1.核心发现

蜜罐已成为传统安全监测产品的重要互补性技术，两者未来将共存共生驱动更立体化的安全监测防御体系。目前蜜罐主要应用在攻防实战演练场景，利用溯源和反制功能拿分是这类场景中客户的主要需求，但在这些功能上，还没有摆脱对人工的依赖。而且未来一旦驱动因素有所变化，这些功能将不再是普适性需求。对于5G、物联网、工控等传统安全产品应用受限的场景中，蜜罐是很好的能力补充，国内供需两侧均出现了对应的产品设计和项目需求。蜜罐市场规模初现，未来1-2年将进入快速增长期，除了攻防实战演练传统场景外，常态化内网安全监测场景将成为另一类主流场景，并驱动产品功能由威胁猎捕向威胁检测方向演变。

2.市场现状

以下通过产品定位、产品形态、市场驱动力、市场规模与行业增速、主要客户与销售模式5个方面来阐述目前蜜罐产品的市场现状：

2.1产品定位

从技术角度来看，传统安全检测产品主要监测网络中真实IT资产的受攻击情况，在攻击发生时以特征检测为主，对于0day、APT等无特征攻击或非攻击类的网络访问行为识别能力不足，蜜罐则不采用这种被动监听方式，通过模拟多种虚假主机和服务来主动引诱攻击者现身，记录所有对虚假IT资产的访问和入侵行为，实现检测能力的前置和延伸，从而与传统检测技术在一前一后、一虚一实之间形成完美的技术互补。从使用角度来看，蜜罐在伪装部署、攻击分析、溯源反制过程中，还需要很多人工的介入，产品的使用效果很大程度上依赖于使用者的技术水平。因此，蜜罐产品的定位是对现有网络安全体系和能力的拔高升级，并不能替代传统的安全检测产品，购买者除了应具备相对完善的安全体系规划和布局外，还应具备独立、专业的安全管理及运营人员，对于中小型企业和SMB场景来说，蜜罐暂时还不是刚需产品。

2.2产品形态

目前各厂商提供的蜜罐产品绝大多数以软硬一体形态为主，部分厂商可以提供纯软件方案，由客户提供硬件部署环境，极少数厂商可以支持SaaS模式。在攻防演练和内网威胁检测这两类主要的产品应用场景中，软硬一体产品的匹配度最高，SaaS模式不适用于内网威胁检测场景。

2.3市场驱动力

与其它安全产品不同，蜜罐产品目前没有很重的合规属性，市场最大的驱动力还是源自近几年国家层面的大型网络攻防演练，通过布置蜜罐产品改变传统被动防御方式、扭转攻防不对称的局面，已成为攻防演练中的必备手段之一。除了上述事件驱动外，蜜罐也匹配了网络安全法、等保2.0中有关安全监测和预警方面的要求，但这些要求其它安全检测类产品也可以满足，因此目前还没有看到与蜜罐强关联的政策性要求，产品暂时还处于向合规市场逐渐渗透的阶段。

2.4市场规模与行业分布

目前跟踪到-三年间国内涉及蜜罐产品的中标项目数量每年均达到了%以上的增速，其中年是市场起步的元年，年蜜罐细分市场初步形成。在采购行业分布中，项目数量占比前三位的行业分别是：政府（29%）、运营商（16%）、金融（13%），虽然政府行业有关蜜罐的项目数量较多，但产品多在态势感知、安全集成、安全服务类项目中涉及，而运营商和金融行业多为独立蜜罐产品项目采购，单体项目采购额较为可观。除了这些大BGI外，国家执法部门和行业监管单位也是蜜罐产品的一类客户群体，主要是与其自身业务和工作职能相关，但所占整体市场的比例较低。

2.5主要客户与销售模式

蜜罐产品单独立项的比例越来越高，在过去近个独立蜜罐项目中，采购单位中运营商客户占比达到40%，金融客户占比达到24%，两者基本覆盖了市场的三分之二，而在中标单位中，53%的中标单位是蜜罐产品的生产商，由此可见，当前市场的销售通路主要以运营商、金融等高端行业+直销模式为主，除了需要过硬的产品竞争力以外，也需要完备的营销和服务能力。

