产品概述
银科数安工业入侵检测系统
从“震网”到“wannacry”,全世界范围内针对工业控制系统的网络攻击事件越来越多,工业控制系统作为关键基础设施的重要组成部门,已经成为网络攻击的重点目标。如何创建一个安全的工业互联网环境也成为一个热门课题。
银科数安工业入侵检测系统是一款面向工业控制领域的入侵检测类产品。可实时检测网络通信,精确识别缓冲区溢出、扫描攻击、DoS/DDoS、SQL注入、蠕虫病毒、木马、间谍软件等攻击行为,内置丰富的针对工控系统攻击的检测规则。采用白名单自学习的基线模型方式,支持基于学习结果自定义工控协议安全策略,深度业务关联检测异常操作,采用多样化的告警方式,及时向管理员发送告警信息,并能够与工业入侵检测等网关防护产品形成纵深防护体系。
产品特点
事前警告
入侵检测系统能够在入侵攻击对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警
事中防御
入侵攻击发生时,入侵检测系统可以及时发现、TCP Killer等方式进行报警及动态防御
事后取证
被入侵攻击后,入侵检测系统可以提供详细的攻击信息,便于取证分析
产品功能
工业协议深度解析
银科数安网络接入控制系统提供802.1X、Portal、透明网关、策略路由等多种准入模式,通过不同方式对接入内网终端进行身份认证,判定合法性,多种准入模式可设置混合应用。认证支持用户名/密码、手机短信等不同认证方式。
工业白名单智能学习
银科数安工业入侵检测系统内置智能学习引擎,将工控入侵检测接入到网络中,开启工业协议深度学习功能,即可自动从网络流量中学习到业务包含的工业指令、地址、值等关键信息,并转化为工业白名单模板配置,被管理员调用,全程不需要人工干预,操作简单、配置精准、节省人力成本。
基于语义的SQL注入检测
银科数安入侵检测系统会首先构造一个可以执行各种SQL语句的虚拟执行环境,可以通过对输入的内容进语义分析,无论攻击者伪构造多么复杂,特殊的攻击内容。只要用户输入的内容中含有攻击的内容。就可以发现攻击。
灵活的安全策略管理
银科数安入侵检测系统采用基于策略的防护方式,内置了多种默认安全策略集,用户可以根据需要选择最适合自己需要的策略,以达到最佳防护效果。 用户即可以根据防护的类型不同而选择不同的事件集,即可以提高系统的性能,也可以减少误报的发生机率。
用户身份识别
系统提供了用户身份识别功能,银科数安将下一代入侵检测中的用户识别的理念引入到入侵检测系统当中,随着网络的不断发展以及BYOD的兴起,基于IP的管理越来越不能满足网络管理的要求,基于用户的身份识别将看不到的IP和真实的人联系起来。提供多种用户识别手段,方便管理员更好的发现威胁和攻击。
更精细的应用层安全控制
银科数安入侵检测系统采用流检测技术对各类应用进行深入分析,搭建应用协议识别框架,准确识别大部分主流应用协议,可以对基于应用识别的应用进行精细粒度的管理,能够很好的对这些应用安全漏洞和利用这些漏洞的攻击进行检测和防御。
基于流重组
攻击行为常常掩藏在7层应用的数据流中,通过通用的端口,进行伪装,欺骗无法流重组和协议分析的IDS产品,在攻击检测的过程中,为了准确有效得检测出隐蔽在多个数据包中的攻击,必须进行TCP会话的还原,从而得到完整的攻击特征。
基于协议状态分析
银科数安 IDS将真实的应用数据与签名库进行攻击特征的匹配在协议分析和还原以后真实有效的数据,这种真实可靠的有效数据的匹配,一方面提高了检测效率,另一方面,增强了检测攻击的准确度,减少了误报的概率。
典型应用
旁挂部署
部署在生产控制区域与信息系统区域的边界处,实现从信息系统到控制系统流量的安全性检测,发现潜在的攻击和异常行为。
部署在生产区域内部,旁路部署于DCS、PLC系统内部网络柜网络交换机上,对可能针对DPU、PLC等控制装置发动的攻击行为进行有效检测和预防。
