密罐系統優缺點分析

優點

針對性強
儘管蜜罐系統的一個重要機制是收集信息，可是與日誌系統等以審計爲目標的系統相比，蜜罐所收集的信息量要少得多，且具備極高的參考價值。若是不進行合理限制的話，一個***檢測系統天天所產生的記錄容量可能會達到GB級，而一個典型的蜜罐系統天天的記錄量每每只是幾十兆而已。由於並不以生產功能爲設計目標，蜜罐系統的誤報和噪聲能夠控制在一個至關理想的水平。一般蜜罐系統無需用戶從若干G的數據中尋找線索，由於凡是被蜜罐記錄的信息一般都是非受權行爲發生的證實。

節省資源
目前以耗費資源爲目的的分佈式拒絕***等***手段時刻困擾着用戶，這也在無形中提升了用戶的計算資源投入。用戶較常使用的防病毒、防火牆、***檢測等安全防護產品必須對全部的流量進行檢查，而若是負荷超過了這些產品的承受能力，只能丟棄那些無力檢測的數據，甚至形成系統自己的崩潰。蜜罐則不會受到這些問題的困擾，由於蜜罐每每只關心一些特定的流量。用戶利用閒置的計算機等硬件就能夠很好的搭建一個知足千兆網絡環境要求的蜜罐系統，而沒必要投入特別多的資源。

價值展示
按照以往的經驗來看，一個成功的安全設備或安全設施每每也會對其自身產生威脅。由於在一個良好的安全體系當中，***被有效的杜絕，管理層每每很難評估其投資回報狀況。而蜜罐很奇妙的不受此問題困擾，在常規的安全設施千方百計處理各類***行爲之時，蜜罐系統卻在致力於被***。更加有趣的是，蜜罐除了證明自身的價值以外，也在證明其它安全設備和安全設施存在的價值。

方便取證
在不少狀況下，將被***的系統離線進行取證這一事情自己就會給用戶帶來不小的經濟損失。而蜜罐系統可以使用戶在不干擾生產系統的狀況下完成***行爲的證據採集和訴訟支持，這是蜜罐系統所帶來的一個潛在的倒是不容忽視的好處。

缺點

做用域小
蜜罐的最大問題就是隻能處理那些針對自身而發起的***，對於***其它計算機或設備的行爲並不能進行有效處理。既使是過濾全部通向內網鏈接的網關型防火牆也被指責沒法周全的對網絡實施保護，從很大程度上說明了目前的安全防護要求儘量覆蓋全部的計算節點。沒法提供普遍做用域的蜜罐系統並不能替代其它安全手段。

安全風險
儘管從原則上應該對蜜罐上的鏈接進行嚴格的控制，可是配置上的疏漏以及一些當時未知的問題仍是可能使蜜罐成爲網絡上的安全隱患。***者可能會利用蜜罐對其它計算機進行破壞（特別是那些與真實系統高度類似可以與***者高度交互的蜜罐），同時可能利用蜜罐反過來欺騙用戶。因此，並不能由於蜜罐不承擔生產性任務而下降管理標準，任何一個計算節點都有可能成爲信息系統的安全隱患。

特徵識別
安全防守方經過識別惡意行爲的特徵模式來對***進行防範，而***方也可以經過總結蜜罐的一些特徵來辨識這些系統。既使是以真實系統的方式來搭建蜜罐，仍然會有一些與正常系統不一樣的地方可能被***者察覺，例如只能連入蜜罐系統卻不能從蜜罐系統向外發起通訊。一些商用的蜜罐產品一般使用模擬系統局部的方式來創建捕獲特定行爲的蜜罐，這些產品每每有一些定式和疏漏會清晰的告訴***者這是一個蜜罐。好比一些蜜罐產品會對特定的查詢作出不正常的響應，或者一個能夠正常創建139端口通信的Windows系統卻在模擬UNIX服務。

總結

整體來看，蜜罐系統的優勢仍是要多於其缺點，並且蜜罐的缺點也並非沒法克服的。蜜罐系統從誕生之初就並不是以替代現有安全產品爲目的。只要認清蜜罐系統的做用，就能揚長避短，充分發揮蜜罐系統的價值。