威胁诱捕（蜜罐）类产品研究与测试报告

1、威胁诱（蜜罐类产研究与测试报告目 录 HYPERLINK l _TOC_250028 一、威胁诱捕（蜜罐）技术演变及发展历程 1 HYPERLINK l _TOC_250027 （一）蜜罐技术发展历程 1 HYPERLINK l _TOC_250026 （二）蜜罐关键技术演变 2 HYPERLINK l _TOC_250025 二、威胁诱捕（蜜罐）产品发展现状 4 HYPERLINK l _TOC_250024 （一）蜜罐技术分类 4 HYPERLINK l _TOC_250023 （二）蜜罐技术部署形态 7 HYPERLINK l _TOC_250022 三、国内威胁诱捕（蜜罐）产品市场应用

2、现状 1（一）威胁诱捕（蜜罐）产品国内部署现状 1（二）威胁诱捕（蜜罐）产品能力应用现状 12（三）威胁诱捕（蜜罐）产品应用评价 15 HYPERLINK l _TOC_250021 四、蜜罐类产品测试情况综述 18 HYPERLINK l _TOC_250020 （一）测试基本情况 18 HYPERLINK l _TOC_250019 （二）测试环境介绍 19 HYPERLINK l _TOC_250018 （三）测试方法说明 21 HYPERLINK l _TOC_250017 （四）测试内容简介 22 HYPERLINK l _TOC_250016 五、蜜罐类产品测试结果总体分析 23

3、HYPERLINK l _TOC_250015 （一）交互模式支持度较为全面 23 HYPERLINK l _TOC_250014 （二）威胁情报的赋能有待加强和完善 25 HYPERLINK l _TOC_250013 （三）产品自身管理能力总体较好 28 HYPERLINK l _TOC_250012 （四）蜜罐研发团队需加强人才投入 30 HYPERLINK l _TOC_250011 六、蜜罐类产品测试结果功能维度分析 31（一）服务伪装功能测试结果分析 31 HYPERLINK l _TOC_250010 （二）欺骗防御功能测试结果分析 38 HYPERLINK l _TOC_250

4、009 （三）风险分析功能测试结果分析 45（四）风险展示功能测试结果分析 53（五）蜜罐管理功能测试结果分析 57（六）安全性功能测试结果分析 65 HYPERLINK l _TOC_250008 （七）性能测试结果分析 70 HYPERLINK l _TOC_250007 七、蜜罐类产品部分特色功能验证 72 HYPERLINK l _TOC_250006 （一）基于自适应的智能化动态诱捕智信安全 73 HYPERLINK l _TOC_250005 （二）面向工控环境的蜜罐产品山东云天 75 HYPERLINK l _TOC_250004 （三）拟态构造蜜罐紫金山实验室 79 HYPER

5、LINK l _TOC_250003 八、蜜罐类产品趋势展望 82 HYPERLINK l _TOC_250002 （一）高仿真、高交互能力持续增强 82 HYPERLINK l _TOC_250001 （二）应用场景更加广泛 83 HYPERLINK l _TOC_250000 （三）行业定制化需求进一步显现 83图目 录图 1蜜网基本体系结构图 8图 2蜜场技术概念图示 9图 3蜜标部署原理 10图 4企业是否选择部署威胁诱捕（蜜罐）产品 1图 5已部署威胁诱捕（蜜罐）产品的行业分布 12图 6企业部署蜜罐产品的主要目的 13图 7企业希望蜜罐产品覆盖的业务类型 13图 8企业关注的蜜罐产

6、品溯源信息 14图 9企业希望蜜罐产品满足的部署方式 15图 10蜜罐产品效果是否达到预期 15图 1蜜罐产品在攻防演练中的效果 16图 12蜜罐产品需增强的能力 17图 13企业对蜜罐产品不满意调查 17图 14测试网络拓扑图 20图 15测试现场 21图 16某蜜罐产品功能界面图 24图 17受测产品交互种类支持情况 24图 18某蜜罐产品功能界面图 26图 19受测产品威胁情报产出功能支持情况 26图 20受测产品关联威胁情况功能支持情况 27图 21某蜜罐产品功能界面图 28图 22产品自身管理功能结果比例图 29图 23产品用户标识与鉴别功能结果比例图 29图 24产品响应处理功能结

7、果比例图 30图 25企业研发团队情况分析 30图 26某蜜罐产品功能界面图 33图 27某蜜罐产品功能界面图 34图 30某蜜罐产品功能界面图 37图 31服务伪装功能支持情况 37图 32服务伪装功能测试结果图 38图 33某蜜罐产品功能界面图 40图 34某蜜罐产品功能界面图 41图 35某蜜罐产品功能界面图 42图 36某蜜罐产品功能界面图 43图 37某蜜罐产品功能界面图 43图 38欺骗防御功能支持情况 44图 39欺骗防御功能测试结果图 45图 40某蜜罐产品功能界面图 47图 41某蜜罐产品功能界面图 47图 42某蜜罐产品功能界面图 48图 43某蜜罐产品功能界面图 49图

8、44某蜜罐产品功能界面图 50图 45某蜜罐产品功能界面图 51图 46风险分析功能支持情况 51图 47风险分析功能测试结果图 52图 48某蜜罐产品功能界面图 53图 49某蜜罐产品功能界面图 54图 50某蜜罐产品功能界面图 55图 51风险展示功能支持情况 56图 52风险展示功能测试情况 56图 53某蜜罐产品功能界面图 58图 54某蜜罐产品功能界面图 59图 55某蜜罐产品功能界面图 60图 56某蜜罐产品功能界面图 61图 59某蜜罐产品功能界面图 63图 60蜜罐管理功能支持情况 63图 61蜜罐管理功能测试情况 64图 62安全管理能力支持情况 66图 63某蜜罐产品功能界

