网络安全 · Beacon Butty

阻止恶意软件 —
在它连接到服务器发出警报之前。

检测无声的、周期性的信息。这表明设备已受到入侵被攻破。那些您的防病毒软件永远发现不了的威胁。

咨询安装事宜 产品手册
24/7
被动监控
≤1 小时
告警响应
14 天
慢节奏窗口
11
实时仪表盘
问题

您的防病毒软件无法捕捉到它

现代恶意软件极少自我暴露。它静默安装,然后通过短小、规律、加密的消息向操作者通信 — 这就是 信标。一旦确认存在活跃的命令通道,攻击者便会进一步行动:横向移动、数据外泄、部署勒索软件。

传统防御依赖文件与签名匹配。信标看上去并不像恶意软件 — 它们看起来像后台流量,而这正是它们的设计意图。

勒索软件预备阶段
攻击者在加密前会先确认访问、绘制网络拓扑 — 信标是事态出错的最初信号。
远程访问木马
RAT 每隔数分钟、甚至刻意每隔数小时回连一次,以规避按小时进行的分析。签名扫描看到的是正常进程;多节奏信标分析无论快慢,都能看出其中的规律。
隐蔽数据外泄
以固定间隔发送的小且一致的数据包,对基于流量量级的异常检测是不可见的。
供应链植入
可信软件可能被植入恶意代码。即便看似合法的流量,也必须依据周期性行为予以识别。
解决方案

基于行为的网络监控

Beacon Butty 部署在您的局域网与互联网之间,跟踪并对每条连接评分 — 不会阻断或延迟任何数据包。对网络性能零影响。

它不依赖已知恶意签名匹配,而是衡量 行为:连接的规律性、负载大小的一致性、目的地特征的异常程度。两条节奏引擎并行运行 — RITA 的小时窗口与 14 天的慢节奏相关器 — 让从分钟级到天级的回连都不会漏掉。每条命中再经过告警闸口的过滤,才会推送到 Slack。

多节奏信标评分
RITA v5 每小时对每台主机按周期性、抖动、数据包大小一致性与连接持续时间评分。一个独立的 14 天跨库相关器另行扫描小时窗口无法覆盖的"长休眠"回连。
JA4 威胁指纹
为每台设备记录 JA4(TLS Client Hello 指纹),并每天与 FoxIO 的 ja4plus 映射比对 — 一旦设备开始呈现已知威胁家族的 TLS 指纹特征,即时浮现。
入侵检测
Suricata IDS 实时扫描流量,匹配约 50,000 条社区与 Emerging Threats 签名 — 涵盖漏洞利用、Shellcode、协议滥用 — 并自动过滤 STREAM 与 QUIC 基础设施噪声。
二层 / ARP 异常检测
解析 Zeek 的 arp.log,识别网关冒充(非 Pi 的 MAC 宣告路由器 IP)、MAC 变更(同一 IP 一天内被多个 MAC 占用)与畸形 ARP。关键事件即时触发 Slack 告警。
网络情报
TLS / DNS 异常构建器、外泄候选、夜间活动画像、新信标发现 — 每条连接均附带地理位置、ASN、Tor 出口节点列表与域名熵值。
资产清单
通过 DHCP、ARP 与 Nmap 自动发现局域网设备。含操作系统识别、MAC 厂商、开放端口、JA4 指纹与最近可见时间 — 未识别设备可手动命名。
误报登记表
基于 MAC 的设备抑制规则,在 DHCP 变化后依然有效 — 另支持域名与协议级规则。所有抑制对各检测器统一生效,让告警量始终保持有意义。
经过闸口的智能告警
"局域网内唯一访问者 + 非超大规模云服务商"双条件闸口,会将那些指向 CDN 类 ASN 或多台设备共享的目的地的命中降级 — 仅符合"植入特征"的流量才会触发 Slack 告警。支持按类型启用/停用、抑制窗口,以及每日 08:00 UTC 的摘要。

