专注研发  科技创新

八大核心产品线  保障工业互联  构筑关键信息基础设施网络安全空间

返回列表

工业入侵检测系统

产品概述

工业入侵检测系统是一款专门针对工业控制网络设计的网络安全需求的检测系统。通过特有的工控网络黑白名单检测策略等机制,精准发现并详细审计网络中漏洞攻击、DDoS攻击、病毒传播、异常流量、非法操作或异常行为等风险隐患,并可结合与防火墙等设备联动功能,进一步实现对攻击的有效拦截,全面监控、保护网络安全。
工业入侵检测系统

产品特点

工业协议深度解析


识别鉴别出其中的操作码,对操作行为进行自学习,识别其中的恶意行为。另外,支持常用应用协议的识别解析,如FTP、SMTP、SNMP、Telnet、HTTP、SIP、ORACLE、MySQL、SQL Server等。

丰富的工业安全知识库


具有丰富的工控安全知识库,通过检测引擎快速准备检测识别攻击行为,并可基于用户行为构建行为基线,进行统计关联分析,识别未知的异常行为。另外,可解析还原常用协议中的文件,通过内置的病毒检测引擎快速进行文件病毒检测。

灵活的策略配置


针对分析检测的安全事件,可进行灵活的策略配置,以进行不同的响应处理。可进行及时告警、Syslog事件发送、SNMP通知,或者同防火墙进行联动,以便管理员及时进行响应处理。

网络行为可视化


通过静态的网络拓扑管理工具及动态网络流量检测,可将当前1小时网络速率与设备最新1小时的流量速率进行关联分析,形成清晰的网络威胁告警分布,通过图形、列表等方式直接详尽地呈现当前监控网络的状态,帮助用户了解自身工业网络。

技术优势


丰富的攻击检测规则库
基于行业的深层积累与研发,产品沉淀了丰富的攻击检测规则库,总条目达到13000多条,涵盖多种类别,并可进行持续升级,及时检测到各种攻击行为。

工业协议的深度解析能力
支持广泛的工控协议的深度解析,覆盖2-7层的解析能力,可识别到工业协议中的各种工业控制命令、机器状态等重要参数。

基于并行计算的快速检测能力
基于多核高性能处理器,采用并行特征匹配算法,充分发挥特征检测引擎的效率,快速完成网络数据包和攻击特征规则的匹配,具有非常高效快速的攻击检测能力。

动态负载调节的多引擎检测能力
内置安全协议检测引擎、漏洞攻击检测引擎、病毒检测引擎,基于负载智能动态调节,降低了系统开销,提高了检测的效率。多检测引擎对不同安全威胁分别进行针对性的深入检测,提高了检测的准确性。
 
智能关联分析能力
入侵检测引擎基于智能机器学习技术,关联分析流量数据、安全事件信息以及安全知识库信息,支持流量异常监测,支持“肉鸡”检测、支持防TCP 端口扫描、防UDP 端口扫描、防IP扫描等异常行为检测、支持连接数异常检测,发掘深层次的安全威胁及未知攻击行为,进一步提升攻击检测能力,减少漏网之鱼。


工业级可靠性保障
产品基于工业级硬件平台,采用无风扇(可选)、独特重负荷铝合金外壳鱼鳍型散热设计,低功耗、宽温(工作环境:-20℃ ~ 70℃)、IP40级别防尘防护,10KV端口防雷,满足工业高可靠性环境使用。

一键式部署
用户选择应该被部署的规则,这些规则可以统一调入到规则库下发部署到终端设备,设备可自动调整下发规则及策略之间冲突,简化配置,实现一键式部署。一键式部署安全规则大大简化了用户操作的难度,方便用户使用工业入侵检测系统,大大提高了该系统的易用性。

 

应用场景

工业入侵检测系统旁路部署图

本系统为旁路方式部署,通常连接到接入交换机或汇聚交换机的镜像口,对镜像流量进行监测,不占用原有网络的带宽资源,完全不影响原有系统的生产运行。