蜜罐诱捕能力指南

前言

蜜罐技术（以下称为“蜜罐”）是一项历史相对“悠久”的技术——早在1998年就有商用化的蜜罐产品出现。但是，蜜罐技术本身存在难扩展、缺乏主动性、缺少溯源能力、不便管理等问题，无法满足当下“主动防御”的特点，因此蜜罐技术本身也需要进一步升级。

蜜罐的核心理念在于“伪装”，因此Gartner提出了“欺骗防御”的理念，将蜜罐技术提升到了一个更平台化、更全面性的安全等级。数世咨询结合了国内的情况，相对地提出了“蜜罐诱捕”（以下称为“诱捕”或者“诱捕技术”）的概念，契合当下“主动防御”的理念，主动出击，引诱攻击者进入非业务环境，对客户进行告警并对攻击行为进行捕获，不再被动地等待攻击者进入蜜罐系统。

诱捕技术的另一个优势，在于所有的攻击和对抗、反制行为都发生在非业务环境中，即使因攻防行为产生对系统的影响，也不会波及业务环境。正如网络安全靶场能够提前对企业的安全防御能力、人员的攻防技术等提前在非业务环境中进行测试，让问题尽可能在非业务环境的靶场中暴露、发现一样，诱捕技术则是在真实的攻防情景中，让攻防的交互在非业务的蜜罐环境中发生，实现防火墙、IDPS、终端防护等其他安全能力很难实现的对抗效果。

蜜罐诱捕技术相对蜜罐而言，增添了“诱”和“捕”两个核心功能。“诱”改变了传统蜜罐守株待兔的缺陷，通过散布诱饵和面包屑，引导攻击者进入蜜罐；“捕”在用蜜罐困住攻击者的基础上，进一步对攻击者进行溯源，或者通过在蜜罐中的反制和攻防，实现对攻击行为的制约。

但是，我们也需要注意的是：诱捕技术始终只是其他安全能力的补充，并不能取代其他安全能力。无论诱捕技术有多强，攻击者依然有各种方式绕过诱捕环境，对真实的业务系统进行攻击，这个时候，依然需要有其他安全能力进行防御。事实上，诱捕技术和其他安全能力的联动（如态势感知、SIEM等），能带来更显著的安全效果。

关键发现

•蜜罐诱捕的理解可以分为“蜜罐”、“诱”、以及“捕”三个维度。因此，尽管蜜罐本身是基于仿真技术的，但是衡量蜜罐诱捕能力需要多方面进行，包括对攻防的理解、业务场景的熟悉程度、数据的采集和分析、管理平台的易用性、快速部署等等。

•近年来，市场对蜜罐诱捕技术的主要接纳因素来源于常态化的攻防演练，蜜罐诱捕在攻防演练中可以达成精确检测攻击以及进行攻击溯源的任务。但未来，蜜罐诱捕技术也需要越来注重于蜜罐诱捕发现威胁的特性。

•蜜罐诱捕在工控生产环境的使用与在互联网环境的使用差异极大，工控领域的客户需要注意在工控生产环境与工控互联网环境中的区分，选择蜜罐诱捕产品。

•从未来发展来看，蜜罐诱捕在深度上能通过人工智能进一步加强仿真、引诱、分析方面的能力；而蜜罐本身的欺骗功能以及“诱”的能力会普及到其他安全产品中。另外，蜜罐诱捕将在对内网的防御上带来极大的价值。

蜜罐诱捕能力定义

01蜜罐诱捕定义

本报告中，数世咨询根据如今的技术现状以及未来的发展趋势，对“欺骗诱捕”定义如下：

蜜罐诱捕技术是由传统蜜罐技术演进而来，运用仿真技术形成诱捕环境，并通过一系列引诱和伪装手段，诱使攻击者将攻击目标转移到诱捕环境中；并对其采取拦截阻断、行为分析、追踪溯源等措施，从而实现保护自身真实业务环境的目的。与传统的蜜罐技术相比，最大的区别在于防御过程中化被动为主动的过程。类似的概念包括欺骗防御、威胁诱捕、伪装、新一代蜜罐技术等。

02蜜罐诱捕关键元素

基于上述的定义，数世咨询认为，蜜罐诱捕的关键在于以下几点：

1.整体管理：传统的蜜罐技术中，每一个蜜罐都是单独运作，相互之间缺少互动。而对于使用者而言，需要对一个个单独的蜜罐分别进行配置、上线、下线，又缺乏对确定蜜罐的掌握，难以知晓具体是哪个蜜罐已经被攻陷，需要重启，因此难以对蜜罐进行管理，更无法根据自身的环境进行扩展、变更。

在诱捕技术中，蜜罐只是整个技术的一部分，在上层需要有平台进行整体的管理，包括对蜜罐进行上下线、对蜜罐属性进行变更、查看不同的蜜罐受攻击情况。尤其在当下日益复杂的网络环境中，企业和组织当中存在着上下级、总部分部的关系，大型企业和政府机构对管理的要求会更进一步，在本地蜜罐管理的基础上，还需要根据上下级进行蜜罐的分级管理。

2.诱捕环境：许多安全厂商会使用“蜜网”、“蜜阵”之类的词，意思是指将多个蜜罐组合，形成一个仿真的环境，对攻击者进行欺骗。将多个蜜罐组合的最终目的，是形成诱捕环境，不仅包括了高低交互的蜜罐，在整个环境中，还能包含伪装的邮件信箱、用户、邮件、数据、文件等，打造一个贴近用户真实业务的诱捕环境，而非单纯的仿真服务、虚拟仿真设备的堆砌。

3.引诱手段：诱捕技术的关键在于“诱”。传统的蜜罐只是作为一个仿真服务、设备单纯地放置在网络中，攻击者最终是攻击蜜罐，还是攻击真实的系统，主要依赖于蜜罐数量以及一定的运气成分。这点从安全防护效果来看显然是不足的，防御者需要诱导攻击者对蜜罐发起攻击，而非真实的业务系统。因此，诱捕技术中，需要诱捕能力的提供者部署诱饵、面包屑等一系列引诱手段，将攻击者引入蜜罐环境中。

