RT-1200工控网络安全防护平台

工业控制网络安全防护平台,可实现网络流量建模、业务行为建模、网络秩序建模、运维行为建模,以发现恶意行为和异常行为;同时可以对设备运行状态和资产进行管理,实现工业控制系统安全的可视化和安全风险的量化。工业控制网络安全防护平台,能够将工业控制系统安全静态防御与动态检测有机的结合起来,形成一体化动态防御体系,实现工业控制系统安全风险闭环管理。

基础功能:(1)流量监控:以“流量”为维度,通过抓取网络流量,建立流量基线,将网络流量与基线进行比较、分析、检测,发现流量异常,对异常流量进行告警。(2) 行为监控:以“行为”为维度,通过对业务行为建模、网络秩序建模、运维行为建模、以发现恶意行为和异常行为。(3) 设备监控:以“主机”为维度,建立主机进程白名单,监控主机配置,监控主机状态、监控主机外设使用情况。 (4)资产管理:以“资产”为维度,识别非法资产、合法资产,建立资产清单,对资产配置和漏洞进行管理。(5) 指令监控:以“协议、指令”为维度,检测协议漏洞利用,并监控违规指令、参数超限、违规操作。

主要特点:基于语义的SQL注入检测 传统的基于特征的SQL注入检测,漏报和误报率高,比如在USER字段提交Select,将会被认作攻击行为。做编码转换或函数转换或者是关键字跨域之后,攻击者很容易躲避机械地匹配字符串方式的检测。 入侵检测系统会首先构造一个可以执行各种SQL语句的虚拟执行环境,可以通过对输入的内容进语义分析,无论攻击者为构造也多么复杂,特殊的攻击内容,只要用户输入的内容中含有攻击的内容,就可以发现攻击。灵活的安全策略管理 入侵检测系统采用基于策略的防护方式,内置了多种默认安全策略集,用户可以根据需要选择最适合自己需要的策略,以达到最佳防护效果。 用户即可以根据防护的类型不同而选择不同的事件集,即可以提高系统的性能,也可以减少误报的发生机率。