工控网络监测审计系统是一款专门针对工业控制网络设计的网络监测审计系统,采用旁路部署,静默采集工业网络数据,对工业生产过程“零风险”。通过对工业控制协议的通信报文进行深度解析(DPI)实现指令级的工业控制协议分析。采用机器学习的方式对工控网络行为建模,快速识别出工控网络中存在的用户违规操作,非法操作,运行状态异常,非法设备接入等行为。系统具备完善的针对工业网络的安全规则库,能快速检测出工业控制网络中存在的协议攻击、僵尸网络、钓鱼等恶意流量。同时支持多种告警方式,以便工业网络管理者及时感知到异常事件,并作出快速响应。通过详尽的网络通信行为和网络攻击事件记录,为工业控制系统的安全事故调查提供坚实的基础。
工业协议深度解析与审计
支持多种工控协议的深度指令级解析与审计,如Modbus TCP、IEC104、GOOSE、SV、MMS、DNP3、OPC DA、OPC UA、S5、S7、Profinet、FOCAS等。另外,支持DNS,FTP,HTTP,SNMP等通用协议的解析与审计。同时支持对工控生产工艺中的上装、下装、组态变更等关键事件进行检测并告警。
|
工控网络行为建模
通过机器学习引擎对当前网络的工控行为进行采集和建模,自动建立工控网络基线,包括工控通信基线、工控行为基线、端口流量基线,同时支持网内资产管理,建立资产基准库。从而快速识别出工控网络中存在的用户违规操作,非法操作,运行状态异常,非法设备接入等异常事件,支持对异常事件一键加入例外。
|
异常事件检测
支持对工控网络异常行为和攻击行为进行检测并告警,规则集可根据影响业务类型和攻击类型进行自定义,主要支持的攻击和异常行为类型有:
|
二次事件分析
支持对告警事件进行二次分析,支持定义统计规则或关联规则,根据条件设置单个审计事件或关联事件发生频率超过阈值时,分析生产新的事件。
|
事件响应
针对异常事件,可进行灵活的策略配置,以进行不同的响应处理。可通过界面告警、Syslog事件发送、SNMP通知等方式进行通知,以便管理员及时进行响应处理。 |
统一管理
支持由统一安全监管平台统一规则部署管理,所有监测审计终端的告警统一上传到安全监管平台等功能。
|
丰富的工控协议支持