HFish/docs/1-1-honeypot.md


### 蜜罐的定义

  **蜜罐** 技术本质上是一种对攻击方进行 **欺骗的技术**，通过布置一些作为 **诱饵的主机**、**网络服务** 或者 **信息**，诱使攻击方对它们实施攻击，从而可以对攻击行为进行 **捕获** 和 **分析**，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。


### 蜜罐的优势

  > **误报少，告警准确**

  蜜罐作为正常业务的 "**影子**" 混淆在网络中，正常情况下不应被触碰，每次触碰都可以视为威胁行为。

  例如，在其它检测型产品中，将正常请求误判为攻击行为的误报很常见，而对于蜜罐来说，几乎 **不存在正常请求**，即使有也是探测行为。

  > **检测深入，信息丰富**

  不同于其它检测型安全产品，蜜罐可以 **模拟业务服务甚至对攻击的响应**，完整获取整个交互的所有内容，最大深度的获得攻击者探测行为之后的N个步骤，可检测点更多，信息量更大。

  例如，对于 **SSL加密** 或 **工控环境**，蜜罐可以轻松伪装成业务，得到完整攻击数据。


  > **主动防御，预见未来，生产情报**

  在每个企业，几乎每分钟都在发生这样的场景：

  潜伏在互联网角落中的攻击者发起一次攻击探测，防守方业务不存在安全漏洞，IDS告警后事情就不了了之了。

  而应用蜜罐型产品后，转换为 **主动防御思路**：

  蜜罐响应了攻击探测，诱骗攻击者认为存在漏洞，进而发送了更多指令，包括从远端地址下载木马程序，而这一切不仅被完整记录下来，还可以转化为威胁情报供给传统检测设备，用于在未来的某个时刻，准确检测主机失陷。

  可以发现，转换为主动防护思路后， **威胁检测由针对单次、多变的攻击上升到应用威胁情报甚至TTPs检测**。


  > **环境依赖少，拓展视野**

  由于是融入型安全产品，蜜罐**不需要**改动现有网络结构，并且很多蜜罐是软件形态，对各种虚拟和云环境非常友好，部署成本低。

  蜜罐可以广泛部署于**云端**和**接入交换机下游末梢网络中**，作为**轻量级探针**，将告警汇聚到态势感知或传统检测设备中分析和展示。


### 蜜罐和威胁情报的关系
  显而易见 **蜜罐** 是非常准确、稳定和恰当的 **情报感知探针**。

  蜜罐最大的价值是 **诱使攻击者展示其能力和资产**，再配合误报少，信息丰富等一系列优势，配合态势感知或本地情报平台可以稳定生产私有威胁情报。
-												update

											
										
										
											2021-08-02 17:56:47 +08:00
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
+								### 蜜罐的定义
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
 								  **蜜罐** 技术本质上是一种对攻击方进行 **欺骗的技术**，通过布置一些作为 **诱饵的主机**、**网络服务** 或者 **信息**，诱使攻击方对它们实施攻击，从而可以对攻击行为进行 **捕获** 和 **分析**，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
 								### 蜜罐的优势
 								  > **误报少，告警准确**
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  蜜罐作为正常业务的 "**影子**" 混淆在网络中，正常情况下不应被触碰，每次触碰都可以视为威胁行为。
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加来了1-*系列中的标题，修改了2-*目录结构

											
										
										
											2021-08-12 11:21:15 +08:00
+								  例如，在其它检测型产品中，将正常请求误判为攻击行为的误报很常见，而对于蜜罐来说，几乎 **不存在正常请求**，即使有也是探测行为。
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
 								  > **检测深入，信息丰富**
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  不同于其它检测型安全产品，蜜罐可以 **模拟业务服务甚至对攻击的响应**，完整获取整个交互的所有内容，最大深度的获得攻击者探测行为之后的N个步骤，可检测点更多，信息量更大。
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加来了1-*系列中的标题，修改了2-*目录结构

											
										
										
											2021-08-12 11:21:15 +08:00
+								  例如，对于 **SSL加密** 或 **工控环境**，蜜罐可以轻松伪装成业务，得到完整攻击数据。
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  > **主动防御，预见未来，生产情报**
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  在每个企业，几乎每分钟都在发生这样的场景：
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  潜伏在互联网角落中的攻击者发起一次攻击探测，防守方业务不存在安全漏洞，IDS告警后事情就不了了之了。
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  而应用蜜罐型产品后，转换为 **主动防御思路**：
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  蜜罐响应了攻击探测，诱骗攻击者认为存在漏洞，进而发送了更多指令，包括从远端地址下载木马程序，而这一切不仅被完整记录下来，还可以转化为威胁情报供给传统检测设备，用于在未来的某个时刻，准确检测主机失陷。
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  可以发现，转换为主动防护思路后， **威胁检测由针对单次、多变的攻击上升到应用威胁情报甚至TTPs检测**。
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  > **环境依赖少，拓展视野**
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  由于是融入型安全产品，蜜罐**不需要**改动现有网络结构，并且很多蜜罐是软件形态，对各种虚拟和云环境非常友好，部署成本低。
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  蜜罐可以广泛部署于**云端**和**接入交换机下游末梢网络中**，作为**轻量级探针**，将告警汇聚到态势感知或传统检测设备中分析和展示。
 								### 蜜罐和威胁情报的关系
 								  显而易见 **蜜罐** 是非常准确、稳定和恰当的 **情报感知探针**。
-.6.0文档上架

											
										
										
											2021-09-14 23:06:34 +08:00
-												增加了蜜罐优势段落

											
										
										
											2021-08-11 14:55:24 +08:00
+								  蜜罐最大的价值是 **诱使攻击者展示其能力和资产**，再配合误报少，信息丰富等一系列优势，配合态势感知或本地情报平台可以稳定生产私有威胁情报。
-												update

											
										
										
											2021-08-02 17:56:47 +08:00