介绍
利用DPI、DFI等技术对采集到的流量进行识别、解析和检测;通过对流量的威胁检测、溯源分析、流量还原、会话还原、文件还原帮助企业对安全事件进行快速溯源取证,分析结果支持上送到态势感知平台。
该款产品可广泛应用于各种工业控制系统和工业设备,如DCS、SCADA、PLC、RTU、继电保护等。
功能项 | 参数详情 |
采集对象 | 支持对主机、网络设备、安全设备(包括工业防火墙、工业网闸、态势感知采集装置、入侵检测系统(IDS)、运维操作审计系统、防病毒系统等网络安全设备)进行数据采集 |
采集方式 |
支持主动采集方式,包括:SNMP、Agent、ICMP、SSH、网络主动扫描; 应支持被动采集方式,包括:SNMP Trap、Syslog、流量嗅探。 支持日志采集采用范式化匹配采集,只需修改配置文件无需升级程序 |
采集内容 |
支持被采集设备的日志信息和通信流信息采集,其中日志信息指通过SNMP、SNMP Trap 、Syslog、Agent、ICMP、SSH、网络主动扫描方式采集的信息,通信流信息指通过流量嗅探方式采集的信息,各被采集设备的采集数据如下所示: 通用主机的采集数据应包括日志信息; 嵌入式主机的采集数据应包括日志信息; 网络设备的采集数据应包括日志信息、通信流信息; 安全设备的采集数据应包括日志信息。 |
安全事件分析 | 采集装置对被采集设备进行安全分析;支持将包括外部威胁和自身脆弱性的安全分析结果及原始文件上送一个或多个主站系统,其中外部威胁分析应包括:网络行为、移动介质、人工操作、代码程序等;自身脆弱性安全分析应包括:设备发现、互联拓扑、开放服务、运行状态等;原始文件包括:原始日志、原始报文 |
性能参数 |
系统采集信息吞吐量不小于1000 条/s; 支持监测对象数量不小于1000个; 对上传事件信息的处理时间不高于500ms; 对远程调阅的处理时间不高于500ms; 最高支持千兆采集能力,且不丢包; |
硬件规格
类别 | 描述 | |
1 | CPU | 12核 1.5G |
2 | 内存 | 默认16G,可扩展到32G |
3 | 磁盘 | 256G工业级SSD硬盘+1T HDD |
4 | 电口 | 16千兆电口+8个光口。 |
6 | console口 | 1个 |
7 | 电源 | 双电源 |
8 | 电磁兼容 | EMC IV级 |
名称 | 型号 | CPU | 内存 | 硬盘 | 网口 | 电源 | 机箱尺寸 |
采集装置 | CDKY-2000S | 双核,主频1.5GHZ | 16G | 256G工业级SSD+1T HDD | 16电口+8光口 | 双电源 | 2U标准19寸机箱 |