工业网络监测审计系统是针对工业控制网络流量进行行为分析与安全监测的审计类产品。产品基于流量检测分析技术，快速识别工控网络中的非法操作、异常事件、外部攻击并实时告警，同时全面记录网络通信行为，并生成分析报告，为安全事件的调查取证提供依据。通过对网络行为、数据库等设置审计策略，对非法行为、违规操作等进行实时监测和及时告警。通过统计分析和行为审计页面进行直观展示。系统采用旁路监听方式，在不影响现有系统的生产环境上进行监测，可适用于各类网络应用环境。主要研究内容有如下 1、工业控制系统数据采集：实现待审计的工控系统数据采集，包括上位机的管理数据采集、下位机控制数据的采集、上位机和下位机间的通信数据的采集等； 2、工业控制系统内容检测：将采集的数据还原成上位机操作行为或事件、下位机操作行为或事件、上下位机间通讯的通讯行为或事件，如访问控制行为、请求错误行为、系统事件、备份和恢复事件、配置变化行为等； 3、工业控制系统恶意行为、异常行为判断：根据工业控制系统内容检测所获得的行为信息或事件信息生成相应的行为事件，并通过行为特征库、行为检测引擎来辨识是否为恶意或异常行为，若能直接辨识则进入后续步骤，否则，利用恶意、异常行为自动分析模块更新行为特征库，以能识别未知行为； 4、工业控制系统事件和行为处理：根据行为特征进行智能处理，即对于异常行为进行阻止并报警，对于正常行为则放行，同时，还要记录所有的事件和操作行为信息； 5、工业控制系统事件和行为审计响应：将事件信息和行为信息存人审计数据仓库，并根据用户的需求生成相应的审计报表。 在工业控制系统中部署工业网络监测审计系统，可通过技术手段预防可能发生的安全事故；可将发生的安全事件进行及时修正，避免造成更大的损失。当安全事件发生后，可通过工业网络监测审计系统对工控网络通信行为、操作日志等进行准确识别和记录，对工控数据进行安全留存和回溯分析能力可帮助管理员对异常行为进行复盘分析，为之后的安全运行规范和制度提供思路与证明。该系统还可通过管理平台进行集中管理和运维，无需对每一台设备一一进行管理和运维，减少管理人员的工作量，提高管理部门的管理效率，有效降低企业安全管理和运维成本。