工控安全监测

从包、流、会话、文件、协议元数据、网络行为、文件行为等多个层次进行检测，获得威胁信誉、威胁名称、核心行为等多维度信 息。基于真实文件格式内容识别，不受扩展名影响，可发现伪装的威胁。支持对图片、脚本、多媒体、文本、软件数据、文档、压 缩包、可执行程序等文件的并发还原，至少包括300余种文件格式识别结果。可执行程序支持EXE、DLL、SYS、APK等文件格式。

工业网络安全监测设备的部署

工控网络安全监测设备， 如针对工业控制系统的IDS检测系统、PS检测与防御系统、工控异常监测系统等。该类型设备需要监测的信息包括：通用网络行为(如各种木马、蠕虫、缓冲区溢出攻击、扫描探测、欺骗劫持 ，以及专门针对工业控制网络的攻击行为(如利用已知工控设备漏洞的攻击行为，基于主流工业通信协议的异常流量、异常指令及工业指令和畸形报文)等。

工控安全检测的产品架构

工控安全审计平台包括两个组件： 工控网络审计探针（简称“审计探针”）：为一个嵌入式硬件设备，旁路部署在工控网络中，通过交换机镜像获取工控网络流量，进行初步处理后上报给安全审计管理平台。

安全审计管理平台：为一个硬件服务器，负责接收各个工控网络审计探针上 报的数据，进行统一地分析检测，并将结果展现给管理员。

工控安全审计平台采用分布式部署、集中管理，多台工控网络审计探 针分布式部署在各个工业交换机的旁边，由安全审计管理平台进行统一的管理。