Beacon Butty 内部一览

覆盖每一层的实时可见性 — 从运营与带宽仪表盘,到各检测器深度视图。点击任意截图即可查看详情。

六层检测流水线

业内一流的开源组件,经过深度编排,集成于单一设备之中。

1
被动数据包捕获 Zeek 8

Zeek 在内部接口被动监控全部局域网流量,对吞吐量零影响。每条 TCP / UDP 连接均记录完整元数据:时间戳、字节数、连接状态、持续时间、TLS / JA4 握手详情以及 ARP 事件。

2
多节奏信标引擎 RITA v5 + 相关器

每小时,RITA 对每对源 / 目的地从周期性、到达间隔抖动、字节大小一致性与连接持续时间四个维度评分。另设一个跨数据库相关器,每次扫描 14 天数据,浮现 RITA 小时窗口看不见的慢节奏回连。持续单点连接(strobe)与威胁情报命中单独标记。

3
基于签名的 IDS 叠加 Suricata IDS

Suricata 同时运行,匹配约 50,000 条社区与 Emerging Threats 签名。STREAM 与 QUIC 基础设施噪声自动过滤。告警通过 MAC 与 IP 关联回资产清单。

4
高性能存储 ClickHouse · log2ram

在 NVMe SSD 上的列式时序数据库存储信标评分、连接记录、IDS 告警、JA4 指纹与主机指标。跨数周数据的查询延迟在毫秒以内;实时日志先写入 RAM 层以延长 SSD 寿命。

5
Web 仪表盘 Flask · Chart.js

基于 Flask 的 Web 应用,通过 HTTPS 提供各检测层的实时可见性。11 个专用页面覆盖信标、慢节奏狩猎、IDS、资产、误报、网络情报、健康、备份与硬件遥测。

6
经过闸口的告警与每日摘要 告警闸口 · Slack

所有命中先经过告警闸口("局域网内唯一访问者 + 非超大规模云服务商"双条件)再经 AWS Lambda 推送至 Slack。被降级的候选保留在仪表盘上供主动狩猎。每日 08:00 UTC 摘要汇总慢节奏狩猎候选、最高得分主机、各类异常与容量概况。

Beacon Butty 能识别什么

十二类威胁,全天候检测 — 全年 365 天,每天 24 小时。

周期性 C2 信标
统计抖动与周期性评分能识别恶意软件的连接,无论其是否经过混淆或加密。
长休眠信标
跨日、低速率的周期性外联流量 — 小时窗口看不见的慢回连。当节奏在多日内保持紧凑时予以标记。
持续单点连接
指向单一目的地的长连接 — 活跃 C2 通道的典型迹象 — 独立于信标得分另行标记。
Tor 出口节点访问
与已知 Tor 基础设施的连接立即标记 — 可靠的入侵指标。
威胁情报命中
将访问目的地与精选威胁情报源比对 — 已知恶意 IP 与域名。
JA4 威胁指纹
TLS Client Hello 指纹每日与 FoxIO 的 ja4plus 映射比对 — 浮现已开始呈现已知威胁家族 TLS 特征的设备。
漏洞利用尝试
Suricata 规则覆盖活跃漏洞利用签名:CVE 载荷、Shellcode 模式与协议滥用。
网关冒充
由非 Pi 的 MAC 宣告网关 IP — 路由器接管的二层(L2)特征。从 Zeek arp.log 中识别并即时上报。
MAC 伪造与 ARP 异常
同一 IP 一天内被多个 MAC 占用、畸形 ARP 数据包与其他二层(L2)滥用模式,呈现于网络情报页面。
高熵 DNS 查询
看似随机的子域名 — DGA 与 DNS 隧道的常见特征 — 按二级域名熵值评分。
异常 DNS 查询量
产生异常高 DNS 查询量的主机 — 这是 C2 探测的常见迹象。
新增与异常设备
局域网中出现新 MAC 时立即触发通知(LAA 随机化的 MAC 会被闸口降级)。
不仅是检测

