工程作业蜜罐与蜜网技术

的安全资源，即它只有虚敏感数据，不是用于对外的正常服务。它可以是一个网络、一台主机、一项服务，也可以是数据库中的某些无用的数据项、以及的用户账号及其弱口令等，因此任何与它交从上世纪九十年代初蜜罐概念的提出直到1998年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺编达到追踪的目的。这一阶段的蜜摘实质上是一些真正被所的主机和系从1998年开始，蜜罐扩术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺编的开源工具，如F代泪Cohen所开发的DTK(欺编工具包)、NielsProvos开发的Honeyd等，同时也出现了像够模拟成虚拟的操作系统和网络服务，并对的行为做出回应，从而欺编。虚拟蜜罐工具的但是由于虚拟蜜罐工具存在着交互程度低，较容易被识别等问题，2000年以后，安全研究人员更数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地迫踪侵入到蜜网中的并对他们的行为进行分析。产品型蜜罐主要是用于检测、防御和取证，为的网络提供安全保护。它一般采用虚拟的操作系统和应用程序来构建系统，部署在一个部门的内部网络环境。这类蜜罐系统的代表有SymantecDecoyServer、SmokeDetector、Honeyd、Specter、ManTraq等。随着研究的深入，产品型蜜罐出现了针对特定的应用，比如检测内部的Honeytoken，检测缓冲区溢出的TaintCheck，检测对无线网络的802.11Honeypot，检测 对浏览器的Honey，检测DOS，检测恶意代码的HoneyStat，检测邮件的HoneySpam，检测Web应用的HoneyWeb［3］等。研究型蜜罐主要是用于研究的特征和发展趋势，以帮助安全组织研究系统所的，以便更好地抵抗这些。它一般采用真实的操作系统和应用程序来构建系统，部署在网络系统中各个网段上。例如，Kbh提了一种从oyt自取的C( u)算法［4］，算法比较简单，但是提取的特征质量较差。aThaar首先采用可视化、统计分析等方法辅助人工筛选出可疑数据，然后基于LCS取方法提高了特征提取的质量，但是还需要人工参与。低交互蜜罐与交互次数少，引入的风险较小，但是容易被者识别，捕获的信息少。高交互蜜罐捕获的信息较多，容易捕获到新的工具，但是部署复杂，难以，引入了较高的安全虚拟蜜罐是由虚拟的操作系统和应用程序构建的，的行为只能局限在模拟的级别。主要用于攻击的检测、防御等。较具代表性的系统如DTK、Honeyd等开源工具和KFSensor、ManTrap等一系列模拟一个真实的系统。学习服务的蜜罐是通过机器学习由系统编写，模拟一个真实的系统。学习服真实蜜罐交互程度高，无蜜罐，捕获的信息量大，适合作研究，但是高交互引入了较高的安全风险。虚拟蜜罐部署比较方便，引入风险较低，适合作为商业产品，但是收集数据少，易被客户端蜜罐是运行客户端的软件，模拟普通的互联网客户端或软件，如Honey-◦服务端蜜罐通过诱骗者来了解服务器端的安全，但是难以发现针对客户端的安全。 或软件来发现浏览器的，主动了解互联网上针对客户研究的特征和发展趋势。目前具有代表性的工具是蜜网项目组于2005年5月推出的第三代蜜网技术［2］，第三代蜜网主要由Honey-wall、Honeypots和DataCenter这3个元素组成，分别负责数据控制、数据捕获和数据收集［2］。Yegneswaran等人实现了一种从Honeynet数据中自动提取特征的系统虚拟蜜网是通过应用虚拟操作系统软件(如VMWare和UserModeLinux等)使得在单一的物理系统虚拟蜜网又可以分为两种，自包含虚拟蜜网和混合虚拟蜜网。自包含虚拟蜜网是将整个蜜网都压缩到一台计算机上。其中虚拟操作系统由虚拟软件控制，主机操作系统完成蜜网上的数据控制和数据捕获功能，因而部署方便，但是一旦被攻破，就可以获得对整个虚拟蜜网的控制权。