将蜜罐技术应用到内网攻击感知中，一篇硕士论文的研究过程与demo实现，抛砖引玉。 

　　既然是研究Web攻防，少不了渗透测试，那在渗透测试的过程中，取得外网可访问的单台服务器权限后，下一步往往就是以所控制的服务器为跳板向未直接暴露在公网的内网服务器进行进一步渗透，俗称“内网渗透”。而且内网往往意味着重要信息资产，数据库服务器、文件服务器等往往都部署在内网。我们觉得既然重要，那肯定会严防死守，但是从当时调研的情况看，现实情况往往是，当边界防护被突破后，很多企业或机构在内网被攻击者当做后花园畅游乃至被拖库后还不自知！ 

　　当时，我通过采集wooyun平台从2010年7月13号到2016年3月14号的漏洞标题数据共计91579条，简单关键词统计发现，内网的漏洞占比在逐年增长。 

　　因此，我觉得当时去研究内网安全保障中的内网攻击感知和攻击预警问题有实际的意义，要让网络管理员能及时察觉内部网络正在被攻击并且能够定位攻击源进而采取措施，而不至于当重要信息资产被侵害后还不自知。 

　　在确定论文题目之前，我就实际测试和搭建过基于MHN现代密网和树莓派的蜜罐，也写过一篇文章《基于MHN开源项目的树莓派蜜罐节点部署实战》，主要是当时在国外留学的师兄觉得蜜罐这个方向不错，值得研究，就让我试试。 

　　蜜罐简单说来，是一种存在漏洞的、 暴露在网络中的一个虚假的服务（器），其价值在于被扫描、 攻击和攻陷。 

　　if 系统没有对外开放任何真实的服务 

　　then 任何一个对它的连接尝试都是可疑的 

　　相比传统的防火墙技术和入侵检测技术，蜜罐技术更加主动和隐蔽，蜜罐的主要优势在于能诱导和记录网络攻击行为，阻止或延缓其对真正目标的攻击，而且能记录攻击日志，便于审计和回溯。 

　　但是就像博文《基于MHN开源项目的树莓派蜜罐节点部署实战》中的那个小实验，如果将蜜罐部署到外网，每天都能收到记录大量的攻击日志，很多只是批量的扫描，并不是针对性的攻击，这些行为说明不了什么问题。但是在内网不一样，因为默认情况下我们认为内网正常用户不会去扫描或者攻击，那么一旦内网的蜜罐捕获到可疑连接尝试，那就可以认为出现了攻击行为。 

　　因此，我觉得将蜜罐技术应用到内网的攻击感知，天生就不用太考虑误报的问题，问题更聚焦。 

　　所以当时我觉得蜜罐和内网安全这个方向对我来说，议题有实际的应用价值，难度我也能接受，而且当时蜜罐还没有再次火起来，努努力也能做出一些成果和小的创新。关键是我也挺感兴趣的，兴致来了，过程也比较有激情，光树莓派蜜罐终端我都做了几个不同外壳的款式。 

　　而到我论文完稿后不久，也发现，蜜罐的应用也开始在一些安全会议中再次被讨论，比如： 

　　说明蜜罐这个选题当时还是挺与时俱进的，高兴~当然我这里只是小打小闹。业界将蜜罐技术应用到入侵欺骗中并作出优秀产品的大牛团队，比如默安和锦行，还是很令人向往的。争取有机会能够感受他们的产品。