Beacon Butty — 网络威胁检测

问题

您的防病毒软件无法捕捉到它

现代恶意软件极少自我暴露。它静默安装,然后通过短小、规律、加密的消息向操作者通信 — 这就是信标。一旦确认存在活跃的命令通道,攻击者便会进一步行动:横向移动、数据外泄、部署勒索软件。

传统防御依赖文件与签名匹配。信标看上去并不像恶意软件 — 它们看起来像后台流量,而这正是它们的设计意图。

勒索软件预备阶段

攻击者在加密前会先确认访问、绘制网络拓扑 — 信标是事态出错的最初信号。

远程访问木马

RAT 每隔数分钟连接一次。签名扫描看到的是正常进程;信标分析看到的是模式。

隐蔽数据外泄

以固定间隔发送的小且一致的数据包,对基于流量量级的异常检测是不可见的。

供应链植入

可信软件可能被植入恶意代码。即便看似合法的流量,也必须依据周期性行为予以识别。

解决方案

基于行为的网络监控

Beacon Butty 部署在您的局域网与互联网之间,跟踪并对每条连接评分 — 不会阻断或延迟任何数据包。对网络性能零影响。

它不依赖已知恶意签名匹配,而是衡量行为:连接的规律性、负载大小的一致性、目的地特征的异常程度。这些统计模式即便在加密与混淆下依然有效。

信标评分

RITA v5 对每台主机按周期性、抖动、数据包大小一致性与连接持续时间评分。持续频闪与威胁情报命中单独呈现。

入侵检测

Suricata IDS 实时扫描流量,匹配数千条社区与 ET PRO 签名 — 涵盖漏洞利用、Shellcode、协议滥用 — 并智能过滤噪声。

网络情报

TLS 异常、DNS 异常、新信标、外泄与夜间活动检测器为每个连接附加情报 — 涵盖地理位置、ASN、Tor 出口节点与域名熵值。

资产清单

通过 DHCP、ARP 与 Nmap 自动发现局域网设备。含操作系统识别、MAC 厂商、开放端口与最近可见时间 — 未识别设备可手动命名。

误报控制

基于 MAC 的注册表跨各检测器抑制已知良性设备、域名与协议 — 让告警量保持有意义,而非泛滥。

即时告警

支持 Slack 通知,可按类型启用/停用,并按告警设置抑制窗口。每日 07:00 摘要。内置健康、磁盘与服务下线告警。

Beacon Butty 内部一览

覆盖每一层的实时可见性 — 从运营与带宽仪表盘,到各检测器深度视图。点击任意截图即可查看详情。

六层检测流水线

业内一流的开源组件,集成于单一设备之中。

1

被动数据包捕获 Zeek 8

Zeek 在内部接口被动监控全部局域网流量,对吞吐量零影响。每条 TCP/UDP 连接均记录完整元数据:时间戳、字节数、连接状态、持续时间与 TLS 握手详情。

2

信标评分引擎 RITA v5

每小时,RITA 导入 Zeek 连接数据,按源/目的地组合开展统计分析,从四个维度评分:连接周期性、到达间隔抖动、字节大小一致性与连接持续时间。持续频闪与威胁情报命中单独呈现。

3

基于签名的 IDS 叠加 Suricata IDS

Suricata 同时运行,匹配数千条社区与 Emerging Threats 签名。STREAM 与 QUIC 噪声自动过滤。告警通过 MAC 与 IP 与资产清单关联。

4

高性能存储 ClickHouse · log2ram

在 NVMe SSD 上的列式时序数据库存储信标评分、连接记录、IDS 告警与主机指标。跨数周数据的查询延迟在毫秒以内;实时日志先写入 RAM 层以延长 SSD 寿命。

5

Web 仪表盘 Flask · Chart.js

基于 Flask 的 Web 应用,通过 HTTPS 提供各检测层的实时可见性。十个专用页面覆盖信标、IDS、资产、情报、健康、备份与硬件遥测。

6

告警与每日摘要 Slack · Lambda · email

每日 07:00 摘要汇总信标得分最高的主机。实时告警经 AWS Lambda 推送至 Slack,可按类型启用/停用,并按告警设置抑制窗口。仪表盘支持任一告警的测试触发。

