背景现状

随着全球网络空间安全态势的日益紧张，针对关键基础设施的网络攻击频发且手段不断升级，工控系统作为国家经济命脉的重要组成部分，已经成为高级持续性威胁（APT）的主要目标之一。传统的安全防御体系多侧重于被动防护，但面对隐蔽性强、定向性强且持久潜伏的APT攻击，往往显得力不从心，难以在攻击初期及时发现和阻止。

在这种背景下，工控蜜罐技术成为解决此困境的关键转折点，工控蜜罐技术突破了以往单纯依赖被动防御的局限，通过构造精心设计的诱饵环境，主动吸引攻击者进入，并在不干扰真实生产系统运行的前提下，对其进行监控和追踪，不仅能够有效地感知潜在的威胁，还能深入了解攻击者的战术、技术和流程（TTPs），收集第一手的威胁情报，进而指导防御策略的调整与优化。

工控蜜罐技术的产品化应用，使得工业控制系统拥有了主动防御的利器。通过工控蜜网系统获取的未知攻击行为可进一步为协同联动安全防御体系（AD-XDR）赋能，有效联动企业网络侧、终端侧的安全设备，化“被动防御”为“主动运营”，彻底扭转防守方攻防不对称的局面，有力地增强了我国工业控制系统乃至关键信息基础设施的安全韧性。

产品简介

博智安全科技股份有限公司（以下简称”博智安全”）以“工业协议深度仿真、欺骗诱捕以及分布式容器”等技术为基础，自主研发了具有“高甜度、高交互、欺骗性强”的分布式工控蜜网系统，能够模拟真实工控网络中的设备、协议、服务，诱导攻击者对蜜罐进行攻击，从而实现扰乱攻击对象，迟滞攻击行动，保护真实系统的目标；同时基于攻击者流量分析，刻画攻击事件画像，实现精准溯源反制，改变防守方在攻防博弈过程中的弱势地位，提升系统的主动防御能力，为客户的关键资产提供最高级别的保护。

工控协议仿真

具备对工控协议的仿真能力，包括S7、DNP3、FINS、Modbus TCP等协议，且能够实现指令级别的高交互。

威胁诱捕场景

支持构建基于业务流程的威胁诱捕场景，包括资产、协议、网络拓扑、业务数据等属性，提升系统的欺骗/威胁诱捕能力。

攻击行为分析

支持通过黑客攻击流量包分析黑客攻击方法和手段，绘制黑客画像，溯源黑客信息；系统具备攻击者组织识别功能，支持入侵规则提取，对于有流量数据的蜜罐系统记录进行分析提取入侵规则。

攻击态势展示

支持通过大屏的方式可视化展示当前网络攻击整体安全态势，展示蜜罐攻击地图、最近告警信息、入侵事件时间分布、受到入侵的协议TOP5、发起入侵的源IP TOP5等实时监控信息。

典型应用场景

关基行业用户

如四川某水电站案例，在电力行业用户生产指挥中心I区部署了3台工控蜜罐设备，共同构成工控蜜网系统，实现了对水电网络安全威胁的监测、诱捕及主动防御。

高校/科研院所

以蜜罐技术为核心，围绕项目/课题目标，开展关键核心技术研究，输出研究成果（论文、专利、研究报告等），提供原型系统，支撑项目/课题验收。

（1）基于特定场景的分布式工控蜜网构建技术研究

（2）基于动态异构冗余机制的工控拟态蜜罐系统构建技术研究及应用

（3）基于攻击混淆与欺骗伪装技术的交互式工控网络诱捕及主动防御系统研究及应用

用户价值

延缓攻击进程，保护真实网络

高交互工控蜜罐具有高甜度，能够诱使攻击者耗费大量时间攻击工控蜜罐设备，工控蜜罐在被攻击时，向用户发出告警，延缓攻击者攻击进程，争取应急响应时间。 

APT 等未知威胁的检测

传统的基于规则、特征码的方式无法检测到 APT 等未知威胁攻击，工控蜜罐能够实现新型未知网络威胁、高级持续性威胁（APT）等高层次网络攻击的检测。

网络攻击的溯源与取证

能够全面记录攻击者的攻击过程，对攻击数据可分析，精准刻画攻击者画像，为溯源反制、取证提供支撑。

主动防御工具

在单位开展网络安全专项行动（如护网行动）中，蜜罐能够作为主动防御工具支撑防御方，实现被动防御到主动防御的转变。

产品简介