一、企业简介

宁波如磐科技有限公司，是一家在工业互联网与物联网安全领域高速增长且已处于领先地位的高科技企业。公司目前已科技赋能政务、电网电力、石油石化、航空航天、烟草、轨道交通、智能制造等不同行业。截至目前，服务客户数十家，重大项目涵盖国企、央企和部委等。包括国家电网、中国石油、中国石化、中国卫通、国家广播电视总局、中国信通院、中国电子标准化研究院、中兴通讯等。

公司长期支撑国家关键信息基础设施风险研判与全国工控安全检查工作，专注于工业信息安全领域的实战攻防对抗与未知威胁检测两大核心方向，团队拥有领先的工业互联网安全研究能力，已挖掘国内外工控系统高危漏洞上千个，多次为西门子、施耐德电气等多家重量级企业发现和修复了安全威胁，并获得公开致谢。是全国信息安全标准化技术委员会成员单位、国家信息安全漏洞库（CNNVD）技术支撑单位、国家工业信息安全漏洞库（CICSVD）技术组成员单位、中国信息通讯研究院-网络安全能力评价工作组成员单位。公司内部全面运行严格的质量管理体系和信息安全管理体系并已于2022年取得ISO9001和ISO27001体系证书。

此外，团队曾参与建设工信部国家级工业互联网漏洞平台等多个国家级和行业级工控安全平台，并多次作为出题者和裁判支持国家级工控安全大赛。

其中如磐科技旗下工控安全实验室（洞见安全实验室）是本公司网络产品安全漏洞研发的核心部门，被评为宁波市重点实验室。长期致力于工控安全攻防技术研究。团队长期对包括数据采集与监控系统（SCADA）、可编程逻辑控制器（PLC）、操作员面板（HMI）、远程终端单元（RTU），工业机器人、工业交换机，工业路由器、组态软件、智能电网设备、设备管理系统、安服监控以及其他设备系统等目标进行漏洞挖掘以及网络安全研究。

目前实验室安全研究人员已挖掘到工业系统0day漏洞1000个以上，挖掘到的漏洞类型包括输入验证、缓冲区错误、路径遍历、授权问题、代码问题、信息泄露、跨站脚本、加密等问题。其中缓冲区错误漏洞占比32%。其中高危漏洞占比60%，中危漏洞占比22%，低危漏洞占比18%。

“洞见安全实验室”还面向国内外工控组态软件进行了专项漏洞挖掘，目前已经覆盖到的国内工控组态软件厂商达到90%，国外厂商70%，挖掘到工业组态软件漏洞300余个，其中60%为高危级别的远程代码执行漏洞，这类漏洞可导致工程师站/操作员站被植入后门进行远程操控等恶意操作。

由于“洞见安全实验室”精湛的漏洞挖掘技术，曾在2021年由奇安信等主办的补天杯破解大赛中荣获一等奖。

二、核心技术介绍

（一）核心技术

如磐科技是目前国内极少数能够对高精尖系统进行工业信息安全检测的企业，也是国内首家深入研究工业系统二进制漏洞自动化挖掘的厂商。公司曾承接多项国家重点保密项目，对核工业、航空航天等高精尖系统进行深入研究，在相关设备上发现大量安全漏洞和外国企业植入的后门系统，为保障国家安全做出了重大贡献。主要核心技术有：

1、工业-物联网系统漏洞自动化挖掘

团队利用自主研发的自动化漏洞挖掘系统，实现包括X86/ARM/MIPS/POWERRPC等主流架构的工业系统与工业软件的漏洞挖掘，通过对工业芯片固件系统的反编译代码进行富豪执行与污点跟踪分析，结合团队长期积累的人工智能技术，可有有效的发现工业系统中存在的包括内存越界、溢出等各种类型的未知安全漏洞。

