网络蜜罐系统是什么?

　　信息时代的到来需要计算机网络安全保护防护由被动防御转为主动防御，从而使蜜罐技术在网络对抗中日益受到重视。蜜罐是深入了解黑客的一种有效手段，并且可以提高网络安全防护水平。今天就来对蜜罐做一个了解吧!

　　1、蜜罐的定义

　　蜜罐从字面的上看，就是一个装满蜜糖的罐子，很甜的感觉，让人口腔中唾液腺的分泌不自觉的加强。那在网络安全中，蜜罐又是什么样子的呢?其实道理是相通的。蜜糖里面装满了网络黑客期待的蜜糖。而这些蜜糖的存在的意义就是诱骗黑客攻击蜜罐，对于黑客来说，蜜罐就是甜的。官方的解析是：蜜罐是一台无人使用但却被严密监控的网络主机，它包含虚假的高价值资源和一些漏洞，以此吸引入侵者攻击主机，并且在被入侵的过程中，实时记录和审计攻击者的攻击流量、行为和数据。以此了解攻击者的方式、手段和目的，并且完成对攻击溯源、取证等进一步的工作。

　　2、蜜罐的历史

　　早期蜜罐是还没有定义的，当时邮件公司遭到来自内网的入侵攻击，而该公司却不能找到攻击的源头。此时，公司的一名员工伪造了一个有漏洞的系统服务，并且在此基础上添加了网络监控功能。部署上线后该系统也遭到来自内网的入侵网络，网络监控也发挥课功能，捕获到攻击源。其实，该系统就是我们所说的蜜罐系统，但那时还没有明确定义。随着时间推进，蜜罐开始进入公众视野，功能也不断完善，添加上网络监控、主机监控等多方面支持。后来蜜罐也向多个方向发展，蜜罐系统、工控蜜罐、Linux蜜罐等。

　　3、蜜罐的使用价值

　　蜜罐并不修正任何问题，它们仅提供额外的、有价值的信息。所以蜜罐并非是一种安全的解决方案，这是因为它并不会“修理”任何错误，它只是一种工具，如何使用这个工具取决于用户想做什么，它可以对其它系统和应用进行仿真，创建一个监禁环境将攻击者困在其中。无论用户如何建立和使用蜜罐，只有蜜罐受到攻击，它的作用才能发挥出来。蜜罐主要是一种研究工具，但同时有着真正的商业应用，它常常被用来跟踪僵尸网络或是收集恶意代码等。

　　4、蜜罐的构成

　　蜜罐系统的构成可以从逻辑模块以及功能模块两个方面来理解。

　　1)逻辑模块

　　数据控制：数据控制技术是控制攻击者出入蜜网主机的活动，使其不会以蜜网主机为跳板攻击和危害互联网上其它的主机。

　　数据捕获：数据捕获技术包括网络流量数据捕获以及主机上系统行为的捕获。网络流量数据的捕获结合网络入侵检测系统，配置相关敏感信息的检测规则，触发入侵检测规则时立即记录网络流量。

　　数据分析：数据分析技术基于数据捕获技术之上，把收集到的网络数据、主机行为数据保存于数据库当中。分析技术需要信息安全网络攻防研究基础、数据库设计基础。

　　2)功能模块

　　主机监控：进程监控、文件监控、注册表监控、网络监控等，监控黑客入侵蜜罐系统后的一切操作，了解黑客入侵的目的。

　　入侵检测：蜜罐系统的入侵检测模块可以准确的检测出黑客入侵蜜罐的攻击手段，对黑客的入侵过程进行详细的记录。

　　攻击分析：分析主机监控以及入侵检测两个模块获得的数据。

　　5、蜜罐的特点

　　1)数据量小、价值高

　　蜜罐收集的信息具有较高的价值，因为蜜罐收集的都是入侵者的信息，蜜罐本身没有任何服务功能，所以对于蜜罐来说，进出蜜罐的数据都是不可靠的，同时，蜜罐在其收集数据的数据量上来说，也比防火墙日志系统发出的警报数据小得多，而且这这些数据都是关于扫描、探测、攻击行为的记录，价值非常高，蜜罐记录数据的格式简单易懂，对于分析者来说，也非常容易。

