| 需求分析

工業自動控制系統正在面臨前所未有的信息安全威脅，具體包括：

(1)由于病毒、惡意軟件等導致的工廠停產； 

(2)工業制造的核心數據、配方被竊取；

(3)制造工廠及其關鍵工控生產流程被破壞；

(4)惡意操縱工控數據或應用軟件；

(5)對工控系統功能未經授權的訪問等。由于長期缺乏安全需求的推動,對（采用 TCP/IP 等通用技術的）網絡環境下廣泛存在的安全威脅缺乏充分認識，現有的工業自動化控制系統在設計、研發中沒有充分考慮安全問題，在部署、運維中又缺乏安全意識、管理、流程、策略與相關專業技術的支撐，導致許多工業自動化控制系統中存在著這樣或那樣的安全問題，一旦被無意或惡意利用就會造成各種信息安全事件。針對工業自動化控制系統的特點，研制并部署相應的工業自動化控制系統信息安全系統，保障我國工業基礎設施的安全運營已成為迫在眉睫的需求。

| 產品簡介

網御工控異常檢測系統，是網御星云面向工業企業領域客戶推出的針對工業控制系統的專用網絡安全檢測系統。

該產品擁有國內高超的入侵檢測技術，支持對多種工業控制網絡協議的深入解讀，提供特有的工控網絡安全檢測策略，并可針對工控網絡敏感指令數據進行記錄和異常檢測，不僅可檢測工控網絡中發生的入侵攻擊，還可實時監測工控網絡中的敏感操控，實現故障與異常的預警。

除了工控入侵檢測之外，還可針對工控網絡敏感指令數據進行記錄和異常檢測。通過實時監測工控網絡中的敏感操控，預警客戶關注的工控網絡故障與異常，防微杜漸，減少安全事故的發生。

本產品由檢測引擎和管理中心組成。其中檢測引擎旁路部署在用戶網絡中，接入待檢測的網絡流量，對網絡報文進行各項檢測，將發現的安全報警信息上報；而管理中心主要是接收、存儲各種檢測數據；對檢測數據進行展示監測、對各種檢測數據進行分析、統計；并對檢測引擎進行規則下發、配置管理。

| 核心功能

●　以太網入侵檢測

對標準以太網的網絡流量，支持檢測已知的各種木馬、蠕蟲、僵尸網絡、緩沖區溢出攻擊、DDOS、掃描探測、欺騙劫持、網站掛馬等。

●　工控協議入侵檢測

通過對工控語言的解讀，研究其中各種入侵途徑，從而形成了特有的工控網絡檢測策略。支持Modbus協議、IEC-60870-104協議、Profinet協議、OPC等工控協議的深度解析。

●　工控漏洞攻擊檢測

系統內置多條工控漏洞攻擊檢測規則，支持利用已知工控設備漏洞的入侵攻擊行為檢測，支持利用西門子、羅克韋爾等常見國內外廠商設備漏洞的入侵攻擊行為的檢測。

●　異常報文檢測

支持網絡偽造報文攻擊檢測，可發現惡意構造的異常報文、畸形報文。

●　監測工業指令操控行為

產品開放其靈活、強大的定制檢測能力，針對客戶環境中重點/敏感操控指令進行專門監測并記錄。

●　網絡梳理

可自動梳理網絡連接信息，可查看各主機之間的網絡連接情況

| 產品優勢

●　特征事件覆蓋全面

產品不僅可檢測以太網的入侵攻擊、檢測工控網絡中發生的入侵攻擊，還可實時監測網絡中的敏感操控，實現故障與異常的預警。

●　工控網絡特有檢測策略

本產品通過對工控語言的解讀，研究其中各種入侵途徑，從而形成了特有的工控網絡檢測策略。使得本產品有針對性檢測工控網絡中的入侵行為。

●　網絡偽造報文攻擊檢測

本產品針對網絡TCP/IP協議棧報文進行各種典型違規的檢測，及時發現惡意偽造的異常畸形報文，檢測出入侵行為。

| 典型應用

產品旁路部署于生產控制層與PLC掛接的核心交換機，旁路通過鏡像口捕獲報文進行檢測。