一、概述
威胁诱捕防御系统是一款以主机蜜罐、WEB蜜罐为核心,提供丰富的虚拟主机全端口威胁感知,克隆仿真WEB业务蜜罐,通过威胁情报分析能够溯源和反制攻击者,是新一代威胁诱捕(蜜罐)系统。威胁诱捕防御系统可广泛应用在网络安全保障与蓝队防御过程中,而蓝队防守方承担着监测、检测、防御的职能,如果以攻防对抗的本质来看待网络安全建设,那么威胁诱捕防御系统是网络安全保障体系当中不可缺少的溯源反制措施。
二、系统特点
// 主机诱捕:通过旁路模式部署进行诱捕检测防御。可以在四层网络中虚拟出大量的虚拟IP和端口,从而形成海量高密度的陷阱主机,当攻击者访问陷阱主机超过设定的次数时,将该IP认为非可信客体。
// Web诱捕:利用网站虚拟技术,可虚拟IP及网站,秒级克隆真实网站内容,内置攻击检测规则,发现攻击蜜罐网站立即告警。虚拟网站支持添加IP或域名格式。
// 威胁情报:自动发现异常蜜罐访问行为,记录来源IP,并详细记录攻击日志,为安全管理提供准确的威胁情报。
内置了完善的2—7层攻击检测模块,基于攻击特征的检测技术对经过系统的流量进行过滤,实时发现并拦截各种已知的攻击:系统漏洞利用、Web应用攻击、蠕虫木马等。
为客户定位各种网络威胁,以及违反安全策略的流量,并提供详实、有效的指导措施,进而实现防护—检测—响应一体化的解决方案。
威胁诱捕防御系统(TDS)虚拟化版部署,可以部署于自建的私有云平台或者公有云平台。可以利用虚拟化环境提供的快照或者高可用性等功能,实现可靠性保障。
虚拟化环境中的旁路部署,可以参考实体机部署。
三、技术特点
主机诱捕技术—交错式陷阱主机 虚拟的陷阱主机不依靠传统的计算资源(CPU、内存)通过虚拟化方式创建,而是通过内置的网卡芯片阵列基于网络层创建,因此即便启用了大量的陷阱主机。
WEB诱捕技术—虚拟克隆真实网站 虚拟网站不依靠搭建虚拟Web服务器,秒级克隆真实网站,创建虚拟网站,蜜罐主机与真实网络隔离。
潜伏威胁等恶意程序的发现和处置 基于诱捕防御技术,当某台主机被植入了勒索病毒等恶意程序,当勒索病毒开始感染时,必然会去尝试感染陷阱主机,此时会立刻在威胁诱捕防御系统中告警并发送邮件。
四、应用场景
在业务访问的必经之路布置陷阱,利用“诱饵”蜜罐网站诱捕攻击者,实现零误报主动防御
在内网布置陷阱主机,诱捕发现内部横向攻击,通过邮件告警及时通知安全运维人员
