密罐系统优缺点分析

优势

针对性强
尽管蜜罐系统的一个重要机制是收集信息，但是与日志系统等以审计为目标的系统相比，蜜罐所收集的信息量要少得多，且具有极高的参考价值。如果不进行合理限制的话，一个***检测系统每天所产生的记录容量可能会达到GB级，而一个典型的蜜罐系统每天的记录量往往只是几十兆而已。因为并不以生产功能为设计目标，蜜罐系统的误报和噪声可以控制在一个相当理想的水平。通常蜜罐系统无需用户从若干G的数据中寻找线索，因为凡是被蜜罐记录的信息通常都是非授权行为发生的证明。

节省资源
目前以耗费资源为目的的分布式拒绝***等***手段时刻困扰着用户，这也在无形中提高了用户的计算资源投入。用户较常使用的防病毒、防火墙、***检测等安全防御产品必须对所有的流量进行检查，而如果负荷超过了这些产品的承受能力，只能丢弃那些无力检测的数据，甚至造成系统本身的崩溃。蜜罐则不会受到这些问题的困扰，因为蜜罐往往只关心一些特定的流量。用户利用闲置的计算机等硬件就可以很好的搭建一个满足千兆网络环境要求的蜜罐系统，而不必投入特别多的资源。

价值展现
按照以往的经验来看，一个成功的安全设备或安全设施往往也会对其自身产生威胁。因为在一个良好的安全体系当中，***被有效的杜绝，管理层往往很难评估其投资回报情况。而蜜罐很奇妙的不受此问题困扰，在常规的安全设施想方设法处理各种***行为之时，蜜罐系统却在致力于被***。更加有趣的是，蜜罐除了证实自身的价值之外，也在证实其它安全设备和安全设施存在的价值。

方便取证
在很多情况下，将被***的系统离线进行取证这一事情本身就会给用户带来不小的经济损失。而蜜罐系统能够使用户在不干扰生产系统的情况下完成***行为的证据采集和诉讼支持，这是蜜罐系统所带来的一个潜在的却是不容忽视的好处。

缺点

作用域小
蜜罐的最大问题就是只能处理那些针对自身而发起的***，对于***其它计算机或设备的行为并不能进行有效处理。既使是过滤所有通向内网连接的网关型防火墙也被指责无法周全的对网络实施保护，从很大程度上说明了目前的安全防御要求尽可能覆盖所有的计算节点。无法提供广泛作用域的蜜罐系统并不能替代其它安全手段。

安全风险
尽管从原则上应该对蜜罐上的连接进行严格的控制，但是配置上的疏漏以及一些当时未知的问题还是可能使蜜罐成为网络上的安全隐患。***者可能会利用蜜罐对其它计算机进行破坏（特别是那些与真实系统高度相似能够与***者高度交互的蜜罐），同时可能利用蜜罐反过来欺骗用户。所以，并不能因为蜜罐不承担生产性任务而降低管理标准，任何一个计算节点都有可能成为信息系统的安全隐患。

特征识别
安全防守方通过识别恶意行为的特征模式来对***进行防范，而***方也能够通过总结蜜罐的一些特征来辨识这些系统。既使是以真实系统的方式来搭建蜜罐，仍然会有一些与正常系统不同的地方可能被***者察觉，例如只能连入蜜罐系统却不能从蜜罐系统向外发起通信。一些商用的蜜罐产品通常使用模拟系统局部的方式来建立捕获特定行为的蜜罐，这些产品往往有一些定式和疏漏会清晰的告诉***者这是一个蜜罐。比如一些蜜罐产品会对特定的查询做出不正常的响应，或者一个可以正常建立139端口通讯的Windows系统却在模拟UNIX服务。

总结

总体来看，蜜罐系统的优点还是要多于其缺点，而且蜜罐的缺点也并不是无法克服的。蜜罐系统从诞生之初就并非以替代现有安全产品为目的。只要认清蜜罐系统的作用，就能扬长避短，充分发挥蜜罐系统的价值。