一、项目方案

       基于主动对抗的安全欺骗防御体系通过在攻击者必经之路上构造陷阱，混淆其攻击目标，精确感知攻击者攻击的行为，建立基于攻击意图进行主动对抗和混淆与欺骗防御技术的威胁检测防御系统。可阻断和隔离攻击，并溯源攻击者身份及攻击意图，形成攻击者攻击情报，反制攻击者资产，发现利用 0day 漏洞的 APT 攻击行为，保护网络免遭 0day 等攻击造成的各种风险（如敏感信息泄露、关键基础设施破坏等）。

       基于主动对抗的安全欺骗防御体系采用“中心+端”的模式，是一种低耦合、高内聚的架构，易于扩展和统一管理。包括诱捕节点、多种蜜网诱饵和蜜网系统三部分，详细系统架构如下图所示：

       1.诱捕节点。基于主动对抗的安全欺骗防御体系在我联社网络中部署了大量的诱捕节点。诱捕节点采用伪装代理的形式，深入到网络内部，能及时准确发现其中的攻击者。一旦检测到攻击流量，诱捕节点*****时间将攻击流量全部转移到系统中心的蜜网环境中，实现攻击活动与部署网络环境的完全隔离。诱捕节点作为陷阱的入口，可以映射到蜜网环境。

       2. 多种蜜网诱饵。体系的诱饵信息是系统实现改变攻击路径和攻击剥离的重要手段。基于主动对抗的安全欺骗防御体系共部署了八种诱饵全面覆盖中心办公终端、桌面云终端、生产环境Linux服务器和地市机构办公终端及地市机构互联网系统服务器。通过在真实网络中部署与真实金融业务相结合、指向系统欺骗网络的诱饵信息，可以吸引攻击者主动与系统中心进行交互，从而使攻击者转移攻击目标，远离真实网络。部署诱饵信息的机器若遭入侵，可以在攻击者未察觉的情况下及时采取针对性的防御措施。

       3.系统中心。系统中心构建的欺骗网络由蜜网层、数据采集层、行为处理分析层以及功能层四个层次组成。一是蜜网层。保证蜜网环境安全可控的前提下，高度模拟真实的网络环境，通过配置真实的网络设备、主机环境、应用系统、脱敏数据和高度仿真的金融业务活动，构建一个丰富真实、动态变化、足以迷惑攻击者的蜜网环境，诱导攻击者耗费大量的时间和精力探索蜜网环境的网络结构并实施攻击，争取宝贵的应急响应时间。二是数据采集层。负责采集蜜网层中所有的攻击行为数据，包括网络数据、主机数据、和应用数据。具有完整连续性、隐蔽性和真实性。三是行为处理层。主要是对数据采集层采集到的攻击行为数据进行分析处理，通过对网络协议还原、攻击指令还原、攻击路径关联和攻击数据的过滤对攻击事件、攻击水平、攻击意图和攻击特征进行全面分析，终实现对攻击者进行精准画像和明确其攻击意图。四是功能层。系统中心的功能层是系统中心与进行交互的功能模块，主要功能包括：攻击态势展示、攻击实时报警、攻击数据检索、攻击事件回放、攻击路径展示、攻击者画像、威胁情报输出、攻击反制、诱饵设置、诱捕节点管理、蜜网环境管理、蜜网动态调整。

二、创新点

       1.站在攻击者的角度思考部署场景。基于主动对抗的安全欺骗防御体系以虚假核心系为虚拟靶机构造了结合攻击者思路的特色蜜网。并以攻击者为角度设计了多种带有域控等环境的攻击路径。蜜网包括广东农信IT服务管理系统、工单管理平台等九种定制化外网蜜罐以及丰富的内网环境。

       2.以免杀等技术作为支撑。基于主动对抗的安全欺骗防御体系使用免杀CS远控木马作蜜罐的反制手段，能绕过Windowsdefender，火绒，360等常见杀毒软件。同时考虑到使用混淆方法去除外网蜜罐的流量指纹和厂商指纹，替换曾经真实金融业务的域名和IP，让蜜罐更真实可信。当木马反制程序上线后即会告警，并自动化地在钉钉群内同步通报。

