首先，您看到的行为模式可能是因为恶意软件检测到它在沙盒环境中运行。你的蜜罐的 CPU 数量应该大于两个，如果它还没有的话，因为如果有两个或更少的 CPU 内核可用，大多数新的恶意软件会自动终止，并且你的蜜罐的进程不应该对攻击者的软件可见，因为一些更好的书面恶意软件将检查 honeyd 或其他知名的蜜罐守护程序是否正在运行或安装。限制进程/fs 可见性的一个简单选项是查找“firejail”以及如何设置自定义配置文件。提示：可以解析 strace 输出并将其添加到 firejail 配置文件以隐藏/禁用主机文件系统和正在运行的进程的列表。

其次，考虑在你的蜜罐和它的网络连接之间运行一个 Snort Tap，以近乎实时地捕获和识别攻击网络流量。我很幸运能够以低成本使用 Raspberry Pi 进行网络监控。

第三，考虑为你的蜜罐使用专用硬件，让它看起来更像一个合法的受害者；搜索词“片上系统”（wiki 有制造商列表）以获取可用的廉价选项。来自英特尔的那个是我建议的那个，因为该架构看起来非常接近合法受害者的桌面。

第四，查看 kippo 和其他人的 Metasploit 蜜罐检测源代码，以使您的蜜罐不易被检测到，因为可能还有其他一些巧妙的方法可以检测到它们被观察到的攻击。

五、metasploit反向弹文章的结账检测使用“炭黑”进行蜜罐后入侵检测。小心使用工具将它们破解；如果您要尝试，请只进行识别犯罪分子所需的最低限度的调查。即使他们先攻击了您，将他们砍回来仍然是犯罪行为。