2、嵌入式系统安全编译器

创新的实现了国内首个嵌入式系统安全编译器，独家超轻量级代码虚拟机保护方案，适用于各种低运算能力设备，支持各种MPU/MCU架构，无缝集成GCC/CLANG/KEIL/IAR等主流物联网系统开发平台、嵌入式开发环境与交叉编译工具链，对源码进行安全编译从而生成受保护的安全固件，强力对抗恶意攻击者对物联网/工控系统固件的逆向破解。

3、终端动态移动目标防御（TMTD）技术

采用创新的“漏洞攻击动态防御”技术与内核安全增强引擎，颠覆了查漏洞打补丁的传统安全防护思路，即使不打补丁，在设备存在已知漏洞和未知漏洞的情况下，也能有效抵御攻击。

4、网络动态移动目标防御（NMTD）技术

基于软件定义网络（SDN）与网络虚拟化技术（NFV）创新的实现了基于网络的移动目标防御体系（Moving Target Defense System）。系统可以自动化的虚拟出数以亿计的仿真系统与设备，将客户的真实业务资产稳藏在海量的虚拟系统之间，并且可以根据攻击者的攻击方式实时动态跳变，实现拟态防御，让攻击者迷失在复杂、不断变化的“迷宫网络”中。

（二）如磐科技核心技术行业竞比

当前国内外漏洞安全研究存在两大技术流派，基于Fuzzing和基于程序分析，在IT侧更适合使用基于Fuzzing（模糊测试），因为目前大量的研究目标是类似WORD/PDF、浏览器等对文件进行格式解析和渲染的程序，采用生成大量格式异常的数据来进行漏洞挖掘。目标程序运行在分析者可控的主机上，分析者可以采用二进制动态插桩或者源代码插桩的方式来获得代码测试覆盖度（有反馈的），也就是灰盒测试的方式挖掘，效率很高，技术也很成熟（比如GOOGLE开源的AFL等）。此外，IT侧的软件代码量和复杂度更高，比如WINDOWS和LINUX操作系统源码在千万行级规模，采用程序分析漏洞挖掘需要消耗大量的计算资源，因此其效率不如Fuzzing效率高。

工业系统除了工业软件，一般为封闭的硬件系统，通常无法将工业系统的固件或者操作系统运行在分析者的研究环境中（CPU架构不同，系统环境不同），因此单纯的基于网络的工控协议模糊测试Fuzzing只能以纯黑盒的方式对目标设备进行测试，因为无法获得代码覆盖反馈，单纯的网络Fuzzing只能测试出一些比较浅显的协议漏洞，无法挖掘到系统深层次的漏洞，而且无法知道漏洞成因。工业系统固件或者软件一般源码规模在数万行到数十万行规模，因此在工业系统领域，采用对固件/操作系统进行动静态程序分析的方式更加合适。

如磐科技在工控安全未知威胁攻防领域具有长期与深度的技术积累，突破了多项技术难关，通过资深的安全专家经验以及与人工智能专家的深度学习和神经网络技术的深度融合，研发出了国内首个针对工业控制系统和工业软件的自动化漏洞挖掘系统，该系统极大提高了安全研究人员的漏洞挖掘效率，在施耐德的RTU设备、摩莎科技工业交换机、以及H3C企业级路由器漏洞挖掘中效果显著，团队安全专家利用该系统短时间内挖掘出数百个高危安全漏洞，累计挖掘工控安全漏洞1000+个，位列国内第一，产出是国内外同行的数十倍。

以工控安全厂商Claroty公司为例，该公司在国际上以挖掘工控漏洞为主要特色，根据公开报道，Claroty截止2021年初已发现的工控漏洞CVE数约70多个。国内工控安全厂商通常每年挖掘到的漏洞数量在20-30个，如磐科技在该领域的产出远超国内外同行。

