智能仿真与诱捕防御系统 DecoyMini 用户手册

吉沃运营专员

一、产品背景

随着以数字化、网络化和智能化为特征的信息化浪潮的蓬勃兴起，信息已经成为重要的战略资源与重要生产要素，在国家的发展和人们的生产生活中起到至关重要的作用。

信息化在给人们带来便利的同时，网络信息安全问题也日益凸显。经过多年的网络安全基础设施的建设，安全防护系统经历了从无到有、从有到全的发展过程，防火墙、IDS、漏扫、杀毒软件、流量监测等安全产品应运而生，构成了庞大而复杂的安全防御体系，但是尽管如此，针对网络的风险事件却依然频发，APT攻击、蠕虫木马、勒索、挖矿、敏感数据泄露等安全事故更是层出不穷。

网络攻击由传统的盲目、直接、粗暴的方式转变为目前的精确化、持久化、隐匿式的恶意攻击，攻击者通过有组织、有策略的步骤和方法达到攻击目的。

攻击过程中只需发现并利用一个未被修复的漏洞或不安全配置即可击破边界防御，试图将攻击者拒之门外的安全防护方案在面对攻击手段的多样化、复杂化时已经力不从心。

传统的被动防御技术已无法满足当前最新的网络安全对抗态势，在这种被动防御状态下，企业的信息系统长期处于敌暗我明的被动状态中，不利于开展积极的网络安全防范工作，无法及时、有效的检测各种新型攻击行为。

二、产品介绍

智能仿真与诱捕防御系统 DecoyMini 采用欺骗防御等新技术，以攻防对抗思路为基础，以攻击者视角去发现威胁，可有效弥补传统网络安全防御方案的弱点，提升网络安全防御能力。

产品在用户内部网络中的关键区域智能化部署高度仿真、安全可控的虚假服务、计算环境和网络，通过布设的蜜标、诱饵等手段主动吸引入侵者对虚假环境或服务进行攻击。

在虚假环境中对攻击者行为进行抓取和存储，基于对攻击者的行为分析来实现攻击告警、威胁分析和溯源取证，结合多种处置响应手段对威胁进行快速处置和防御。

最终达到改变攻防不对称的现状，变被动为主动，提升用户网络安全的主动防御能力。

三、产品安装与卸载

1、首先前往 https://github.com/decoymini/DecoyMini/ 下载，支持 32 位和 64 位的 Windows 和 Linux 系统
2、windows 下，以管理员方式运行 cmd，打开后输入以下命令进行安装（3 秒完成 ）：

1. DecoyMini_Windows_v1.0.1420.exe -install

复制代码

3、Linux 下安装，以 CentOS 64 位为例，对安装文件赋予可执行权限，命令和 windows 下安装命令相同。

1. DecoyMini_Linux_x64_v1.0.1420.pkg -install

复制代码

4、安装完成后，按照设定的 IP 和端口访问即可，这里示例采用默认安装，访问 http://localhost，登录管理界面如下：



5、登录可使用两种方式登录，一个使用本论坛帐号直接登录 (推荐)，另一个是使用本地默认帐户登录，本地默认帐号密码：

1. 帐号：admin
   
2. 密码：Admin@123

复制代码

如若要卸载，在终端下输入相应命令即可：

1. Windows：decoymini.exe -uninstall    // Windows 下卸载同样也需在 cmd 管理员模式下
   
2. Linux：decoymini -uninstall

复制代码

相关命令：

1. Usage of decoymini:
   
2.   -info
   
3.         Show information
   
4.   -set -addr string
   
5.         Set Manager address
   
6.   -uninstall
   
7.         Uninstall Software
   

复制代码

示例：显示安装信息，在命令行窗口执行如下命令：

1. decoymini -info

复制代码

四、仪表盘

仪表盘主要用于展示系统的关键指标和数据，以图表的形式来进行展示。点击 "监控" --> "仪表盘"，进入仪表盘界面：



主要展示以下信息：

• 事件数量分布：统计最近一段时间内发生的风险事件的数量分布情况；
• 节点事件数量 TOP10：展示的为根据仿真节点或诱捕探针上报的事件数量统计的 Top10 排名；
• 攻击次数 TOP10：展示的为根据IP攻击次数的数量统计的 Top10 排名；
• 攻击源分布 TOP10：展示的为根据攻击者来源的地域统计的 Top10 排名；
• 攻击类型 TOP10：展示的为根据攻击类型统计的 Top10 排名；
• 安全级别 TOP10：展示的为根据风险事件的安全级别统计的 Top10 排名；
• 攻击用户 TOP10：展示的为根据攻击者使用的攻击用户名统计的 Top10 排名；
• 攻击动作 TOP10：展示的为根据攻击者的攻击动作统计的 Top10 排名；
  