9、面图 66图 64用户标识与鉴别支持情况 67图 65某蜜罐产品功能界面图 67图 66响应处理能力支持情况 68图 67某蜜罐产品功能界面图 68图 68安全性功能测试支持情况 69图 69安全性功能测试情况 69图 70智信蜜罐架构图 74图 71智信蜜罐测试界面图 75图 72昊天工控蜜罐 77图 73工控蜜罐部署图 77图 74测试过程 78图 75测试过程界面 78图 76测试过程 79图 77测试结果展示 79图 78拟态蜜罐架构图1 81图 79拟态蜜罐架构图2 82表目 录表 1蜜罐技术发展期 2表 2产品型蜜罐和研究型蜜罐的优缺点对比 5表 3不同交互度蜜罐对比 6表 4各企

10、业到场测试产品情况 18表 5蜜罐类产品测试项目表 22表 6服务伪装能力组 38表 7欺骗防御能力组 45表 8风险分析能力组 52表 9风险展示能力组 57表 10蜜罐管理能力组 64表 1蜜罐安全性能力组 70表 12性能测试项 70一、威胁诱捕（蜜罐）技术演变及发展历程随网络攻对抗级，统的单边界御技术发不满足业应对级未知胁的求，蜜技术出现及熟改变这。蜜罐（oepthly）是一种通过工具诱骗攻击者，令安人员得观察攻者行的主动络防技术，应对的是攻或漏洞而是关攻击本身。项技通过欺诱捕打攻击奏，增攻击复度，企业增更多应时间并有可对。从25 Gtr的安技术。要原因括：一是该术是通欺骗或诱骗手段来

11、败或者止攻击的认过程；二可动化部在企业火者点、骗，。目，蜜罐术作常见威胁检及欺防御手，已在。（一）蜜罐技术发展历程从18过虚的操作统和网服务对入侵实施骗。初蜜罐技根据对攻击回应方可以为回应和黑式，前对攻击的所探测和击行为予以足和应，后则是完不予应，。现段，由企业络逐呈现架高复化、安报警息海化的特，给欺防御术即蜜技术模拟对类型、真精度、自化程度方面出了更的要。厂商安全研人员断对蜜技术进优化从而逐形成型蜜罐蜜网、布。为5：表 1 蜜罐技术发展期期期期期期新型防御路蜜罐产品TK 发布Spizer 提出网技术；分布概念被引入蜜技术的发展扩展并应用工业控制系等多个领域基于新型攻方式和威胁势，结合新技术创

12、新蜜技术198-17年1998 年199-203 年20-2020 年200 年-今源reeuf 询从罐技术署层看，罐的模能力经从终系统拟发到应用模拟，备了高的交能力产品部形态则实体部署变了实体虚拟署两种态，署形式以探针向。（二）蜜罐关键技术演变盖3 、。其，网络骗是罐技体系中核心术，将本假、非实的、有价值信息装成看真实有价值信息，而。在Aoe on te oe of eceton in Ifratin roecon1Cen作量因为他无法轻预测些攻击为会功，哪会失败；二欺允许防者追踪击者种种入尝试在攻击找到防御者真实漏之前进响应；三是欺消耗攻者资源；四欺骗对击者的能水平出了高要求；五欺增加了击

13、者的不。由于蜜罐是通过欺骗将攻击者引入诱捕环境从而实现主动防御因此我可以根欺骗实施时，将络欺骗术分为击。攻前欺骗要通仿真境的构来实。传统蜜罐般提单维的真，仿对象括特定主机服务、用环境其中境仿真术主要括软仿真技、容仿真技、虚拟仿：；.虚机仿真可仿应用件、系软件设备，备高交。蜜本身基仿真术，为了实欺骗捕需要合更对于务的理和威胁认知所以现段的罐更多提供多仿真即在仿技术的础下通过结真实络环境企业业环境定制环仿真配及相数据，通过口重定在蜜罐模拟一个非作服务在与供真实务主相同类和配置主。当捕环境建完，攻者进入真环，为了认系的真性往往对网络量进查探，此在击时欺阶段，要配流量仿技术、络动配置技、重向技术次实现

14、造仿流量、拟正常网络为、使网络态随时改变以检骗。随攻防对升级蜜罐术也在断发，将为动防体：、；合Al；.出拟态特构建动态化技术提升型蜜罐自适应。二、威胁诱捕（蜜罐）产品发展现状（一）蜜罐技术分类蜜技术发到现，已现多种熟的罐工具一套熟的罐系统常由核模块辅助模两部组成：心功能块是骗与监攻击方必需件，具构建真环境捕获攻数据及威胁析等功；辅模块是罐系扩展需，包含统。1按照部署方式分类。产型蜜罐目的于为个企业网络供安全护，括检攻击、止攻击成破及帮助理员攻击做及时正的响等功能一般产型蜜较容易署，不需要理员投大括Khed 具和esaaq。研型蜜罐是专用于黑客攻的捕和分析通过署研型蜜罐对黑客击进追踪和析，够捕获

15、客的攻记录了解到客所使的攻工具及击方，甚至够监听黑客间的交，从而握他的心理态等息。研型蜜罐要。表 2 产品型蜜罐和研究型蜜罐的优缺点对比产品型蜜罐研究型蜜罐优点易部署、易于使用收集更多有价值信息缺点收集信息能力有限维护及使用较复杂目的为企业或组织提供安全防护收集黑客攻击信息并进行分析源：FreBuf询2按照设计标准分类蜜还可按交互的等划分为交互罐、中互度罐。低互蜜罐般仅模拟作系统网络务，较易部且风较小，黑客在交互罐中能进行攻击行有限，此通低交互罐能够集的息也比有限同时由低交互罐是拟蜜罐或多或存在一些容被黑所识别指纹信。中互蜜罐供了多的互信息但还没有提一个实的作系统通过这较高度的交，更杂一些攻击

16、手就可被记录分析。交互罐是对正的作系统种行为模置，。高互蜜罐完全供真的操作统和络服务没有何的拟。从客角度看，交互蜜与真环境完无差别因此高交互罐中，够获许多黑攻击信息。高交互罐在升黑客动自由的同，又加了部和维护复杂度扩大风险。以高交蜜罐般都属研究蜜罐，些年厂提供蜜罐产或方案倾向此，最程度扭转攻不对等局。表 3 不同交互度蜜罐对比低交互蜜罐中交互蜜罐高交互蜜罐功能仅模拟简单的作系统和服务模拟较为复杂系统服务模拟真实的系统境，为攻击者提供受限的访问权限捕获信息量少一般丰富部署难易度简单中等复杂攻击者识别度易一般困难安全风险低较低较高源reeuf 询（二）蜜罐技术部署形态在罐工具件与键机随着安威胁化而

