“蜜罐”這一概念最初出現在1990 年出版的一本小說《The Cuckoo’s Egg》中,在這本小說中描述了作者作爲一個公司的網絡管理員,如何追蹤並發現一起商業間諜案的故事。“蜜網項目組”(The Honeynet Project)的創始人Lance Spitzner給出了對蜜罐的權威定義[1]:蜜罐是一種安全資源,其價值在於被掃描、攻擊和攻陷。這個定義表明蜜罐並無其他實際作用,因此所有流入/流出蜜罐的網絡流量都可能預示了掃描、攻擊和攻陷。而蜜罐的核心價值就在於對這些攻擊活動進行監視、檢測和分析。
蜜罐技術的發展歷程可以分爲以下三個階段。
從九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”還僅僅限於一種思想,通常由網絡管理人員應用,通過欺騙黑客達到追蹤的目的。這一階段的蜜罐實質上是一些真正被黑客所攻擊的主機和系統。
從1998 年開始,蜜罐技術開始吸引了一些安全研究人員的注意,並開發出一些專門用於欺騙黑客的開源工具,如Fred Cohen 所開發的DTK(欺騙工具包)、Niels Provos 開發的Honeyd 等,同時也出現了像KFSensor、Specter 等一些商業蜜罐產品。這一階段的蜜罐可以稱爲是虛擬蜜罐,即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務,並對黑客的攻擊行爲做出迴應,從而欺騙黑客。
虛擬蜜罐工具的出現也使得部署蜜罐也變得比較方便。
但是由於虛擬蜜罐工具存在着交互程度低,較容易被黑客識別等問題,從
2000 年之後,安全研究人員更傾向於使用真實的主機、操作系統和應用程序搭建蜜罐,但與之前不同的是,融入了更強大的數據捕獲、數據分析和數據控制的工具,並且將蜜罐納入到一個完整的蜜網體系中,使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客並對他們的攻擊行爲進行分析。
