蜜罐仿真功能
工控服務(wù)器蜜罐：通過模擬服務(wù)器操作系統(tǒng)信息與文件數(shù)據(jù)，監(jiān)測異常文件植入，安裝下載異常應(yīng)該程序等異常行為，實現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)中蠕蟲病毒擴散、口令爆破、Shell 執(zhí)行等針對服務(wù)器的構(gòu)建、載荷投遞的攻擊線索發(fā)現(xiàn)；
工 控 蜜 罐： 通 過 模 擬 端 口 服 務(wù)， 監(jiān) 測 端 口 的 TCP/UDP 異常流量，支持 TCP、UDP 數(shù)據(jù)包的探測響應(yīng)，實現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)中會話攻擊、掃描探工控業(yè)務(wù)上位機蜜罐：通過模擬組態(tài)軟件與下位機交互過程，監(jiān)測上位機與下位機交互的異常行為與數(shù)據(jù)文件的異常變化，實現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)中工業(yè)控制器數(shù)據(jù)讀取、影響下位機正常工作行為、異常文件上傳等構(gòu)建、載荷投遞的攻擊線索發(fā)現(xiàn)；
工控 PLC 蜜罐：通過模擬設(shè)備信息、協(xié)議交互、現(xiàn)有漏洞，監(jiān)測工控 PLC 數(shù)據(jù)參數(shù)變化，設(shè)備運行異常的行為，實現(xiàn)工控 PLC 漏洞利用、工控 PLC 數(shù)據(jù)篡改、病毒植入等漏洞利用，命令與控制的攻擊線索發(fā)現(xiàn)；
工控數(shù)控系統(tǒng)蜜罐：通過模擬指紋信息，運行狀態(tài)，未修補的漏洞與協(xié)議交互功能碼，監(jiān)測數(shù)控機床運行參數(shù)變化，nc 文件上傳下載行為，加工零件參數(shù)變化等異常行為，實現(xiàn)數(shù)控系統(tǒng)漏洞利用，nc 加工文件篡改等漏洞利用，命令與控制的攻擊線索發(fā)現(xiàn)；

攻擊事件分析
掃描探測：端口掃描、設(shè)備信息掃描、漏洞掃描；
提權(quán)攻擊：SQL 注入、口令爆破、病毒植入、會話攻擊；
漏洞攻擊：工控 PLC 漏洞利用、數(shù)控系統(tǒng)漏洞利用；
代碼攻擊：Shell 執(zhí)行、惡意代碼執(zhí)行；
持久化攻擊：數(shù)據(jù)庫訪問、異常文件上傳、NC 文件上傳；
數(shù)據(jù)滲透攻擊：工業(yè) PLC 數(shù)據(jù)讀取、工業(yè) PLC 數(shù)據(jù)篡改、下載行為、加工零件參數(shù)變化、功能碼交互、監(jiān)測數(shù)控機床運行參數(shù)變化。

數(shù)據(jù)捕獲功能
惡意代碼捕獲：捕獲攻擊者攻擊過程中使用的蠕蟲病毒、木馬腳本、探測腳本，將腳本存儲在惡意代碼庫中，作為攻擊組織分析的重要特征；
原始數(shù)據(jù)捕獲：捕獲攻擊者攻擊過程中的原始日志信息，包含攻擊源 IP、攻擊端口信息、攻擊目的 IP、攻擊目的端口信息、攻擊者操作系統(tǒng)、攻擊者瀏覽器信息、攻擊原始 16 進制報文等信息為后期分析提供數(shù)據(jù)支撐；
原始流量捕獲：記錄并保存攻擊者與蜜罐交互全部原始流量，為攻擊取證保留原始證據(jù)；

攻擊態(tài)勢分析
攻擊態(tài)勢：根據(jù)攻擊事件告警日志，按照時間、事件類型、蜜罐種類、入侵 IP、目標(biāo) IP 等進行數(shù)據(jù)的檢索，并根據(jù)檢索結(jié)果展示攻擊來源 IP 分布情況、受攻擊蜜罐主機以及單個攻擊源的攻擊趨勢，攻擊的網(wǎng)絡(luò)拓?fù)淝闆r等；
攻擊階段態(tài)勢：依據(jù)基于 ATT&CK 安全框架，按照初始訪問、執(zhí)行、持久化、提升權(quán)限、防御繞過、憑據(jù)訪問、發(fā)現(xiàn)、橫向移動、收集、命令和控制、數(shù)據(jù)滲透、影響共 12 個階段對攻擊事件按照攻擊階段的態(tài)勢分析，提取完整的攻擊鏈路，復(fù)原攻擊過程。用戶可以清晰發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)所處的攻擊階段，為下一步防護提前做好準(zhǔn)備；
安全域態(tài)勢：安全域態(tài)勢分析功能將告警日志按照安全域劃分，用戶可以根據(jù)攻擊事件告警日志按照不同安全域進行數(shù)據(jù)檢索，并根據(jù)檢索結(jié)果展示當(dāng)前安全域內(nèi)蜜罐主機受攻擊的強度與所處的攻擊階段。