17、不得到展的时，如有效将不类型蜜技术在共互网或大模业务络中进部署，扩大全威胁监测围并提监测能，成为了蜜罐技术研究的一个重要关注点。世界蜜网项目组织（he oenet rect）是信息安全领域一个著名的全球性非盈利研究联盟机构，19年由著名信息安全专家ance izer 发起创建，并在蜜罐基础上提出蜜网（oenet、蜜场（oefarm）和蜜标oetk罐。1.蜜网蜜是在蜜技术逐步展起来一个的概念有时称假业系统，用其中部分机吸引击者侵，通监测入过程一方面集攻击的攻行为，一方可以更相应的全。图 1 蜜网基本体系结构源reeuf 询蜜主要是种研型的交互蜜技术由于蜜涉及多个罐之间网络体架构计，同为了高高交性

18、，又存在些真实业务逻，因，蜜网设计对蜜罐说要复得多蜜网设有着三核心求：即络控制行为捕和行分析通网络控能够确攻击不能利蜜网害正常务系统的全；行捕获技能够测并审攻击的所有为数据而行分析技则帮助全研人员从获的据中分出攻击的。2.蜜场蜜是通过理方扩展饵节点署范的蜜罐统形。在场中，于实现实物备的管维护数据集分析，饵环和监控块往往集中一个固的节或网络，而轻级的理部署任意网节点，将网攻击定向至饵环境从而少真实饵节点署数，降低统实成本和维难度蜜场要对代节点处网络量进行别和发，同兼顾通的。图 2 蜜场技术概念图源国息信究院如图2 所示，在场体系构中，蜜系统都集中署于一个控的欺网络环中，由全专家负责维、管与威胁数

19、据析。而业务网中仅仅署一轻量级重定器，不明身访问的络流量者通过侵防系统等备检出的已知网攻击会重向迁移蜜场环中，由罐系统攻击源进。3.蜜标蜜是一种殊的罐诱，它不任何主机节，而一种标记的字实体它被义为不于常生产目的任何储资，例如本文件电子件消息数据记录。标必须特。图 3 蜜标部署原源国息信究院蜜具有极的灵性，以在攻过程任意环中作诱饵探针，用虚假账户内容进逐步导，并别细粒的在于以轻量地独立用，可以以针的式与蜜搭配部。目由于对标缺乏效的视和控手段搭配部形式更常见即作为他蜜罐态中饵内容补充辅助捕特定的击。三、国内威胁诱捕（蜜罐）产品市场应用现状（一）威胁诱捕（蜜罐）产品国内部署现状 1.企业选择部署威胁

20、诱捕（蜜罐）产品情况源：FreBuf询据研据理图 4 企业是否选择部署威胁诱捕（蜜罐）产品调果看对诱蜜）的，有5%有6。2.已部署蜜罐产品的行业分布根据调研数据，已部署威胁诱捕（蜜罐）产品的企业中，7%全、促和推动家关键息基设施安防护作，欺防御技已成蓝军对的利器一，业对于胁诱（蜜罐产品的用。源reeuf 询据研据理图 5 已部署威胁诱捕（蜜罐）产品的行业分布（二）威胁诱捕（蜜罐）产品能力应用现状 1.企业部署威胁诱捕（蜜罐）产品的主要目源reeuf 询据研据理图 6 企业部署蜜罐产品的主要目的根据调研结果，4%的企业需要蜜罐产品“提升内网风险及时感能，外“提攻防练行中的溯反制力”“与。2.企业

21、希望涵盖哪些业务类型的威胁诱（蜜罐产品源reeuf 询据研据理图 7 企业希望蜜罐产品覆盖的业务类型根调研结，大分企希望威诱捕蜜罐）品覆更多业务类型7%的受访者希望包括操作系统服务、b 网站、业。3.企业最关心威胁诱（蜜罐产品溯源获取的哪些信息源reeuf 询据研据理图 8 企业关注的蜜罐产品溯源信息术，当守方占了先机就要据攻击所表出的行特征采反制施，因需要完记录击方的作行，便于守方安人员行分析判断其击意和下步划。防守方集到足多攻者信息，能够助基信息库攻击进行追和溯源这。调结果显，企最关的蜜罐源信包括四面，击者IP实IP理I为份信息QQ、微信、爱奇艺等、攻击者浏览器指纹、设备基础信。4.企业希

22、望蜜罐产品满足哪些部署方式源：FreBuf询据研据理图 9 企业希望蜜罐产品满足的部署方式随企业业环境化，云趋势强，业对蜜产品部%，有2。（三）威胁诱捕（蜜罐）产品应用评价 1.已部署的蜜罐产品效果是否已达到预源：FreBuf询据研据理图 10 蜜罐产品效果是否达到预期调研结果显示，4%的受访对象认为蜜罐产品效果符合预期效有2有4有。2.已部署的蜜罐产品在攻防演练中作用如何源：FreBuf询据研据理图 1 蜜罐产品在攻防演练中的效果越越多的业应蜜罐品作为军利，在攻演练采。对于蜜罐产品在攻防演练中的效果，调研结果显示，7%的企业认有5力。3.蜜罐产品在后续开发中应该增强哪些能力源reeuf 询据

23、研据理图 12 蜜罐产品需增强的能力随网络安日常护意的增强网络防演练常态展开知己知成为了络安攻防的大核需求。明确对重要这一前下，企越发重由被防御变为主防御。研2入。4.企业对于现阶段蜜罐产品使用不满意度源reeuf 询据研据理图 13 企业对蜜罐产品不满意调查根据调研，9%的企业用户对现阶段蜜罐产品不满意的问题主署。四、蜜罐类产品测试情况综述（一）测试基本情况本次罐类先进络安全能验证评估作在信通院全所网于21年03月09于21 年5月1。各参企业提供受测产品量不同，表4 所示普遍为一台两台。台设备与测的通常中一设备作探针，外一设备作安全分和展系统。与测的产品部分采标准U或2U。因报参加本期罐类

