0引言“網絡安全的本質在對抗,對抗的本質在攻防兩端能力的較量。”而攻防兩端能力的較量本質上是雙方的情報式對抗，防御者必須更多、更準確的獲取到攻擊者的信息才能在博弈中占得先機。攻擊者在剛進入系統內部時在信息層面上處于弱勢，必須小心翼翼的利用各種工具獲取系統內部信息、探測薄弱點和高價值目標。而這里可以真正體現蜜罐的價值，一方面在攻擊者探測中將其定位，一方面也誘騙攻擊者使其以為已經獲得了高價值目標，并不斷的把精力留存在蜜罐創造的這個虛擬空間中。蜜罐蜜網就像信息系統機體內部設置的“淋巴系統”，分布于信息系統的各類關鍵位置，攻擊者一旦觸碰，隱秘的報警即被觸發，從而實現對所有攻擊的零誤報，同時其在虛擬空間的各類數字指紋、社交賬號、系統相關信息、使用的攻擊工具等也均被詳細的留存起來。而最棒的是，這個“淋巴系統”對已知還是未知、常規還是高級的攻擊一概有效。1產品概述春秋云陣蜜罐系統是在基于對欺騙防御技術的深入研究和優化的基礎上研發的一款網絡安全產品。從攻擊者的視角出發，讓企業在防御的同時了解攻擊者的手段和意圖，不僅讓入侵者增大攻擊代價、徒勞無功，還對入侵者產生巨大的心理威懾，從欺騙、發現、預警、隔離、分析意圖等方面來轉換攻防角色，解決傳統網絡攻防不對稱的難題。通過在企業網絡內部署高甜度春秋云陣蜜罐設備（虛擬化誘餌的主機、網絡服務或者數據等），誘使入侵者對它們實施攻擊，減少對實際系統造成的安全威脅。通過對攻擊行為進行捕獲和分析，了解入侵者所使用的工具與方法，推測其攻擊意圖和動機。入侵者無論采用任何一種戰術攻擊客戶網絡，主要目的在于獲取其核心數據或制造破壞，春秋云陣的數據可視化展示技術能夠讓用戶清晰、直觀的了解所面臨的安全威脅，簡化網絡安全運維工作的復雜度，同時通過技術和管理手段來增強實際系統的安全防護能力。基于欺騙式防御理念，運用平行仿真技術構建的蜜罐系統，形成了比傳統檢測體系更強的能力。（1）“高甜度”誘騙能力貼合實際防御網絡，自動化仿真業務場景，構建多樣化的吸引攻擊者的脆弱環境和信息，引誘攻擊者不斷深入蜜罐場景，暴露其動機和技術手段，延緩攻擊者時間，從而使防御方牢牢掌握主動權，提升應對突發網絡安全事件的應急響應速度；（2）“零誤報”發現能力蜜罐內生誘捕機理，任何觸碰和進入蜜罐的行為均被詳細定位和分析，“攻擊即報警，響應即處置”，實現網絡入侵的零誤報；（3）“高處置”防御能力蜜罐采用欺騙式防御模式，是傳統邊界防御手段的有效補充。基于威脅數據進行融合與挖掘，依托永信至誠安全攻防經驗的積淀，有針對性的提出快速、高效地處置策略。通過安全聯防設置，為傳統安全設施提供威脅樣本，實現聯合防御；（4）“溯源分析”情報能力高隱蔽性的采集進入蜜罐攻擊者的地址、樣本、行為、黑客指紋等信息，掌握其詳細攻擊路徑、終端指紋和行為特征，實現全面取證，精準溯源。2產品架構圖1春秋云陣蜜罐系統架構春秋云陣蜜罐系統產品架構由虛擬化支撐層、業務功能層、數據采集層、數據控制層以及分析展示層組成，如圖1所示：（1）

虛擬化支撐層主要承擔各類虛擬化資源的管理工作，包括：計算資源、存儲資源、網絡資源、容器資源以及模板資源，并且依托于虛擬化資源調用API為蜜罐提供基礎支撐服務。（2）

業務功能層主要承擔蜜罐工作時參數的相關配置和維護，包括甜度設置、設備配置及狀態監控、誘捕設備配置及狀態監控以及內置典型高仿真場景的配置。通過配置可以更好的定義蜜罐的狀態，使其更具欺騙性。（3）

數據采集層主要承擔入侵者探測型威脅和實質型威脅數據的采集，能夠實時、全面的監測入侵者的攻擊行為，為溯源定位入侵者的位置、手段、工具以及輔助感知入侵意圖提供源數據支撐。（4）