4.防御主动化：引诱意味着主动出击，诱导攻击者对自己期望的诱捕环境进行攻击。因此，在意识上，诱捕技术不再是被动防御的过程，而是提前分析、知晓攻击者潜在的攻击路径，并进行诱导。在诱捕技术的使用、部署过程中，应该以主动化防御为核心思想，对蜜罐、诱饵、面包屑进行针对性部署，甚至可以结合威胁情报，将诱饵主动散发到公网之上，引诱恶意攻击者优先基于诱饵信息进行攻击，从而提前预警。

03蜜罐诱捕安全价值

蜜罐诱捕技术是基于蜜罐技术扩展而成，而蜜罐本身就是作为被攻击者攻击的目标而存在的。因此，任何对蜜罐部分的访问、嗅探，除了极少数的误操以外，都可以视为攻击行为或者攻击行为的前兆，在告警上低误报，甚至零误报。同时，蜜罐对威胁的检测并非根据特征、行为规则来判断的，而是根据是否有交互的行为本身进行判断——正常的业务交互是无法和蜜罐产生的。因此，蜜罐还能针对APT攻击、0day攻击等未知攻击进行防范。

另一方面，由于蜜罐的部署逻辑并非和业务系统串联，因此在蜜罐系统无论中发生何种攻防行为，在配置适当的情况下，都不会对业务系统产生影响。

除了检测来自外部的攻击之外，蜜罐诱捕更多侧重于防范内部威胁的横向移动。攻击者或者病毒在进入内网之后，会继续横向移动，发现更多有价值的信息或者感染更多主机、设备，在内网部署各类蜜罐系统，能快速发现已存在于环境内部的威胁，从而进行阻断。

而蜜罐诱捕能力中，除了蜜罐本身能提供的以上安全价值之外，还有了更多的主动防御能力。单一的蜜罐系统只能依靠虚拟大量的仿真主机、服务、设备，通过数量和概率降低真实业务系统遭到攻击的几率。但是，诱捕技术先通过诱饵、面包屑，在攻击者常用的攻击路径上提前布下线索，“诱”使攻击者进入蜜罐系统，不再单一依靠蜜罐系统守株待兔，更准确地避免业务系统遭到攻击。在攻击者进入蜜罐系统后，通过高仿真高交互的能力、伪装的有价值信息等，使攻击者在蜜罐系统中投入更多时间，延长攻击者的攻击使用时间，并且增加攻击者的攻击成本的同时，“捕”获攻击者。

通过诱捕技术将攻击者限制在蜜罐系统后，可以对攻击者的行为进行分析研究，产生只针对自身环境的威胁情报；也可以记录下攻击者的行为，进行攻击回放，为今后的安全建设做准备。另外，通过分析攻击者产生的各种信息，可以达成对攻击者身份的追踪溯源效果。

但是，需要明确的是，蜜罐诱捕尽管相比其他安全产品，对于威胁的检测能力更高，且对业务系统的影响极小，但是依然只是传统安全解决方案的补充能力，并不能代替传统的安全解决方案。攻击者依然有可能识别出蜜罐，并且绕过蜜罐，这个时候，企业还是需要依靠防火墙、IDPS、SIEM、终端防护等安全能力发现，并采取措施。

04蜜罐诱捕关键能力

从安全价值来看，蜜罐诱捕技术可以分为拆分为四层：

• 诱饵层：通过散布诱饵信息（比如项目信息、虚假邮箱等）使攻击者根据特定的路线进行行进攻击；通过部署面包屑，将攻击者逐渐引入蜜罐系统。

• 探针层：探针用于监测客户未使用的端口、IP段等，将试图接入的访问重定向到蜜罐系统。

• 蜜罐层：蜜罐层为蜜罐设备，有各类仿真的系统、应用服务、数据库，甚至设备等，并且对事件信息进行采集。

• 分析层：分析层的主要任务是将诱捕环境中收集到的信息进行分析，从而达成攻击溯源、攻击手段分析、威胁情报生成等目的。需要注意的是，这一部分能力，如果蜜罐诱捕产品无法提供，可以联动其他安全产品达成。

除了这四层能力之外，还需要诱捕管理中心平台，对整个蜜罐诱捕能力进行统一的管理，包括蜜罐系统的创建、被攻陷蜜罐的重置、参数配置等等。对于蜜罐诱捕而言，不同技术层有着不同的关键能力。

诱饵层

诱饵和面包屑是分布在企业的外网和内网上的各类留给攻击者的虚假线索，引导攻击者进入蜜罐，从而在仿真有限的设备、服务、系统的情况下，提升蜜罐的被攻击命中率。

诱饵层的能力可以从两方面来看。第一是诱饵本身的丰富性，诱捕能力的提供者能提供多少种类型的诱饵与面包屑，比如虚假的文件、邮件、邮箱账户、用户账户等等。同时，这些诱饵信息能否让攻击者相信是真实的。

另一方面，诱饵的最终目的是引诱，因此需要放在攻击者攻击的必经之路上。这就需要诱捕能力的提供者有着对攻防的深入理解，才能帮助客户在最合适的地方提前布置诱饵，将攻击者的注意力专注在诱饵指向的蜜罐环境中

探针层

探针的主要功能是监测客户未使用的端口和IP段的情况，并对试图进行交互的流量重定向。探针本身需要能做到快速部署，并且对业务不产生影响。

蜜罐捕获层

蜜罐中会仿真各类不同的服务、系统、应用，设备等，其仿真的逼真程度是最基础的要求。但是，仅有贴近真实服务、系统、应用、设备的仿真是不足的，为了让攻击者更多停留在蜜罐中，蜜罐系统不仅需要让攻击者意识到这是一个“真实的环境”，更需要让攻击者意识到这是一个“有价值的业务环境”。因此，蜜罐的部署、运行必须根据客户的真实环境进行，以增加蜜罐的甜度，延长攻击者在蜜罐的滞留时间，避免真实系统受到攻击的同时，获取更多的攻击者信息。

