车间工业控制系统面临的网络入侵、恶意代码主要包括已知的恶意代码的攻击、未知的恶意攻击,另外车间内部还经常存在异常流量和异常行为,这些都会给生产系统造成不可预估的影响。
网络威胁感知系统旁路部署在工厂核心交换机,入侵检测系统和工控安全监测与审计系统旁路部署在车间汇聚交换机。
部署示意图:
本方案可以解决的问题:
网络威胁感知:
高效的网络异常行为检测,可识别丰富的网络应用层协议,通过协议分析、网络异常行为模式匹配等检测技术快速鉴别出DGA恶意域名、DDoS攻击、SQL注入、漏洞扫描和漏洞攻击等网络恶意行为;
全面的未知威胁检测,基于独特的基因图谱检测技术,通过结合机器学习、图像分析技术,将恶意代码映射为灰度图像;通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析,从而实现对未知威胁进行检测。
入侵检测:
基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击等安全威胁,为用户提供L2-L7层网络安全防护。
优化的攻击识别算法,能够有效抵御DOS/DDoS攻击,保障网络与应用系统的安全可用性。
专业Web攻击防护功能,支持SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,满足用户Web服务器深层次安全防护需求。
高性能的病毒过滤,领先的基于流扫描技术的检测引擎可实现低延时的高性能过滤。支持对HTTP、FTP及各种邮件传输协议流量和压缩文件中病毒的查杀。
工控安全检测与审计:
攻击异常检测,基于正常通信模型,对工控指令攻击、控制参数的篡改、病毒和蠕虫等恶意代码攻击行为等进行实时监测和告警
无流量的异常检测,实时监测设备流量,当发现其在一段时间内没有收发流量,则进行实时报警。
重要操作行为审计,对工程师站组态变更、操控指令变更、PLC下装、负载变更等操作行为进行记录和存储,便于安全事件的事后审计。