工业审计系统
工控网络 · 机器学习建模 · 网络入侵检测
PRODUCT HIGHLIGHTS
PRODUCT FEATURES
根据网络病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测引擎内含海量的病毒,特征数据,实时匹配工业网络数据特征,避开工业控制网络中的疑似病毒的正常数据特征,将工业控制网络中的病毒一一现形。
根据工业控制网络正常数据基线,甄别网络数据中的组播、多播、连接请求、重传请求、同步请求的异常情况,实时展示网络风暴的现象,协助用户快速定位网络风暴的原因、地址来源。
日志审计包括安全审计、操作记录、协议审计、流量审计等内容。协议审计与流量审计是工业控制网络的主要审计功能,将工业网络数据中的未知协议展示与告警,将未知的威胁有形地展现。报表展示灵活,定制内容,定制类型,定制输出的格式,满足多种报表功能需求。
统计每个主机或者协议的流量趋势,并算成流量曲线,匹配工业控制网络正常数据流量模型,一旦检测到某个主机或者协议流量在短时间内表现异常特征,则认为此数据是潜在攻击或威胁,对于发现DDOS攻击、洪水攻击等网络攻击行为提供参考。
通过不断地收集历史流量数据,建立流量和行为基准模型,有别于基于特征检测的防火墙只能检测到库文件中已有威胁的“静态检测”。对于发现网络层特征检测DDOS攻击,以及通过应用层特征检测其他复杂攻击提供参考。
随着网络攻击的复杂性与专业性不断提高,单种安全设备的防护能力受到强力挑战,协同防护方式显得更有效。工业审计在检测到异常事件和攻击威胁时,下发合适的策略到相应的防火墙、态势感知、工业卫士等安全产品,以保证最优的整体防护功能。
记录工业控制网络的所有活动,提供网络行为审计、内容审计,生成完整的事件记录、操作记录、告警日志等,保存对应事件时产生的原始数据包,并提供事件发生时的流量快照与系统配置,加密内容并只能读取,留存证据用于事件追溯。
APPLICATION SCENARIO
现场控制层的控制器直接与传感器、变送器、执行装置相连,实现对现场设备的实时监控并通过通信网络实现与上层机之间的信息交互。控制器即能脱离上位机按预定的程序自动运行,又能接受上位机的操作按需要运行合适的程序。监测上位机与控制器的网络数据,识别访问控制器的异常数据和未知威胁,就显得非常重要。
· 监测上位机与上位机,上位机与控制器,控制器与控制器的通讯数据; · 识别对控制器的异常访问; · 识别上位机的异常行为与操作; · 记录事件、日志,提供报表、报告,为追溯事件原因提供留存证据,包括事件快照、原始数据包等内容。
通讯服务器在工业控制系统中担当重要的角色,对内连接工业控制系统的过程监控网络层,对外连接生产管理层。生产管理层与过程监控层可能通过通讯服务器实现数据访问,一旦互联网的主机通过生产管理层的主机访问过程监控网络的主机,整个工业控制系统都处理威胁之中,生产装置的运行不再安全,恶意攻击事件有可能导致重大生产事故。
· 监测生产管理层与通讯服务器之间的网络数据,识别恶意攻击与异常行为; · 鉴别生产管理层的网络欺骗; · 检测生产管理层的主机通讯数据是否感染病毒; · 记录事件、日志,提供报表、报告,为追溯事件原因提供留存证据,包括事件快照、原始数据包等内容。
手机扫码打开