详细介绍
1、方案简介
产品实现了对工业控制系统中的工控语言的专项解读,提供特有的工控网络安全检测策略,并可针对工控网络敏感指令数据进行记录和异常检测。不仅可检测工控网络中发生的入侵攻击,还可实时监测工控网络中的敏感操控,实现故障与异常的预警。
2、解决痛点
(1)由于病毒、恶意软件等导致的工厂停产;(2)工业制造的核心数据、配方被窃取;(3)制造工厂及其关键工控生产流程被破坏;(4)恶意操纵工控数据或应用软件;(5)对工控系统功能未经授权的访问等。
3、解决思路
入侵检测能力
系统采用特征检测技术、工控异常行为检测技术、黑白名单技术、基线技术等,通过对网络流量的深度包解析和流解析,实现了病毒、木马、蠕虫、僵尸网络等各种威胁的全面有效检测。
系统通过内置特征库、病毒库、异常行为模型库实现对工控网络的威胁的自动检测。
系统支持基于黑白名单的检测,用户可以通过定义黑白名单实现对违规业务和未知业务的检测。
自定义规则检测能力
系统基于自主研发的、灵活的规则描述语言技术,提供了一个开放式的自定义检测规则的用户接口,可以满足更加贴合用户业务的异常检测要求,例如通过自定义检测规则,可以实现异常时间、异常IP、多IP登录等异常登录行为、恶意业务订购、高频业务访问、业务绕行等业务异常行为。
针对工控的规则检测
通过对工控语言的解读,研究其中各种入侵途径,从而形成了特有的工控网络检测策略。支持Modbus协议、IEC-60870-104协议、Profinet协议、Siemens S7协议等工控协议的深度解析。
1、方案简介
产品实现了对工业控制系统中的工控语言的专项解读,提供特有的工控网络安全检测策略,并可针对工控网络敏感指令数据进行记录和异常检测。不仅可检测工控网络中发生的入侵攻击,还可实时监测工控网络中的敏感操控,实现故障与异常的预警。
2、解决痛点
(1)由于病毒、恶意软件等导致的工厂停产;(2)工业制造的核心数据、配方被窃取;(3)制造工厂及其关键工控生产流程被破坏;(4)恶意操纵工控数据或应用软件;(5)对工控系统功能未经授权的访问等。
3、解决思路
入侵检测能力
系统采用特征检测技术、工控异常行为检测技术、黑白名单技术、基线技术等,通过对网络流量的深度包解析和流解析,实现了病毒、木马、蠕虫、僵尸网络等各种威胁的全面有效检测。
系统通过内置特征库、病毒库、异常行为模型库实现对工控网络的威胁的自动检测。
系统支持基于黑白名单的检测,用户可以通过定义黑白名单实现对违规业务和未知业务的检测。
自定义规则检测能力
系统基于自主研发的、灵活的规则描述语言技术,提供了一个开放式的自定义检测规则的用户接口,可以满足更加贴合用户业务的异常检测要求,例如通过自定义检测规则,可以实现异常时间、异常IP、多IP登录等异常登录行为、恶意业务订购、高频业务访问、业务绕行等业务异常行为。
针对工控的规则检测
通过对工控语言的解读,研究其中各种入侵途径,从而形成了特有的工控网络检测策略。支持Modbus协议、IEC-60870-104协议、Profinet协议、Siemens S7协议等工控协议的深度解析。
监测工业指令操控行为
产品开放其灵活、强大的定制检测能力,针对客户环境中重点/敏感操控指令进行专门监测并记录。
资产管理
支持对IP、IP组管理,支持对未知IP资产的发现。
报表展示能力
系统内置若干适用于不同类别用户的、不同粒度的安全分析报表,包括具有大量对比数据,可供安全状况分析和决策的安全分析报表、供运维人员对事件进行基本判断的基础统计报表和高级统计报表、供运维人员进行详细查询和分析的详细事件报表。报表支持自定义和报表计划,报表格式支持pdf、word、html等常见的格式。
4、实施成效
实时检测工控网络中的各种入侵攻击、误操作、违规行为、非法设备接入以及蠕虫、病毒等恶意软件的传播,并及时告警,为客户提供强有力的监控手段,以便及时采取应对措施。
全面记录工业网络的重要操作行为、网络会话、异常告警、原始报文,便于事后调查取证。
支持对Modbus、OPC、Siemens S7、Modbus、IEC104、Profinet、DNP3等多种工控协议深度解析。
运营案例
面向工业企业领域全场景客户。
