春秋云阵蜜罐：仿得真、抓得全、易分析( 二 ) ——《孙子兵法》 &e

众所周知，蜜罐实质上是欺骗式防御技术，只有高仿真、高甜度的蜜罐才能成功欺骗诱导攻击者，并让攻击者陷入“沉浸式”体验。是否仿的足够真、场景足够甜，是选择蜜罐的首要考量点。

春秋云阵蜜罐以平行仿真系列技术为核心，能够依据现实网络系统进行细粒度场景仿真，模拟各类高逼真的典型网络业务场景，欺骗并诱导攻击者不断深入，进而实现高甜度诱捕、零误报发现、高处置防御，为防御体系构建一个全新的优势维度。

数百种应用仿真：以往提到蜜罐，大多会分为低交互蜜罐和高交互蜜罐两类，通过在这些蜜罐上对常用的端口、服务、应用等做仿真或部署，来吸引攻击者的注意，进而对其实现诱捕。春秋云阵蜜罐自带数百种这样的仿真服务或应用，直接在后台勾选即可启用或关闭;

“高甜度”蜜罐设计：捕获精明的“猎物”需要更高级的陷阱。春秋云阵提供智能化高交互式界面，防御者可基于浏览器的远程桌面对内置靶标中的web服务页面、数据库字段、其他常用服务账号，甚至其中的仿真数据等进行任意配置和修改，将通用陷阱修改为与周围信息系统环境完全一致的“高甜度”仿真蜜罐。系统自带爬取工具，也可指定URL进行自动化数据学习和爬取;

随需构建和配置蜜网：如果说一个蜜罐是给了攻击者一个房间进行探索的话，那蜜网就相当于给了攻击者一栋大楼，可以让他们长时间的留存在一个由防御者营造的虚假多层空间中，不断的暴露自身的更多信息。春秋云阵基于平行仿真系列技术和网络靶场构建的“春秋云”底层架构，全面支持利用自有的各类靶标进行简单可视化的蜜网构建;

多类型诱饵部署：春秋云阵支持多类型信息诱饵模式，防御者可以从后台页面中导出相应诱饵文件或信息，快速喷洒到互联网、内网主机或一些重要信息片段的内部，引诱攻击者进到蜜罐陷阱中。

2、抓得全，证据足

上面第一条“仿得真”是为了诱捕攻击者，而这第二点则为了在攻击者进到蜜罐后获取其更多信息。在网络空间中，任意的访问行为都会或多或少的留存下相应的信息线索，如何能精准、有效、清晰的获得这些平时不易察觉的数据是蜜罐价值的一大呈现。

春秋云阵能够从流量和蜜罐靶标两个层面，全面获取和识别攻击者各类信息，主要包括：

识别攻击者ip等五元组信息;

识别攻击者应用的各类扫描或arp、DoS等攻击流量模式;

记录攻击者的操作系统、浏览器指纹、cookie信息、社交账号等身份相关信息，详细留存攻击者在攻击过程中所使用或生成的工具、文本等各类样本证据，以及全部攻击流量;

根据春秋云阵专家系统存有的六大类一百余种确定手法，可识别攻击者在进入蜜罐系统后的所有攻击行为。

3、易分析，看得清

在捕获到足够的攻击者信息后，下一步的关键就是溯源和定位。春秋云阵具备非常易用的数据查询和分析能力，可梳理出关键攻击节点信息并完成溯源分析。

独创“罐内威胁和罐外威胁”双视角分析模式：首先将触碰和探测蜜罐入口的行为定义为罐外威胁，而将真正通过漏洞利用等方式进入到蜜罐仿真场景后的行为定义为罐内威胁。通常罐外威胁数据量较大，有大量的探测和尝试行为;而罐内威胁则基本是攻击者明确的攻击行为，数量较少，但行为轨迹明确而简练;