一、產品概述
隨著互聯網安全技術的發展,出現了一種新型的網絡主動防御技術(網絡誘捕技術),網絡誘捕技術的研究在于如何設計一個嚴格控制 的欺騙環境(真實的網絡、主機或用軟件虛擬的網絡、主機),誘騙入侵者對其進行攻擊或在檢測出對實際系統的攻擊行為后,將攻擊重 定向到該嚴格控制的環境中,從而保護實際運行的系統;同時收集入侵信息,借以觀察入侵者的行為,記錄其活動,以便分析入侵者的 水平、目的、使用工具、入侵手段等,并為入侵響應以及隨后可能進行的對入侵者的法律制裁提供證據;還可以根據入侵收集到的入侵信息,分析得到入侵者使用的新的技術,發現系統安全漏洞,從而提高系統的安全性。
華鑫杰瑞旗下的惡意入侵誘捕取證系統在網絡的各個子網網段中靈活的釋放一定數量的虛構主機,這些虛構主機都有自己的MAC地址、IP地址,并且被設置開放不同的端口以響應多種網絡掃描、嗅探的請求。當入侵的病毒或木馬訪問到虛構主機的IP地址的所有流量實際上都被攻 擊監控模塊捕獲到。
二、技術特點
惡意入侵誘捕取證系統主要使用的技術如下:
(一)網內異常訪問的主動捕獲方法
此技術可以在網絡的各個子網網段中靈活的釋放一定數量的虛構主機,這些虛構主機 都有自己的MAC地址、IP地址,并且被設置開放不同的端口以響應多種網絡掃描、嗅探的請求。當入侵的病毒或木馬訪問到虛構主機的IP 地址的所有流量實際上都被誘捕器后面的捕獲模塊捕獲到。
(二)創新的主動防御方法
解決了對已經入侵到網絡中未知特征的木馬和病毒在網內低速掃描、橫向滲透行為發現和識別的難題,是對現有網絡安全防御手段的重要補充,填補了針對已入侵到網內的未知特征木馬和病毒的發現方法的空白。
(三)網絡欺騙技術
采用各種欺騙手段,例如在欺騙主機上模擬一些操作系統的一些網絡攻擊者喜歡的端口和各種認為有入侵可能的漏洞。
(四)端口重定向技術
可以在工作系統中模擬一個非工作任務。如我們正常使用的WEB服務器端口為80,telent端口23等重定向至系統中,實際上這兩個端口是沒有開放的,而攻擊者掃描時發現兩個端口是開放的。發起攻擊時不會對服務器產生影響。
(五)報警和數據控制技術
故意開放一些端口,為攻擊都設定陷阱,那么攻擊者的行為都會被監控并報警。
(六)數據捕獲技術
系統可記錄攻擊者輸入輸出信息,鍵盤記錄信息,以及攻擊都使用的工具,分析攻擊都的下一步行為。
三、功能介紹
惡意入侵誘捕取證系統主要包含以下功能模塊:
(一)業務仿真
模擬各類業務的端口服務,如smb-http-ftp-pop3等。
(二)網絡變換
虛擬不同網段的IP與端口服務。
(三)攻擊檢測
監控對虛擬服務的攻擊情況。
(四)遠程決策
通過互聯網遠程數據統計與可視化子系統進行安全態勢感知和數據分布進行整體分析和決策。
四、產品優勢
惡意入侵誘捕取證系統相比其它產品有如下創新:
●部署位置的創新,只需要將此產品放置在網絡中即可,對位置沒有要求。
●解決了部署困難,部署成本高問題,不需要全流程鏡像,就可以實現內網的掃描,嗅探行為。
●網絡誘捕技術與現有IDS和病毒過濾技術不是替代的關系而是重要補充,在內網中增加網絡誘捕技術可以及時檢測出現有IDS和反病毒技術發現不了的入侵行為。
●捕獲方法的創新,從傳統的守株待免轉變為主動虛構目標誘騙,保證了系統自身的安全,同時可靈活的調整部署策略和誘捕策略。
●本產品側重網絡層面的偽裝后期文持結合仿真系統+假數據+沙箱方式。
