国内的蜜罐安全产品有哪些？一文告诉你

复杂的网络环境和高频率的网络攻击，让网络安全形势越来越严峻。熟悉安全行业的朋友应该知道，长时间以来“安全”都是比较被动的概念，许多企业通常是被动的防御，被动的部署，被动的建设安全设施。但是近几年来，一种更主动的安全技术——蜜罐，开始越来越被甲方公司所接受。蜜罐技术的优点在于，它可以伪装成正常的业务系统，迷惑黑客、捕捉黑客的攻击信息并且能对攻击进行溯源，让安全工作变得更为主动。

蜜罐作为网络安全届的“网红”技术，有不少有实力的安全厂商推出了相关的安全产品。本文将围绕蜜罐技术的特点及优势进行探讨，并将当下有蜜罐技术相关商业化产品的公司做一个陈列，欢迎大家一同讨论，也为有相关安全需求的甲方公司提供一个简单的参考。

蜜罐是通过布设虚假资源来引诱攻击者采取行动，从而发现攻击与收集攻击信息。蜜罐是一种诱饵，目的是引诱黑客前来攻击，并收集黑客相关的证据和信息。

蜜罐可以实现对攻击者的主动诱捕，能够详细地记录攻击者攻击过程中的许多痕迹，可以收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的 *** 作等，从而便于提供丰富的溯源数据。（注：以下资料均来自各公司官网以及公开资料）

产品形态：SaaS

能否申请试用：能

产品页面： 创宇蜜罐  

产品价格：最低300元/月

1欺骗伪装，可以模拟企业多种真实业务

2威胁告警实时告警，能及时阻断攻击

3威胁态势同步展示，大屏实时监测威胁

4可以对攻击溯源，并分析入侵路径与攻击源

5系统状态性能监控

1轻量、无侵入的客户端。仅包含数据转发与攻击感知的功能，使得客户端占用资源极少，可在较低配置的服务器上运行，不会对现有的业务造成影响。

2高级仿真的蜜场集群。云端资源可快速调整，使得蜜罐可以根据用户的使用压力随时扩容。

3威胁事件详情全记录。IT及运维人员在收到告警消息后，可以登入创宇蜜罐管理系统，查看此次威胁事件的详情。

4各蜜罐之间实现联动，即便黑客已经入侵到实际资产中，也会被海量的蜜罐所迷惑。

5蜜罐持续迭代创宇蜜罐与知道创宇404安全实验室密切合作，时刻关注着业界安全态势，持续不断地跟踪、研究新型攻击手法。

6安全专家接入，在必要时刻，用户可联系创宇蜜罐团队一键接入知道创宇「紧急入侵救援服务」，协助用户实施专业的入侵应急措施。
产品形态：硬件、软件

能否申请试用：能

产品页面： 谛听

产品价格：无

1全端口威胁感知

2异常流量监测与重定向

3高仿真高交互蜜罐

4攻击预警与行为分析

5攻击者溯源

1东西向流量威胁感知能力。不同于传统内网安全产品基于已知漏洞规则库进行判定，谛听通过在攻击者必经之路上设置诱饵、 部署探针，监控攻击者每一步的动作。

2用户可自定义多种服务型蜜罐，覆盖信息系统中常用服务类型，并且支持高度自定义蜜罐数据，使得蜜罐蜜网环境和真实 环境更加契合，具备极强的伪装性和欺骗性。

3精准识别攻击意图，自动化完整取证。当感知到攻击行为，会在第一时间发起告警;通过完整记录攻击者入侵行为，能够协助用户分析其攻击意图。

4基于Docker架构，天然支持云端部署，支持在云上组蜜网，全方位保障云上安全。

产品形态：SaaS

能否申请试用：能

产品页面： 幻阵

产品价格：无

1基于行为的威胁检测

2动态网络隔离攻击

3设备指纹威胁溯源

4防抵赖入侵取证

5覆盖企业多种IT环境

1基于行为的高级威胁狩猎,精确分析攻击源、攻击路径及手法类型，并且无需升级，帮助企业感知和防御0day风险。

2根据攻击者行为和资产状态，实时构建动态沙箱，在不同网络环境中自动化部署沙箱、伪装代理、漏洞、诱饵等形成动态蜜网，实现对攻击者的全链路欺骗，使攻击者无法探测真实网络环境。