真实蜜网对已知或未知的工具与战术都有广泛的捕获、分析能力，适用于众多的组织和环境，但是部署与复杂，高交互引入了较高的安全风险。虚拟蜜网节省硬件资源，容易部署和控制，系统容易恢复，引入的安全风险较低，常用于的检测、和防御，但是收集数据较少，易被者此外，L.Spitzner蜜场(honeyfarm)［7］，其本质上还是蜜网，即在各个内部子网或关键主机上设置一系列用于数据控制的重定向器，将发现的流量重定向到蜜罐上，由在蜜场中部署的一系列数据捕获和数据分析工具对行为进行和分析。XuxianJiang等人实现了一个蜜场系统Collap-sar，应用在分布式网络中检测和捕获。然后引入检测（IDS）作为网络数据收集和已知的工具，使用和路由器作为数据控制的工具，同时他们的存在也是蜜罐看起来更象一个真实的网络系统，日志服务（LogServer）用来备份蜜罐收集和记录的的各类数据和日志。蜜罐就是由以上各组件和HUB、若干网线构成，如下图所示：

蜜罐作为一种解决方案，其实现主要依赖于低层网络技术的支持和运用。而对于蜜罐特殊的运作方式和实用目的，其原理的实现也在传统的网络技术上有新的要求。蜜罐的主要技术有网络，是没有价值的，网络技术因此也是蜜罐技术体系中最为关键的技术和难题。在过去几年的时间里，蜜罐技术研究人员在蜜罐技术上的每一次创新和突破都无一例外地在蜜罐的网络功能上煞费苦心。网络技术的强与弱从一个侧面也反映了蜜罐本身的价值。然而正是这个关键的技术也是蜜罐技侦听非工作的服务端口是诱骗的常用。当通过端口扫描检测到系统打开了非作的服务端口，他们很可能主这些端口发起连接，并试图利用已知系统或应用服务的来发送但是由于简单的模拟非工作服务端口，最多只能与建立连接而不能进行下一步的信息交互，所以模拟系统和应用服务为者提供的交互能力比端口模拟高得多。它们可以预期一些活动，并且旨在可以给出一些端口响应无法给出的响应。譬如，可能有一种蠕虫正在扫描特定的s情况下，可以构建一个模拟Mierosoft15eb服务器的hnoyePot，并包括通常会伴该程序的一些额外的功能或者行为。无论何时对该honePyot建立H竹P连接，它都会以一个15web服务器的加以响应，从而为者提供一个与实际的ISIW七b服务器进行交互的机会。这种级别的交互比端口模拟所收集到的信息要丰富得多［8］。IP空间利用计算机的多宿主能力在一块儿网卡上分配多个PI地址来增加者的搜索空间来从如果发现系统少有网络流量.，那系统的真实性势必会受到怀疑。流量仿真是利用各种技术产 的络流量使流量分析不能检测到。现在主要的方法有两种。一是采用实时或重现的方式真正的网络流量，这使得系统与真实的系统十分相似。二是从流量，使者可以发现和利用。真实网络系统的状态一般会随时间而改变的，如果是静态的，那么在者的长期监视下就容易。因此需要动态地配置我们的系统以使其状态象真实的网络系统那样随时间而改变，从而更近真实的系统，增加蜜罐的性如果某个组织提供有关个人和系统信息的，那么也必须以某种方式反映出这些信息。例如如果组织的DNS服务器包含了个人系统拥有者及其位置的详细信息，那么你就需要在的DNS列表中具有的拥有者及其位置，否则很容易被发现。而且，的人和位置也需要有的信息如薪网络服务往往与特定的系统联系在一起，网络服务往往是者侵入系统的，网络服务可以蜜罐主机类似于蜜罐的罐，它负责与者交互，是捕捉者活动的主要场所。蜜罐主机可以是模拟的或真实的系统。与一般的系统不同之处在于，该系统处于严密的监视和控制之下。与系统的每一次交互都在不被他们察觉的情况下被日志记录。使用虚拟机技术主要有两个优点，一是在单机上运行多个拥有各自网络界面的客户操作系统可以模拟一个网络，二是在客户操作系统被者破数据捕获是蜜罐的功能模块。;数据捕获的目标是捕捉者从扫描、探测到到攻陷蜜罐主机 数据各不相同。最外层数据捕捉由 来完成，主要是对出入蜜罐系统的网络连接进行日志记录，这些日志记录存放在本地，防止被者删除更改。第二层数据捕捉由检测系统(IDS)来完成，IDS抓取蜜罐系统内所有的网络包，这些抓取的网络包存放在DIS本地。