DB3309_T 109-2024 网络攻击诱捕系统建设规范.docxVIP

ICS35.030CCSL80

3309

浙江省舟山市地方标准

DB3309/T109—2024

网络攻击诱捕系统建设规范

2024-11-5发布2024-12-5实施

舟山市市场监督管理局发布

I

DB3309/T109—2024

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4系统架构 2

5功能要求 2

5.1主机威胁感知 2

5.2终端威胁感知 2

5.3威胁处置决策 2

5.4网络横向移动行为检测 2

6系统部署 2

6.1部署类型 2

6.2部署步骤 3

6.3部署验证 3

7系统验收 3

7.1系统初验 4

7.2验收档案 4

附录A（资料性）攻击诱捕系统架构图 5

II

DB3309/T109—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由舟山市公安局提出并归口。

本文件起草单位：舟山市公安局，北京元支点信息安全技术有限公司。

本文件主要起草人：张艳波，王翘楚，张通汉，何淼楹，施翔，丁峰，杨丁源，杨柯，任俊博，林建伟，史晨伟，黄林。

1

DB3309/T109—2024

网络攻击诱捕系统建设规范

1范围

本文件规定了网络攻击诱捕系统的系统架构、功能要求、系统部署和系统验收要求。本文件适用于网络攻击诱捕系统的建设。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2022GB50052

信息安全技术术语供配电系统设计规范

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1

蜜罐

一种诱饵系统的通称,用于欺骗、分散、转移和鼓励攻击者,使其把时间花在看似很有价值但实际上是伪造的、合法用户不会感兴趣的信息上。

[来源：GB/T25069—2022，定义3.420，有修改]

3.2

蜜网

蜜网是由多个蜜罐以及管理和分析这些蜜罐数据的组件组成的网络，用于监控和分析攻击者在网络中的行为。

3.3

诱饵

一种旨在通过放置伪造的信息或资源来迷惑和引导攻击者，从而保护真实的系统和数据的技术。诱饵可以是文档、网络服务或账户等，通常作为安全策略的一部分。

3.4

面包屑

一种诱骗技术，通过在系统中放置虚假的信息或痕迹来引导攻击者，从而达到保护真实目标或跟踪攻击者的目的。虚假信息包括伪造的文件路径、网络连接等。

3.5

诱捕探针

一种网络安全系统，该系统结合了诱捕技术和探针技术以发现、监控和转移网络活动或攻击行为，并试图将识别到的攻击行为重定向到蜜网。

2

DB3309/T109—2024

3.6

网络攻击诱捕系统

一种网络安全系统，旨在通过创建虚假资源来吸引和误导潜在攻击者，从而检测、延缓和分析攻击行为。

4系统架构

4.1系统至少应包含欺骗防御管理、主机和终端威胁感知、威胁决策处置等模块。4.2网络攻击诱捕系统架构参考图见附录A。

5功能要求

5.1主机威胁感知

应能够在真实业务主机（服务器）中部署多种类型诱饵、面包屑，用于发现入侵主机的恶意行为并将其诱骗至蜜网。

5.2终端威胁感知

应能够在各类智能联网终端中部署多类型感知诱饵，用于发现入侵终端的恶意行为并进行预警，形成对攻击者的有效威慑。

5.3威胁处置决策

应能收集相关威胁告警，并将汇聚的信息进行统一智能分析，输出可执行的处置动作建议，为安全人员做出快速应对安全威胁的关键决策提供有效信息支撑。

5.4网络横向移动行为检测

应能够布设策略性虚假资源和服务，引诱并监测非授权的横向移动尝试，实时识别和记录此类攻击行为并生成威胁警报。应能进行流量牵引，将攻击行为引导至蜜网来进行深度分析，实现对攻击流量的转移。

6系统部署

6.1部署类型

6.1.1诱捕探针部署

应在各业务区域部署高密度的诱捕探针，并构建复杂的内部网络拓扑结构，以实现对攻击者的干扰和迷惑