蜜罐技术是一种什么防御技术？实现原理是什么？( 二 ) _蜜罐技术

相反，低交互蜜罐只可以模拟部分系统的功能。高交互蜜罐和真实系统一样可以被完全攻陷，允许入侵者获得系统完全的访问权限，并可以以此为跳板实施进一步的网络攻击。相反的，低交互蜜罐只能模拟部分服务、端口、响应，入侵者不能通过攻击这些服务获得完全的访问权限。
从实现方法上来分，蜜罐可分为物理蜜罐和虚拟蜜罐。物理蜜罐是网络上一台真实的完整计算机，虚拟蜜罐是由一台计算机模拟的系统，但是可以响应发送给虚拟蜜罐的网络流量。
五、蜜罐防护过程

文章插图
蜜罐防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。
(1）诱骗环境构建:通过构建欺骗性数据、文件等，增加蜜罐环境甜度，引诱攻击者入侵系统，实现攻击交互目的。交互度高低取决于诱骗环境仿真度与真实性，目前主要有模拟环境仿真和真实系统构建方案。
模拟环境仿真方案通过模拟真实系统的重要特征吸引攻击者，具备易部署优势。利用一种或多种开源蜜罐进行模拟仿真，多蜜罐结合方案有利于不同蜜罐的优势集成;将仿真程序与虚拟系统结合构建蜜罐自定义架构，提高交互度;对硬件利用模拟器实现硬件虚拟化，避免实际硬件破坏。然而，虚拟特性使模拟环境仿真方案存在被识别风险。
真实系统构建方案则采用真实软硬件系统作为运作环境，降低识别率，极大提高了攻击交互度。
在软件系统方面，采用真实系统接口真实主机服务、业务运作系统等，具备较高欺骗性与交互度，但其维护代价较高且受保护资源面临着一定被损害风险。在硬件设备方面，可直接利用真实设备进行攻击信息诱捕，如将物理可穿戴设备作为引诱节点、以手机SIM卡作为蜜卡等，通过构建真实软硬件系统环境提高诱骗度。在低能耗场景下采用真实软硬件设备引诱攻击者具有一定优势，然而对于某些数据交互频繁的业务系统内，存在高能耗、不易部署、维护成本大等缺陷。
（2）入侵行为监控:在攻击者入侵蜜罐系统后，可利用监视器、特定蜜罐、监控系统等对其交互行为进行监控记录，重点监控流量、端口、内存、接口、权限、漏洞、文件、文件夹等对象，避免攻击造成实际破坏，实现攻击可控性。如模块监控、事件监控、攻击监控、操作监控、活动监控等。
上述攻击入侵行为监控中，不同方案的侧重点不同，高交互蜜罐则需更强监控力度。由于监控范围无法全面覆盖，可能导致监控缺失后果，致使攻击者利用监控盲区损害系统，同时，较大监控范围易捕捉更多信息，全方位访问监控成为一种相对安全措施。
(3) 后期处理措施:监控攻击行为所获得数据，可用于数据可视化、流量分类、攻击分析、攻击识别、警报生成、攻击溯源、反向追踪等。具体处理措施为:提取基础数据，以图表方式展示统计数据;分析关联度，提供入侵行为电子证据;分类恶意特征，过滤恶意用户;分析数据包信息，识别潜在安全威胁;利用水平检测识别攻击分类，后期处理措施以分析方式，使防御系统分析收集数据，掌握攻击信息，实现改善系统防御方案的良性循环。
六、蜜礶部署方式
按地理位置分类，蜜罐部署方式可分为单点部署和分布式部署。单点部署将蜜罐系统部署于同一区域，如工控系统工业区、无线网络作用域、特定实验场景模拟区等，部署难度小，但作用范围有限，风险感知能力弱。
分布式部署则是将蜜罐系统部署于不同地域回，利用分布在不同区域的蜜罐收集攻击数据，因此数据收集范围广，实验数据全面，能有效感知总体攻击态势，但部署较困难且维护成本高。
按部署归属度划分，蜜罐部署方式可分为业务范围部署和外部独立部署。前者将蜜罐部署于真实业务系统内，从而提高蜜罐的甜度和交互度。但入侵者可以利用蜜罐作为跳板转向攻击真实系统，因而需要严格监控和数据通信隔离。外部独立部署即蜜罐与真实业务系统处于空间隔离状态，降低将蜜罐作为攻击跳板的风险，但诱骗性能较低。

文章插图
当然攻击们面对蜜罐的诱捕，也不会坐以待毙，所以产生了反蜜罐应对措施。
目前蜜罐研究多为工程部署，而较少涉及蜜罐基础理论。敌手与蜜罐对抗属于典型的博弈行为，可以将黄开枝、洪颖、罗文宇等人的博弈论应用至蜜罐中，通过博弈分析验证，为蜜罐提供理论支撑。利用信令博弈、非合作不完全信息博弈、贝叶斯不完全信息博弈等验证推理蜜罐系统主动性、有效性、约束条件等。