正如中国的军事战略家孙子所写：“兵者，诡道也。”欺骗防御，正是根植在中国战争哲学之中一种谋略。网络安全攻防对抗本身就是一场战争。谁能占得先机，谁就拥有主导权。

青藤云表示，如果只是通过查看日志文件，就想要发现攻击者早期的“侦查”迹象，这将异常困难，尤其是对于那些安全能力不足的中小企业。但是，如果能够在攻击链早期阶段检测到入侵者并对其做出响应，则可以在入侵者访问关键资产之前将其“踢出”。该阶段是攻击者在整个攻击链中唯一处于劣势的时间。

黑客攻击链

一旦攻击者在网络上有了最初的立足点，下一步将通过网络扫描等侦查手段了解更详细的IT环境以及下一步攻击目标。黑客的这些行为与正常用户每天采取的操作行为大不相同，并且会留下有形的、可识别的痕迹。

有了捕蝇草，苍蝇就别想跑

为了战胜敌人，我们必须设法了解攻击者是如何操作的，以及从攻击者的角度审视网络环境。只有这样，才有可能通过伪装“欺骗”攻击者，或者至少对内部网络攻击行为发出警告。通过建立一套欺骗系统，让入侵的黑客错以为完成攻击，而实际上他只是进入了一个精心构建的梦幻世界。这就犹如进入如来佛祖手中的孙大圣，任你通天本领，也翻不出手掌心。这时黑客将被套在透明的玻璃罩中，每走一步，就多暴露自己一分。

蜜罐就是这样一种诱骗系统，可以诱捕那些扫描甚至攻击它们的攻击者。打个比喻，这就像捕蝇草，利用甜美的气息吸引苍蝇前来觅食，然而一旦进入陷阱，就再也跑不掉。蜜罐与生产系统一起部署，目的是诱骗攻击者与其进行交互。通过欺骗攻击者对一个非关键的、监控良好的系统进行攻击，这对于了解黑客攻击方法有非常大价值。

如何批量安装微蜜罐

为了对抗黑客的尝试连接行为，青藤的“捕蝇草”通过指定特定主机的特定端口作为蜜罐，让主机对各端口进行监听，从而扩大监控范围。通过这样消耗小而覆盖面广的蜜罐配置，发现黑客端攻击行为的概率就会大大提升，一旦发现黑客尝试连接行为，则会进行实时报警。让“微”蜜罐，也能发挥“大”作用。这就像“朝阳群众”，他们可能是路边的志愿者，又或者仅仅是晨练所见的一个个平凡路人，但是通过“朝阳群众”举报而被警方打击惩治的案件已不胜枚举。

青藤的微蜜罐正是在诱导主机中，安放多个蜜罐端口，供黑客攻击，以提供各类黑客行为的线索。

建立一个蜜罐可以帮助企业：转移攻击者目标，检测到恶意流量，收到攻击的早期警报等。但是安全人员如何了解蜜罐每时每刻运作状态？如何管理合法扫描器的白名单？以及如何定期更新和更改配置呢？这都是安全人员在部署蜜罐时面临的巨大挑战。青藤微蜜罐能很好地解决这些问题。