绿盟工控安全审计系统（NSFOCUS SAS-ICS），基于对不同业务场景工业控制系统的理解和工业协议的深度解码，结合工业控制系统操作过程中相关的规程要求，来感知工业控制系统中潜在的异常操作行为。通过对网络数据的采集、识别、分析，动态监测网络流量、通信内容和网络行为，发现和捕获各种敏感信息、违规行为，实时告警响应，全面记录网络中的各种会话和事件，实现对工业网络信息安全的评估及安全事件的全程跟踪定位。系统集成了工业专用入侵检测规则库，综合工控行为审计和入侵检测两种网络监管功能，为整体网络安全策略的制定提供权威可靠的支持。

工业协议深度解析
绿盟工控安全审计系统支持对工控协议的深度解析，包含但不限于工控协议中寄存器类型、寄存器地址、值的解析。系统通过采集镜像流量，发现工控协议中的异常通讯行为和异常操作行为，并实时告警。目前支持Modbus TCP、UMASOMRON FINS、MQTT、DNP3、BACnet、EtherNet IP、CIP、CIP PCCCIEC104、SIP、S7 COMM、S7_PLUS、IEC61850 MMS、等30余种工控协议的深度解析。
基于机器学习的业务行为基线
绿盟工控安全审计系统支持基于机器学习，生成业务行为基线。系统通过采集镜像流量，将解析后的数据包与系统内置的协议特征、设备指纹等进行匹配，生成工控业务行为基线。帮助用户及时发现网络中的潜在威胁。
工控网络异常行为监测告警
绿盟工控安全审计系统基于对工控协议操作指令的有效识别，定义了其中的高危操作和敏感操作，能够及时发现并报警。如对控制器的启停操作，控制器配置文件的上传、下载等敏感操作。

工业级专用硬件设计
绿盟工控安全审计系统选用工业级芯片，具有更高的电磁兼容性；宽温设计，具有更高的环境适应能力；支持导轨式、机架式安装方式，可适用于不同的工业环境。
协议自定义
绿盟工控安全审计系统支持协议自定义功能，对于未知协议，可通过自定义方式对协议进行重新识别。
被动式资产识别
绿盟工控安全审计系统可通过采集旁路流量，对网络中资产进行高细粒度的识别，包括但不限于资产操作系统及版本、协议、资产类型、厂商、型号，并支持资产的导出。