网络攻击诱捕系统建设规范 DB3309 T 109-2024.pdfVIP

ICS35.030

CCSL80

3309

浙江省舟山市地方标准

DB3309/T109—2024

网络攻击诱捕系统建设规范

2024-11-5发布2024-12-5实施

舟山市市场监督管理局  发布

DB3309/T109—2024

网络攻击诱捕系统建设规范

1范围

本文件规定了网络攻击诱捕系统的系统架构、功能要求、系统部署和系统验收要求。

本文件适用于网络攻击诱捕系统的建设。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB50052供配电系统设计规范

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

蜜罐

一种诱饵系统的通称,用于欺骗、分散、转移和鼓励攻击者,使其把时间花在看似很有价值但实际上

是伪造的、合法用户不会感兴趣的信息上。

[来源：GB/T25069—2022，定义3.420，有修改]

蜜网

蜜网是由多个蜜罐以及管理和分析这些蜜罐数据的组件组成的网络，用于监控和分析攻击者在网络

中的行为。

诱饵

一种旨在通过放置伪造的信息或资源来迷惑和引导攻击者，从而保护真实的系统和数据的技术。诱

饵可以是文档、网络服务或账户等，通常作为安全策略的一部分。

面包屑

一种诱骗技术，通过在系统中放置虚假的信息或痕迹来引导攻击者，从而达到保护真实目标或跟踪

攻击者的目的。虚假信息包括伪造的文件路径、网络连接等。

诱捕探针

一种网络安全系统，该系统结合了诱捕技术和探针技术以发现、监控和转移网络活动或攻击行为，

并试图将识别到的攻击行为重定向到蜜网。

1

DB3309/T109—2024

网络攻击诱捕系统

一种网络安全系统，旨在通过创建虚假资源来吸引和误导潜在攻击者，从而检测、延缓和分析攻击

行为。

4系统架构

系统至少应包含欺骗防御管理、主机和终端威胁感知、威胁决策处置等模块。

网络攻击诱捕系统架构参考图见附录A。

5功能要求

主机威胁感知

应能够在真实业务主机（服务器）中部署多种类型诱饵、面包屑，用于发现入侵主机的恶意行为并

将其诱骗至蜜网。

终端威胁感知

应能够在各类智能联网终端中部署多类型感知诱饵，用于发现入侵终端的恶意行为并进行预警，形

成对攻击者的有效威慑。

威胁处置决策

应能收集相关威胁告警，并将汇聚的信息进行统一智能分析，输出可执行的处置动作建议，为安全

人员做出快速应对安全威胁的关键决策提供有效信息支撑。

网络横向移动行为检测

应能够布设策略性虚假资源和服务，引诱并监测非授权的横向移动尝试，实时识别和记录此类攻击

行为并生成威胁警报。应能进行流量牵引，将攻击行为引导至蜜网来进行深度分析，实现对攻击流量的

转移。

6系统部署

部署类型

6.1.1诱捕探针部署

应在各业务区域部署高密度的诱捕探针，并构建复杂的内部网络拓扑结构，以实现对攻击者的干扰

和迷惑，增加其对攻击目标识别的难度，形成一种主动诱捕的网络防御系统。

6.1.2诱饵部署

应在各业务系统主机安装诱饵，用于失陷主机的检测和异常行为监控；应在计算机和其他联网泛终

端中，投放多种类型威胁感知诱饵，用于发现被入侵的设备。

6.1.3蜜网部署

2