一、产品概述
随着互联网安全技术的发展,出现了一种新型的网络主动防御技术(网络诱捕技术),网络诱捕技术的研究在于如何设计一个严格控制 的欺骗环境(真实的网络、主机或用软件虚拟的网络、主机),诱骗入侵者对其进行攻击或在检测出对实际系统的攻击行为后,将攻击重 定向到该严格控制的环境中,从而保护实际运行的系统;同时收集入侵信息,借以观察入侵者的行为,记录其活动,以便分析入侵者的 水平、目的、使用工具、入侵手段等,并为入侵响应以及随后可能进行的对入侵者的法律制裁提供证据;还可以根据入侵收集到的入侵信息,分析得到入侵者使用的新的技术,发现系统安全漏洞,从而提高系统的安全性。
华鑫杰瑞旗下的恶意入侵诱捕取证系统在网络的各个子网网段中灵活的释放一定数量的虚构主机,这些虚构主机都有自己的MAC地址、IP地址,并且被设置开放不同的端口以响应多种网络扫描、嗅探的请求。当入侵的病毒或木马访问到虚构主机的IP地址的所有流量实际上都被攻 击监控模块捕获到。
二、技术特点
恶意入侵诱捕取证系统主要使用的技术如下:
(一)网内异常访问的主动捕获方法
此技术可以在网络的各个子网网段中灵活的释放一定数量的虚构主机,这些虚构主机 都有自己的MAC地址、IP地址,并且被设置开放不同的端口以响应多种网络扫描、嗅探的请求。当入侵的病毒或木马访问到虚构主机的IP 地址的所有流量实际上都被诱捕器后面的捕获模块捕获到。
(二)创新的主动防御方法
解决了对已经入侵到网络中未知特征的木马和病毒在网内低速扫描、横向渗透行为发现和识别的难题,是对现有网络安全防御手段的重要补充,填补了针对已入侵到网内的未知特征木马和病毒的发现方法的空白。
(三)网络欺骗技术
采用各种欺骗手段,例如在欺骗主机上模拟一些操作系统的一些网络攻击者喜欢的端口和各种认为有入侵可能的漏洞。
(四)端口重定向技术
可以在工作系统中模拟一个非工作任务。如我们正常使用的WEB服务器端口为80,telent端口23等重定向至系统中,实际上这两个端口是没有开放的,而攻击者扫描时发现两个端口是开放的。发起攻击时不会对服务器产生影响。
(五)报警和数据控制技术
故意开放一些端口,为攻击都设定陷阱,那么攻击者的行为都会被监控并报警。
(六)数据捕获技术
系统可记录攻击者输入输出信息,键盘记录信息,以及攻击都使用的工具,分析攻击都的下一步行为。
三、功能介绍
恶意入侵诱捕取证系统主要包含以下功能模块:
(一)业务仿真
模拟各类业务的端口服务,如smb-http-ftp-pop3等。
(二)网络变换
虚拟不同网段的IP与端口服务。
(三)攻击检测
监控对虚拟服务的攻击情况。
(四)远程决策
通过互联网远程数据统计与可视化子系统进行安全态势感知和数据分布进行整体分析和决策。
四、产品优势
恶意入侵诱捕取证系统相比其它产品有如下创新:
●部署位置的创新,只需要将此产品放置在网络中即可,对位置没有要求。
●解决了部署困难,部署成本高问题,不需要全流程镜像,就可以实现内网的扫描,嗅探行为。
●网络诱捕技术与现有IDS和病毒过滤技术不是替代的关系而是重要补充,在内网中增加网络诱捕技术可以及时检测出现有IDS和反病毒技术发现不了的入侵行为。
●捕获方法的创新,从传统的守株待免转变为主动虚构目标诱骗,保证了系统自身的安全,同时可灵活的调整部署策略和诱捕策略。
●本产品侧重网络层面的伪装后期文持结合仿真系统+假数据+沙箱方式。