[科技资讯] 春秋云阵蜜罐：仿得真、抓得全、易分析

士兵，但也。所以，我们可以展示我们不能展示的，用我们能展示的，但展示我们不需要的，展示我们能靠近的。引诱和引诱，把它从混乱中带出来，为它做好准备，用武力避开它，用愤怒抓破它，卑微傲慢，白忙活，用亲吻离开它，毫无准备地攻击它，出其不意地接受它。这位军事指挥官的胜利不能先传递下去。

孙子兵法

攻守游戏需要出其不意，智慧破游戏

网络空之间的对抗时有发生。攻防的较量本质上是一场情报获取能力的博弈。谁先暴露自己的弱点，谁就会落后。在这几年的对抗中，防守方通常用各种安全设备、加密和认证武装自己，【/s2/】用金钟罩和铜皮铁骨训练自己，试图在系统外化解攻击者的攻击。

但近年来，随着新基础设施浪潮下数字转型的加速，万物互联逐渐成型，网络架构变得更加复杂和多样化，各种不经意间竖起的间接数据通道变得越来越难以察觉，接触内部数据的人的身份也在系统边界内外被多次更改，这一切都让金钟罩上的盖子越来越脆弱，赢得游戏的天平也逐渐向攻击者倾斜。即使是网络防护严格的商业巨头，比如五角大楼，也成功突破了网络安全事件。

网络安全卫士亟待解决的问题

显然纯铜皮铁骨已经无法防御和隔离外界的各种高级攻击，需要有相应的技术手段来发现和处理进入系统体内的隐藏威胁。这也是蜜罐蜜网系统近两年受到广泛关注的原因。

如前所述，网络空之间的对抗是攻守双方的情报对抗，防守方必须获得越来越准确的进攻方信息，才能在比赛中取得领先。攻击者刚进入系统时，在信息层面处于弱势地位，必须谨慎使用各种工具获取系统内部信息，发现弱点和高价值目标。而这就是蜜罐蜜网的价值。一方面，它定位于它的检测，另一方面，它欺骗攻击者认为他们已经获得了高价值的目标，并将他们的能量保存在由这个蜜罐创建的虚拟空房间中。

蜜罐蜜网系统就像是设置在信息系统体内的淋巴系统，分布在信息系统的各个关键位置。一旦攻击者触碰，就会触发秘密报警，从而实现对所有攻击的零误报。同时各种数字指纹、社会账号、系统相关信息等。最重要的是，这个淋巴系统对已知或未知、常规或晚期的攻击是有效的。

选择蜜罐时要考虑的三个要点

那么，什么样的蜜罐系统好用又实用呢？通常从以下几个方面考虑。

1，被模仿并且被捕获

众所周知，蜜罐本质上是一种欺骗防御技术。只有高仿真、高甜度的蜜罐才能成功欺骗和诱导攻击者，让他们陷入身临其境的体验。模仿是否足够真实，场景是否足够甜美，是选择蜜罐的首要考虑。

春秋云阵蜜罐以并行模拟系列技术为核心，可以根据真实网络系统模拟细粒度场景，模拟各种高度逼真的典型网络业务场景，欺骗和诱导攻击者更深入，进而实现高甜陷、零虚警检测和高处置防御，为防御体系构建了全新的优势维度。

几百个应用模拟:过去提到的蜜罐大多分为低交互蜜罐和高交互蜜罐。通过模拟或部署公共端口、服务、应用程序等。在这些蜜罐上，我们可以吸引攻击者的注意力并诱捕他们。【/s2/】春秋云阵蜜罐自带上百个这样的模拟服务或应用，直接在后台勾选即可启用或关闭；

高甜度蜜罐设计:捕捉智能猎物需要更高级的陷阱。春秋云阵提供了智能的、高度交互的界面。维护者可以基于浏览器的远程桌面任意配置和修改web服务页面、数据库字段、其他常见服务帐户，甚至内置目标中的模拟数据。【/s2/】一般陷阱修改成与周围信息系统环境完全一致的高甜度模拟蜜罐。【/s2/】系统自带抓取工具，还可以指定URL进行自动数据学习和抓取；

