近年来，随着数字化、智能化的迅速发展以及网络攻防对抗技术的持续演进升级，攻击呈现出的高隐蔽性、强对抗性、难以预判等特点愈发明显，网络安全形态也逐渐呈现多模态特征。

一方面，安全对象的多模态化：安全对象的多模态指的是主机、操作系统、应用软件、数据库数据、文件数据、通信链路、身份等以及其包含的协议、端口、API等关键对象及其属性的不同形态特征。网络安全攻防技术的发展，是以安全对象范围的不断扩大为主线的，传统的网络安全对象主要是基于IP的主机，随着数字化时代的来临，网络安全关注的重点也逐渐扩展到流量、数据库、文件、数据、身份、API等，安全对象的类型、属性差异巨大，呈现明显的多模态特征。

同时，攻击技术的多模态化：近年来，网络攻击技术逐渐呈现工具化、体系化特征，攻击者综合运用多种不同类型的网络攻击手段，形成相互配合、协同工作的攻击方式，以实现更强大的攻击效果，这些攻击方式通常涉及不同模态的攻击技术及攻击手段进行组合，旨在最大化对目标系统的破坏和影响。一些常见的组合攻击方式包括：侦察与漏洞利用组合、恶意软件与社会工程学组合、拒绝服务与中间人攻击组合、密码破解与权限提升组合、网络层攻击与应用层攻击组合等方式。可以看出，网络攻击（过程）是一系列不同模态的攻击动作的组合。

现有的面向主机的攻击检测方法多采用基于规则的特征检测方法，再结合基于行为的检测和分析方法后，对于已知攻击具有较好的检测效果，但对于多模态组合攻击、高隐蔽未知网络攻击检测效果较差。亟需有效的手段主动发现、跟踪和溯源网络攻击，建立面向多模态攻防特征的网络安全防御体系。

欺骗防御作为主动防御里最为有效的手段，通过布置一些作为诱饵的主机、服务等对象，诱使攻击方对它们实施访问、攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，识别攻击意图、技术手段，从而通过技术和管理手段实现安全防护。传统欺骗防御技术主要面向网络、主机、服务等安全对象，依赖于静态配置和预设的响应规则来模拟业务或系统行为，这种方式虽然能在一定程度上吸引攻击者，但仿真对象单一、部署复杂、缺乏灵活性和动态性，难以对多模态对象进行仿真，难以应对复杂多变的攻击场景与攻击技术，无法满足复杂场景的安全防御需求，也缺乏有效的对抗检测机制，主动探查能力不足、主动响应能力不足。因此，如何实现多模态威胁感知和主动诱捕显得尤为重要，可尽早发现潜在的攻击威胁，继而展开溯源分析和攻击防御。

随着AI技术的发展，特别是多模态技术、NLP技术、AI大模型的应用，为欺骗防御技术提供了多模态对象处理、自然语言理解、多模态大模型生成并进行智能化响应的能力，使得欺骗防御技术能够有效地构建业务系统多模态场景，更加逼真地模拟真实业务或系统的交互过程，从而更有效地吸引和迷惑攻击者，能够极大的提升诱捕能力与诱捕效率。

一、 什么是多模态诱捕

多模态诱捕针对多模态安全对象、多模态网络攻击，设计多类型的仿真、诱捕和分析方法，并基于AI进行有机融合来构建面向数字化时代、复杂业务场景的多模态仿真及攻击诱捕分析能力，以有效应对多模态组合攻击、高级未知隐蔽攻击。多模态诱捕能够实现细粒度的精准仿真和定向诱捕，并与传统网络安全、数据安全技术能力形成协同，构建新型面向数字化时代的综合运营体系。

二、 多模态诱捕关键技术

多模态诱捕针对多模态安全对象中的每一种安全对象（单模对象）分别设计仿真、诱捕和分析方法，实现面向多模态的仿真组件集合，并基于安全对象多模态特点，设计孪生诱捕网络构建方法；基于网络攻击多模态特点，设计攻击向量识别方法、智能编排调度方法及攻击溯源分析方法；并面向安全运营体系，设计联动响应方法，最终实现检测、分析、溯源、响应的闭环，实现面向数字化时代的多模态网络安全、数据安全诱捕能力体系。

多模态诱捕技术架构如下图所示：

多模态诱捕包括四项关键技术能力，分别是多模态组件构建能力、孪生诱捕网络生成能力、智能调度与管理能力和安全分析与连接能力。

1. 多模态组件构建能力

多模态诱捕仿真对象不再仅仅是传统的实体安全对象，而是实体对象及其属性的组合，等价于在向量空间上进行升维，首先定义实体仿真对象，包括：人员、主机、应用、数据库、文件等；然后基于仿真实体对象及其流量、行为、身份、漏洞等关键属性、关联关系等特征，灵活的构建多模态诱捕仿真对象。

