网络安全的世界从来不会风平浪静，全球地缘政治冲突加剧、俄乌冲突陷入胶着、勒索病毒和特种攻击等网络安全威胁持续上升，全球网络空间安全态势更加复杂紧张。

面对如此紧迫的局势，政企用户网络安全能力建设开始由“形式合规”转向“实质合规”，广泛采用蜜罐等欺骗式防御技术的护卫模式来进行主动安全防御。永信至诚从用户痛点和实际安全需求出发，结合丰富的攻防实战经验，提倡在欺骗式防御的基础上，以“产品乘服务”为理念，以迟滞攻击为手段，助力企业检验防御弹性和评估防御强度，以此构建网络安全主动防御体系。

本文将以春秋云阵新一代蜜罐产品为例，介绍“七蜜体”矩阵在迟滞攻击、检验企业安全防御能力等方面的能力及价值。

一项伟大的技术在诞生之初，往往通过工具或单产品的形式被应用，随着应用需求的不变延展，技术应用价值的不断提升，就会迎来更广泛的实践空间。

永信至诚春秋云阵新一代蜜罐产品，基于永信至诚“攻防兼备、人才济济、平行仿真”三大核心优势打造，可以根据企业安全防护需要，灵活变身为蜜饵、蜜点、蜜罐、蜜标、蜜网、蜜场和蜜境，由此构成“七蜜体”产品矩阵，通过欺骗诱捕、混敌视听，创造攻击迟滞时间、延缓攻击，同时有效检验并提升企业防御能力。必要时在有关部门的授权下可对攻击者进行溯源反制，扭转攻防不对等局面，进而赢得防御胜利。

蜜饵——多维度欺骗引诱

蜜饵也称诱饵，用来诱导攻击者快速进入预设场域。根据类型和用途不同，蜜饵分为日志诱饵、证书诱饵、账户诱饵、域名诱饵、邮件诱饵、代码诱饵等类型，包括IP地址、用户账户、服务应用路径、密码本等信息。

企业运营人员可以在用户终端、服务器、代码平台、互联网文库、安全论坛、社交网络等各处分撒蜜饵，来迷惑引诱攻击者。

春秋云阵蜜罐可根据不同企业需求场景，一键制作和分发蜜饵，并在攻击者进入后记录其所触碰的蜜饵，为攻击溯源提供更多参考依据。

蜜点——全流量实时监测

蜜点俗称探针，最大的价值在于用较小的成本实现较大范围的监测，主要分为旁路监听型、虚拟机型、主机代理型，通过策略实时监控网络流量，将异常流量转发至仿真蜜罐节点。蜜点策略类型包括：

• 监测未使用的端口和IP段的情况，并对试图进行交互的流量重定向；

• 监测固定的端口和IP范围，并对试图进行交互的流量重定向；

• 监测业务系统主机上的未授权活动、恶意活动并重定向；

• 监测全流量，自动识别过滤威胁流量，并对威胁流量进行重定向。

目前行业内大多数探针只实现了前3种策略，春秋云阵蜜罐通过技术创新，已实现对全流量的实时监测，自动识别过滤威胁流量，并对威胁流量进行重定向至春秋云阵，打破传统蜜罐只能作为入侵检测辅助技术手段的壁垒，实现对用户网络全天候、全方位的安全护卫，从而实现对攻击者进行攻击迟滞的根本目的。

蜜标——精准化溯源反制

蜜标是一种特殊的蜜饵，它不是任何的主机节点，而是一种带标记的数字实体。它被定义为不用于常规生产目的的任何存储资源，例如文本文件、电子邮件消息或数据库记录等。

例如在 Word 文档、PDF 文档中植入一个隐蔽的链接，当攻击者打开这个文件时，链接就会被自动触发，防御方即可借机获取攻击者的真实网络地址、浏览器指纹等信息，从而直接溯源定位攻击者真实身份。

针对攻击者的不同类型，不同能力水平，春秋云阵的蜜标按照“白、橙、蓝、黄、黑”五种谎言色彩对蜜标进行了分类分级，并可以根据不同用户需求场景，自动化部署蜜标，实现层次式欺骗、静默式溯源。

蜜罐——高甜度仿真部署

蜜罐是采用Honeypot技术，欺骗攻击者并与其进行高中低不同维度互动的作战节点。

从20世纪80年代末蜜罐技术出现以来，就得到了网络安全领域的高度关注，之后在TheHoneynetProject等开源团队的推动下，使其得到了大力的发展与广泛的应用。针对各种类型的网络安全威胁形态，出现了丰富多样的蜜罐产品，如针对端口扫描的DeceptionToolkit，针对空闲IP地址TCP连接的LaBrea，针对攻击者使用nmap等工具实施主动指纹识别进行欺骗的Honeyd、Nepenthes和Dionaea，针对Web的GHH、HIHAT、Glastopf、WebPatrol，针对SMTP的SPAMPot，针对SSH的Kojoney、Kippo、Cowrie，针对客户端浏览器与插件的Capture-HPC、PhoneyC，针对HoneyToken的Canarytokens蜜罐等。

春秋云阵蜜罐，通过多年的实战总结，将蜜罐从操作系统类、网络服务类、Web服务类、中间件类、数据库类、工业控制类等方面进行了分类。

基于永信至诚多年的仿真技术和靶场实践积累，春秋云阵已拥有和交付3000+蜜罐，其中800+高交互蜜罐，支持KVM、Docker等不同方案的部署，在仿真和甜度上始终处于行业领跑地位。