此外，基于对未知漏洞的挖掘与利用技术能力，团队将相关技术积累沉淀到公司的核心产品中，使得自身安全防护产品的检测和防御能力都大大超出行业其他厂商。

（三）在CICSVD/CNNVD/CNVD的漏洞支撑情况

本团队长期支撑国家关键信息基础设施风险研判与全国工控安全检查工作，专注于工业信息安全领域的实战攻防对抗与未知威胁检测两大核心方向。公司由国内业务安全独角兽企业顶象技术孵化，核心团队均为前顶象技术公司成员。团队里有超过70%安全专家曾来自阿里、绿盟、安天、威努特、360、天融信等知名企业，精通于工业系统安全技术，具有资深行业经验。内部设有业界领先的工控安全实验室-“洞见安全实验室”，拥有国内领先的工业控制系统安全研究能力。

首先，本核心团队任职顶象技术期间，曾为顶象技术取得国家工业信息安全漏洞库优秀支撑单位荣誉称号，根据《2020年工业信息安全漏洞态势年度简报》显示，本技术团队共上报漏洞75个，总积分42790分，排名第一。

2021年共上报漏洞67个，总积分39090分，依然排名榜首。2020年-2021年间，共上报漏洞超过180个。

其次，除了支撑CICSVD国家工业信息安全漏洞库，如磐科技核心技术人员曾代表顶象技术在CNNVD国家信息安全漏洞库崭露头角。2020年上报原创漏洞51个，2021年118个，共计169个。获得国家信息安全漏洞库（CNNVD）一级技术支撑单位。

最后，如磐科技核心技术人员持续在国家信息安全漏洞共享平台贡献了大量原创漏洞和公开漏洞信息，已被收录190多个，漏洞数量在非技术组单位中名列前茅，漏洞研究和挖掘能力受到CNVD充分认可。

近几年，如磐科技核心技术人员不仅在未知威胁检领域取得重大突破，研发出不需要“打补丁”的主机未知威胁防御产品，核心技术也不断参与到国家关键基础设施风险研判工作，提高了国家网络安全防范能力。主要表现有：

1 、2020年团队成员参加全国工业互联网安全技术技能大赛，荣获“突出贡献奖”。

2、因团队核心漏洞扫描技术突出，所支撑的“军工漏洞扫描系统”被中共北京市委军民融合发展委员会办公室颁发第二批“北京市军民融合重点产品”荣誉证书。

3、由于在态势感知、威胁情报、漏洞挖掘等安全服务与监测领域技术突出，入选了国家互联网应急中心浙江分中心第二批“网络安全应急支撑单位”。

4、2022年如磐科技核心产品“攻击诱捕与威胁检测系统V2.0”凭借创新的技术实力及优良的产品性能通过统信操作系统（海光/兆芯处理器）兼容性认证。

（四）重大安全漏洞成果

目前，由如磐科技“洞见安全实验室”挖掘到的重大安全漏洞如下：

1、施耐德PLC系统格式化漏洞

该漏洞可远程格式化PLC设备FLASH存储设备，重启加电后可导致设备操作系统无法启动。该款PLC大量应用于水坝控制系统，如遭网络攻击，将导致水坝所有水闸失控，后果不堪设想。通常拒绝服务类漏洞可导致系统崩溃，一般系统崩溃后通过断电恢复或重启系统后可恢复系统，但此漏洞可物理上破坏PLC设备导致功能损坏。

2、施耐德PLC“超级后门”漏洞

2019年7月实验室在研究施耐德PLC时发现核心组件存在的一个20年之久的漏洞，该漏洞被施耐德电气评估为最高危险等级“超危”级漏洞（CVE-2020-7533）， 该漏洞可以使远程攻击者无需任何权限增加、删除、修改任意PLC系统账号权限（包括管理员），可以添加、删除任意安全访问限制，比如部分区域需要输入特权账号密码才能访问，通过这个疑似后门接口可以将安全区域限制删除，无需任何账号密码即可访问。该漏洞影响了施耐德电气大部分主流PLC系统。

3、西门子工业交换机高危漏洞与后门

团队发现西门子多款工业交换机存在高危漏洞，导致工业交换机被远程控制或导致设备瘫痪，此外还在设备中发现后门逻辑，该后门逻辑为只要用户在发送网络请求时传入一个特定硬编码数据就可以直接绕过系统的权限认证系统，可以无需用户名密码即可对系统进行任意操作。