24、产品试的企业多且测试时有限，本测试采多个企产品行测试且每企业测总时长超。表 4 各企业到场测试产品情况称称数北京永信至诚科技股份有限公司永信至诚2北京长亭科技有限公司长亭科技1烽台科技（北京）有限公司烽台科技1杭州默安科技有限公司默安科技1北京经纬信安科技有限公司经纬信安1北京知道创宇信息技术股份有限公司知道创宇1北京元支点信息安全技术有限公司元支点1中国科学院信息工程研究所信工所1江苏君立华域信息安全技术股份有限公司君立华域1北京天融信网络安全技术有限公司天融信1北京安天网络安全技术有限公司北京安天2广州锦行网络科技有限公司广州锦行2上海观安信息技术股份有限公司上海观安1杭州安恒信息技术股份

25、有限公司杭州安恒1广州非凡信息安全技术有限公司广州非凡2北京网御星云信息技术有限公司网御星云1北京启明星辰信息安全技术有限公司启明星辰1上海沪景信息科技有限公司上海沪景1杭州天谷信息科技有限公司杭州天谷1紫金山实验室紫金山1北京鸿腾智能科技有限公司北京鸿腾1网神信息技术（北京）股份有限公司网神信息1北京吉沃科技有限公司北京吉沃1山东云天安全技术有限公司山东云天1北京智仁智信安全技术有限公司智信安全1江苏天翼安全技术有限公司江苏天翼1北京安域领创科技有限公司安域领创1北京神州绿盟科技有限公司神州绿盟1腾讯云计算（北京）有限公司腾讯云1杭州智航云安全技术有限公司智航云安全1北京四海图宇科技有限公司

26、四海图宇1恒安嘉新（北京）科技有限公司恒安嘉新1北京微步在线科技有限公司微步在线1上海斗象信息科技有限公司斗象科技2源中信通研院（二）测试环境介绍图 14 测试网络拓扑源中信通研院蜜罐产品以普电子终端备的形态署在需要感的网段内用于感内部网攻击告警内受害机；对网威胁控胁。蜜类产品能够捕攻击的攻击为、击工具深入分攻。本次测试环境备了相关恶意代码本包，用于持此功能的受测产品对恶意代码样本的分析。此外，通过部署IIA erfcttrE 击品属交互性高的行分析产品，以流发生器作为辅测。图4所置1180段IP口IP以的IP果应屏理IP确内为。源中信通研院图 15 测试现场（三）测试方法说明本次试包括产功能

27、测试性能测试产品自身安测试。求，、威行为的击链标、日审计等。对足测试容的部进行图和说，证明产品该测试的满程度。在能测试方，蜜罐欺防御系应该到的性指标出推定例如产品的荷量、别威胁检测率、可别的本库等。在身安全测方面，对蜜罐骗防御统自安全和护能提出的种。本次试对于结的评价，括不支持基本支持、持较好。本次试对于结的评价，针对到场试的产品的号、版。（四）测试内容简介蜜罐产品技术试方案中涉及二十大项、五十个功能。表 5 蜜罐类产品测试项目表测试大项测试小项功能测试服务伪装功能总体要求网络服务仿真操作系统仿真数据库仿真Web应用仿真欺骗防御功能伪装欺骗功能捕获监测功能威胁情报产出功能威胁行为攻击链标记风险

28、分析功能入侵实时分析攻击关联分析关联威胁情报样本信息展示攻击维度分析攻击事件分析攻击分析模型风险展示功能蜜网监控分析攻击事件分析诱捕态势感知蜜罐管理功能节点信息节点操作镜像管理场景模板管理蜜饵管理流量重定向漏洞管理自定义拓扑图节点拓补自动生成联动功能时间校准机构管理安全性测试安全管理安全角色管理远程保密传输可信管理主机系统可用性监测用户标识与鉴别用户标识身份鉴别响应处理告警事件记录性能测试设备预警安全事件与安全事件发生的时间间隔安全事件的识别速度单台设备至少支持同时开启的高交互蜜罐数量蜜罐场景启动及切换设备可识别的木马家族数量攻击事件留存时间及导出捕获行为数量页面响应速度内置检测规则内置威胁情

29、报内置IP库内置漏洞模板源中信通研院五、蜜罐类产品测试结果总体分析（一）交互模式支持度较为全面通过试结果发，几乎全受测产品能很好地支不同的交类型。次测试案对测产品行了互类型持能力总体求进行测试，试包的受测品应支持高互、低互。图 16 某蜜罐产品功能界面源中信通研院源中信通研院图 17 受测产品交互种类支持情况图7罐则34低交蜜罐仅模拟操系统网络服，较易部署风险较，但客在低互蜜罐能够行的攻活动有限，此通过交互罐能够集的信也比有限。高交蜜罐能提供完真。因在高交蜜罐中我们够获得多黑攻击的息，往偏向攻击手研究型瓜更向于高互的罐部署式。此，互然能提供更的交互息，仍然不提供个真实操作系。而中交互低交互功能

30、界不易分，次测试对中交型，但本次测结果总来看国内蜜类产在不同互种类支持较为全，为蜜在不的部署求和景中提了较为活。（二）威胁情报的赋能有待加强和完善通过试结果发，仅有数受测的罐产品能实现与威胁情进行联，多数品不备此功或实程度不高。次测试方中，针威胁情在蜜中的应主要含两个面，一面是测产品于捕获集的关数据出形威胁情的能力包但限本5IP域形的C息。方，验受测产是否支内置威胁情，并够对捕样本展详细威胁情关联信，包关联文名、联文件哈希、联文件型、关文件家信息关联文最后传时间关联类信。图 18 某蜜罐产品功能界面源中信通研院源中信通研院图 19 受测产品威胁情报产出功能支持情况源中信通研院图 20 受测产品

