Een honeypot is een bewust kwetsbaar opgezet lokaas-systeem. Het heeft geen productiefunctie, dus élke verbinding ernaartoe is per definitie verdacht — dat maakt het een detectiemiddel zonder valse meldingen.
| Type | Kenmerk |
|---|---|
| Low-interaction | Simuleert alleen diensten (open SSH-poort die logins logt); veilig en licht |
| High-interaction | Een echt systeem dat volledig te compromitteren is; leerzaam maar riskant |
| Honeynet | Een heel netwerk van honeypots |
| Honeytoken | Geen systeem maar lokaas-data: een nep-wachtwoord of API-sleutel die alarm slaat bij gebruik |
Een high-interaction honeypot moet strikt geïsoleerd zijn van het productienetwerk — anders geef je de aanvaller juist een springplank. Meldingen horen thuis in de centrale monitoring of SIEM.