蜜罐仿真功能
工控服务器蜜罐：通过模拟服务器操作系统信息与文件数据，监测异常文件植入，安装下载异常应该程序等异常行为，实现工控系统网络中蠕虫病毒扩散、口令爆破、Shell 执行等针对服务器的武器构建、载荷投递的攻击线索发现；
工 控 全 能 蜜 罐： 通 过 模 拟 指 定 端 口 服 务， 监 测 端 口 的 TCP/UDP 异常流量，支持 TCP、UDP 数据包的探测响应，实现工控系统网络中会话攻击、扫描探工控业务上位机蜜罐：通过模拟组态软件与下位机交互过程，监测上位机与下位机交互的异常行为与数据文件的异常变化，实现工控系统网络中工业控制器数据读取、影响下位机正常工作行为、异常文件上传等武器构建、载荷投递的攻击线索发现；
工控 PLC 蜜罐：通过模拟设备信息、协议交互、现有漏洞，监测工控 PLC 数据参数变化，设备运行异常的行为，实现工控 PLC 漏洞利用、工控 PLC 数据篡改、病毒植入等漏洞利用，命令与控制的攻击线索发现；
工控数控系统蜜罐：通过模拟指纹信息，运行状态，未修补的漏洞与协议交互功能码，监测数控机床运行参数变化，nc 文件上传下载行为，加工零件参数变化等异常行为，实现数控系统漏洞利用，nc 加工文件篡改等漏洞利用，命令与控制的攻击线索发现；

攻击事件分析
扫描探测：端口扫描、设备信息扫描、漏洞扫描；
提权攻击：SQL 注入、口令爆破、病毒植入、会话攻击；
漏洞攻击：工控 PLC 漏洞利用、数控系统漏洞利用；
代码攻击：Shell 执行、恶意代码执行；
持久化攻击：数据库访问、异常文件上传、NC 文件上传；
数据渗透攻击：工业 PLC 数据读取、工业 PLC 数据篡改、下载行为、加工零件参数变化、功能码交互、监测数控机床运行参数变化。

数据捕获功能
恶意代码捕获：捕获攻击者攻击过程中使用的蠕虫病毒、木马脚本、探测脚本，将脚本存储在恶意代码库中，作为攻击组织分析的重要特征；
原始数据捕获：捕获攻击者攻击过程中的原始日志信息，包含攻击源 IP、攻击端口信息、攻击目的 IP、攻击目的端口信息、攻击者操作系统、攻击者浏览器信息、攻击原始 16 进制报文等信息为后期分析提供数据支撑；
原始流量捕获：记录并保存攻击者与蜜罐交互全部原始流量，为攻击取证保留原始证据；

攻击态势分析
攻击态势：根据攻击事件告警日志，按照时间、事件类型、蜜罐种类、入侵 IP、目标 IP 等进行数据的检索，并根据检索结果展示攻击来源 IP 分布情况、受攻击蜜罐主机以及单个攻击源的攻击趋势，攻击的网络拓扑情况等；
攻击阶段态势：依据基于 ATT&CK 安全框架，按照初始访问、执行、持久化、提升权限、防御绕过、凭据访问、发现、横向移动、收集、命令和控制、数据渗透、影响共 12 个阶段对攻击事件按照攻击阶段的态势分析，提取完整的攻击链路，复原攻击过程。用户可以清晰发现当前网络所处的攻击阶段，为下一步防护提前做好准备；
安全域态势：安全域态势分析功能将告警日志按照安全域划分，用户可以根据攻击事件告警日志按照不同安全域进行数据检索，并根据检索结果展示当前安全域内蜜罐主机受攻击的强度与所处的攻击阶段。