31、关联威胁情况功能支持情况图9图2034持有91持支持率比较低，不支持此功能的产品达到0 款，占比52%；能够完全支持关联威胁情报功能的产品7 款，仅占全部受测产品的 29。于T证知，包括境、机、指、推论可行议，这知识可威2手段一，如对收集威胁报进行掘和析，进步了解击数中不同息间的系，而搞清击者攻击方和意图是蜜类产品展不可缺的环。因，威情报在罐中的用。（三）产品自身管理能力总体较好通过试结果发，绝大部受测产品产品自身安方面支持好。在全管理，备安全色管理远程密传输可信理主机系统可性监等功能。在户标识鉴别方面，具备限划分功能划与角划分等能。在应处理面，备。图 21 某蜜罐产品功能界面源中信通研院通过

32、试结果发，绝大分产品具完善的自管理能力。如图22 至图24 所示其中大分产品安全管、用户识与鉴。源中信通研院图 22 产品自身管理功能结果比例图源中信通研院图 23 产品用户标识与鉴别功能结果比例图源中信通研院图 24 产品响应处理功能结果比例图（四）蜜罐研发团队需加强人才投入况，我对受测业在不露个基本隐信息前提下进行了品研团队成的简历总和计，包但不于产品构师、品。图 25 企业研发团队情况分源中信通研院总34对为0为1绝到10为67 历构中。本学历占大部，有5 家业投入博士人，占比4。尽管个产品的发能力取于研发团的综合素质水平，不以学历定论，研发队的学在一程度上表着一产品研发厚和深度因此如何

33、科有效组建和理一支品研团队、用科学效的段提高队积性和创性，从提升罐产品整体技水平竞争力是需各企业断摸索一。六、蜜罐类产品测试结果功能维度分析（一）服务伪装功能测试结果分 1.本节概述蜜类产最核心的能，就是模拟常实际产环境中主要产、端、服务甚至构一个模网络运环境伪装成真的息系统这样就以引黑客进攻击，而可以攻击行为行捕获分析。当网络空安全对中，击方的法和手展，才不断应攻击者行为混淆攻目标滞后攻威胁，一。本次试中，从体要求、络服务仿、操作系统真、数Wb产品行了逐地验证其中，总要求是蜜罐类品是否够支持、低交进行验。另从网服务仿、操作统仿、数据仿b 应仿等个见度产进服伪功能的证。高服务仿的试要求，验证测

34、试品支持类P义btoP 义P。本项试内容旨从不同的务伪装类和能力上，受测产品行分析汇总，究当国内蜜类产在服务装能力的。2.测试结果情况真本次试除对于同交互类支持的“总体求”外，求受于IS、 NP。在34为 77中SH和TNT持全支持的为25 款产品，占比73%，仍有9 款产品在各类网络服务。源中信通研院图 26 某蜜罐产品功能界面图真该项测试要求受测产品需支持操作系统仿真，包含但不限于etS。从测试果来看，该试项有26 款产品全支持，占34 款产的74外7 统有1 产品全不支操作系仿真从做操统支程度来，在部支持的产品中，绝大部分不支持的类型为s 操作系统，而 etS。源中信通研院图 27 某蜜

35、罐产品功能界面图真该项试要求受产品需支对常见数库系统的仿，包括限于eiLLraceooecaced、 araogrL。有24真功能，占34 款产品的79%。此外支持三种数据库类别的为4 款产，支持种数据类别为两款品，支持1 种据库类别为4 。源中信通研院图 28 某蜜罐产品功能界面图b真见Wb括、 abAprsJcatolaliocrS。有15的b用真能占34 产的4%仅支十下b应为0比24。源中信通研院图 29 某蜜罐产品功能界面图真该项试要求受产品需支各类高级务的仿真，括但不限于源P 协议真、自义bton、P 等）务、义P装能罐。有12真占34的59为3比32，为9比24。源中信通研院图

36、30 某蜜罐产品功能界面图3.服务伪装能力维度排名（前十）从服伪装功能体支持情来看，完支持和支持好的产为23的8真的体支持相对较，但“高服务仿”的试结果持率相。图 31 服务伪装功能支持情源中信通研院对34针。源中信通研院图 32 服务伪装功能测试结果图表 6 服务伪装能力组厂家产品型号版本北京智仁智信安全技术有限公司魔境网络安全预警系统7000NSAV10杭州默安科技有限公司幻阵高级威胁检测系统MorSe-HV283北京吉沃科技有限公司智能仿真与诱捕防御系统DeoProV20烽台科技（北京）有限公司灯塔安全威胁诱捕审计系统S-TSSV10广州非凡信息安全技术有限公司幻影-攻击诱捕与威胁检测系

37、统opotV10恒安嘉新（北京）科技有限公司金甲-全息诱捕威胁分析平台DeetionShellS5V20上海沪景信息科技有限公司网络威胁诱捕系统ANT220V10北京神州绿盟科技有限公司绿盟科技高级威胁狩猎ED-ANX3-D000V50北京安天网络安全技术有限公司捕风蜜罐系统V3.0AS-PT1000V3330广州锦行网络科技有限公司幻云-欺骗防御与本地威胁情报平台JES-YS0518V25源中信通研院（二）欺骗防御功能测试结果分析1本节概述大量究表明，络攻击之通常伴有查阶段。有究指出 7攻活前在查3网攻弈攻方一般是通过网络侦获取定的可信息进而决下一步攻击作。欺防御正在这环节中通过扰攻击的认知

38、促使采取有于防御的行。与传安全术相比网络欺不是眼于攻特征而攻击本身，个功可以扭攻击者防。本次试中，对参测的蜜类产品在骗防御的相功能上进测试和证。测的方包括伪欺骗捕获监、情报出。2测试结果情况骗伪装骗功能主验证发现登录、动变更端口服、攻击I6 饵预类型、洞预设型等个方面受测罐类产上的支情。基于测试项有高的用例量和测试度，因此从试结果持占34的5大部产品都支持部测试，其中持较的和基支持的为16比91品。”，刷访问日。该测项希能够验蜜罐产品能在完善服务装功能，最大模拟实环境包括拟真实境下的务，。图 33 某蜜罐产品功能界面源中信通研院测捕获测功能主验证蜜罐主机行为测、网络行监测、。总体说该测试测试结