       3. 具备发现利用 0day 漏洞的 APT 攻击行为的能力，诱骗攻击者以高价值0day攻击蜜罐，从而捕获攻击者的0day。在实际部署完成后，Weblogic蜜罐系统成功捕获到一例0day攻击事件。

三、技术实现特点

       1. 基于主动对抗的安全欺骗防御体系以安全性为*****前提。安全性需要重点考虑蜜罐的防逃逸功能，基于主动对抗的安全欺骗防御体系外网蜜罐都划分了独立VLAN，并在防火墙层面对单独的VLAN做ACL控制（流量只进不出）。同时考虑蜜罐容器的安全性，使用了混淆过的KVM作为蜜罐容器，降低虚拟机逃逸的可能性。

       2.基于主动对抗的安全欺骗防御体系的强落地性、高开发性。系统内含主机蜜罐均由实际金融业务为原型再次开发完成，具有高度仿真性和强欺骗性。同时系统内含诱饵及反制免杀木马文件由真实金融业务文件或客户端植入恶意代码开发完成，大幅度的提升了基于主动对抗的安全欺骗防御体系的溯源、反制能力。

       3.较高的技术自主可控性，本次安全欺骗防御的木马关键免杀技术的研发、蜜网的架构设计、反制诱饵的关键代码和部署由省农信联社自主完成，具备较高的自主可控能力。

四、运营情况

      1.截至目前，基于主动对抗的安全欺骗防御体系共成功捕获攻击事件4408起，攻击源IP总数1261个，发现真人攻击12次，发现并溯源国外APT组织攻击1起，共捕获并溯源到真实攻击者10人，反制攻击者服务器6台，捕获0day攻击1个，形成溯源分析报告25份。

      2.持续有效保护我联社网络免遭黑客攻击造成的各种风险（如敏感信息泄露、关键基础设施破坏等）。截至目前未发现对真实资产的攻击成功事件。

五、项目成效

       1.基于主动对抗的安全欺骗防御体系使我联社与下属地市机构联动形成了一个整体。我联社和下属地市机构在护网工作前由于多法人的组织关系，安全防护方面独立分割，并未做到紧密联系，导致部分下属地市机构存在防护薄弱难以感知到攻击行为。基于主动对抗的安全欺骗防御体系定制散布了地市办公文件诱饵和地市互联网系统诱饵，同时部署了两台蜜罐硬件服务器分别接收地市办公文件诱饵和地市互联网系统诱饵的告警。另一方面，将下属地市机构的攻击流量重定向引流到固定的外网蜜罐的不同路径，实现感知攻击火力分布、联合封堵的效果。解决了和下属地市机构防守分割的状况。

       2.加深了内网感知能力。基于主动对抗的安全欺骗防御体系制作了八种诱饵，全面覆盖中心办公终端、桌面云终端、生产环境Linux服务器和互联网系统，覆盖终端上千台。同时部署伪装代理引流节点242个，基本实现引流节点涵盖每个网络C段，极大加深了内网感知能力，有效防止攻击者横向移动。

       3.建立了攻击反制能力，建立了反制情报体系 。通过部署蜜罐，基于主动对抗的安全欺骗防御体系将捕获社交ID脚本、免杀远程控制木马程序、宏反制办公文件诱饵等和真实金融业务系统互相融合，补全了溯源和反制手段，实现对攻击者行为的全面收集，获取全量的情报信息，包含攻击者当前使用设备的基本信息、WiFi 连接状态和网络适配信息，以及攻击者的账户和进程信息等，对解决攻防不对称的*****步，获取完备信息至关重要。

六、经验总结

       1.基于主动对抗的安全欺骗防御体系做到了站在攻击者的角度思考并进行主动对抗。安全欺骗防御系统在从防守方角度做到基本的部署建设的同时，更多的从攻击者的攻击思路、攻击链路和攻击手法着手，通过在攻击者必经之路上构造陷阱，混淆其攻击目标，精确感知攻击者攻击的行为。从而阻断和隔离攻击，并溯源攻击者身份及攻击意图。

       2.安全欺欺骗防御系统充分体现了安全产品更强调安全产品落地性。基于主动对抗的安全欺骗防御体系经过我联社安全工程师结合实际金融业务情况进行多轮调优，更好的发挥了产品效果，在普遍强调技术性的行业环境下，以注重安全产品落地性、实现与金融业务更好的结合为目标和要求。