3.发展趋势

通过对蜜罐产品进行对比以及与各厂商交流，我们总结出目前蜜罐产品的共性发展趋势，包括：

3.1从单兵作战向能力聚合方式演进

虽然蜜罐产品的标准化程度已相对较高，但在业务仿真、攻击猎捕、威胁分析、溯源取证等方面还需要外部能力的注入，从而达到更加智能、自动化的效果，降低产品对人的依赖。在业务仿真上，可以通过资产测绘、漏洞扫描、NTA等系统实现对现有资产MAC地址、OS版本、主机名、漏洞、网络流量、业务内容等多角度的平行仿真；在攻击猎捕上，可以通过主机安全、EDR等系统执行诱饵的分发与自动化维护，大面积增加线索投放量；在威胁分析和溯源取证中，利用外部态势感知平台和威胁情报体系提高蜜罐分析结果的准确性和全面性，降低人工介入频率；在协同处置上，可以利用自身近乎零误报的准确结果，联动FW、WAF、SOAR等产品进行威胁处置。蜜罐产品价值在于伪装、感知、诱捕和情报输出，在这些功能维度上，应该打破虚实网络边界，更多的聚合多方能力形成标准化的协同工作与联动体系。

3.2由传统IT环境向新兴应用场景外延

在传统IT环境下凸显了产品价值后，蜜罐逐渐向5G、工控、物联网、医疗设备网络等应用场景外延，这些场景多为环境独立、资产庞大且分散、协议复杂、终端无法部署探针的专用网络，由于蜜罐在感知面上具有良好的环境适应性和协议无关性，可以在一定程度上弥补传统检测技术在这些场景中应用受限的问题。从需求侧来看，在运营商5G核心网和SA网、央企工控等项目中，客户已经开始采购蜜罐产品，在供给侧方面，国内部分厂商也推出了支持5G网元、工控应用、医疗CT应用等仿真的蜜罐产品。

3.3从产品向整体解决方案时代转变

蜜罐技术已经完成了从技术工具向产品化的演变，未来随着这种欺骗技术理念的认知在市场里中不断强化和加深，将驱动由产品向整体解决方案转变，除了目前市面上绝大多数的网络型蜜罐外，将会出现主机型蜜罐、Web型蜜罐、云蜜罐等产品或解决方案（部分厂商已可以提供），除此外，欺骗技术作为一种能力也将被融入到防火墙和一些边界设备上，例如对于边界上的一些IP和端口扫描流量重定向给后端的蜜罐/蜜网系统进行诱捕分析和联动处置，实现整体安全协防的效果。

3.4由存量市场竞争向增量市场覆盖过渡

攻防实战演练是蜜罐产品目前最主要的应用场景，未来几年实战演练也大概率会保持常态化趋势，但这个场景在未来供需两侧会出现两个变化：1、蜜罐产品进入快速发展期，供给侧厂商数量不断增加；2、需求侧客群相对固定，市场需求将趋于平缓。这两类变化的叠加将造成市场竞争强度不断加大，如何刻画新的产品属性从存量市场突围，挖掘新的增量市场，已成为蜜罐产品面临的新问题。从产品功能演变来看，部分产品已经在高甜度、高交互、溯源反制等攻防实战功能上，增加了感知面扩展、安全协同联动、中低交互蜜罐扩展等一系列适用于内网威胁检测场景的标准化功能，通过不断将产品标准化、降低使用门槛、迎合新客户需求，向小BGI合规类市场推进。

4.产品评估结论

4.1产品评估范围

目前国内蜜罐厂商数量在20家左右，报告选取主流蜜罐产品（不含工控型），并经过行业专家投票和初评，确定了十家入围品牌，后经过多个环节的详细评估，最终确定发布中国网络安全蜜罐市场顶级供应商如下（按品牌首字母排序，排名不分先后）：

