國內(nèi)的蜜罐安全產(chǎn)品有哪些？一文告訴你

復(fù)雜的網(wǎng)絡(luò)環(huán)境和高頻率的網(wǎng)絡(luò)攻擊，讓網(wǎng)絡(luò)安全形勢越來越嚴峻。熟悉安全行業(yè)的朋友應(yīng)該知道，長時間以來“安全”都是比較被動的概念，許多企業(yè)通常是被動的防御，被動的部署，被動的建設(shè)安全設(shè)施。但是近幾年來，一種更主動的安全技術(shù)——蜜罐，開始越來越被甲方公司所接受。蜜罐技術(shù)的優(yōu)點在于，它可以偽裝成正常的業(yè)務(wù)系統(tǒng)，迷惑黑客、捕捉黑客的攻擊信息并且能對攻擊進行溯源，讓安全工作變得更為主動。

高郵網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)公司等網(wǎng)站項目制作，到程序開發(fā)，運營維護。創(chuàng)新互聯(lián)公司從2013年開始到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

蜜罐作為網(wǎng)絡(luò)安全屆的“網(wǎng)紅”技術(shù)，有不少有實力的安全廠商推出了相關(guān)的安全產(chǎn)品。本文將圍繞蜜罐技術(shù)的特點及優(yōu)勢進行探討，并將當下有蜜罐技術(shù)相關(guān)商業(yè)化產(chǎn)品的公司做一個陳列，歡迎大家一同討論，也為有相關(guān)安全需求的甲方公司提供一個簡單的參考。

蜜罐是通過布設(shè)虛假資源來引誘攻擊者采取行動，從而發(fā)現(xiàn)攻擊與收集攻擊信息。蜜罐是一種誘餌，目的是引誘黑客前來攻擊，并收集黑客相關(guān)的證據(jù)和信息。

蜜罐可以實現(xiàn)對攻擊者的主動誘捕，能夠詳細地記錄攻擊者攻擊過程中的許多痕跡，可以收集到大量有價值的數(shù)據(jù)，如病毒或蠕蟲的源碼、黑客的操作等，從而便于提供豐富的溯源數(shù)據(jù)。（注：以下資料均來自各公司官網(wǎng)以及公開資料）

產(chǎn)品形態(tài)：SaaS

能否申請試用：能

產(chǎn)品頁面： 創(chuàng)宇蜜罐 ?

產(chǎn)品價格：最低300元/月

1.欺騙偽裝，可以模擬企業(yè)多種真實業(yè)務(wù)

2.威脅告警實時告警，能及時阻斷攻擊

3.威脅態(tài)勢同步展示，大屏實時監(jiān)測威脅

4.可以對攻擊溯源，并分析入侵路徑與攻擊源

5.系統(tǒng)狀態(tài)性能監(jiān)控

1.輕量、無侵入的客戶端。僅包含數(shù)據(jù)轉(zhuǎn)發(fā)與攻擊感知的功能，使得客戶端占用資源極少，可在較低配置的服務(wù)器上運行，不會對現(xiàn)有的業(yè)務(wù)造成影響。

2.高級仿真的蜜場集群。云端資源可快速調(diào)整，使得蜜罐可以根據(jù)用戶的使用壓力隨時擴容。

3.威脅事件詳情全記錄。IT及運維人員在收到告警消息后，可以登入創(chuàng)宇蜜罐管理系統(tǒng)，查看此次威脅事件的詳情。

4.各蜜罐之間實現(xiàn)聯(lián)動，即便黑客已經(jīng)入侵到實際資產(chǎn)中，也會被海量的蜜罐所迷惑。

5.蜜罐持續(xù)迭代創(chuàng)宇蜜罐與知道創(chuàng)宇404安全實驗室密切合作，時刻關(guān)注著業(yè)界安全態(tài)勢，持續(xù)不斷地跟蹤、研究新型攻擊手法。

