工业协议深度解析
支持多种工控协议的深度解析,如Modbus TCP、IEC104、GOOSE、SV、MMS、DNP3、OPC DA、OPC UA、S5、S7、Profinet、FOCAS等。提供协议动态端口识别,报文格式检查,完整性检查,控制指令合法性检查等功能。 |
攻击事件检测
支持对工控网络攻击行为进行检测并告警,规则集可根据影响业务类型和攻击类型进行自定义,主要支持的攻击和异常行为类型支持针对工控设备、工控协议、以及通用设备和协议的安全规则,包括缓冲区溢出、SQL注入、应用协议DOS攻击、DDOS攻击、网络蠕虫、木马软件、间谍软件、勒索病毒、挖矿病毒、钓鱼攻击、远程执行等40类攻击行为规则。并具备威胁情报库,包括恶意IP、僵尸网络、URL、C&C服务器、APT组织、洋葱头 (Tor)网络节点等威胁情报信息,进一步提升攻击检测能力。 |
病毒检测
支持对网络报文中的FTP、HTTP、SMTP、POP3、SMB等协议中传输的文件进行还原,通过病毒检测引擎快速进行文件病毒检测。 |
灵活的事件响应
针对分析检测的安全事件,可进行灵活的策略配置,以进行不同的响应处理。可进行及时告警、Syslog事件发送、SNMP通知,以便管理员及时进行响应处理。 |
二次事件分析
支持对告警事件进行二次分析,支持定义统计规则或关联规则,根据条件设置单个审计事件或关联事件发生频率超过阈值时,分析生产新的事件。
|
丰富的检测规则库
基于行业的深层积累与研发,产品沉淀了丰富的攻击检测规则库,总条目达到13000多条,涵盖多种类别,并可进行持续升级,及时检测到各种攻击行为。
工业协议的深度解析能力
支持广泛的工控协议的深度解析,覆盖2-7层的解析能力,可识别到工业协议中的各种工业控制命令、机器状态等重要参数。
基于并行计算的快速检测能力
基于多核高性能处理器,采用并行特征匹配算法,充分发挥特征检测引擎的效率,快速完成网络数据包和攻击特征规则的匹配,具有非常高效快速的攻击检测能力。
动态负载调节的多引擎检测能力
内置安全协议检测引擎、漏洞攻击检测引擎、病毒检测引擎,基于负载智能动态调节,降低了系统开销,提高了检测的效率。多检测引擎对不同安全威胁分别进行针对性的深入检测,提高了检测的准确性。
智能关联分析能力
入侵检测引擎基于智能机器学习技术,关联分析流量数据、安全事件信息以及安全知识库信息,支持流量异常监测,支持“肉鸡”检测、支持防TCP 端口扫描、防UDP 端口扫描、防IP扫描等异常行为检测、支持连接数异常检测,发掘深层次的安全威胁及未知攻击行为,进一步提升攻击检测能力,减少漏网之鱼。
工业级可靠性保障
产品基于工业级硬件平台,采用无风扇(可选)、独特重负荷铝合金外壳鱼鳍型散热设计,低功耗、宽温(工作环境:-20℃ ~ 70℃)、IP40级别防尘防护,10KV端口防雷,满足工业高可靠性环境使用。
一键式部署
用户选择应该被部署的规则,这些规则可以统一调入到规则库下发部署到终端设备,设备可自动调整下发规则及策略之间冲突,简化配置,实现一键式部署。一键式部署安全规则大大简化了用户操作的难度,方便用户使用工业入侵检测系统,大大提高了该系统的易用性。