图片46

蜜网（Honeynet）与传统的蜜罐（Honeypot）相比，有三个最大的区别。

①Honeynet是一个网络系统，而不是某个单一的主机。这个网络系统隐藏在防火墙之后，所有进出的数据都将被集中起来，捕捉和控制。捕捉到的数据有助于我们研究分析入侵者所使用的工具、方法和动机。Honeynet上提供了多种操作系统和设备，比如Solaris,Linux,Windows NT,Cisco Switch等等。这种构建的网络环境看起来更真实、可信，同时我们也在不同的系统平台上运行不同的服务，比如Linux的DNSserver、Windows NT的网络服务器或Solaris的FTPserver。通过了解不同的工具和不同的战略，也许有些入侵者只针对少数具体的系统漏洞，而一个多元化的系统可能会暴露出更多的入侵特征。

②Honeynet上的所有系统都是标准机器，运行在这些机器上的都是真正完整的操作系统和应用。Honeynet并没有有意模仿某些环境，或是有意让系统不安全。Honeynet内发现的有风险的系统，与某些因特网系统不同。在Honeynet上安装一个普通的操作系统并不会影响到整个网络。

③Honeypot通过将系统的漏洞暴露给入侵者，或蓄意使用某些极具诱惑性的假信息(例如战略目标，年度报告等等)来诱骗入侵者。这一点在追踪入侵者的同时，也会招致更多潜在的入侵者(他们出于好奇)。此外，还应在实际系统中运行入侵检测系统，当检测到入侵行为时，就可以对其进行欺骗，从而使系统得到更好的保护。Honeynet是基于入侵检测来诱骗入侵的，这与当前Honeypot系统的理论有很大不同。