最里层的数据捕捉由蜜罐主机来完成，主要是蜜罐主机的所有系统日志、所有用户击键序列和屏幕显示，这些数据通过网络传输送到远程日志服务器存放。 行为的特征和模型是相当的。现有的蜜罐系统都没很好的解决使用数 不到任何有价值的信息，同时蜜罐系统将者利用作为其他系统的跳板。数据控制是蜜罐系统必我们允许所有对蜜罐的，但是我们要对从蜜罐系统外出的网络连接进行控制，当蜜罐系统发起外出的连接，说明蜜罐主机被者攻破了，而这些外出的连接很可能是者利用蜜罐对其他的系统发起的连接。对外出连接控制不是简单的阻断蜜罐对外所有的连接，那样无疑在告诉者他正身陷蜜罐系统当中，而者成功侵入系统后的动作和企图是我们所关心的。我们可以限制一定时间段内外出的连接数，甚至可以修改这些外出连接的网络包，使其不能到达它的目的地，同时又给者网络包蜜罐通常有两层数据控制，分别是连接控制和路由控制完成。连接控制由来完成，通过限制蜜罐系统外出的连接。路由控制由路由器来完成，主要利用路由器的控制功能对外出的数据包进行控制，以防止蜜罐系统作为源I句其他系统发起xP、Dos、IeMP、sYN、sMuRF等具键安全化到时效用型蜜罐技术，在公共互联网或大规模业务网络中进行部署，以扩大安全的监测范围并提升监测能力，成为了蜜罐技术社区研究与工程实践中的一个重要关注点.蜜罐技术社区也逐渐提出了蜜网、分布式蜜罐与分布式蜜网、蜜场等部署结构框架。蜜网(honeynet)技术的提出，为系统可控地部署多种类型蜜罐提供了基础体系结构支持.念证明性的第一代，经过逐渐成熟和完善的第二代，目前已步入完整、易部署、易的第三代，图2显示了蜜网的基本结构，多台各种类型的蜜罐系统构成蜜网网络，并通过一个以桥接模式部署的蜜网网关(Honeyall)与外部网络连接.蜜网网关构成了蜜网与外部网络的唯一连接点，外部网络所有与蜜罐系统的网络交互流量都将通过蜜网网关，因此，在蜜网网关上可以实现对安全的网络数据捕获，以及对攻击进行有效控制.PTTL递减与路由，以确保蜜网网关极难被方发现.而安全研究人员通过蜜网网关的管理接口连接对蜜网网关进行管理控制，以及对蜜网网关上捕获和汇集的安全数据进行分析。可以直接在蜜网中包含真实系统作为高度性的蜜罐，这使得者可以和真实的操作系统与应用服务进行交互，让者在蜜网中有更充分的活动空间，也保证了安全研究人员能够捕获到更加丰富和

分布式蜜罐/蜜网是目前安全研究机构、CERT组织与安全公司基于蜜罐技术搭建互联网安全监测体系的典型技术方案，但已有的、公开的分布式蜜罐/蜜网系统在采用底层蜜罐技术、资源要求与系统组 较低的低成本硬件进行部署，容易且部署安全风险很低，这使得 方式在世界五大洲的28个国家部署了70个节点，从2004年~2008年3月，共捕获了来自于近350万源IP地址的大量网络会话，并通过聚类分析、数据挖掘等方法从中发现安全根源.巴西CERT的分布式蜜 系统类似地采用了Honeyd框架与合作加盟方式，在巴西国内部署了近30个然而，仅仅依赖单一的oy虚蜜罐框架软件和一些定制的模拟服务，只能为互联网安全提供非常受限的交互环境，无法触发和记录网络会话的完整信息.因此，之后开发与部署的分布式蜜网系统往往将基于模拟的低交互式蜜罐与使用真实系统的高交互式蜜罐相结合，以结合两者各自的优势.ThenytotH分布式蜜网系统以we虚拟化平台结合sooy1个节点，在2007年3月5月运行期间，捕获了30多万个不同源IP地址的7300多万个网络会话连接、67万余次SSH口令尝试以及1680个不同的代码样本。2005年~2008年，Zhuge等人支持CNCERT/CC研发和部署Matrix中国分布式蜜网系统，采用自主实现的HoneyBow高交互式蜜罐，并集成Nepenthes蜜罐，利用CNCERT/CC在的分支机构的硬件与网络资源条件，在31个省市区共部署了50个节点，从完成部署后的2006年10~2007年6月的8个月时间中，共捕获了约80万次代码，提取到近10万个不同的代码样本.