建立高甜度、贴合客户业务环境的蜜罐有两方面的难度。首先是对客户业务场景、业务逻辑的理解，这是最为基础的需求。只有对客户业务有深入的理解，才能在部署逻辑上，清楚蜜罐的部署要求。在部署过程中，如何快速地构建出和客户场景高仿真的蜜罐环境，是另一个难点。诱捕技术的提供商需要有一定的自动化能力，模仿客户的场景进行蜜罐场景的建设。

分析层

延长攻击者在蜜罐中停留时间的目的之一是为了获取更多有关攻击者的信息，而这些信息不进行更深一步的分析就会降低诱捕技术的价值。

诱捕技术需要一定的分析能力，对蜜罐中生成的各类日志进行分析，达成溯源、攻防研究、生成威胁情报等目的。

拥有分析能力的诱捕技术固然是值得优先考虑的选项，但也不是必要能力。然而，如果诱捕技术本身没有分析能力，或者分析能力存在短板，就必须能和其他如SIEM、态势感知等安全分析能力协同，才能真正达成“诱捕”的安全价值。

管理中心

对诱捕平台的管理，至少需要从两个方向来考虑。首先，是蜜罐的部署管理：各种类型的诱饵和蜜罐能否快速创建并部署？诱饵和蜜罐在环境中的可扩展性如何？面对大量的诱饵和蜜罐，客户是否能够快速发现被攻击的蜜罐、被利用的诱饵？对于失陷的蜜罐，能否快速重启？

而随着网络结构的复杂化，大型企业和机构会面临另一个问题：如何进行诱捕平台的分级管理？上级的管理平台需要有能力对下级的诱捕环境进行管理，以及数据的获取。蜜罐诱捕能力的提供者能否有合适的分级解决方案，也是衡量蜜罐诱捕能力的标准之一。

蜜罐层安全

由于蜜罐本身是故意放给攻击者进行攻击的环境，因此必然有极大的可能会失陷。这个时候，就需要防范蜜罐本身成为攻击者的跳板，避免安全防护手段反而被利用。

蜜罐层安全也可以从两个手段来着手。一个是蜜罐本身的安全，可以通过设置权限等方式使蜜罐本身无法和蜜罐以外的系统进行交互。对于使用容器的蜜罐，加固容器本身的安全性，包括保持将使用的容器更新到最新版本，避免容器漏洞被利用产生逃逸。

另一种方式是从网络上将蜜罐，或者蜜网和业务网络隔离，可以通过逻辑隔离、流量代理、流量加密等方式，从网络层面隔绝蜜罐与业务系统的关联。

即使蜜罐本身并未成为攻击者进一步攻击的跳板，攻击者依然有可能通过攻击，静默蜜罐中的监控程序，从而造成蜜罐无法对攻击者的入侵进行响应。为了应对这种情况，一种解决方式是在宿主机上进行监控，使得攻击者无法终结监控进程；另一种可以基于蜜罐的特性配置相关的网络策略，专门应对蜜罐被静默情况的告警需求。

05蜜罐诱捕落地难点

蜜罐诱捕技术当下的落地难点主要有以下四点：

1.业务贴合度尚需提升：从技术角度来看，仿真能力和对攻防的研究已经逐渐成熟，但是在和企业业务贴合度方面依然存在挑战。主要体现在两个方面：一个是诱捕能力厂商本身对客户的业务理解深度不足；另一个是即使理解了客户的业务环境，在部署高业务贴合度的蜜罐以及诱饵的速度上，存在自动化能力不足的短板。尽管说蜜罐诱捕能力较强的厂商在业务的深度了解，以及自动化地基于业务环境部署方面有一定的积累，但总体而言，在业务贴合度，或者蜜罐“甜度”方面依然需要不少的提升。

2.市场对产品的认知依然缺乏：尽管说蜜罐从1998年就开始进入商用，但是在过去22年中，蜜罐本身也经历了许多升级——比如演化到如今带有诱捕能力的蜜罐诱捕。市场依然对蜜罐诱捕产品缺乏完整的认知，这种认知的差异可能是体现在对蜜罐技术的演化缺乏了解的层面，也可能是对蜜罐诱捕当下的安全能力不够了解。

3.安全运维人员能力不足：只有在安全运维人员能够自由、灵活地对蜜罐诱捕进行配置的情况下，蜜罐诱捕能力才有机会将潜力发挥到最大。但是，现在安全运维人员能力依然不足，即使部分蜜罐诱捕厂商将蜜罐诱捕的管理平台做得相当方便管理人员使用，但是如果安全运维人员本身缺乏对自身业务的理解、安全数据的敏感、以及攻防过程的积累，依然无法完全体现蜜罐诱捕的安全价值。

4.安全分析能力缺乏：蜜罐诱捕的捕获能力价值在于分析能力，通过在蜜罐中采集攻击者的各种数据，进行综合分析，可以达成溯源、取证、威胁情报等目标。但是，蜜罐诱捕从产品单品本身来看，分析能力是不足以达成以上目的，因此需要其他手段进行弥补。当前来看，技术较强的蜜罐诱捕厂商除了进一步提升自身蜜罐诱捕产品的分析能力之外，有两个方向在补充产品在安全分析能力上的劣势：

• 诱捕技术供应商在解决方案中加入安全运营服务，通过自身优秀的安全专家团队以及丰富的攻防积累，协助客户完成攻防响应与分析。

• 对于一些有相对完整体系的安全厂商，可以通过将蜜罐诱捕能力接入态势感知等平台，借助体系中其他产品的分析能力，完成对攻击的应对。

蜜罐诱捕市场指南

01能力点阵图

02蜜罐诱捕市场调研

• 入选本次蜜罐诱捕能力点阵图的安全厂商有17家，分别为：360、安天、长亭科技、博智安全、非凡安全、烽台科技、观安信息、锦行科技、经纬信安、绿盟科技、默安科技、锐捷网络、赛宁网安、永信至诚、元支点、知道创宇、智仁智信。

