2021年威胁诱捕（蜜罐）类产品研究与测试报告.docx

2021年威胁诱捕（蜜罐）类产品研究与测试报告目 录一、威胁诱捕（蜜罐）技术演变及发展历程 1（一）蜜罐技术发展历程 1（二）蜜罐关键技术演变 2二、威胁诱捕（蜜罐）产品发展现状 4（一）蜜罐技术分类 4（二）蜜罐技术部署形态 7三、国内威胁诱捕（蜜罐）产品市场应用现状 11（一）威胁诱捕（蜜罐）产品国内部署现状 11（二）威胁诱捕（蜜罐）产品能力应用现状 12（三）威胁诱捕（蜜罐）产品应用评价 15四、蜜罐类产品测试情况综述 18（一）测试基本情况 18（二）测试环境介绍 19（三）测试方法说明 21（四）测试内容简介 22五、蜜罐类产品测试结果总体分析 23（一）交互模式支持度较为全面 23（二）威胁情报的赋能有待加强和完善 25（三）产品自身管理能力总体较好 28（四）蜜罐研发团队需加强人才投入 30六、蜜罐类产品测试结果功能维度分析 31（一）服务伪装功能测试结果分析 31（二）欺骗防御功能测试结果分析 38（三）风险分析功能测试结果分析 45（四）风险展示功能测试结果分析 53（五）蜜罐管理功能测试结果分析 57（六）安全性功能测试结果分析 65（七）性能测试结果分析 70七、蜜罐类产品部分特色功能验证 72（一）基于自适应的智能化动态诱捕——智信安全 73（二）面向工控环境的蜜罐产品——山东云天 75（三）拟态构造蜜罐——紫金山实验室 79八、蜜罐类产品趋势展望 82（一）高仿真、高交互能力持续增强 82（二）应用场景更加广泛 83（三）行业定制化需求进一步显现 83图 目 录图 1 蜜网基本体系结构图 8图 2 蜜场技术概念图示 9图 3 蜜标部署原理 10图 4 企业是否选择部署威胁诱捕（蜜罐）产品 11图 5 已部署威胁诱捕（蜜罐）产品的行业分布 12图 6 企业部署蜜罐产品的主要目的 13图 7 企业希望蜜罐产品覆盖的业务类型 13图 8 企业关注的蜜罐产品溯源信息 14图 9 企业希望蜜罐产品满足的部署方式 15图 10 蜜罐产品效果是否达到预期 15图 11 蜜罐产品在攻防演练中的效果 16图 12 蜜罐产品需增强的能力 17图 13 企业对蜜罐产品不满意调查 17图 14 测试网络拓扑图 20图 15 测试现场 21图 16 某蜜罐产品功能界面图 24图 17 受测产品交互种类支持情况 24图 18 某蜜罐产品功能界面图 26图 19 受测产品威胁情报产出功能支持情况 26图 20 受测产品关联威胁情况功能支持情况 27图 21 某蜜罐产品功能界面图 28图 22 产品自身管理功能结果比例图 29图 23 产品用户标识与鉴别功能结果比例图 29图 24 产品响应处理功能结果比例图 30图 25 企业研发团队情况分析 30图 26 某蜜罐产品功能界面图 33图 27 某蜜罐产品功能界面图 34图 30 某蜜罐产品功能界面图 37图 31 服务伪装功能支持情况 37图 32 服务伪装功能测试结果图 38图 33 某蜜罐产品功能界面图 40图 34 某蜜罐产品功能界面图 41图 35 某蜜罐产品功能界面图 42图 36 某蜜罐产品功能界面图 43图 37 某蜜罐产品功能界面图 43图 38 欺骗防御功能支持情况 44图 39 欺骗防御功能测试结果图 45图 40 某蜜罐产品功能界面图 47图 41 某蜜罐产品功能界面图 47图 42 某蜜罐产品功能界面图 48图 43 某蜜罐产品功能界面图 49图 44 某蜜罐产品功能界面图 50图 45 某蜜罐产品功能界面图 51图 46 风险分析功能支持情况 51图 47 风险分析功能测试结果图 52图 48 某蜜罐产品功能界面图 53图 49 某蜜罐产品功能界面图 54图 50 某蜜罐产品功能界面图 55图 51 风险展示功能支持情况 56图 52 风险展示功能测试情况 56图 53 某蜜罐产品功能界面图 58图 54 某蜜罐产品功能界面图 59图 55 某蜜罐产品功能界面图 60图 56 某蜜罐产品功能界面图 61图 59 某蜜罐产品功能界面图 63图 60 蜜罐管理功能支持情况 63图 61 蜜罐管理功能测试情况 64图 62 安全管理能力支持情况 66图 63 某蜜罐产品功能界面图 66图 64 用户标识与鉴别支持情况 67图 65 某蜜罐产品功能界面图 67图 66 响应处理能力支持情况 68图 67 某蜜罐产品功能界面图 68图 68 安全性功能测试支持情况 69图 69 安全性功能测试情况 69图 70 智信蜜罐架构图 74图 71 智信蜜罐测试界面图 75图 72 昊天工控蜜罐 77图 73 工控蜜罐部署图 77图 74 测试过程 78图 75 测试过程界面 78图 76 测试过程 79图 77 测试结果展示 79图 78 拟态蜜罐架构图 1 81图 79 拟态蜜罐架构图 2 82表 目 录表 1 蜜罐技术发展期 2表 2 产品型蜜罐和研究型蜜罐的优缺点对比 5表 3 不同交互度蜜罐对比 6表 4 各企业到场测试产品情况 18表 5 蜜罐类产品测试项目表 22表 6 服务伪装能力组 38表 7 欺骗防御能力组 45表 8 风险分析能力组 52表 9 风险展示能力组 57表 10 蜜罐管理能力组 64表 11 蜜罐安全性能力组 70表 12 性能测试项 70一、威胁诱捕（蜜罐）技术演变及发展历程随着网络攻击对抗升级，传统的单向边界防御技术愈发不能满足企业应对高级未知威胁的需求，蜜罐技术的出现及成熟改变了这一被动防御的局面。

