云蜜罐技术（德迅猎鹰）诞生

    数字化程度高且高价值信息密集的行业，如金融、能源、互联网、政府、教育、医疗、军工等行业，面对日益规模化、专业化的网络攻击，渐渐不再满足于一味的防守加固。除了巩固防线之外，他们愈发看重主动出击、感知更大范围内的攻击，进而形成自己的网络威胁情报系统，争取尽可能多的攻击隔离于业务系统和高价值数据防御体系之外。

    云蜜罐正是作为主动防御利器而存在的，通过快捷的大量部署，达到高度仿真进而保护真实资产的目的，通过攻击牵制的手段防止攻击范围扩大，以攻击告警、攻击信息记录、攻击日志生成等手段留存关键攻击信息，供后续分析溯源。

什么是云蜜罐？

    传统防御方式的主旨是将攻击者拒之门外，然而随着攻击手段的多样化、隐蔽化、复杂化，传统的防御方式往往疲于应付，比如利用0day漏洞的APT攻击，传统的基于规则和特征库的安全产品很难察觉。出现问题时安全运维人员只能做事后修补，而实际上攻击者早已渗透到内网并潜伏。企业需要一种技术手段，主动对抗攻击行为，采取有利于防守方的技术措施，对攻击者形成震慑，保护数据安全。

    蜜罐是一个攻击诱骗系统，通过使用蜜罐模拟一个或多个易受攻击的主机和服务，给攻击者提供一个容易被攻击的目标，伪装成用户的业务应用，使攻击者误认为是欲攻击的目标对象。由于蜜罐并没有向外界提供真正有价值的服务，因此所有试图与其进行连接的行为均可认为是可疑的，同时，让攻击者在蜜罐上耗费时间，可以延缓对真正目标的攻击，捕获更多攻击者的信息进行反制，使目标系统得到保护。

国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务，所有进出蜜罐的网络流量都是非法的，都可能预示着一次扫描和攻击，蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。

蜜罐是用来吸引那些入侵者，目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。

云蜜罐（德迅猎鹰）用来应对何种场景？

    云蜜罐因其可进行快速部署，辅以“黑洞蜜罐”、“克隆蜜罐”等独特功能，达到高度仿真真实业务系统、大规模快速部署蜜罐的目的。

    在日常内网防护场景中，云蜜罐可以做到全面精准感知威胁并报警，记录攻击信息供后续分析及形成自身针对性强、高价值威胁情报，最终通过与防御类产品的联动，达到立体化防御的目标。不仅如此，云蜜罐还可以有针对性发现勒索病毒、蠕虫病毒、僵尸网络等网络攻击事件，在攻击爆发前占据有利局面。

    在高对抗的攻击事件响应及攻防演练过程中，云蜜罐更是优势尽显。云蜜罐可以通过对新型攻击进行发现及数据收集，及时发现并阻断攻击，通过记录攻击信息及对攻击者进行画像，而达到溯源反制的目的，助力攻防演练得分。

    蜜罐技术强大而灵活，不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的。蜜罐可以和入侵检测IDS一起工作，与 IDS相比，蜜罐的误报率较低。这是因为蜜罐既不提供任何网络服务，也没有任何合法用户，但并不是网络上的空闲设备。因此，任何流入或者流出蜜罐的网络通信都可以是做可疑的，是网络正在被攻击的一种标志。

蜜罐的主要目标是容忍入侵者攻击自身，在被攻击的过程中记录收集入侵者的攻击工具、手段、动机、目的等行为信息。尤其是入侵者使用了新的未知攻击行为时，收集这些信息，从而根据其调整网络安全策略，提高系统安全性能。同时蜜罐还具有转移攻击者注意力，消耗其攻击资源、意志，间接保护真实目标系统的作用。 

用户困扰：

----0day漏洞攻击无法识别，未知风险难以抵御
----入侵者进入内网后无法及时发觉
----入侵者成功内网防御无纵深,真实内网信息一览无遗
----入侵者来去无踪，被动且无法取证

 解决方案：

----基于攻击行为分析，捕获0day未知攻击
----感知攻击行为和攻击事件
----构建内网迷墙，吸引攻击者进入，延缓攻击
----捕获攻击者信息，匹配攻击者自然人身份

 德迅猎鹰（云蜜罐）防护过程：

德迅猎鹰防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。

（1）诱骗环境构建:

通过构建欺骗性数据、文件等，增加蜜罐环境甜度，引诱攻击者入侵系统，实现攻击交互目的。交互度高低取决于诱骗环境仿真度与真实性，目前主要有模拟环境仿真和真实系统构建方案。

模拟环境仿真方案通过模拟真实系统的重要特征吸引攻击者，具备易部署优势。利用一种或多种开源蜜罐进行模拟仿真，多蜜罐结合方案有利于不同蜜罐的优势集成;将仿真程序与虚拟系统结合构建蜜罐自定义架构，提高交互度;对硬件利用模拟器实现硬件虚拟化，避免实际硬件破坏。然而，虚拟特性使模拟环境仿真方案存在被识别风险。

真实系统构建方案则采用真实软硬件系统作为运作环境，降低识别率，极大提高了攻击交互度。

在软件系统方面，采用真实系统接口真实主机服务、业务运作系统等，具备较高欺骗性与交互度，但其维护代价较高且受保护资源面临着一定被损害风险。在硬件设备方面，可直接利用真实设备进行攻击信息诱捕。在低能耗场景下采用真实软硬件设备引诱攻击者具有一定优势，然而对于某些数据交互频繁的业务系统内，存在高能耗、不易部署、维护成本大等缺陷。

