蜜罐的分類:
蜜罐可以按照其部署目的分爲產品型蜜罐和研究型蜜罐兩類,產品型蜜罐的目的在於爲一個組織的網絡提供安全保護,包括檢測攻擊、防止攻擊造成破壞及 幫助管理員對攻擊做出及時正確的響應等功能。一般產品型蜜罐較容易部署,而且不需要管理員投入大量的工作。較具代表性的產品型蜜罐包括DTK、honeyd等開源工具和KFSensor、ManTraq 等一系列的商業產品。研究型蜜罐則是專門用於對黑客攻擊的捕獲和分析,通過部署研究型蜜罐,對黑客攻擊進行追蹤和分析,能夠捕獲黑客的鍵擊記錄,瞭解到黑客所使用的攻擊工具及攻擊方法,甚至能夠監聽到黑客之間的交談,從而掌握他們的心理狀態等信息。研究型蜜罐需要研究人員投入大量的時間和精力進行攻擊監視和分析工作,具有代表性的工具是
“蜜網項目組” [2]所推出的第二代蜜網技術[3]。
蜜罐還可以按照其交互度的等級劃分爲低交互蜜罐和高交互蜜罐,交互度反應了黑客在蜜罐上進行攻擊活動的自由度。低交互蜜罐一般僅僅模擬操作系統和網絡服務,較容易部署且風險較小,但黑客在低交互蜜罐中能夠進行的攻擊活動爲有限,因此通過低交互蜜罐能夠收集的信息也比較有限,同時由於低交互蜜罐通常是模擬的虛擬蜜罐,或多或少存在着一些容易被黑客所識別的指紋Fingerprinting)信息。產品型蜜罐一般屬於低交互蜜罐。高交互蜜罐則完全提供真實的操作系統和網絡服務,沒有任何的模擬,從黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我們能夠獲得許多黑客攻擊的信息。高交互蜜罐在提升黑客活動自由度的同時,自然地加大了部署和維護的複雜度及風險的擴大。研究型蜜罐一般都屬於高交互蜜罐,也有部分蜜罐產品,如ManTrap,屬於高交互蜜罐。
蜜罐技術的優點包括:
