近年來，隨著數字化、智能化的迅速發展以及網絡攻防對抗技術的持續演進升級，攻擊呈現出的高隱蔽性、強對抗性、難以預判等特點愈發明顯，網絡安全形態也逐漸呈現多模態特征。

一方面，安全對象的多模態化：安全對象的多模態指的是主機、操作系統、應用軟件、數據庫數據、文件數據、通信鏈路、身份等以及其包含的協議、端口、API等關鍵對象及其屬性的不同形態特征。網絡安全攻防技術的發展，是以安全對象范圍的不斷擴大為主線的，傳統的網絡安全對象主要是基于IP的主機，隨著數字化時代的來臨，網絡安全關注的重點也逐漸擴展到流量、數據庫、文件、數據、身份、API等，安全對象的類型、屬性差異巨大，呈現明顯的多模態特征。

同時，攻擊技術的多模態化：近年來，網絡攻擊技術逐漸呈現工具化、體系化特征，攻擊者綜合運用多種不同類型的網絡攻擊手段，形成相互配合、協同工作的攻擊方式，以實現更強大的攻擊效果，這些攻擊方式通常涉及不同模態的攻擊技術及攻擊手段進行組合，旨在最大化對目標系統的破壞和影響。一些常見的組合攻擊方式包括：偵察與漏洞利用組合、惡意軟件與社會工程學組合、拒絕服務與中間人攻擊組合、密碼破解與權限提升組合、網絡層攻擊與應用層攻擊組合等方式。可以看出，網絡攻擊（過程）是一系列不同模態的攻擊動作的組合。

現有的面向主機的攻擊檢測方法多采用基于規則的特征檢測方法，再結合基于行為的檢測和分析方法后，對于已知攻擊具有較好的檢測效果，但對于多模態組合攻擊、高隱蔽未知網絡攻擊檢測效果較差。亟需有效的手段主動發現、跟蹤和溯源網絡攻擊，建立面向多模態攻防特征的網絡安全防御體系。

欺騙防御作為主動防御里最為有效的手段，通過布置一些作為誘餌的主機、服務等對象，誘使攻擊方對它們實施訪問、攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，識別攻擊意圖、技術手段，從而通過技術和管理手段實現安全防護。傳統欺騙防御技術主要面向網絡、主機、服務等安全對象，依賴于靜態配置和預設的響應規則來模擬業務或系統行為，這種方式雖然能在一定程度上吸引攻擊者，但仿真對象單一、部署復雜、缺乏靈活性和動態性，難以對多模態對象進行仿真，難以應對復雜多變的攻擊場景與攻擊技術，無法滿足復雜場景的安全防御需求，也缺乏有效的對抗檢測機制，主動探查能力不足、主動響應能力不足。因此，如何實現多模態威脅感知和主動誘捕顯得尤為重要，可盡早發現潛在的攻擊威脅，繼而展開溯源分析和攻擊防御。

隨著AI技術的發展，特別是多模態技術、NLP技術、AI大模型的應用，為欺騙防御技術提供了多模態對象處理、自然語言理解、多模態大模型生成并進行智能化響應的能力，使得欺騙防御技術能夠有效地構建業務系統多模態場景，更加逼真地模擬真實業務或系統的交互過程，從而更有效地吸引和迷惑攻擊者，能夠極大的提升誘捕能力與誘捕效率。

一、 什么是多模態誘捕

多模態誘捕針對多模態安全對象、多模態網絡攻擊，設計多類型的仿真、誘捕和分析方法，并基于AI進行有機融合來構建面向數字化時代、復雜業務場景的多模態仿真及攻擊誘捕分析能力，以有效應對多模態組合攻擊、高級未知隱蔽攻擊。多模態誘捕能夠實現細粒度的精準仿真和定向誘捕，并與傳統網絡安全、數據安全技術能力形成協同，構建新型面向數字化時代的綜合運營體系。

二、 多模態誘捕關鍵技術

多模態誘捕針對多模態安全對象中的每一種安全對象（單模對象）分別設計仿真、誘捕和分析方法，實現面向多模態的仿真組件集合，并基于安全對象多模態特點，設計孿生誘捕網絡構建方法；基于網絡攻擊多模態特點，設計攻擊向量識別方法、智能編排調度方法及攻擊溯源分析方法；并面向安全運營體系，設計聯動響應方法，最終實現檢測、分析、溯源、響應的閉環，實現面向數字化時代的多模態網絡安全、數據安全誘捕能力體系。

多模態誘捕技術架構如下圖所示：

多模態誘捕包括四項關鍵技術能力，分別是多模態組件構建能力、孿生誘捕網絡生成能力、智能調度與管理能力和安全分析與連接能力。

1. 多模態組件構建能力

多模態誘捕仿真對象不再僅僅是傳統的實體安全對象，而是實體對象及其屬性的組合，等價于在向量空間上進行升維，首先定義實體仿真對象，包括：人員、主機、應用、數據庫、文件等；然后基于仿真實體對象及其流量、行為、身份、漏洞等關鍵屬性、關聯關系等特征，靈活的構建多模態誘捕仿真對象。

多模態誘捕仿真組件集合是面向多模態誘捕仿真對象生成的仿真實體模板集合，典型的多模態誘捕仿真組件集合包括以下類別： 

（1）主機組件：主機、服務器的仿真方法，高交互特性的誘捕單元，為運行狀態的主機，包括操作系統，可以加載應用軟件、API組件、身份組件、數據庫組件、文件組件、數據流組件、文件組件、漏洞組件，形成交互式環境、接口和數據流；

（2）容器組件：服務、應用的仿真方法，高交互特性的誘捕單元，為運行狀態的容器，包括操作系統、服務等，可以加載應用軟件、API組件、身份組件、數據庫組件、文件組件、數據流組件、文件組件、漏洞組件，形成交互式環境、接口和數據流；

（3）數據庫組件：數據庫的仿真方法，為按照數據庫類型，構建仿真數據庫表單、仿真數據庫數據字段、數據內容、可加載身份組件、數據流組件、漏洞組件；

（4）文件組件：文件的仿真方法，為按照文件類型，構建仿真文件，并按照真實業務文件在網內的存儲分布特點，進行仿真文件的分散發布；

（5）API組件：API的仿真方法，為可運行的API訪問接口，可以加載身份組件、漏洞組件，可以實現數據交互和訪問；

（6）數據流組件：數據流的仿真方法，可管理的各種類型模擬數據流，支持設置各種應用、協議、端口、數據庫類型屬性，數據內容支持基于現網流量自動學習生成；

（7）漏洞組件：漏洞的仿真方法，為按照漏洞類型，構建漏洞環境，實現方法包括基于系統、軟件、應用、中間件等對象構建漏洞版本方法以及訪問交互方法等。漏洞組件包含兩種形態：包含多種類型漏洞的特定版本的系統、軟件、應用、中間件等；以及采用訪問交互方法基于漏洞利用攻擊訪問、回包信息構建的訪問交互單元；

（8）身份組件：身份的仿真方法，為基于主機、應用、數據庫等的賬戶、密碼信息的仿真，身份組件可以在系統中對仿真的其他組件進行身份的管理、分發、修改，支持自動動態生成弱密碼。

2. 孿生誘捕網絡生成能力

孿生誘捕網絡為吉沃科技在2023年推出的欺騙防御智能化應用技術，旨在通過自動化手段，構建智能型環境仿真、攻擊誘捕能力。多模態孿生誘捕網絡是多模態誘捕的核心，其在原孿生誘捕網絡能力基礎上進行了擴展，提供如下核心能力，包括：