• 蜜罐诱捕在数世咨询定义的市场成熟度，概念市场、新兴市场、发展市场与成熟市场四个阶段中，位于新兴市场阶段。在数世咨询发布的《中国网络安全能力图谱》中属于“通用概念”维度中的“仿真“技术领域。

• 据调研，国内蜜罐诱捕技术最早的出现时间在2014年，但仅作为安全项目中的一个功能，并未成为独立产品被用户关注和采购。2016年陆续有专注于蜜罐诱捕技术能力的安全厂商进入市场，并推出具有单一标准化的蜜罐诱捕产品。2019年，在一系列大型的活动与安全事件推动下，蜜罐诱捕被各行业用户广泛关注。预计未来两到三年蜜罐诱捕市场还将快速增长， 

（注：竖轴为企业数量）

• 据本次调研统计，2019年国内纯蜜罐诱捕市场规模约在 1.75亿元左右，综合各家提供商的判断，预计2020年将达到 2.7亿元左右。 

• 据调研目前蜜罐诱捕交付模式可分为四种，单一标准化产品、定制化及运营产品、作为安全项目中的能力以及订阅式服务。其中主要以“单一标准化产品”交付的厂商占60%、以“定制化运营产品”形式交付占19%，将蜜罐诱捕“作为安全项目中的一个功能”交付占20%，仅有1%安全厂商可以“订阅模式”交付。

• 如下图所示，国内各行业用户对蜜罐诱捕的投入情况，排名前三的为：金融(26%)，运营商(16%)，电力(7%)。

• 目前国内蜜罐诱捕技术研发、销售、服务人员约1000人，其中参与蜜罐诱捕产品研发人员约占45%，产品服务人员约占36 %，相关产品销售人员约占19% 。

• 从市场对蜜罐诱捕的驱动来看，主要因素依然是合规需求，以及现在常态化的攻防演练中对蜜罐诱捕能力的需求。尤其在攻防演练中，蜜罐诱捕的溯源能力能给企业带来许多获得高分的机会。

03未来趋势

虽然说蜜罐技术本身已经有超过了20年的历史，但是在不断演化的过程中，蜜罐呈现出新的安全能力。从未来来看，蜜罐诱捕技术还会有新的发展空间，以及更多的安全应用价值。数世咨询看来，蜜罐诱捕未来有三个趋势。

04人工智能助力

人工智能对蜜罐诱捕能带来多个维度的提升。

首先，在蜜罐诱捕的部署阶段，通过人工智能，可以快速学习客户的业务环境，并自动化搭建高甜度、贴合客户业务场景的蜜罐环境，并散布相关诱饵。尤其是在自动化部署层面，人工智能能给蜜罐诱捕带来极大的效率，同时节省大量的成本。

其次，在攻击进行的过程中，人工智能能使得蜜罐和攻击者的交互更为真实，减少攻击者识破蜜罐的几率。同时，人工智能也有希望能使蜜罐本身具备一定的攻防平衡能力，减少安全运维人员的压力。

最后，人工智能在捕获攻击者后，在攻击者相关信息的分析上也有极大的帮助。尽管蜜罐诱捕本身可以作为高价值的安全信息输出口，为态势感知等安全能力提供大量有效的分析数据，但是如果蜜罐诱捕本身能够有一定的分析能力，可以帮助客户更快速地应对攻击事件。

05蜜罐能力普及化

完整的蜜罐诱捕能力可能会比较复杂，且价格会更高。但是蜜罐诱捕的理念却可以用不同的形式赋能到其他安全产品当中。比如，通过仿真能力，EDR或者XDR可以创建虚拟设备、系统，从而迷惑攻击者，达成保护以及检测的效果。蜜罐能力本身不再是蜜罐诱捕的专利，而是可以作为一个泛化的能力在各种安全能力中出现，蜜罐诱捕技术则将进一步地在“诱捕”能力上体现主动防御的价值。

06内网监测利器

传统的网络边界安全的问题在于，一旦攻击者越过边界，进入内网以后，组织对内部的威胁就缺乏有效的检测手段。尽管IDPS能起到一定的作用，但是在分析能力和误报率方面始终存在一定的短板。然而，蜜罐诱捕却能在内网监测方面起到极大的作用。

恶意软件在内网中的扩散是无序的，只要部署足够多的蜜罐，恶意软件必然会在传播过程中触碰到蜜罐产生告警。而对于真人的攻击者，进入内网后依然会进行更深一步的信息搜索以及挖掘，在这个过程中也可以通过引诱攻击者进入蜜罐的方式，让攻击者在内网进行探索的时候触发蜜罐陷阱，从而监测到内网攻击。同时，利用诱捕技术，对攻击者的整个攻击链进行回放、分析、溯源，找到攻击来源的同时，完全清除内网中存在的隐患。

蜜罐诱捕案例

本报告选择了蜜罐诱捕点阵图中六家较为领先的安全厂商，基于他们提供的案例更直观地展示蜜罐诱捕的落地情况以及安全价值。其中，五家的蜜罐诱捕环境为网络环境，一家为工控网络（非工业互联网环境）环境。从案例中可以发现相比传统的互联网网络环境或者内网网络环境，工控网络环境的需求有着很大的不同：工控网络由于对业务连续性极高的要求，即使是蜜罐诱捕系统，依然需要轻量化、简洁化。

01某商业银行用户案例

（本案例由默安科技提供）

场景介绍

银行业对业务稳定性要求极高，任何安全措施都应尽量减少对业务系统的影响甚至对业务不产生影响。该客户一直很重视信息安全建设，在安全防护方面先后部署了防火墙、防病毒、入侵检测等传统安全产品，但这些传统产品主要基于特征进行检测，对于未知的攻击行为，诸如：0day攻击、高级持续性(APT)攻击等不具备明显攻击特征的行为，现有安全防护能力无法对其进行有效的拦截和感知。

客户需求

• 高业务稳定性，安全能力尽量对业务零影响。

• 诱捕系统本身需要有高安全性，防止成为攻击者的跳板。

• 在庞大的IT资产以及复杂环境中的快速部署，以及后期进行高效低代价的维护。

• 在拖延攻击者行动的基础上，采取有效的后续措施，解决威胁。

解决方案

诱捕防御系统的设计以Kill chain为参考模型，以ATT&CK为技术补充，对应着攻击者采取攻击的每一个步骤，主要是沙箱（蜜罐）仿真业务、伪装漏洞、业务仿真、诱饵反哺、攻击反制、威胁情报、AI精准打击。

