专注研发  科技创新

八大核心产品线  保障工业互联  构筑关键信息基础设施网络安全空间

返回列表

工控网络监测审计系统

产品概述

      工控网络监测审计系统是一款专门针对工业控制网络设计的网络监测审计系统,采用旁路部署,静默采集工业网络数据,对工业生产过程“零风险”。通过对工业控制协议的通信报文进行深度解析(DPI)实现指令级的工业控制协议分析。采用机器学习的方式对工控网络行为建模,快速识别出工控网络中存在的用户违规操作,非法操作,运行状态异常,非法设备接入等行为。系统具备完善的针对工业网络的安全规则库,能快速检测出工业控制网络中存在的协议攻击、僵尸网络、钓鱼等恶意流量。同时支持多种告警方式,以便工业网络管理者及时感知到异常事件,并作出快速响应。通过详尽的网络通信行为和网络攻击事件记录,为工业控制系统的安全事故调查提供坚实的基础。


 工控网络监测审计系统

产品特点

工业协议深度解析与审计


支持多种工控协议的深度指令级解析与审计,如Modbus TCPIEC104GOOSESVMMSDNP3OPC DAOPC UAS5S7ProfinetFOCAS等。另外,支持DNSFTPHTTPSNMP等通用协议的解析与审计。同时支持对工控生产工艺中的上装、下装、组态变更等关键事件进行检测并告警。


工控网络行为建模


通过机器学习引擎对当前网络的工控行为进行采集和建模,自动建立工控网络基线,包括工控通信基线、工控行为基线、端口流量基线,同时支持网内资产管理,建立资产基准库。从而快速识别出工控网络中存在的用户违规操作,非法操作,运行状态异常,非法设备接入等异常事件,支持对异常事件一键加入例外。


异常事件检测


支持对工控网络异常行为和攻击行为进行检测并告警,规则集可根据影响业务类型和攻击类型进行自定义,主要支持的攻击和异常行为类型有:

  • 工控协议畸形报文攻击:不符合协议规约规定格式的工业控制协议报文;
  • 工业控制协议通信出现异常的控制命令、控制点位、控制值;
  • 工控协议应用层断链及断链后重连检查;
  • 拒绝服务攻击:基于IP地址接收报文速率阈值检测,对超阈值的事件进行告警;
  • TCP/IP协议层畸形报文攻击:针对网络 TCP/IP 协议栈报文的恶意伪造的异常畸形报文;
  • 扫描攻击:基于IP地址的阈值检测Syn FloodPing Flood UDP Flood攻击。



二次事件分析


支持对告警事件进行二次分析,支持定义统计规则或关联规则,根据条件设置单个审计事件或关联事件发生频率超过阈值时,分析生产新的事件。


事件响应


针对异常事件,可进行灵活的策略配置,以进行不同的响应处理。可通过界面告警、Syslog事件发送、SNMP通知等方式进行通知,以便管理员及时进行响应处理。

统一管理


支持由统一安全监管平台统一规则部署管理,所有监测审计终端的告警统一上传到安全监管平台等功能。



技术优势


丰富的工控协议支持


产品目前已经支持大部分主流工业控制协议,包括Modbus/TCP,DNP3,MMS,OPC-UA,S7Comm,ENIP/CIP,IEC104等协议;产品同时支持传统协议包括SNMP,SMTP,POP3, HTTP,TELNET,FTP等通用网络协议。

完善的工控安全规则库

工控网络监测审计系统RSA系列产品拥有完善的工业规则库,覆盖包括针对工控设备、工控协议、工控系统、传统网络等的攻击规则。规则库由专业团队维护,及时追踪当前新的攻击态势,并每周更新并发布安全规则库。

智能机器学习建模

工控网络监测审计系统RSA系列产品基于智能机器学习建模技术,可自动学习采集到的数据行为并提取特征,生成适应当前工控网络环境的工控白名单安全规则。 包括通讯 规则,工控行为规则,端口流量规则。

高性能处理架构

工控网络监测审计系统RSA系列产品采用控制平面和数据平面分离的网络流处理架构,在保证网络流的高性能处理的同时,也做到了高效的管理和配置。

应用场景

旁路部署是自主设计研发的独特功能。

本应用方案采用终端、区域、边界监测审计,共三级监测审计,进行无死角地实时网络监测、网络安全审计。