3. 产品功能

网络病毒检测

根据网络病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测引擎内含海量的病毒，特征数据，实时匹配工业网络数据特征，避开工业控制网络中的疑似病毒的正常数据特征，将工业控制网络中的病毒一一现形。

网络风暴检测

根据工业控制网络正常数据基线，甄别网络数据中的组播、多播、连接请求、重传请求、同步请求的异常情况，实时展示网络风暴的现象，协助用户快速定位网络风暴的原因、地址来源。

日志审计与报表

日志审计包括安全审计、操作记录、协议审计、流量审计等内容。协议审计与流量审计是工业控制网络的主要审计功能，将工业网络数据中的未知协议展示与告警，将未知的威胁有形地展现。报表展示灵活，定制内容，定制类型，定制输出的格式，满足多种报表功能需求。

网络异常流量检测

统计每个主机或者协议的流量趋势，并算成流量曲线，匹配工业控制网络正常数据流量模型，一旦检测到某个主机或者协议流量在短时间内表现异常特征，则认为此数据是潜在攻击或威胁，对于发现DDOS攻击、洪水攻击等网络攻击行为提供参考。

异常行为检测

通过不断地收集历史流量数据，建立流量和行为基准模型，有别于基于特征检测的防火墙只能检测到库文件中已有威胁的“静态检测”。对于发现网络层特征检测DDOS攻击，以及通过应用层特征检测其他复杂攻击提供参考。

协同防护

随着网络攻击的复杂性与专业性不断提高，单种安全设备的防护能力受到强力挑战，协同防护方式显得更有效。工业审计在检测到异常事件和攻击威胁时，下发合适的策略到相应的防火墙、态势感知、工业卫士等安全产品，以保证最优的整体防护功能。

网络取证

记录工业控制网络的所有活动，提供网络行为审计、内容审计，生成完整的事件记录、操作记录、告警日志等，保存对应事件时产生的原始数据包，并提供事件发生时的流量快照与系统配置，加密内容并只能读取，留存证据用于事件追溯。