工业监测审计系统功能及技术特点

1、部署

该系统主要面向工业网络及自动化系统，提供工业网络通信流量深度审计，对异常数据包、异常网络行为进行实时预警和记录，为工业网络安全事件的事前预防、事中发现和事后调查追溯提供依据。具体可部署于工业生产网内部各工艺段之间的网络区域边界处；工业生产网与信息管理网（如MES、OA等）之间的网络区域边界处；工业控制系统各重要网络节点处（如重要控制器或服务器的通信通道）。

2 能力

内置多种IT及工业协议解析。该产品DPI深度协议分析引擎支持包括ModbusTCP、IEC60870-5-104、DNP3.0、Siemens S7、CIP、Ethernet/IP TCP、Ethernet/IP UDP、Ethernet/IP IO、OPC DA、OPC UA、MMS、FINS等协议在内的主流工控协议。

智能流量行为学习引擎支持IP分片重组和TCP分段还原重组，支持工业畸形报文预警。深度智能检测引擎支持工业协议的指令集和数据报文的流还原，为工控网络安全事件追踪提供依据。

该系统可以自动学习设备资产、通信接口及通信关系等，构建工控网络的网络地图。对安全事件进行审计，及时追溯安全事件的轨迹；对用户的操作行为进行细粒度审计，方便还原操作真相；独立的告警响应机制，可定义对不同安全级别的安全事件的响应方式。对工业网络进行实时监测，对协议、流量、日期和时间、用户、事件类型、事件是否成功等元素进行审计并进行统计分析，实时显示网络的安全状态。

二、技术创新性

本产品基于智能学习技术建立安全行为检测模型，基于大数据的关联分析和可视化技术，做到工业互联网场景安全监测和响应的安全性、可靠性、可扩展性、准确性和实时性，可管理性。实现工业互联网全工业流量的安全监测。

⬥ 深度安全分析技术

（1）海量的特征库，持续的漏洞特征更新

（2）多重未知威胁挖掘算法，持续的机器学习能力

（3）ATT&CK工控威胁框架融入，安全威胁的深度挖掘和验证

（4）多层次的纵深防御机制，攻击链行为识别能力

（5）自主的安全DPI技术，进行细粒度协议分析，共支持400+种协议分析

⬥ 基于深度学习安全行为检测模型

利用大数据技术，从基于特征的匹配分析升级到基于行为的异常分析，从基于攻击特征监测提升到给予攻击模型深度检测，从针对样本数据的分析拓展到针对全量数据的分析，基于大数据的溯源追踪，确定报警真实性、攻击源，评估攻击造成的危害。

⬥ 基于大数据的可视化技术

数据展示功能适用于各功能的可视化部分，在保障稳定可用的前提下，做到形象直观、交互性好、可自定义查询条件等，并借助可视化图表的观赏性和大数据展示概括能力，帮用户挖掘、理解网络安全数据对网络当前的安全状态、安全事件进行动态实时展现，引入多种可视化技术，通过将大量的、抽象的数据的展示方式进行优化，以图形的方式，简单直观地来表现庞杂的数据体系。

⬥ 打造信创工业监测审计

基于国产化CPU和操作系统，结合我们自主研发的工业监测审计系统，打造信创系统，加深自主可控能力。

硬件平台使用国产自主的海光CPU，X86指令集多年来亦已形成深厚的生态积累。

操作系统使用麒麟V10系统。麒麟V10是针对企业级关键业务，适应虚拟化、云计算、大数据、工业互联网时代对主机系统可靠性、安全性、性能、扩展性和实时性的需求，依据CMMI 5级标准研制的提供内生安全、云原生支持、国产平台深入优化、高性能、易管理的新一代自主服务器操作系统。

此次获奖既是对威斯尼斯人wns2299cn产品实力的认可，也是对威斯尼斯人wns2299cn技术自主创新发展的激励。未来，威斯尼斯人wns2299cn必将持续技术创新，悉心打磨产品，为客户提供更加专业、可靠、优质的产品及技术服务，积极助力打造国家关键信息基础设施安全堡垒。