网络安全
蜜网
别称: 欺骗网络, 蜜罐网络
定义
由多个互联蜜罐组成的受控网络,用于在真实的多主机环境中研究攻击者的行为。
蜜网是面向研究的欺骗网络,由若干蜜罐组成,通常被设计成包含工作站、服务器和服务的完整企业网段。相比单个蜜罐,它提供了更丰富的攻击面,可记录横向移动、命令与控制通信以及后渗透阶段的技战术。蜜网前端通常部署蜜墙(honeywall),用于全流量抓包、限制出站速率,防止环境被滥用攻击第三方。蜜网主要被安全研究人员、CERT 和成熟 SOC 用于丰富威胁情报和验证检测能力。
示例
- 学术蜜网捕捉模拟 Windows 主机之间的蠕虫传播。
- 企业级欺骗网络追踪攻击者从伪造跳板机横向移动到伪造文件共享。
相关术语
蜜罐
故意暴露的诱饵系统或服务,用于吸引攻击者、观察其技战术并将其引离生产资产。
Honeytoken
Honeytoken — definition coming soon.
Canary Token
Canary Token — definition coming soon.
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
Network Segmentation
Network Segmentation — definition coming soon.
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。