长亭科技谛听D-Sensor伪装欺骗系统_网络安全威胁感知系统

长亭科技谛听D-Sensor伪装欺骗系统

谛听（D-Sensor）伪装欺骗系统，秉承了欺骗防御的核心思路。通过在攻击者入侵的关键路径上部署诱饵和陷阱（蜜罐），诱导攻击者转移攻击目标，进入与真实网络隔离的蜜网，让攻击者在蜜网中攻击“假”目标，获取虚假数据，从而拖延攻击时间，间接保护真实资产。

立即咨询

首页 > 产品中心 > 网络安全 > 长亭科技谛听D-Sensor伪装欺骗系统

威胁不断升级，影响不断加大 icon

安全防御依旧处于被动状态 icon

保护被动——安全总是会存在盲区和弱点，防御建设工作持续不断。检测被动——检测规则多基于已有攻击，难以预测新型威胁。响应被动——攻暗明守，疲于被动应对。恢复被动——缺少后发制人的有效手段。

什么是欺骗防御

现实战争
从古至今，欺骗防御战术就在各种战争中应用广泛

蜜罐出现
1989蜜罐开始出现，用于研究黑客，应对自动化攻击

技术升级
欺骗组件类型不断增加，逐渐形成欺骗技术框架和欺骗防御平台

欺骗防御
支撑主动防御体系，应对持续变化的高级威胁

欺骗防御如何奏效？基于欺骗系统提高防御主动性 icon

如何提升防御效果？
部署虚假资产，干扰和吸引攻击者，间接保护真实资产。了解潜在攻击者和攻击手法，获取有效情报。

如何有效对攻击者进行反击？
基于欺骗系统

有效开展「溯源」和「反制」

如何提高0day和APT的检测？
通过增加资产丰富性、伪造诱饵、伪造漏洞特征、设置缺陷系统，引蛇出洞。

如何提高响应效率？
每一条访问欺骗系统的请求都值得关注基于欺骗系统实现完整取证和攻击分析

产品定义

谛听（D-Sensor）伪装欺骗系统，秉承了欺骗防御的核心思路。通过在攻击者入侵的关键路径上部署诱饵和陷阱（蜜罐），诱导攻击者转移攻击目标，进入与真实网络隔离的蜜网，让攻击者在蜜网中攻击“假”目标，获取虚假数据，从而拖延攻击时间，间接保护真实资产。在此过程中，谛听（D-Sensor）能完整记录攻击者行为，捕获高级未知攻击，并且可以对攻击者做身份溯源，甚至反制攻击者，为防守方提供先人一步的主动防御手段。

核心能力之「威胁感知」 icon

谛听（D-Sensor）提供丰富的探针组件。探针一般部署于真实网络环境中，当探针发现异常访问时，可以将异常访问流量重定向至与探针关联的蜜罐服务中，诱导攻击者进入由数个蜜罐组合而成的蜜网环境，实现层层深入的欺骗效果。

旁路轻量化部署架构

「管理节点-探针」轻量化架构

支持软件部署、硬件、云端、容器部署

支持windows/Linux/统信/麒麟等

多IP全端口威胁感知

支持单个网口可配置多个VLAN，配置多个IP

支持多网口探针与多个交换机连接，高效覆盖大量IP

支持监听IP和蜜罐多对多绑定

支持tcp/udp、ping/arp威胁感知

核心能力之「诱捕牵制」 icon

蜜饵支持文件、命令历史、登录凭据、连接记录、开发项目文件等多种类型诱饵的自动生成。蜜罐类型60+，覆盖各类系统服务、Web应用、数据库服务、5G、工控等场景，用户可根据业务需求布设和自定义修改，实现应用、数据、协议、设备层等多维度欺骗。交互支持用户登录、上传/下载、工具连接、命令执行、漏洞攻击等多种交互行为。

核心能力之「诱捕牵制」 icon

谛听通过智能学习真实业务和网络可以有效提升蜜罐仿真效果、提高欺骗防御部署速度，并降低使用门槛和运营成本。

静态资源爬取
html、css

js、img

动态接口学习
登录表单

验证码

搜索框

4xx/5xx响应

灵活学习方式
全自动

半自动

插件增强

识别网段资产
存活资产、ip、port

OS、数据库、编程语言

web服务信息

生成推荐方案
推荐开启蜜罐

推荐绑定端口

推荐绑定探针

一键生成密网
自动建立密网

自动创建蜜罐

自动绑定探针

核心能力之「诱捕牵制」 icon

除了部署静态蜜罐等待攻击者攻击的诱捕策略，谛听还支持与其他安全检测设备进行联动，并结合在业务仿真、攻击诱捕技术上的长期积累，通过拟态技术实时对业务进行仿真并智能响应攻击。