39、果支持情况好，虽然仅有5 款产占34的4较好支持测试要求，共计20 款，占比58%。此外，基本支持测试为9比24品。图 34 某蜜罐产品功能界面源中信通研院出该测项主要验受测蜜罐否支持针产品收集到数据产本5IP的C。受测产品中，完全支持此测试项的为12 款，占受测产品的39，支持产品为1款基本持的品为10 款占比共为16为1 测报库建设和关功能比较善，而与测的部分品或企属。源中信通研院图 35 某蜜罐产品功能界面图记该测项主要验受测蜜罐否支持按攻击者攻击时间展者I者I胁P目。受测产品中，完全支持此测试项的为12款，占受测产品的39为9品比24为6的7 。是ilan和K5。各企业在T 网络攻击对

40、抗不断深入的大背景下应续完善品能力在网安全防与应响应工中起到际。图 36 某蜜罐产品功能界面源中信通研院图 37 某蜜罐产品功能界面源中信通研院3欺骗防御能力维度排名（前十）看为1，支持好的产为19 款，本支持产品为14 款。测试项，伪欺骗和获监测欺骗御的基能力各个测产品表良好而情报出和攻链标的辅助能，试结果对偏低平为5至6。图 38 欺骗防御功能支持情源中信通研院对34针。源中信通研院图 39 欺骗防御功能测试结果图表 7 欺骗防御能力组厂家产品型号版本北京神州绿盟科技限公司绿盟科技高级威胁狩猎ED-TNX3-1000V50北京长亭科技有限司长亭谛听（D-Sensor）内网胁感应系统DS40

41、-5 0DS-4- 210001广州非凡信息安全技术有限公司幻影-攻击诱捕与威胁检测系统potV10杭州智航云安全技术有限公司智航蜜网ZW-S-PV31上海观安信息技术股份有限公司魅影威胁监测系统V2广州锦行网络科技有限公司幻云-欺骗防御与本地威胁情报平台JES-YS0518V25北京智仁智信安全技术有限公司魔境网络安全预警系统7000NSAV1.0杭州默安科技有限公司幻阵高级威胁检测系统MoeSe-HV283北京元支点信息安全技术有限公司有影攻击诱捕系统YZ-D-01V3杭州安恒信息技术股份有限公司明鉴迷网系统DASPT-300V209源中信通研院（三）风险分析功能测试结果分析1.本节概述蜜

42、类产的主要作是针对攻的检测、获、分析、证以预警等其中，析取在研究击的征和发趋势上到关性作用只有当捕获攻击对从攻手段、击目的攻击本、攻源等多面进风险的联分，才能配合安部。本次试中，对参测的蜜类产品在险分析的相功能上进测试和证。测的方包括入实时析、攻关联分、关威胁情、样本息展、攻击度分和攻击件分析功。2.测试结果情况析入侵时分析功主要验证罐是否支威胁或入侵实时分析断，并以持续踪攻后续行，发入侵主的黑客攻。从测结果来看该测试项大部分产测试结果较，完全达29的82余5。源中信通研院图 40 某蜜罐产品功能界面图析攻击联分析功主要验证罐产品是支持对攻击进行关。从测结果来看受测产品于该项测的结果支持相对较

43、好，其中27 款完全满足测试要求，占全部测试产品的91%。其余7。图 41 某蜜罐产品功能界面源中信通研院报关联胁情报功主要验证罐是否内了威胁情报，是否能分析展样本的细关文件情，包关联文名、关文哈希、联文件型、关文件族信息关联件最后传时。从测结果来看该测试项上一节“情报出”功能测试结一致，持率普不高其中完支持受测产仅有7 款，占全部受测产品的09%，不支持测试要求的产品为20 款，占比 5余7 。源中信通研院图 42 某蜜罐产品功能界面图示样本息展示功主要验证罐是否能分析展示样的基本息威级本文型、5编、加壳息等；否能够持对本的动分析分析结包括但限。持占34产的5819比58产为9 为4 。源中

44、信通研院图 43 某蜜罐产品功能界面图析攻击维度分析功能主要验证蜜罐是否支持展示攻击者指纹信。从测结果来看该测试项支持率总较高，其中全支持测试要求的产品为0 款，占全部受测产品的82%。其余产品均。源中信通研院图 44 某蜜罐产品功能界面图析攻击件分析功主要验证罐产品是支持从事件度，以源I、。此从试结果来，该测试全部受测品均可支持其中，有4的799为1 。源中信通研院图 45 某蜜罐产品功能界面图3.风险分析能力维度排名（前十）看有1款但绝大分产品是支较好和本支。未现不支测试。图 46 风险分析功能支持情源中信通研院对34针。源中信通研院图 47 风险分析功能测试结果图表 8 风险分析能力组厂

45、家产品型号版本北京神州绿盟科技有限公司绿盟科技高级威胁狩猎ED-ANX3HD100V50广州非凡信息安全技术有限公司幻影-攻击诱捕与威胁检测系统opotV10杭州智航云安全技术有限公司智航蜜网ZW-S-PV31杭州安恒信息技术股份有限公司明鉴迷网系统DASPT-300V209烽台科技（北京）有限公司灯塔安全威胁诱捕审计系统S-TSSV10杭州默安科技有限公司幻阵高级威胁检测系统MorSe-HV283北京长亭科技有限公司长亭谛听（D-Sensor）网威胁感应系统DS-4-50DS-0- 210001北京天融信网络安全技术有限司天融信潜听威胁发现系统TopPV3上海观安信息技术股份有限公司魅影威胁

