本文讨论了动态蜜罐的设计，实现了一个可以在动态和连续变化的网络环境下进行自适应部署的蜜罐。这种动态蜜罐实现方法集成了主动和被动探测功能以及一些虚拟蜜罐。这种方法解决了虚拟蜜罐部署和配置困难的问题。

论文原文

http://ieeexplore.ieee.org/abstract/document/1372012/

引用：

Kuwatly I, Sraj M, Al Masri Z, et al. A dynamic honeypot design for intrusion detection[C]//Pervasive Services, 2004. ICPS 2004. IEEE/ACS International Conference on. IEEE, 2004: 95-104.

0x01 前言

前言部分列举出当前的网络安全解决方案，包括防火墙、VPN和IDS等，但是这些措施依然不够有效，美国联邦调查局2003年度的计算机犯罪与安全调查表明，2003年因此损失金额201,797,340美元。

而高级的网络解决方案往往需要企业进行大量的管理配置工作。

0x02 入侵检测系统

这一部分介绍了入侵检测系统的类别。

0x03 相关工作

这一部分介绍了蜜罐的定义、蜜罐的类型。

0x04 动态蜜罐

动态蜜罐概念的产生来源于对蜜网组织想法的响应，如何在网络拓扑结构或者网络技术发生改变后，安全系统依然能够有效运行。

所以论文作者系统设计实现一种只需要插入组件、不需要持续更新就能正常运作的动态蜜罐。这就要求蜜罐能够识别空闲ip，并在这些ip上进行部署。

这个论文设计架构如上。

动态蜜罐服务器收集网络中可用主机的信息，黑客的流量通过Honeyd重定向与物理蜜罐进行交互，使用Sebek记录日志并发送到动态蜜罐服务器上。服务器持续分析收集到的数据并发送警报。而整个蜜罐系统的运作模式来源于动态蜜罐服务器所获取到的网络结构，它会根据当前结构来估计需要进行配置的虚假系统的服务和特性，然后生成配置参数给Honeyd，配置出不同的Honeyd蜜罐。

其中动态蜜罐服务器拥有主动探测（Nmap）、被动探测（P0f）、蜜罐（Honeyd、物理蜜罐）、数据库、动态配置生成器几部分组成。

论文还着重讨论了整个设计的性能参数，测试环境是一个拥有70-75台电脑，3个打印机的环境，系统涵盖Windos和Linux。测试得知，动态蜜罐的吞吐量可以达到100万比特。通过测试动态蜜罐中Nmap的收敛时间来衡量整个系统的动态部署时间。

0x05 总结

这篇论文主要的亮点是它提出了根据部署环境动态生成蜜罐配置，来适应变化的网络拓扑，另外一点是它混合使用两种高低交互的蜜罐，使用低交互蜜罐先获取流量，再将无法处理的流量转发到高交互蜜罐中。