Honeypot còn gọi là “hũ mật” là hệ thống có nhiều điểm yếu được triển khai với mục đích thu thập các tấn công mạng, đặc biệt là các mẫu mã độc. Khi triển khai thành phần Honeypot trong hệ thống mạng có thể thu thập được 2 kiểu thông tin chính:
- Mã khai thác (gọi chung là mẫu mã độc) tin tặc sử dụng để khai thác hệ thống.
35 độc được thực thi trên hệ thống).
Honeypot tương tác thấp thực hiện giả lập, mô phỏng các dịch vụ khác nhau để tin tặc khai thác. Honeypot tương tác thấp có đặc điểm là phát hiện, xác định các truy cập trái phép tới hệ thống. Vì các dịch vụ đưa ra đều được mô phỏng nên tính năng sẽ không được đầy đủ so với dịch vụ thật.
Honeypot tương tác cao là một công nghệ Honeypot vượt trội cho phép thu thập lượng lớn thông tin về cách thức tấn công của tin tặc tuy nhiên khó cấu hình, triển khai, vận hành và nguy cơ gây mất an toàn đối với các hệ thống lân cận. Các dịch vụ, ứng dụng lỗi được triển khai trong hệ thống này là hoàn toàn thật. Thông thường các hệ thống này sẽ được đặt trong môi trường cô lập, sau tường lửa và bị khai thác bất cứ lúc nào và hệ thống tường lửa phía trước Honeypot sẽ đảm bảo rằng sau khi các hệ thống này bị khai thác chiếm quyền điều khiển thì không được dùng vào các mục đích tấn công các hệ thống khác.
36
botnet, Honeypot có thể được sử dụng như một công cụ để phát hiện các hành động dò quét mạng, cho phép thu thập các hành vi tấn công của các mã độc ngay từ những bước đầu tiên (lây nhiễm vào hệ thống) và từ đó xác định các máy bị ảnh hưởng. Hơn nữa việc tự động giám sát hành vi của mã độc có thể phát hiện được các mạng botnet mới vì thông thường một loại mã độc có thể thực hiện nhiều chức năng và cập nhật các phiên bản khác nhau, mỗi lần cập nhật chúng có thể tải một loại bot mới để thực hiện một nhiệm vụ tinh vi hơn.