蜜罐系统（安全产品）

• 蜜罐是一种安全威胁的主动防御技术，它通过模拟一个或多个易受攻击的主机或服务器来吸引攻击者，捕获攻击流量与样本，发现网络威胁、提取威胁特征。蜜罐的价值在于被探测、攻陷。其在本质上来说，是一个与攻击者进行攻防博弈的过程。

• 蜜罐提供服务，攻击者提供访问，通过蜜罐对攻击者的吸引，攻击者对蜜罐进行攻击，在攻击的过程中，有经验的攻击者也可能识别出目标是一个蜜罐。为此，为更好的吸引攻击者，蜜罐也需要提供强悍的攻击诱骗能力。诱饵的作用

诱饵：

诱饵，指用于迷惑攻击者的数据，包括文件、数据库、旗标、代码等信息，诱使攻击者对蜜罐实施攻击。

在关键攻击路径上确定诱饵投放的位置、内容和尺度，往往能达到事半功倍的效果

蜜罐的历史：

比较早的时候还没有蜜罐的定义，那时候有一间公司遭到来自内网的入侵攻击，而该公司却不能找出攻击的源头。此时，公司的一名员工伪造了一个有漏洞的系统服务，并且在此基础上添加了网络监控的功能。部署上线后该系统也遭到来自于内网的入侵攻击，网络监控也发挥了功能，捕获到攻击来源。其实，该系统就是我们所说的蜜罐系统，但是那时候还没有得到明确定义。随着时间推进，蜜罐开始进入公众视野，功能不断完善，添加上网络监控、主机监控等多方面支持。后来蜜罐也向多个方面发展，蜜网系统、工控蜜罐、linux蜜罐等等

蜜罐的使用价值：

蜜罐获得战争的制高点是我知道你要做什么。如果曹操提前得知孔明会草船借箭，他该怎么做？有人说：一支箭都不给孔明；有人说：箭还是给孔明，但是每支箭都点上火；而蜜罐是网络战争提前获得消息的利器，那么网络战争中如果知道敌人的攻击手段，你会怎么做？断网？防火墙？IPS？主动出击，先发制人。在蜜罐系统上伪装了各种真实的业务资源，例如邮箱服务，ftp服务、网站服务等等，用来欺骗敌人入侵蜜罐系统，并且在敌人毫不知情的情况下，记录他们入侵蜜罐系统的全部操作。所以说，蜜罐的价值在于诱骗攻击

蜜罐的功能构成：

逻辑模块

• 数据控制：数据控制技术是控制攻击者出入蜜网主机的活动，使其不会以蜜网主机为跳板攻击和危害互联网上其它的主机。

• 数据捕获：数据捕获技术包括网络流量数据捕获以及主机上系统行为的捕获。网络流量数据的捕获结合网络入侵检测系统，配置相关敏感信息的检测规则，触发入侵检测规则时立即记录网络流量

• 数据分析：数据分析技术基于数据捕获技术之上，把收集到的网络数据、主机行为数据保存于数据库当中。分析技术需要信息安全网络攻防研究基础、数据库设计基础。

功能模块

• 主机监控：进程监控、文件监控、注册表监控、网络监控等，监控黑客入侵蜜罐系统后的一切操作，了解黑客入侵的目的。

• 入侵检测：蜜罐系统的入侵检测模块可以准确的检测出黑客入侵蜜罐的攻击手段，对黑客的入侵过程进行详细的记录。

• 攻击分析：分析主机监控以及入侵检测两个模块获得的数据。

蜜罐分类：

• 根据部署目的可以分为产品型蜜罐和研究型蜜罐。

• 根据交互等级可以分为低交互蜜罐和高交互蜜罐。

1、产品型蜜罐 为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。

2、研究型蜜罐 专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法。

3、低交互蜜罐 又称伪系统蜜罐。用于模拟服务和操作系统，利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”。这种蜜罐容易部署，减少风险，但只能捕获少量的信息。

