在此前，安全狗根据实际的安全场景，结合近几年概念的演进和大量的安全实践， 近年攻防对抗中的实战经验，开发出了涵盖主机安全、容器安全、微隔离、补丁管理等安全需求的产品矩阵，形成了安全狗的工作负载安全解决方案。

　　云眼作为其中四件套之一，采用先进的自适应安全架构及端点检测及响应(EDR)解决方案，提供云+端的云安全管理平台为用户解决公有云、私有云和混合云环境中可能遇到的安全及管理问题。云眼主要包含资产管理、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁情报等多个功能模块，各个模块进行联动，模块间数据联通，形成闭环系统，为企业提供强有力的采集、检测、监测、防御、捕获能力，对主机进行全方位的安全防护。

　　此次升级后的云眼，与之前 大的区别在于微蜜罐的引入，以及能与蜜罐诱捕系统产生联动，以此解决目前以APT攻击为首的，对网络安全威胁较高的黑客攻击技术与手段。不仅适用于日常的安全防御体系的建设与完善，也适用于近年热门的“大型攻防演练”场景。

　　主机安全联动蜜罐解决方案“扭转”被动局面

　　当前主流的网络安全防御体系，一般是由防火墙、入侵检测和防御、Web应用防火墙以及 毒软件组成，虽然从某种程度上也实现了纵深防御，但是这些安全产品的运作方式主要是依赖已知攻击特征库对网络流量进行模式匹配，而对于新型攻击、0day漏洞利用和APT等攻击方式却无能无力。

　　有“恶意商业间谍威胁”行为之称的APT重则“撼动”国家安全系统，轻则勒索白万到上亿勒索赎金。在APT对国家、社会和企业的危害越来越明显且越来越大的局势之下，企业用户等防守方亟需采用“主动攻势”扭转这种“被动”、不平衡的对抗局面。

　　新版云眼升级的功能之一，即蜜罐，则能有效协助防守方“化被动为主动”。新版云眼可识别已知，尤其是未知威胁等入侵行为，在入侵行为对信息系统发生影响之前，通过及时且精准的预警，有效地避免、转移、降低信息系统面临的风险，由此“扭转局势”，让企业用户等防守方“占上风”。

　　主机安全联动蜜罐解决方案“以假作真 诱敌深入”

　　特点1：新版云眼支持微蜜罐功能“以假乱真”

　　在原先的功能基础上，新版云眼可支持微蜜罐功能。通过对指定的主机设置不同的端口监听策略，当监听端口被攻击时，若部署了云幻蜜罐系统，则将攻击流量引导到该端口对应的蜜罐系统上;若未部署蜜罐系统则阻断攻击者攻击行为。云眼设置的蜜罐端口被攻击时实时生成告警事件，告警事件能够通过手机和邮箱进行推送。

　　(1)事前

　　1.支持对指定的主机设置不同的端口监听策略;

　　2.支持针对全局设置IP白名单。

　　(2)事中

　　1.持续监听端口当被攻击时，若部署蜜罐主机，则将攻击流量引导到部署好该端口对应服务的蜜罐主机，若未部署则阻断攻击者攻击行为;

　　2.蜜罐端口被攻击时支持实时生成告警事件，告警支持推送到手机和邮箱。

　　(3)事后

　　1.支持记录和回放攻击者在蜜罐主机的攻击行为;

　　2.支持隔离蜜罐主机与真实业务环境;

　　3.支持识别攻击者硬件指纹。

　　通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对诱饵实施攻击，并将攻击方困在仿真的业务环境中，给攻击方真实的反馈。在攻击方未察觉的情况下对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机。能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

　　特点2：新版云眼联动蜜罐诱捕系统“诱敌深入”

　　（1）联动原理

　　当攻击者进行攻击时，蜜罐诱捕节点能够迅速检测到攻击行为，并且将攻击流量引入蜜罐系统，使其远离真实网络，同时延缓攻击进程，为用户争取应急响应时间。与此同时，对攻击者进行全程监控，详细记录攻击步骤、攻击工具和攻击手段，作为日后取证的依据。

　　在云眼服务端同步云幻蜜罐列表及各蜜罐支持的服务，配置监听端口，下发策略至相关服务器。当攻击者直接对真实服务器进行攻击时，真实服务器部署了云眼客户端，通过端口持续进行监听，一旦云眼客户端发现蜜罐端口被攻击，则实施反馈事件信息并将攻击流量引入蜜罐系统。

　　（2）联动的优势