★ 鄭曉鳳，楚兵，石艷松，江新，朱自通 寧波和利時信息安全研究院有限公司

關鍵詞：工業控制系統；流量審計；工業協議語義審計；DDoS 防護；入侵檢測；加密流量弱點識別

1  引言

工業控制系統（Industrial Control System， ICS）具有強實時性、強確定性、長生命周期與變更謹慎等顯著特征，其安全目標也往往以可用性與連續生產為優先。在工業互聯網與智能制造快速發展的背景下，傳統封閉專網逐步向“多網絡互聯、遠程運維、云邊協同”的開放形態演進，使得生產控制網的可達性提升、攻擊面擴大。面對這一變化，流量審計系統不應僅停留在對五元組與會話的統計層面，而應能夠回答“誰在何時對哪個對象做了什么操作”，并為每一次告警提供可核驗的證據鏈，最終支撐審計追責與工程處置的閉環。因此，本文研究的核心在于：在不改變現網拓撲、不引入業務轉發鏈路風險、不影響實時性的旁路條件下，實現全流量可觀測、語義可解釋、證據可追溯、處置可聯動的工程化落地體系。

2  面向工業控制系統的流量審計系統研究

2.1   檢測維度及面臨的挑戰

“旁路全流量審計+多維檢測”在真實工控現場落地時，首要挑戰來自可觀測性與可解釋性的雙重要求。工控運維與安全管理關注的不僅是通信是否發生，更關注的是通信攜帶的控制語義是否合理。例如工程師站是否在非檢修窗口對PLC的關鍵寄存器進行了寫入，主站是否對IED發起了越權遙控，或某個從未出現過的對象地址段是否突然被頻繁訪問。這要求系統對工業協議進行穩定可靠的語義解析與事件化抽取，并在告警中呈現字段級證據，使得告警可復核、可審計、可追責，而不是停留在“異常流量”這種不可落地的描述上。第二個挑戰來自實時性與吞吐壓力。鏡像口往往匯聚多VLAN、多業務流以及廣播組播等背景流量，既需要線速采集、低丟包、低時延，又必須保證自身不會影響業務網的穩定運行。尤其在掃描、風暴或DDoS等突發場景中，PPS會迅速飆升，解析與落庫很容易成為瓶頸，因此系統必須具備工程層面的批處理、無鎖隊列、背壓與降級能力，在資源受限時仍能保證關鍵事件的解析與留證。第三個挑戰是基線的可維護性。工控業務具有強周期性與穩定性，適合基線學習，但現場又不可避免存在檢修、切換、擴容與臨時接入等變化。若基線過嚴會導致誤報堆積，過松又會造成異常被“吸收”為正常，最終削弱檢測有效性。因此基線治理必須分階段進行，既能在學習期自動建模，又能在凍結期固化驗收，還要在運營期通過業務窗口與變更單機制實現可控更新并支持回滾，避免基線漂移失控。第四個挑戰是檢測精度與覆蓋的平衡。系統既要覆蓋已知規則（漏洞利用、特征payload、典型掃描行為），又要識別未知異常（新通信邊、方向反轉、功能碼突變、寫控制頻度異常等），并通過關聯分析將多步攻擊串聯，減少碎片化告警帶來的研判成本。最后，加密趨勢使旁路可見性進一步下降，越來越多OT系統使用TLS/SSH/ VPN，裝置在不可解密前提下仍需通過握手與元數據識別弱配置與風險線索，例如TLS版本、協商套件、證書要素與指紋特征等，才能在“看不見內容”的情況下仍提供可操作的風險提示。