（图片来源：默安科技）

攻击的每个阶段，都对应着相应的手段应对攻击，达到诱捕攻击、溯源攻击、挫败攻击的目的。

在建设实践上，高交互蜜罐需要结合客户内部业务系统进行高度仿真定制，常见可选仿真系统类型有：邮箱系统、VPN系统、API管理平台等，亦可指定其他内部系统作为仿真对象。

除了蜜罐之外，还需要伪装诱饵，提供虚假情报，让攻击者顺着诱饵的线索访问到蜜罐，诱饵包括：互联网上“不小心泄露”的代码、标题诱人的邮件、看似真实的本地RDP远程连接记录、虚假的浏览器访问记录等。

同时，配置伪装代理（探针），主要作用是在服务器上伪装出带有明显漏洞的服务端口，后端与蜜罐进行关联绑定，当有攻击流量打到伪装代理上，流量会被隔离转发到蜜罐。

（诱捕防御部署——图片来源：默安科技）

在蜜罐安全性层面，该诱捕防御系统采用业界普遍公认的KVM虚拟化架构，保证资源隔离。另外，从宿主机上对蜜罐KVM进程进行监控，一旦发现KVM有派生的子进程，宿主机会及时终止KVM派生的子进程以及在页面上产生告警；以及在流量层面，一旦发现KVM向非蜜罐的目的IP地址发起网络行为，立即进行阻断并在页面上产生告警，确保蜜罐内不会发生逃逸行为。

内网蜜网的构建主要依赖中继节点，中继节点是欺骗防御系统的重要组件之一，通过利用网络中空闲IP将攻击流量诱导至蜜罐内，从而在节省成本的同时，实现蜜网节点的全面覆盖。

（中继节点部署示意图——图片来源：默安科技）

最后，在公网诱捕层面通过虚拟资产倍增技术，可以利用极少的资源，成百上千倍生成看似真实的虚拟资产，并且可以根据攻击者的喜好进行投放；同时，通过部署智能威胁检测模块，从互联网出口核心交换机接入流量镜像。攻击者从公网发起攻击，智能威胁检测系统发现攻击虚拟资产行为后，直接接管攻击流量，并将其转发到本地蜜罐动态欺骗集群，实现攻击隔离和攻击溯源。

（公网诱捕部署示意图——图片来源：默安科技）

客户价值

• 为该客户构建了全方位的欺骗防御能力，弥补了现有安全能力的不足，变被动防御为主动防御。

• 以极小的成本，构建全量覆盖的欺骗防御网络，极大提升了攻击门槛，延缓攻击进程，为攻击处置争取足够的时间。

• 能够有效溯源攻击者设备信息和身份信息，并将威胁情报输出给安全防护设备，及时阻断攻击行为，确保业务的稳定性和数据安全。

客户评价

借助于默安科技的幻阵欺骗防御系统，我行在全网范围内构建了蜜网欺骗防御网络。在后续的全国范围攻防演练中，该系统在攻击诱捕、威胁发现及攻击溯源等方面起到了关键性的作用，保障了演练任务的圆满完成。

02某石油行业IT环境欺骗防御体系建设项目

（本案例由360提供）

场景介绍

石油行业的网络信息系统长期以来一直是网络攻击的重要目标，该行业的网络安全保障工作也具有一定的特殊性。当前，通过实战化的攻防演练，企业关键基础设施安全保护能力和应急处置水平已得到大幅提升，但其复杂的业务系统及供应链中存在的风险依然难以避免。在新技术与新攻击面不断涌现的过程中，攻击方的手段也在不断增长与进化。如何变被动为主动防御，面对网络威胁全面掌握主动权，是当下亟需解决的问题。 

客户需求

• 兼容性强：在不影响现有网络架构与业务稳定性的基础上，保证核心资产安全。

• 深度溯源：深度获取攻击者个人身份信息、社交账号信息，并能在攻防演练中上报、加分，扭转被动挨打局面。

• 精准告警：通过精准告警，减轻安全运营人员压力，实现高效运营；

• 0day感知：当前网络安全态势，0day频发，需要一种不依赖已有规则的技术去感知0day漏洞利用。   

解决方案

• 攻击欺骗防御系统主要由Agent端（诱捕探针）、Server端构成。诱捕探针部署在真实网络区域中，受到任何攻击行为时，会透明的转发到Server端蜜网的蜜罐中。探针采用超轻量软件进行旁路部署，不对原有网络架构做任何改变，同时也不影响原有业务系统正常使用。

• 蜜标/诱饵部署：伪造敏感数据文件并嵌入特定标识，投放在高权限员工个人PC及核心资产中。文件被打开就会触发内嵌脚本，记录并回传攻击主机相关信息。可在社工钓鱼场景中达到对攻击者的精准感知与追踪。

• 探针配置：在客户办公区、生产区部署诱捕探针，进行扫描监听和缺陷暴露，并将攻击流量重定向到蜜罐。所有访问蜜罐请求的都是可疑，甚至是恶意的，达到精准告警的效果。

• 业务仿真：利用高交互、高仿真蜜罐对重要业务系统进行模拟仿真，转移攻击者视线、消耗攻击者资源、获取攻击者工具信息，赢得应急响应时间。

• 攻击溯源：如攻击者被诱捕到蜜罐中，系统可对其进行设备指纹识别、社交账号JSONP劫持；结合pcap包原始流量、落盘样本捕获还可进一步分析0day漏洞的exp。另外，系统结合常见的一部分协议的缺陷，制成反制蜜罐，可直接读取攻击者本机文件，获取相关私钥、浏览器收藏夹、微信ID等信息可直接定位到攻击者本人。

