- 首页
-
产品
网络安全监测与审计系统
网络安全监测审计系统通过分布式部署的数据采集探针对工控以太网、工控总线、IO信号、状态参数、设备日志等信息的全方位、多层次数据采集,基于协议解析、模式匹配、关联规则、线性回归等方法进行深度分析,从而发现非法组态、高危指令、异常流量、IO信号越界、病毒网络攻击等异常事件并进行告警,并可对事件原因进行追溯,通过预测算法还可对将要发生的安全事件进行预警。
半岛.综合体育入口网络安全监测与审计系统是一款面向工业互联网的异常监测产品。适用于电力、石油、化工、供热、供水、交通等工艺流程,具有对工业控制系统的工程师站组态变更、操作员站数据与操控指令变更,以及各种主流现场总线访问、负载变更、通信行为、异常流量等安全监测能力,具备过程状态参数、控制信号的阈值检查与报警功能。
系统可实时采集工业以太网基于TCP/IP的网络流量,采集工控总线如PROFIBUS、MODBUS总线帧数据,采集现场设备的模拟/数字IO电平信号并进行存储和查询。对上述流量通过协议解析、模式匹配、阈值统计、时间序列、关联规则、线性回归等方法进行深度分析,从而发现非法组态变更、高危指令操作、负载异常变更、异常网络流量、IO信号阈值越界、病毒网络攻击等异常事件并进行告警,并可对事件原因进行追溯;通过预测算法还可对将要发生的安全事件进行预警。
系统支持深度解析常见的工控协议如OPC、MODBUS、MMS、DNP3、S7、IEC102/103/104规约、Profinet、Ethernet/IP、Goose、SV、Bacnet等,以及总线协议如PROFIBUS、MODBUS、CAN等。支持灵活的策略配置、事件管理、告警方式、设备管理、系统升级、健康自检、用户权限管理等,支持安全的系统管理方式和数据通信加密等。支持丰富的统计功能,可生成多种格式的安全报表。支持灵活可定制的态势展现如拓扑自动发现、趋势曲线、统计图形等,便于对监测整体情况进行追踪。支持分布式部署如多探针、数据库集群、并行数据分析等,可灵活扩展以支持任意规模的工业互联网系统安全监测。
主要特点如下:
- 工控数据采集。同时对工业以太网(基于IP)、工控总线(PROFIBUS、MODBUS、CAN等)、IO信号(数字/模拟输入/输出)相关流量、状态参数、设备日志等进行采集,收集数据全面。
- 高速报文实时留存。支持对多网口、光电混合、1000Mbps网络无丢包报文采集能力,支持设置采集策略,支持报文的数据库存储和查询,也支持原始报文的pcap格式报文导出。
- 横向扩展性能。采集设备分工控网络探针、工控总线探针、控制信号探针、异常监测中央平台、数据库集群。全部采用分布式部署,采集探针数量可根据需要监测的点数多少和位置等进行选择;数据库采用MongoDB集群,存储容量和性能可通过增加节点个数横向扩展;异常监测中央平台使用并行处理,性能可扩展性好。
- 工控协议种类。支持对各种知名的工控协议如OPC、MODBUS、MMS、DNP3、S7、IEC102/103/104、Profinet、Ethernet/IP、Goose、SV、Bacnet等进行采集分析;支持对PROFIBUS、MODBUS、CAN等总线帧结构进行采集和协议解析。
- 监测告警秒级延迟。分布式部署的系统组件之间根据各行业的特点经过专门的优化,从安全事件发生到产生告警的延迟降到秒级。
- 攻击异常识别能力。备多种异常监测算法如协议分析、模式匹配、关联分析、序列分析、阈值判断、智能统计、回归分析等,可以对常见的网络攻击行为、违规操作、异常流量、错误配置、设备故障等安全事件或异常行为进行实时告警、溯源,甚至对可能发生的安全事件进行预测。
l资产拓扑自动发现。基于对采集报文的实时分析,自动提取IP、MAC、开放端口、应用服务等资产信息,通过设备/协议指纹匹配还可自动识别设备厂家、型号、功能等。在开启主动探测功能的情况下,还可以识别操作系统类型、主机名、弱口令等。系统通过抓包分析网络的拓扑结构,自动生成网络拓扑图。支持自动识别主机、服务器、打印设备、网络设备等,并支持拓扑图的导出。
