北京瑞星网安技术股份有限公司创立于 1991 年,一直专注于网络安全领域,坚持自主研发,拥有完整的自主知识产权,帮助政府、企业及个人有效应对网络安全威胁,主营业务包括企业及政府两大部分。瑞星网络安全一体化解决方案以新一代AI威胁检测引擎及威胁情报大数据为核心能力,面向包括终端安全、网络与基础架构安全、安全管理等领域全面赋能,以基础安全、增值安全与安全服务等服务体系,为用户提供全方位、专业、个性化的服务。
瑞星工控智能分析系统:自主检测规则编写
对于 CVE 等威胁,通过 IP、端口、协议、内容等条件,用大量样本做训练,提取多维特征值,实现入侵流内容的安全检测。通过不断完善和在线升级,减少产品误报率,更精准的检测出威胁。嗅探和解析处理分离
针对流量的数据包,按照规则只采集有威胁的数据,减少丢包率,保证数据完整性。解析和采集分开处理,相互关联和相互独立,提高产品的解析速度和正确性。最大的优点是同一时间的大量攻击可以保存下来,方便后期分析和处理。
旁路和串联布署
产品网络布署方式有两种,一是旁路接口,通过硬件实现旁路,直接并连接入网线路,对现有网络没有任何影响;二是串联部署,把产品做为一个网桥,串联到系统网络中,可以快速的检测出危胁。只有串联方式可以实现黑白名单功能。
入侵攻击分类分析
缓冲区溢出:通过攻击可以导致程序运行失败、系统宕机、重新启动等后果。
信息泄露:通过攻击获取系统基本信息、设备信息、账户信息、隐私信息和网络行为信息等。
权限控制:通过攻击获取系统特权,进而进行各种非法操作。
路径遍历:通过攻击获取系统目录等信息,进而获取所有系统文件。
产品的升级机制
自动升级:通过其他网口接入外网实现自动升级功能。优点是升级接口和监控接口分离,
不需要人工干预,可实现自动升级规则和展示页面等信息。
手工升级:下载升级包实现手工升级功能。对没有网络的环境,可通过人工方式升级。
人工下载升级包在内网上传实现系统的更新。
实时分析和预警
系统可以对网络数据进行嗅探,并对最新的数据进行实时分析。及时对当前威胁进行预警,
并展示出威胁的详细描述、危险等级、解决方案等相关信息。结合公司的其他产品,对
问题进行有效解决。
系统保护还原
系统核心并没有存放在硬盘上,其他用户根本无法访问,所以无论用户作出任何错误操
作或是系统被攻击损坏,都能直接还原到可用状态,并且不会清除系统的数据。同时也
可以还原到出厂状态。
黑白名单规则
黑白名单规则可以对数据进行筛选,可以按 IP、端口、协议、数据特征等条件设置过滤
规则,针对工控数据样本内置了一些黑白名单规则。