6.安全專家接入，在必要時刻，用戶可聯(lián)系創(chuàng)宇蜜罐團隊一鍵接入知道創(chuàng)宇「緊急入侵救援服務(wù)」，協(xié)助用戶實施專業(yè)的入侵應(yīng)急措施。

產(chǎn)品形態(tài)：硬件、軟件

能否申請試用：能

產(chǎn)品頁面： 諦聽

產(chǎn)品價格：無

1.全端口威脅感知

2.異常流量監(jiān)測與重定向

3.高仿真高交互蜜罐

4.攻擊預(yù)警與行為分析

5.攻擊者溯源

1.東西向流量威脅感知能力。不同于傳統(tǒng)內(nèi)網(wǎng)安全產(chǎn)品基于已知漏洞規(guī)則庫進行判定，諦聽通過在攻擊者必經(jīng)之路上設(shè)置誘餌、 部署探針，監(jiān)控攻擊者每一步的動作。

2.用戶可自定義多種服務(wù)型蜜罐，覆蓋信息系統(tǒng)中常用服務(wù)類型，并且支持高度自定義蜜罐數(shù)據(jù)，使得蜜罐蜜網(wǎng)環(huán)境和真實 環(huán)境更加契合，具備極強的偽裝性和欺騙性。

3.精準識別攻擊意圖，自動化完整取證。當感知到攻擊行為，會在第一時間發(fā)起告警;通過完整記錄攻擊者入侵行為，能夠協(xié)助用戶分析其攻擊意圖。

4.基于Docker架構(gòu)，天然支持云端部署，支持在云上組蜜網(wǎng)，全方位保障云上安全。

產(chǎn)品形態(tài)：SaaS

能否申請試用：能

產(chǎn)品頁面： 幻陣

產(chǎn)品價格：無

1.基于行為的威脅檢測

2.動態(tài)網(wǎng)絡(luò)隔離攻擊

3.設(shè)備指紋威脅溯源

4.防抵賴入侵取證

5.覆蓋企業(yè)多種IT環(huán)境

1.基于行為的高級威脅狩獵,精確分析攻擊源、攻擊路徑及手法類型，并且無需升級，幫助企業(yè)感知和防御0day風險。

2.根據(jù)攻擊者行為和資產(chǎn)狀態(tài)，實時構(gòu)建動態(tài)沙箱，在不同網(wǎng)絡(luò)環(huán)境中自動化部署沙箱、偽裝代理、漏洞、誘餌等形成動態(tài)蜜網(wǎng)，實現(xiàn)對攻擊者的全鏈路欺騙，使攻擊者無法探測真實網(wǎng)絡(luò)環(huán)境。

3.擁有機器學習設(shè)備指紋專利技術(shù)，結(jié)合云端黑客指紋威脅情報庫，提前識別并溯源攻擊者，內(nèi)核級的攻擊行為取證技術(shù)如實記錄攻擊者入侵手法和行為。

4.與企業(yè)安全防護產(chǎn)品聯(lián)動，開放所有接口API，輸出黑客行為、黑客畫像、攻擊軌跡，無縫對接企業(yè)防火墻、IPS、IDS、WAF等其他安全產(chǎn)品。

產(chǎn)品形態(tài)：SaaS

能否申請試用？：能

產(chǎn)品頁面： 幻云

產(chǎn)品價格：無

1.攻擊欺騙與轉(zhuǎn)移

2.真實資產(chǎn)隔離防護

3.攻擊過程捕獲分析

1.有效應(yīng)對高層次網(wǎng)絡(luò)攻擊，新型未知網(wǎng)絡(luò)威脅、高級持續(xù)性威脅（APT）等高層次網(wǎng)絡(luò)攻擊。