在国家中心部署的代码自动分析服务与僵尸网络工具软件的进一步支持下，Matrix系统发现并监测了3290个不同的IRC僵尸网络，并对IRC僵尸网络行为模式进行了细致的分析.欧洲电信将系统升级改造为SGNET，以分布式方式部署添加了ScriptGen功能特性的Honeyd虚拟蜜罐，ScriptGen[66]技术能够络应用协议的自动状态机，并生成Honeyd中相应服务模拟，从而提 中，蜜罐系统都被集中部署于一个受控的网络环境中，由安全专家来负责、管理与数据分析，而在业务网络中仅仅部署一些轻量级的重定向器，对以未使用IP地址为目标的网络流量或者通过入侵防御系统等设备检测出的已知网络会话，重定向迁移至蜜场环境中，由蜜罐系统与源进行交互，在具有性的环境中更加深入地分析这些安全.Jiang Collapsar系统[20]，用于网络的检测与深入分析，通过几个真实捕获的案例验证了系统的有蜜场技术框架实现的难点，在于重定向网络会话的透明性以及蜜场环境对于分析大量网络连接的可扩展性。陆腾飞等人在应用蜜场技术构建的主动式防护系统Icarus中，引入了具备高度透明性的网络会话重定向与迁移技术，通过策略路由方式将指定的网络连接从业务网络中透明地重定向到蜜场网关，首先交由其上部署的低交互式蜜罐与源进行交互，在低交互式蜜罐对于一些未知攻过TCP会话迁过程将会话无缝地迁移到高交互式蜜罐中.这种蜜罐多级部署策略可以有效提升蜜场环境的可扩展性，而网络会话迁移技术能够保证整个交互响应过程对方的透明性.为了缓解蜜场环境中大规模安全与更为深入地捕获数据之间的，rableokn64000BackOfficernBo，它是一个简单的免费honeypotun和NetworkFlightReeorder公司的员工。BoF是一种低交互度的honePyot，可以运行于几乎所有的wnidows系统中。对于开始hnoe冲ot讨论，这不愧为一个很好的起点，因为任何人都可以将其安装在自己的系统中。其装和配置都是极为简单的，并且所需要的也很少。不过，这种简捷性也是有代价的:其功能非常有限。它只提供了进行端口侦听的很小的服务集合以及特别有限的模拟功能［12能力要大得多。specetr不仅可以模拟的服务，而且可以模拟不同的操作系统和。它还具有大量的和日志功能。由于speeter只模拟具有有限交互的服务，因此很容易部署，也很容易，并且风险也Hnoyed是一种开放源代码的低交互度hnoyePot。其主要目的在于对可疑活动进行检测、捕获和。oyd由soo2004年月，它为honeypot地址进行活动监视，而是对具有数以万计系统的网络进行监视。当它检测到对并不存在系统的探测时，就会动态地承担起这个受害者的角色，然后与者进行交互，这就指数极地增加了honePyot检测和捕获击的能力。它可以在应用程序层和PI堆栈层上模拟数百个操作系统。作为一种开放源码的解决方案，Hnoycd是一项免费技术，可以完全到其源代码。定制自己的解决方案或者使用由安全界其他成员所开发的那些方案。Honeyd是为unix平台设计的，其安装和配置都相对简单，主要依赖于一种命令形式的接口［12Manrap是Recouse公司销售的honeyPot。它是一种中等到高交互度的honeyPot，Manrap的独特之处在于它没有模拟任何服务，而是在一个操作系统的基础之上创建了多达4个虚拟操作系统。这就赋予了管理员对虚拟操作系统更为广泛的控制和数据捕获能力。组织甚至可以安装一些希望进试的产品应用程序，如NS、eb服务器甚至数据库等。这些虚拟的操作系统几乎具有和标准的产品系统相同的交互性和功能。因此，可以从者那里了解到很多信息。由于这是一种产品，Manrap的部署和要相对容易些。它还可以捕获到数甘凉人的信息。Manrap不仅可以检测到扫描和未连接，而且还可以捕获到未知、以及新的。不过，其多功能性能是以增加风险为代价的。因为honeypot为者提供了一个可以利用的完整的操作系统，因此它可以被用于其他系统和执行未活动。另一个限制是ManTrap目前被限制在oslaris操作系统上。