（2）入侵行为监控:

在攻击者入侵德迅猎鹰系统后，可利用监视器、特定蜜罐、监控系统等对其交互行为进行监控记录，重点监控流量、端口、内存、接口、权限、漏洞、文件、文件夹等对象，避免攻击造成实际破坏，实现攻击可控性。如模块监控、事件监控、攻击监控、操作监控、活动监控等。

上述攻击入侵行为监控中，不同方案的侧重点不同，高交互蜜罐则需更强监控力度。由于监控范围无法全面覆盖，可能导致监控缺失后果，致使攻击者利用监控盲区损害系统，同时，较大监控范围易捕捉更多信息，全方位访问监控成为一种相对安全措施。

（3）后期处理措施:

监控攻击行为所获得数据，可用于数据可视化、流量分类、攻击分析、攻击识别、警报生成、攻击溯源、反向追踪等。具体处理措施为:提取基础数据，以图表方式展示统计数据;分析关联度，提供入侵行为电子证据;分类恶意特征，过滤恶意用户;分析数据包信息，识别潜在安全威胁;利用水平检测识别攻击分类，后期处理措施以分析方式，使防御系统分析收集数据，掌握攻击信息，实现改善系统防御方案的良性循环。

云蜜罐如何更完善解决面临的困境？

威胁感知+攻击链还原，更全面

蜜罐实现全面威胁感知，覆盖面大、诱捕面广。不止将蜜罐应用在内网攻击流量监测的层面，当流量访问蜜罐后，第一时间判定接触到不应被访问蜜罐的为攻击流量。同时，扩散思维将部署在外网的云蜜罐看作一种对全网范围威胁的攻击感知和数据收集的工具，可以通过域名接入的方式将云蜜罐快速覆盖潜在威胁入口，在更高的维度上全面进行攻击信息的整合和对威胁的感知响应，依据安全态势对防御体系进行及时的调整。

感知威胁、进而捕获攻击数据是部署蜜罐的主要目的之一，德迅云威胁控制中心将晦涩难懂的数据流转化分析为易于检索、定位、浏览的攻击日志，通过清晰呈现攻击者从入侵到攻击执行的完整攻击路线实现攻击链还原。掌握“何时、何地、何种路径、何种攻击、何种命令”等详尽信息，使云蜜罐对捕获攻击有全面了解。

牵制攻击者+识别攻击者，更精准

通过部署蜜罐的方式进行攻击引流与攻击牵制，从而实现对真实系统的保护，这是众多用户选择部署蜜罐来进行网络安全防御的另一重目的。有效部署云蜜罐可以起到吸引攻击火力的作用，部署在真实系统周围的高仿真云蜜罐足以“以假乱真”，通过模拟企业真实业务，构造虚拟业务陷阱。

这样既避免攻击者直接攻入真实系统、接触到核心数据，又能延长攻击者在蜜罐系统中停留的时间，以便捕获到更多攻击数据及对应攻击者信息。德迅云安全多年网络攻防实战经验与深厚累积攻击数据，能够精准识别攻击者背后的组织、家族、攻击行为特征，对这些信息进行整合，生成攻击者画像，在后续攻击事件处理中占据主动权。

安全产品联动联防，更立体

云蜜罐拥有极强的攻击溯源能力，从核心层获取丰富的攻击行为数据，对这些数据进行分类溯源处理，使蜜罐系统实现深度溯源与反渗透。同时，以溯源到的数据信息加黑名单封禁、震慑甚至抓捕攻击者的方式，争取在本不对等的攻防对抗中扭转不利局面、占据主动权。

为用户提供完善的全网攻击溯源服务，既可以获取到攻击者IP、设备物理地址、个人社交账号、实时地理位置等详尽信息，对攻击源及攻击者身份进行精准匹配，协助客户找到攻击源，并将攻击源进行黑名单标注，实现溯源反制

产品特色：

1分钟快速构建内网主动防御系统：无侵入、轻量级的软件客户端安装，实现网络自动覆盖可快速在企业内网形成蜜网入口，轻松排兵布阵。

Web蜜罐配套协议蜜罐，以假乱真延缓攻击：多种真实蜜罐和服务形成的蜜罐系统，使入侵者难以分辨后逗留在蜜网内暴露入侵踪迹。

隐密取证，抓获自然人：通过获取设备指纹、社交信息、位置信息等数据快速勾勒攻击者画像，提供完整攻击信息，为溯源、抓捕攻击者提供有效依据。

转移战场，高度内网安全保障：将攻击流量引出内网转移战场到SaaS蜜网环境，并从网络隔离、流量单向控制等维度配置安全防护系统，保证系统自身不被攻击者识别和破坏。

捕获0day攻击等高级新型威胁：蜜网流量纯粹，无干扰流量，基于攻击行为分析可以快速定位未知威胁并配合真实业务进行优化防御策略。

安全专家服务一键接入：德迅云安全蜜罐管理平台由专家团队监控维护，一旦发现安全风险，及时分析预警，配合客户进行应急响应。

结语：

德迅猎鹰（云蜜罐）为面临更多网络攻击、需要形成自身立体主动防御的行业客户而生，可解决日常网络防护及高对抗性网络安全事件响应的实际需求，并且已经以自身的应用表现展现了自身的价值。我们由衷相信在知道创宇专业能力加持与云蜜罐产品自身不断优化创新下，在未来会通过“云蜜罐”为更多网络快速搭建主动防御系统，完善网络安全防护建设，与各行各业共同努力，倾尽全力保障网络安全、实现社会稳定与国家安全。