可以点击右上角时间选择按钮，选择今天、最近 24 小时、最近 3 天、最近 7 天、最近 30 天、指定时间段，来展示对应时间范围内的统计数据。报表导出：可导出 PDF 形式报表。

五、事件篇

事件主要提供对系统接收的诱捕日志进行查询，以及对系统产生的风险事件进行查询、分析的功能。

在事件下的两个子菜单项中，可点击页面上的 "提交情报..." 转至 Mini 情报版块处进行提交情报，参与论坛情报奖励活动。

5.1 风险事件

风险事件主要用于分析系统发现的风险事件，并对事件提供查询和快速分析的功能，同时支持对事件进行快速处理。点击 "事件" --> "风险事件"，可以打开风险事件管理页面：



点击风险事件操作列 "信息" 按钮或者双击风险事件对应行，可以查看该条风险事件的详细信息，展示的信息如下图所示：



风险事件的详细信息中包含两部分：事件详情和关联诱捕日志。事件详情是展示风险事件的名称、描述、类型、合并数量、攻击源 IP、攻击目的 IP、匹配到的关联分析规则名称、威胁影响和解决方案、风险事件合并开始时间和结束时间等属性。关联诱捕日志是展示的风险事件关联的诱捕日志列表，展示的内容如下图所示：



点击诱捕日志操作列的 "详情" 按钮，可以查看该条诱捕日志的详细信息，展示内容如下：



诱捕日志的详细信息中包含两个标签页：基本信息和时间线。基本信息是展示诱捕日志的各项基本信息，主要包括如下属性：

• 类型；
• 诱捕器名称；
• 描述；
• 日志级别；
• 攻击源 IP；
• 攻击目的 IP；
• 操作用户；
• 操作类型；
• 操作结果；
• 日志记录时间；
• 日志保存时间；
  

时间线是将该日志对应会话产生的所有诱捕日志以时间先后顺序来进行展示，还原攻击的完整过程，展示的内容如下图所示：



如果该诱捕日志为文件操作，在该日志信息操作列点击 "操作文件" 按钮来下载对应操作的文件数据。

5.2 诱捕日志

诱捕日志管理功能提供对攻击者在诱捕器中所有操作行为，包括网络操作、命令执行、文件操作以及文件等数据进行综合浏览、查询的功能。点击 "事件" --> "诱捕日志" 打开如下页面：

六、策略篇

策略包含诱捕策略、仿真模板、安全规则、系统预警系统核心业务的配置功能。

6.1 诱捕策略

DecoyMini 默认已添加了 6 个诱捕器，如下图所示：



点击页面上的的 "+增加" 按钮，可以新增威胁诱捕器，如下图所示：



选择一个仿真模板，配置模板相关参数：

• 模板名称；
• IP地址；
• 协议；
• 端口；
• 状态；
  

说明：不同模板对应的配置参数可能会有差异。当填写完成模板参数后，点击 "确定" 按钮保存威胁诱捕器配置。完成威胁诱捕器配置后，点击 "保存" 按钮应用此诱捕配置。

6.1.1 参数配置

参数配置设定仿真节点的如下参数：

• PING 扫描检测：仿真节点被 ping 时，产生诱捕日志；
• TCP 连接检测：仿真节点有 TCP 连接时，产生诱捕日志；
• 监测端口范围：TCP 连接监测的端口范围；
• 节点心跳间隔：仿真节点与管理中心之间的心跳间隔；
• 诱捕网口：指定仿真节点的诱捕器使用哪个网口；
  

6.2 仿真模板

仿真模板提供对系统各仿真能力进行配置的功能，通过仿真模板可以来灵活自定义仿真配置和内容。点击 "策略" --> "仿真模板配置"，可以打开仿真模板配置页面：



仿真列表支持按类别和引擎两种方式展示，可以通过点击树形列表上方对应按钮进行切换。在类别中，系统默认包括如下分类：

• 网络服务类；
• WEB 类；
• 数据库类；
• 中间件类；
• 应用类；
• 设备类；
• 其它类；
• 基础模板；
  

选择一个模板，则进入模板对应的配置界面，如下图所示：



模板配置界面提供对基础信息、参数配置、响应数据、资源文件进行配置的功能。

• 基础信息：定义该仿真模板的基本信息；
• 参数配置：定义该模板的配置参数；
• 响应数据：定义模板响应数据；
• 资源文件：定义模板运行所需的资源文件；
  

通过对仿真模板的自定义配置，可以灵活自定义仿真内容，灵活配置对网络请求数据的各种解析方式和定义应答数据，实现灵活扩展仿真能力和对新的网络协议或服务的仿真能力，详细操作参见附件 1



