密罐系统优缺点分析

优点

针对性强
尽管蜜罐系统的一个重要机制是收集信息，可是与日志系统等以审计为目标的系统相比，蜜罐所收集的信息量要少得多，且具备极高的参考价值。若是不进行合理限制的话，一个***检测系统天天所产生的记录容量可能会达到GB级，而一个典型的蜜罐系统天天的记录量每每只是几十兆而已。由于并不以生产功能为设计目标，蜜罐系统的误报和噪声能够控制在一个至关理想的水平。一般蜜罐系统无需用户从若干G的数据中寻找线索，由于凡是被蜜罐记录的信息一般都是非受权行为发生的证实。

节省资源
目前以耗费资源为目的的分布式拒绝***等***手段时刻困扰着用户，这也在无形中提升了用户的计算资源投入。用户较常使用的防病毒、防火墙、***检测等安全防护产品必须对全部的流量进行检查，而若是负荷超过了这些产品的承受能力，只能丢弃那些无力检测的数据，甚至形成系统自己的崩溃。蜜罐则不会受到这些问题的困扰，由于蜜罐每每只关心一些特定的流量。用户利用闲置的计算机等硬件就能够很好的搭建一个知足千兆网络环境要求的蜜罐系统，而没必要投入特别多的资源。

价值展示
按照以往的经验来看，一个成功的安全设备或安全设施每每也会对其自身产生威胁。由于在一个良好的安全体系当中，***被有效的杜绝，管理层每每很难评估其投资回报状况。而蜜罐很奇妙的不受此问题困扰，在常规的安全设施千方百计处理各类***行为之时，蜜罐系统却在致力于被***。更加有趣的是，蜜罐除了证明自身的价值以外，也在证明其它安全设备和安全设施存在的价值。

方便取证
在不少状况下，将被***的系统离线进行取证这一事情自己就会给用户带来不小的经济损失。而蜜罐系统可以使用户在不干扰生产系统的状况下完成***行为的证据采集和诉讼支持，这是蜜罐系统所带来的一个潜在的倒是不容忽视的好处。

缺点

做用域小
蜜罐的最大问题就是只能处理那些针对自身而发起的***，对于***其它计算机或设备的行为并不能进行有效处理。既使是过滤全部通向内网链接的网关型防火墙也被指责没法周全的对网络实施保护，从很大程度上说明了目前的安全防护要求尽量覆盖全部的计算节点。没法提供普遍做用域的蜜罐系统并不能替代其它安全手段。

安全风险
尽管从原则上应该对蜜罐上的链接进行严格的控制，可是配置上的疏漏以及一些当时未知的问题仍是可能使蜜罐成为网络上的安全隐患。***者可能会利用蜜罐对其它计算机进行破坏（特别是那些与真实系统高度类似可以与***者高度交互的蜜罐），同时可能利用蜜罐反过来欺骗用户。因此，并不能由于蜜罐不承担生产性任务而下降管理标准，任何一个计算节点都有可能成为信息系统的安全隐患。

特征识别
安全防守方经过识别恶意行为的特征模式来对***进行防范，而***方也可以经过总结蜜罐的一些特征来辨识这些系统。既使是以真实系统的方式来搭建蜜罐，仍然会有一些与正常系统不一样的地方可能被***者察觉，例如只能连入蜜罐系统却不能从蜜罐系统向外发起通讯。一些商用的蜜罐产品一般使用模拟系统局部的方式来创建捕获特定行为的蜜罐，这些产品每每有一些定式和疏漏会清晰的告诉***者这是一个蜜罐。好比一些蜜罐产品会对特定的查询作出不正常的响应，或者一个能够正常创建139端口通信的Windows系统却在模拟UNIX服务。

总结

整体来看，蜜罐系统的优势仍是要多于其缺点，并且蜜罐的缺点也并非没法克服的。蜜罐系统从诞生之初就并不是以替代现有安全产品为目的。只要认清蜜罐系统的做用，就能扬长避短，充分发挥蜜罐系统的价值。