按需构建和配置蜜网:如果蜜罐给了攻击者探索的空间，那么蜜网就相当于给了攻击者一个构建，让他们长期停留在防御者创建的虚假多层中。【/s2/】春秋云阵基于并行仿真系列技术和网络靶场搭建的春秋云底层架构。【/s2/】完全支持使用自己的各种目标进行简单直观的蜜网构建；

【/s2/】多类型诱饵部署:【/s2/】春秋云阵支持多类型信息诱饵模式，防御方可以从后台页面导出相应的诱饵文件或信息，【/s2/】快速喷向互联网、内网主机或一些重要信息片段，引诱攻击者进入蜜罐陷阱。

2，充分掌握，证据充分

上面的第一个确实是为了诱捕攻击者，而第二个是为了在攻击者进入蜜罐后获取更多信息。在网络空中，任何访问行为或多或少都会留下相应的信息线索。如何准确、有效、清晰地获取这些通常不易察觉的数据，是蜜罐价值的伟大呈现。

春秋云阵可以从流量和蜜罐目标两个层面全面获取和识别攻击者的各种信息，包括:

识别攻击者ip和其他五重信息；

识别攻击者应用的各种扫描或arp、dos等攻击流量模式；

记录攻击者的操作系统、浏览器指纹、cookie信息、社交账号等身份相关信息，并详细保存攻击者在攻击过程中使用或生成的工具、文本等各种样本证据，以及所有攻击流量；

根据春秋云阵专家系统，六大类100多种判定方法，可以识别攻击者进入蜜罐系统后的所有攻击行为。

3，易于分析，可以清楚地看到

在捕获足够多的攻击者信息后，下一步的关键是追踪来源并定位它。春秋云阵具有非常易用的数据查询和分析能力，可以整理关键攻击节点信息，完成可追溯性分析。

【/s2/】罐内外威胁原始分析模式:【/s2/】首先，将触摸检测蜜罐入口的行为定义为罐外威胁，将通过漏洞进入蜜罐模拟场景后的行为定义为罐内威胁。通常坦克外有大量的威胁数据，有大量的探测和企图行为；坦克内的威胁基本上是攻击者清晰的攻击行为，数量较少，但行为轨迹清晰简洁；

支持多维表达式级联高级检索:比如一些攻击者在试图攻击时，会利用漏洞扫描或密码爆破等工具，使用多个IPs同时发起攻击。此时，他们可以利用攻击的特征进行级联查询，并确定这些攻击者的IP之间的关联等。；

完整威胁ip画像:针对任意威胁ip，可以基于时间轴显示整个攻击企图和渗透过程，可以一目了然地显示攻击者的各种虚拟身份信息、攻击技术、攻击路径和结果

态势感知和可视化报表展示:为了更好地反映一段时间内蜜罐位置的安全态势和态势，春秋云阵提供高度可视化的态势感知图，从时间趋势、攻击者的地理位置分布、攻击手段分布、攻击次数等多维度利用各种大数据技术进行。

专业产品有更专业的服务加持

春秋云阵列具有简单易实现的部署特点。主要由模拟蜜罐和数据管控中心组成，支持私有云环境部署、独立设备部署等多种模式。

同时，【/s2/】永新志诚网络安全服务专家团队，在多年攻防对抗和咨询服务经验的基础上，【/s2/】可以根据用户的信息系统部署、网络架构、安全等级等，定向设计出具有自身特色的部署方案。。春秋云阵蜜罐系统在不影响现有网络安全架构的情况下，具有高仿真、高甜度、零虚警、易部署的特点，以提高其在网络攻防对抗中的有效性，及时发现和捕获攻击者，延迟和阻断攻击，全面保护信息资产安全。