可在仿真模板页面上点击 '下载更多模板...' 前往仿真模板板块上下载模板，当然，您也可以提交自己的模板与他人分享。

6.2.1 基础信息

基础信息配置为配置该仿真模板的基本参数，包括定义该仿真模板的 ID、名称、事件日志类型、类别、处理引擎、父模板名称、运行环境、版本、描述等信息；界面如下图所示：

6.2.2 参数配置

参数配置用于配置模板运行参数，界面如下图所示：



配置的参数包括如下几类：

• 请求数据：根据网络请求数据按照指定的规则进行解析；
• 预定义：引擎预定义的参数；
• 自定义：用户自定义参数，自定义的参数可以在响应数据里引用；
  

点击增加按钮，可以增加配置参数。界面如下图所示：



点击参数行操作列的 "修改" 按钮，可以修改指定参数属性；点击参数行操作列的 "删除" 按钮，可以删除对应参数。

6.2.3 响应数据

根据请求参数定义对应的响应数据，如下图所示：



点击增加，可以增加一个响应数据，界面如下图所示：



对应的配置项主要包括：

• 名称；
• 描述；
• 响应条件；
• 响应数据；
• 执行动作；
• 记录日志；
• 优先级；
• 类别；
• 状态；
  

点击 "编辑" 按钮，则可以编译对应的响应数据项；点击 "删除" 按钮，可以删除对应的相应数据。

6.2.4 资源文件

资源文件功能用于配置仿真引擎和响应数据所需的资源数据和文件。界面如下图所示：



点击 "新建文件夹"，可以创建一个新的文件夹；点击 "上传文件"，可以将本地的文件上传到当前的资源目录下。

6.3 安全规则

安全规则用于配置系统安全监测规则，包括威胁情报配置和黑白名单配置。

6.3.1 威胁情报

系统产品支持威胁情报检测能力，通过定期和云端威胁情报平台同步，及时更新最新的情报数据到本地，利用威胁情报能够快速发现恶意 IP 和恶意文件。点击 "策略" --> "安全规则" --> "威胁情报" 标签，可以打开威胁情报配置页面，如下图所示：

6.3.2 黑白名单

黑白名单功能用于配置黑白名单，系统支持配置各类白名单，添加到白名单的数据将不做告警；支持按需配置黑名单，匹配到黑名单里的日志将进行告警。系统当前支持的黑白名单种类如下：

• 文件黑白名单；
• 进程黑白名单；
• IP 黑白名单；
• 域名黑白名单；
• URL 黑白名单；
• 端口黑白名单；
  

点击 "策略" --> "安全规则" --> "黑白名单" 标签，可以打开黑白名单配置页面，如下图所示：



选择需要应用的对象，配置对应的黑白名单，点击 "保存" 按钮，即可保存应用黑白名单配置。

6.4 事件预警

当产生了指定的新的风险事件后，支持通过多种方式发送告警通知。当前通知方式支持以下五种，分别为邮件告警、弹窗告警、Syslog 输出、企业微信，钉钉。依次配置预警参数，界面如下所示：



可以提前配置好处置方式模板，方便后继预警策略配置。



当保存事件预警配置后，系统产生符合条件的风险事件时就会通过配置的方式自动预警。

6.4.1 企业微信接入

6.4.2 钉钉接入

七、节点篇

节点提供对诱捕探针节点进行管理以及对节点分组进行维护的功能，最大程度方便管理员对所有节点进行集中统一管理。

7.1 节点管理

本节主要介绍节点管理功能，主要包含节点信息查看、节点信息修改、节点策略运行情况查看等功能。点击 "节点" --> "节点管理" 打开节点管理页面，如下图所示：



新安装的节点将会自动出现在节点列表里，点击 "注册" 按钮注册对应节点，以支持对其进行管理。选择某一个节点，双击或者点击操作列的 "详情" 按钮，可以查看该节点的详细信息，如下图所示：



资产信息包括如下属性：

• 名称；
• IP；
• MAC；
• 系统信息；
• 节点组；
• 在线状态；
• 上线时间；
• 管理状态；
• 注册时间；
• 版本信息；
  

对不再需要管理的节点，可以点击 "注销" 按钮来注销该节点，注销的节点系统将不再对其进行管理，不再接收该节点上报的数据。点击 "网络接口" 标签页可以查看该节点所有可用接口信息列表，如下所示：