核心能力之「诱捕牵制」 icon

WAF联动
通过联动WAF，可以增加诱捕攻击者的概率，转移并吸引攻击者的攻击

牧云联动
增加和HIDS联动，可以增加蜜罐覆盖率，在第一时间发现攻击者入侵

WEB攻击拟态防护
转移真实业务上的WEB攻击到拟态蜜罐，由拟态蜜罐进行实时仿真业务和动态响应

WebShell拟态防护
在发现攻击者上传webshell后，实时转移webshell到拟态环境，监控攻击者后续连接和操作

核心能力之「取证分析」 icon

在布下重重陷阱的同时，谛听（D-Sensor）使用了多种行为取证和攻击分析技术，完整记录攻击者入侵行为，由此能够协助用户分析攻击意图、实时调整安全策略、保护核心资产、占据防守先机。

行为取证

入侵流量记录入侵日志下载进程变动记录文件操作记录数据库操作记录操作视频回放

攻击分析

攻击源分析攻击者画像端口探测行为识别自研语义分析引擎恶意文件检测威胁情报查询

核心能力之「溯源反制」 icon

谛听（D-Sensor）具备丰富的溯源反制方式，能够为安全人员定位攻击者身份、追究法律责任提供强有力的证据，最终实现打击网络犯罪、震慑不法分子的目的。

浏览器账号溯源

原理：在攻击者使用浏览器访问蜜罐页面时，利用JSONP或XSS漏洞获取其已经登录过其他站点的账号信息。效果：百度、163、51cto、csdn、携程等网站的账号。

MySQL客户端反制

原理：MySQL是网站常用的数据库类型之一，利用MySQL蜜罐吸引攻击者使用客户端连接数据库，在连接成功后利用客户端漏洞自动获取攻击者PC的指定目录文件。效果：攻击者PC/跳板机内的敏感文件，可能包含攻击者设备信息，网络信息，社交信息等。

exe客户端反制

原理：攻击者喜欢分析exe客户端漏洞，我们就在客户端文件中植入木马程序，在吸引攻击者安装过程中将木马植入攻击者PC，植入成功后，PC会在反制平台上线。效果：通过平台可控制攻击者PC，获取攻击者PC内的敏感信息，理论上可获取攻击者PC内的一切文件。

谛听优势

全面威胁感知
轻量化，少量资源实现大量覆盖

监听广，单探针全端口多IP

更敏锐，可识别ping探测和ARP欺骗

有效诱捕牵制
类型丰富，构建强大吸引力

支持自定义，贴合真实业务

联动灵活，主动诱捕攻击

交互深，实现攻击牵制

智能加持使用
蜜罐智能学习，提高伪装效果

密网智能学习，降低部署难度

拟态防御，提高交互效果

自研语义分析，识别攻击行为

不止于欺骗
详尽取证分析，了解攻击对手

丰富溯源反制方式，实现克敌制胜

强大攻防团队，动态支撑赋能

解决方案

内网威胁感知方案
实现大范围欺骗防御部署快速发现横向移动、病毒扩散等行为

拟态联动防御方案
对真实业务攻击进行欺骗诱捕在牵制过程中了解每一个攻击者

攻防对抗演练方案
全过程干扰、诱捕、取证、溯源和反制红队攻击者。帮助蓝队精准定位攻击成员，还原攻击过程，最终得分。

解决方案内网威胁感知方案 icon

场景挑战

攻击流量藏身于正常的业务交互流量中，由于企业内部信息资产间的流量交互更为复杂，因此东西向流量较南北向流量更难以管控。因此安全人员需要大量的时间分析、定位、溯源，于是攻击者利用事件处置窗口期完成后渗透阶段工作，给彻底清除隐患造成极大的困难。如何在网络资产规模越大情况下，实现欺骗设施全面部署？如何在保证全面欺骗覆盖的基础上，需要极致压缩成本？如何实现大量探针节点和欺骗服务配置与管理简单？

解决方案

管理平台：实现探针、欺骗服务的集中管控。大探针：内置多个网口，可同时接入多个网络区域；全面监听：单个网口可配置多个VLAN、多个IP、多个端口的监听，实现扫描行为和流量转发。欺骗布防：在真实业务IP附近和网段两端部署伪装服务；使用智能学习密网部署欺骗防御网络。

客户案例某大型股份制银行 icon

落地情况

蜜罐系统组成：一台谛听（D-Sensor）硬件管理系统+8台硬件大探针。部署位置：蜜罐管理系统旁路接入网络，8台硬件探针分别旁路部署在如图所在8个网络大区域，部分网络大区域中还包含多个小区域。设备网卡选配情况：大探针设备上配备多个网口，网口数量由该探针覆盖网络区域数量决定，例如探针8关联了5个区域，因此探针8至少需要5个业务口+1个管理口。内网蜜罐布防情况：所有探针均开启全端口监听；网络区域的伪装服务部署位置靠近实际业务IP，在真实业务网段两端部署伪装服务，并且根据真实业务类型选取伪装服务。

