1001140500-G0 F1 EM27S980151B3-27板--罗克自动化致力于工控电气设备销售维修服务,欢迎来询【159-1896-2164】!
罗克自动化科技有限公司从事多种品牌工业变频器,逆变器,伺服器,调速器,触摸屏等业务,现已成一家专业的全球性工业自动化备件及零部件的销售维修型企业。
1001140500-G0 F1 EM27S980151B3-27板渠道商介绍,各种工控专用协议的精确深度解析非常具有挑战性,仅采用单一的协议解析方法具有诸多限制,很难保证工控网络中主流或私有协议的准确识别;而且现有的相当一部分流量识别方法仅仅是面向了离线识别的应用,而不能满足在线识别的要求。系统综合采用特征串匹配、协议特征分析、业务行为统计特征、流关联和机器学习等多种技术,针对Modbus TCP、DNP3、Profinet、OPC、S7、IEC等主流工控协议进行特征提取和过程还原。并且通过应用层业务识别描述语言解释器,既实现对典型应用层业务的识别,又可拥有对新出现和工控领域中专属业务识别的扩展能力。应用层业务识别描述语言采用类XML的形式,定义了一套灵活、方便的协议识别规则描述方法,可实现对2~7层各类协议的规范化描述。在识别模块中主要完成识别引擎(完成具体识别的过程)和识别规则管理两部分的功能。
在流量行为分析的基础上,结合持流量、性能、威胁情报、设备等结构化及非结构化数据的关联建模分析技术,实现网络安全态势可视化与**防护。如图6所示,在kill chain等相关研究的基础上,把网络入侵的行为划分为3个步骤,7个阶段。并基于划分,对收到的海量告警信息进行拆分和关联,设计和开发了异构数据源的告警挖掘、关联分析引擎,支持对IDS、防火墙、漏扫业务产生的日志进行关联分析。采用关联分析、时序模式分析、聚类分析法等方法对告警数据进行关联处理。比如对网络的流量大小、业务分布、端口情况等进行建模,当发现网络中的流量分布和正常流量存在偏差时,通过异常流流量和kill chain确认阶段的告警信息,对模型的差异进行分析,可以确认设备已经感染木马或者蠕虫等恶意程序。
资讯来源:汕头罗克自动化
|
