ICS35.030CCSL803309IDB3309/T109—2024前言 12規(guī)范性引用文件 13術(shù)語和定義 14系統(tǒng)架構(gòu) 25功能要求 25.1主機威脅感知 25.2終端威脅感知 25.3威脅處置決策 25.4網(wǎng)絡(luò)橫向移動行為檢測 26系統(tǒng)部署 26.1部署類型 26.2部署步驟 36.3部署驗證 37系統(tǒng)驗收 37.1系統(tǒng)初驗 47.2驗收檔案 4附錄A（資料性）攻擊誘捕系統(tǒng)架構(gòu)圖 5DB3309/T109—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由舟山市公安局提出并歸口。本文件起草單位：舟山市公安局，北京元支點信息安全技術(shù)有限公司。本文件主要起草人：張艷波，王翹楚，張通漢，何淼楹，施翔，丁峰，楊丁源，楊柯，任俊博，林建偉，史晨偉，黃林。DB3309/T109—20241網(wǎng)絡(luò)攻擊誘捕系統(tǒng)建設(shè)規(guī)范本文件規(guī)定了網(wǎng)絡(luò)攻擊誘捕系統(tǒng)的系統(tǒng)架構(gòu)、功能要求、系統(tǒng)部署和系統(tǒng)驗收要求。本文件適用于網(wǎng)絡(luò)攻擊誘捕系統(tǒng)的建設(shè)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022GB50052信息安全技術(shù)術(shù)語供配電系統(tǒng)設(shè)計規(guī)范3術(shù)語和定義GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件。蜜罐一種誘餌系統(tǒng)的通稱,用于欺騙、分散、轉(zhuǎn)移和鼓勵攻擊者,使其把時間花在看似很有價值但實際上是偽造的、合法用戶不會感興趣的信息上。[來源：GB/T25069—2022，定義3.420，有修改]3.2蜜網(wǎng)蜜網(wǎng)是由多個蜜罐以及管理和分析這些蜜罐數(shù)據(jù)的組件組成的網(wǎng)絡(luò)，用于監(jiān)控和分析攻擊者在網(wǎng)絡(luò)中的行為。3.3誘餌一種旨在通過放置偽造的信息或資源來迷惑和引導攻擊者，從而保護真實的系統(tǒng)和數(shù)據(jù)的技術(shù)。誘餌可以是文檔、網(wǎng)絡(luò)服務或賬戶等，通常作為安全策略的一部分。3.4面包屑一種誘騙技術(shù)，通過在系統(tǒng)中放置虛假的信息或痕跡來引導攻擊者，從而達到保護真實目標或跟蹤攻擊者的目的。虛假信息包括偽造的文件路徑、網(wǎng)絡(luò)連接等。3.5誘捕探針一種網(wǎng)絡(luò)安全系統(tǒng)，該系統(tǒng)結(jié)合了誘捕技術(shù)和探針技術(shù)以發(fā)現(xiàn)、監(jiān)控和轉(zhuǎn)移網(wǎng)絡(luò)活動或攻擊行為，并試圖將識別到的攻擊行為重定向到蜜網(wǎng)。DB3309/T109—202423.6網(wǎng)絡(luò)攻擊誘捕系統(tǒng)一種網(wǎng)絡(luò)安全系統(tǒng)，旨在通過創(chuàng)建虛假資源來吸引和誤導潛在攻擊者，從而檢測、延緩和分析攻擊行為。4系統(tǒng)架構(gòu)4.1系統(tǒng)至少應包含欺騙防御管理、主機和終端威脅感知、威脅決策處置等模塊。4.2網(wǎng)絡(luò)攻擊誘捕系統(tǒng)架構(gòu)參考圖見附錄A。5功能要求5.1主機威脅感知應能夠在真實業(yè)務主機（服務器）中部署多種類型誘餌、面包屑，用于發(fā)現(xiàn)入侵主機的惡意行為并將其誘騙至蜜網(wǎng)。5.2終端威脅感知應能夠在各類智能聯(lián)網(wǎng)終端中部署多類型感知誘餌，用于發(fā)現(xiàn)入侵終端的惡意行為并進行預警，形成對攻擊者的有效威懾。5.3威脅處置決策應能收集相關(guān)威脅告警，并將匯聚的信息進行統(tǒng)一智能分析，輸出可執(zhí)行的處置動作建議，為安全人員做出快速應對安全威脅的關(guān)鍵決策提供有效信息支撐。5.4網(wǎng)絡(luò)橫向移動行為檢測應能夠布設(shè)策略性虛假資源和服務，引誘并監(jiān)測非授權(quán)的橫向移動嘗試，實時識別和記錄此類攻擊行為并生成威脅警報。