ManTrap可以被灵活地用作一种产品型或研究型honeyot［12Hnoyenet代表了高交互度蜜罐的极限，它不仅为者提供了完整的操作系统进行和交互，而且中所有活动，并降低包含者活动所带来的风险。Honeynet的复杂性并不在于蜜罐本身的构建(可以很简单地使用默认安装即可)，而在于对往来于hnoyePot的所有活动既进行控制又加以捕获的控制网络的构建。因此honeynet是最难部署和的蜜罐之一。这种复杂性也使得它们成为了具备最高风险的蜜罐解决Honeytoken概念出发点是的目标不仅仅在于攻陷网络和主机本身，往往时候是对信息内容的。由此，我们可以扩展蜜罐的概念，即使用一些正常情况下不会使用的信息内容作为诱饵，一旦发现这些Honeytoken被，则预示可能对信息内容发起，从而我们可以发现并追踪的活动。较容易实施的Honeytoken包括数据库中的某些无用数据项、的用户帐号及其开料成产些中蜜但用了一些初级的诱骗技术，缺乏对蜜罐系统的诱骗技术、安全技术、功能的全面研究。然而蜜罐技术作为安全领域的新生事物，其价值在不断创新的技术背景下得到提升。作为安全解决方案中的重要补充技术，其发展的前景是可观的。为适应和的发展形势，国家也加大了对蜜罐技术研究和开发的投入。国家高技术研究发展计划(863)计划的技术主要研究、关键和共性技术，以形成自主的防护能力、隐患发现能力、应急反应能力以及信息对抗能力，为建立息安全保障体系提供技术支撑。主御罐的是助 检发的与代码.Kwatly等人依据动态蜜罐技术概念，通过集成主动探测与 辨识工具，对Honyd虚拟蜜罐进行动态配置，在动态变化的网络环境中构建出自适应蜜罐系统，达到对网络中的检测目的.Artail等人进一步提出了混杂模式的蜜罐架构，使用低交互式虚拟蜜罐来模拟服务与操作系统，并将包含的流量引导至高交互式真实服务蜜罐，增强对网络者行为的监视、分析与管控能力Anagnostakis等人则提出了Shadow()蜜罐的创新思路，组合了蜜罐技术与异常检测技术的各自优势，首先使用异常检测器监视所有到受保护网络的流量，检测出的可疑流量通过hdw蜜罐进行处理hdw罐与受保护业务系统共享所有内部状态，在影响受保护业务系统状态之前会被蜜罐检测出来，而被异常检测器错误识别的合法流量通过hdw蜜罐验证之后，由业务系统向用户提透明的响应。蜜罐技术对具有主动特性的网络蠕虫等代码具有很好的检测效果.Dagon等人针对局域网中如何在爆发初期就检测出蠕虫的问题，实现了驱动并覆盖大量IP地址范围的HoneyStat蜜罐系统，HoneyStat针对局域网蠕虫场景，生成内存操作、磁盘写、网络这3种不同类型的，并通过自动化的数据收集与关联分析，能够快速、准确地检测出零日蠕虫爆发.在欧盟FP6计划资助的NoAH项目中，SweetBait系统集成了SweetPot低交互式蜜罐与Argos高交互式蜜罐对互联网上的蠕针对2008年底爆发的Conficker蠕虫进行了检测与分析［15］，验证了系统的有效性。除了网络蠕虫等传统类型代码之外，研究人员还应用蜜罐技术检测与分析针对浏览器等客户端软件的网页.HoneyMonkey系统通过引入高交互式的客户端蜜罐技术，使用安装了不同补丁级别的操作系统与浏览器软件来检测和发现针对浏览器安全实施渗透的页面.的SafeBrowsing300万导致程序植入的URL，并系统性地对网页现象进行了深入分析。在检测代码的基础上，最近发展出的蜜罐技术还具备代码样本自动捕获的能力.Nepenthes是最早出现基于蜜罐技术自动化捕获与代码样本的开源工具，Nepenthes具有灵活的可扩展性，使用单台物理服务器就可以覆盖一个/18网段的监测，在33个小时中捕获了超过550万次渗透，并成功捕获到150万个代码样本，在依据不同MD5值的消重处理后，最终在这段时间内捕获了408个不同的代码样本，实际捕获数据验证了Nepenthes蜜罐在自动捕获主动型代码方面的有效性.HoneyBow系统则实现了基于高交互式蜜罐的代码样本自动捕获流程，在Matrix分布式蜜网系统9个月的实际部署与监测周期中，HoneyBow平均每天捕获了296个不同代码样本，thNepe s(63. th［16］.Wtrol则针对客户端的网页木马场景，提出了结合低交互式蜜罐与“类”Cache与重放技术的自动化捕获方法，将分布式于多个Web站点、动态生成且包含多步骤多条路径的网页木马场景，进行较为全面与，并支持重放场景进行离线分析，Wtrol系统在5个月的时间内，从CERNET网络中的1248个被挂马上捕获了26498个网页木马场景。