点击节点操作列 "修改" 按钮，可以修改该节点的基本信息：



对于注销的节点，可以点击 "激活" 按钮来激活对应节点，以支持对其进行继续管理，如下图所示：

7.2 节点分组

本节主要介绍节点分组配置管理功能，点击 "节点" --> "节点分组" 打开如下页面：



点击左上角的 "新建" 按钮可以新增分组，如下图所示：



新增区域支持的配置的参数包括：

• 组 ID；
• 组名称；
• 上级组；
• IP 区域：支持单 IP，IP 段，网段格式，多个之间以分号分割；
• 参数；
• 描述；
  

点击分组操作列 "修改" 按钮可修改分组信息，点击分组操作列 "删除" 按钮可删除对应分组。

八、系统篇

本节介绍系统的各项配置管理功能。

8.1 参数配置

提供对系统参数进行配置的功能，包括四个部分 (安全配置、环境配置、数据存储、预警模板)，如下图所示：



这里只说一个比较重要的参数：安全配置中的 有效管理 IP 范围 ↴

设定有效 IP 地址，该 IP 可以为单个 IP 地址 (如 192.168.1.126)，也可以包含 * 来对 IP 进行泛匹配 (如 192.168.1.*)，表示将 192.168.1.1-192.168.1.254 里的所有计算机都设置为受信任的管理终端，默认可信管理端配置为空，所有IP都可以访问；当设置了可信管理端地址和用户后，只有设置的可信管理端才能连接管理端。

8.2 系统信息

点击 "系统" --> "系统信息" --> "系统信息" 标签页，打开系统信息展示页面，在页面上展示有系统基本信息、版本信息等，如下图所示：

8.3 自动升级

配置系统自动升级配置，点击 "系统" --> "系统信息" --> "自动升级" 标签页，打开自动升级配置界面，如下图所示：



可以设置系统设备是否需要自动升级。如启用自动升级功能，需要设置升级服务器地址和升级时间：

• 升级服务器地址：互联网上升级服务器的地址，默认为：http[:]//s.decoyit.com/upgrade/update，如果地址不可达，则自动升级会失败；
• 升级时间：24 小时制，如设置为 00:30，表示在下一个凌晨 0 点 30 分的时候开始检查升级、如发现新的升级包将自动下载进行升级；
  

可以点击 "立即升级" 来将系统升级到最新版本，升级完成后，管理中心可以在“系统信息”标签页查看升级后的版本信息，诱捕探针节点升级后的版本信息可以在节点管理里对应的节点详细信息里查看。

8.4 手动升级

点击 "系统" --> "系统信息" --> "手动升级" 标签页，打开手动升级配置界面：



点击 "请选择升级包文件"，选择升级包在本地存储的路径，点击 "确定" 按钮， 系统会自动上传升级包，然后开始升级。升级完成后，管理中心可以在“系统信息”标签页查看升级后的版本信息，诱捕探针节点可以在“节点管理”里对应的节点详细信息里查看升级后的版本信息。

liuming

不错不错，非常好极了。

raw

黑白名单那里可以查看已添加的list?

swan

raw 发表于 2021-8-5 15:53
黑白名单那里可以查看已添加的list?

增加后再点击黑白名单页面就可以看到已经配置的列表的。

raw

swan 发表于 2021-8-5 16:08
增加后再点击黑白名单页面就可以看到已经配置的列表的。

假如以后一堆的list，页面看起来就难看，以后会不会增加个页面管理已添加的黑白名单呢？

swan

raw 发表于 2021-8-6 16:33
假如以后一堆的list，页面看起来就难看，以后会不会增加个页面管理已添加的黑白名单呢？ ...

感谢您的建议，自定义的黑白名单项一般不会太多吧，我们后继考虑加一个页面以列表的方式来管理这些黑白名单。

wcxgo

基本满足需求，不知道能免费使用到啥时候。

吉沃运营专员

wcxgo 发表于 2021-10-1 13:40
基本满足需求，不知道能免费使用到啥时候。

一直免费哈

AJay13

太强了。学习了学习了学习了

admin

AJay13 发表于 2022-1-13 14:41
太强了。学习了学习了学习了

在新的一年一如既往，继续努力 ，持续更新，为大家带来更好用的免费蜜罐工具，也希望能继续获得你的关注和支持