蜜罐和蜜网技术用于捕获和分析恶意代码及黑客攻击活动。

蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入和流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。由于与网络隔绝并有所保护，因此闯入蜜罐电脑的入侵者无法触及网络的其他部分。通过蜜罐技术可以诱敌深入，并且不用冒着暴露生产网络的风险就能追踪入侵者的行为。

蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又称为诱捕网络。蜜网技术实质上还是一类研究型的蜜罐技术，其主要目的仍是收集各种攻击信息。与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息进行采集和分析。

CNCERT/CC自2006年月份开始，陆续在条件具备的各分中心部署蜜网系统，截至目前共在北京、上海、重庆、吉林、四川、广东等全国共计15个分中心部署了相关系统。蜜罐技术分为两类：虚拟蜜罐和虚拟机蜜罐。 前者只是模拟操作系统和服务的漏洞捕获恶意样本，交互性低，捕获的内容相对少，部署起来风险也小；而后者提供真实的操作系统与服务，交互性高，捕获的恶意代码内容相对丰富，安全风险也较高。现在15个分中心都已部署了虚拟蜜罐，虚拟机蜜罐的部署正在进一步开展中。捕获的样本由卡巴斯基等多家反病毒厂商提供扫描服务，深入的分析工作也在逐步展开。蜜网针对捕获的僵尸程序样本，根据存活情况和分布范围进行选择性的深入跟踪，通过对网络行为进行监视和分析，可以掌握僵尸网络活动更深入具体的信息。

通过不断建设和完善蜜网系统，可以提高发现新增恶意代码的能力，并掌握其活动范围和趋势，从而有利于在全国范围内开展防范工作，保护网络安全。

下面是蜜网系统的一些截图：

 

 

图1 每日样本捕获情况

 

 

图2：每日新增样本捕获情况

 

 

 

图3：捕获样本的家族分布

 

 

 

图4：僵尸网络的国家分布排名