（3 60 攻击欺骗防御系统部署架构——图片来源：360） 

客户价值

• 对企业传统安全防御体系进行了验证与补充，建立了与业务系统深度融合的主动防御机制。在日常安全运营期间，成功帮助与用户捕获到多起0day漏洞利用事件，提前进行相应的防护规则增加，避免了后续的大规模利用事件对企业资产造成的影响。

• 攻防演练期间成功帮助用户溯源到多起攻击队成员的真实身份，并成功上报加分。 

• 提前感知潜在攻击者的探测行为，对捕获的各类攻击行为事件数据进行关联分析，有效帮助用户生成内部高质量威胁情报。

客户反馈

在本次的实战攻防演习对抗中，我们与360安全专家分析团队，对360攻击欺骗防御系统所捕获到的信息进行分析，成功溯源定位到多名攻击队成员，经上报评判后获得加分。同时对攻击文件进行分析后发现疑似黑产组织利用0day漏洞进行攻击，我司结合网络流量日志进行了排查，增加规则过滤，增强了整体的防御能力。高质量的威胁情报可以有效帮助我们掌握网络攻击态势，也为我们规划后续的网络安全防护工作提供了重要依据。 

03某能源行业IT环境案例

（本案例由观安信息提供）

场景介绍

某能源行业企业A，作为国家经济发展及人们生活的保障，其重要性不言而喻。近年来全球范围内的能源行业网络安全事故频发，网络安全形势也将影响国家安全。能源企业A面对的威胁来自APT组织，所以除了能发现常规网络攻击行为之外，企业A也需要一定的对抗APT攻击的能力。

客户需求

• 自学习仿真：要求能仿真重要业务系统，由于保密性、额外成本等原因，要求仿真过程无需修改代码且不需要研发人员参与，全部操作均可由客户操作，需具备仿真成本低、灵活性高、自带溯源功能等特点。

• 感知APT攻击：针对APT组织的定向渗透，可以及时发现并告警，保障企业的网络安全。

• 溯源能力：针对重大攻防演练活动以及日常的APT防范，需要部署带有溯源功能的蜜罐，可溯源到攻击者身份，在演练活动获得更好成绩的同时，也能够为全网的安全态势做出贡献。

解决方案

部署架构包括一套蜜罐诱捕管理平台和多个蜜网主机，蜜网主机根据功能及区域的不同各自隔离，各个蜜网主机关联若干诱捕节点，将诱捕节点产生的信息统一汇总到管理平台进行处理和告警，还可通过rsyslog等方式与态势感知系统进行联动，高效定位攻击源及发生在蜜罐外的攻击行为。

• 管理平台部署在企业内网，实时监控内网安全状况，同时针对企业内部各不同网络区域的情况部署不同的蜜罐仿真服务（办公区主要放置windows类型蜜罐，DMZ区主要开放web服务类蜜罐）。

• 为监测外部威胁，再新增一台蜜网主机，并创建带有溯源功能的WEB自学习仿真蜜罐，通过域名绑定、同C段等方式与其现有资产进行关联，持续吸引攻击者访问蜜罐并通过溯源功能定位其身份。

• 由于蜜罐是暴露漏洞的，所以防逃逸是非常重要的一环，针对Linux内核以及所使用的组件版本必须是使用无漏洞版本，同时对容器权限及网络策略进行了加固和限制、严格限制危险参数的使用，保证攻击者“只进不出”，防止蜜罐成为跳板机。

（图片来源：观安信息）

攻防范例

为应对APT攻击，引入了ATT&CK模型为参考，本案例中的诱捕系统将防护重心放在了探测（Discovery）和横向移动（Lateral Movement）两个阶段上。 

1)探测阶段：

若攻击者通过鱼叉附件等方式已经成功在电脑上植入密码且获取了权限，由于APT攻击的特殊性，攻击者很可能会尝试对内网进行探测，为下一阶段做准备。一旦攻击者进行网络嗅探时触碰到了诱捕节点就会被发现并告警。同时蜜罐本身带有漏洞，攻击者可能会对蜜罐发起攻击行为，这样也会被系统发现并告警。

2)横向移动阶段：

当攻击者希望谋取更多利益时，会尝试进行横向移动，这个阶段攻击者会根据已有信息进行操作，当攻击者尝试读取账户，如利用mimikatz发现保存在内存中的虚假域用户名密码，在攻击者尝试登录虚假用户名密码时，本系统就能发现用户名密码已被使用，且迅速定位到受入侵机器。

（图片来源：观安信息）

客户价值

• 部署后，在内网中通过与态势感知系统的联动，成功发现中毒机器以及入侵途径，经及时处置修补漏洞后未造成更大危害。

• 自学习仿真功能使用户方便的制作专属web蜜罐，可以灵活的根据需要进行仿真并部署，增加欺骗成功率，同时相较于之前人工定制，从一周投入使用到现在不到一天，效率提高500%。

• 在某次攻防演练前，客户基于其真实系统制作了数种web自学习仿真蜜罐，并将这些蜜罐映射到外网，同时与其子域名、C段IP进行了关联，保证了暴露面与关联度。在攻防演练过程中，通过这些页面及其自带的溯源功能成功溯源到数名红队真人。

客户评价

在重大演练活动期间，贵公司魅影威胁监测系统提供了攻击诱捕、攻击转移、攻击拖延、身份溯源等能力，为我司的安全保障、溯源得分工作提供了有效支持。结合贵司诸位现场监控、溯源人员的努力，确保了信息安全零事故、有效溯源反制的目标，圆满完成了安全保障任务，展现了魅影蜜罐产品有效的风险感知能力和良好的产品设计。

04某电力行业客户红蓝对抗案例

（本案例由长亭科技提供）

场景介绍  

该客户经营体系庞大，在现有的IT体系架构下，面临着对风险难以感知、预警和管理的问题。该企业信息化建设较早，安全建设较多以边界防护产品部署做为主要方式。随着攻击手段不断演进，该企业亟需有效方法感知、应对内网威胁和高级APT攻击，实现攻击的记录、分析、溯源。