46、监测系统V2北京安天网络安全技术有限公司捕风蜜罐系统V3.0AS-PT1000V3330源中信通研院（四）风险展示功能测试结果分析 1.本节概述本次试中，对参测蜜罐产品的风展示功能进测试和验。测试方向包蜜罐控分析攻击件分析诱捕态感。2.测试结果情况析蜜罐控分析功主要验证罐产品是支持监控数展示功能以图形和结构方式示蜜罐控数，并以间、入事源I标I。从测结果来看受测产品该项的测结果整体较。其中 28的83有1品。图 48 某蜜罐产品功能界面源中信通研院析攻击件分析功主要验证罐产品是支持攻击事分析以及据统计示。包但不于攻击法收、网络警防御入侵击取证示等功。能包含但限于指定的击事件据进汇总统，生成击事报

47、告，告内包含进树、控台。有13占 34的32416，有1 。源中信通研院图 49 某蜜罐产品功能界面图知诱捕势感知功主要验证罐产品是支持诱捕态大屏展示包含但限于体各类罐在业拓扑部署的置、最攻击警、蜜类型分、攻源热力、攻事件分、蜜罐出。项7 占34的 29106余1产比25。源中信通研院图 50 某蜜罐产品功能界面图3.风险展示能力维度排名（前十）从风展示功能体支持情来看，完支持和支持好的产品为23 款约全部试产的6%。本持的品为1款，。图 51 风险展示功能支持情源中信通研院对34针。源中信通研院图 52 风险展示功能测试情况表 9 风险展示能力组厂家产品型号版本杭州智航云安全技术有限公司智航

48、蜜网ZW-S-PV31北京神州绿盟科技有限公司绿盟科技高级威胁狩猎ED-ANX3HD100V50杭州安恒信息技术股份有限公司明鉴迷网系统DASPT-300V209杭州默安科技有限公司幻阵高级威胁检测系统MorSe-HV283上海观安信息技术股份有限公司魅影威胁监测系统V2北京永信至诚科技股份有限公司春秋云阵蜜罐系统EYZ-AV20北京四海图宇科技限公司天池蜜罐FTS-TA 680FTS-TA- 680V1.0北京吉沃科技有限公司智能仿真与诱捕防御系统DeoProV20江苏天翼安全技术有限公司幻视入侵感知与威胁溯源系统h-eor800V293山东云天安全技术有限公司昊天工控蜜罐系（工业仿真影子蜜

49、网形态）T-S-N系列20源中信通研院（五）蜜罐管理功能测试结果分析 1.本节概述本次试中，对参测的蜜类产品在理功能上进测试和验。测试方向包蜜罐点信息节点作、镜管理和景。2.测试结果情况作节点息和节点作功能主验证蜜罐品是否持展示已部相括罐罐I罐镜像、部署区域、受攻击次数、状态、U、内存和磁盘利用情等验证是支持对部署运行状下的蜜罐节进行操，包。有18品占34的595， 1。源中信通研院图 53 某蜜罐产品功能界面图理镜像理和场景板管理功主要验证罐产品是否持蜜罐镜的管理包含但限于持导入删除查看镜详情、署蜜节点等能；验是否持场景板的理，包但不限支持定义场模板、照场模板批部署罐、删场景模等。有1占34

50、 款产品的35%，支持较好的产品为7 款，基本支持的产品为10余6 。源中信通研院图 54 某蜜罐产品功能界面图理蜜饵理和漏洞理功能主验证蜜罐品是否支持文件蜜itb辑等能；验是否支漏洞理，包但不于导入删除、看 。从测结果来看该测试项有6 款产完全支持试要求，占34 款产品的15%，支持较好的产品为5 款，基本支持的产品为15余8 。图 55 某蜜罐产品功能界面源中信通研院能拓扑能主要验蜜罐是否持自定义捕拓扑绘制并支持在屏展示另一方验证否支持动生蜜罐节拓扑，观发get。有1占34的33为7余4。源中信通研院图 56 某蜜罐产品功能界面图能本次试中，对蜜罐的管功能进行测试验证，括但不限联动功、时间

51、准、构管理。其，联动能是指三过G 持与火墙联，完成络阻；时间准功要求受产品支系过P方校时间；构管理求受产品应持使单位的织机构管理可访问构管理面、过机构划诱节点、罐主机区。从测结果来看该测试项有5 款产完全支持试要求，占34的17为9为9余1。图 57 某蜜罐产品功能界面源中信通研院图 58 某蜜罐产品功能界面源中信通研院源中信通研院图 59 某蜜罐产品功能界面图3蜜罐管理能力维度排名（前十）从蜜管理功能体支持情来看，虽没有完全支测试要为19，为15。图 60 蜜罐管理功能支持情源中信通研院对34针。源中信通研院图 61 蜜罐管理功能测试情况表 10 蜜罐管理能力组厂家产品型号版本杭州智航云安全

52、技有限公司智航蜜网ZW-S-PV31北京神州绿盟科技有限公司绿盟科技高级威胁狩猎ED-ANX3HD100V50杭州安恒信息技术股份有限公司明鉴迷网系统DASPT-300V209广州非凡信息安全技术有限公司幻影-攻击诱捕与威胁检测系统potV10烽台科技（北京）有限公司灯塔安全威胁诱捕审计系统S-TSSV10北京长亭科技有限司长亭谛（D-Sensor内威胁感应系统DS-4-50DS-4- 210001北京四海图宇科技限公司天池蜜罐FTS-TA 680FTS-TA- 680V1.0北京元支点信息安全技术有限公司有影攻击诱捕系统YZDD-01V3北京吉沃科技有限公司智能仿真与诱捕防御系统DeoPro

53、V20杭州默安科技有限公司幻阵高级威胁检测系统MorSe-HV283源中信通研院（六）安全性功能测试结果分 1.本节概述本次试中，对参测的蜜类产品在全性的相关能上进行试和验。测试要包安全管能力用户标与鉴别响。2.测试结果情况理安全理功能主验证蜜罐品是否具与安全管理关的功能包括安角色管、远保密传、可管理主、系统用。有21品占4的677 ，其余6 款品为基支持，发现支持此试要的产品从总体看，国的安全业在全管理基础力上已具备一的。图 62 安全管理能力支持情源中信通研院图 63 某蜜罐产品功能界面别源中信通研院用户识与鉴别能主要验蜜罐产品管理员属性权限、唯标识等能设置否完；用户份鉴能力、据查阅改。从

