概述

DecoyPro•吉幻(攻击诱捕防御与溯源系统)采用自主创新的孪生诱捕网络技术,旨在解决目前欺骗防御技术的应用难题,基于数字孪生、AI技术,对产品配置及运维实现智能化、自动化;实现XDR、态势感知联动应用解决方案,摆脱主动防御体系只能作为一个安全运营体系的外挂技术的尴尬局面,在威胁情报生产应用、排除误报、实时响应、AI分析等关键安全运营环节发挥重要作用。
产品在用户内部网络中的关键区域部署高度仿真、安全可控的虚假服务、计算环境和网络,通过布设的蜜标、诱饵等手段主动吸引入侵者对虚假环境或服务进行攻击。在虚假环境中对攻击者行为进行抓取和存储,基于对攻击者的行为分析来实现攻击告警、威胁分析和溯源取证,结合多种处置响应手段对威胁进行快速处置和防御。最终达到改变攻防不对称的现状,变被动为主动,提升用户网络安全的主动防御能力。
DecoyPro•吉幻(攻击诱捕防御与溯源系统)

主要特性

计算环境仿真

系统基于孪生诱捕网络技术支持全场景实体仿真能力,采用虚拟机、容器、软件模拟等仿真技术来生成高、中、低交互威胁诱捕器,仿真大量的主机节点、系统、应用、服务、蜜网等环境,对进入内网的攻击进行主动诱捕,完整记录攻击者在威胁诱捕器中的行为以及相关流量数据。

攻击行为诱捕

通过在攻击者必经之路上布设诱捕器、密标和诱饵,以及采用虚拟IP和流量转发等技术主动诱导攻击者进入与真实网络隔离的仿真环境,留下攻击痕迹。

威胁检测分析

基于仿真节点、监控插件和诱捕探针各类行为日志数据,采用行为分析、关联分析、数据标记、威胁情报、威胁狩猎等智能安全引擎分析、识别各类威胁或异常行为,快速发现各类攻击行为,结合ATT&CK模型对威胁进行标定和分析。

威胁溯源取证

综合利用多种反制手段,结合仿真节点、监控插件和诱捕探针采集的各类行为日志数据,基于ATT&CK框架对威胁进行标定和分析,还原完整攻击链。结合攻击者特征、各类行为日志数据和流量包以及威胁情报,对事件进行溯源,对攻击过程和行为进行取证。

威胁应急处置

支持对新产生的安全事件进行确认,支持人工调整安全事件确信度,系统自动根据确认记录对后继同类事件进行自动处理;支持根据事件确信度不同等级采取不同的事件处置策略。支持对误报事件进行标记,后继在指定时间周期内被标记为误报事件的同类事件将自动忽略。

集中管控能力

管理中心提供对系统的各种类型节点进行集中管理;对采集、检测和分析的威胁数据以及风险事件进行统一管理的功能。

产品亮点

 分布式异构形态蜜网

 

系统支持虚拟机仿真、容器仿真、软件仿真等多种仿真技术,支持各种高交互、中交互、低交互仿真对象异构组网,在蜜网内可以相互通信。孪生诱捕网络可以根据仿真的业务对象的不同类型选择最匹配的仿真技术手段,达到资源利用率和诱捕能力的综合效益最大化。
 孪生诱捕网络

 

系统基于对业务网络的测绘,使用模式识别技术、AI技术,基于仿真模板对测绘信息进行拟合,生成最优的孪生诱捕网络模型,使用数字孪生技术、NFV技术、SDN技术等创建数字孪生网络,从而实现基于业务系统特性的孪生诱捕网络的快速虚拟创建,极大提高了产品的部署和应用效率。
全场景仿真模板  

 

孪生诱捕网络支持插件化的仿真模板,通过仿真模板将仿真能力和产品基础能力松耦合,实现包括设备、系统、IoT、数据库、应用软件、网络服务、应用服务、中间件、文件、数据(蜜饵)等实体仿真能力,并结合行业场景特性、业务动态行为特征,快速生成各行业场景仿真模板。模板支持在系统间一键分享、一键部署。

产品价值

 有效提升攻防对抗能力

 

产品采用欺骗防御孪生诱捕网络等新技术手段,能够第一时间发现网络内横向渗透等攻击行为,快速精准感知内网安全风险态势并预警。
 满足监管与合规需求

 

在等保2.0里对主动防御、监测预警和应急处置等提出了明确要求;产品可有效提升对威胁的发现能力、溯源分析能力、事件处置能力。
完善网络安全防御体系 

 

作为传统防御体系的有力增强和有益补充,与其它产品联动,实现内部情报共享联动防御攻击者溯源定位。提升网络安全防御能力。

部署方案

一体式部署 一体式部署
分部式部署 分部式部署

一体式部署模式,适用于中小规模网络环境,部署简单,即插即用。 管理中心和仿真节点集成到一台独立的设备上,部署时将一体式设备接入用户网内即可工作。一体式设备提供威胁诱捕管理、诱捕行为分析以及各类告警、日志数据统一分析、管理的功能。可使用管理中心内置的网络空间测绘功能或导入已适配的第三方网络空间测绘平台数据来快速生成孪生诱捕网络。可在内网部署诱捕探针来进一步提高对威胁的诱捕能力。

分布式部署模式,适用于中大规模网络环境,监测范围广,诱捕能力强。在服务器区部署管理中心,在各子网按需部署一到多台仿真节点,在子网主机上部署诱捕探针;管理中心与各仿真节点和诱捕探针间要求网络可达,可使用管理中心内置的网络空间测绘功能或导入已适配的第三方网络空间测绘平台数据来快速生成孪生诱捕网络。系统运行时,仿真节点上按需运行多类高、中、低交互威胁诱捕器,并可生成蜜网(诱捕网络);诱捕探针在本地运行中、低交互威胁诱捕器同时可以开启虚拟网络服务,将访问这些服务的攻击流量转发到仿真节点进行安全分析;各仿真节点和诱捕探针将捕获到的各类告警、日志、流量等数据汇聚到管理中心进行统一分析、管理。