安恒工控安全监测审计平台是一款专门针对工业控制系统的审计和威胁监测平台。该平台能够识别多种工业控制协议,例如s7,modbus/tcp,profinet,ethernet/ip、iec104,dnp3、opc等。监测审计终端采用旁路部署的方式接入生产控制层中的核心交换机,监测生产过程中产生的所有流量,具有实时监测、实时告警、安全审计能力,完全不影响现有系统的生产运行。
产品功能
-
工控系统攻击检测
安恒工控安全监测审计平台支持对如:工控协议、工控协议畸形报文、tcp/ip 协议层、参数阈值、工控协议层等多种针对工控系统攻击行为的监测并告警。
-
工控系统入侵检测
安恒工控安全监测审计平台内置丰富的检测规则,如:拒绝服务未遂、尝试获取用户特权、获取用户特权失效、尝试获取管理员权限、rpc查询解码、发现可执行代码等。
-
工控关键事件检测
安恒工控安全监测审计平台提供多种配置策略,用户可以选择需要检测的关键行为,如:工艺关键事件检测、ip 无流量事件检测等。
-
网络告警事件统计
安恒工控安全监测审计平台支持实时告警显示、告警事件统计、告警事件数量趋势等各类告警事件进行多维度的统计。
-
工控行为模型展现
安恒工控安全监测审计平台通过对通信数据进行长时间的监听,对工控协议的深度解析,结合特定算法建立工控网络的通信模型基线,对当前工控协议通信行为与基线进行对比,对偏离基线的行为进行检测并告警。
-
工控网络连接统计
安恒工控安全监测审计平台支持基于连接数/报文数/流量topip地址,基于连接数/报文数/流量 top 协议等网络连接进行多维度的统计。
产品特点
-
工控协议细粒度解析
安恒工控安全监测审计平台系统内嵌深度数据包解析引擎,能对modbus tcp、dnp3、s7、ethernet/ip、opc等多种主流工控协议报文进行深度解析;能够检测出数据包的有效内容特征、负载和可用匹配信息。
-
工控系统异常检测
安恒工控安全监测审计平台通过对通信数据进行长时间的监听,对工控协议的深度解析,结合特定算法建立工控网络的通信模型基线,对当前工控协议通信行为与基线进行对比,对偏离基线的行为进行检测并告警。
-
工控网络流量统计
安恒工控安全监测审计平台对关键网络链路提供持续的图形化流量监控功能,能够对流量数据进行长期的统计分析。支持按照不同的协议类型、不同的流量类型、osi模型分布进行工控数据流量统计。
-
工控系统事件回溯
安恒工控安全监测审计平台详实的记录工业控制现场网络所有的通信数据,并支持对工控网络通信记录进行回溯,根据时间、ip 地址、端口号、行为等条件查询通信记录,为工业控制系统的安全事故调查提供详实的依据。
用户价值
-
帮助用户实时掌握工业控制系统的运行情况
平台通过将工控网络的通信行为可视化,并提供友好的用户界面,提高了企业工控网络管理的效率,使工控网络管理简单易行,从而降低工控网络的运维成本。 -
为工业控制系统的安全事故调查提供坚实的基础
平台能够详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,并且提供回溯功能,为工业控制系统的安全事故调查提供坚实的基础。 -
有效检测针对工业控制系统发起的攻击和异常行为
平台能够实时检测出针对工业协议的网络攻击、误操作、违规操作、非法设备接入以及病毒的传播并实时报警,帮助客户及时采取应对措施,减少系统异常风险。
