【谛听】谛听智学习配置参考
背景介绍
1、传统蜜罐仿真性有限,很多客户有定制蜜罐的需求
2、蜜网构建困难,需要对自身业务有比较深入的了解
基于以上的问题,谛听新增了智学习功能,智学习中包括智学习蜜网以及智学习蜜罐,以下将分别对两种功能做一个介绍
智学习蜜网
功能介绍
智学习蜜网能够通过收集业务资产情况,智能推荐蜜罐服务。
客户价值
- 无序列表降低产品使用门槛
- 提高业务仿真性,提高产品使用效果
- 减少建设、运营蜜网的成本
使用方法
在 智学习→ 智学习蜜网 开始扫描即可。效果:
技术原理
- 有序列表识别网段资产。根据探针的监听 IP 生成扫描网段(如 192.168.122.1/24、192.168.123.1/24),输出网段中的主机资产数和资产类型(例如 http、ssh、FTP)
- 生成推荐方案。根据同网段资产类型、已部署蜜罐智能推荐,自动补充一些通用蜜罐(例如 ssh)
- 一键创建蜜网。含蜜罐、探针-蜜罐服务
使用条件和注意事项
- 扫描 探针同网段,要求目标业务区域已经部署探针,并且探针能访问到区域内其他主机
- 扫描前需要与客户沟通确认,必要时添加白名单。扫描时会进行 主机探活(ping 扫描)、资产信息收集(端口扫描 + 服务指纹探测)
智学习蜜罐
功能介绍
智学习蜜罐能以更少的定制开发成本,为客户提供仿真程度更高的 Web 网站蜜罐。
客户价值
- 降低产品使用门槛
- 提高业务仿真性,提高产品使用效果
- 减少建设、运营蜜网的成本
使用方法
若要使用,在 智学习→ 智学习蜜罐 下载工具,本地执行命令即可开始抓取数据:
然后将抓取好的数据包(.db 格式)上传到 “高级 / 智能学习 Web 站点” 蜜罐中即可:
注意事项
- 抓取程序支持 Windows 64、Linux 64、MacOS。暂不支持 32 位系统
- 抓取时 Ctrl + C 即可终止扫描。终止后程序需要花一段时间整理数据,最后会在同目录下生成数据包
- 程序在首次运行时会生成 rad_config.yml,可以自定义扫描深度、超时事件、并发等。如图:
![]()
- 程序还提供手动代理方法抓取,可以更细致地补充网站数据,详情可查看界面上的 “谛听智能学习蜜罐使用指南”
