融安网络工业入侵诱捕系统发布！助力网络安全防护再添“利器”

　　

　　前言

　　现阶段网络安全的攻防博弈过程中，攻击方和防守方的对抗是不对称的，比如工作量、所得信息、面临的后果以及主动权的掌握等方面。传统防御体系的不足之处以及网络攻防过程中的不对称博弈，造成了当前攻击泛滥且难以溯源的情况，那么有没有一种方式，化被动为主动，使防守方在攻防博弈中占据有利地位呢？在入侵行为对信息系统发生影响之前，能够及时精准预警，实时构建弹性防御体系，降低、避免、转移信息系统面临的风险？

　　随着大数据分析技术、云计算技术、SDN技术、安全情报收集的发展，信息系统安全检测技术对安全态势的分析越来越准确，对安全事件预警越来越及时精准，安全防御理念逐渐由“被动防御”向“主动防御”转变。

　　结合当前安全现状，适时地提出的“入侵诱捕”技术，基于欺骗防御技术的主动安全防御技术，契合当下“主动防御”的理念，是对现有安全体系的有效良好补充，根据用户核心业务资产拓扑结构，生成相似度极高的业务场景，诱惑黑客攻击，混淆黑客攻击前收集的信息真实有效性，从而第一时间发现黑客攻击；实现更有效的将用户核心业务系统、核心数据的安全级别提升。

　　产品理念

　　融安网络基于欺骗防御技术在网络中部署蜜罐感知节点和诱饵陷阱，从网络和主机两个层面诱使攻击者实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击战术、技术和方法，推测攻击意图和动机，追溯攻击来源，最终在保护真实资产的同时，使用户清晰地了解所面对的安全威胁。

　　工业入侵诱捕系统通过无插件的方式部署到用户网络中，形成与真实企业网络高度相似的全方位欺骗层。产品的核心理念是在网络安全防御体系中引入攻击者视角，在攻击者的攻击路径上遍布诱饵和陷阱，实现全方位的欺骗式安全防御。

　　部署方式简单便捷，Trunk方式接入核心/汇聚交换机，动态跨网段投放蜜罐感知节点，形成一个真实主机与蜜罐节点共存的幻影环境。用户无需在真实主机上安装任何Agent或插件，把对真实环境的影响降至最低；也无需增加额外的硬件或虚拟机，控制部署成本。

　　

　　核心功能

　　未知威胁检测

　　工业入侵诱捕系统是基于蜜罐技术的安全防御、数据采集与分析系统，数据采集使用可信进程管理，可疑进程行为分析技术，不依赖病毒库/特征库/漏洞库，能够有效检测0day/社工/APT等未知威胁。

　　工业入侵诱捕系统支持高交互蜜罐和低交互蜜罐，融安网络高交互蜜罐优势鲜明，可以实现除数据脱敏之外，其他包括操作系统、应用软件、软件版本、业务模式、交互逻辑完全仿真用户真实系统，具备一个真实系统所能够具备的所有特点，对于捕获0day、社会工程学攻击以及APT攻击等高级攻击方式提供技术支撑。

　　

　　工业入侵诱捕系统投放的蜜罐感知节点是虚拟的，原本不存在的，正常的业务流量不可能访问到，所有针对蜜罐感知节点的访问都是可疑的，所以误报率近乎零，减少了很大的运维压力。数据包捕获技术综合使用了多种优秀技术的优点，对于采集到的数据包进行完整的记录，所以漏报率近乎零，不放过任何一次攻击行为。

　　内网横向攻击检测

　　系统架构基于虚拟技术和容器技术，结合强大的隔离技术和访问控制，工业入侵诱捕系统的安全性得到广大用户的认可，保障内网安全也是工业入侵诱捕系统的一大优势。

　　蜜罐感知节点遍布整个网络环境，实时检测内网攻击流量，对于目前东西向流量缺乏安全管控的大环境是一个很有效的补充。另外，工业入侵诱捕系统与诱饵的结合使用能够在攻击者的攻击路径上部署蜜罐和诱饵，能够确保攻击者不论是普通攻击还是高级攻击都能够被准确探测到，令攻击者无从下手、无处可逃。

　　

　　攻击画像和溯源

　　根据捕获到的攻击信息对比分析攻击者的攻击习惯和技术特点对攻击者进行画像和溯源。 针对攻击者使用直接攻击、跳板攻击或者僵尸网络攻击的不同方式，工业入侵诱捕系统采用不同的应对手段，比如攻击者本地JS脚本植入技术能够帮助我们捕获攻击者的源IP地址和设备指纹信息，人机识别技术能够识别攻击者是否使用了僵尸网络，攻击反制手段能够反向打击攻击者获取攻击者本地其他信息。

　　

　　资产隐藏