2.2   威脅模型與攻擊面

為了保證工程可落地，威脅建模應以“可檢測線索”為中心，即每一類威脅都有能夠明確對應的觀測指標、觸發條件、證據提取方式與處置建議。本文將威脅劃分為四類并分別對應不同的檢測抓手：第一類是流量型攻擊，典型包括SYN/UDP/ICMP Flood以及反射放大等，其本質是對網絡與主機資源的消耗，在線索層面通常表現為包速率與字節速率的短窗突增、新建連接速率上升、源/目的分布熵變化以及TCP標志位比例異常等，因此需要以閾值與統計偏離為基礎，并結合模式確認來提升可靠性。第二類是探測與橫向移動，包括端口掃描、服務探測以及SMB/RDP/SSH的暴力嘗試等，其關鍵線索通常是新建流異常、目標端口集合擴張、失敗率突變與訪問模式呈現規律性。這類行為往往是后續入侵鏈路的前置階段，必須與資產角色與站區邊界結合才能給出更準確的風險判斷。第三類是語義型攻擊，也是工控場景最具破壞性的類型，表現為工控協議未授權寫入、遙控/下裝濫用、寄存器或IOA越權訪問以及參數篡改等。傳統基于五元組的方法難以識別其危險性，必須依賴協議解析提取功能碼或類型標識、對象地址段與信息元素，結合寫/控制操作的頻率與時間窗策略識別越權與濫用，并將關鍵過程量的越界或變化率異常作為輔助線索。第四類是配置弱點，主要體現在加密與身份體系不健壯，例如TLS舊版本、弱密碼套件、證書過期、密鑰長度不足等。這類問題雖不一定立即造成事故，但常為攻擊提供“低成本入口”，其線索來自握手元數據與證書字段，因此應采用可解釋的規則標準化輸出風險原因與整改建議，避免“弱點告警”變成無法行動的提示。

3  面向工業控制系統的流量審計系統設計

系統采用旁路部署方式，通過交換機SPAN或網絡TAP獲取生產網鏡像流量，裝置不參與業務轉發、不改變現網拓撲，從根本上避免了其成為生產鏈路的單點故障。在多鏡像口場景下，系統支持按VLAN、端口或站區進行聚合與分域處理，統一進入采集流水線并保持對不同業務域的可區分審計能力。整體架構遵循“數據面+ 控制面”的分層思想：數據面承擔高性能采集、分流、解析與在線檢測任務，強調確定性與吞吐能力；控制面承擔策略配置、基線治理、告警展示、索引檢索與報表輸出等任務，強調可運維與可擴展。為避免控制面波動影響檢測鏈路，二者通過消息隊列或共享內存隊列解耦，使數據面在高壓流量下仍保持穩定運行。系統內部采用多線程流水線組織處理鏈路，從采集線程開始完成批量抓包與輕量預處理，再進入解析線程池做協議語義抽取，之后由檢測線程完成規則與行為融合判定，并將結果交由落庫/索引線程進行持久化與檢索構建。面對突發流量，系統通過隊列水位觸發背壓與分級降級策略，在資源緊張時減少解析深度、對非關鍵流量采樣，同時優先保障關鍵資產流與寫控制語義事件的解析與留證，從而在“全量流量不可完全解析”的極端情況下仍能保留高價值證據并維持檢測鏈路可用。

3.1   采集與預處理

為了讓基線學習、在線檢測與歷史追溯使用同一套語義承載，系統將解析結果統一抽象為標準化事件模型Event，并為每個事件綁定原始報文或PCAP的引用索引，確保告警可回溯與證據閉環。在旁路鏡像口匯聚多業務流且對丟包敏感的前提下，數據面采用“多隊列接收+批處理+無鎖隊列”的高性能流水線：網卡側啟用RSS或多隊列機制，將不同五元組散列到不同接收隊列以提升并行度；采集線程以batch方式拉取報文并完成時間戳標記、鏡像去重與L2～L4的快速解析，隨后將報文指針與必要的元數據寫入無鎖環形隊列，由協議解析與檢測線程并行消費。該設計在工程上盡量減少內存拷貝與鎖競爭，既能提升持續吞吐下的穩定性，也能在突發PPS場景中通過背壓機制避免隊列失控。當檢測鏈路觸發降級時，采集與預處理階段仍保證對關鍵流量的完整留證，以確保后續追溯時能夠復核控制指令類事件的真實發生過程與字段細節。

為統一支撐基線、檢測與追溯，系統將解析結果抽象為標準化事件Event：Event={ts, src_asset, dst_asset, l4_proto, app_proto, direction, op_ type, object_id, value, features, raw_ref}。其中raw_ref為原始報文/PCAP的索引引用（時間窗+文件偏移或流ID），用于告警證據閉環。

3.2   資產與通信基線

在不主動探測的前提下，資產發現基于多源線索融合：ARP/IP統計MAC-IP映射；工業協議字段（如Modbus Unit Identifier、IEC104公共地址CA、信息對象地址IOA）推斷邏輯設備；結合端口、協議組合與報文方向推斷角色（主站/從站、 HMI/PLC/RTU/工程師站等）。為降低誤判，角色推斷采用“規則優先+置信度累積”機制：不同證據賦予權重，累計超過閾值才固化角色標簽，并支持回滾與人工校準。

