什么是蜜罐技术？什么是蜜网？

自网络诞生以来，攻击威胁事件层出不穷，而传统Web安全防护技术存在误报、漏报以及防御被动等问题。蜜罐技术的加入可以有效改善传统Web安全防护技术中防御被动的状况，显著提升Web服务整体安全防护能力。本文详细介绍什么是蜜罐技术以及什么是蜜网？ 一、什么是蜜罐技术 蜜罐技术（honey pot）是一种主动防御技术，通过部署没有真实业务数据的系统来诱骗攻击者实施攻击，详细地记录攻击者在攻击过程中的许多行为，可以收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据，从而学习攻击者的攻击目的和攻击手段，以此不断提升真实业务系统的安全防护能力。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性，吸引那些入侵者，目的在于了解这些攻击行为。另外蜜罐也可以消耗攻击者的时间，基于JSONP等方式来获取攻击者的画像。蜜罐技术发展至今经历了蜜罐、蜜网和蜜场等阶段。单就蜜罐技术而言，研究内容从如何提升蜜罐的自适应性到如何提升蜜罐的动态性等，这些研究的目的都是为了提升蜜罐整体的诱骗能力。此外，蜜罐也存在安全隐患，如果没有做好隔离，可能成为新的攻击源。 二、使用蜜罐技术的好处 不同类型的蜜罐可以用来识别不同类型的威胁，各种蜜罐定义均基于所解决的威胁类型，它们都在全面有效的网络安全策略中占有一席之地。通过监视进入蜜罐系统的流量，你可以评估：1、网络犯罪分子来自何处；2、威胁级别；3、他们的作案手法；4、他们感兴趣的数据或应用程序；5、你的安全措施在阻止网络攻击方面的效果如何。按交互方式分类，蜜罐可以分为低交互蜜罐和高交互蜜罐，低交互式蜜罐使用的资源较少，收集有关威胁的级别和类型以及威胁来源的基本信息。它们的设置简单快捷，通常只需模拟一些基本的 TCP 和 IP 协议以及网络服务。但是蜜罐中没有任何内容可以让攻击者长时间进行交互，所以也不会获得有关他们的习惯或复杂威胁的深入信息。使用蜜罐技术的好处 三、Web安全防护中的蜜罐技术 在Web安全攻防对抗中，攻击模式一般分为2种：非定向Web攻击和定向Web攻击。非定向Web攻击的目的往往是利用漏洞获取资源，攻击者通过威胁情报或者漏洞挖掘等方式掌握了较新的漏洞利用方式，基于此编写漏洞批量利用脚本，自动化、无差别地对互联网上的Web应用进行漏洞探测与利用，以此获取更多的“肉鸡”资源用于跳板机、挖矿以及组建僵尸网络等目的。由于这种攻击方式不是针对特定的个体或者组织，所以称之为非定向Web攻击。而定向Web攻击是针对特定个体或者组织发起的攻击，攻击者具有很明确的目的性。定向Web攻击和非定向Web攻击在实施过程中最大的区别就是攻击者亲自参与的程度不同，在定向Web攻击中，攻击者往往会更多地亲自参与、多次尝试，所以定向Web攻击的攻击手法也往往更加高级。 四、什么是蜜网 蜜网（honey net）是一个网路系统，而并非某台单一主机，这一套网路系统隐藏在防火墙后面，所有进出的资料都受到监控、捕获及控制。蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又称为诱捕网络。蜜网技术实质上还是一类研究型的蜜罐技术，其主要目的仍是收集各种攻击信息。蜜网与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息进行采集和分析。蜜网还包括一些真正的应用程序和硬件设备，这样看起来honeynet更像一个一般的网络（实际honeynet在一个服务器上），这样更容易引起入侵者的注意。当一个攻击者试图侵入蜜网时，入侵检测系统会触发一个报警，一个隐藏的记录器会记录下入侵者一切活动，当入侵者试图从蜜网中转向真实主机时，一个单独的防火墙会随时把主机从Internet上断开。什么是蜜网以上是针对蜜罐技术与蜜网的详细介绍。传统的网络防御技术如防火墙、入侵检测技术等都是一种敌暗我明的被动防御，难以有效应对攻击者随时随地发起的无处不在的攻击和威胁。蜜罐技术的出现改变了这种被动态势，它通过吸引、诱骗攻击者，研究学习攻击者的攻击目的和攻击手段，从而延缓乃至阻止攻击破坏行为的发生，有效保护真实服务资源。

蜜罐技术的蜜网

蜜网是指另外采用了技术的蜜罐，从而以合理方式记录下黑客的行动，同时尽量减小或排除对因特网上其它系统造成的风险。建立在反向防火墙后面的蜜罐就是一个例子。防火墙的目的不是防止入站连接，而是防止蜜罐建立出站连接。不过，虽然这种方法使蜜罐不会破坏其它系统，但同时很容易被黑客发现。

【网络安全】蜜罐技术是什么？有哪些作用？

国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务，所有进出蜜罐的网络流量都是非法的，都可能预示着一次扫描和攻击，蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。蜜罐是用来吸引那些入侵者，目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。蜜罐的目标及作用蜜罐技术强大而灵活，不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的。蜜罐可以和入侵检测IDS一起工作，与 IDS相比，蜜罐的误报率较低。这是因为蜜罐既不提供任何网络服务，也没有任何合法用户，但并不是网络上的空闲设备。因此，任何流入或者流出蜜罐的网络通信都可以是做可疑的，是网络正在被攻击的一种标志。蜜罐的主要目标是容忍入侵者攻击自身，在被攻击的过程中记录收集入侵者的攻击工具、手段、动机、目的等行为信息。尤其是入侵者使用了新的未知攻击行为时，收集这些信息，从而根据其调整网络安全策略，提高系统安全性能。同时蜜罐还具有转移攻击者注意力，消耗其攻击资源、意志，间接保护真实目标系统的作用。蜜罐的分类蜜罐可以运行任何操作系统和任意数量的服务。蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度，高交互蜜罐提供给入侵者一个真实的可进行交互的系统。相反，低交互蜜罐只可以模拟部分系统的功能。高交互蜜罐和真实系统一样可以被完全攻陷，允许入侵者获得系统完全的访问权限，并可以以此为跳板实施进一步的网络攻击。相反的，低交互蜜罐只能模拟部分服务、端口、响应，入侵者不能通过攻击这些服务获得完全的访问权限。从实现方法上来分，蜜罐可分为物理蜜罐和虚拟蜜罐。物理蜜罐是网络上一台真实的完整计算机，虚拟蜜罐是由一台计算机模拟的系统，但是可以响应发送给虚拟蜜罐的网络流量。