价值优势

全面感知和诱捕内网横移、探测的攻击行为。诱使攻击者暴露其地址和意图，为边界防御提供精准的威胁情报。形成虚实结合的网络，转移攻击视线，间接保护核心资产。更低部署成本，更高管理效率。

解决方案拟态联动防御方案 icon

场景挑战

传统防守方式较被动：通常发现攻击后会采取阻断、隔离的防守方式，而上述方式会促使攻击者转移攻击目标、更换攻击方式、提高攻击等级，防御难度进一步加大。静态蜜罐诱捕效果差：传统蜜罐与真实业务关联不强，仿真永远存在差距，难以诱捕高级攻击者；难以对真实业务上的攻击者展开欺骗诱捕欺骗设施部署复杂：欺骗设施不等同于真实资产，需要额外部署探针和配置引流策略，还需要定制高仿真蜜罐。

解决方案

通过与WAF联动，将存在攻击特征、访问风险路径的攻击者牵引到欺骗伪装系统。通过与HIDS联动，将对敏感端口的进行扫描和访问的攻击者牵引到欺骗伪装系统。通过拟态蜜罐，动态模拟真实业务响应和环境，对web攻击行为、Webshell攻击行为就进行拟态防护。

客户案例某部委单位 icon

落地情况

梳理内网网段，使用大探针实现全网段覆盖。通过「牧云-谛听」联动，开启微蜜罐和交互蜜罐，增强内网攻击者的诱捕。通过「雷池-谛听」联动，牵引攻击者进入蜜罐。贴合用户业务逻辑精心设计蜜罐和下载反制脚本的场景。散播具有溯源反制功能的git诱饵至真实业务系统，吸引攻击者进行下载。部署存在0day概率较高的VPN、管理平台等蜜罐捕获高级攻击。

价值优势

充分发挥雷池、牧云与谛听间的联动，提高对攻击者的诱捕概率并降低部署工作。增强蜜饵、蜜罐、密网与用户业务的贴合，保障欺骗伪装效果。从攻击者视角检查场景、剧本和“道具”，带给攻击者沉浸式体验。

解决方案攻防对抗演练方案 icon

方案背景

为了应对严峻的网络空间威胁形势，我国各级政企单位纷纷推进攻防演练活动的常态化，以检验自身及管辖范围内重要业务单位的网络安全保障效果。而无论是抵御APT等高级威胁，或是参与实战攻防演练，欺骗平台技术都因为其对攻击者的强力威胁与震慑作用，成为防守方进行主动防御的关键技术手段。

欺骗伪装

通过业务学习、智能学习快速仿真出高度仿真交互的伪装服务，干扰和吸引攻击者。针对不同场景区域特点、可能存在0day的业务系统大范围部署欺骗伪装服务，对攻击者进行诱捕。

威胁感知

在内网边界、重要区域、真实业务上部署具备威胁感知能力的探针节点。在WEB、HIDS、负载等攻击上针对异常路径、异常端口开启联动诱捕策略。通过日志外发接口和API接口接入SIEM平台或SOC平台，实现对蜜罐告警的及时感知与响应。

溯源反制

设计诱捕剧本，诱导攻击者下载和执行反制工具。帮助蓝队精准定位攻击成员，还原攻击过程，最终得分。了解红队信息、攻击对象、POC脚本。

客户案例某政府机构 icon

准备工作

提前两个月完成蜜罐、探针的部署和对外映射。参考子域名爆破字典申请子域名，子域名通过A记录映射到探针对外映射的IP。提供真实网站根证书，使用HTTPS方式访问蜜罐。在OA、邮件等蜜罐中设置诱饵，引导攻击者下载已种植木马的VPN客户端。

过程描述

攻击者子域名爆破发现oa.xxx.com，实际为蜜罐。攻击者查询https://crt.sh，验证证书，确认为企业真实资产。攻击者尝试密码爆破，弱口令登录成功。查看OA公告，系统维护公告泄漏VPN的访问地址。攻击者访问VPN蜜罐，下载并安装VPN客户端。

成果展示

在攻击者入侵OA蜜罐时，谛听第一时间告警。在攻击者下载并安装VPN后，反制平台完成了第一步反制。现场人员手动在攻击者PC挂马，完成权限维持。现场人员持续获取攻击证据，拖走了攻击者准备的N个0day漏洞的exp。现场人员远程持续监控攻击者的攻击动向，提前防御，确保不丢分；同时，为其他防守单位提供威胁情报。

客户案例 2022HVV成绩 icon

2022年HW期间，共有98家企业选择使用谛听产品以及配套服务，覆盖金融、能源、通信、政府等多个行业。