通信關系以有向圖G=(V,E)表示，頂點為資產，邊e=(u, v, proto, port)表示在觀測窗內存在通信。對每條邊維護穩定性與周期性特征。穩定性：邊出現頻率f_e、持續時間占比r_e、新建流速率λ_e。周期性：對報文到達間隔Δt計算變異系數CV=std(Δt)/ mean(Δt)，并使用自相關/FFT檢測主周期T。方向一致性：主從協議應滿足Query-Response的方向約束，出現方向反轉時提升風險分。

在線階段采用滑動窗口更新統計量，并將基線按“學習期—凍結期—運營期”分階段治理：學習期自動建模，凍結期用于驗收與固化，運營期對偏離進行告警與變更單管理。

3.3   工業協議語義審計

工業協議語義審計以“狀態機解析+字段校驗+語義映射”為核心方法，既強調解析的魯棒性，也強調語義抽取的一致性。以Modbus/TCP為例，系統解析MBAP頭與PDU，并提取功能碼、寄存器地址、數量與寫入值等關鍵字段； 以IEC104為例，系統解析APCI/ASDU結構并提取Type ID、COT、 CA、IOA以及信息元素，從而識別總召、遙測、遙信、遙控等典型業務語義。為適配多協議并統一上層檢測邏輯，系統將解析結果歸一為統一事件模型，并將操作分為讀、寫、控制與配置四類。其中寫、控制與配置類事件啟用更嚴格的審計策略，例如限定授權源、限定可執行時間窗、限定對象白名單與參數閾值，并在觸發風險時強制綁定原始報文引用以形成可核驗證據。考慮到現場存在報文截斷、亂序、重傳與鏡像重復等復雜情況，解析模塊需要具備異常容錯與一致性校驗能力，避免因少量異常報文導致大面積誤判，同時保證關鍵字段的提取可復核、可追溯。

3.4   檢測與聯動

為兼顧可解釋性與工程可控性，系統采用融合評分而非單一黑盒模型。對每個事件計算三類分值：S_ comm：通信關系偏離分—新邊/新端口/新方向/周期突變等；S_sem：協議語義偏離分—新功能碼/新對象地址段/寫操作頻度異常/關鍵點越界等；S_flow：流量特征偏離分—包速率/字節速率/新建流速率/熵值異常等。

最終風險分采用加權求和并引入門限與抑制策略：Risk=w1×S_comm+w2×S_sem+w3×S_ flow。其中權重可按場景配置，例如對現場區強調語義風險，對DMZ區強調流量風險。告警輸出時同時給出三類分值及觸發證據，提升可解釋性與處置效率。

DDoS檢測采用“閾值+統計+模式”三層：第一層對關鍵資產配置帶寬/pps/新建連接數閾值；第二層在滑動窗口上計算均值偏離與熵值變化，用于識別源地址分布突變；第三層針對SYN Flood/UDP Flood/ICMP Flood等模式，結合TCP標志位比例、目的端口集中度等規則進行確認。聯動方面，裝置輸出標準化告警到北向接口或對接防火墻/清洗設備執行限速與封禁，裝置自身保持旁路不阻斷。

規則IDS負責已知威脅的確定性識別（漏洞利用特征、掃描payload、弱口令嘗試特征等）；行為IDS以基線偏離為核心，覆蓋未知異常（新資產接入、新通信邊、角色越權）。二者在告警層面進行去重與關聯：同一資產在短時間內出現“掃描+新邊大量增加+登錄失敗率上升”，則合并為同一安全事件，提升研判效率。

裝置不解密加密流量，僅在握手階段提取元數據： TLS版本、客戶端/服務端支持的密碼套件列表、協商套件、擴展字段與證書要素（頒發者、有效期、密鑰長度等）。對弱點的判定遵循可解釋原則：將TLS1.0/1.1標記為弱協議，將NULL/RC4/3DES 等弱套件標記為高風險，并提示證書過期與密鑰長度不足。在需要更細粒度分析時，可引入TLS指紋（如JA3/JA3S）作為關聯維度，用于發現異常客戶端或惡意工具。

4  實驗設計與結果

4.1   環境與數據集

實驗環境搭建遵循變電站自動化與典型工控現場的真實通信模式，拓撲包含主站、HMI、工程師站以及IED/RTU/PLC等核心角色，業務協議覆蓋IEC104與Modbus/TCP，并在現場核心交換機配置鏡像端口將全量生產流量引入審計裝置。為保證基線學習與回放驗證的充分性，實驗采集7×24小時連續流量作為學習數據，并在此基礎上構建包含正常工況、檢修窗口與切換場景的多階段數據集，以驗證基線治理與變更抑制能力。同時搜集并注入典型攻擊樣本，包括SYN/UDP Flood、端口掃描、未授權寫命令注入以及弱TLS配置會話等，使得系統在同一框架下接受“流量型、探測型、語義型、弱點型”的綜合檢驗，從而評估裝置在真實落地條件下的檢測覆蓋與告警可解釋性表現。