自给自足的设备

检测只是工作的一半。Beacon Butty 还提供调查检测结果所需的工具,并在监控您网络的同时,以同等严谨监控自身。

持续健康监控
所依赖的每个服务 — Zeek、Suricata、ClickHouse、dnsmasq、log2ram、certbot — 均按计时器检查。故障会自动推送至 Slack,附诊断信息。
硬件遥测
CPU 温度、风扇转速、内存、磁盘与运行时长由 bb-watchdog 数据流持续记录。前面板 OLED 显示屏即时显示状态;两个独立风扇组成的分级散热让设备在负载下保持静音运行。
域名活动查询
输入一个域名,即可扫描过去 6 小时内 Zeek ssl/dns 日志中该域名的局域网→对外访问情况,按分钟分桶。只读式调查 — 数秒内回答"我网络里是否有任何设备刚刚访问过 X?"
按需 PCAP 抓包
指定最多 3 个可疑域名,Beacon Butty 会将匹配的数据包抓取到 NVMe — 每个域名一个滚动 2 小时环形缓冲区,另支持持久化快照。无需重新部署工具,即可获得取证级证据。
备份与恢复
三层备份 — 配置快照、ClickHouse 导出、整机克隆至 USB SSD。每台设备随附文档化的恢复流程。
加密远程访问
可选 Tailscale 接入,使 Mustard Research 顾问能进行安全的远程诊断 — 您的网络无需开放任何入站端口。

经过闸口的分级告警

每种告警类型均可独立启用、停用或设置抑制窗口 — 由您决定何种事件值得叫醒您。

告警闸口

每条命中都要先通过最后一道过滤器,才会触发 Slack 告警:必须是局域网内唯一访问该目的地的设备,且目的地为非超大规模云服务商。指向 CDN 类或主流云 ASN、或多台设备共享的目的地的命中,会被降级为仪表盘上的狩猎候选,而不会叫醒您。健康页面上的可追溯面板按检测器逐项呈现命中数与降级数 — 闸口可被审计,而非黑盒。

实时告警
  • 高分信标(满分 1.0)
  • 持续单点连接流量
  • 威胁情报目的地命中
  • Tor 出口节点访问
  • 网关冒充 / 关键二层(L2)异常
  • JA4 威胁家族指纹命中
  • 局域网设备触发 Suricata P1 规则
  • Suricata P1 重复命中(单日 ≥5 次)
  • 服务下线(Zeek / ClickHouse / dnsmasq / Suricata)
  • WAN 不可达
  • 磁盘 > 90% 已用
  • 局域网新增设备
每日摘要 — 08:00 UTC
  • 慢节奏信标狩猎候选
  • 局域网信标得分最高的主机
  • Suricata P2 / P3 告警汇总
  • 过去 24 小时新出现的设备
  • DNS 高查询量主机
  • TLS / DNS / JA4 / 二层(L2)异常摘要
  • 误报抑制流量回顾
  • 健康与容量概览
适用对象

为小型企业与家庭网络打造

Beacon Butty 面向那些重要但没有专职安全运营团队的网络 — 小型企业、专业人士的家庭办公,以及任何处理敏感数据、并希望了解是否有内部资产正在悄悄"连接外部"的用户。

它是软硬件一体化解决方案。设备需要物理放置于您的网络中,并按您的具体环境进行配置 — 这并非可下载自行安装的软件。

企业级威胁检测能力,以适合非企业预算的体量与价格交付。

运作方式

  1. 1
    梳理您的网络
    一次简短的探讨电话,用于了解您的环境 — 设备数量、互联网接入方式以及安装的物理可达性。
  2. 2
    现场安装
    Mustard Research 顾问亲临现场完成设备的安装与配置。Beacon Butty 必须置于路由器与局域网之间 — 不能远程完成。
  3. 3
    开始监控
    设备上线即开始工作。告警直达您的 Slack 频道,每日摘要每天清晨送达。
  4. 4
    持续支持
    我们负责规则更新与健康监控,并在告警需要专家解读时随时支持。可选 Tailscale 加密远程访问。

想看看您的网络上正在发生什么?

欢迎联系我们洽谈您的环境。我们将告知 Beacon Butty 是否合适,并讲解安装流程。

咨询安装事宜 产品手册