威胁情报小知识——蜜罐

蜜罐，是指被当做入侵诱饵，引诱黑客前来攻击，以收集相关证据和信息的软件系统。依照蜜网项目组的定义，蜜罐是一种安全资源，其价值在于被探测、被攻击或被攻陷。

蜜罐的应用思路，是设计一个诱饵系统，由于没有业务上的实际用途，因此，所有流入/流出这个系统的流量，以及在诱饵系统上的所有操作，都直接反映了相关攻击者的扫描、入侵和攻击行为。

依照部署目标区分，蜜罐可分为产品型和研究性，依照交互性区分，可分为高交互型和低交互型。一般来说，高交互型蜜罐提供真实的操作系统和服务，以增加欺骗性，并可捕获更丰富的信息，但部署难度较大。而低交互型蜜罐大多是对服务和操作系统进行模拟，欺骗性较差，只能抓住一些基于低技术门槛工具的大规模扫描和攻击行为。此外根据蜜罐的部署位置，还可分为互联网蜜罐和内网蜜罐。从价值而言，互联网蜜罐主要针对大规模网络扫描，批量漏洞利用，自动化工具/脚本攻击等攻击行为。而内网蜜罐则是在假定已经被入侵到内网的条件下，在内网关键区域部署，以发现和监视内网扫描、横向移动等内网入侵行为。

蜜罐是情报厂商收集安全数据的重要途径之一。