- 概述
- 部署模式
- 流量审计
- 协议深度解析
- 工控自学习
- 攻击库
- 应用控制
- 流量控制
- 了解更多
概述
工控入侵检测系统(IDS)是网络行为的监控系统。它通过实时地监视网络,一旦发现异常情况就发出警告,根据检测方法又可分为异常入侵检测和基于特征库的入侵检测。
不同于防火墙,工控IDS是一个监听设备,采用旁路部署,不需串接在网络中,无须网络流量“流经”它便可以工作。工控IDS部署唯一要求是,工控IDS应当旁路部署于所关注流量都流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
工控入侵防御系统(IPS)是在工控IDS技术上发展起来的。旁路式工控IDS(工控入侵检测系统)对绝大多数的攻击行为只能记录日志,而不能进行阻断。而工控IPS是在线式的,直接部署在不同安全级别的工控网络区域之间。这种在线式的工控IPS对各种攻击均可直接阻断并生成日志。
自由的部署模式
工控入侵检测/防御系统(IPS/IDS)具有多种部署模式,用户可以根据自己的实际网络情况选择相应的部署方式。
NAT模式
NAT模式是指设备工作在三层路由模式,以网关模式部署在组织网络中,所有流量都通过处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能。作为组织的出口网关,安全功能可保障组织网络安全,支持多线路技术扩展出口带宽,NAT功能代理内网用户上网,实现路由功能等。
透明模式
透明模式是指设备工作在二层交换模式,设备以网桥模式部署在组织网络中,如同连接在出口网关和内网交换机之间的“智能网线”,实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。网桥模式适用于不希望更改网络结构、路由配置、IP配置的组织。
旁路模式
旁落模式采用流量镜像的方式,也就是在交换机或者路由器上做流量镜像。IDS对流量进行监听,发现其中的攻击、病毒和各种网络行为。IDS可以支持多路流量的审计。
基于会话的流量审计
简网工控入侵检测/防御系统(IPS/IDS)提供完整的会话分析及流量分析功能。
会话分析
工控IPS-IDS是可以基于状态检测机制对会话进行分析,它会跟踪会话从建立、维持到中止的全过程,已建合法连接的后续数据通信可以直接放行,极大的简化了配置、提供了效率。所有的会话都会维持在会话表中,还可以供管理员分析和排错使用。
流量分析
工控IPS-IDS可以监控所有接口的流量图,包含进出的流量对比。
查看每IP的流量图,根据源IP、目标IP进行top10,top20排行分析不同字节所占流量的比例
还可以根据应用进行排行。
工控协议深度解析
工控IPS/IDS可以对多种工控协议进行深度分析、解析其操作、变量与参数等。
1)协议类型检测
终端防护设备对协议数据进行检查、分析、过滤,只允许配置策略指定类型的通信协议数据传输,并对非指定协议数据实施阻断。
2)功能码合法性检测
在通信协议数据符合协议类型的前提下,终端防护设备对功能码指令进行检查、分析、过滤,只允许配置策略中设定的功能码指令通过,并对非法功能码指令实施阻断。
3)功能码访问地址合法性检测
在功能码指令合法的前提下,终端防护设备对功能码的访问地址进行检查、分析、过滤,只允许功能码访问配置文件中设定的合法地址范围,并对功能码的非法地址访问实施阻断。
4)寄存器值设定合法性检测
在功能码指令及访问地址合法的前提下,终端防护设备对功能码设定的寄存器值进行检查、分析、过滤,只允许功能码对寄存器设置为配置文件中设定的寄存器值范围,并对非法寄存器设定值实施阻断。
工控协议自学习白名单体系
工业网络中设备众多、网络通信复杂,用户很难全面的掌握网络中所必须的业务通信需求,这会给安全设备的规则配置带来很大的困难。为了方便用户进行异常行为检测规则的配置,提高规则配置的准确性,减少规则配置的工作量,我们开发了基于自学习的白名单体系,并应用到工控IPS/IDS中。该功能采用通过策略方式从网络中采集数据包,并进行数据包的解析,智能的与系统内置的协议特征、设备对象等进行匹配。帮助用户以最直观的方式了解和掌握网络中的工控业务通信状态,发现工控网络潜在的安全风险。并且可以基于自学习内容建立起工控流量的白名单体系。
工控IPS/IDS可以设置白名单对工控系统进行管控,工控IPS/IDS通过对多种工业控制协议的通信报文进行深度解析,完成对工控数据的实时监控和记录。实时检测针对工业控制协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒的传播并实时报警。实时解析通过的所有工控协议数据,并以分钟为单位,记录各个工控数据的数值范围。记录数据保存30天。通过对记录数据的分析,可以生成各个数据的规则模型。根据自学习的规则模型,实时检测工控数据流,发现异常时进行报警。同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录。帮助用户以最直观的方式了解和掌握网络中的业务通信状态,发现工控网络潜在的安全风险。
强大的攻击库
工控IPS特征库内置7000多种攻击特征,并自动通过Internet更新,确保用户在第一时间实现对最新攻击方式的防御。工控IPS特征库中包含大量国内特有的攻击或应用,如QQ、迅雷等,适应国内用户的本土化需求。
工控协议的漏洞防护
因为工控网络出于稳定性需要,很少进行补丁升级工作。工控审计可以通过IPS的防御功能来抵挡各种攻击行为从而保证内网的安全。
工控审计可以检测和防御针对工控系统的网络攻击,保证工控系统的安全。产品内置了100多个SCADA特征库,涵盖了DNP3, ICCP, Modus等多种协议,如下图所示。
工控产品的漏洞防护
它不仅仅涵盖各种工控协议,而且也涵盖了多个厂商产品,比如研华、施耐德、西门子ABB等产品.