Beacon Butty 能识别什么

八类威胁,全天候检测 — 全年 365 天,每天 24 小时。

周期性 C2 信标

统计抖动与周期性评分能识别恶意软件的连接,无论其是否经过混淆或加密。

持续单点连接

指向单一目的地的长连接 — 活跃 C2 通道的典型迹象 — 独立于信标得分另行标记。

Tor 出口节点访问

与已知 Tor 基础设施的连接立即标记 — 可靠的入侵指标。

威胁情报命中

将访问目的地与精选威胁情报源比对 — 已知恶意 IP 与域名。

漏洞利用尝试

Suricata 规则覆盖活跃漏洞利用签名:CVE 载荷、Shellcode 模式与协议滥用。

高熵 DNS 查询

看似随机的子域名 — DGA 与 DNS 隧道的常见特征 — 按二级域名熵值评分。

异常 DNS 查询量

产生异常高 DNS 查询量的主机 — 这是 C2 探测的常见迹象。

新增与异常设备

局域网中出现新 MAC 时立即触发通知。

不仅是检测

自监控的设备

检测的前提是设备本身健康。Beacon Butty 在监控您网络的同时,也以同等严谨监控自身。

持续健康监控

所依赖的每个服务 — Zeek、Suricata、ClickHouse、dnsmasq、log2ram、certbot — 均按计时器检查。故障会自动推送至 Slack,附诊断信息。

硬件遥测

记录 CPU 温度、风扇转速、内存、磁盘与运行时长。两个独立风扇组成的分级散热让设备在负载下保持静音运行。

备份与恢复

三层备份 — 配置快照、ClickHouse 导出、整机克隆至 USB SSD。每台设备随附文档化的恢复流程。

加密远程访问

可选 Tailscale 接入,使 Mustard Research 顾问能进行安全的远程诊断 — 您的网络无需开放任何入站端口。

分级、智能的告警

每种告警类型均可独立启用、停用或设置抑制窗口 — 由您决定何种事件值得叫醒您。

实时告警

高分信标(满分 1.0)
持续单点连接流量
威胁情报目的地命中
Tor 出口节点访问
Suricata P1 局域网侧规则
Suricata P1 重复命中
服务下线(Zeek / ClickHouse / Suricata)
磁盘 > 90% 已用
局域网新增设备

每日摘要

局域网信标得分最高的主机
Suricata P2 / P3 告警汇总
过去 24 小时新出现的设备
DNS 高查询量主机
TLS 与 DNS 异常摘要
误报抑制流量回顾
健康与容量概览

适用对象

为小型企业与家庭网络打造

Beacon Butty 面向那些重要但没有专职安全运营团队的网络 — 小型企业、专业人士的家庭办公,以及任何处理敏感数据、并希望了解是否有内部资产正在悄悄"连接外部"的用户。

它是软硬件一体化解决方案。设备需要物理放置于您的网络中,并按您的具体环境进行配置 — 这并非可下载自行安装的软件。

企业级威胁检测能力,以适合非企业预算的体量与价格交付。

运作方式

1

梳理您的网络

一次简短的探讨电话,用于了解您的环境 — 设备数量、互联网接入方式以及安装的物理可达性。
2

现场安装

Mustard Research 顾问亲临现场完成设备的安装与配置。Beacon Butty 必须置于路由器与局域网之间 — 不能远程完成。
3

开始监控

设备上线即开始工作。告警直达您的 Slack 频道,每日摘要每天清晨送达。
4

持续支持

我们负责规则更新与健康监控,并在告警需要专家解读时随时支持。可选 Tailscale 加密远程访问。

想看看您的网络上正在发生什么?

欢迎联系我们洽谈您的环境。我们将告知 Beacon Butty 是否合适,并讲解安装流程。

咨询安装事宜产品手册

阻止恶意软件 —在它连接到服务器发出警报之前。