此外还在西门子的工业组态软件WINCC中发现工程后门密码，该后门密码为一组UUID格式，通过该后门密码，攻击者可以在不知道工程加密密码的情况下打开并修改加密过的工程文件。

4、Modipwn-无法被修复的PLC系统超危漏洞

近期被国外安全团队发现的被命名为“Modipwn”的高危安全漏洞（CVE-2021-22779），可以绕过认证机制，让攻击者完全控制目标设备。该漏洞早在2019年下半年时就已经被洞见安全实验室发现，制作了利用该漏洞对设备进行崩溃攻击和勒索攻击的视频，并向有关部门进行了汇报。由于该漏洞属于施耐德电气工业组态编程软件EcoStructure/UnityPro版本加密机制的设计缺陷，因此厂商只能修复在新版本上位机系统中修复缺陷，但无法修复PLC中的漏洞，直到今天，该漏洞仍可以对施耐德电气下的Modicon系列PLC进行攻击。

5、中石化智能油水井监控模块超危漏洞

“洞见安全实验室”曾在各大油田大量使用的由南大傲拓定制开发的国产自主可控的“智能油水井监控模块”（RTU设备）中发现30多个远程代码执行漏洞，这些漏洞可使攻击者无需任何权限获得RTU设备的root权限并实现反弹shell，导致抽油机被黑客远程控制并实施锁定，使得抽油机无法正常采油，从而给油田造成严重的损失。该漏洞曾经在胜利油田某抽油机井口经过实际测试（已授权），验证了抽油机设备可以被远程控制。

  6、某卫星系统后门与超危漏洞

如磐科技在支持某航空航天领域项目中，曾经在国外进口卫星设备中发现超过100个高危远程代码执行漏洞，并发现了国外厂商故意预留在系统中的后门。该后门存在于厂家维护界面，当输入“正确的售后维护密码”时会正常进入设备的维护参数配置页面，但是当输入一串特殊密码时，系统会提示密码输入错误，但实际会在设备后台静默开启远程网络服务，通过对该网络服务的研究发现，该网络服务实际为远程控制系统，通过这套系统可以对系统进行参数获取、参数修改、系统调试以及植入任意程序等操作，对我国航空航天领域造成严重威胁，此外该系统还存在100多个远程代码之行漏洞，这些漏洞都使攻击者远程控制设备。该项研究成果获得了客户的高度认可，同时也有力的保障了国家安全。

7、火箭摆杆控制系统高危漏洞

在参与某火箭摆杆控制系统安全性测试时，发现火箭摆杆控制系统中使用的超御N系列PLC的组态软件SC-ProView和工业编程软件SC-ProSys存在数个高危漏洞，这些漏洞可以导致火箭摆杆控制系统被远程控制或者系统瘫痪。

8、库卡工业机器人远程控制漏洞

发现KUKA工业机器人存在数个高危漏洞可导致工业机器人机械臂被攻击者远程控制，KUKA工业机器人被广泛应用于智能制造行业中。

9、摩莎科技工业交换机/工业路由器通用型超危漏洞

在MOXA（摩莎科技）的工业交换机、工业路由器上发现上百个高危漏洞，这些漏洞存在于MOXA工业交换机和路由器使用的某个通用组件中，因此这些漏洞波及面极广，几乎覆盖全部型号的工业交换机和路由器。

