入侵检测系统(IDS)

立思辰入侵检测系统

一、产品简介

立思辰入侵检测系统是针对工业控制网络设计的、提供网络入侵发现、事件关联分析、安全设备联动等功能的信息安全产品。

系统采用旁路监听方式进行部署, 对工业生产过程“零扰动”,不影响现有业务系统运行; 系统内置丰富的入侵规则库,涵盖了针对Unix、Linux、Windows等操作系统,西门子、施耐德、霍尼韦尔、艾默生、ABB、GE、AB等工控系统或工控设备,Modbus、IEC61850等50余种协议的漏洞利用规则库。

二、产品功能

  • 网络入侵识别

系统内置丰富的规则库,可通过对网络流量数据的分析,发现网络异常行为或攻击行为,如:端口扫描、木马后门攻击、DoS/DDoS攻击、缓冲区溢出攻击、网络蠕虫、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞攻击等。

  • 入侵躲避行为发现

一些网络入侵行为采用防识别技术,躲避防火墙等安全设备的发现与拦截。系统内置了支持IP碎片重组、TCP 流重组、协议端口重定向、特殊编码格式(URL 字符串变形、shell 代码变形、UTF-8编码等)等多种防躲避技术,有效发现网络入侵行为的躲避动作。

  • 网络流量监测

能够监视整个网络、子网或者某一特定协议、地址、端口的报文流量和字节流量,进行实时统计和展示,协助管理员了解实时的网络流量性质和分布,以便及时做出调整,确保关键业务能够持续运转。

能够设定整个网络、子网、特定协议、地址、端口的报文流量和字节流量的报警限值,越限后自动报警。

  • 事件关联分析

内置大量关联分析场景,如认证登录、授权行为、违规行为、系统变更、攻击入侵、敏感操作和设备故障等,通过事件关联分析引擎,可从低风险的事件中实时发现高风险的网络攻击和违规行为。

支持用户自定义关联分析规则,用户通过可视化编辑方式,对不同协议字段的与、或、非等运算符及组合构建复杂的关联分析规则,并支持规则引用与规则嵌套,从而实现关联规则的灵活定制,满足多变的入侵场景需求。

  • 网络攻击快照功能

针对网络入侵等违规事件,系统采用网络拍照技术,在记录事件本身的同时,一并记录与该事件相关的原始通信数据包,便于事件追溯与调查取证。

  • 基线自学习功能

采用机器学习算法学习特定工控系统通信行为,形成可信网络行为规则。并可自动学习因工控系统调整、业务调整等引入的通信行为变化,以形成新的检测规则。

  • 安全设备联动

针对网络攻击行为,系统提供与防火墙等安全设备联动功能,以最快的速度阻断该攻击行为,将入侵者屏蔽在被保护网络之外,从而最大限度的降低网络攻击带来的损失。

  • 安全风险全局预警

对于分布式部署的系统,在一个分布节点发现的安全风险,可以通知其上级或下级分布节点,做到安全风险的全局预警。

  • 设备自身管理

系统提供对自身设备的网络接口状态、组件工作状态、CPU占用率、内存占用率、存储器占用率以及软硬件版本信息的实时监测能力,管理员可以配置系统组件报警的条件,并在条件满足时触发告警。

三、产品优势

  • 丰富的工控系统漏洞利用规则库

系统内置丰富的漏洞利用规则库,涵盖了操作系统、工控应用软件、工控设备、工控协议多个层面。规则库按照不同操作系统类型、不同工控设备厂商、不同工控协议类型等角度进行分类,真正站在使用者的角度,提供易于理解和部署的规则模板,有效避免入侵规则的滥用现象,提高入侵发现效率。

  • 工控协议深度解析能力

支持多达50余种工业协议的深度报文解析,如IEC60870-5-104、Modbus、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS、DDE等协议,具备字段值异常的发现能力,能够识别工控网络中的操控行为。

  • 白名单策略基线自学习

基于机器学习及大数据技术,针对工业控制系统上线运行一段时间来的网络数据进行网络行为智能分析、自主学习,一键自动创建白名单策略。可以持续监视网络流量,自动识别合规数据,及时发现违规行为并实时告警。

  • 支持用户自定义协议

专业用户只需在界面上进行协议详细配置即可实现针对该协议的深度解析和规则匹配,操作灵活,且保证了用户私有协议的隐私性和安全性。

  • 强大的横向扩展能力

入侵检测系统管理平台既支持单机部署也支持集群化部署,可以通过横向扩展实现对任意数据规模的支持。在实际项目中可以根据数据规模的大小灵活选择部署方式。

支持入侵检测探测器的横向扩展,可以满足千兆以太网高流量数据报文的实时深度解析和告警。

  • 多样的部署方式

入侵检测系统管理平台支持集中式部署方式和多层级、分布式部署方式,灵活的部署特性,使其可以天然适用于集中式控制系统、分布式控制系统。

  • 大数据与云计算

系统中审计数据采集、存储、分析等多环节使用大数据处理技术,提高系统的数据处理能力和效率。

系统天然支持云部署(阿里云、微软Azure、AWS云),支持存储、计算资源的动态扩容。

  • 自我管理及数据加密

系统具有完善的自我管理功能,包括用户管理、权限管理、日志管理、告警管理、报表管理等。

所有的审计数据在网络中传输均采用加密方式,确保审计数据在传输过程中不被篡改和窃取。

四、典型部署

  • 集中式部署 

入侵检测系统-集中式部署

  • 分布式部署 

入侵检测系统-分布式部署