產(chǎn)品功能

1、網(wǎng)絡(luò)病毒檢測

根據(jù)網(wǎng)絡(luò)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測引擎內(nèi)含海量的病毒，特征數(shù)據(jù)，實時匹配工業(yè)網(wǎng)絡(luò)數(shù)據(jù)特征，避開工業(yè)控制網(wǎng)絡(luò)中的疑似病毒的正常數(shù)據(jù)特征，將工業(yè)控制網(wǎng)絡(luò)中的病毒一一現(xiàn)形。

2、網(wǎng)絡(luò)風(fēng)暴檢測

根據(jù)工業(yè)控制網(wǎng)絡(luò)正常數(shù)據(jù)基線，甄別網(wǎng)絡(luò)數(shù)據(jù)中的組播、多播、連接請求、重傳請求、同步請求的異常情況，實時展示網(wǎng)絡(luò)風(fēng)暴的現(xiàn)象，協(xié)助用戶快速定位網(wǎng)絡(luò)風(fēng)暴的原因、地址來源。

3、日志審計與報表

日志審計包括安全審計、操作記錄、協(xié)議審計、流量審計等內(nèi)容。協(xié)議審計與流量審計是工業(yè)控制網(wǎng)絡(luò)的主要審計功能，將工業(yè)網(wǎng)絡(luò)數(shù)據(jù)中的未知協(xié)議展示與告警，將未知的威脅有形地展現(xiàn)。報表展示靈活，定制內(nèi)容，定制類型，定制輸出的格式，滿足多種報表功能需求。

4、網(wǎng)絡(luò)異常流量檢測

統(tǒng)計每個主機或者協(xié)議的流量趨勢，并算成流量曲線，匹配工業(yè)控制網(wǎng)絡(luò)正常數(shù)據(jù)流量模型，一旦檢測到某個主機或者協(xié)議流量在短時間內(nèi)表現(xiàn)異常特征，則認(rèn)為此數(shù)據(jù)是潛在攻擊或威脅，對于發(fā)現(xiàn)DDOS攻擊、洪水攻擊等網(wǎng)絡(luò)攻擊行為提供參考。

5、異常行為檢測

通過不斷地收集歷史流量數(shù)據(jù)，建立流量和行為基準(zhǔn)模型，有別于基于特征檢測的防火墻只能檢測到庫文件中已有威脅的“靜態(tài)檢測”。對于發(fā)現(xiàn)網(wǎng)絡(luò)層特征檢測DDOS攻擊，以及通過應(yīng)用層特征檢測其他復(fù)雜攻擊提供參考。

6、協(xié)同防護

隨著網(wǎng)絡(luò)攻擊的復(fù)雜性與專業(yè)性不斷提高，單種安全設(shè)備的防護能力受到強力挑戰(zhàn)，協(xié)同防護方式顯得更有效。工業(yè)審計在檢測到異常事件和攻擊威脅時，下發(fā)合適的策略到相應(yīng)的防火墻、態(tài)勢感知、工業(yè)衛(wèi)士等安全產(chǎn)品，以保證較好的整體防護功能。

7、網(wǎng)絡(luò)取證

記錄工業(yè)控制網(wǎng)絡(luò)的活動，提供網(wǎng)絡(luò)行為審計、內(nèi)容審計，生成比較完整的事件記錄、操作記錄、告警日志等，保存對應(yīng)事件時產(chǎn)生的原始數(shù)據(jù)包，并提供事件發(fā)生時的流量快照與系統(tǒng)配置，加密內(nèi)容并只能讀取，留存證據(jù)用于事件追溯。

產(chǎn)品亮點

1、無擾部署

鏡像部署;

無擾接入系統(tǒng);

不改變網(wǎng)絡(luò)拓?fù)洹?/span>

2、工業(yè)漏洞庫

包含千余種工業(yè)漏洞;

涵蓋主流廠商的工業(yè)漏洞;

精細(xì)分類工業(yè)漏洞，精確審計工業(yè)設(shè)備和主機漏洞。

3、豐富的報表與告警方式

定制報表內(nèi)容，定制報表生成周期，定制報表導(dǎo)出格式;

定制告警內(nèi)容;

定制告警聚合，減少告警狀態(tài)。

4、機器學(xué)習(xí)建模

建立未知協(xié)議基準(zhǔn)模型，無限接近復(fù)現(xiàn)原始協(xié)議通信，解決復(fù)雜工業(yè)通訊環(huán)境的檢測難題

5、多層次深度檢測

展現(xiàn)網(wǎng)絡(luò)地址，MAC地址，傳輸端口的內(nèi)容;

基于應(yīng)用層的流量檢測，透明化工業(yè)控制網(wǎng)絡(luò)通訊數(shù)據(jù)，在人機交互界面中展示通訊的數(shù)據(jù)。

應(yīng)用場景

1、現(xiàn)場控制層審計

場景描述：

現(xiàn)場控制層的控制器直接與傳感器、變送器、執(zhí)行裝置相連，實現(xiàn)對現(xiàn)場設(shè)備的實時監(jiān)控并通過通信網(wǎng)絡(luò)實現(xiàn)與上層機之間的信息交互。控制器即能脫離上位機按預(yù)定的程序自動運行，又能接受上位機的操作按需要運行合適的程序。監(jiān)測上位機與控制器的網(wǎng)絡(luò)數(shù)據(jù)，識別訪問控制器的異常數(shù)據(jù)和未知威脅，就顯得非常重要。

產(chǎn)品應(yīng)用：

· 監(jiān)測上位機與上位機，上位機與控制器，控制器與控制器的通訊數(shù)據(jù);

· 識別對控制器的異常訪問;

· 識別上位機的異常行為與操作;

· 記錄事件、日志，提供報表、報告，為追溯事件原因提供留存證據(jù)，包括事件快照、原始數(shù)據(jù)包等內(nèi)容。

2、通訊服務(wù)器審計

場景描述：

通訊服務(wù)器在工業(yè)控制系統(tǒng)中擔(dān)當(dāng)重要的角色，對內(nèi)連接工業(yè)控制系統(tǒng)的過程監(jiān)控網(wǎng)絡(luò)層，對外連接生產(chǎn)管理層。生產(chǎn)管理層與過程監(jiān)控層可能通過通訊服務(wù)器實現(xiàn)數(shù)據(jù)訪問，一旦互聯(lián)網(wǎng)的主機通過生產(chǎn)管理層的主機訪問過程監(jiān)控網(wǎng)絡(luò)的主機，整個工業(yè)控制系統(tǒng)就處于威脅之中，生產(chǎn)裝置的運行不再安全，惡意攻擊事件有可能導(dǎo)致重大生產(chǎn)事故。

產(chǎn)品應(yīng)用：

· 監(jiān)測生產(chǎn)管理層與通訊服務(wù)器之間的網(wǎng)絡(luò)數(shù)據(jù)，識別惡意攻擊與異常行為;

· 鑒別生產(chǎn)管理層的網(wǎng)絡(luò)欺騙;

· 檢測生產(chǎn)管理層的主機通訊數(shù)據(jù)是否感染病毒;

· 記錄事件、日志，提供報表、報告，為追溯事件原因提供留存證據(jù)，包括事件快照、原始數(shù)據(jù)包等內(nèi)容。