-
- 工业安全监测审计平台
产品介绍
产品功能
1、网络病毒检测
根据网络病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测引擎内含海量的病毒,特征数据,实时匹配工业网络数据特征,避开工业控制网络中的疑似病毒的正常数据特征,将工业控制网络中的病毒一一现形。
2、网络风暴检测
根据工业控制网络正常数据基线,甄别网络数据中的组播、多播、连接请求、重传请求、同步请求的异常情况,实时展示网络风暴的现象,协助用户快速定位网络风暴的原因、地址来源。
3、日志审计与报表
日志审计包括安全审计、操作记录、协议审计、流量审计等内容。协议审计与流量审计是工业控制网络的主要审计功能,将工业网络数据中的未知协议展示与告警,将未知的威胁有形地展现。报表展示灵活,定制内容,定制类型,定制输出的格式,满足多种报表功能需求。
4、网络异常流量检测
统计每个主机或者协议的流量趋势,并算成流量曲线,匹配工业控制网络正常数据流量模型,一旦检测到某个主机或者协议流量在短时间内表现异常特征,则认为此数据是潜在攻击或威胁,对于发现DDOS攻击、洪水攻击等网络攻击行为提供参考。
5、异常行为检测
通过不断地收集历史流量数据,建立流量和行为基准模型,有别于基于特征检测的防火墙只能检测到库文件中已有威胁的“静态检测”。对于发现网络层特征检测DDOS攻击,以及通过应用层特征检测其他复杂攻击提供参考。
6、协同防护
随着网络攻击的复杂性与专业性不断提高,单种安全设备的防护能力受到强力挑战,协同防护方式显得更有效。工业审计在检测到异常事件和攻击威胁时,下发合适的策略到相应的防火墙、态势感知、工业卫士等安全产品,以保证较好的整体防护功能。
7、网络取证
记录工业控制网络的活动,提供网络行为审计、内容审计,生成比较完整的事件记录、操作记录、告警日志等,保存对应事件时产生的原始数据包,并提供事件发生时的流量快照与系统配置,加密内容并只能读取,留存证据用于事件追溯。
产品亮点
1、无扰部署
镜像部署;
无扰接入系统;
不改变网络拓扑。
2、工业漏洞库
包含千余种工业漏洞;
涵盖主流厂商的工业漏洞;
精细分类工业漏洞,精确审计工业设备和主机漏洞。
3、丰富的报表与告警方式
定制报表内容,定制报表生成周期,定制报表导出格式;
定制告警内容;
定制告警聚合,减少告警状态。
4、机器学习建模
建立未知协议基准模型,无限接近复现原始协议通信,解决复杂工业通讯环境的检测难题
5、多层次深度检测
展现网络地址,MAC地址,传输端口的内容;
基于应用层的流量检测,透明化工业控制网络通讯数据,在人机交互界面中展示通讯的数据。
应用场景
1、现场控制层审计
场景描述:
现场控制层的控制器直接与传感器、变送器、执行装置相连,实现对现场设备的实时监控并通过通信网络实现与上层机之间的信息交互。控制器即能脱离上位机按预定的程序自动运行,又能接受上位机的操作按需要运行合适的程序。监测上位机与控制器的网络数据,识别访问控制器的异常数据和未知威胁,就显得非常重要。
产品应用:
· 监测上位机与上位机,上位机与控制器,控制器与控制器的通讯数据;
· 识别对控制器的异常访问;
· 识别上位机的异常行为与操作;
· 记录事件、日志,提供报表、报告,为追溯事件原因提供留存证据,包括事件快照、原始数据包等内容。
2、通讯服务器审计
场景描述:
通讯服务器在工业控制系统中担当重要的角色,对内连接工业控制系统的过程监控网络层,对外连接生产管理层。生产管理层与过程监控层可能通过通讯服务器实现数据访问,一旦互联网的主机通过生产管理层的主机访问过程监控网络的主机,整个工业控制系统就处于威胁之中,生产装置的运行不再安全,恶意攻击事件有可能导致重大生产事故。
产品应用:
· 监测生产管理层与通讯服务器之间的网络数据,识别恶意攻击与异常行为;
· 鉴别生产管理层的网络欺骗;
· 检测生产管理层的主机通讯数据是否感染病毒;
· 记录事件、日志,提供报表、报告,为追溯事件原因提供留存证据,包括事件快照、原始数据包等内容。