數據控制層主要承擔蜜罐產品數據的持久化工作，包括：審計日志庫、攻擊威脅庫、內置場景庫以及高甜度蜜罐庫。同時能夠通過syslog服務向第三方安全防護系統共享威脅行為數據和審計日志信息，支撐聯動防御。（5）

分析展示層主要承擔對于蜜罐捕獲威脅數據的可視化分析和展示工作，包括：總體分析、罐外威脅分析、罐內威脅分析以及蜜罐運行狀態的監控。通過各類分析結果，能夠直觀地展示當前網絡安全狀態，簡化用戶安全運維工作，提供安全決策依據。3核心技術3.1

平行仿真技術基于混合虛擬化的屬性平行仿真技術，能夠依據現實網絡系統進行細粒度場景仿真，高逼真模擬各類典型網絡業務場景，構建高仿真蜜罐。在平行仿真的蜜罐蜜網環境中保留常見脆弱點和共性的風險漏洞，構建高甜度蜜罐。3.2

全量誘捕技術采用內核級攻擊行為全量誘捕與復現技術，構建全場景欺騙防御體系，實現安全事件分析及復現和精準溯源。在專用私有云——“春秋云”平臺的支撐下，采用基于內核級流量進出棧技術，從私有云和虛擬機內核兩個維度嚴格控制流量只進不出，確保蜜罐節點絕不會成為攻擊者的“跳板”系統。如圖2所示。圖2內核級攻擊行為全景捕獲與復現技術3.3

高甜度欺騙式防御技術3.3.1

高甜誘餌投放與企業業務系統相關的重點文件和信息進行敏感詞匯包裝后作為誘餌，從攻擊者視角投放到誘捕網絡內以及互聯網平臺上，誘使攻擊者下載、執行誘餌程序。散發著陣陣甜味的誘餌很可能就會被攻擊者當做資產短板收集并在滲透時利用，從而大大提升蜜罐被訪問的可能性。3.3.2

透明誘捕節點部署誘捕節點是蜜罐隱藏在敵人身邊的透明觸手，支持部署在多個不同的網絡區域內。當被觸碰后，可以在攻擊者毫無察覺的情況下，瞬間將各個區域的攻擊流量全部重定向到蜜罐系統，同時攻擊者周圍的環境也將被悄無聲息地變為蜜罐的虛假環境。3.3.3

全場景攻擊鏈路預埋基于多年來在網絡安全攻防一線所積累的實戰經驗和350余場網安賽事沉淀下來的對攻防的深刻理解，春秋云陣對攻擊者的思路與常見攻擊路徑有著充足的認知，可以快速鎖定攻擊路徑中的關鍵點，制作出多條高可利用的攻擊鏈路，使攻擊者像中了魘禱術一樣，一路被引誘并深陷蜜罐迷宮。防御者因此也會在防守中拿到主動權，并依據記錄的攻擊痕跡，輔助溯源攻擊者的身份信息。3.3.4

典型業務場景仿真依托于網絡靶場的全場景仿真概念和平行仿真系列技術，春秋云陣支持對財務辦公場景、DMZ區場景、研發內網場景等深層級的企業典型業務區域場景進行仿真，完整模擬出蜜罐周邊環境甚至企業原有的網絡架構，形成包裹層層甜蜜、極具欺騙特質的誘捕蜜網。無論攻擊者是在踩點還是在準備跨越邊界，甚至站穩腳跟后準備在內網擴展滲透，均可以被捕獲。3.3.5

高交互式自動仿真通過春秋云陣可自動仿真業務場景，并支持自動部署。不止如此，春秋云陣提供智能化高交互式界面，防御者只需動動手指，就可基于瀏覽器遠程桌面快速上傳web頁面源碼或數據庫配置文件，甚至專用的服務應用源碼，把現有業務系統“平行”鏡像到蜜罐中去，制成高甜度蜜罐，讓攻擊者難辨真假，將欺騙防御進行到底。4產品價值4.1

仿得真、捕得到春秋云陣蜜罐以平行仿真系列技術為核心，能夠依據現實網絡系統進行細粒度場景仿真，模擬各類高逼真的典型網絡業務場景，欺騙并誘導攻擊者不斷深入，進而實現高甜度誘捕、零誤報發現、高處置防御，為防御體系構建一個全新的優勢維度。4.2

證據足、抓得全在網絡空間中，任意的訪問行為都會或多或少的留存下相應的信息線索，如何能精準、有效、清晰的獲得這些平時不易察覺的數據是蜜罐價值的一大呈現。春秋云陣能夠從流量和蜜罐靶標兩個層面，全面獲取和識別攻擊者各類信息。4.3

易分析、看得清春秋云陣具備非常易用的數據查詢和分析能力，可梳理出關鍵攻擊節點信息并完成溯源分析。5