プロトコル検証(Protocol validation)
Guardian によって監視されるすべてのパケットは、特定のトランスポートおよびアプリケーションプロトコルに関する固有の異常に対してチェックされます。この第1 ステップは、バッファオーバーフロー攻撃、サービス拒否攻撃などの攻撃を容易に検出するのに役立ちます。このエンジンは完全に自動化されていますが、調整することも可能です。
学習行動(Learned behavior)
Nozomi は学習フェーズの概念を取り入れています。ラーニングフェーズでは、すべてのネットワークおよびアプリケーションの動作、特にノード間のSCADA /ICS コマンドを監視します。すべてのノード、接続、コマンドおよび変数のプロファイルが監視および分析され、学習フェーズが終了した後、関連するすべての異常が新しいアラートになります。
ビルトインチェック(Built-in checks)
既知の異常をリアルタイムでチェックします。プロトコル検証と同様に、このエンジンは完全に自動化されており、ラーニングモードのときにも機能しますが、最終的にアラートのカスタマイズで指定したとおりに調整できます。
カスタムチェック(Custom checks)
プロトコル検証や学習行動から得られるものなどの自動チェックは強力で包括的ですが、時には特定のものが必要になることがあります。ここでは、特定の条件で製品によって提起されるカスタムアラートのカテゴリーであるカスタムチェックがあります。