研究社区已经证实了蜜罐技术在代码样本方面的能力，因此，反工业界目前也已经普遍地通过大规模部署蜜罐来未知代码样本，如国际著名的反厂商Symantec等.僵尸网络监测与追踪是应用蜜罐技术进行安全深入分析的一个热点方向，其基本流程是由蜜罐捕获通过互联网主动的僵尸程序，然后在受控的蜜网环境或沙箱中对僵尸程序进行分析，获取得僵令控务信以yl节点僵尸网络进行追踪，在取多的信息之后可进一步进行nh、关停、接管等主动遏制.Freilng等人最使用蜜罐技术来进行僵尸网络追踪［17］，Rajab等人进一步提出了一种多角度同时大量实际僵尸网络的方法［18］，包括旨在捕获僵尸程序的分布式代码体系、对实际僵尸网络行为获取内部观察的IRC局 的S络的一些行为和结构特性.诸葛等人利用x对IRC僵尸网络行为进行了长面的，揭示了现象特征.Stone-Gross等人在蜜罐技术监测僵尸网络行为的基础上，通过抢注动态的对orpig了18机P收了7B信息，验证了僵尸网络追踪与托管技术可以达到的主动遏制效果.针对互联网上邮件泛滥的现象，ProjectHoneyPot项目利用超过5000位管理员自愿安装的蜜罐软件超过25万个邮件诱骗地址，对收集邮件地址并发送邮件的行为进行了大规模的追踪分析，Steding-Jessen等人使用低交互式蜜罐技术来研究邮件发送者对开放的行为，Levchenko等人对蜜罐到的邮件的经济链进行追踪分析，揭示出支付环节是这一经济链蠕虫等普遍化的安全.因此，蜜罐非常适合作为网络特征提取的数据来源.安全研究人员提出了多种基于蜜罐数据进行网络特征提取的方法，本文在表1中对这些方法进行了总结与对比分析.BaseSignaturebHoney19］于进网征究为oyd蜜罐的扩展模块而实现，对于蜜罐接受到的网络连接，通过与相同目标端口的保存网络连接负载进行一对一的最长公共子串(LCS)匹配，如果匹配到超出最小长度阈值的公共子串，即生成一条候选特征，这些候选特征再与已有特征集进行聚合，生成更新后的特征库 b据进行特征的基础方法，但并未考虑应用层协议语义信息.很多情况下，由于应用层协议头部中相同内容的影响而提取出与无关的无效特征.Nemean对 b的这一缺陷，提出感知能力的特征提取方法，以虚拟蜜罐和indows2000vr物理蜜罐捕获的原始数据包作为输入，数块据为SST化树特块用MSG多级特征泛化算法，将网络会话进行聚类，并对聚类进行泛化，生成基于有限状态机的语义敏感特征，最后转换为目标检测系统的特征规则格式进行实际应用.SweetBait/Argos则针对主动发布型蜜罐应用场采点来透回成EIP据在网络会话流中的具置，在特征自动提取环节，则支持LCS最长公共子串算法与CREST透关键字符串检测算法.其中，CREST据分结到加的特征，也能够部分地对抗网络的多态化.HoneyCber统利用了doublehonenet部署架构来捕获多态PCA化的特征提取.在实验中，针对人工多态化处理的蠕虫实例，能够达到零误报率和较低的漏报率，但并未VMware工作站或者QEMU来实现一台虚拟机连接互联网。蜜罐放置的位置可以起的作用也不尽相同。放在之前，优点是蜜罐会吸引大量的扫描，蜜罐本身将信息记录下来，内部的IDS系统 捕捉到内部者。放在 之后，优点是可以收集到已经通过的有害数据，还可以探查内部者；缺点是需要调整规则，如果蜜罐被外部者攻陷将就会危害整个内网。 信息传递给检测系统，检测系统收到信息后对其 特征添加到系统的特征库中，从而使得 。