随着人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用进一步提高的关键难题，特别是1993年以后Internet开始商用化，

　　通过Internet进行的各种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻击和病毒等安全难题在2000年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天，对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦！也给广大网民留下了悲伤的回忆，这一些都归结于冲击波蠕虫的全全球范围的传播。

　　2.蜜罐技术的提高背景

　　网络与信息安全技术的核心难题是对计算机体系和网络进行有效的防护。网络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全

　　在这里，我们就提出蜜罐的概念。美国 L．Spizner一个着名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义：蜜罐是一种资源，它的价格是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何物品，这样就为使用者提供了额外的、有价格的信息。蜜罐不会直接提高计算机网络安全，然而它却是其他安全策略所不可替代的一种主动防御技术。

　　具体的来讲，蜜罐体系最为重要的功能是对体系中所有操作和行为进行监视和记录，可以网络安全专家通过精心的伪装，使得攻击者在进入到目标体系后仍不知道自己所有的行为已经处于体系的监视下。为了吸引攻击者，通常在蜜罐体系上留下一些安全后门以吸引攻击者上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假的信息。另外一些蜜罐体系对攻击者的聊天内容进行记录，管理员通过研究和分析这些记录，可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息，还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上，这些信息将会成为对攻击者进行起诉的证据。不过，它仅仅一个对其他体系和应用的仿真，可以创建一个监禁环境将攻击者困在其中，还可以一个标准的产品体系。无论使用者怎样建立和使用蜜罐，只有它受到攻击，它的影响才能发挥出来。

　　4.蜜罐的具体分类和体现的安全价格

　　自从计算机首次互连以来，研究人员和安全专家就一直使用着各种各样的蜜罐工具，根据不同的标准可以对蜜罐技术进行不同的分类，前面已经提到，使用蜜罐技术是基于安全价格上的考虑。然而，可以肯定的就是，蜜罐技术并不会替代其他安全工具，列如防火墙、体系侦听等。这里我也就安全方面的价格来对蜜罐技术进行探讨。

　　★ 根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。

　　① 产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻受组织将受到的攻击的威胁，蜜罐加强了受保护组织的安全措施。他们所做的职业就是检测并且对付恶意的攻击者。

　　⑴这类蜜罐在防护中所做的贡献很少，蜜罐不会将那些试图攻击的入侵者拒之门外，由于蜜罐设计的初衷就是妥协，因此它不会将入侵者拒绝在体系之外，实际上，蜜罐是希望有人闯入体系，从而进行各项记录和分析职业。

　　⑵虽然蜜罐的防护功能很弱，然而它却具有很强的检测功能，对于许多组织而言，想要从大量的体系日志中检测出可疑的行为是非常困难的。虽然，有入侵检测体系（IDS）的存在，然而，IDS发生的误报和漏报，让体系管理员疲于处理各种警告和误报。而蜜罐的影响体现在误报率远远低于大部分IDS工具，也务须当心特征数据库的更新和检测引擎的修改。由于蜜罐没有任何有效行为，从原理上来讲，任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种，这样就可以极大的减低误报率和漏报率，从而简化检测的经过。从某种意义上来讲，蜜罐已经成为一个越来越复杂的安全检测工具了。

　　⑶如果组织内的体系已经被入侵的话，那些发生事故的体系不能进行脱机职业，这样的话，将导致体系所提供的所有产品服务都将被停止，同时，体系管理员也不能进行合适的鉴定和分析，而蜜罐可以对入侵进行响应，它提供了一个具有低数据污染的体系和牺牲体系可以随时进行脱机职业。此时，体系管理员将可以对脱机的体系进行分析，并且把分析的结局和经验运用于以后的体系中。