蜜罐（Honeypot Technology）是一种通过工具诱骗攻击者，令安全人员得以观察攻击者行为的主动网络防御技术，其应对的不是攻击或漏洞，而是关注攻击者本身该项技术通过欺骗诱捕打乱攻击节奏，增加攻击复杂度，给企业增加更多响应时间，并有可能对攻击者进行分析溯源从而预防攻击从 2015 年起，Gartner 连续四年将攻击欺骗列为最具有潜力的安全技术主要原因包括：一是该技术是通过欺骗或者诱骗的手段来挫败或者阻止攻击者的认知过程；二是可自动化部署在企业防火墙后，利用攻击欺骗检测出已经入侵到内网的攻击者；三是在端点、网络、应用、数据等不同的层面用不同的方法实现对应的攻击欺骗，从而对攻击者进行诱捕目前，蜜罐技术作为常见的威胁检测及欺骗防御手段，已经在国内外得到较为广泛的应用一）蜜罐技术发展历程蜜罐从概念到落地从 1998 年开始该技术发展初期主要是通过虚拟的操作系统和网络服务，对入侵者实施欺骗初期蜜罐技术根据针对攻击的回应方式可以分为回应式和黑洞式，前者对攻击者的所有探测和攻击行为都予以满足和应答，后者则是完全不予应答，如同“黑洞”一样吞食所有的攻击行为现阶段，由于企业网络逐渐呈现架构高复杂化、安全报警信息海量化的特点，给欺骗防御技术即蜜罐技术在模拟对象类型、仿真精细度、自动化程度等方面提出了更高的要求。

