蜜网技术
    Honeynet是一种特殊的Honeypot，Honeypot物理上通常是一台运行单个操作系统或者借助于虚拟化软件运行多个虚拟操作系统的“牢笼”主机。单机蜜罐系统最大的缺陷在欲数据流将直接进入网络，管理者难以控制蜜罐主机外出流量，入侵者容易利用蜜灌主机作为跳板来攻击其他机器。解决这个问题方法是把蜜罐主机放置在防火墙的后面，所有进出网络的数据都会通过这里，并可以控制和捕获这些数据，这种网络诱骗环境称为蜜网(honeynet)。

    蜜网的组成
    蜜网作为蜜罐技术中的高级工具，一般是由防火墙，路由器，入侵检测系统以及一台或多台蜜罐主机组成的网络系统，也可以使用虚拟化软件来构件虚拟蜜网。相对于单机蜜罐，蜜网实现，管理起来更加复杂，但是这种多样化的系统能够更多地揭示入侵者的攻击特性，极大地提高蜜灌系统的检测，分析，响应和恢复受侵害系统的能力。

    防火墙的作用是限制和纪录网络数据流，入侵检测系统通常用于观察潜在的攻击和译码，并在系统中存储网络数据流。蜜网中装有多个操作系统和应用程序供黑客探测和攻击。特定的攻击者会瞄准特定的系统或漏洞，我们通过部署不同的操作系统和应用程序，可更准确地了解黑客的攻击趋势和特征。另外，所有放置在蜜网中的系统都是真实的系统，没有模拟的环境或故意设置的漏洞。而且利用防火墙或路由器的功能，能在网络中建立相应的重定向机制，将入侵者或可疑的连接主动引入蜜网，可以提高蜜网的运行效率。

    如图(2)所示是一个Honeynet的详细结构图。

    图中包括了三个不同的网络：Honeynet、管理网络和Internet。其中，日志/告警服务器为管理网络，Solaris、Win2000、Linux、Log server为Honeynet。防火墙，IDS和蜜罐主机的系统负责日志的捕获。因为手段高明的入侵者攻入系统后，通常会试图更改甚至销毁目标主机上易于暴露入侵行为的各种纪录。蜜网在确保不被入侵者发现诱骗的前提下，尽可能多地捕获攻击行为信息，包括黑客所有的按键纪录，CPU的使用率或者进程列表，使用过的各种协议数据包内容等，同时要注意充分保证捕获信息的完整和安全。防火墙在IP层纪录所有出入蜜网的连接，设计为允许所有进入的连接，但是对从Honeynet向Internet发起的连接进行跟踪，一旦Honeynet达到了规定的向外的连接数，防火墙将阻断任何后续的连接，并且及时向系统管理员发出警告信息；IDS在数据链路层对蜜网中的网络数据流进行监控，分析和抓取以便将来能够重现攻击行为，同时在发现可疑举动时报警。蜜罐主机除了使用操作系统自身提供的日志功能外，还可以利用第三方软件加强日志功能，并且传输到安全级别更高的远程日志服务器上备份。

    总结
    传统意义上讲，网络安全要做的工作主要是防御，防止自己负责的资源不会受到别人入侵，尽力保护自己的组织，检测防御中的失误，并采取相应的措施。这些安全措施都只能检测到已知类型的攻击和入侵。而蜜罐和蜜网的设计目的就是从现存的各种威胁中提取有用的信息，发现新型的攻击工具，确定攻击模式并研究攻击者的攻击动机，从而确定更好的对策。