　　2)实现简单、误报率小

　　蜜罐不采用复杂的算法就可以记录攻击行为，越是简单，则出现错误率的可能性就越小。

　　3)取证优势

　　对于蜜罐来说，任何针对蜜罐的行为都是不可靠的，蜜罐系统能在用户不干涉的情况下进行自动采集证据，这是蜜罐潜在的一个不容忽视的好处。同时，对于蜜罐来说，任何进出蜜罐的数据都是不可靠的，因此，是否加密都不重要，蜜罐都会对他们进行捕获。

　　6、蜜罐的网络系统

　　HoneyProject官网上的蜜罐系统网络结构包括：透明网关HoneyWall、蜜罐主机HoenyPot。HoneyWall位于众多HoenyPot的前面，HoenyPot网络流量都经过HoneyWall。在HoneyWall上面部署透明网桥、网络入侵检测、防火墙、主机指纹识别等网络安全系统，用于控制以及监听进出HoenyPot的网络流量。那么，HoneyWall可以认为是一个路由器，一个或者多个HoenyPot连接路由器与外界进行通信。而该路由器上面部署了各种各样的网络安全系统来控制监听网络，最重要的一点是该路由器是透明设备，其他的网络用户并不能感知其存在,这样做就更加的隐蔽了。

　　7、为什么要研究网络蜜罐?

　　1)服务型蜜罐伪欺骗的毕竟是被动的，如果可以从网络层面对APT攻击行为做强制性诱导，而不是被动的等待黑客上钩，更能体现蜜罐安全价值。

　　2)如果向用户提供企业级安全解决方案，需要整套闭环安全生态系统。光有服务型蜜罐有些单一，目前业界解决方案，有三个方向，模拟数据中心服务的蜜罐，基于沙箱技术的客户端的蜜罐，和网络型诱导蜜罐。第一项是基础，客户端蜜罐很多终端安全安全厂商都有很完备的解决方案，唯独网络型诱导蜜罐，目前没有一个成熟的技术解决方案。

　　8、蜜罐的展望

　　1)Honey Farm：蜜场是对蜜罐概念的发展。蜜场的是思想是将网络中可疑数据流重定向到蜜场中。在网络中放置检测器，当发现可疑数据流时，利用重定向器将其导向蜜场。所有蜜罐集中于蜜场，与外网之间用防火墙隔离。蜜场的优势在于集中性。

　　2)Honey Token：Honey Token概念的提出，使蜜罐不再局限于硬件设备。Honey Token是一个数字化的实体。它可以是一张信用卡号码、一个Excel电子表格、一个数据库的入口，或者是一个伪造的登录。任何黑客感兴趣信息的无价值的赝品均可成为蜜罐。Honey Token是一种高度灵活和简单的且带有多种安全应用软件的工具。

　　3)动态蜜网：动态蜜罐能够通过被监听其所处的网络中的流量，从而获得当前网络的部署状况，然后在无需人工干预的前提下自动地配置一些虚拟蜜罐，并隐藏在当前网络中，等待黑客的攻击。

　　4)Linux系统蜜罐：随着Linux服务器操作系统的发展，大部分黑客开始尝试攻击Linux操作系统。并且，国产化操作系统也是以Linux系列为主(可信计算平台)，对于Linux蜜罐的研究与实现具有重要的意义。

　　5)工控系统蜜罐：震网攻击事件发生后，工业控制安全越来越得到大家的重视，无论是什么工业控制系统，都有可能成为被攻击的目标，而工业控制系统方面并不存在有效的信息安全设备，那么，工业蜜罐是有效的选择。

　　6)移动终端蜜罐：移动终端拥有庞大的用户量，但是APP市场并不安全，加上短信、电话欺骗等，是不是安全APP(360)等没有系统报警，手机终端就是安全的?

　　9、存在问题

　　蜜罐的设计也是需要考虑相关的法律问题。蜜罐是作为让入侵者进行入侵的，它必须提供一定的漏洞，但是有的漏洞本身就是很危险的，一旦蜜罐被入侵者攻陷，那么入侵者就可以使用该蜜罐作为跳板，进行攻击他人的行为，那么损失由谁负责?如果蜜罐管理员使用该蜜罐对内部中的数据进行窃取，又应该怎么处理?在捕获到入侵者的入侵数据，以此进行法律起诉中，入侵者提出诱捕辩护 是否可以逃脱法律制裁?这些都可能是在蜜罐设计中需要考虑的问题。

　　在这里主要是对蜜罐的定义、作用、发展、特点等对蜜罐进行了阐述，希望这些对你的学习有所帮助。