3拥有机器学习设备指纹专利技术，结合云端黑客指纹威胁情报库，提前识别并溯源攻击者，内核级的攻击行为取证技术如实记录攻击者入侵手法和行为。

4与企业安全防护产品联动，开放所有接口API，输出黑客行为、黑客画像、攻击轨迹，无缝对接企业防火墙、IPS、IDS、WAF等其他安全产品。

产品形态：SaaS

能否申请试用？：能

产品页面： 幻云

产品价格：无

1攻击欺骗与转移

2真实资产隔离防护

3攻击过程捕获分析

1有效应对高层次网络攻击，新型未知网络威胁、高级持续性威胁（APT）等高层次网络攻击。

2幻云的攻击发现基于欺骗，几乎不会产生任何误报，可做到报警即发现。捕获的攻击数据具有日志量较少、包含信息量高、纯净不掺杂任何业务数据的特点。

3增强协同防御能力，幻云捕获的攻击数据可加工形成标准的本地威胁情报输出，在其他安全设备和安全子系统中流动，增强用户原有安全体系整体防护能力。

目前国内提供蜜罐技术的公司主要就是上面这四家。而他们的产品主要功能大致相同，都是以欺骗伪装和攻击溯源为主。

知道创宇的创宇蜜罐在功能上非常丰富，能满足绝大部分公司的需求，包括数据分析、展示等，以及有专家1v1响应，这点还是十分不错的；

长亭的谛听是一款商业化很多年的产品，相比较来说经验更为丰富；

默安科技的幻阵从资料上来看没有很大的特点，是一款中规中矩的蜜罐产品；

锦行科技的幻云能找到的介绍资料很少，这里不过多做评价。

在此建议，公司或单位有蜜罐安全需求时，可以分别试用一下各家产品，选择最适合自己业务情况的一家。

第一步： 安装CentOS桌面 如果你现在安装的CentOS版本是没有桌面的最小版本，你需要先在VPS上安装桌面（比如GNOME）。比如，DigitalOcean的镜像就是最小版本，它需要如下安装桌面GUI # yum groupinstall "GNOME Desktop" 在安装完成之后重启VPS。 第二步：安装和配置VNC服务器 接下来就是安装和配置VNC服务器。我们使用的是TigerVNC,一个开源的VNC服务实现。 # yum install tigervnc-server 现在创建一个用户账户（比如：xmodulo）用来访问远程桌面。 # useradd xmodulo # passwd xmodulo 当一个用户尝试使用VNC访问远程桌面时，VNC守护进程就会启动来处理这个请求。这意味着你需要为每个用户创建一个独立的VNC配置文件。 CentOS依靠systemd来管理和配置系统服务。所以我们将使用systemd来为用户xmodulo配置VNC服务器。 首先让我们使用下面任意一条命令来检查VNC服务器的状态。 # systemctl status vncserver@:service # systemctl is-enabled vncserver@service 默认的，刚安装的VNC服务并没有激活(禁用)。 现在复制一份通用的VNC服务文件来为用户xmodulo创建一个VNC服务配置。 # cp /lib/systemd/system/vncserver@service /etc/systemd/system/vncserver@:1service 用本文编辑器来打开配置文件，用实际的用户名（比如：xmodulo）来替换[Service]下面的。同样。在ExecStart后面追加 "-geometry " 参数。最后，要修改下面“ExecStart”和“PIDFile”两行。 # vi /etc/systemd/system/vncserver@:1service [Service] Type=forking # Clean any existing files in /tmp/X11-unix environment ExecStartPre=/bin/sh -c '/usr/bin/vncserver -kill %i > /dev/null 2>&1 :' ExecStart=/sbin/runuser -l xmodulo -c "/usr/bin/vncserver %i -geometry 1024x768" PIDFile=/home/xmodulo/vnc/%H%ipid ExecStop=/bin/sh -c '/usr/bin/vncserver -kill %i > /dev/null 2>&1 :' 现在为用户xmodulo设置密码（可选）。首先切换到该用户，并运行vncserver命令。 # su - xmodulo # vncserver 你会被提示输入用户的VNC密码。密码设置完成后，你下次需要用这个密码来访问你的远程桌面。 最后，重新加载服务来使新的VNC配置生效： # systemctl daemon-reload 在启动时自动启动VNC服务： # systemctl enable vncserver@:1service 检查vnc服务正在监听的端口： # netstat -tulpn grep vnc 端口5901是VNC默认的客户端连接到VNC服务器使用的端口。 第三步：通过SSH连接到远程桌面 从设计上说，VNC使用的远程帧缓存（RFB）并不是一种安全的协议，那么在VNC客户端上直接连接到VNC服务器上并不是一个好主意。任何敏感信息比如密码都可以在VNC流量中被轻易地泄露。因此，我强烈建议使用SSH隧道来加密你的VNC流量。 在你要运行VNC客户端的本机上，使用下面的命令来创建一个连接到远程VPS的SSH通道。当被要输入SSH密码时，输入用户的密码。 $ ssh xmodulo@<VPS-IP-address> -L 5901:127001:5901 用你自己的VNC用户名来替换“xmodulo”，并填上你自己的VPS IP地址。 一旦SSH通道建立之后，远程VNC流量就会通过ssh通道路由并发送到127001:5901。 现在启动你最爱的VNC客户端（比如：vinagre），来连接到127001:5901。 你将被要求输入VNC密码。当你输入VNC密码时，你就可以安全地连接到CentOS的远程桌面了。 如果还有什么不了解的可以咨询一下海腾数据。

蜜罐的主要原理包括以下几个方面:
第一,网络欺骗。
使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现,网络欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。
第二,数据捕获。
一般分三层实现:最外层由防火墙来对出入蜜罐系统的网络连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的网络包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。
第三,数据分析。
要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括网络协议分析、网络行为分析、攻击特征分析和入侵报警等。数据分析对捕获的各种攻击数据进行融合与挖掘,分析黑客的工具、策略及动机,提取未知攻击的特征,或为研究或管理人员提供实时信息。
第四,数据控制。
数据控制是蜜罐的核心功能之一,用于保障蜜罐自身的安全。蜜罐作为网络攻击者的攻击目标,若被攻破将得不到任何有价值的信息,还可能被入侵者利用作为攻击其他系统的跳板。虽然允许所有对蜜罐的访问,但却要对从蜜罐外出的网络连接进行控制,使其不会成为入侵者的跳板危害其他系统。
首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值;而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是:“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”
设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

---