技术参数

技术指标

威胁诱捕 功能

支持硬件部署，软件部署，分布式部署，客户端可集群横向扩展.

支持至少12种主流应用服务沙箱（wiki、zabbix、tomcat、oa、VPN、crm、websphere、Nginx、Weblogic、Fastjason、Shiro等）

支持至少11种主流系统服务沙箱（ssh、ftp、RDP、SMB、samba、mailbox等）

支持至少4种主流操作系统沙箱（WinServer、AIX、Redhat、CentOS）

支持自定义沙箱

支持至少3种主流数据库沙箱（DB2、Oracle、Mysql）

除沙箱本身漏洞外，支持额外为沙箱设置文件上传漏洞、后台登录漏洞，数据库后台漏洞、信息泄露漏洞等

支持以下沙箱管理功能：

1、支持自定义沙箱名称，沙箱端口，沙箱用户名密码

2、支持对设备、沙箱IP、沙箱IPv6的选择

3、支持对沙箱进行启动、暂停、删除、重置操作

4、支持对编辑沙箱行为敏感度、流量阻断策略、邮件告警等级

5、支持对沙箱类型、沙箱主IP、关联IP、沙箱状态的展示

支持windows和linux探针客户端一键安装，无需重启即可生效

支持以下探针管理功能：

1、支持探针自定义开放多个端口转发流量，每个端口支持关联不同沙箱

2、支持对探针批量设置转发策略、删除、添加标签，支持跨网段映射探针ip

3、支持对探针进行ip、关联沙箱搜索

4、支持探针超限提示

支持将无探针感知节点以trunk的方式将沙箱发布到其他VLAN，同时无探针感知节点还支持跨三层与管理平台进行通信，快速覆盖内网各个网段的仿真业务。

支持以下无探针感知管理功能：

1、支持多VLAN管理，多IP管理。

2、支持单个IP基于多端口关联不同沙箱。

3、支持无探针网络覆盖率展示。

支持一键感知探针、无探针感知节点所在网络的资产信息，分析当前网络状态。

基于探测结果和智能算法，支持蜜网一键化部署，将探针节点和无探针感知节点自动关联至对应沙箱，快速形成欺骗蜜网，简化布防操作。

支持以下攻击溯源能力：

1、支持记录攻击者在沙箱中的行为，根据源ip和攻击者设备指纹聚合行为展示事件

2、支持对事件进行筛选、搜索、查看详情、RDP录屏回放、SSH录屏回放等操、作支持下载攻击者所用的攻击工具

3、支持记录攻击者在沙箱中的行为，按照时间顺序展示攻击行为

4、支持对攻击行为进行筛选，搜索等操作

5、支持识别真人与扫描工具，标记真正的攻击者

6、支持获取真人设备指纹，包括浏览器类型、版本、操作系统类型、声卡类型、显卡类型、分辨率等设备指纹信息

7、支持获取真人网络ID，还原单个攻击者完整攻击路径

8、支持对攻击源IP进行扫描探测，获取攻击源开放端口和服务信息

9、支持对真人网络ID溯源进行配置化，用户可自行扩展

支持诱导感知功能：

邮件诱饵

办公网诱饵

文件诱饵

互联网诱饵

流量牵引 功能

支持通过旁路镜像方式的流量导入，发现攻击流量并将攻击流量导入进入沙箱，实现威胁诱捕

支持自定义诱捕规则，对符合设定规则的流量请求转发至沙箱，实现诱捕黑客攻击行为。自定义的诱捕规则须至少支持WEB页面和虚假服务。

支持攻击处置能力，具备对黑客攻击行为的自动处置和手动处置能力。

溯源反制 功能

支持对黑客溯源功能，形成黑客溯源/黑客画像页面，溯源真人白名单标记，对溯源结果按照国内/国外/内网分类并展示，可提供对黑客备注功能。

支持分析黑客的身份信息和设备指纹信息，包括IP地址、社交网站真人身份、设备指纹、操作系统、浏览器等，支持不少于10种社交ID溯源能力。

支持分析黑客的身份信息和设备指纹信息，包括IP地址、社交网站真人身份、设备指纹、操作系统、浏览器等，支持不少于10种社交ID溯源能力。

可基于现有的设备指纹进行设备指纹碰撞，反查攻击者的历史溯源信息，补充溯源信息。

具备攻击反制功能，可以反向控制攻击者设备，获取对方设备信息，进行交互式反制操作，支持交互shell、文件上传下载、电脑截屏、摄像头拍照等操作，支持获取qq、wechat、CS、xshell、navicat等应用的用户ID，便于身份溯源。

配置要求

单台设备沙箱数≥8

单台设备支持探针数量≥40

第三方对接

1、 系统能够对各种威胁事件（异常流量、威胁情报、恶意特征、异常行为）等进行实时预警，触发延时不高于2s。

2、 系统支持告警实时触发内容推送到第三方平台，推送方式应包括但不限于syslog、kafka、flume等，推送延时不高于2s。

3、系统支持告警触发后通过邮件方式发送到相关收件人。

1、 系统支持将TCP或UDP会话元数据实时推送到第三方系统，推送方式应包括但不限于syslog、kafka、flume等

2、 系统支持将解析出的协议元数据（包含但不限于HTTP、DNS、MySQL、SSL、SMTP、POP3）推送到第三方系统，推送方式应包括但不限于syslog、kafka、flume等

1、 系统应提供标准的WEBAPI功能，并提供API开发文档和代码Demo。

2、 系统支持用户通过API接口对任意IP地址、IP会话、协议、TCP会话、UDP会话等传输日志、HTTP、DNS、FTP、ICMP、IMAP4、MySQL、SMTP、Telnet、SSL等协议元数据日志、警报日志、行为日志进行枚举和查询

3、 系统支持用户通过API接口获取原始通讯数据流。

更新能力

支持威胁情报库的在线和离线更新能力

定制开发

维保期内需提供相关定制开发服务，包括但不限于与采购人其他系统进行对接告警、接口开发等服务。