工控入侵检测系统


 

 

 

 

 

 

 

 

 

 

 

 产品概述

工控入侵检测系统是一款专门针对工业互联网攻击威胁设计的检测与审计类安全产品。产品内置专业的工控攻击规则库,涵盖包括缓冲区溢出、扫描攻击、DoS/DDoS、SQL注入、蠕虫病毒、木马、后门类等多种类型的攻击特征;同时可根据业务功能需求制定网站过滤、Email过滤、应用识别与控制等,对工业控制网络上捕获的数据包进行相应的行为匹配,及时发现来自生产网内外部攻击威胁,为客户提供直观、可落地的安全防护建议,保障生产网络安全运行。

 

 功能特性

 丰富的工控攻击库:可以检测和防御针对工控系统的网络攻击,保证工控系统的安全。产品内置了上百种多个SCADA特征库,涵盖了DNP3, ICCP, Modbus等多种协议,而且也涵盖了多个厂商产品,比如研华、施耐德、西门子、ABB等产品。

 智能构建安全基线:采用深度自学习技术,对通信报文进行深度解析,完成对工控数据的实时监控和记录,进行自定义调整,定制化安全检测策略,根据自学习的规则模型,实时检测工控数据流,发现异常时进行报警。同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录。帮助用户以最直观的方式了解和掌握网络中的业务通信状态,发现工控网络潜在的安全风险。

 工控协议深度解析:产品内嵌协议深度解析引擎,可解析工控两大类通讯协议,支持主流工控协议(如OPC、Modbus、S7、DNP3、CIP、MMS等)深度解析功能,并对数据包完整性、功能码合法性、寄存器值合法性等多个层次进行分析,及时发现异常通讯行为。

 状态检测流量审计:可基于状态检测机制对会话进行分析,跟踪会话从建立、维持到中止的全过程,已建合法连接的后续数据通信可直接放行,极大的简化了配置,提高了效率。所有的会话都会维持在会话表供管理员分析及排错使用。

 

 典型部署