Дмитрий, с большим уважением к тому что вы делаете PT. Я  тестировал isim и kics , но для каждой задачи свои инструменты. Где то (в энергетике хорошо показывает одно средство) а где то другое. Да еще и задачи разные бывают. Я с вами согласен полностью, что если бы я покупал себе решение то я бы проверил на боевой зоне все доступные решения в зависимости от моих задач. Просто в большинства случаев достаточно правильно  разграничить сегменты, а мониторить прям пром трафик это уже  отдел, люди и конкретные задачи.

если вернуться к задаче мониторинга команд в пром трафике, то это можно реализовать и без анализа трафика))))

но это  уже другая история.

Вот этот список мне больше импонирует. В любом случае - вы правы, что нужно просить тестовую версию и уже смотреть по месту

Но найти этот список было не просто, я не осилил)

SCD-файл загружается в систему, дальше парсятся не сигнатуры, а именно сам трафик, как Дмитрий Даренский справедливо отметил.. если сигнала нет в файле описания или ещё какие-то моменты - алёрт.

И что, бывают объекты без тревог?!

Попутно ловится всякая бяка типо левых устройств в сети и т.д.

А я думал они дублируют выполнение программы управления (эмулируют, дублируют) и сверяют данные дубляжа с данными железа с ТП и выделяют аномалии

Жаль, выглядело крайне интересно

да, именно этот подход реализован в анализаторах трафика под стандарт 61850, как у теквела.

по сути они сверяют то что есть в трафике с проектом подстанции..чего ж ещё желать?)))

Учитывая, что это - система управления жизненным циклом, т е используется ещё со стали проектирования и в том числе во время наладки, то не бывает. Но на каком-то этапе во время эксплуатации, такое состояние достигается. При внесении изменений дорабатывается и погружается новая версия SCD, причем именно как версия, можно по истории проходить и сравнивать изменения.

Эмуляцию работы программы управления закрытых райнтаймов, которые реализуют софтверно в ПО, а не на АСУ железе

кстати, этот подход в PT ISIM  так же реализован.

Это конечно утопия, но всё же)

На это мощи не хватит. Терминал в реале дифуры шпарит

Не совсем понял.. логики релейной защиты в системе нет, но потоки данных видны.

ну то есть вы цидфровые двойники говорите, если не ошибаюсь?