10、其他高危漏洞

除了以上所列举的一些漏洞，洞见安全实验室还发现其他系统大量高危安全漏洞：

（1）在施耐德某型号RTU设备上发现100多个可导致设备瘫痪的拒绝服务型漏洞；

（2）在H3C多个路由器上发现十余个通用型高危远程代码执行漏洞，攻击者可通过漏洞控制路由器，暴露在互联网上的该系列路由器有20万个；

（3）发现艾默生DeltaV DCS系统存在高危漏洞，可导致DCS被远程控制该系统被我国石油炼化企业广泛使用；

（4）发现浙大中控下DCS系统VisualField系统存在多个高危漏洞，可导致DCS系统被远程控制；

（5）发现研华科技（Advantech）旗下WebAccess产品存在数十个高危漏洞，可导致工程师站和操作员站被远程控制；

如磐高级攻击诱捕与威胁检测系统于政务平台的应用案例

摘要：

近年来，伴随信息化建设加速，我们迈进数字时代——“一切可编程”“万物均互联”，但这也意味着漏洞无处不在、网络安全风险日益加剧。为更好的进行防御保护，网络安全体系建设不再专注于对攻击的被动防御，而是上升至真正的攻防对抗层面——“蜜罐”技术因在网络安全攻防演练及网络安全高对抗性转变中诞生，得以加速普及。

如磐科技于2021年在陕西省某应急管理局的电子政务外网接入端部署了两台如磐高级攻击诱捕与威胁检测系统，通过网络安全主动预警技术，能够有效实现预警攻击者以及蠕虫病毒、木马等通过技术手段对系统进行针对性的攻击行为，可以对攻击行为进行记录和溯源，对被防护网络的攻击、异常事件进行实时预警，也可误导与迷惑攻击者，增加攻击时效，通过使用欺骗或者诱骗手段来挫败或者阻止攻击者的探测过程，从而破坏攻击者的自动攻击行为。

第一部分：案例概述

1、案例背景

2021年末，一款名“Log4j”的漏洞开始在网络中肆虐，超10家世界级互联网企业不幸中招，就连美国安全局也未能幸免。这是近十年来最为严重的一次“安全漏洞”事件。更重要的是，攻击者可借此漏洞在目标区执行任意代码，极有可能使企业核心信息资产在瞬间荡然无存。

近年来，伴随信息化建设加速，我们迈进数字时代——“一切可编程”“万物均互联”，但这也意味着漏洞无处不在、网络安全风险日益加剧。为更好的进行防御保护，网络安全体系建设不再专注于对攻击的被动防御，而是上升至真正的攻防对抗层面——“蜜罐”技术因在网络安全攻防演练及网络安全高对抗性转变中诞生，得以加速普及。相应的研发企业也在快速修炼、迭代，以更好地守护国家网络安全。

蜜罐技术是一种旨在保护网络安全运行的一种“蜜罐”，即诱导攻击的诱饵。它也是一种网络系统，在被保护的网络系统邻近运行，只不过它故意设置了些许系统漏洞，可以转移攻击者的注意力，迷惑攻击者，代替目标网络系统，将可能的攻击转移到蜜罐网络上。而作为诱饵的蜜罐网络本身并无重要信息，攻击行为并没有造成损失，这样就成功地保护了目标网络。蜜罐网络是一个相对封闭的闭环网络，一般不对外进行内容服务。因此，只要有袭击者访问蜜罐网络，都会被认定为是异常的攻击行为。

基于此项，我司于2021年在陕西省某应急管理局的电子政务外网接入端部署了两台如磐高级攻击诱捕与威胁检测系统，通过网络安全主动预警技术，能够有效实现预警攻击者以及蠕虫病毒、木马等通过技术手段对系统进行针对性的攻击行为，可以对攻击行为进行记录和溯源，对被防护网络的攻击、异常事件进行实时预警，也可误导与迷惑攻击者，增加攻击时效，通过使用欺骗或者诱骗手段来挫败或者阻止攻击者的探测过程，从而破坏攻击者的自动攻击行为。

2、痛点问题

2.1 被动防御无法主动出击

随着信息技术的飞速发展与互联网领域的急速扩张，网络中的不安全因素日渐增多，传统意义上的维护措施已经无法满足信息安全的需要，急需尽快提出行之有效的解决办法。目前基于传统的网络安全特征识别技术，只能检测到有限的已知威胁，不能检测0DAY漏洞等未知威胁。传统的安全防护手段如防火墙、入侵检测、安全漏洞扫描、虚拟专用网等都是被动的，它们依赖于对攻击的现有认知，对未知攻击基本没有防护效果。因此本解决方案响应某应急局需求对全市安全业务点进行监控，因在网络上经常遭受攻击，迫使客户急需加强主动防御的能力，从而能够主动监测恶意攻击事件和违规访问行为等。

