基于诱饵或"蜜罐"的入侵检测技术的作用正在不断发展。蜜罐曾经主要被研究人员用作吸引黑客进入网络系统研究其活动和行为的一种方式，现在已开始在企业安全方面发挥重要作用。事实上，蜜罐通过提供未经授权的网络活动的早期检测，被证明对IT安全专业人员来说比以往任何时候都更有用。本文研究了蜜罐是如何工作的，以及这项技术如何成为防止入侵的分层方法中的一个关键组件。什么是蜜罐？蜜罐是一种为攻击者创建虚拟陷阱的安全机制。故意受损的计算机系统允许攻击者利用漏洞，因此您可以研究它们以改进安全策略。您可以将蜜罐应用于来自软件和网络的任何计算资源上的文件服务器和路由器。蜜罐是一种让你了解攻击者行为模式的诡计技术。安全小组可以利用蜜罐调查网络安全漏洞，收集有关网络犯罪如何运作的情报。与传统的网络安全措施相比，它们也降低了误报的风险，因为它们不太可能吸引合法的活动。蜜罐的设计和部署模式各不相同，但它们都是诱饵，看起来像合法的、易受攻击的系统，以吸引网络罪犯。蜜罐是如何工作的？例如，如果你负责一家银行的IT安全，你可以建立一个蜜罐系统，在外人看来就像银行的网络。同样的情况也适用于那些负责其他形式的安全的、与互联网相连的系统的人——或者研究它们。通过跟踪这些网络的流量，你可以更好地了解网络罪犯的来历，他们是如何运作的，以及他们想要什么。更重要的是，您可以确定哪些安全措施有效，哪些措施可能需要改进。蜜罐类型-有四种类型的蜜罐部署允许威胁参与者执行不同级别的恶意活动：纯蜜罐-完整的生产系统，通过窃听器监控连接蜜罐和网络的链路上的攻击。他们不时髦。高交互蜜罐-这类似于纯蜜罐，因为它运行大量服务，但它没有那么复杂，也没有那么多数据。高交互蜜罐并不是为了模仿一个完整的生产系统，而是生产系统运行的所有服务，包括一个正确的操作系统，都在那里运行（或看起来在运行）。这种形式的蜜罐让分布实体看到入侵者的行为和策略。高交互的蜜罐是资源密集型的，并且存在维护挑战，但研究结果可能值得一试。中间交互蜜罐-这些模拟应用层的方面，但没有自己的操作系统。它们的作用是阻止或迷惑攻击者，因此组织有更多的时间来研究如何正确应对攻击。低交互蜜罐-这种类型的蜜罐在生产环境中部署最为频繁。低交互蜜罐运行少量的服务，作为一种早期预警检测机制，它的作用比任何东西都重要。它们易于部署和维护，多个安全团队在网络的各个部分部署蜜罐。蜜罐系统的好处许多组织都在想，为什么他们应该花费时间和金钱来创建一个能吸引黑客的系统。然而，尽管蜜罐有很多好处，但真正的问题应该是你为什么还没有准备好。蜜罐最重要的价值在于它所获得的信息，并能立即被提醒。进入和退出蜜罐的数据使安全人员能够从IDS（入侵检测程序）程序获取无法访问的信息。在会话期间，攻击者的击键行为可能会被记录下来，即使使用了加密来建立它。任何访问系统的尝试也会立即触发警报。IDS需要发布的签名来检测攻击，但是一个当时不知道的危害通常无法被检测到。另一方面，蜜罐可以根据攻击者的行为检测安全社区可能不知道的漏洞。这些通常被称为"零日探险"。蜜罐收集的数据可以用来改进其他安全技术。蜜罐生成的日志可以与其他系统日志、IDS警报和防火墙日志相关联。这可以生成一个组织内可疑活动的全面图像，并允许配置更相关的警报，从而减少误报。蜜罐的另一个优点是一旦攻击者进入系统，它可以挫败他们，并使他们停止攻击组织的网络。蜜罐花费的时间越多，意味着它在生产系统上花费的时间就越少。结论像所有技术一样，蜜罐也有其缺点，最大的缺点是视野有限。蜜罐只捕获针对它们的活动，并将错过对其他系统的攻击。因此，安全专家不建议用这些系统取代现有的安全技术。相反，他们把蜜罐看作是一种补充技术，可以防止网络和基于主机的入侵。保护你努力建设的东西的唯一方法就是在网络安全问题上保持警惕。如果您想了解更多关于您的企业如何从托管服务中获益的信息，请致电我们，我们随时为您提供帮助。蜜罐是一种为攻击者创建虚拟陷阱的安全机制。故意破坏的计算机系统