應能進行流量牽引，將攻擊行為引導至蜜網(wǎng)來進行深度分析，實現(xiàn)對攻擊流量的轉(zhuǎn)移。6系統(tǒng)部署6.1部署類型6.1.1誘捕探針部署應在各業(yè)務區(qū)域部署高密度的誘捕探針，并構(gòu)建復雜的內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)，以實現(xiàn)對攻擊者的干擾和迷惑，增加其對攻擊目標識別的難度，形成一種主動誘捕的網(wǎng)絡(luò)防御系統(tǒng)。6.1.2誘餌部署應在各業(yè)務系統(tǒng)主機安裝誘餌，用于失陷主機的檢測和異常行為監(jiān)控；應在計算機和其他聯(lián)網(wǎng)泛終端中，投放多種類型威脅感知誘餌，用于發(fā)現(xiàn)被入侵的設(shè)備。6.1.3蜜網(wǎng)部署DB3309/T109—20243應部署與實際業(yè)務環(huán)境相似的蜜網(wǎng)，用于對攻擊行為的延緩，為分析攻擊者的行為特征、技術(shù)、工具、意圖等提供環(huán)境，為安全團隊贏得更多時進行應對準備。在部署蜜網(wǎng)時，應確保其與組織的生產(chǎn)網(wǎng)絡(luò)環(huán)境隔離，以防止?jié)撛诘墓舨暗綄嶋H的業(yè)務系統(tǒng)。6.2部署步驟6.2.1現(xiàn)場勘查應勘查現(xiàn)場，編寫現(xiàn)場勘查報告，內(nèi)容應包括網(wǎng)絡(luò)的相關(guān)設(shè)置。6.2.2方案設(shè)計應根據(jù)現(xiàn)場勘查報告，進行設(shè)備的部署設(shè)計，編寫部署方案，部署方案應至少包括IP地址規(guī)劃、路由策略規(guī)范、設(shè)備口令規(guī)劃。6.2.3安裝調(diào)試6.2.3.1應按照安裝設(shè)計方案將所有硬件設(shè)備安裝到位，并對已安裝的所有產(chǎn)品進行外表標識，記錄每個模塊的產(chǎn)品序列號。6.2.3.2硬件設(shè)備安裝完成之后，應對所提供的電力供應進行檢查，電力供應應符合GB50052和硬件設(shè)備的要求。6.2.3.3對硬件設(shè)備進行加電啟動，對軟硬件設(shè)備進行安裝、調(diào)試。6.2.3.4有多個節(jié)點時，應從中心到邊緣的所有節(jié)點逐個進行設(shè)備安裝及加電調(diào)測。6.2.3.5在完成所有軟硬件設(shè)備安裝及調(diào)測之后，應對整個系統(tǒng)進行調(diào)測，并編寫系統(tǒng)整體調(diào)測報告。6.3部署驗證6.3.1誘捕探針部署驗證誘捕探針數(shù)量應不低于業(yè)務主機數(shù)量的2倍，或能夠覆蓋所有主機，且應覆蓋全部業(yè)務系統(tǒng)所在網(wǎng)絡(luò)區(qū)域，并能將各網(wǎng)絡(luò)隔離區(qū)域的攻擊流量轉(zhuǎn)發(fā)至蜜網(wǎng)。6.3.2誘餌部署驗證應在計算機和泛終端關(guān)鍵位置部署異常行為感知誘餌，用于對外部攻擊者或內(nèi)部人員的異常行為檢測，迷惑攻擊者并將其引導至蜜網(wǎng)。6.3.3蜜網(wǎng)部署驗證6.3.3.1蜜網(wǎng)應支持常見的系統(tǒng)服務的偽裝，根據(jù)不同業(yè)務場景配置符合場景相似度的蜜罐。6.3.3.2蜜網(wǎng)支持的系統(tǒng)服務應至少包含以下服務。a)操作系統(tǒng)層服務：.文件服務；.網(wǎng)絡(luò)服務；b)應用層服務：.數(shù)據(jù)庫服務；.Web服務；.郵件服務。7系統(tǒng)驗收DB3309/T109—202447.1系統(tǒng)初驗實施驗收前應制定驗收計劃，對整個系統(tǒng)進行單點初驗測試與系統(tǒng)初驗測試，并形成相應測試報告。7.1.1驗收計劃應制定系統(tǒng)初驗計劃，組織有關(guān)部門和人員對系統(tǒng)的功能、性能、使用等進行初驗測試，依據(jù)測試結(jié)果判定是否通過系統(tǒng)初驗，并形成系統(tǒng)初驗報告。7.1.2系統(tǒng)試運行應制定系統(tǒng)試運行計劃，審批通過后開始系統(tǒng)試運行工作，試運行期間應解決初驗時的問題。試運行結(jié)束前，形成系統(tǒng)試運行報告。7.1.3系統(tǒng)終驗應制定系統(tǒng)終驗計劃，組織有關(guān)部門和人