2.幻云的攻擊發(fā)現(xiàn)基于欺騙，幾乎不會產(chǎn)生任何誤報，可做到報警即發(fā)現(xiàn)。捕獲的攻擊數(shù)據(jù)具有日志量較少、包含信息量高、純凈不摻雜任何業(yè)務(wù)數(shù)據(jù)的特點。

3.增強協(xié)同防御能力，幻云捕獲的攻擊數(shù)據(jù)可加工形成標準的本地威脅情報輸出，在其他安全設(shè)備和安全子系統(tǒng)中流動，增強用戶原有安全體系整體防護能力。

目前國內(nèi)提供蜜罐技術(shù)的公司主要就是上面這四家。而他們的產(chǎn)品主要功能大致相同，都是以欺騙偽裝和攻擊溯源為主。

知道創(chuàng)宇的創(chuàng)宇蜜罐在功能上非常豐富，能滿足絕大部分公司的需求，包括數(shù)據(jù)分析、展示等，以及有專家1v1響應(yīng)，這點還是十分不錯的；

長亭的諦聽是一款商業(yè)化很多年的產(chǎn)品，相比較來說經(jīng)驗更為豐富；

默安科技的幻陣從資料上來看沒有很大的特點，是一款中規(guī)中矩的蜜罐產(chǎn)品；

錦行科技的幻云能找到的介紹資料很少，這里不過多做評價。

在此建議，公司或單位有蜜罐安全需求時，可以分別試用一下各家產(chǎn)品，選擇最適合自己業(yè)務(wù)情況的一家。

【網(wǎng)絡(luò)安全】蜜罐技術(shù)是什么？有哪些作用？

國際蜜罐技術(shù)研究組織Honeynet Project的創(chuàng)始人Lance Spitzner給出了蜜罐的權(quán)威定義:蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。蜜罐并不向外界用戶提供任何服務(wù)，所有進出蜜罐的網(wǎng)絡(luò)流量都是非法的，都可能預(yù)示著一次掃描和攻擊，蜜罐的核心價值在于對這些非法活動進行監(jiān)視、檢測和分析。

蜜罐是用來吸引那些入侵者，目的在于了解這些攻擊。蜜罐看起來就是一臺有一個或者多個可以被攻擊者利用漏洞的服務(wù)器或計算機主機。他們簡單的就如同一個默認安裝的操作系統(tǒng)充滿了漏洞以及被攻破的可能性。

蜜罐的目標及作用

蜜罐技術(shù)強大而靈活，不僅可以識別對網(wǎng)絡(luò)上主機的攻擊也可以監(jiān)視和記錄攻擊是如何進行的。蜜罐可以和入侵檢測IDS一起工作，與

IDS相比，蜜罐的誤報率較低。這是因為蜜罐既不提供任何網(wǎng)絡(luò)服務(wù)，也沒有任何合法用戶，但并不是網(wǎng)絡(luò)上的空閑設(shè)備。因此，任何流入或者流出蜜罐的網(wǎng)絡(luò)通信都可以是做可疑的，是網(wǎng)絡(luò)正在被攻擊的一種標志。

蜜罐的主要目標是容忍入侵者攻擊自身，在被攻擊的過程中記錄收集入侵者的攻擊工具、手段、動機、目的等行為信息。尤其是入侵者使用了新的未知攻擊行為時，收集這些信息，從而根據(jù)其調(diào)整網(wǎng)絡(luò)安全策略，提高系統(tǒng)安全性能。同時蜜罐還具有轉(zhuǎn)移攻擊者注意力，消耗其攻擊資源、意志，間接保護真實目標系統(tǒng)的作用。

蜜罐的分類

蜜罐可以運行任何操作系統(tǒng)和任意數(shù)量的服務(wù)。蜜罐根據(jù)交互程度(Level

ofInvolvement)的不同可以分為高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻擊者與蜜罐相互作用的程度，高交互蜜罐提供給入侵者一個真實的可進行交互的系統(tǒng)。