多模态诱捕仿真组件集合是面向多模态诱捕仿真对象生成的仿真实体模板集合，典型的多模态诱捕仿真组件集合包括以下类别： 

（1）主机组件：主机、服务器的仿真方法，高交互特性的诱捕单元，为运行状态的主机，包括操作系统，可以加载应用软件、API组件、身份组件、数据库组件、文件组件、数据流组件、文件组件、漏洞组件，形成交互式环境、接口和数据流；

（2）容器组件：服务、应用的仿真方法，高交互特性的诱捕单元，为运行状态的容器，包括操作系统、服务等，可以加载应用软件、API组件、身份组件、数据库组件、文件组件、数据流组件、文件组件、漏洞组件，形成交互式环境、接口和数据流；

（3）数据库组件：数据库的仿真方法，为按照数据库类型，构建仿真数据库表单、仿真数据库数据字段、数据内容、可加载身份组件、数据流组件、漏洞组件；

（4）文件组件：文件的仿真方法，为按照文件类型，构建仿真文件，并按照真实业务文件在网内的存储分布特点，进行仿真文件的分散发布；

（5）API组件：API的仿真方法，为可运行的API访问接口，可以加载身份组件、漏洞组件，可以实现数据交互和访问；

（6）数据流组件：数据流的仿真方法，可管理的各种类型模拟数据流，支持设置各种应用、协议、端口、数据库类型属性，数据内容支持基于现网流量自动学习生成；

（7）漏洞组件：漏洞的仿真方法，为按照漏洞类型，构建漏洞环境，实现方法包括基于系统、软件、应用、中间件等对象构建漏洞版本方法以及访问交互方法等。漏洞组件包含两种形态：包含多种类型漏洞的特定版本的系统、软件、应用、中间件等；以及采用访问交互方法基于漏洞利用攻击访问、回包信息构建的访问交互单元；

（8）身份组件：身份的仿真方法，为基于主机、应用、数据库等的账户、密码信息的仿真，身份组件可以在系统中对仿真的其他组件进行身份的管理、分发、修改，支持自动动态生成弱密码。

2. 孪生诱捕网络生成能力

孪生诱捕网络为吉沃科技在2023年推出的欺骗防御智能化应用技术，旨在通过自动化手段，构建智能型环境仿真、攻击诱捕能力。多模态孪生诱捕网络是多模态诱捕的核心，其在原孪生诱捕网络能力基础上进行了扩展，提供如下核心能力，包括：

（1）分布式异构形态蜜网

采用自研的SDN架构及原生虚拟化仿真底座实现对多模态诱捕网络的仿真，支持虚拟机仿真、容器仿真、软件仿真等不同仿真技术、不同交互等级的多模态仿真对象分布式异构组网，在蜜网内可以相互通信。支持通过虚拟机仿真技术实现对网络设备、主流操作系统的高交互仿真；通过容器仿真技术实现对应用、服务、数据库等的高交互仿真；通过软件仿真技术来实现对数据孪生对象的模拟仿真。孪生诱捕网络它不是面向整个业务网络的数字孪生，而是面向网络攻击面的多模态仿真对象的数字孪生，可以根据多模态仿真对象的不同选择最匹配的仿真技术手段，达到资源利用率和诱捕能力的综合效益最大化。

（2）多模态对象实例化能力

在创建孪生诱捕网络时，需要先对多模态对象进行实例化。接收多模态数据采集单元的模型及参数，调取主机、服务、应用、数据库、文件、API、数据流、漏洞、身份等多模态仿真组件模板进行实例化参数配置，对各实例化多模态组件根据行业特性、业务特征等进行组合应用，实现对各类多模态业务网络仿真诱捕对象实例化的快速构建。

（3）多模态诱捕网络构建能力

生成业务网络的多模态孪生诱捕网络时，基于网络空间探测引擎对业务网络进行测绘的结果，送模式识别引擎与多模态组件仿真模板、多模态仿真对象进行拟合，输出最优的孪生诱捕网络初始化参数和拓扑模型，使用分布式异构形态蜜网技术创建多模态数字孪生网络，来实现基于业务网络特性和网络攻击面的多模态孪生诱捕网络的快速创建。

3. 智能调度与管理能力

多模态诱捕智能调度与管理实现仿真诱捕的集成管理功能，包括多模态仿真组件管理、多模态数据采集、自适应拟态调度、AI专项模型等主要能力。

（1）多模态数据采集、范式化能力

通过与网络空间探测单元等进行联动、人工导入等方式采集业务网络、设备、主机、服务、应用、数据库、文件、人员等全要素多模态安全对象的静态、动态数据，进行数据清洗、范式化，构建多模态业务网络和对象模型及参数特征；采集漏洞扫描、攻击面管理等单元的系统脆弱性数据构建多模态业务网络脆弱性模型及参数特征，采集安全设备、威胁情报等单元的告警数据构建动态网络攻击模型及参数特征。