客户需求

• 东西向威胁感知：包含大多数高级APT攻击，需要能够及时有效的发现内网安全风险，并进行完整攻击记录。

• 攻击可视化：呈现可视化攻击路径，实现内外网透明化监控，并实现综合分析。

• 攻击溯源反制：在红蓝对抗场景或大型攻防演练场景下，对攻击者身份信息溯源、反制可获得比分增加，在实战中也可以威慑攻击者。

• 仿真性：蜜罐设置应高度贴合真实业务，具备高度仿真性，用以吸引真实攻击者。

• 安全性：蜜罐作为欺骗陷阱吸引攻击者释放攻击载荷，其安全性是客户关注的重要问题，要求蜜罐从架构、技术上都安全、稳定、可靠。

解决方案

根据该企业的网络特点，部署分为三个大区：普通生产区、特殊生产区、DMZ区，攻击者从互联网应用突破的路径往往在这些区域，因此，伪装欺骗平台部署在该区域中，通过探针节点实现对攻击行为的感知、捕获以及溯源。

（诱捕系统部署拓扑，图片来源：长亭科技）

该解决方案选择了价值性较高的VPN、SSO系统进行伪装，对VPN蜜罐、OA蜜罐、SSO单点登录蜜罐、邮箱蜜罐进行定制化改造，参照企业真实的业务系统风格进行定制开发，使蜜罐具有更高的诱惑性和欺骗性。本次通过伪装该企业的VPN系统部署的反制平台，诱导攻击者进行访问运行VPN客户端，达到反控攻击者的目的。

防守方能通过恶意程序样本、远程控制站点URL、攻击者IP等信息中暴露出的代码特征、站点注册信息、IP地理位置等信息，定位攻击者实体，为防守方加分提供依据。

在演练场景中，由于攻击队人员对反制的异常进程也非常敏感，攻击者上线之后，很容易察觉进而对木马文件进行查杀，导致对攻击方的信息收集无法完成。针对以上问题，进行了如下优化：

1、增加进程自动注入，当攻击者上线时，将进程注入到系统进程中，提高隐蔽性。

2、增加微信、钉钉提醒，当攻击者上线时，钉钉自动提醒。

3、增加自动转移控制权，当攻击者上线时，自动将攻击者的控制权转移到溯源组进行溯源。

攻防范例

（图片来源：长亭科技）

① 蜜罐发现入侵行为

诱捕系统发现疑似攻击者IP访问了客户对外发布的VPN蜜罐，并下载了VPN客户端。

② 反制平台上线

攻击者下载并运行了含有木马的VPN客户端，成功上线反制平台，为我们进一步获取攻击者的信息提供条件。

③ 通过反制平台，获取攻击者信息

通过反制平台，发现该攻击者在对我们所防守的单位进行信息收集，使用资产测绘工具，并已收集了大量的外网资产，其中包含了该企业的资产信息，确定该攻击者为演练活动的攻击队。

④ 进一步溯源，获取攻击队信息

通过反制平台的功能，我们对该攻击者的屏幕进行屏幕截图，发现了他们队伍内部通过聊天软件的聊天记录，进一步确定了他们的队伍成员等详细信息，并获取该攻击队的演练成绩及相关信息。

客户价值

• 在攻防环境中，能够成功溯源攻击者。

• 攻击信息采集、汇总、分析，协助企业掌控内网威胁。

• 蜜罐蜜网架构，攻击者难逃布设诱捕系统，安全性得到保障。

客户评价

在本次红蓝对抗演练活动，长亭科技的谛听（D-Sensor）伪装欺骗系统发挥了重要作用，有效吸引了攻击者的攻击火力，拖延了攻击时间，并且通过高交互蜜罐成功捕获、溯源、反制攻击者，帮助我们取得了优异的成绩，并且谛听（D-Sensor）未发生任何安全性问题，经得起实战的考验。

希望长亭能输出更多的好产品、好服务，帮助我们共同完成网络安全建设，提升主动防御能力。

05关键基础设施IT环境案例

（本案例由安天提供）

场景介绍

某关键基础设施用户为了增强威胁感知能力， 希望通过蜜罐诱捕系统发挥与其它类型网络安全产品互补的优势，依靠仿真资产、诱捕威胁，定位威胁事件具体信息并及时发现内网中的威胁事件，从而处置威胁事件，维护内网安全。

客户需求

• 发现威胁：发现关键基础设施环境中的网络威胁事件，尤其是真人攻击。

• 留存证据：为威胁处置提供依据。

• 威胁处置：通过异常外联的交互发现外联节点主机是否失陷，并识别失陷原因，留存木马与外发数据。

• 保护资产：仿真真实资产操作系统与服务，拖延攻击者，保护真实资产安全。

解决方案

蜜罐诱捕系统支持分布式部署于关键基础设施网络环境中，部署系统包括：蜜网平台、蜜罐节点、代理转发模块。在蜜罐节点中创建虚拟蜜罐，通过代理转发模块将流量转发至虚拟蜜罐进行交互进而捕获威胁，不同的蜜罐节点捕获的威胁统一汇总至蜜网平台进行威胁展示，部署图如下所示：

（蜜罐诱捕部署图，图片来源：安天）

蜜罐诱捕系统部署后，管理员根据实际网络情况，分别创建不同的仿真资产监控该基础设施用户内网环境的不同区域，仿真资产与监控区域网络环境保持相似的操作系统或服务，并且在关键基础设施有互联网接入区域部署异常流量转发模块，将流量转向木马控制端交互服务蜜罐。

