网络安全
蜜罐
别称: 诱饵系统, 陷阱主机
定义
故意暴露的诱饵系统或服务,用于吸引攻击者、观察其技战术并将其引离生产资产。
蜜罐是一种欺骗性资产,模拟真实的服务器、应用程序或数据,因此任何对它的访问本身都属于可疑行为。低交互蜜罐仅模拟有限的服务,用于发现扫描和常见恶意软件;高交互蜜罐则运行完整的操作系统,以捕获高级攻击者的行为。防御方利用收集到的遥测数据提取入侵指标、研究 TTP,并用于检测工程。蜜罐必须与生产网络隔离,避免被攻击者用作跳板,其结果通常会汇入 SIEM 或威胁情报平台。
示例
- 暴露在互联网上的看似易受攻击的 SSH 服务器,记录攻击者尝试的每一组凭据。
- DMZ 中的伪造数据库,任何查询都会触发告警。
相关术语
蜜网
由多个互联蜜罐组成的受控网络,用于在真实的多主机环境中研究攻击者的行为。
Honeytoken
Honeytoken — definition coming soon.
Canary Token
Canary Token — definition coming soon.
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
Demilitarized Zone (DMZ)
Demilitarized Zone (DMZ) — definition coming soon.