网络“局中局”，“欺骗防御”如何快速感知风险并溯源反制？

作为国家机关，法院承载着解决社会矛盾、维护公平正义的职责，权威不可侵犯。为防止不法分子入侵网络，法院系统内部定期开展攻防演练，模拟真实网络攻击，从而有针对性提升网络整体防护能力。

实践案例

在法院攻防演练环境中，网御星云欺骗防御系统通过布设蜜网对攻击行为进行精准感知、溯源反制，在攻击者进入真实系统前精准预警，很大程度上扭转“攻防不对称”的局面，提高主动防御的效率和实战效果。

01 高仿真蜜网区部署

仿真某法院客户域环境中的域控系统权限或者邮件服务器中的系统管理员权限，伪装成高权限系统。

步骤一：引诱入侵者

入侵者通过网络探测等技术手段，锁定客户业务区域，带有入侵目的进入客户环境，被已部署的高仿真系统强烈吸引，进一步实施探测、漏洞利用等恶意行为，而欺骗防御系统则记录下入侵的每一步操作。

步骤二：溯源反制

入侵者进入高仿真蜜罐，高仿真蜜罐所设置的的溯源反制功能获取到攻击者的攻击工具、设备指纹、微信号、QQ号等信息，从而锁定攻击者，实现到人的溯源。

02 低交互蜜网区部署

办公区域部署ssh、Samba以及终端类型蜜罐，通过占用空余IP网段以及在已有终端部署软件探针导流等方式设计大面积蜜网，用于精准感知内网威胁。

内网蜜罐部署后发现有内网IP扫描Samba蜜罐和SSH蜜罐，显示攻击阶段：横向移动；攻击类型：永恒之蓝。经排查，内网部分主机已中“永恒之蓝”，安全服务人员快速应急响应，排除风险。

在上述案例中，网御星云欺骗防御系统凭借威胁发现、全面取证、溯源反制等功能，帮助用户快速完成自动溯源、取证、响应等操作，并结合威胁情报，联动防火墙、WAF等网关产品，对入侵行为进行封禁，大大提升了应急响应效率，提高了用户网络安全防护能力。

网御星云欺骗防御系统

网御星云欺骗防御系统是基于公司安全能力积累和研究成果，融合虚拟仿真、MTD、云边协同等技术研发的新一代主动防御产品，采用欺骗防御的理念和技术思路，构建高仿真环境，诱捕攻击，记录攻击轨迹和攻击报文，发现攻击意图、攻击目标、攻击手法等，对攻击行为全链条分析，实现快速溯源反制，为监测预警防御提供精准数据，赋能安全体系，形成联防联控。产品主要能力如下：

攻击诱导：具备互联网诱饵、主机诱饵、文件诱饵、反制诱饵等多种诱饵的自动化投放，根据场景需要设计投放种类吸引攻击者。

环境仿真：具备网络、服务、系统漏洞和业务系统等仿真能力，支持漏洞类、系统服务类、Web类、数据库类、操作系统、中间件、工业系统类等共计70余种类型的应用服务，具有仿真自定义和定制能力，可快速形成各类虚拟诱捕环境。

蜜网构建：一键形成跨三层网络的大型蜜网部署，可视化的蜜网设置，快速实现大面积蜜网覆盖，实时发现攻击探测，捕获攻击工具和攻击报文，识别攻击类型。

精准溯源：可识别攻击时间、IP、地理位置等信息，高隐蔽性的采集进入蜜罐攻击者的地址、样本、行为、指纹等信息，识别攻击意图，分析攻击路径，基于ATT&CK模型还原攻击链，溯源攻击者个人信息，实现反制攻击，回溯攻击过程时提供完整的取证信息，记录攻击过程中的命令执行过程，支持基于图形界面的网络流量原始包下载取证，实现全面取证溯源。

自身安全性：多种技术结合保障系统自身安全，内核层进程级的数据监控，基于专利技术的防逃逸功能，实时操作记录，数据加密传输，保障数据的准确性、安全性、完整性。

赋能体系：精准攻击数据实时赋能安全体系，与FW、EDR、WAF、沙箱、感知平台、情报系统等形成联防联控，实现一点发现，全网防护。

从实战化角度出发，网御星云欺骗防御系统可精准感知攻击行为，全程记录攻击轨迹，快速取证溯源，打破攻防不对称的局面，与下一代防火墙、入侵防护系统、Web防火墙等不同类型的产品相互协作，共同构成主动安全防御体系，有效抵御入侵威胁及风险。目前该产品已服务于交通、金融、电力、政府、企业、媒体、运营商、石油石化等数十个行业、领域的数百个客户，在实战演练和实际应用中取得良好效果，赋能用户网络安全。未来，网御星云将持续加大关键技术自主创新，以客户需求为根本，不断优化产品与服务，为我国网络安全的持续发展保驾护航。