蜜网——全量化欺骗诱捕

在早期的蜜罐应用和研究过程中，一直被当作一种安全资源，它的使命就是成为未经授权访问或攻击的目标，以此获取攻击者的攻击行为和攻击策略。其价值在于被扫描、攻击和攻陷。

随着蜜罐技术的广泛应用和相关项目的推广，需求侧更希望将这一技术升级为能够模拟伪造各种操作系统环境、漏洞环境和各种网络服务环境，甚至是伪装成真实目标的网络资源库，或者是攻击信息的诱捕环境系统，以此获得攻击者的相关信息，从而掌握攻击者使用的攻击手段、所用攻击工具、制定的攻击策略和攻击的意图，从而帮助重要防护目标采取针对性的防御措施，并实现对攻击的追踪溯源。这就产生了蜜网。

蜜网，通俗讲就是一个能够提供给攻击者横向移动的空间和更丰富的入侵接口，与护卫目标业务强相关的具备网络拓扑的多蜜罐节点的系统形态。

春秋云阵的蜜网，基于平行仿真专利技术和春秋云专有云平台构建，能够高度模拟仿真与现实网络空间相对应的场景模型，针对企业真实业务网络的拓扑结构、应用系统、数据流量、用户行为等方面进行动态仿真，自动化构建蜜网网络。

蜜场——最大化迟滞攻击

受第一次世界大战中协约国广泛部署欺骗战场来迟滞同盟国的攻击启发，基于Honeypot技术的蜜场在网络安全领域也被广泛应用。

春秋云阵的蜜场是一个独立的网，是由很多个蜜罐组成的蜜罐集群，能够结合全流量型蜜点，当在网络中检测到攻击流量时会动态的将攻击流量重定向到蜜场。在攻击者无法察觉的情况下实现秘密监视和捕获攻击者在蜜罐中的活动，并最大化制造MTTH（平均攻击迟滞时间），护卫真实业务网络安全。

蜜境——构建攻击免疫系统

蜜场虽然能够给攻击者打造一个梦幻的海市蜃楼，对其攻击形成迟滞，但随着具有国家或政府背景的APT组织，针对我国政府、大学、医疗、企业、科研甚至重要信息基础设施运维单位等不同类型的重要机构不间断、无差别的进行网络攻击的情况，就需要有一套能够大范围感知攻击源、感知网络安全风险、具备攻击抗体库、增强现有真实业务面临网络攻击“自免疫”能力的系统。

蜜境正是在此种情况下应运而生。

蜜境的本意是为蜜蜂打造的原生态后花园。这和我们要为网络攻击者打造一个高甜度的幻境殊途同归。春秋云阵基于蜜饵、蜜点、蜜标、蜜场，结合平行仿真网络技术，也为网络攻击者打造了一个网络安全行业的蜜境。

蜜境不仅能够满足对网络攻击进行迟滞的需求，还能够通过打造真实业务网络、耐饱和攻击网络、攻击抗体实验网络三个逻辑网络，为用户建设一套“攻击免疫系统”。

图示：蜜境内部结构图

功能优势

1、强诱惑：多种类型蜜饵，让攻击者按照防御方设置好的路径进入预设蜜场；

2、零干扰：旁路流量监听，不改变用户网络架构；代理监听，一键安装部署，对业务主机无任何干扰；

3、高甜度：基于永信至诚多年仿真技术积累，拥有3000+蜜罐，其中800+高交互蜜罐，仿真度和甜度处于行业领跑地位；

4、全捕获：全量捕获并解析入侵威胁行为，基于kill chain模型，以Att&CK模型作为补充对攻击手法进行标注；

5、能溯源：多种蜜标，让攻击者无所遁形；

6、可反制：在授权下，可通过蜜标技术反制攻击者。

价值优势

1、全场景覆盖：行业目前最完善的体系架构，全面覆盖不同行业不同用户的业务需求；

2、全方位防护：既可作为内网安全监测的自卫者，亦可作为外部协作防御的护卫者；

3、全模式部署：既可作为本地化固定资产方式部署应用，亦可租赁云端SaaS服务；

4、全维度应用：既可用于单位自用、行业监管、城市监测，亦可支撑国家级攻防对抗需求；

5、全体系赋能：不仅是一套网络安全主动防御体系，还是一套企业安全防御能力评估体系，也是一套企业安全能力教学、实践、研究体系，应用价值广泛。

数字经济的发展为网络安全市场提供了机遇，同时也改变了网络安全防护的边界。随着实战防护需求与技术的不断发展，网络安全已经迈入实战攻防的主动防御阶段，呈现出“从人防到技防”“从静态防御到动态防御”等新特点，全场景护卫模式价值日益凸显。通过广泛应用基于蜜罐技术的欺骗防御类产品，与攻击方进行持续对抗，评估检验企业安全防御水平，以持续提升网络空间综合防护能力，是为实际业务数字化转型保驾护航的有力保障。

作为网络靶场和人才建设领军者，永信至诚将持续发挥春秋云阵新一代蜜罐等产品技术优势，为企业构建主动性、检验性安全防护体系，为政企用户数字化转型提供专业的安全测试保障和专有人才支撑，力争成为中国网络空间与数字时代安全基础设施关键建设者，实现“带给世界安全感”的愿景。