在布置蜜罐之后，会发作很多的日志，关于要挟情报而言，咱们需求经过这些日志来提取其间的有用的数据，本文将会描述提取那些数据用来完结剖析。
布置蜜罐之后会生成描述发作的事情的日志记载。能够收集到的安全事情将取决于咱们布置的蜜罐的类型，比方布置SSH蜜罐你将会收集到一些服务器安全相关的日志。因而，咱们应当在收集日志之前先要确认咱们收集日志的类型以及收集日志的品种，再依据这个来确认蜜罐的规划和布置。假如要捕获的方针是根据与远控C&C服务器来完结交互的，咱们就应该考虑运用客户端蜜罐，假如不是的话，就需求运用服务器蜜罐。 假如咱们查询特定服务的协议以及业务数据的元信息，这时分咱们应该去挑选低交互蜜罐。假如咱们需求获得的是内容、shellcode履行和操作体系的完好性，那么咱们应该运用高交互蜜罐。总归需求在确认架构和布置模型之前理解运用场景。
因而，文章的概述将遵从所出现的蜜罐分类，而且将别的分红问题陈说和相相关的衡量。可是，本文仅描述数据剖析中运用的衡量，一般应用于基准蜜罐的功能衡量未描述，读者需求理解这些数据的含义，就衡量一个体系中的CPU，RAM，HDD负载或可伸缩性数据相同。
一般来说，IDS只能被看作是弥补剖析东西。蜜罐能够带来比IDS供给的更多的信息，特别是假如运用根据静态签名的IDS。
0×01 进犯画像:
一次完好的进犯画像应该包含：
动机: 描述进犯原因的动机
进犯深度和广度: 进犯的广度由受影响的机器的数量描述，深度是特定方针被剖析的程度或进犯对体系的影响有多大。
进犯复杂度: 用来描述进犯履行的难度
隐蔽性: 衡量躲藏进犯依据的才能
进犯源 / 根本原因: 进犯者应该尽或许地辨认出进犯的本源
软弱性: 被进犯的体系中的软弱和缺点
东西: 记载具有必定交互度的进犯东西
关于对蜜罐的进犯的评论应该总是有这样的根底。动机一般只能猜想，可是对高交互蜜罐的动作或许会提醒一些见地。广度和深度能够从进犯频率、进犯传达和高相互作用蜜罐经过感染的程度揣度出。低交互蜜罐的躲藏由非侵入性、持续性进犯和高交互蜜罐被装置的后门、捕获的数据包的质量描述。进犯源一般能够经过业务元信息来确认，可是所发现的进犯的根本原因或许更难以辨认，由于它企图解说实践调查。软弱性一般经过运用检测技能来辨认。这些特性现在将在后边评论。
0×02 进犯源:
假如进犯发作在蜜罐上，有必要指定进犯来自哪里。进犯者的辨认独立于蜜罐的架构或交互类型，而且能够用不同的粒度来完结。
IP地址或许IP前缀
AS号码
域名、URL、URL类型
国家
UID、Email
User-Agent
操作体系
可是，在服务器蜜罐的情况下，有必要考虑他们或许现已接收到诈骗的IP地址。这或许是一个有用的IP地址与可达或不可达的主机，或许它是一个不应该脱离本地段的非民用的IP地址，比方播送地址0.0.0.0。客户端蜜罐一般运用网址列表生成，并抓取新网址。这些URL背面的资源或许是离线的。此外，咱们有必要供认，这种标识符对错常可变的。IP地址能够从一台主机移动到另一台主机，由于ISP运用IP地址池来为机器分配IP地址。这便是为什么一些剖析将IP地址与时刻戳组合在一起并将进犯源界说为一天内针对蜜罐环境的IP地址的原因。来自自治体系的IP前缀布告随时刻改动或或许被劫持。域名体系固有地答应从IP地址和/或主机的笼统，这或许导致误导成果。客户端蜜罐（例如Monkey-Spider）还根据URL和页面内容（例如成人内容，盗版，错字等）履行某品种型的URL分类。该国家能够从AS注册信息中提取，或许一些（商业）第三方产品现已用于检索数据。可是，趋势标明，一般排名前3个国家发作了60％的 *** 流量，哪些国家被调查到取决于蜜罐节点的地理位置。用于辨认即时消息传递 *** 中的垃圾邮件发送者的另一种 *** 是经过用户名或布告的URL进行辨认。垃圾邮件发送者倾向于创立很多的帐户，这些帐户分发许多不同的URL，可是它们只引导/重定向到一小部分网站。有一种很小的相关存在与垃圾邮件和垃圾邮件发件人之间，根据支撑SIP / VoIP协议的蜜罐的研讨也运用User-Agent的称号作为进犯源的指纹。该信息可由具有这种协议标签的任何协议运用，可是有必要记住，这样的信息能够被省掉而且容易地诈骗。为了揣度进犯源自哪一种操作体系，一般运用比如p0f带的被迫操作体系指纹辨认东西经过剖析分组的组成来辨认进犯操作体系，由于每个操作体系稍微不同地创立分组。简直一切的进犯向量都是根据Windows的。
0×03 进犯方针:
假如指定谁进犯蜜罐，下一步或许是表征进犯，更精确地说，有必要确认进犯的方针。服务器蜜罐经过特定服务对方针进行分类，该服务一般绑定到专用端口。端口序列由IANA办理，并可在官方列表中检查。可是，服务或许绑定到另一个端口。因而，区别端口和服务很重要，由于入侵者或许强制在另一个端口强制SSH服务，这能够在非22端口上创立和运用SSH服务来对服务器进行操作。大多数时分，服务被绑定到默许端口以进步可达性，这便是为什么许多人将端口视为服务的代表。假如蜜罐监控整个 *** ，则每个独自的IP地址能够被看作是方针标识符。这样的 *** 能够具体分类到校园网，企业内网，ISP *** 中。
数据段关键字：IP地址、端口号、服务
客户端蜜罐运用软件客户端，拜访潜在的歹意长途服务。因而方针一般是特定的客户端软件。它或许是一个模仿的Web浏览器，用于低交互蜜罐或一个真实的插件，如Flash的高交互蜜罐。

[1] [2] [3] [4] [5]  黑客接单网