2.2 来自内部攻击无法防御

由于政府企业等客户的业务系统安装时间不一，中后期又涉及到很多新增设备及系统，同时由于使用人员的不规范操作---与外接设备的混用，导致网络内可能存在由内部植入的攻击病毒。攻击病毒可造成以现有的网络环境为基础进行网内攻击，而部署在边界的传统防御系统未被攻击触发，因此传统防御布局无法在该环境下起到良好的防御作用。当前客户由于布局时间长、涉及人员广泛，因此来自内部的访问攻击也屡出不穷，内网防范及网络监测迫在眉睫。

2.3 攻破边界攻击无法溯源

当攻击方使用一些暴力的、大量的攻击数据对网络造成攻击，企图攻破传统的防御系统，造成网络拥堵及瘫痪时，从而使真实业务资产暴露在环境内。此时的业务系统一是面临着被攻击者发现的危险，另一方面也会导致现有的业务出现中断和难恢复的问题。客户由于网络安全防护不到位，边界防护设备上架后未配置对应的防护策略，因此当遭受攻击后对应的无法溯源和及时响应，该问题成为在攻防演练等内容中的痛点问题。

2.4 未知攻击防御效果一般

随着越来越多的未知威胁攻击的出现，传统安全设备只能不断地更新迭代，融入更多在于“被动防范”上的细节功能。且随着特征库等内容不断更新迭代，同一个产品不断需要升级更新和打补丁来防御暴露出来的漏洞攻击，导致应急局客户的成本在不断的增加，对于未知攻击仍无法起到防御作用，对关键资产无法进行有效的防护。因此增加未知攻击防御与内网安全监控也成为了客户下一阶段的重点工作。

3、解决方案

3.1 迷宫网络千变万化

针对应急局客户现有的问题，我司在核心网络上部署了两台如磐高级攻击诱捕与威胁检测系统，通过在核心网络上部署N+2个虚拟门户站点及蜜饵网络，主动“欺骗”攻击者进行攻击，迷惑攻击者的攻击视线，诱导攻击者进行更深层次的攻击，记录攻击数据并上传对应的告警信息。通过不停变换的诱饵信息，使攻击者无法从蜜饵网络中逃脱，从而让客户可以对攻击进行反溯源，获取更多攻击者信息。通过如磐高级攻击诱捕与威胁检测系统的部署，一方面能够解决应急局客户在面对攻击无法主动出击只能被动防御的痛点问题，另一方面也让客户能够掌握更多的攻击者信息。

3.2 内部监控行为捕捉

由于建设时间久远和人员驳杂，由旧版本的漏洞和移动介质中留存的蠕虫病毒等广泛存在于客户的网络系统内。通过在核心网络内架设的如磐高级攻击诱捕与威胁检测系统，可以针对性的对其进行监测。通过在应急局客户现场部署的两台蜜罐，我司顺利捕获到从内发起的WebDAV攻击和永恒之蓝攻击，及时给客户发出告警通知，全面记录了攻击者的所有操作信息，以便客户之后溯源；同时通过和安全设备联动，把我司在应急局客户现场发现的安全漏洞同步上报给防火墙和杀毒软件，威胁攻击及时有效的被阻断。

3.3 网络行为超敏监控

我司通过在应急局客户的网络中部署了两台如磐高级攻击诱捕与威胁检测系统，发现存在大量的恶意扫描数据和攻击流量数据，通过及时部署了蜜网环境在网络中，增加了黑客发现真实资产的难度，大部分攻击数据被引入蜜罐系统中，从而降低了真实资产被发现的风险。同时把威胁攻击上报给了客户，通过现场梳理和资产审查以及如磐高级攻击诱捕与威胁检测系统生成的报告，发现部分安全产品只进行了加电上架，对应的防护策略并未进行配置，已告知客户发现的问题并告知客户及时整改，该问题得到有效的解决。