（1）分布式異構形態蜜網

采用自研的SDN架構及原生虛擬化仿真底座實現對多模態誘捕網絡的仿真，支持虛擬機仿真、容器仿真、軟件仿真等不同仿真技術、不同交互等級的多模態仿真對象分布式異構組網，在蜜網內可以相互通信。支持通過虛擬機仿真技術實現對網絡設備、主流操作系統的高交互仿真；通過容器仿真技術實現對應用、服務、數據庫等的高交互仿真；通過軟件仿真技術來實現對數據孿生對象的模擬仿真。孿生誘捕網絡它不是面向整個業務網絡的數字孿生，而是面向網絡攻擊面的多模態仿真對象的數字孿生，可以根據多模態仿真對象的不同選擇最匹配的仿真技術手段，達到資源利用率和誘捕能力的綜合效益最大化。

（2）多模態對象實例化能力

在創建孿生誘捕網絡時，需要先對多模態對象進行實例化。接收多模態數據采集單元的模型及參數，調取主機、服務、應用、數據庫、文件、API、數據流、漏洞、身份等多模態仿真組件模板進行實例化參數配置，對各實例化多模態組件根據行業特性、業務特征等進行組合應用，實現對各類多模態業務網絡仿真誘捕對象實例化的快速構建。

（3）多模態誘捕網絡構建能力

生成業務網絡的多模態孿生誘捕網絡時，基于網絡空間探測引擎對業務網絡進行測繪的結果，送模式識別引擎與多模態組件仿真模板、多模態仿真對象進行擬合，輸出最優的孿生誘捕網絡初始化參數和拓撲模型，使用分布式異構形態蜜網技術創建多模態數字孿生網絡，來實現基于業務網絡特性和網絡攻擊面的多模態孿生誘捕網絡的快速創建。

3. 智能調度與管理能力

多模態誘捕智能調度與管理實現仿真誘捕的集成管理功能，包括多模態仿真組件管理、多模態數據采集、自適應擬態調度、AI專項模型等主要能力。

（1）多模態數據采集、范式化能力

通過與網絡空間探測單元等進行聯動、人工導入等方式采集業務網絡、設備、主機、服務、應用、數據庫、文件、人員等全要素多模態安全對象的靜態、動態數據，進行數據清洗、范式化，構建多模態業務網絡和對象模型及參數特征；采集漏洞掃描、攻擊面管理等單元的系統脆弱性數據構建多模態業務網絡脆弱性模型及參數特征，采集安全設備、威脅情報等單元的告警數據構建動態網絡攻擊模型及參數特征。

（2）多模態誘捕網絡自適應擬態能力

設計仿真智能編排引擎，通過集成、編排和調度不同多模態仿真對象，將各個孤立的調度操作關聯起來，基于多源攻擊數據動態，自動執行復雜的仿真編排調度流程，實現對誘捕策略的動態調整和對網絡攻擊的快速響應；同時，設計多模態對象有效性度量模型，通過實時接收的安全設備、威脅情報等單元的告警數據，結合誘捕網絡攻擊誘捕結果，采用AI智能算法對多模態對象的檢測績效進行評估，給出誘捕網絡最優績效調整方案，發送給調度引擎進行各多模態對象的動態調整,實現面向實時攻擊狀態的仿真誘捕網絡的自適應擬態重構。

4. 安全分析與連接能力

多模態誘捕設計安全分析和溯源功能，同時面向網絡安全攻防場景，設計多種單模形態、多模形態組合的安全能力接口，與網絡安全、數據安全、應用安全、身份安全等防御設備進行連接，實現特定安全場景的防護能力及綜合安全防護能力。

（1）攻擊分析溯源能力

多模態孿生誘捕網絡原生支持攻擊監控和采集能力，通過對采集的攻擊行為進行全方位、多維度監控和分析，基于ATT&CK模型，對攻擊階段及攻擊技術進行識別，實現攻擊鏈繪制，提供攻擊過程的還原和多維度的攻擊者畫像展示。多模態孿生誘捕網絡具有更高的仿真度，通過在孿生誘捕網絡里的攻擊路徑上預設WEB反制、掃描反制、蜜標反制等反制手段，主動獲取攻擊者主機或者網絡的信息，支持更準確的定位攻擊者的身份，提供更精準的溯源。

