工控安全审计系统主要功能
1、产业监管协议深度分析
支持对OPC、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7、GOOSE、SV、Ethernet/IP等数十种工控日志消息进行深入分析和检测。支持自定义格式的工控日志测试,基于插件格式扩展个人日志,支持个人日志的线路测试。
2、行业监管行为规则的自我学习
在深入分析工控协议的基础上,分析了工控协议的通信行为过程。基于工控协议的自动学习操作行为和规则,建立了正常工控协议的通信行为模型,并在此基础上进行了可靠的白名单保护。为了准确识别异常通信行为(如违规)并生成警告,可以改进自定义规则。
3、工业控制网络的实时监控
默认情况下,通过对旁路(或串行连接)、协议、流量等因素的统计分析,以及网络状态的实时显示,实现工业控制网络的实时监控。
4、工业控制实时入侵检测
通过内置的工控威胁库,实现对工控网络中攻击行为的实时检测,根据已知的威胁特征设置检测规则,并对工控攻击、网络病毒攻击等入侵行为提供实时警报。
5、过程控制异常状态检测
该系统基于工业控制协议,用于通信消息的收集和深入分析,日志和流量等元素的统计分析,以及网络实时运行状态的显示。异常流量检测方法用于建立网络流量和通信行为的模型基础,识别异常流量和通信活动。生成高度警报。异常命令操作,可以准确识别异常网络连接和未知接入设备(IP地址)等异常状态。支持无流量检测的行业协议,持续监控指定行业协议的通信状态,并为流量异常提供实时警报。
6、交通分析可视化
支持图形化事件显示和网络流量监控,并提供全面的图形化报告。
7、安全审计和响应
充分记录工业网络的重要行为、网络对话、异常警报和原始消息,及时验证安全事件,并跟踪安全事件的痕迹,以便后续跟踪、取证和跟踪分析。单个警报响应机制定义了不同安全级别的安全事件的响应方法。
8、维护网络安全
默认情况下,系统对所有工业控制网络的原始数据进行加密和存储。审核数据可以保存6个月以上。用户可以自定义数据收集事件,以满足特定的行业合规性要求。
