三中科技工控入侵检测系统

产品概述

随着计算机和网络技术的发展、特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和软件，以各种方式与互联网等公共网络连接，网络病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信安全问题日益突出。2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻挑战。与此同时，我国工业控制系统信息安全仍存在不少问题，如电力工控系统安全防护薄弱，控制协议无安全保护机制，存在安全控制漏洞和隐患，没有针对工控系统的入侵检测及主动预警和防御体系，一旦电力工控系统信息安全出现漏洞，将对电力电网的生产运行和国家经济安全造成重大隐患。

三中科技研发的工控网络安全综合检测系统采用业界领先的深度网络分析技术，以捕获全网通讯数据包为基础，精准识别工控网络协议，实时检测警报针对工控网络的入侵行为，变被动防御变为主动防御，确保工控信息系统的平稳有效运行。

应用价值

工控网络入侵检测

系统具备高效的入侵行为特征库，能对工控网络通讯中的协议、应用、通讯行为提供深入准确的分析、检测及安全诊断，及时捕获网络异常行为，发现网络入侵行为并分析出潜在的安全威胁。

工控内网安全监视

对工控系统网络全流量的采集，识别，存储与诊断，能够通过异常的网络流量识别发现非法外联，异常的网络应用和通讯行为，从而发现工控内网中存在的安全隐患。通过深入的分析加以甄别判定，全面掌握内网主机、设备工作运行状态。

工控协议合规性检测

对协议通讯内容进行鉴别与合规性检查，及时发现协议违规使用、命令越权操作等各种行为并进行报警展示。

工控网络全流量审计

l 提供实时分析与长时间全流量数据保存及审计追溯能力

l 关键取证数据的数据包和统计信息保存

l 高效多角度的数据挖掘快速检索能力

功能特点

网络流量监控

系统对关键网络链路提供持续的图形化流量监控功能，能够对流量数据进行长期的统计分析，主动分析网络和应用运行规律、网络行为规律，以及运行的趋势，从而帮助用户确立网络运行的基线，便于在网络日常运行过程中发现异常情况。

基于特征的深度协议识别与解码

系统提供近千种种网络通讯协议的准确识别、解码与分析。其中包括以下专有工控协议，并支持到协议子操作一级。

基于协议合规性检查的入侵检测

基于对工控协议的深度解码以及对合规性的分析，可实时发现工业控制网络内的危险指令、高风险指令、数据夹带以及工控协议端口重用等异常业务数据。

工控协议合规性可以实时的发现工业控制网络内的入侵行为，系统检测到这些入侵行为，会实时给用户提供警报展示。

基于业务行为基线的入侵检测

系统支持多视角、多层次对工控网络内各工控协议的业务指令进行统计建模，建模的维度包括业务量、业务的平均响应时间、Zui长/Zui短响应时间、业务指令发生的时间、工控网络内控制节点的互通状态；系统经过一段时间的自动学习之后，建立好业务模型，这个业务模型就是工控网络的业务基线。

通过业务基线，系统可以识别以下异常行为：

·     业务基线没有业务交互的两个控制节点产生了业务交互；

·     控制节点间发生了之前没有发生的业务指令；

·     键业务产生的时间与基线有较大的差异；

·     业务指令的响应周期比基线值有较大幅度的增加；

·     控制节点间的业务指令交互频率较大幅度的高于或者低于基线值；

这些异常行为意味着工控网络很可能正在被入侵，基于业务行为基线能够对新型和未知的攻击进行识别。

智能警报

支持全方位的网络行为异常预警，用户可以根据网络状况灵活调整警报参数，从而能够更准确的发现异常网络行为。系统能够对产生警报的通讯数据进行深入的智能分析，并提供相应的数据依据。

·    工控网络协议合规性检查警报

·     KPI参数警报（用户自定义关键流量阈值，诊断条件等）

·     警报设置，警报属性定义，触发条件，解除警报条件，触发的警报信息可以通过E-mail发送给指定人员，或者是发送到指定的SYSLOG服务器。

智能报表

提供丰富的内置报表，并支持用户自定义新报表。包括全局流量报表、入侵警报报表、协议与应用统计报表、异常流量分析报表、异常行为分析报表、Top警报统计报表。

网络流量单向采集

提供严格的流量采集隔离，确保单向无反馈传输。所配单向接收网卡（适配器）只接收数据，无任何数据发送到生产控制区。

系统部署

在生产控制区（安全区I）内部署多个前端探针作为数据监测点，对来自计算机监控系统、辅助设备控制系统等设备通讯流量进行实时检测与分析。管理员通过控制台连接至分析中心实现对网络入侵与内网安全监视管理 。

分布式多点部署，每台设备配有采集口、管理口、大容量存储介质及状态自检显示屏。其负责工控系统业务网络通讯数据采集并做持续存储，实时将原始数据包上报至分析中心汇总，同时报告前端工作状态及流量统计。

分析中心负责收集所有探针节点上报的数据包并做长期保存。中心以每个探针节点为分析对象，对工控系统全流量通信数据进行入侵检测分析和安全审计，同时提供回溯挖掘功能，深入展现数据细节及关联关系，为安全事件追溯提供数据依据。