一、产品功能

　　1、工业控制协议深度解析

　　工业互联网异常监测系统对主流工业互联网协议（Modbus/TCP、OPC、S7、IEC104等）进行研究，全面深层次的解析工控系统通讯语言，建立符合现场工艺的业务指令流模型，打破传统控制系统的黑匣子，可识别出工业互联网现场上位机对下位机的指令操作、工程师站对现场工业控制器的配置变更、以及对现场开关量和过程量阀值的输入等等，可以识别出网络通讯行为与工艺操作行为。同时， 工业互联网异常监测系统支持私有工控协议的扩展接口，可对不同用户的私有工控协议进行定制化的二次开发。

　　2、入侵实时检测

　　工业互联网异常监测系统支持对入侵行为特征进行分析，实时捕捉各种攻击行为。入侵检测模块核心的专家知识库目前包含了共15个大类的1300余种攻击特征，并在不断增加更新中，包括病毒攻击，木马攻击，拒绝服务攻击，数据库攻击，Web攻击，Icmp攻击，FTP攻击，DNS攻击，ARP攻击，邮件攻击，漏洞攻击，后门软件，IP/端口扫描，RPC攻击，缓冲区溢出攻击等等。

　　3、资产安全监测

　　工业互联网环境相比于传统IT系统来说要简单很多，控制系统一旦运行起来，除了常规停工检修、维修之外，系统长时间开启，保证正常生产。其中资产种类、数量固定，资产之间的通讯按照工艺流程规律进行，网络结构常规下不允许轻易改变。 工业互联网异常监测系统通过将合法资产加入“资产白名单”中对工业互联网中设备进行全面监测，当发现资产异常时立即产生报警，帮助客户对资产状态了如指掌。 工业互联网异常监测系统可对“非法设备接入”、 “设备非法外连”、“设备通信中断”等进行检测和实时报警。

　　4、通信安全监测

　　工业互联网异常监测系统基于对主流工业互联网协议（Modbus/TCP、OPC、S7、IEC10等）的通信数据进行采集与深度解析，建立符合现场工艺的业务指令流模型，将网络合法通信行为加入“通信白名单”及“协议白名单”中，将当前工控通信行为与白名单进行比对，及时发现违反业务生产秩序的操作行为，维护网络正常业务秩序。

　　5、指令安全监测

　　工业互联网异常监测系统可对“未知通信行为”、上位机和下位机之间的“指令变更”、“阈值报警”、“组态变更”、“负载变更”等异常行为等进行实时报警。

　　指令变更：就是指上位机电脑向下位机PLC或者DCS控制器发送开关阀、开关泵等操作变化。

　　阈值报警：就是指上位机电脑读取下位机PLC或者DCS控制器传输的阀门状态，温度、压力等传感器的数据的上限或者下限报警。

　　组态变更：就是指上位机电脑向下位机PLC或DCS灌装程序，或者从下位机PLC或DCS上载程序的网络行为。

　　负载变更：就是指上位机与下位机，或者下位机PLC或DCS与负载设备之间通信的变化。

　　符合工艺的指令变更是需要白名单策略，比如某个阀门的开启动作，而不符合工艺的指令变更是需要报警，比如某个阀门的关闭动作。因此在这个过程中，安全工业互联网异常监测系统需要及时发现这些合法和非法的网络行为，实时的进行报警

　　6、流量安全监测

　　工业互联网异常监测系统可对被监测网络中各个资产的网络流量进行监视，针对根据不同的资产设置不同的流量阈值,进行安全预警。通过流量曲线图、柱状图和详尽的流量分布表等多种方式对整个工业互联网总体流量监测结果进行展示。

　　7、统计报表

　　工业互联网异常监测系统基于丰富的工控安全事件库对网络环境安全进行全方位多维度的统计分析，对监测结果进行专业分析，提出建议，帮助用户全面掌握工业互联网安全。

二、产品特色

　　1、高效的处理机制

　　2、完善的安全机制

　　3、工业协议深度解析

　　4、工控安全检测与监测技术

三、应用场景

　　工业互联网异常监测系统属于旁路设备，可以依附于网络集线器或者交换机部署于网络中任何位置，镜像获取数据：

• 　　该部署方式，保证了监测系统对控制网的“零影响”
• 　　系统对镜像口只读不写，没有任何发包行为
• 　　系统本身出现问题时，不会对控制网络有任何影响
• 　　系统旁路部署于工业控制网中，连续监测工业控制网中传输的所有网络通讯信息，通过资产规则、通信规则以及工业控制协议深度解析功能，对来自工业控制网中的的工控指令进行多维度解析，包括功能码、地址范围、值范围等，从而检测出是否符合网络协议通信数据和指令操作的合规性，实现对重要系统、重要设备的安全监测与审计，帮助现场工作人员及时处理，减少因为恶意软件所导致生产质量和产品质量的下降。