Su idea de toma de huellas digitales es muy similar a la inteligencia de señales inalámbricas en la Segunda Guerra Mundial. Ambas partes solían tener departamentos completos cuya función era aprender el estilo del código, o "puño" de los operadores inalámbricos de la parte opuesta. Al rastrear estos perfiles y utilizar la dirección de radio, obtuvieron una sorprendente cantidad de información sobre movimientos de tropas y buques, asignaciones de personal, etc.
Estás pensando en hacer lo mismo, aprendiendo los matices de cómo funcionan los crackers en particular. Piensa que la cadencia de escritura, los errores de escritura repetidos con frecuencia, etc. podrían usarse para aprender el "puño" de un cracker en particular. Creo que esta es una buena idea de alguna manera, pero tal vez no sea lo suficientemente buena como para perseguirla:
- La mayoría de los ataques son guiones Incluso cuando un pirata informático está haciendo el pirateo, por lo general se realiza una secuencia de comandos antes y después de una explotación exitosa, por lo que tendrá que atravesar cientos de ataques para encontrar una oportunidad de toma de huellas dactilares
- Fuentes de datos: le resultará difícil obtener datos suficientes para tomar cualquier huella digital real. La cantidad de fuentes de datos que necesitaría es mucho más que un simple proyecto de investigación, necesitaría al menos una docena de honeypots y una gran base de datos de información para trabajar, con algunos modelos complejos para interpretar los datos
- La latencia y la fluctuación de la red son comunes en Internet, especialmente cuando el tráfico proviene de áreas con poca conectividad a Internet. Estas áreas serán la fuente de muchos ataques, por lo que sus resultados podrían terminar siendo sesgados significativamente. ¿Es esa pausa seguida de una ráfaga de escribir el estilo del hacker, o simplemente el retraso de la red?
- Verificabilidad de los resultados: ¿Cómo puede probar que sus métodos de toma de huellas dactilares son exitosos de alguna manera? ¿Cómo demostrarás que los patrones que encuentras realmente demuestran un solo atacante? No van a salir y decir: "sí, ese fui yo".
Mi sugerencia es que pruebes esta pequeña escala donde puedes controlar algunos de los factores. Haga que muchos voluntarios (además de algunos scripts) sigan los scripts de configuración de comandos en una ventana de la terminal y vean si puede escribir algoritmos que puedan determinar de manera confiable su mecanógrafo. Luego, introduzca la latencia de paquetes y la inestabilidad para ver si sus algoritmos pueden hacer frente, y trabaje en eso. Una vez que tienes ese trabajo, puedes salir a internet y ver si funcionan en la naturaleza, de lo contrario no tendrás idea de la confiabilidad.