Jaké typy Honeypotů existují

Honeypoty se člení do skupin, převážně dle míry interakce nebo směru interakce.

Podle míry interakce
Honeypoty s nízkou mírou interakce
Honeypoty s nízkou mírou interakce simulují pouze pár funkcí transportní vrstvy operačního systému. To ale neznamená, že v něm musí být nainstalován. Díky rychlému nasazení a velkému množství sítí se stal poměrně oblíbený. V těchto systémech je jednoduché identifikovat zmapované hrozby, bohužel detekce nových druhů útoků je ve většině případů nemožná.

Honeypoty s vysokou mírou interakce
Honepoty s vysokou mírou interakce zobrazují kompletní reálný systém, se všemi službami a funkcemi. Bohužel, tento způsob implementace umožňuje napadení celého systému, včetně honeypotu. Z toho plyne, že údržba tohoto systému je mnohem složitější, než u honeypotů s nízkou mírou interakce, nicméně umožňuje detekovat i nové druhy útoků.

Podle směru interakce
Serverové honeypoty
Serverové honeypoty jsou nejrozšířenější honeypoty vůbec, ale plní spíše pasivní funkci. Vyčkávají, než je útočník sám napadne. Výhodou je zpracování velkého množství požadavků. Převážně detekce červů a exploitů síťových služeb.

Klientské honeypoty
Jelikož nejčastějším cílem útoků malwaru jsou klientské stanice, kde se shromažďuje velké množství cenných dat, vznikly klientské honeypoty. Tyto honeypoty simulují obyčejného uživatele systému formou procházení internetových stránek. Po navštívení zadané URL se detekuje změna integrity. Díky tomu je možno získat informace o malwaru, který není možný zachytit jiným způsobem. Základní struktura honeypotu v několika fázích:

Kolekce
Testování
Analyzování
Monitoring
Statistiky
Reporting
Mezi hrozby patří nejčastěji phishing, nebo chyby v prohlížečích. Automatická analýza malwaru je prováděna buď vlastními jednoduchými metodami honeypotu, nebo k tomu využívá analytické nástroje třetích stran. To mohou být antiviry nebo sandboxy určené pro tuto analýzu. Sandboxy významně pomáhají redukovat falešné detekce a zrychlují detekci malwaru.