54、测试果来看，有3 款产品全支持测试求，占34 款产的3225 在 4比。源中信通研院图 64 用户标识与鉴别支持情况图 65 某蜜罐产品功能界面源中信通研院理响应理功能主验证蜜罐品告警信的丰富性和警配置。从测试果来看，有3 款产品全支持测试求，占34 款产的66%9 产为持，余2 产完不该功比8。图 66 响应处理能力支持情源中信通研院图 67 某蜜罐产品功能界面源中信通研院3.蜜罐安全性维度排名（前十）从蜜罐安全性相关功能的总体支持情况来看，完全支持的为9为23的6本为1。源中信通研院图 68 安全性功能测试支持情况对34针品图69所。图 69 安全性功能测试情源中信通研院表 11 蜜罐安全

55、性能力组厂家产品型号版本北京神州绿盟科技有限公司绿盟科技高级威胁狩猎ED-ANX3-D100V50北京智仁智信安全技术有限公司魔境网络安全预警系统7000NSAV10北京长亭科技有限公司长亭谛（D-Sensor内网威胁感应系统DS-4-50DS-4-210101杭州智航云安全技术有限公司智航蜜网ZW-S-PV31杭州安恒信息技术股份有限公司明鉴迷网系统DASPT-3000V209山东云天安全技术有限公司昊天工控蜜罐系（工业仿真影子蜜网形态）T-S-N 系列20北京鸿腾智能科技有限公司360攻击欺骗防御系统NTP100-SV201北京四海图宇科技有限公司天池蜜罐FTS-TA 680FTS-TA-

56、680V10上海沪景信息科技有限公司网络威胁诱捕系统ANT220V10广州非凡信息安全技术有限公司幻影-攻击诱捕与威胁检测系统opotV10源中信通研院（七）性能测试结果分析本次试中，除蜜罐类产在功能和全性上进测试和验试表12的。表 12 性能测试项序号性能测试项1设备预警安全事件与安全事件发生的时间间隔（秒）2安全事件的识别速度（个/秒）3单台设备至少支持同时开启的高交互蜜罐数量（个）4蜜罐场景启动及切换（秒）5页面响应速度（秒）6捕获行为数量（种）7设备可识别的木马家族数量（个）8内置检测规则（万条）9内置威胁情报（万条）10内置P 库（万条）11内置漏洞模板（条）源中信通研院从蜜的部署目

57、和方式来，蜜罐类品的性能要并非是该产品的键性指。蜜产品并流量点型设，也不载过的访问载。因在本测试中一方从安全件的识速度预警速、蜜罐景切速度和面响速度进测试验；另方面，证蜜罐产品身威胁报的能，比：捕获为数、可识的木马族数、内置测规、内置胁情报内置IP。考虑蜜罐类产的性能并关键性指，各企业参产品在上性能的试项上有着同的规，本蜜罐类品的性测业针所列测项，通各自测试方得出论并留测试记和。从本测试的结来看，因限定测试法，各产品性能测。比如对于蜜罐景启动及换时间的试，部分产自身在蜜内置场”功上做的分成熟内置成熟的景模并包了多个罐节点而另一些产只有单的场模板。导致蜜罐节的场景动和换时间的较差别，此测试果。此

58、外关于威胁报的相关试项中，次测试要求关情报库均为“内置，如“内置IP 库“内置威胁情报库等。根据测，而采用外威胁情”进关联分。目前外部“威情报平”类品“在威胁情中心”的式发展为成熟蜜罐类品作为导、捕和分攻击行的产，既需关联现威胁报以便做出更精准威胁判，同也是威情报产的重手段。此，国蜜罐产品在来的品迭代进中，威胁报的种、数量质量即时性方面应加强情报产、。七、蜜罐类产品部分特色功能验证当网安全威胁不演进、代，击手段层不穷、攻击标多多，别是高持续性击隐性很强在攻防博弈过中，蜜类产为破攻防衡，在逐渐发新的术、适。报通过对内蜜罐产品的市调研，进一步测试验证发现在前国内要的蜜类产品中有一部产品在备传统威诱

59、捕基能力外开拓了具一定特的功能模块，能够通过不同维度的技术能力为最终应用场景带来更多元的安全赋。（一）基于自适应的智能化动态诱捕智信安全在进宽范围部的前提下对大量蜜节点进行诱策略配置是蜜罐产品实过程遇到的个大点，如能够实自动配置、证快速实现量蜜罐点的捕策略置，可显著低蜜罐署过程，以后续蜜诱捕略调整程中的作。北京智仁智信安全技术有限公司的魔境网络安全预警系统（I70 -10）是面向企业内网的横向攻击预警需求开发的一款罐诱捕品。其中自应智能捕技术是产品的个比较有。在罐类产的部环境，静态蜜罐捕策略攻击意图确定性间存在大矛。简单说就蜜罐开的端口服务很大程上并不攻击想要的因为个矛盾存在，罐系一直法摆只能

60、守待的效诱局面以静态蜜罐诱场景面不确定攻击图，这弊病导致错大量诱机会导致诱率低下自适智能诱技术破了传诱捕技以预静态场为基础诱捕路，用确定性抗不确性。全网蜜罐节不预设何静诱捕策，而攻击者为为驱，进诱捕策实时判，实生成具高诱力的诱策略，升。：图 70 智信蜜罐架构源智安全设内部架采用耦合分层结搭建从上到依次可扩蜜罐服资源池智能略编排擎、拟蜜罐点层、络接层。蜜服务资池给能策略排引提供场素材，撑其行诱捕略编排智能略编排擎给罐节点提供诱策略撑，实在蜜罐点上出动态丰富逼真的互场景网络入层是拟蜜罐点层真实网之间媒介层最终完蜜。图 71 智信蜜罐测试界面源智安全：蜜罐；动态智能策略可以保持每个蜜罐的诱捕策略处