【畅聊IT24】来聊一聊安全防护中的蜜罐诱捕技术

蜜罐？诱捕？听到这两字，您首先想到了什么？

反正小编真没有联想到这竟是安全产品的功能！

今天，一起来科普下！

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

---以上内容来自百度百科

某公司AF主动欺骗诱捕：是防火墙上部署一些作为诱饵的伪装业务，诱捕内外网的攻击行为，并联合云端高级捕获与分析技术，获取攻击方的指纹信息、工具、手法、攻击轨迹等，汇总形成攻击者画像，并封堵攻击源，实现快速检测、分析、阻断、溯源攻击，保护业务资产安全。

以上为AF8.0.35版本新功能

本期话题：

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？

2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？

3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？

......

包括但不限于以上话题！

畅聊时间：2020年11月16日-11月30日

互动奖励：

1、幸运奖：本帖设置1000S豆回帖奖励，每次回复有机会获得20S豆

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复的，即可获得100S豆打赏！

3、最高人气奖：被管理员设置为优秀且点赞数最多的回复，可获得价值50元的精美礼品一份！

PS：要求点赞数量至少10个以上

话题回顾：

->>>点击查看往期话题

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
已发分享贴

#原创分享#8035新功能新蜜罐展示
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？

帮助非常大，建议开启联动封锁，会自动把恶意扫描IP加入封锁名单，增加已发布业务的安全性。
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？

已远程体验+实机配置测试，非常实用。

由于AF授权问题，未开启云鉴分析，仍然起到了防护效果。但仍然建议官方加大推广力度，让用户体验到搭配云鉴情报分析后更强大的防护效果。

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
了解过，但是没有用到。
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
有一定的作用，但是作用较小。
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
没有使用过某公司的设备。

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
我到现在为止只使用过某公司的蜜罐吧。其他厂商的暂时未接触到。我对他的评价就是小白最能理解的一种说法，“美人计”，哈哈哈哈哈，敌方中了美人计，会被迫交待它所知道的一切。
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
当然有用，他可以提出改进安全性的方法。他有几个优势，更容易识别攻击；对硬件要求不高；省流量、不会占用带宽，因为在定义中，蜜罐是不允许获得任何合法的流量，但仅仅是定义而已；最大优势在误报率相对较低，相对其他的入侵防御产品（有叫IPS、IDS很多种叫法，不管那些），有很大的对比效果；其他的不知道咯。大概只知道这么点。希望大佬补充，我学习学习。但是蜜罐也有坏处，会被黑客当成新的进入系统的攻击手段。蜜罐现在的程度很难替代防火墙和入侵防御系统，只能作为防火墙新的插件功能。哈哈哈
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
不是很了解，没有太多深入了解。只知道某公司的AF很早就有这个东西了。针对于这个产品的建议永远都是减少误报率、溯源能清晰明了，然后给出整改的建议。

2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
很有帮助，可以用于记录攻击行为 ；弥补传统安全的不足 ；与终端产品相比优势明显 。 依靠蜜罐生成的高仿真业务与操作系统，在网络中布下的层层陷阱，当攻击者访问，可对0day及APT等高级攻击与未知威胁进行有效发现。

蜜罐技术作为一种诱导手段，作为一种主动的安全防护手段，有效的保护了用户的资产安全，但是这是否会导致设备性能下降？是否能够单独出一款蜜罐诱导设备与下一代防火墙、上网行为管理等设备数据交互，很大程度的降低设备的性能前提下，形成独一无二的诱导设备，降低黑客对出口设备的直接攻击，导致影响网络性能的情况。

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？

     蜜罐诱捕的功能我理解就是类似于防火墙的堡垒机，主要是吸引未经授权的访问，并记录访问记录，通过访问记录来分享非法访问的特征，并收集相关情报供后台专业人士完善或找到威胁的根源；

2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？

    蜜罐诱捕技术对于日常防护是有作用的，毕竟信息安全威胁都是在不知不觉中发生的，你没察觉不代表风险没发生过，有时风险发生后不被察觉往往是你太粗心或者对方进行了处理让你无法察觉；

3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？

     AF蜜罐诱捕技术暂时没有启用，我印象中应该是收费的项目，对于这个功能我期待他能分析并记录帮助我轻松找到风险发生点，并且进行有效取证，对于造成危害的情况可以报告相关部门进行处理；

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
当攻击者拿下一台服务器的权限后，很可能会进行小范围的端口探测或者批量的端口扫描，以便横向扩展，获取更多服务器的控制权，因此部署内网蜜罐，把攻击者引诱到蜜罐里来，触发实时告警，即可让安全人员及时知道已经有攻击者渗透内网、知道哪台服务器已被控制、以及攻击者在蜜罐上做了哪些操作。，但是没有用到。
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
存在即合理。
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
没怎么了解。

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
之前护网听说过，不错的设备，凡是中招的都是有真实的攻击，所以可以通过蜜罐保护业务网络减少受攻击情况
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
绝对有用，通过查看蜜罐的日志，对网络防火墙做一些策略调优
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
只是知道有这个功能，不太了解

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
     了解过但是没有使用过
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
    我觉得有用，诱导攻击本来就可以发现攻击者的意图，对溯源防护都有帮助
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
    暂时没使用，希望大力推广下

