产品架构
1、数据采集层 负责原始报文的采集、协议解析(包括TCP/IP协议栈的解析及工业控制协议的深度解析)、初步攻击检测及信息汇聚与统计; 2、分析检测层 对来自数据采集层的报文解析结果、检测结果及汇总统计信息,进行工控网络通信行为建模,并对TCP/IP异常事件、工控指令异常事件、工控关键事件、网络会话异常事件等进行分析检测; 3、可视化/告警层 接收来自分析检测层的数据及检测结果,对告警进行多维度的统计分析和展现。
产品功能
异常流量检测
监测设备的流入流出流量并设置基线值,超出基线值进行报警。
无流量检测
监测设备流量,无流量时进行实时报警,及时发现无法提供服务的工控设备,通过故障定位分析,确定故障原因。
异常通信行为检测
监测并采集系统内正常的网络通信,并可手动调校相关通信连接基线,对偏离基线的行为进行检测告警。
正常通信行为建模
基于工控协议通信记录、智能学习通信关系、操作功能码和参数等方面对正常通信行为建模,实现违规行为监测审计。
工控协议通信记录
记录网络中的所有连接信息,支持记录回溯,除记录5元组信息外,还包括详细的开始时间、结束时间、源MAC、目的MAC、报文数、字节数,端口号,完整记录所有流量和行为。
工控关键事件检测
工控安全监测与审计平台对工控系统的工程师站组态变更、操控指令变更、PLC下装、所有写操作、负载变更等关键事件进行实时监控,对异常关键事件进行检测。
产品优势
基于DPI的工控协议深度解析
识别100多种工业协议,提供主流工业协议的深度报文解析,有效识别协议动态端口,支持OPC、Modbus TCP等主流工控协议,可识别超过1000种的功能码。
细粒度协议指令检测与审计
结合“白名单+智能学习”机制,对各类工控协议数据包进行快速捕获和指令级解析。利用智能算法学习建立工控通信基线,不符合触发报警。
工业环境硬件设计
采用高性能工业级ARM处理器,工业三级B以上指标,满足工业环境下宽温、防尘、防潮和高可靠性要求,支持导轨式、壁挂式、机柜式等安装方式。
支持通用工控协议解码引擎
产品内置通用工控协议解码引擎,提供软件SDK开发工具包,可基于协议语言描述规范自行定义工业协议,支持私有工控协议定制化二次开发。
应用场景
应用案例
产品推荐
渝公网安备 50010702502471号
023-68939936
service@360yunxi.com
在线咨询
客服热线
关注我们
回到顶部