溢出类攻击(buffer overflow)
缓存溢出(Buffer overflow),是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,通常是内存区地址。在某些情况下,这些过量的字符能够作为“可执行”代码来运行。从而使得攻击者可以不受安全措施的约束来控制被攻击的计算机。
暴力破解类
暴力破解(brute force),又名暴力攻击、暴力猜解,从数学和逻辑学的角度,它属于穷举法在现实场景的运用。比如,由于同一个Web应用系统需要同时提供给不同的用户进行访问,为了区分用户及权限,身份认证和访问控制作为Web应用安全手段逐渐应用开来。然而由于登录功能的公开性,使得攻击者猜测用户名和密码以获取未授权访问的应用程序功能的攻击成了一种常见的Web应用安全风险。这种攻击手法我们一般称之为“暴力破解”。
后门类(backdoor)
后门病毒的前缀是:Backdoor。该类病毒的特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。
CGI类攻击
公共网关接口(Common Gateway Interface,CGI)是Web 服务器运行时外部程序的规范,按CGI 编写的程序可以扩展服务器功能。本设备集成了一百多种CGI攻击,涵盖了各种类型的服务和厂家。
SQL注入类攻击
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
Webshell类攻击
攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。
跨站脚本类攻击(XSS)
跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
扫描类攻击(Scanner)
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。
跨站请求伪造攻击(CSRF)
浏览器有关Cookie的设计缺陷当前主流的Web应用都是采用Cookie方式来保存会话状态,但是浏览器在引入Cookie时却忽视了一项非常重要的安全因素,即从WEB页面产生的文件请求都会带上COOKIE。Cookie的这一特性使得用户始终以登录的身份访问网站提供了便利,但同时,也方便了攻击者盗用身份信息执行恶意行为。
拒绝服务攻击(DoS)
DDOS攻击也称为分布式拒绝服务攻击,一般都是通过黑客控制的大量的肉鸡,结合反射放大等攻击对目标进行大量流量攻击,使其无法提供服务。DDoS类攻击是本设备关注的重点,内置了600-700种攻击特征库。
应用控制
多种应用识别技术,全面识别各种应用,进而有效管控和审计。主要包括:URL识别:设备内置URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术。设备除了内置的上百种URL类别以外,管理员还可以自定义URL分组,分组默认可以到500组,特殊场景可以扩容到更多组。根据组织内部特殊需求,将一些指定的URL划分到一个URL分组下,此时,各种权限策略就可以引用这个URL分组来做控制,满足精细化的URL控制需求,让企业内网管理更加灵活高效,更加满足“权限最小化”的管理原则。应用规则识别库:拥有大量的应用识别库,保证库处于最新状态;该库支持2000种以上网络主流应用。
对于IM类通信,由于其通讯端口是不固定,一般策略难以进行限制,上网行为管理可以针对这些应用进行识别和控制,下图为屏蔽QQ通信和文件传输功能。
流量控制
带宽有限,盲目地扩展互联网出口带宽,而对上网行为不进行管理,带宽仍然会不够用,而且一旦内网存在网络行为不规范、滥用带宽资源的用户,就会造成网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等现象,影响正常办公。
上网行为管理产品可以设置共享的带宽控制,配置后该端口下的策略共享带宽。
设置基于每IP的流量控制策略,每个IP分配固定的带宽。
上网行为管理还可以设置基于应用的带宽控制方案,为特殊的应用提供固定的带宽。
了解更多
公司已通过国家高新技术企业、双软企业、ISO27001(信息安全管理体系认证证书)、ISO9001(质量管理体系认证证书)认证、ISO14001(环境管理体系认证证书)、ISO45001(职业健康安全管理体系认证证书),ISO20000(服务管理体系认证证书)。查看更多证书》
高新企业证书
中关村高新企业证书
中关村会员证书
双软件企业证书
双软件企业证书
工业物联网产业联盟证书