3.4 未知威胁动态感知

如磐高级攻击诱捕与威胁检测系统的蜜罐技术，通过诱导攻击的方式，记录各种入侵行为并对其进行分析，通过更深层次的追踪，发现未知的攻击行为和攻击模式，通过对海量攻击数据的统计分析，更进一步地探究攻击者的入侵动机，从而使用有针对性的防御策略。我司针对应急局客户网络现状，在应急局客户核心组网部署蜜网环境，通过对罐内访问攻击的捕获和分析，发现大量未知的访问和攻击，通过和防火墙等设备联动，及时解决了该问题。

4、应用领域

该产品可广泛应用于电网电力、石油石化、轨道交通、烟草、智能制造、金融、政府等行业领域，保护客户的网络资产免遭网络攻击。主要表现如下：
现如今政务办公全面化、多级政府办公环境联动，线上办公是日后高效工作及数据审计的必然趋势。顺应现如今网络办公普遍化的形式，在应急局客户的大数据环境下，如磐高级攻击诱捕与威胁检测系统发现了来自局内部的攻击数据，通过搭建的蜜网环境及时排查出有异常的设备；同时增加海量虚拟蜜罐主机，发现了来自外部的大量攻击数据，通过及时封堵并未对网络造成影响。同时通过在内部网络中长时间的行为审计和分析，如磐高级攻击诱捕与威胁检测系统深挖埋藏很久的挖矿病毒和永恒之蓝攻击病毒，以及大量的未知威胁攻击。通过在客户这边的市场检验，如磐高级攻击诱捕与威胁检测系统在内部异常行为监测、攻击数据审查、未知威胁检测及黑客行为攻击领域都有显著的效果。

第二部分：实际成效及下一步发展计划

如磐高级攻击诱捕与威胁检测系统能够实现有效预警攻击者以及蠕虫病毒、木马等通过技术手段对系统进行针对性的攻击行为，可以对攻击行为进行记录和溯源，对被防护网络的攻击、异常事件进行实时预警，也可误导与迷惑攻击者，增加攻击时效，通过使用欺骗或者诱骗手段来挫败或者阻止攻击者的探测过程，从而破坏攻击者的自动攻击行为。

在应急局客户现场，通过如磐高级攻击诱捕与威胁检测系统发现了大量的恶意访问和黑客攻击，通过部署的蜜网环境，捕获了大量的攻击数据同时反溯源，获取攻击者攻击信息，通过和其他安全设备联动及告警上传，拦截了大量未被传统安全设备发现的攻击数据，使得内部资产受到了有效保护。

蜜罐网络的“欺骗技术”作为新一代的技术在不断升级，黑客们也在不断“升级”。后续我司会在罐内更新更多的漏洞信息，最新的漏洞防最“潮”的黑客，升级克隆的业务系统及增加蜜饵的“甜度”，主动出击把更多未知的威胁拦截在外。

第三部分：创新点及推广价值

1、业务一键克隆

通过内置的业务克隆模块，如磐高级攻击诱捕与威胁检测系统支持在不影响业务运行的情况下自动克隆现有的业务环境，迷惑攻击者进行攻击，从而获取更多的威胁情报和攻击数据。

迷宫网防逃逸

如磐高级攻击诱捕与威胁检测系统可以通过架设多个蜜罐节点网络，不同蜜罐之间的配合使攻击者迷失在蜜罐网络内，使得攻击者无法发现真实资产，攻击的数据永远都是蜜罐数据，大大的保护真实资产被发现的概率。

2、大数据云服务

如磐高级攻击诱捕与威胁检测系统可以在政务云、阿里云等位置部署云蜜罐，通过对罐内数据的分析鉴别出威胁数据和攻击事件，降低网络风险和威胁，保护网内数据的安全，增加政府企业用户资产的安全性，提高在业务处理上的速率。

天使轮 由梅花创投和野草创投投资 1000万。

天使+轮 由红杉中国投资 2000万元。