相反，低交互蜜罐只可以模擬部分系統(tǒng)的功能。高交互蜜罐和真實系統(tǒng)一樣可以被完全攻陷，允許入侵者獲得系統(tǒng)完全的訪問權(quán)限，并可以以此為跳板實施進一步的網(wǎng)絡(luò)攻擊。相反的，低交互蜜罐只能模擬部分服務(wù)、端口、響應(yīng)，入侵者不能通過攻擊這些服務(wù)獲得完全的訪問權(quán)限。

從實現(xiàn)方法上來分，蜜罐可分為物理蜜罐和虛擬蜜罐。物理蜜罐是網(wǎng)絡(luò)上一臺真實的完整計算機，虛擬蜜罐是由一臺計算機模擬的系統(tǒng)，但是可以響應(yīng)發(fā)送給虛擬蜜罐的網(wǎng)絡(luò)流量。

計算機里蜜罐是什么，誰知道

蜜罐技術(shù)蜜罐好比是情報收集系統(tǒng)。蜜罐好像是故意讓人攻擊的目標，引誘黑客前來攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對貴公司服務(wù)器發(fā)動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯(lián)系，收集黑客所用的種種工具，并且掌握他們的社交網(wǎng)絡(luò)。設(shè)置蜜罐并不難，只要在外部因特網(wǎng)上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。因為黑客可能會設(shè)陷阱，以獲取計算機的日志和審查功能，你就要在計算機和因特網(wǎng)連接之間安置一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)，以便悄悄記錄下進出計算機的所有流量。然后只要坐下來，等待攻擊者自投羅網(wǎng)。不過，設(shè)置蜜罐并不是說沒有風險。這是因為，大部分安全遭到危及的系統(tǒng)會被黑客用來攻擊其它系統(tǒng)。這就是下游責任（downstream liability），由此引出了蜜網(wǎng)（honeynet）這一話題。蜜網(wǎng)是指另外采用了技術(shù)的蜜罐，從而以合理方式記錄下黑客的行動，同時盡量減小或排除對因特網(wǎng)上其它系統(tǒng)造成的風險。建立在反向防火墻后面的蜜罐就是一個例子。防火墻的目的不是防止入站連接，而是防止蜜罐建立出站連接。不過，雖然這種方法使蜜罐不會破壞其它系統(tǒng)，但同時很容易被黑客發(fā)現(xiàn)。數(shù)據(jù)收集是設(shè)置蜜罐的另一項技術(shù)挑戰(zhàn)。蜜罐監(jiān)控者只要記錄下進出系統(tǒng)的每個數(shù)據(jù)包，就能夠?qū)诳偷乃魉鶠橐磺宥Ｃ酃薇旧砩厦娴娜罩疚募彩呛芎玫臄?shù)據(jù)來源。但日志文件很容易被攻擊者刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機制較完善的遠程系統(tǒng)日志服務(wù)器發(fā)送日志備份。（務(wù)必同時監(jiān)控日志服務(wù)器。如果攻擊者用新手法闖入了服務(wù)器，那么蜜罐無疑會證明其價值。）近年來，由于黑帽子群體越來越多地使用加密技術(shù)，數(shù)據(jù)收集任務(wù)的難度大大增強。如今，他們接受了眾多計算機安全專業(yè)人士的建議，改而采用SSH等密碼協(xié)議，確保網(wǎng)絡(luò)監(jiān)控對自己的通訊無能為力。蜜網(wǎng)對付密碼的計算就是修改目標計算機的操作系統(tǒng)，以便所有敲入的字符、傳輸?shù)奈募捌渌畔⒍加涗浀搅硪粋€監(jiān)控系統(tǒng)的日志里面。因為攻擊者可能會發(fā)現(xiàn)這類日志，蜜網(wǎng)計劃采用了一種隱蔽技術(shù)。譬如說，把敲入字符隱藏到NetBIOS廣播數(shù)據(jù)包里面。詳見