（2）安全連接能力

基于多模態誘捕單元捕獲的攻擊行為和攻擊數據，實現攻擊向量特征輸出、攻擊載荷提取、標準格式內生威脅情報生產、攻擊者TTP畫像輸出等，提供面向網絡安全設備、數據安全設備、身份管理設備的多模態安全防護策略，與各種安全設備進行連接，實現自動化響應能力，快速對攻擊進行響應，降低攻擊對真實資產可能造成的影響，實現自動化防護閉環。

三、 多模態誘捕的核心價值

多模態誘捕在實踐應用中，實現了以下核心價值：

1. 多模態誘捕實現了面向數字化時代的欺騙誘捕

多模態誘捕打破傳統蜜罐僅適用網絡安全場景，僅能對傳統網絡、設備、服務等進行仿真、誘捕的現狀，多模態誘捕可以提供對更多不同類型的對象進行誘捕，實現面向數字化時代數據安全風險場景的仿真、誘捕，進行數據異常行為分析、提供數據風險線索、證據，與數據安全產品對接，全面融入數據安全管控體系，提供面向數字化時代的欺騙誘捕能力。

2. 多模態誘捕實現了面向復雜場景的高效誘捕防護

多模態誘捕將多種誘捕能力進行融合，能夠更逼真、更靈活的仿真各種復雜業務場景，實現對多模態網絡攻擊向量、組合策略、業務系統漏洞的分析能力，能夠有效地捕獲多模態組合攻擊、未知攻擊，并彌補了目前欺騙防御對于數據對象和攻擊缺乏有效誘捕能力的關鍵技術短板和業務應用的空白，提供面向復雜網絡場景的高效誘捕防護。同時，多模態誘捕技術也可以基于單模特性，實現某一特定領域的定向誘捕，例如API安全定向誘捕、漏洞利用定向誘捕等，可以實現輕量化的部署和應用，更靈活的適配專項數據安全場景，與數據安全產品、技術配合，形成專項防御能力。

3. 多模態誘捕大幅提升了產品部署、應用效率

目前市場上欺騙防御產品應用受限于環境貼合度不高、誘捕效能較低、部署難度大等困境，制約了欺騙防御產品的進一步推廣與應用。多模態誘捕基于AI技術，在環境高逼真仿真及運維智能化、自動化方面作出了一些積極的探索與應用，同時積極地推進與目前安全運營體系融合，擺脫主動防御體系只能作為一個安全運營體系的外掛技術的尷尬局面，大幅提升了蜜罐的誘捕能力、場景適應能力、以及與安全產品特別是數據安全產品的聯動能力，從而大幅提升技術應用的經濟效益。

四、 未來展望

隨著人工智能時代的來臨，網絡安全的攻防對抗也逐漸向基于AI的對抗演進。攻防對抗越來越智能化、自動化、多模態化。面向業務網絡的脆弱性細節，多種模態的攻擊向量快速構建、攻擊嘗試迅速迭代，傳統的安全防護體系、人工運維模式在檢測能力、防護能力、防護效率方面都完全無法應對，已經完全不是一個量級的對抗。未來的防護體系必然也是以AI為核心，將所要防護的業務體系構建成為多模態的主動防御“有機體”，將檢測體系、誘捕體系、防護體系融合構建“免疫體系”，人在其中的作用已經成為實際操作者轉化為 “免疫體系”養成者。多模態誘捕提供攻擊的自動化誘捕和分析，將成為“免疫系統”的核心能力，在攻擊主動誘捕、攻擊溯源定位、威脅情報應用、威脅聯動防御等關鍵安全運營環節，發揮重要作用。