工控安全涉及国计民生,安全态势严峻,关键信息基础设施成为网络对抗的主战场。
系统内置了丰富的图形化 统计报表,针对流量,设备资产,数据包、攻击流量,诊断流量、分类流量、端口、应用服务,会话等多维度进行数据分析统计。
工控安全审计系统支持BACnet、DNP3、ENIP-IO、ENIP-TCP、ENIP-UDP、fins、goose、iec104、mms、modbus、opcda、opcua_tcp、pnrtdcp、pnrtio、profinetcba、profinetio、s7、s7plus、scnet、sonet、sv等25+协议的深度解析。
基于对工控协议的深度解析,分析工控协议通信行为过程,通过白名单机制构建工控协议的通信行为建立模型。 支持智能学习和自定义结合的方式构建工控协议白名单规则,检测业务流量中不合规的工控网络行为,对不合规行为进行实时的告警和响应,留存网络数据。 支持Modbus TCP,OPC,S7等工控协议白名单的自定义,进行指令级乃至值域级的控制,方便进行精细化配置。 白名单规则包括工控协议报文的功能码、地址范围和工艺参数范围等。
实时检测工控网络中的攻击行为,通过内置的工控威胁库及威胁特征检测规则,实时对网络中的蠕虫,木马,缓冲区溢出攻击,扫描探测等入侵行为进行识别、处置和告警。
支持通过配置模板导入报文偏移,匹配字节,匹配数据等特征,生成自定义威胁特征,对内置威胁特征库之外的入侵威胁行为进行识别和告警,自由扩展威胁特征库。
持续监测通信链路上工控协议流量,对工控协议流量异常中断进行实时告警;
结合工控协议深度检测,准确识别出流量中的工控协议关键操作行为并告警产生关键事件对组态变更、操控指令变、PLC程序下装等关键事件告警;
自动识别流量中的资产信息并自动收录,支持一键将已收录资产加入资产白名单, 支持手动录入资产信息并加入资产白名单, 支持地址盗用监控,持续监测网络中存在的设备IP地址盗用行为并告警。 支持未知设备接入监控,持续监测网络中设备,对资产白名单以外设备的接入行为进行告警。
支持DOS攻击和扫描攻击检测和告警。支持对 TCP会话的相关诊断数据(包括TCP连接被拒绝、TCP 重复的连接尝试、TCP 重传数据包、TCP 重复确认等)进行统计,支持IP 首部非法校验和、ICMP端口不可达等进行统计,支持端口报文异常检测,包括端口报文速率突变、超过阈值、长时间无报文等,支持工业控制协议应用层断链及断链重连检测,支持会话数量统计和检测,包括新建会话速率突变、超过阈值等,支持敏感服务实时监测、统计和展示,支持多种攻击流量实时监测、统计和展示,支持广播流量、多播流量、单播流量统计展示,支持按照包大小分段统计各区间包数量。
支持FTP以及多种重点工控协议的文件还原,能够还原特定协议流量中传输的文件
支持用户自定义协议类型,可以灵活扩展新的协议,提供对未知私有协议的支持。 通过协议特征的方式进行功能码级别的协议自定义,并可以对新添加的协议进行识别,细粒度协议分析,白名单自学习以及规则匹配,产生相关安全事件。