系统介绍：

威胁捕获系统是北京华鑫杰瑞计算机系统工程有限公司自主研发的内网威胁感知技术产品，产品设计合理，技术先进，适用范围广，保护措施可靠，操作使用方便，具有推广应用价值。系统是基于蜜罐技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

系统组成：

本系统由 “业务仿真”、“网络变换”、“攻击监控”以及“SAAS（风险分析）”四大模块构成。

1.   业务仿真模块用于在用户内部网络环境中虚构若干网络主机并开放相应端口服务和模拟各类业务的端口服务，如smb、http、ftp、pop3，MQTT等。以此作为诱捕病毒或木马的陷阱

2.   网络变换模块用于抓取掉入陷阱的病毒或木马的相关信息，如请求端口、攻击类型、请求报文、风险等级等；

3.   攻击监控模块用于将病毒或木马的攻击信息以证据日志形式永久保存，以备溯源和分析；

4.   SAAS（风险分析）模块部署在互联网环境中，用于接收用户在各个子网络中部署的威胁捕获系统上报的攻击日志并以可视化的方式加以分析展示。

系统在工业中的应用：

在工业互联网，目前工控安全审计检测类产品大多基于旁路网络流量和产品自身特征库等手段进行网络审计和安全检测，但由于旁路流量存在丢包以及流量类型不全面、监测位置过于趋向网络核心层等问题，使旁路检测类产品难以防范复杂攻击，且具有较高的误报率。同时由于工业环境网络隔离的特性，使产品无法自动更新特征库，造成攻击检测的严重滞后。

威胁捕获系统凭借其独立性以及对工控系统的无干扰性，可有效解决现阶段工控安全产品对工控网络、流量以及实时性的影响，弥补无法在工控设备、工控主机、工控服务器内安装安全代理或安全探针的问题，有效提高安全检测的精度，降低误报。

工业企业网络架构一般可分为管理信息层、生产管理层、过程监控层、现场控制层以及现场设备层。管理信息层为传统信息网络，生产管理层、过程监控层、现场控制层以及现场设备层为工业生产网络。现阶段工业企业在管理信息网与工业生产网之间一般采用物理隔离或逻辑隔离的方式进行网络分层，针对每种隔离方式存在不同的攻击类型。

在物理隔离环境中，攻击者一般采用恶意软件攻击与跳板攻击相结合的方式。恶意软件攻击一般借助社会工程学、水坑攻击、钓鱼邮件攻击等方式将恶意软件植入受害者办公主机内。此类恶意软件一般具有较高的自动化特性，可根据目标环境进行设备的自动识别，自动传播、自动攻击。在逻辑隔离中环境下，攻击者可以采用恶意软件以及内网反弹的方式直接获取内网主机的操控权限，此类攻击具有较强的灵活性。

由于系统的开放性以及自身存在较多安全漏洞，再配合良好的部署位置，会成为攻击者绝佳的“落脚点”，蜜罐系统通过精心构造的安全攻击与行为跟踪检测功能，可以对攻击行为进行精确记录、告警，同时与其他安全平台联动，从而实现网络攻击的快速检测、响应，为工业企业调查取证提供依据。

本系统可部署在生产网络内部署蜜罐系统，由于工业生产业务相对固定，系统在正常网络流量下不会被访问操作，但当出现病毒、木马、黑客攻击等操作时，系统会表现出攻击特征，并发出告警。