高枫

蜜罐是IT专业人员锁定了恶意黑客，希望他们会在提供有用的情报的方式与之交互陷阱。这是IT中最古老的安全措施之一，但要注意：即使在孤立的系统上，将黑客吸引到您的网络上也是一种危险的游戏。蜜罐是一种计算机或计算机系统，旨在模仿可能的网络攻击目标。通常情况下，蜜罐会被故意配置已知的漏洞，以便为攻击者制定更具诱惑力或明显的目标。蜜罐不会包含生产数据或参与您网络上的合法流量，就是您可以通过攻击来判断其中发生任何事情的方式。

蜜罐类型

蜜罐的分类有2种不同的方案：一种基于它们的构建方式，另一种基于它们的用途。

纯蜜罐是这样一种方式，在攻击者引诱下配置一个物理服务器。特殊监控软件会密切关注蜜罐与网络其它部分之间的连接。由于这些都是成熟的机器，它们为攻击者提供了更加逼真的目标，但攻击者可能会在蜜罐的创建者身上转换表格并使用蜜罐作为攻击的临时服务器。他们配置和管理也是劳动密集型的。

高交互蜜罐使用的虚拟机，与保持潜在的损害系统隔离。多个虚拟蜜罐可以在单个物理设备上运行，这样可以更容易地扩展到多个蜜罐和沙箱受损系统，然后关闭并重新启动它们，恢复到原始状态。但是，每个VM仍然是一个成熟的服务器，具有所有附带的配置成本。

一个低交互蜜罐是一个VM只运行一组有限的服务代表最常见的攻击向量或攻击媒介队伍建设的蜜罐是最感兴趣的，这种类型的蜜罐是更容易建立和维护，消耗资源较少，但更有可能对攻击者“假”。

将蜜罐分开的另一种方法是建立它们的人背后的意图：有研究蜜罐和生产蜜罐。二者之间的区别进入了蜜罐在实践中实际使用的杂草，因此我们将在下一步讨论。

蜜罐和蜜网之间的区别

蜜网是蜜罐概念的合理延伸。蜜罐是一台独立的机器（或虚拟机），而蜜网则是一系列联网的蜜罐。当然，攻击者不仅希望在受害者的基础设施上找到一台机器，而且还会找到许多不同专用类型的服务器。例如，通过观察攻击者在网络中从文件服务器移动到网络服务器，将更好地了解他们正在做什么以及他们如何做，而且他们认为真的进入了你的网络。蜜网的一个关键特性是它们作为真实网络连接和交互，因为模拟或抽象层将是一个提示。

蜜罐和蜜网是所谓的欺骗技术的基础。欺骗产品通常包括蜜罐和蜜网，但也可能在生产服务器上放置“诱饵”文件。这个类别“或多或少是指现代的，动态的蜜罐和蜜网”。最大的区别在于欺骗技术包括自动化功能，允许工具实时响应攻击，吸引攻击者欺骗资产而不是真正的对手。

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使黑客对它们实施攻击，从而可以对攻击行为进行监控和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让企业清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强现有系统的安全防护能力。

我们的有影攻击诱捕系统（以下简称有影）是一款基于欺骗技术设计研发的内网威胁感知系统。可全面提升内网发现、记录和朔源攻击行为的能力。欺骗技术作为一种新型的网络威胁防御技术，除了对常见勒索软件、鱼叉式网络钓鱼、侦察和凭据盗窃具有有效侦测能力外，也是目前能够发现、分析和防御如“0 day”等APT高级攻击最有效的技术产品之一。

有影能够实现全流量、高精度的网络威胁实时捕获和检测，定位威胁源头并监控各种攻击行为；通过对元数据、脆弱性数据、资产信息、安全事件、运行状态、审计日志和威胁情报等警报的全面记录与分析，提升了对定向攻击、高级威胁的发现和溯源能力，从而达成对潜在威胁、未知威胁的持续检测效果。

有影系统的行为检测机制，可准确、高效地识别各种已知攻击。同时配合HIDS等技术可有效感知系统的进程、线程、网络、系统日志、注册表、服务以及崩溃等系统事件的发生，可及时发现攻击者并进行隔离，彻底解决了以往基于模式匹配技术的网络安全产品片面依赖攻击特征签名数量来检测攻击的弊端，极大提高了检测效率，扩大了检测范围。

据统计，对于网络入侵，企业的平均响应时间长达99天，对于政府、金融等被黑客重点照顾的行业来说，欺骗技术还可以极大缩短事故修复时间，将信息泄露降到最低。

网络欺骗平台目前被政府、执法机构和世界500强企业使用，证明了欺骗在IT安全方面的技術和专业知识的有效。