东西向流量下威胁感知困境：从攻击者的视角出发，入侵攻击步骤可以大致拆解成为两大部分1、外网突破边界；2、进入内网后的横跳/提权。 上述攻击步骤夹杂在南北和东西流量中，由于企业内部信息资产间的流量交互更为复杂，因此东西向流量较南北向流量更难以管控。攻击流量藏匿于正常的业务流量中，安全运维人员需要大量的时间分析、定位、溯源攻击者，为攻击者利用事件处置窗口期完成后渗 透提供可乘之机，给彻底清除隐患造成极大的困难。

构建有效的网络空间欺骗体系需从监测覆盖度和伪装有效性两个角度出发： 覆盖度：蜜罐应该尽可能多的覆盖，欺骗节点越多，攻击者分析的成本越高，踩中蜜罐的概率也越大。 仿真性：蜜罐服务应该尽可能覆盖业务应用种类，做到可以适应多种业务场景，让攻击者难辨真假。 从以上两点出发，在众多客户场景的需求下，区别于产品自身能力，如何保证更广的覆盖度是很大的痛点：

谛听（D-Sensor）“大探针”全覆盖式欺骗防御方案

“大探针”方案是以最少的资源解决欺骗节点覆盖度问题。长亭谛听（D-Sensor）“大探针”内置多个网口，可同时接入多个网络区域。其单个网口可配置多个VLAN和多个IP，通过Trunk模式将其接入到交换机上，可以在一个网络区域内实现多个IP和多个蜜罐绑定，在节约资源、成本的同时部署更多的伪装欺骗节点，迅速扩大欺骗范围，实现快速威胁感知和诱捕。

成本节约是本方案的最大亮点，“大探针”版本的谛听（D-Sensor）具备多网络接口，可单台探针同时覆盖多个网 段，对于网段复杂的客户而言典型的应用场景是，A、B、C三个网段可以同时接入一台谛听（D-Sensor）“大探 针”，并配按需配置的欺骗节点数量，一台“大探针”可以按需配置几百、上千甚至更多的伪装欺骗节点，在客户的 整体网络架构中构建高密度“蜜网”体系，大规模提升攻击者踩中蜜罐的概率。

利用蜜罐所捕获的攻击必然为真实攻击这一特性，该方案在大规模节点的 覆盖之下，极大效率提升内网攻击响应的速率。 谛听(D-Sensor)内置50余种蜜罐服务模版，可以支撑用户根据实际业务需 求，布设各类系统服务、Web服务和数据库服务，实现应用、数据、设备 层欺骗，同时谛听(D-Sensor)蜜罐支持用户自定义服务标识、蜜罐诱饵 等，并支持真实的访问交互，实现高仿真、高交互的伪装服务，还可在伪 装服务上开启相关缺陷，诱导攻击者释放攻击载荷。 攻击者入侵蜜罐时，其设备指纹、社交信息、位置信息等都将被采集，通 过谛听(D-Sensor)的WebRTC技术和自研“黑科技”可以进一步获取到攻 击者的主机信息、浏览器信息、社交信息、真实IP、代理IP等。通过对采 集数据的综合研判，可准确定位攻击者真实身份。

通过主机安全产品牧云（CloudWalker）的蜜罐诱捕能力将攻击流量重定向至谛听(D-Sensor)，实现“虚实结合”的 主机资产蜜罐覆盖网，联动后的方案更大的提升了威胁感知的细粒度，为谛听(D-Sensor)的后端分析平台提供更加完 整的数据源，更精准分析和溯源攻击行为和攻击主体，实现内网威胁感知秒级告警。

最低硬件探针部署成本下

构建更多欺骗节点覆盖的蜜网体系

诱使攻击者暴露其地址和意图

为边界防御提供精准的威胁情报

内置语义分析引擎

精准识别、判定多种扫描与攻击行为