创宇蜜罐-威胁诱捕与入侵监测系统软件

创宇蜜罐是利用 络空间欺骗技术，为倍受黑客攻击的高危行业客户提供应对高级威胁的诱捕与溯源系统。通过部署轻量级客户端，或配置迷惑性高的子域名，能有效地诱骗攻击进入预置蜜罐陷阱隔离，从而延缓攻击，保护真实资产安全，并帮助用户追踪溯源，定位攻击者自然人身份，提升主动防御能力。

商品介绍

高交互蜜罐

高交互蜜罐是创宇蜜罐的核心能力之一，是其成功实现攻击诱导、保护真实资产的重要基础。高交互蜜罐不仅具备完整操作系统的正常交互响应，在此基础上部署的仿真业务系统及漏洞，更让蜜罐具有足够的诱惑性，同时，由于高交互蜜罐系统不应该承载真实业务，因此发现的任何流量都可认为是恶意行为，这样能大幅提升威胁发现、跟踪能力。更进一步地，通过将多个高交互蜜罐组成蜜 ，让攻击者误以为进入真实业务环境，殊不知所有的行为均被一一记录和监视。

具体地，高交互蜜罐能够对以下多种类 IT 设施进行模拟：

络协议与基础服务

例如SSH、DNS、FTP、Samba、SMTP、Rsync等等。

数据库与开发应用

例如 ElasticSearch数据库、MySQL数据库、MongoDB数据库、Redis数据库、代码托管服务、研发协同平台等。

业务应用

例如 OA、CRM、邮件系统等。

防火墙类

例如堡垒机服务、VPN客户端等。

自定义蜜罐

用户可以通过基础蜜罐 + 自定义服务内容的方式实现与自有业务高度相似的蜜罐。

内外 路径诱骗

创宇蜜罐提供客户端与子域名两种路径诱骗的方法，分别应用于内外 不同场景。

内 场景

在内 场景中，蜜罐的入口散布的越多，捕获到攻击者的概率也会更高。通过在隔离 段旁路部署客户端，利用IP覆盖将大量空闲IP分配给蜜罐服务（可以覆盖 C段、B 段，甚至 A 段），结合产品提供的中继链路模式实现跨 段部署，这些 IP 地址最终都会被重定向至蜜罐环境，成为蜜罐的入口。此时内 中若存在被入侵并中毒的设备，在试图横向攻击时，蜜罐捕获到攻击的几率便会大大提高，从而快速在众多资产中定位隐藏的被感染设备。

外 场景

在外 场景中，可以配置解析蜜罐系统智能推荐的具有高诱捕性的子域名，并结合部署Web类高仿真蜜罐（如：企业官 、OA系统、电商 站、论坛等）。在没有官方入口的情况下，真实访客通常不会进入诱捕子域名，而试图从旁站突破的攻击者，则更可能在扫描探测时进入诱捕子域名，从而被蜜罐捕获。

威胁记录监测

安全运维人员在收到告警消息后，可以登入创宇蜜罐管理系统，查看此次威胁事件的详情。创宇蜜罐尽可能丰富地收集威胁事件日志，用户可下载威胁事件的详细日志数据包用于分析。对于高交互型蜜罐，比如当攻击者以 SSH 方式登入蜜罐后，创宇蜜罐将全程记录此次会话，用户也可以回放本次攻击，以视频形式观看此次攻击会话的全过程。同时蜜罐还会监听并获知攻击者可能在蜜罐中上传的文件，并且为这些遗留文件在页面上提供下载分析途径，使蜜罐系统成为大规模采集恶意样本的途径之一。

商品文档