蜜罐有哪些不同形态

蜜罐技术是指通过部署一套模拟真实的网络系统来引诱攻击者攻击，进而在预设的环境中对入侵行为进行检测、分析，还原攻击者的攻击途径、方法、过程等，并将获取的信息用于保护真实的系统。蜜罐有以下不同形态：

• 基本蜜罐：是具有单个诱饵节点的蜜罐系统形态，是蜜罐系统最原始的表现形态。蜜罐往往参考单一设备进行实现，如摄像头、打印机等。由于其单节点的特性，蜜罐往往具备易开发、易维护、运行稳定度高等优势。它可以部署在任意的网络位置，通常用于收集到达特定网络节点的攻击情报，并缓解相同网段的其他生产设备与资源受到的攻击。为了扩展诱饵范围，蜜罐可以在相同网络中多点部署和统一管理，称为分布式蜜罐。但所有蜜罐节点都是独立完成诱导与捕获过程，与其他节点并无交互。因此，蜜罐在跨节点的威胁诱捕方面有所欠缺，难以构建完整的攻击场景。

• 蜜网：是在同一网络中配置多个诱饵节点的蜜罐系统形态。多个诱饵节点的设置通常参考某个真实业务环境，不同的业务场景有不同的网络拓扑，不同的工作流程有不同的状态更新和控制需求。因此，如何构建高复杂度的诱饵环境成为蜜网构建的最大挑战。然而，因为蜜网为攻击者提供了在多个节点设备间横向传播的空间和更丰富多样的入侵接口，所以蜜网对研究攻击传播方式有较大帮助。

• 蜜场：是通过代理的方式扩展诱饵节点部署范围的蜜罐系统形态。在蜜场中，诱饵环境和监控模块往往被集中在一个固定的节点或网络中，便于实现对实物设备的管理维护和数据集中分析。而轻量级的代理部署在任意网络节点中，将网络攻击重定向至诱饵环境，从而减少真实诱饵节点部署数量，降低系统实现成本和运维难度。蜜场需要对代理节点处的网络流量进行判别和转发，同时兼顾通信的时效性，排除多个代理间的数据干扰。

• 蜜标：是一种特殊的蜜罐诱饵，它不是任何的主机节点，而是一种带标记的数字实体。它被定义为不用于常规生产目的的任何存储资源，例如文本文件，电子邮件消息或数据库记录。蜜标必须是特有的，能够很容易与其他资源进行区分，以避免误报。蜜标具有极高的灵活性，可以在攻击过程的任意环节中作为诱饵或探针，利用虚假的账户或内容进行逐步诱导，并识别细粒度的攻击操作（如文件读取、传递和扩散等）。由于对蜜标缺乏有效的监视和控制手段，蜜标通常不单独使用，而是作为其他蜜罐形态中诱饵内容的补充，辅助捕获特定的攻击行为。