产品发布！融安网络工业入侵诱捕系统发布，助力网络安全防护再添“利器”

前言

现阶段网络安全的攻防博弈过程中，攻击方和防守方的对抗是不对称的，比如工作量、所得信息、面临的后果以及主动权的掌握等方面。传统防御体系的不足之处以及网络攻防过程中的不对称博弈，造成了当前攻击泛滥且难以溯源的情况，那么有没有一种方式，化被动为主动，使防守方在攻防博弈中占据有利地位呢？在入侵行为对信息系统发生影响之前，能够及时精准预警，实时构建弹性防御体系，降低、避免、转移信息系统面临的风险？

随着大数据分析技术、云计算技术、SDN技术、安全情报收集的发展，信息系统安全检测技术对安全态势的分析越来越准确，对安全事件预警越来越及时精准，安全防御理念逐渐由“被动防御”向“主动防御”转变。

结合当前安全现状，适时地提出的“入侵诱捕”技术，基于欺骗防御技术的主动安全防御技术，契合当下“主动防御”的理念，是对现有安全体系的有效良好补充，根据用户核心业务资产拓扑结构，生成相似度极高的业务场景，诱惑黑客攻击，混淆黑客攻击前收集的信息真实有效性，从而第一时间发现黑客攻击；实现更有效的将用户核心业务系统、核心数据的安全级别提升。

产品理念

融安网络基于欺骗防御技术在网络中部署蜜罐感知节点和诱饵陷阱，从网络和主机两个层面诱使攻击者实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击战术、技术和方法，推测攻击意图和动机，追溯攻击来源，最终在保护真实资产的同时，使用户清晰地了解所面对的安全威胁。

工业入侵诱捕系统通过无插件的方式部署到用户网络中，形成与真实企业网络高度相似的全方位欺骗层。产品的核心理念是在网络安全防御体系中引入攻击者视角，在攻击者的攻击路径上遍布诱饵和陷阱，实现全方位的欺骗式安全防御。

部署方式简单便捷，Trunk方式接入核心/汇聚交换机，动态跨网段投放蜜罐感知节点，形成一个真实主机与蜜罐节点共存的幻影环境。用户无需在真实主机上安装任何Agent或插件，把对真实环境的影响降至最低；也无需增加额外的硬件或虚拟机，控制部署成本。

核心功能

未知威胁检测

工业入侵诱捕系统是基于蜜罐技术的安全防御、数据采集与分析系统，数据采集使用可信进程管理，可疑进程行为分析技术，不依赖病毒库/特征库/漏洞库，能够有效检测0day/社工/APT等未知威胁。

工业入侵诱捕系统支持高交互蜜罐和低交互蜜罐，融安网络高交互蜜罐优势鲜明，可以实现除数据脱敏之外，其他包括操作系统、应用软件、软件版本、业务模式、交互逻辑完全仿真用户真实系统，具备一个真实系统所能够具备的所有特点，对于捕获0day、社会工程学攻击以及APT攻击等高级攻击方式提供技术支撑。

工业入侵诱捕系统投放的蜜罐感知节点是虚拟的，原本不存在的，正常的业务流量不可能访问到，所有针对蜜罐感知节点的访问都是可疑的，所以误报率近乎零，减少了很大的运维压力。数据包捕获技术综合使用了多种优秀技术的优点，对于采集到的数据包进行完整的记录，所以漏报率近乎零，不放过任何一次攻击行为。

内网横向攻击检测

系统架构基于虚拟技术和容器技术，结合强大的隔离技术和访问控制，工业入侵诱捕系统的安全性得到广大用户的认可，保障内网安全也是工业入侵诱捕系统的一大优势。

蜜罐感知节点遍布整个网络环境，实时检测内网攻击流量，对于目前东西向流量缺乏安全管控的大环境是一个很有效的补充。另外，工业入侵诱捕系统与诱饵的结合使用能够在攻击者的攻击路径上部署蜜罐和诱饵，能够确保攻击者不论是普通攻击还是高级攻击都能够被准确探测到，令攻击者无从下手、无处可逃。