4.2   測試結果

為驗證裝置在持續吞吐與突發壓力下的穩定性與實時性，測試除記錄吞吐、丟包率、CPU與內存占用外，同時采集網卡丟包計數、接收隊列水位、解析耗時分布與告警端到端時延。性能測試結果如表1所示，總體表現為：在千兆級持續流量下可保持較低丟包與秒級告警時延；突發PPS場景中背壓與降級策略能夠有效保護關鍵語義事件與證據留存，避免檢測鏈路失穩。攻擊檢測效果統計如表2所示。

表1 性能測試結果

表2 攻擊檢測效果統計（仿真注入/回放驗證）

5  結語

本文針對ICS旁路部署與工程落地需求，設計并實現了一種全流量審計與多維安全防護裝置，形成了“可觀測—可解釋—可追溯—可聯動”的閉環體系。該裝置以統一事件模型為核心，將通信拓撲、工控語義與流量統計納入同一審計框架，并通過分層架構與多線程流水線實現千兆級持續流量下的穩定采集與在線檢測。在檢測機制上，裝置采用通信偏離、語義偏離與流量偏離的融合評分方法，使告警既具備覆蓋面也具備可解釋性，同時通過規則IDS與行為IDS的協同關聯提升對已知與未知威脅的綜合檢出能力；在加密趨勢下，裝置通過握手元數據與證書要素識別弱配置風險，為不可解密條件下的安全運營提供可行動線索。未來工作可進一步從三方面深化：其一，引入更強的時序建模與跨告警關聯分析能力，增強對多步攻擊與長潛伏行為的發現；其二，將網絡側語義審計與工藝過程模型結合，實現網絡—工藝雙域聯合檢測以降低誤報并提升對真實事故的識別能力；其三，在不影響實時性與確定性的前提下完善閉環聯動策略，與防火墻、交換機與清洗設備形成更緊密的自動化處置鏈路，實現從“可見可查”向“可控可阻”的演進。

作者簡介：

  鄭曉鳳（1981-），女，北京人，碩士，現就職于寧波和利時信息安全研究院有限公司， 主要從事工業網絡安全方面的研究。

楚   兵（1982-），男，北京人，碩士，現就職于寧波和利時信息安全研究院有限公司， 主要從事工業網絡安全和工業控制安全方面的研究。

石艷松（1990-），男，天津人，軟件工程師，學士， 現就職于寧波和利時信息安全研究院有限公司，主要從事工業網絡安全方面的研究。

江   新（1998-），男，安徽安慶人，軟件工程師， 學士， 現就職于寧波和利時信息安全研究院有限公司，主要從事工業網絡安全方面的研究。

朱自通（1996-） ，男，河南周口人，高級軟件測試工程師，學士，現就職于寧波和利時信息安全研究院有限公司，主要從事工業網絡安全方面的研究。

參考文獻：

[1] 工業和信息化部. 工業控制系統網絡安全防護指南(工信部網安〔2024〕14號)[Z]. 2024 - 01 - 19.

[2] GB/T 30976.1-2014,工業控制系統信息安全 第1部分: 評估規范[S].

[3] GB/T 30976.2-2014,工業控制系統信息安全 第2部分: 驗收規范[S].

[4] GB/T 32919-2016, 信息安全技術 工業控制系統安全控制應用指南[S].

[5] GB/T 36466-2018, 信息安全技術 工業控制系統風險評估實施指南[S].

[6] GB/T 22239-2019, 信息安全技術 網絡安全等級保護基本要求[S].

[7] GB/T 28448-2019, 信息安全技術 網絡安全等級保護測評要求[S].

[8] Stouffer K, et al. NIST SP 800-82 Rev. 3: Guide to Operational Technology (OT) Security[J]. NIST, 2023.

[9] ISA. ISA/IEC 62443 Series of Standards (Industrial Automation and Control Systems Security)[S].

[10] IEC. IEC 60870-5-104:2006 — Network access for IEC 60870-5-101 using standard transport profiles. IEC Webstore[S].

摘自《自動化博覽》2026年第二期暨《工業控制系統信息安全專刊（第十二輯）》