客户价值

• 蜜罐资产与环境资产高度仿真，使攻击者真假难辨，增加攻击难度。

• 诱饵部署，将攻击者引致蜜罐中，为安全加固赢得宝贵时间。

• 排除噪音干扰，精准捕获威胁。

• 记录攻击者攻击全过程，为溯源取证留存证据。

• 动态仿真蜜罐与木马控制端交互蜜罐等特色蜜罐帮助用户捕获APT定向攻击。

• 对失陷主机快速发现，对威胁事件多维度展示。

• 在实例上，该蜜罐系统成功捕获了某境外攻击者通过共享漏洞攻击进入蜜罐的威胁事件，并捕获了攻击蜜罐的内网失陷主机及黑客攻击蜜罐后进行的日志清除等操作记录。

攻防范例

（攻防流程与蜜罐系统的对策，图片来源：安天）

步骤1：攻击者目标信息搜集阶段：

攻击者对目标进行信息搜集阶段时，诱捕系统预先将仿真资产部署于公网业务WEB相邻位置，部署的服务包括高交互WEB服务与低交互仿真WEB界面，以捕获攻击者的攻击。

诱捕系统预先将诱饵邮箱部署于公网，再使用蜜罐接收诱饵邮箱收到的邮件，进而检测诱饵邮箱接收恶意邮件来感知该阶段的攻击。

步骤2：外部入侵获取权限阶段：

攻击者对目标入侵时，蜜罐系统预先在被监控网段的业务仿真资产部署，从而吸引并拖延攻击者，并且第一时间感知威胁进行告警。

步骤3：内网横向移动阶段：

攻击者在内网进行横向移动时，蜜罐通过仿真资产进行威胁感知，同时支持标记威胁处置情况。

步骤4：恶意目的阶段：

攻击者攻击在蜜罐中执行的恶意操作，蜜罐对其操作过程全记录，包括远程控制行为、恶意文件传输等行为。

客户评价

捕风蜜罐系统部署于某关键基础设备客户的隔离网中，成功捕获了APT定向攻击事件及入侵后的清理痕迹等事件，该事件的捕获为该客户减少了进一步的敏感信息泄漏的损失并且精准溯源到攻击者，成为捕风蜜罐于客户处立功的典型荣誉，获得了用户的高度认可。

06石油化工工控蜜罐应用案例简介

（本案例由烽台科技提供）

场景介绍

近年来，石油天然气基础设施已经成为境外黑客组织的重点攻击目标。国内某石化企业主要生产的产品大多为易燃、易爆、有毒以及强腐蚀性的物质，一旦过程控制系统网络出现安全问题，可能导致现场火灾、爆炸，还可能造成人员伤亡、生产设备损坏，甚至周边环境的污染。因此，防止过程控制生产安全事件的发生是石化企业非常重要的任务，过程控制系统的安全漏洞及入侵风险将是引起生产安全问题的一个重大隐患。

由于工业行业存在众多垂直细分行业，不同细分行业对于系统功能的需求和业务运营模式有着很大不同，导致工控安全系统通用性较差，系统稳定性要求高、个性化定制需求高，因此，工业领域的网络安全与传统安全具有较大差异，对于防护措施或防护产品在解决安全问题的同时，从部署到应用都需要对业务本身零影响，保障系统稳定运行尤为重要。

客户需求

• 发现针对工业控制系统与特定生产环境的威胁攻击。

• 对关键工业控制系统与石化生产控制网络进行针对性保护。

• 防范来自境外敌对势力和APT组织的攻击。

• 发现因人员、主机、非法行为等原因产生的内部威胁。

• 系统部署不影响现有业务和网络结构。

• 提升老旧的过程控制系统整体的安全防护能力。

解决方案

在企业边界与核心PLC/DCS系统网络位置，部署工控蜜罐诱捕系统，针对用户工控网路、生产设备、办公网络同时进行针对性模拟，通过牵引攻击行为与重定向攻击流量，最终达到迷惑攻击者和诱捕转移攻击行为的特性。在诱捕过程中，充分模拟工控设备的应用、主机、系统、网络的指纹，以及通讯、协议应用等行为过程，形成海量虚拟设备组成的“影子系统”区域，保护并隐藏过程控制系统资产，为控制系统网络建立主动积极防御的安全屏障，切实提升了石化系统整体的“主动防御”、“入侵检测”、“安全审计”能力，具体网路拓扑如下：

边界部署拓扑（图片来源：烽台科技）

（厂区内部部署拓扑，图片来源：烽台科技）

用户价值

• 安装部署实施简单，支持一键部署功能，不影响现场生产和生产数据实时采集，从技术层面解决了老旧工业控制系统无法配置流量镜像和安装防护设备，无法升级部署安全防护解决方案的现状。

• 对于过程控制系统的关键设备、系统、应用、服务，安全威胁感知系统的传感器提供“影子”保护功能，可以在真实业务系统网络内，自动部署大量虚假业务系统，降低真实业务系统被网络探测到的可能，增加攻击者攻击的成本、难度与时效。

• 对于网络中任何潜在可疑的网络活动进行实时告警，并针对异常网络行为、协议异常功能码、危险业务指令，攻击关键事件进行实时检测与告警，为缺少安全防护的工业控制系统建立“主动防御”防线。

• 针对工控威胁安全审计回放功能，能够对引起实时告警的威胁进行完整的会话记录，保证内容审计完整性，为用户提供全面的、完整的、可读的威胁分析与溯源依据。

客户评价

烽台科技向我单位提供的灯塔安全威胁感知系统（工控蜜罐），对内部各系统的脆弱性展开了主动分析和修补，同时利用系统创建的“影子系统”切实的保护和隐藏了过程控制关键资产被攻击者发现的可能，以及对攻击、异常事件均能够达到实时预警和安全防护联动，在减少了安全防护投资的情况下，整体提升了过程控制系统的安全防御能力。

 另外，灯塔安全威胁感知系统的部署和配置简单，并且不影响现有业务系统的正常运行，同时，适合PLC、DCS、SCADA系统等各类业务场景和各种网络环境条件，不会因为业务场景或部署位置的改变，影响主动防御的效果和导致技术特性发生改变，因此，可以很好的减少业务场景适配成本及安全产品重复投入。

作者：

技术应用分析师：潘颉阳

产业市场分析师：左晶

综合调研分析师：刘宸宇

数据统计分析师：牛爱民

机构简介：

北京数字世界咨询有限公司，中国数字安全领域中立的第三方调研机构，以数字时代为背景，提供网络安全行业的调查、研究与咨询服务。

联系邮箱：[email protected]

▼往期精彩回顾▼ 数世咨询：网络安全态势感知能力指南
数世咨询：网络靶场能力指南
2020年度网络安全成熟度阶梯（完整版）