（2）多模态诱捕网络自适应拟态能力

设计仿真智能编排引擎，通过集成、编排和调度不同多模态仿真对象，将各个孤立的调度操作关联起来，基于多源攻击数据动态，自动执行复杂的仿真编排调度流程，实现对诱捕策略的动态调整和对网络攻击的快速响应；同时，设计多模态对象有效性度量模型，通过实时接收的安全设备、威胁情报等单元的告警数据，结合诱捕网络攻击诱捕结果，采用AI智能算法对多模态对象的检测绩效进行评估，给出诱捕网络最优绩效调整方案，发送给调度引擎进行各多模态对象的动态调整,实现面向实时攻击状态的仿真诱捕网络的自适应拟态重构。

4. 安全分析与连接能力

多模态诱捕设计安全分析和溯源功能，同时面向网络安全攻防场景，设计多种单模形态、多模形态组合的安全能力接口，与网络安全、数据安全、应用安全、身份安全等防御设备进行连接，实现特定安全场景的防护能力及综合安全防护能力。

（1）攻击分析溯源能力

多模态孪生诱捕网络原生支持攻击监控和采集能力，通过对采集的攻击行为进行全方位、多维度监控和分析，基于ATT&CK模型，对攻击阶段及攻击技术进行识别，实现攻击链绘制，提供攻击过程的还原和多维度的攻击者画像展示。多模态孪生诱捕网络具有更高的仿真度，通过在孪生诱捕网络里的攻击路径上预设WEB反制、扫描反制、蜜标反制等反制手段，主动获取攻击者主机或者网络的信息，支持更准确的定位攻击者的身份，提供更精准的溯源。

（2）安全连接能力

基于多模态诱捕单元捕获的攻击行为和攻击数据，实现攻击向量特征输出、攻击载荷提取、标准格式内生威胁情报生产、攻击者TTP画像输出等，提供面向网络安全设备、数据安全设备、身份管理设备的多模态安全防护策略，与各种安全设备进行连接，实现自动化响应能力，快速对攻击进行响应，降低攻击对真实资产可能造成的影响，实现自动化防护闭环。

三、 多模态诱捕的核心价值

多模态诱捕在实践应用中，实现了以下核心价值：

1. 多模态诱捕实现了面向数字化时代的欺骗诱捕

多模态诱捕打破传统蜜罐仅适用网络安全场景，仅能对传统网络、设备、服务等进行仿真、诱捕的现状，多模态诱捕可以提供对更多不同类型的对象进行诱捕，实现面向数字化时代数据安全风险场景的仿真、诱捕，进行数据异常行为分析、提供数据风险线索、证据，与数据安全产品对接，全面融入数据安全管控体系，提供面向数字化时代的欺骗诱捕能力。

2. 多模态诱捕实现了面向复杂场景的高效诱捕防护

多模态诱捕将多种诱捕能力进行融合，能够更逼真、更灵活的仿真各种复杂业务场景，实现对多模态网络攻击向量、组合策略、业务系统漏洞的分析能力，能够有效地捕获多模态组合攻击、未知攻击，并弥补了目前欺骗防御对于数据对象和攻击缺乏有效诱捕能力的关键技术短板和业务应用的空白，提供面向复杂网络场景的高效诱捕防护。同时，多模态诱捕技术也可以基于单模特性，实现某一特定领域的定向诱捕，例如API安全定向诱捕、漏洞利用定向诱捕等，可以实现轻量化的部署和应用，更灵活的适配专项数据安全场景，与数据安全产品、技术配合，形成专项防御能力。

3. 多模态诱捕大幅提升了产品部署、应用效率

目前市场上欺骗防御产品应用受限于环境贴合度不高、诱捕效能较低、部署难度大等困境，制约了欺骗防御产品的进一步推广与应用。多模态诱捕基于AI技术，在环境高逼真仿真及运维智能化、自动化方面作出了一些积极的探索与应用，同时积极地推进与目前安全运营体系融合，摆脱主动防御体系只能作为一个安全运营体系的外挂技术的尴尬局面，大幅提升了蜜罐的诱捕能力、场景适应能力、以及与安全产品特别是数据安全产品的联动能力，从而大幅提升技术应用的经济效益。

四、 未来展望

随着人工智能时代的来临，网络安全的攻防对抗也逐渐向基于AI的对抗演进。攻防对抗越来越智能化、自动化、多模态化。面向业务网络的脆弱性细节，多种模态的攻击向量快速构建、攻击尝试迅速迭代，传统的安全防护体系、人工运维模式在检测能力、防护能力、防护效率方面都完全无法应对，已经完全不是一个量级的对抗。未来的防护体系必然也是以AI为核心，将所要防护的业务体系构建成为多模态的主动防御“有机体”，将检测体系、诱捕体系、防护体系融合构建“免疫体系”，人在其中的作用已经成为实际操作者转化为 “免疫体系”养成者。多模态诱捕提供攻击的自动化诱捕和分析，将成为“免疫系统”的核心能力，在攻击主动诱捕、攻击溯源定位、威胁情报应用、威胁联动防御等关键安全运营环节，发挥重要作用。