入侵检测技术中一个相对较新的创新是蜜罐。蜜罐是诱导潜在的攻击者远离重要系统的一个圈套。它的功能是：

（1）避免攻击者直接攻击重要系统。

（2）收集攻击者的活动信息。

（3）希望攻击者在系统中逗留足够的时间，使管理员能对此攻击做出响应。

这些系统充满合法用户不会访问、但是表面看起来有价值的虚假信息。因此，任何对蜜罐的访问都是可疑的。蜜罐系统使用的工具包括灵敏的监视器和事件日志。事件日志用以检测访问活动和收集攻击者攻击活动的信息。因为任何对蜜罐的攻击，系统都给出攻击成功的假象，所以系统管理员可以在不暴露真正工作系统的条件下，有时间转移、记录、跟踪攻击者。

蜜罐是一种资源，没有生产价值。蜜罐的基本思想是：网络外部的人与蜜罐的互动没有任何正当的理由。因此，任何试图与系统之间的通信都有可能是探测、扫描或攻击。相反，如果一个蜜罐主动与外界进行通信，那么它已经很可能被破坏了。(www.daowen.com)

最初研究者使用一台有IP地址的机器作为蜜罐来引诱黑客。最近的研究集中在如何建立整个蜜罐网络，用来模拟一个企业，其中会使用到实际的或模拟的通信量和数据。一旦黑客进入这个网络，管理员就能详细观察到他们的行为，找出防范措施。

蜜罐可以部署在不同的地点。蜜罐的位置取决于一系列因素，比如，组织有兴趣收集的信息的类型，以及组织可以容忍的获取最大量数据的风险水平。

外部防火墙外的蜜罐对跟踪试图连接的网络范围内未使用的IP地址是有用的。在这个位置上的蜜罐并不增加内部网络的风险。在防火墙内部有一个受损系统的危险被成功避免了。此外，由于蜜罐吸引了很多潜在的攻击，它减少了防火墙和IDS传感器内部的警报，减轻了管理人员的负担。外部蜜罐的缺点是，它几乎没有检测内部攻击者的能力，特别是外部防火墙在两个方向上过滤流量时。

对外提供服务的网络，如网站和邮件，通常被称为DMZ（非军事区），是部署蜜罐的另一种选择。安全管理员必须确保DMZ中的其他系统是免受蜜罐行为影响的。这种位置部署的蜜罐有一个缺点就是：网络不是完全可用的，防火墙会阻塞所有试图访问不需要服务的目的指向DMZ的通信。因此防火墙需要开放全部通信，即使是允许之外的，当然这是危险的，否则就要限制蜜罐的有效性。

一个完全处于内部网络的蜜罐有一些自己的优点。最大的优势就在于，它能够捕捉内部攻击。位于内部网络中的蜜罐可以检测出防火墙的一些配置错误，如防火墙的配置错误使得防火墙通过了不允许从因特网到内部网络的通信。当然，内部网络蜜罐也有它自身的缺陷。最严重的就在于，一旦蜜罐被攻破，它就可以攻击其他的内部系统。任何后续从因特网流向内部网络的流量都将不会被屏蔽，因为防火墙会认为这是与蜜罐的通信。另外一个内部蜜罐的困难就是，防火墙必须调整自己的过滤器，允许通向蜜罐的通信，因此复杂的防火墙配置可能损害内部网络。