厂商和安全研究人员不断对蜜罐技术进行优化，从而逐渐形成新型蜜罐、蜜网、分布式蜜罐、分布式蜜网乃至蜜场等多种落地形态蜜罐的发展期可大致划分为 5 个阶段：表 1 蜜罐技术发展期概念期发展初期完善期市场应用期创新发展期新型防御思路蜜 罐 产 品DTK 发布Spitzner 提 出 蜜网技术；分布式概念被引入蜜罐技术的发展扩展并应用至工业控制系统等多个领域基于新型攻击方式和威胁形势，结合新兴技术创新蜜罐技术1989-1997 年1998 年1999-2003 年2004-2020 年2020 年-今来源：FreeBuf 咨询从蜜罐技术部署层面看，蜜罐的模拟能力已经从终端系统模拟发展到应用层模拟，具备了更高的交付能力；产品部署形态则从实体机部署变成了实体加虚拟部署两种形态，部署形式则以探针导向和流量牵引为主二）蜜罐关键技术演变完整的蜜罐涵盖 3 个核心技术点，即网络欺骗（诱捕环境构建）、监控记录（监控入侵行为）、处置措施（将监控获取的数据进行提取、分析从而实现追踪溯源等目的）其中，网络欺骗是蜜罐技术体系中的核心技术，将原本假的、非真实的、没有价值的信息伪装成看似真实、有价值的信息，从而达到欺骗攻击者的核心目的。

在《A Note on the Role of Deception in Information Protection》1中，Cohen 对欺骗的特点做了如下总结：一是欺骗增加了攻击者工作量，因为他们无法轻易预测哪些攻击行为会成功，哪些会失败；二是欺骗允许防御者追踪攻击者的种种入侵尝试并在攻击者找到防御者的真实漏洞之前进行响应；三是欺骗消耗攻击者资源；四是欺骗对攻击者的技能水平提出了更高要求；五是欺骗增加了攻击者的不确定性由于蜜罐是通过欺骗将攻击者引入诱捕环境从而实现主动防御，因此我们可以根据欺骗的实施时间，将网络欺骗技术分为攻击前欺骗和攻击时欺骗攻击前欺骗主要通过仿真环境的构建来实现传统的蜜罐一般提供单维的仿真，仿真对象包括特定的主机、服务、应用环境，其中环境仿真技术主要包括软件仿真技术、容器仿真技术、虚拟机仿真技术等：1.软件仿真：可仿真应用软件，但交互能力相对较低；2.容器仿真：可仿真应用软件、系统软件，具备高交互能力；3.虚拟机仿真：可仿真应用软件、系统软件及设备，具备高交互能力蜜罐本身基于仿真技术，但为了实现欺骗诱捕需要结合更多对于业务的理解和威胁的认知，所以现阶段的蜜罐更多是提供多维仿真，即在仿真技术的基础下，通过结合真实网络环境和企业业务环境，定制环境仿真配置及相关数据，如通过端口重定向在蜜罐中模拟出一个非工作服务，在与提供真实服务主机相同类型和配置的主机上绑定虚拟服务，从而增强“真实性”，实现更高欺骗性。

当诱捕环境构建完成，攻击者进入仿真环境，为了确认系统的真实性往往会对网络流量进行查探，因此在攻击时欺骗阶段，需要配合流量仿真技术、网络动态配置技术、重定向技术依次实现构造仿真流量、模拟正常的网络行为、使得网络状态随时间改变以及检测到恶意数据流时进行重定向（避免影响正常业务）综合多种欺骗技术手段的蜜罐可以达到欺骗效果增强，最终诱敌深入的目的随着攻防对抗升级，蜜罐技术也在不断发展，将为主动防御体系带来更多的应用价值，比如：1.通过更细粒度的业务环境模拟，将模拟从终端发展到应用层、文件层；2.结合Al 等新技术进行攻击者行为分析；3.出现拟态特征构建和动态演化技术，提升新型蜜罐的自适应能力二、威胁诱捕（蜜罐）产品发展现状（一）蜜罐技术分类蜜罐技术发展到现在，已出现多种成熟的蜜罐工具一套成熟的蜜罐系统通常由核心模块和辅助模块两部分组成：核心功能模块是诱骗与监测攻击方的必需组件，具备构建仿真环境、捕获攻击数据以及威胁分析等功能；辅助模块是。