4、高交互蜜罐 又称实系统蜜罐。它是最真实的蜜罐，往往运行在真实的系统并且带有真实可入侵漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的，可以捕获更丰富的信息，但部署复杂、风险较大。研究型蜜罐一般都属于高交互蜜罐。

蜜罐部署方式：

1. 网络蜜罐：将蜜罐直接部署在网络中，模拟真实系统或服务的存在。攻击者通过扫描、渗透等方式来攻击蜜罐，安全团队可以观察攻击行为并采取措施。

2. 主机蜜罐：在单个主机上部署一个虚拟环境或容器，模拟真实系统的特性和漏洞。攻击者对该主机发起攻击时，安全团队可以跟踪和记录攻击过程。

3. 应用蜜罐：针对特定应用程序或服务进行模拟部署，如Web服务器、数据库等。攻击者与该应用进行交互时，可以监视其操作并获取有关攻击手法和漏洞利用的信息。

4. 物理蜜罐：在物理设备上部署蜜罐系统，通常用于模拟网络设备、传感器等。攻击者尝试入侵或攻击时，安全团队可以及时识别和响应。

5. 高交互蜜罐：提供更多的功能和服务，并与攻击者进行交互，使其相信蜜罐是真实系统。这种方式需要更多的资源和技术支持。

蜜罐系统的优缺点：

优点：

1. 攻击者诱骗：蜜罐系统可以模拟真实系统或网络资源，吸引攻击者前来攻击，从而使网络管理员能够观察攻击行为并采取相应措施。

2. 威慑效果：蜜罐系统的存在可以增加攻击者入侵的风险和成本意识，从而起到威慑的作用，减少实际攻击事件的发生。

3. 收集情报：通过蜜罐系统，安全团队可以获得有关攻击者的信息，如攻击方法、技术手段、工具使用等，有助于提高对未来攻击的预警和防御能力。

缺点：

1. 配置复杂性：蜜罐系统的配置和管理相对复杂，需要专业的安全人员进行设计和维护，可能需要投入较多的时间和资源。

2. 潜在风险：蜜罐系统部署在网络中，本身也可能成为攻击目标，如果没有得到有效保护，可能会给实际系统和网络带来风险。

3. 法律合规性：蜜罐系统的合法性和合规性问题需要认真考虑，使用者需遵守相关法律法规，并确保在使用过程中不侵犯他人隐私或进行非法活动。

蜜罐的展望：

动态蜜网：动态蜜网，将低交互蜜罐和高交互蜜罐结合起来，需要虚拟蜜网技术的支持，利用被动指纹工具监控网络。依据获得的网络信息对蜜网进行部署和配置。最主要的是其自适应能力，能够自动学习周围的网络环境，配置适当数量的蜜罐，并随网络环境的变化做出调整。

Linux系统蜜罐：随着Linux服务器操作系统的发展，大部分黑客开始尝试攻击Linux操作系统。并且，国产化操作系统也是以Linux系列为主（可信计算平台），对于Linux蜜罐的研究与实现具有重要的意义。

工控系统蜜罐：震网攻击事件发生后，工业控制安全越来越得到大家的重视，无论是什么工业控制系统，都有可能成为被攻击的目标，而工业控制系统方面并不存在有效的信息安全设备，那么，工业蜜罐是有效的选择。

