ICS35.030 CCSL80 3309 浙江省舟山市地方标准 DB3309/T109—2024 网络攻击诱捕系统建设规范 2024-11-5发布 2024-12-5实施 舟山市市场监督管理局  发布DB3309/T109—2024 I目次 前言..................................................................................II 1范围................................................................................1 2规范性引用文件......................................................................1 3术语和定义..........................................................................1 4系统架构............................................................................2 5功能要求............................................................................2 主机威胁感知....................................................................2 终端威胁感知....................................................................2 威胁处置决策....................................................................2 网络横向移动行为检测............................................................2 6系统部署............................................................................2 部署类型........................................................................2 部署步骤........................................................................3 部署验证........................................................................3 7系统验收............................................................................3 系统初验........................................................................4 验收档案........................................................................4 附录A（资料性）攻击诱捕系统架构图....................................................5DB3309/T109—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由舟山市公安局提出并归口。 本文件起草单位：舟山市公安局，北京元支点信息安全技术有限公司。 本文件主要起草人：张艳波，王翘楚，张通汉，何淼楹，施翔，丁峰，杨丁源，杨柯，任俊博，林 建伟，史晨伟，黄林。DB3309/T109—2024 1网络攻击诱捕系统建设规范 1范围 本文件规定了网络攻击诱捕系统的系统架构、功能要求、系统部署和系统验收要求。 本文件适用于网络攻击诱捕系统的建设。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069—2022信息安全技术术语 GB50052 供配电系统设计规范 3术语和定义 GB/T25069—2022界定的以及下列术语和定义适用于本文件。 蜜罐 一种诱饵系统的通称,用于欺骗、分散、转移和鼓励攻击者,使其把时间花在看似很有价值但实际上 是伪造的、合法用户不会感兴趣的信息上。 [来源：GB/T25069—2022，定义3.420，有修改] 蜜网 蜜网是由多个蜜罐以及管理和分析这些蜜罐数据的组件组成的网络，用于监控和分析攻击者在网络 中的行为。 诱饵 一种旨在通过放置伪造的信息或资源来迷惑和引导攻击者，从而保护真实的系统和数据的技术。诱 饵可以是文档、网络服务或账户等，通常作为安全策略的一部分。 面包屑 一种诱骗技术，通过在系统中放置虚假的信息或痕迹来引导攻击者，从而达到保护真实目标或跟踪 攻击者的目的。虚假信息包括伪造的文件路径、网络连接等。 诱捕探针 一种网络安全系统，该系统结合了诱捕技术和探针技术以发现、监控和转移网络活动或攻击行为， 并试图将识别到的攻击行为重定向到蜜网。DB3309/T109—2024 2 网络攻击诱捕系统 一种网络安全系统，旨在通过创建虚假资源来吸引和误导潜在攻击者，从而检测、延缓和分析攻击 行为。 4系统架构 系统至少应包含欺骗防御管理、主机和终端威胁感知、威胁决策处置等模块。 网络攻击诱捕系统架构参考图见附录A。 5功能要求 主机威胁感知 应能够在真实业务主机（服务器）中部署多种类型诱饵、面包屑，用于发现入侵主机的恶意行为并 将其诱骗至蜜网。 终端威胁感知 应能够在各类智能联网终端中部署多类型感知诱饵，用于发现入侵终端的恶意行为并进行预警，形 成对攻击者的有效威慑。 威胁处置决策 应能收集相关威胁告警，并将汇聚的信息进行统一智能分析，输出可执行的处置动作建议，为安全 人员做出快速应对安全威胁的关键决策提供有效信息支撑。 网络横向移动行为检测 应能够布设策略性虚假资源和服务，引诱并监测非授权的横向移动尝试，实时识别和记录此类攻击 行为并生成威胁警报。应能进行流量牵引，将攻击行为引导至蜜网来进行深度分析，实现对攻击流量的 转移。 6系统部署 部署类型 6.1.1诱捕探针部署 应在各业务区域部署高密度的诱捕探针，并构建复杂的内部网络拓扑结构，以实现对攻击者的干扰 和迷惑，增加其对攻击目标识别的难度，形成一种主动诱捕的网络防御系统。 6.1.2诱饵部署 应在各业务系统主机安装诱饵，用于失陷主机的检测和异常行为监控；应在计算机和其他联网泛终 端中，投放多种类型威胁感知诱饵，用于发现被入侵的设备。 6.1.3蜜网部署DB3309/T109—2024 3应部署与实际业务环境相似的蜜网，用于对攻击行为的延缓，为分析攻击者的行为特征、技术、工 具、意图等提供环境，为安全团队赢得更多时进行应对准备。在部署蜜网时，应确保其与组织的生产网 络环境隔离，以防止潜在的攻击波及到实际的业务系统。 部署步骤 6.2.1现场勘查 应勘查现场，编写现场勘查报告，内容应包括网络的相关设置。 6.2.2方案设计 应根据现场勘查报告，进行设备的部署设计，编写部署方案，部署方案应至少包括IP地址规划、路 由策略规范、设备口令规划。 6.2.3安装调试 6.2.3.1应按照安装设计方案将所有硬件设备安装到位，并对已安装的所有产品进行外表标识，记录 每个模块的产品序列号。 6.2.3.2硬件设备安装完成之后，应对所提供的电力供应进行检查，电力供应应符合GB50052和硬件 设备的要求。 6.2.3.3对硬件设备进行加电启动，对软硬件设备进行安装、调试。 6.2.3.4有多个节点时，应从中心到边缘的所有节点逐个进行设备安装及加电调测。 6.2.3.5在完成所有软硬件设备安装及调测之后，应对整个系统进行调测，并编写系统整体调测报告。 部署验证 6.3.1诱捕探针部署验证 诱捕探针数量应不低于业务主机数量的2倍，或能够覆盖所有主机，且应覆盖全部业务系统所在网 络区域，并能将各网络隔离区域的攻击流量转发至蜜网。 6.3.2诱饵部署验证 应在计算机和泛终端关键位置部署异常行为感知诱饵，用于对外部攻击者或内部人员的异常行为检 测，迷惑攻击者并将其引导至蜜网。 6.3.3蜜网部署验证 6.3.3.1蜜网应支持常见的系统服务的伪装，根据不同业务场景配置符合场景相似度的蜜罐。 6.3.3.2蜜网支持的系统服务应至少包含以下服务。 a)操作系统层服务： 文件服务； 网络服务； b)应用层服务： 数据库服务； Web服务； 邮件服务。 7系统验收DB3309/T109—2024 4 系统初验 实施验收前应制定验收计划，对整个系统进行单点初验测试与系统初验测试，并形成相应测试报告。 7.1.1验收计划 应制定系统初验计划，组织有关部门和人员对系统的功能、性能、使用等进行初验测试，依据测试 结果判定是否通过系统初验，并