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
答:听说过，类似于“瓮中捉鳖”，希望新一代AF有足够强大的诱捕能力

2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
答:有，安全是不可视由此可见我们不知道攻击者会用什么方式进行攻击；有这个蜜罐诱捕技术可以让我们分析攻击者的攻击手段，从而做出抵御方式

3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
答:第一次听AF会带有蜜罐诱捕功能；其实对这个功能蛮期待的，希望AF的这个功能授权及部署不要太麻烦

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
答：没有使用过蜜罐诱捕的功能，但从社区的论坛里看过大牛们的帖子介绍。呵呵，有点类似于钓鱼执法，但又与钓鱼执法不完全相同，前者涉嫌违规执法，后者是利用跳转（自己这么理解的），将攻击方向转向设置的陷阱，并在其进行攻击时捕捉数据，进而分析其攻击方式和攻击工具，为网络的安全保驾护航。
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
答：当然很有用。黑客的攻击技术也是在不断发展变化，新的攻击手法，新的黑客软件也在推陈出新，只有了解了其攻击方式和攻击软件，才能有的放矢，做好安全防范工作。
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
答：通过社区技术大牛们的分享和介绍，初步了解了某公司AF蜜罐诱捕技术的原理，但还没有亲自实践，有机会一定要体验一下。

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
目前只是了解到有这种技术，并没有真正的使用过。对于网络攻击防护来说，确实是一种积极的手段，转变了之前的被动局面。
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
我认为对于日常安全防护有一定作用，但是作用的大小是看防护的对象来界定的，日常遭受攻击的越频繁的防护对象作用越大，尤其是在重大事件的保障活动或者是红蓝对抗的过程中作用较大。反之如果在防护对象本身遭受攻击的次数较少或者防护对象的系统资源紧张的情况下，作用并没有突出。
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
我也是刚刚了解到某公司AF的蜜罐诱捕，很期待能够体验。期待这项功能对于AF的系统资源占用并不大，能够让老旧的设备也能顺利运行。

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
获取威胁情报，尤其是攻击者指纹
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
很有用，保护业务资产
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
结合云鉴使用

学习一下  看看大佬们的观点

感谢整理分享，收藏了。

谢谢分享，有助于工作！

蜜罐( Honeypot)技术是一种主动防御技术，是入侵检测技术的一个重要发展方向，也是一个“诱捕”攻击者的陷阱。蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机和服务，给攻击者提供一个容易攻击的目标。攻击者往往在蜜罐上浪费时间，延缓对真正目标的攻击。由于蜜罐技术的特性和原理，使得它可以对入侵的取证提供重要的信息和有用的线索，便于研究入侵者的攻击行为。

感谢楼主的分享，

我觉得蜜罐技术的重点是如何把恶意程序识别出来并进行诱导，这一方面就看状态监测平台的能力了

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
使用过其他品牌的蜜罐系统，蜜罐系统说到底就是模拟网络中的服务器或主机或其他网络设备，设置弱密码或一些系统漏洞，增加被攻击的可能性，诱导攻击者进入蜜罐中，从而触发报警，让管理员能够快速地知道网络被攻击情况及攻击者的攻击方式和攻击路径，从而快速处理攻击。
2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
蜜罐诱捕技术在日常安全防护上有一定的作用，对于一些小型企业，网络基本不会受到攻击，不用用到这个系统，需要用到这个技术的一般是一些较大型且部署有重要服务器、容易受到攻击的企业，还有就是明确知道会被攻击的护网行动中，这个技术对于防守方来说特别好用。总的来说，蜜罐诱捕技术特别好用，但应用范围不是很大。
3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
对某公司AF蜜罐诱捕不是很了解，只知道有这么个功能，没有用过

1、您是否了解或使用过蜜罐诱捕的功能，您如何评价它？
作为Gartner多年度推荐的信息安全技术，在更强调攻防实时对抗的安全形势下，蜜罐价值将越来越大。

2、您认为蜜罐诱捕技术对日常安全防护是否有用？为什么？
现有的安全防护手段基于已知攻击特征来进行防护，威胁分析存在滞后、漏报等缺陷，很多程度上导致防护效果差、对抗不实时。蜜罐诱捕功能通过编造虚假漏洞、系统、分享和缓存，触发告警，能更加直观获取攻击链全过程，高级阶段可用于指导攻击反制。

3、您对某公司AF蜜罐诱捕的了解有多少？对这个功能的使用有哪些期待和建议？
某公司AF蜜罐诱捕目前尚未测试，对比业界同类产品，建议将此功能剥离成独立产品，而并非作为AF价值亮点进行推广，毕竟知晓蜜罐的价值用户均为高端用户，对产品细节和功能会要求更高

主要研究内容和所做的工作如下:分析了主流的网络安全模型、入侵检测和事件响应技术,并从动态防御的角度,指出了入侵检测急需解决的问题。研究和分析了蜜罐诱捕的主动防御技术,并在此基础上结合入侵检测技术设计实现了系统的蜜罐诱捕模块。研究和分析了入侵检测技术,并对AC多模式匹配算法加以改进,实现了一种基于NFA的AC多模式匹配算法,并设计实现了入侵检测模块。