工控安全监测

从包、流、会话、文件、协议元数据、网络行为、文件行为等多个层次进行检测，获得威胁信誉、威胁名称、核心行为等多维度信 息。基于真实文件格式内容识别，不受扩展名影响，可发现伪装的威胁。支持对图片、脚本、多媒体、文本、软件数据、文档、压 缩包、可执行程序等文件的并发还原，至少包括300余种文件格式识别结果。可执行程序支持EXE、DLL、SYS、APK等文件格式。

工控安全监测性能特点

通过工控网络流量及深度分析工控协议，并与内置的协议特征库进行智能匹配，实现实时流量监测及异常活动告警，帮助用户实时掌握工控网络运行状况，发现潜在的网络安全问题。

基于工控协议解析和工控通信特征库，实现对组态变更、异常操控指令、PLC程序下装等关键事件进行识别和告警。

支持网络流量及状态白名单基线，当有未知设备接入网络或现有设备间通信异常时，可触发实时告警信息。

工控安全防护的部署

在关键的工控系统单元前端部署具备深度包检测功能的安全防护装置，如检测与防御系统、工业防火墙等安全防护设备。为了获得更好的防护效果，工业防火墙应与安全监测系统配套使用，已满足对工控通信流量的深度检测以及对工控业务异常规则等情况的及时响应。同时要支持对特定工业协议和应用程序内容的深度分析和过滤，阻断不符合协议标准或不符合业务要求的操作指令和数据内容等。