移动终端蜜罐：移动终端拥有庞大的用户量，但是APP市场并不安全，加上短信、电话欺骗等，是不是安全APP（360）等没有系统报警，手机终端就是安全的？

攻击与防御：

针对内网横向攻击：

针对这种情况，诱饵需要提前投放到在部分真实资产中，比如制造一些连接到其他蜜罐的历史操作指令、放置SSH连接蜜罐过程中的公钥记录等。

路径分析：预设攻击方通过0day等方式可以进入内网，由于攻击过程中获取路径是非常重要，路径摸排、内网横向攻击往往是渗透必经的攻击过程。

应对策略：

• 及时攻击感知：内网尽可能多部署感知蜜罐，可通过trunk的方式进行空闲IP绑定，以此覆盖内网所有区域进行攻击感知。

• 关键点部署蜜罐：为防止攻击者通过主机访问日志直接摸到真实的主机或运维终端，应将关键节点处的主机上开放部分端口绑定至蜜罐。

• 敏感信息诱导攻击：可伪造登录域凭据、RDP连接记录、运维日志、用户文件夹、浏览器浏览记录及相关敏感信息内容来诱惑攻击者进行攻击。

• 蜜罐需要配合诱饵使用：在诱饵指向的蜜罐上开放有利用价值的端口，在攻击者做资产嗅探时，可以吸引其入侵并进入蜜罐；再比如，攻击者偏爱OA、邮件等用户量大的系统，可以在重点区域部署此类蜜罐，并通过在真实服务器伪造虚假的连接记录诱导攻击者掉入陷阱。

针对实时攻击

攻击分析：攻击者发动实时攻击，防守者需要阻断攻击，记录攻击信息，分析攻击路径，溯源对手信息。这些绝非单纯的数据信息可以胜任的，必须依托于自身产品的攻击感知、记录的能力，还需要扩展其与安全产品的协同防御能力、结合安全大数据的溯源反制、人物画像能力。

应对策略:攻击重定向

• 网络攻击检测：蜜罐实时监测网络环境有无攻击流量。

• 攻击流重定向：将攻击流重定向引入至部署蜜罐系统当中，实现攻击活动与客户网络环境的安全隔离，确保客户网络环境安全性。

针对攻击分析

应用分析：掌握了攻击者的攻击信息，还要对攻击者的攻击工具、路径、意图等进行进一步分析才可以寻找自身系统及防御漏洞，针对性查漏补缺。

应对策略：漏洞仿真

• 仿真场景升级：基于国内最大最丰富的漏洞知识库Seebug，定期通过POC对蜜罐设备中的仿真场景进行升级。

• 仿真漏洞设置：蜜罐系统可注入带有较新漏洞、贴合业务服务及应用需求的仿真场景，引诱入侵者对蜜罐进行探测并延长停留时间，精准捕获高风险黑客攻击，保护客户的业务系统。

针对攻击溯源：

应用分析：蜜罐在安全防守中应用的最大优势是以攻为守，溯源攻击。

应对策略：攻击实时取证

• 获取虚拟身份：获取攻击行为数据进行分类溯源处理，实现深度溯源与反渗透，可获取攻击者包括社交媒体身份IP、IM通讯工具ID等更多个人信息。

• 关联威胁情报：攻击者常使用VPN/代理等手段发起访问请求，蜜罐可通过其集成的丰富溯源插件获取攻击者的真实IP。蜜罐对每个攻击源IP会建立唯一指纹进行标注，即使攻击者篡改IP也可通过指纹有效关联分析其攻击行为，并将此阶段获取到的信息同步到微步在线、腾讯威胁情报等大数据平台，构建出准确、全面的威胁情报。

厂商：（推荐长亭谛听）

软件厂商：

1. 腾讯安全：腾讯安全应急响应中心

2. 网神科技（NSFOCUS）：https://www.nsfocus.com/

3. 绿盟科技（Venustech）：启明星辰

4. 华为安全：https://www.huawei.com/cn/cybersecurity/

5. 云锁科技（CloudWalk）：云从科技-高效人机协同操作系统和人工智能解决方案提供商

安全解决商：

1. 360企业安全集团：360官网 -360安全中心 - 360安全软件 - 360智能硬件 - 360智能家居 - 360企业服务

2. 盛大网络：http://www.snda.com/

（拓展）HFFISH：

HFFISH并不是蜜罐产品。是一种演示和交互式的网络钓鱼模拟平台，并非专门用作蜜罐系统。

在网络安全中，网络钓鱼指的是通过伪装成合法实体（例如企业、机构或个人）来诱骗用户提供敏感信息（如用户名、密码等）。HFFISH旨在帮助安全研究人员或渗透测试人员评估和演示针对组织的网络钓鱼攻击。