被人們稱作“蜜罐”的誘騙服務器正在被用來研究新的威脅和誘騙攻擊者離開真正的企業網絡。現在，一種受歡迎的新型綜合設備能夠提高異常檢測的準確性。

賓夕法尼亞州大學和哥倫比亞大學的研究人員最近披露了一種新的架構。這種架構通過使用蜜罐技術驗證被錯誤分類的信息從而擴充了傳統的入侵檢測系統和入侵防御系統的功能。

哥倫比亞大學教授Stelirs Sidiroglou上個星期在巴爾的摩舉行的Usenix安全論壇會議上對與會者說，這個機構把蜜罐功能與異常檢測系統的功能結合在了一起。

蜜罐一般是用來誘騙對服務器應用程序中的已知的安全漏洞實施的攻擊，而不是誘騙對未知的安全漏洞的攻擊或者零日攻擊。在流行的入侵防御系統軟件和設備中的異常檢測系統提供了強大的掃描功能，可以檢測出已知的攻擊和未知的攻擊。但是，也會產生一些虛假的信息。

“影子蜜罐(Shadow honeypots)”與在網絡的服務器和客戶機兩端運行的受到保護的應用程序的功能完全相同，并且與異常檢測系統一起工作。當傳感器檢測到某些可疑的信息時，便把這些可疑的信息發給影子蜜罐進行進一步的分析。這樣就減少了異常檢測系統發出錯誤信息的數量。作為一種備份措施，影子蜜罐將對發送的數據再次進行隨機的檢查以提高準確性和防止真正的攻擊進入網絡。

這兩所大學的科學家已經使用Apache網絡服務器和Mozilla Firefox網絡瀏覽器對他們的防御緩存溢出等內存攻擊的技術進行實驗。科學家們在實驗中還使用了諸如抽象負載執行(Abstract Payload Execution)和“晨鳥”算法等異常檢測技術。最初的結果是很有希望的:影子蜜罐創造了比單獨使用入侵檢測系統和入侵防御系統更準確的檢測結果。但是，這種準確性付出了巨大的處理能力的代價。依據使用情況，監視通向Apache服務器通信的影子蜜罐耗費的處理能力要高出20%至50%。

學術專家認為，這個概念將推動傳統蜜罐的應用，并且減少網絡日志中的誤報數量以及減少漏報可能被攻擊的系統漏洞的次數。這個概念還能夠更好地監視針對客戶端計算機系統的應用程序的威脅。