1. 核心理念

在网络安全中，“绝对安全”是不现实的，尤其是在面对不断进化的攻击手段时。因此，延缓攻击者的行动，为安全运营人员争取足够的响应时间，是网络安全建设的重要目标。充分融合“网络”和“安全”能力，将安全能力融合进网络，充分发挥网络优势，以“灰度”发布为思想借鉴，一个通用入口进入，“好人”走正常大道，“坏人”走经过设计的非正常大道，真正实现网安融合。

2. 建设目标

本次建设目标是为了应对HVV场景，建设一套与核心业务系统基本功能相同，但是设备性能相对小很多的仿真安全实验网络。

1）抛出“诱饵”，获取攻击地址IP池：解决上钩之人，相对于真实发起攻击之人，资产收集的人员水平相对较低，通过设置虚假IT资产，全面发现攻击者的攻击IP，形成攻击源的威胁情报；

2）抛出“靶标”，获取攻击行为特征：让对方认为已经完全攻陷了靶标服务，其攻陷靶标的行为全程处于监测过程，形成一个攻击者的攻击画像，针对攻击者的攻击习惯，对相应的资产行为进行安全加固；

3）磨炼安全运营队伍，实战化检验应急响应手段：在蜜罐中的攻击行为进行分析形成攻击行为报告，检验报告编写能力，在蜜罐中的全部行为进行分析形成未知APT威胁情报。

3. 建设内容

3.1. 相关定义

蜜罐与蜜网：部署蜜罐和蜜网来诱骗攻击者进入虚假的环境，使其浪费时间和资源，同时提供安全运营人员分析攻击行为的机会。

虚假资产与诱饵：创建虚假的网络资产（如虚拟服务器、假数据库），使攻击者误认为这些是高价值目标，进而被困在这些虚假目标中。

欺骗技术是一种旨在通过混淆和误导来挫败攻击者的安全策略。它通过部署虚假的信息和资源来干扰攻击者的思维方式，使他们陷入陷阱或耗费时间在虚假目标上，从而延缓攻击进程并为安全团队赢得更多的响应时间。其核心理念在于通过构建逼真的伪装场景，阻断或扰乱攻击者的认知过程，削弱他们的攻击效率。

欺骗技术的实现方式多种多样，通常包括制造虚假的漏洞、伪装的系统、共享的假文件和缓存等。通过这些虚假资源，攻击者被引诱进行无效的攻击行为。举例来说，一个攻击者可能会发现一个看似存在漏洞的系统，并尝试利用该漏洞进行渗透，但实际上这个系统只是一个蜜罐，专门用来检测并记录攻击行为。当攻击者试图接触这些伪装的资源时，安全系统会立即触发告警，因为正常的合法用户不应该接触这些虚假资源。

这一技术的优势在于它不仅能及时发现并阻止攻击，还能为防御者提供宝贵的攻击者行为情报。通过分析攻击者在虚假环境中的行为，安全团队可以了解他们的策略、工具和目标，从而进一步优化防御措施。与传统的安全防护机制相比，欺骗技术具有高度的灵活性和适应性，能够不断调整和进化，以应对新兴的威胁。

近年来，欺骗技术的应用愈发广泛，并已成为信息安全领域的重要组成部分。这一技术已经连续多年被Gartner评为年度十大信息安全技术之一。Gartner的认可表明，欺骗技术不仅在理论上具有创新性，而且在实际应用中展现了显著的效果。

3.2. 网络拓扑