G行网络安全纵深防御体系之蜜罐系统探索与实践，从零基础到精通，收藏这篇就够了！

G行网络安全纵深防御体系之

蜜罐系统探索与实践

近年，G行持续围绕网络安全纵深防御体系开展安全防护能力建设，在互联网边界至数据中心内部安全区域分别部署了DDoS抗拒绝服务攻击设备、防火墙、入侵检测及响应、SSL WEB加解密、应用层WAF防御以及蜜罐系统等安全防护设备（系统），构建从网络边界到内部的多层防御机制；其中，蜜罐系统在高级威胁攻击意图情报收集及行踪监测预警方面起重要作用。

0****1

蜜罐系统概述

蜜罐的定义

蜜罐是一种基于网络欺骗和数据捕获思想的主动欺骗防御技术，通过仿真技术模拟目标真实系统或网络服务，如WEB服务器、数据库、网上办公系统等，吸引潜在攻击者进入蜜罐，进而捕获并分析攻击流量和样本。当攻击者尝试入侵、渗透或操作蜜罐系统时，蜜罐会记录和监测攻击者的活动，从而捕获攻击者的网络流量、攻击代码、漏洞利用尝试等信息。

蜜罐主要功能

蜜罐系统需兼顾防御、检测和响应三个维度功能，防御方面指能够实现攻击转移、诱捕异常流量，保护内部真实资产；检测方面指能够实现攻击检测、捕获、分析、取证、预警，第一时间了解攻击动态；响应方面指根据检测结果进行调查，复原攻击流路径，确认攻击源情况，溯源攻击者身份，并最终实现阻断攻击溯源反制。蜜罐技术可迷惑攻击者，让攻击者误以为已经攻破目标，从而分散注意力或增加攻击者攻击难度，达到发现异常攻击行为、保护内部资产的效果。

蜜罐架构概述

通常蜜罐安全架构可通过自研或采购商用蜜罐产品共同组建，分别部署在互联网边界及内部各重要网络区域边界，实时监测互联网及内网异常访问流量并进行捕获分析，有效保护企业内部真实业务资产。

互联网边界防护方面，可针对企业内部对外真实互联网应用进行仿真，创造多个不同的虚拟服务网站。对于正常访问用户而言，伪服务站点一般不会直接被外部感知发现。

内网防护方面，蜜罐通过管理引擎和分布在其它各个子网的蜜罐组建分布式模拟仿真集群。管理引擎负责各具体蜜罐系统的统筹管理，包含告警收集、功能展示等；蜜罐流量探针负责在各个网络区域内提供流量感知节点，实现各业务网段横向异常流量的感知监测、实时告警和蜜网引流。

0****2

G行建设落地情况介绍

为实现攻击者横向移动的威胁发现、攻击捕获转移、异常流量监测以及攻击行为记录等现实需求，G行基于网络安全纵深防御相关要求从以下几个方面加强蜜罐能力。

仿真业务蜜罐以假乱真

通过与真实业务系统功能高度近似的高交互仿业务性的环境仿真技术，在互联网边界部署了仿真蜜罐，使得攻击者误认为该蜜罐为实际生产环境，包括诸如模拟在线办公、业务平台等各类系统。

攻击者指纹收集追本溯源

互联网蜜罐具备攻击溯源能力，一旦攻击者触碰到了蜜罐系统，无论攻击者接下来是否进行下一步的攻击行为，其访问蜜罐的相关信息如访问IP地址信息、操作系统会被记录，形成一个特征指纹。互联网蜜罐能够有效区分自动化机器程序和人员具体操作行为，能够不被代理所蒙蔽并追溯到真实攻击者信息，同时支持将同一名攻击者的多种不同来源、多种不同行为互相关联。这样，安全工程师可以顺藤摸瓜，还原攻击者身份。

分布式架构星罗棋布

G行蜜罐系统采用分布式架构，部署覆盖互联网边界、总行、分行业务网络区域的关键节点，在攻击者路径上进行模拟，并通过一系列监控、预警手段，对攻击者行为进行实时审计、预警，用以迅速检测入侵者的攻击并获知其进攻的技术和意图，实现攻击转移。

异构部署百花齐放

在不同区域部署不同类型蜜罐设备，集各家所长，协同监测低交互、高交互蜜罐，尽量避免发生遗漏、缺陷、单一功能监测等不足，根据各区域特点针对性部署高、低交互蜜罐的多级场景，协同转发共同监测攻击流量。

告警监测自成一体

为实现和行内安全大脑态势平台对接，蜜罐系统采用统一接口及统一日志告警格式，受到攻击时，将告警信息集中发送至运维安全统一归集平台，并汇总至态势感知平台，依托安全大脑分析能力实现与其它安全组件协作联动分析、研判、处置。

主机蜜罐全民皆兵

依托在开放平台服务器部署主机安全监测Agent，与厂商协作自创推广部署主机级蜜罐，扩大入侵检测监控范围。通过对主机异常网络行为伪装监听，实现主机即蜜罐，有效监控端口扫描攻击行为、记录各类攻击行为线索，提供主机系统安全防护能力。

随着各行互联网边界防护能力的提升，攻击者往往会结合钓鱼邮件、虚假链接等社会工程学手段实现控制企业内部终端，平时长期潜伏静默，一旦时机成熟则以该终端为跳板，逐步提权来控制其它重要终端或服务器，从而达到内网横向渗透的目的。为此，G行在部分区域和终端投放部署了仿真陷阱，在攻击者发起攻击的第一阶段及时发现，及时处置。

0****3

全栈云环境下容器蜜罐探索

为应对云原生带来的新挑战，同时根据金融行业监管机构标准规范、国家等级保护2.0标准规范的相关指导意见，G行在全栈云现有基础安全防护能力基础上，逐步探索通过在全栈云生产环境部署蜜罐系统控制台，并在各应用系统命名空间内以容器形式部署威胁检测容器探针，实现云上异常流量监测、攻击捕获溯源及攻击反制等能力：

创建云蜜罐控制台和威胁检测容器探针

**控制台层面：**在全栈云环境部署蜜罐控制台，同时在系统中启用对应类型和数量的仿真蜜罐（如：各类行内仿真系统等）。

**威胁检测容器探针方面：**通过云管K8S平台在各应用系统的命名空间内创建威胁检测容器探针。此时，可根据部署命名空间内应用系统的业务类型、服务端口开放情况设置相似类型蜜罐沙箱，并与部署的威胁检测容器探针进行绑定，模拟同类真实业务场景。

异常流量感知

云蜜罐控制台和容器探针部署完毕后，可针对容器、Pod间横向恶意攻击行为进行监测感知，容器探针会将恶意攻击流量转发至云蜜罐沙箱中进行伪服务交互。当攻击者已经控制某业务系统容器权限并开展横向信息搜集时，容器探针可快速发现扫描探测行为，并上报蜜罐系统平台进行响应、分析、溯源。

总结

在安全防护手段方面，面对未来新技术发展催生攻击形式的变化，以蜜罐为代表的主动攻击诱捕类技术将会得到更多的重视和应用。未来会有更多类型的蜜罐出现，蜜罐部署方式也会日趋复杂，企业安全团队需要对新技术应用催生的新业务场景进行细化模拟来增强攻击感知，同时结合AI人工智能等技术，组建从服务器到监控，从传统网络环境到云环境等新兴技术领域的一体化主动威胁防护机制，护航金融业务系统高质量发展。