六方云工业审计IinSec-A_网络异常流量检测-云巴巴 -云巴巴

六方云工业审计IinSec-A

LinSec-A工业审计系统是专用于工业控制网络的安全审计系统，使用符合工业控制系统环境的“工业白名单”+“机器学习” + “工业入侵特征库” + “网络层规则”的在线旁路监测方式，深度解析Modbus TCP、OPC、IEC104、DNP3、PROFINET、MMS、S7、CIP、GE-SRTP等多种工控协议，通过多维审计的方式，监测工业控制系统网络中的异常行为，并留存数据，为追溯工业控制网络业务异常事件与网络安全事件提供依据。

立即咨询

产品概述

产品特点

网络病毒检测

根据网络病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测引擎内含海量的病毒，特征数据，实时匹配工业网络数据特征，避开工业控制网络中的疑似病毒的正常数据特征，将工业控制网络中的病毒一一现形。

网络异常流量检测

统计每个主机或者协议的流量趋势，并算成流量曲线，匹配工业控制网络正常数据流量模型，一旦检测到某个主机或者协议流量在短时间内表现异常特征，则认为此数据是潜在攻击或威胁，对于发现DDOS攻击、洪水攻击等网络攻击行为提供参考。

协同防护

随着网络攻击的复杂性与专业性不断提高，单种安全设备的防护能力受到强力挑战，协同防护方式显得更有效。工业审计在检测到异常事件和攻击威胁时，下发合适的策略到相应的防火墙、态势感知、工业卫士等安全产品，以保证最优的整体防护功能。

网络风暴检测

根据工业控制网络正常数据基线，甄别网络数据中的组播、多播、连接请求、重传请求、同步请求的异常情况，实时展示网络风暴的现象，协助用户快速定位网络风暴的原因、地址来源。

日志审计与报表

日志审计包括安全审计、操作记录、协议审计、流量审计等内容。协议审计与流量审计是工业控制网络的主要审计功能，将工业网络数据中的未知协议展示与告警，将未知的威胁有形地展现。报表展示灵活，定制内容，定制类型，定制输出的格式，满足多种报表功能需求。

异常行为检测

通过不断地收集历史流量数据，建立流量和行为基准模型，有别于基于特征检测的防火墙只能检测到库文件中已有威胁的“静态检测”。对于发现网络层特征检测DDOS攻击，以及通过应用层特征检测其他复杂攻击提供参考。

网络取证

记录工业控制网络的所有活动，提供网络行为审计、内容审计，生成完整的事件记录、操作记录、告警日志等，保存对应事件时产生的原始数据包，并提供事件发生时的流量快照与系统配置，加密内容并只能读取，留存证据用于事件追溯。

应用场景

现场控制层审计

场景描述现场控制层的控制器直接与传感器、变送器、执行装置相连，实现对现场设备的实时监控并通过通信网络实现与上层机之间的信息交互。控制器即能脱离上位机按预定的程序自动运行，又能接受上位机的操作按需要运行合适的程序。监测上位机与控制器的网络数据，识别访问控制器的异常数据和未知威胁，就显得非常重要。

产品应用监测上位机与上位机，上位机与控制器，控制器与控制器的通讯数据；识别对控制器的异常访问；识别上位机的异常行为与操作；记录事件、日志，提供报表、报告，为追溯事件原因提供留存证据，包括事件快照、原始数据包等内容。实现良好的检测和防护效果；专业安服团队协助解决问题并出具安全报告。

通讯服务器审计

场景描述通讯服务器在工业控制系统中担当重要的角色，对内连接工业控制系统的过程监控网络层，对外连接生产管理层。生产管理层与过程监控层可能通过通讯服务器实现数据访问，一旦互联网的主机通过生产管理层的主机访问过程监控网络的主机，整个工业控制系统都处理威胁之中，生产装置的运行不再安全，恶意攻击事件有可能导致重大生产事故。

产品应用监测生产管理层与通讯服务器之间的网络数据，识别恶意攻击与异常行为；鉴别生产管理层的网络欺骗；检测生产管理层的主机通讯数据是否感染病毒；记录事件、日志，提供报表、报告，为追溯事件原因提供留存证据，包括事件快照、原始数据包等内容。对环境中的IT资产及OT资产进行识别，梳理用户与资产的访问关系。

应用场景—边界审计

主要针对工控网络的过程监控层与企业内网通信的场景，边界审计主要是监视来自企业生产管理层和互联网的威胁，需要结合传统网络信息安全与工控网络安全的特点，即能审计传统信息的安全事件，又能审计工控系统的特殊事件，如针对工控系统漏洞的攻击、工业协议攻击等。边界审计的重点在于审计企业内网和互联网的恶意攻击，审计生产管理层的访问过程监控层的数据是否合法，确保企业内网的设备受到恶意攻击时，实时告警，保证工控系统发生安全事件有记录，可溯源，构建立体防护体系防止外界攻击。