4.2产品对比

对产品主要基于以下6大方面近30个功能特性进行评估：

场景适应性：代表对客户不同应用需求的匹配程度。毕竟在攻防实战演练、内网威胁监测、金融/运营商IPv6环境、监管执法等场景下，客户需求是不尽相同的。评估指标包括产品架构类型、蜜网构建能力、SaaS模式支持、IPv6支持等特性。诱导攻击能力：代表产品布置陷阱的能力，无论后端有多么高逼真的仿真资产，也需要通过大范围布置陷阱引诱攻击者进入，否则一切都是徒劳。评估指标包括独立蜜罐部署、主机Agent、网络探针、VlanTrunk部署、诱饵类型及管理等方面的支持情况。伪装仿真能力：在诱导攻击者进入后，全面的伪装和仿真可延长攻击者停留时间、引导其执行更多动作，从而为后续的分析和取证提供更多支撑。评估指标包括产品交互能力上包括操作系统仿真、传统IT应用仿真、新场景（5G、工控、OT等）仿真的实现程度，以及在业务自学习和甜度设计等方面的特性。检测与分析能力：当攻击者现身后，需要对其入侵的行为进行识别和分析，判断其动机和意图，并输出检测结果进行后续的威胁处置和响应。评估指标包括嗅探检测、行为捕获种类、攻击检测机制、高级威胁检测能力、威胁情报集成与共享等方面的特性。攻击取证和溯源反制能力：通过对攻击行为的全面记录，为全局态势感知与安全大数据分析提供证据信息，溯源和反制在攻防实战演练和监管执法场景下是客户最主要的需求之一。评估指标包括攻击数据记录、黑客溯源、反制途径等环节的实现情况。管理和易用性：代表产品在后续运营和维护方面的的成本，良好的管理能力将有利于产品发挥更大的应用价值。评估指标包括协同联动、集中管理、自保护能力、可视化展示、产品界面感观和易用性等方面的能力。

表1蜜罐功能对比表

A：产品完全覆盖该领域功能特性。

B：产品覆盖该领域多数功能特性。

C：产品仅覆盖该领域内的个别功能特性。

D：产品不具备该领域特性。

5.产品部署模式

蜜罐的主要部署模式分为两种：

无代理模式：又称独立部署模式，蜜罐以物理旁路、逻辑串联的方式接入核心交换机，通过vlantrunk连通各vlan网段，为仿真资产配置对应网段的IP地址后即完成部署。该模式部署相对简单，但此时蜜罐与真实网络直接连通，如果发生蜜罐被打穿或逃逸的情况，对真实网络造成直接威胁，在攻防实战演练场景下，在DMZ或非核心网络部署蜜罐诱捕攻击时可采用该模式，该模式不适用于日常内网安全监测场景。

代理模式：该模式下蜜罐部署位置与无代理模式相同，但不将仿真资产IP地址直接暴露在真实网络，而是通过主机agent、硬件探针节点与仿真资产的绑定来将其对应的服务映射到真实网络，主机agent可安装在真实主机或虚拟机上，硬件探针可看作是软件agent的硬件化，通过这两个节点对现有网络空闲IP地址和端口的占用，扩大仿真资产的暴露面，进而将所有尝试访问的流量牵引至后端蜜罐/蜜网中。代理模式需要安装主机agent或单独购买硬件探针，成本高于无代理模式，但该模式下蜜罐与真实网络不直接连通，前端节点只向后端蜜罐系统单向牵引流量，禁止反向连接，提高了整体方案的安全性，适用于对核心内网的常态化安全监测。

诱饵：诱饵即是可以找到仿真资产的线索，无论哪一种模式模式均可通过部署诱饵来“助力”攻击者触碰蜜罐系统（例如通过浏览器缓存记录暴露仿真资产的地址和账户）。诱饵的类型包括互联网Github诱饵（适用于外网诱捕）、文件和邮件诱饵（适用于内网诱捕）。在诱饵部署过程中，大多需要人工介入，极少数产品可以联动终端安全产品实现诱饵的自动分发和更新消除，因此目前诱饵的使用频率还相对较低。

6.厂商分析（按公司首字母排序）

创新产品---智仁智信

智信网络安全预警系统与传统蜜罐产品不同，侧重在欺骗和检测方面的创新，产品可以在真实网络中幻化出大量虚假主机，通过大幅增加IT资产密度来实现两个效果：

1、将真实主机淹没在由大量虚假主机构成的网络中，降低真实资产被识别和攻击的概率；

2、提高攻击者触碰陷阱的机率。产品有侧重性的降低了传统蜜罐产品在高交互、高甜度、深度分析、取证溯源等方面的设计，在入侵检测和识别方面可以达到较高的检出率，实现秒级报警。

因为这种轻量化设计思路，产品在部署上也非常简洁，无需诱饵、Agent和引流配置，不对客户现有系统做改造，使用者只需会配置IP地址即可，其它配置系统采用自动化方式完成。整体来说，智信网络安全预警系统是一款适用于常态化内网预警监测场景并有利于规模化销售的产品。

7.购买建议

（一）确定自身使用场景，在攻防实战演练场景中，要