网络安全态势感知主站
是整合宽域在国家电网电力监控系统网络安全管理主站和南方电网电力监控系统网络安全态势感知系统的开发基础上,增加工业协议解析、日志解析、威胁处理等,从而形成的工业互联网网络安全态势感知系统。
实现内网网络安全实时监控,发现未知威胁、找出安全业务问题,实现事前可知、事中可控、事后可追溯的目的。
基于内网安全面临的挑战出发,从外部威胁和内部脆弱性考虑,设计系统整体功能。
宽域KYSOC2.0从4+6出发,进行考虑设计,进行内网的实时监测监控。设计如下:
a.4个外部威胁:网络行为、移动介质(外设接入)、 人工操作、代码程序
b.6个内部脆弱性:设备发现、互联拓扑、开放服务、运行状态、配置合规、漏洞扫描。
c.网络流量DFI、DPI实时分析,匹配威胁情报规则,进行实时预警。
d. 采集其他安全设备syslog日志,进行实时分析,统一管控,并可以为安全设备的策略设置提供依据。
网络安全态势感知主站
整体架构
系统拓扑
产品优势
钓鱼攻击 | APT 团伙 | 成功获得用户权限 |
渗透攻击 | 高级攻击 | 试图获得管理员权限 |
信息收集 | 违规远程运维 | 成功获得管理员权限 |
恶意软件 | 违规使用无线路 | RPC查询的解码 |
木马后门 | 低俗内容 | 可执行代码 |
挖矿病毒 | 无可疑流量 | 可疑字符串 |
木马远控 | 未知流量 | 可疑的文件名 |
敏感信息 | 潜在的不良流量 | 尝试使用可疑用户名登录 |
僵尸网络 | 试图泄露信息 | 系统调用 |
蠕虫病毒 | 信息泄露 | TCP连接 |
勒l索病毒 | 大规模信息泄露 | 网络特洛伊木马程序 |
流量异常 | 试图拒绝服务 | 疑似高危端口使用 |
