工控安全

工控入侵检测系统

北京南北恒达科技有限公司工控入侵检测系统是专门为工业控制网络量身打造的工控网络安全产品。它能实时监测工控网络的状态，依照安全策略对工业网络的运行状况，进行实时检测与动态监视的安全监测系统；通过对OPC、Modbus、IEC104、Siemens S7等主流工控协议报文的深度检测，基于威胁特征库实时检测来自内部和外部的各种攻击行为；通监测网络流量，判断异常数据，识别各类攻击流量，实时对攻击做出反应，弥补防火墙的不足。系统可以帮助工业用户及时发现可疑威胁，采取应对措施。

工控入侵检测系统适用于SCADA、DCS、PCS、PLC等工业控制系统，可以被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政以及其他与国计民生紧密相关领域的工业控制系统。

系统框架图：

主要功能

实时网络监测

默认通过旁路的方式（也可以串接）对工控网络进行实时监测，对协议、流量等元素进行统计分析，实时显示网络的状态。

 实时工控入侵检测

实时检测工控网络中的攻击行为，利用内置的工控威胁库，根据已知的威胁特征建立检测规则，实时对网络中的入侵进行告警。

入侵检测

支持基于IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式的攻击识别。

病毒检测

支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀、病毒库自动更新、虚拟脱壳、自定义查杀文件大小、查杀可疑病毒、可疑脚本、图片病毒、查杀邮件正文、附件、网页及下载文件中包含的病毒。

工控协议深度检测

采用被动检测的方式对网络数据包进行解析，并与系统内置的协议特征、设备对象等进行智能匹配，帮助用户尽快了解和掌握网络中的业务通信行为，及时发现潜在的安全威胁。支持Ethernet/IP、Modbus/TCP，IEC104，DNP3，Profinet，MMS，S7，GOOSE，SV等工控协议的深度检测，例如报文格式检查、功能码控制、寄存器控制，连接状态控制等的检测。支持自定义格式的工控协议检测。

异常工控行为监测

通过自定义规则或白名单规则，检测业务流量中不合规的工控网络行为，对不合规行为进行实时的告警和响应，留存网络数据。

传统入侵行为检测

内嵌丰富传统IT入侵攻击特征，可对常见的病毒、蠕虫、后门、木马、僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击行为进行有效识别和准确检测。

DDoS检测

抗应用型攻击包括HTTP Floop、DNS query flood等攻击；

抗流量型攻击包括syn flood、udp flood、icmp flood，tcp flood等攻击；

抗普通常见攻击jolt2、land_base、ping_of_death syn flag、tear_drop 、winnuke、smurf、ip spoof等Dos防护。

安全检测及响应

对监测到的大量事件进行有效识别和过滤，只显示有价值的告警信息；提供原始报文日志，帮助用户甄别报警的真伪，并作为取证的依据。对安全事件进行审计，及时追溯安全事件的轨迹。对用户的操作行为进行细粒度审计，方便还原操作的真相。独立的告警响应机制，可定义对不同安全级别的安全事件的响应方式。

日志与可视化

支持设备主机名、序列号、系统版本号、系统时间、特征库版本号、授权信息、在线管理员，系统日志、安全日志。

应用部署

采用旁路工作模式，网络的流量由其它网络设备把需要检测的流量镜像一份给入侵检测系统。在这种部署模式下，IDS设备不会影响网络的正常运行，也可以通过与防火墙联动等手段来阻断攻击。