メーリングリスト「ssh@koka-in.org」への新山さんの投稿([ssh:00268])によると, SecurityFocusに, 「Analyzing malicious SSH login attempts」という記事が出ています.
以下は, 新山さんのメールからの引用
この記事では honeypot を使って、ログインに試みられる ユーザ名だけでなくパスワードや、異なる攻撃者によるふるまいの違いについても分析しています。また、攻撃者は IDSによる検知を避けるために 各マシンへのアタックを数回程度にとどめていることや、ログインしたあとに 彼らが何をしているかについても報告されています。