で良いアイデアだと思いますが、追求するには十分ではないかもしれません。

• ほとんどの攻撃はスクリプト化されています。トップクラッカーがハッキングを行っている場合でも、通常はエクスプロイトが成功する前後にスクリプトが作成されるため、1つのフィンガープリントの機会を見つけるために何百もの攻撃を回避する必要があります。
• データソース：実際のフィンガープリントを行うのに十分なデータを取得するのは難しいでしょう。必要なデータソースの数は、単純な研究プロジェクトよりもはるかに多く、少なくとも12のハニーポットと、データを解釈するための複雑なモデリングを伴う、非常に大規模な情報のデータベースが必要です。
• ネットワークの遅延とジッターはインターネット上でよく見られます。特に、トラフィックがインターネット接続の悪い地域から来ている場合はそうです。これらの領域はたまたま多くの攻撃の原因となるため、結果が大幅に歪んでしまう可能性があります。その一時停止の後に、ハッカーのスタイルを入力するための混乱が続いていますか、それとも単にネットワークラグですか？
• 結果の検証可能性：指紋方法が何らかの方法で成功していることをどのように証明できますか？見つけたパターンが実際に単一の攻撃者を示していることをどのように示しますか？彼らは出てきて、「ええ、それは私でした！」と言うつもりはありません。

私の提案は、いくつかの要因を制御できるこの小規模を試すことです。多くのボランティア（およびいくつかのスクリプト）に、ターミナルウィンドウでコマンドの設定スクリプトを追跡させ、タイピストを確実に判断できるアルゴリズムを記述できるかどうかを確認します。次に、パケットレイテンシとジッターを導入して、アルゴリズムが対応できるかどうかを確認し、それに取り組みます。それがうまくいったら、インターネットにアクセスして、それらが実際に動作するかどうかを確認できます。そうでなければ、信頼性についてはまったくわかりません。

honeypot を設定し、追加のロギングシステムを追加できます。これは結果を生成しますが、おそらくあなたが探している結果ではありません。現実の世界では、ほとんどの妥協はボットによるものなので、キーストロークは適用されません。