产品概述
瑞星工控智能分析系统是针对工控领域对威胁进行感知和预警的系统,它可以对威胁流数据进行嗅探,实时分析最新数据,对威胁进行预警与拦截,同时提供完整解决方案,进一步保护工控环境免受威胁。
产品特点
自主检测规则编写
对于CVE等威胁,通过IP、端口、协议、内容等条件,用大量样本做训练,提取多维特征值,实现入侵流内容的安全检测。通过不断完善和在线升级,减少产品误报率,更精准的检测出威胁。
嗅探和解析处理分离
针对流量的数据包,按照规则只采集有威胁的数据,减少丢包率,保证数据完整性。解析和采集分开处理,相互关联和相互独立,提高产品的解析速度和正确性。最大的优点是同一时间的大量攻击可以保存下来,方便后期分析和处理。
旁路和串联布署
产品网络布署方式有两种,一是旁路接口,通过硬件实现旁路,直接并连接入网线路,对现有网络没有任何影响;二是串联部署,把产品做为一个网桥,串联到系统网络中,可以快速的检测出危胁。只有串联方式可以实现黑白名单功能。
入侵攻击分类分析
缓冲区溢出:通过攻击可以导致程序运行失败、系统宕机、重新启动等后果。
信息泄露:通过攻击获取系统基本信息、设备信息、账户信息、隐私信息和网络行为信息等。
权限控制:通过攻击获取系统特权,进而进行各种非法操作。
路径遍历:通过攻击获取系统目录等信息,进而获取所有系统文件。
产品的升级机制
自动升级:通过其他网口接入外网实现自动升级功能。优点是升级接口和监控接口分离,不需要人工干预,可实现自动升级规则和展示页面等信息。
手工升级:下载升级包实现手工升级功能。对没有网络的环境,可通过人工方式升级。人工下载升级包在内网上传实现系统的更新。
实时分析和预警
系统可以对网络数据进行嗅探,并对最新的数据进行实时分析。及时对当前威胁进行预警,并展示出威胁的详细描述、危险等级、解决方案等相关信息。结合公司的其他产品,对问题进行有效解决。
系统保护还原
系统核心并没有存放在硬盘上,其他用户根本无法访问,所以无论用户作出任何错误操作或是系统被攻击损坏,都能直接还原到可用状态,并且不会清除系统的数据。同时也可以还原到出厂状态。
黑白名单规则
黑白名单规则可以对数据进行筛选,可以按IP、端口、协议、数据特征等条件设置过滤规则,针对工控数据样本内置了一些黑白名单规则。