利用蜜罐系统与检测系统的联动可以比较成功地增强 利用蜜罐系统对僵尸系统（bot）（botnet）通常利用零日或已知向量通过命令通道进行。蜜罐系统可利用僵尸网络的这一特点，对其进行和分析，从而发现僵尸网络的规模。可以利用蜜罐获取僵尸系统的程序样本，利用逆向分析方法来分析样本，从中获得僵尸程序连接僵尸网络服务器所需要的属性值，通过这些属性值可以深入地僵尸网络。例如，蜜罐可以通过监测IRC供时流蜜识别者操作系统类型以及/重演活动的能力。对于蜜罐捕获到的僵尸程序样本可以提交给沙盒和多种反扫描工具进行进一步分析，并形成共享的信息。往种常被 用行种， 件越来越大。利用蜜罐技术可以有效地控制和防止 邮件的。首先，可以利用蜜罐 邮件制造者收集虚假地址。其次，根据邮件发送的行为特征，利用流量检测或者虚拟的邮箱账户捕获邮件，将邮件重定向到蜜罐中，进行分析和研究。最后，还可以在蜜罐中设置一个虚假，用于欺要的件常工具od 可以能用来创建虚 ，模拟转发邮件邮件服务器。蜜罐技术对于反邮件已经有实际的应用，并且成功捕获大量的 邮件。虫为、、的 利术地制虫的在虫的能的 ，的以置和 规则，直接重定向到蜜罐中。对于全新的蠕虫，可以在网络层用特定的数据包来延迟应答，延缓其扫描速度，并使用一些软件工具或者算法对系统日志进行分析，采取快速阻断连接。同时，通过蜜罐系统对捕获到的信息进行分析，提取行为特征，进而对和IDS改让检测系统对后续的做出响应。对于的防御措施，传统的技术只能检测到已知类型的和。蜜罐作为一种主动御技术，填补了这一不足。蜜罐可以从各种行为中提取有用的信息，从而发现新的工具和模式，并且可以通过大量的数据分析者的动机，从中制定有效的防御对策。通过对蜜罐技术收集到的数据进行分析，可以进一步了解已知的和未知的方法， 以及源等。通过对这些有用的信息进行整理，建立起内部安全行为特征库［21］，为处理各种 SpitznerL.Honeypot-definitionsandvalueofhoneypot[EB/OL].(KreibichC,CrowcroftJ.AutomatedNIDSsignaturegenerationusinghoneypots[C].Karlsruhe,Germany:ACMYegneswaranVinod,GiffinJonathonT,JhaSomesh.Anarchitectureforgeneratingsemantics-awaresignatures[C].ProceedingsofUSENIXSecuritySymposium,2005.KnowYourEnemy:Definingvirtualhoneynets[EB/OL].SpitznerL.Honeypotfarms[EB/OL]./infocus/1720,2003-08- LeitaC,PhamVH,ThonnardO,Ramirrez-SilvaE,PougetF,KirdaE,DacierM.The CollectingInternetthreatsinformationusingaworldwidedistributedhoneynet.In:ZaneroS,ed.Proc.oftheWOMBATWorkshoponInformationSecurityThreatsDataCollectionandSharing(WISTDCS2008).Amsterdam:IEEEComputerSocietyPress,2008.40−57.[:10.1109/WISTDCS.2008.8].ProvosN.Avirtualhoneypotframework.In:Proc.ofthe13thConf.onUSENIXSecuritySymp.Berkeley:USENIXAssociation,2004.1−14.HoepersC,Steding-JessenK,CordeiroLER,ChavosMHPC.Anationalearlywarningcapabilitybasedonanetwork