Kaspersky Industrial CyberSecurity for Networks 可以检测设备创建的用于与工业网络流量中的其他设备连接的网络会话。该应用程序注册检测到的网络会话并保存可用于分析设备的网络活动的信息,并从流量转储文件下载有关传输的网络数据包的数据。与网络交互图上的连接不同,注册的网络会话提供有关设备交互的更详细信息,包括因为在交互中使用的不同端口和协议的会话的单独注册。
如果启用了基于资产管理技术的网络会话检测方法,则应用程序将检测网络会话。在分析监控点接收到的流量以及从 EPP 应用程序接收数据时,可以执行网络会话检测。
每个注册的网络会话都包含有关作为交互方的两个设备之间的连接的信息。网络会话的特征是交互方的地址信息(MAC 和/或 IP 地址)、端口号以及用于连接的应用协议。网络会话中的第一个设备通常是发起向其他设备发送网络数据包的设备。
如果在该会话内一分钟内没有发送网络数据包,或者在相应节点或监控点上禁用了网络会话检测技术,则认为该网络会话已完成。
如果检测到过多的网络会话,应用程序将应用以下会话注册限制:
应用程序会将网络会话数据保存在服务器的数据库中。保存的条目总数不能超过定义的限制。如果总数超过定义的限制,应用程序会自动删除 10% 的最旧条目。在“网络会话网络会话配置数据存储设置时,您可以设置网络会话的最大数量限制。
您可以在“网络地图”部分的“网络会话”选项卡上查看有关网络会话的信息。