攻击画像和溯源

根据捕获到的攻击信息对比分析攻击者的攻击习惯和技术特点对攻击者进行画像和溯源。针对攻击者使用直接攻击、跳板攻击或者僵尸网络攻击的不同方式，工业入侵诱捕系统采用不同的应对手段，比如攻击者本地JS脚本植入技术能够帮助我们捕获攻击者的源IP地址和设备指纹信息，人机识别技术能够识别攻击者是否使用了僵尸网络，攻击反制手段能够反向打击攻击者获取攻击者本地其他信息。

资产隐藏

工业入侵诱捕系统接入网络后，向全网投放蜜罐感知节点，创建全网高仿真蜜网环境，真实主机和蜜罐感知节点共存，虚虚实实、真真假假，攻击者难以锁定真实目标，从而实现了隐藏真实资产的目的。

攻击者在发起攻击的第一阶段——侦察时，蜜罐感知节点迅速检测到攻击行为，并且将攻击流量引入蜜网隔离环境，使其远离真实网络，同时延缓攻击进程，为用户争取应急响应时间。与此同时，工业入侵诱捕系统对攻击者进行全程监控，详细记录攻击步骤、攻击工具和攻击手段，作为日后取证的依据。

客户价值

真假共存，构建全网仿真环境

蜜罐感知节点遍布网络中每个角落，在正常业务不受影响的前提下，实现全网仿真环境的搭建，真实主机和蜜罐感知节点共存，大大增加了网络的迷惑性和复杂性，攻击者无法摸清状况，很难找到真实目标。

主动出击，摆脱被动挨打局面

内网通过部署蜜罐感知节点来增加攻击感知面，主动捕捉内网横向移动的攻击流量；可以选择将蜜罐感知节点公布到互联网，并且向互联网发布诱饵信息，主动吸引攻击者进行攻击，而我们接下来要做的就是捕获和分析攻击行为，了解和学习攻击战术、技术和方法，推测攻击意图和动机，追溯攻击来源，使我们能够清晰地了解当前所面对的安全威胁。

洞悉安全，解决内网安全盲点

高级持续性威胁APT，通过社会工程学手段控制企业内部主机，长期潜伏保持静默，一旦时机成熟则以该主机为跳板，逐步提权来控制其他重要主机，从而达到内网横向渗透的目的工业入侵诱捕系统利用蜜罐和诱饵技术，在攻击者的攻击路径上投放大量高仿真的蜜罐感知节点和诱饵陷阱，无论是已知威胁还是高级未知威胁，在攻击者发起攻击的第一阶段就能够发现，将攻击行为扼杀在萌芽状态。

行为分析，高级未知威胁对抗

工业入侵诱捕系统采用基于行为的数据分析技术，支持高交互蜜罐的部署，高交互蜜罐的技术特性决定了其对于0day、社会工程学攻击以及APT攻击等高级未知威胁有很好的捕获效果，是企业应对高级未知威胁的主流防御方式。

溯源取证，证据完整定位源头

融安网络独创远程JS植入技术，一旦攻击者打开蜜罐页面，JS脚本便在攻击者的本地植入，可收集攻击设备的指纹信息，包括UA、IP、MAC、IMEI等。

人机识别技术采用独特的针对攻击方鼠标键盘等信息的收集和分析技术，精准判断攻击者的攻击路径，包括攻击者本人、跳板机、僵尸机以及反射器等等。

攻击反制手段另辟蹊径，通过对于跳板机和僵尸机的反向控制，最终实现对原始攻击者的反制。

高效运维，部署快捷运维简单

工业入侵诱捕系统部署简单，旁路接入交换机，Trunk方式入网，简单部署便可实现全网仿真环境的搭建。设备配置灵活，操作简单，运维轻松。

蜜罐感知节点专为黑客攻击行为定制，对正常业务既不需要镜像也不需要捕获转发，因此对于业务没有影响，同时捕获到的流量均为可疑流量，大大减小了运维压力。