★ 郑晓凤，楚兵，石艳松，江新，朱自通 宁波和利时信息安全研究院有限公司

关键词：工业控制系统；流量审计；工业协议语义审计；DDoS 防护；入侵检测；加密流量弱点识别

1  引言

工业控制系统（Industrial Control System， ICS）具有强实时性、强确定性、长生命周期与变更谨慎等显著特征，其安全目标也往往以可用性与连续生产为优先。在工业互联网与智能制造快速发展的背景下，传统封闭专网逐步向“多网络互联、远程运维、云边协同”的开放形态演进，使得生产控制网的可达性提升、攻击面扩大。面对这一变化，流量审计系统不应仅停留在对五元组与会话的统计层面，而应能够回答“谁在何时对哪个对象做了什么操作”，并为每一次告警提供可核验的证据链，最终支撑审计追责与工程处置的闭环。因此，本文研究的核心在于：在不改变现网拓扑、不引入业务转发链路风险、不影响实时性的旁路条件下，实现全流量可观测、语义可解释、证据可追溯、处置可联动的工程化落地体系。

2  面向工业控制系统的流量审计系统研究

2.1   检测维度及面临的挑战

“旁路全流量审计+多维检测”在真实工控现场落地时，首要挑战来自可观测性与可解释性的双重要求。工控运维与安全管理关注的不仅是通信是否发生，更关注的是通信携带的控制语义是否合理。例如工程师站是否在非检修窗口对PLC的关键寄存器进行了写入，主站是否对IED发起了越权遥控，或某个从未出现过的对象地址段是否突然被频繁访问。这要求系统对工业协议进行稳定可靠的语义解析与事件化抽取，并在告警中呈现字段级证据，使得告警可复核、可审计、可追责，而不是停留在“异常流量”这种不可落地的描述上。第二个挑战来自实时性与吞吐压力。镜像口往往汇聚多VLAN、多业务流以及广播组播等背景流量，既需要线速采集、低丢包、低时延，又必须保证自身不会影响业务网的稳定运行。尤其在扫描、风暴或DDoS等突发场景中，PPS会迅速飙升，解析与落库很容易成为瓶颈，因此系统必须具备工程层面的批处理、无锁队列、背压与降级能力，在资源受限时仍能保证关键事件的解析与留证。第三个挑战是基线的可维护性。工控业务具有强周期性与稳定性，适合基线学习，但现场又不可避免存在检修、切换、扩容与临时接入等变化。若基线过严会导致误报堆积，过松又会造成异常被“吸收”为正常，最终削弱检测有效性。因此基线治理必须分阶段进行，既能在学习期自动建模，又能在冻结期固化验收，还要在运营期通过业务窗口与变更单机制实现可控更新并支持回滚，避免基线漂移失控。第四个挑战是检测精度与覆盖的平衡。系统既要覆盖已知规则（漏洞利用、特征payload、典型扫描行为），又要识别未知异常（新通信边、方向反转、功能码突变、写控制频度异常等），并通过关联分析将多步攻击串联，减少碎片化告警带来的研判成本。最后，加密趋势使旁路可见性进一步下降，越来越多OT系统使用TLS/SSH/ VPN，装置在不可解密前提下仍需通过握手与元数据识别弱配置与风险线索，例如TLS版本、协商套件、证书要素与指纹特征等，才能在“看不见内容”的情况下仍提供可操作的风险提示。

2.2   威胁模型与攻击面

为了保证工程可落地，威胁建模应以“可检测线索”为中心，即每一类威胁都有能够明确对应的观测指标、触发条件、证据提取方式与处置建议。本文将威胁划分为四类并分别对应不同的检测抓手：第一类是流量型攻击，典型包括SYN/UDP/ICMP Flood以及反射放大等，其本质是对网络与主机资源的消耗，在线索层面通常表现为包速率与字节速率的短窗突增、新建连接速率上升、源/目的分布熵变化以及TCP标志位比例异常等，因此需要以阈值与统计偏离为基础，并结合模式确认来提升可靠性。第二类是探测与横向移动，包括端口扫描、服务探测以及SMB/RDP/SSH的暴力尝试等，其关键线索通常是新建流异常、目标端口集合扩张、失败率突变与访问模式呈现规律性。这类行为往往是后续入侵链路的前置阶段，必须与资产角色与站区边界结合才能给出更准确的风险判断。第三类是语义型攻击，也是工控场景最具破坏性的类型，表现为工控协议未授权写入、遥控/下装滥用、寄存器或IOA越权访问以及参数篡改等。传统基于五元组的方法难以识别其危险性，必须依赖协议解析提取功能码或类型标识、对象地址段与信息元素，结合写/控制操作的频率与时间窗策略识别越权与滥用，并将关键过程量的越界或变化率异常作为辅助线索。第四类是配置弱点，主要体现在加密与身份体系不健壮，例如TLS旧版本、弱密码套件、证书过期、密钥长度不足等。这类问题虽不一定立即造成事故，但常为攻击提供“低成本入口”，其线索来自握手元数据与证书字段，因此应采用可解释的规则标准化输出风险原因与整改建议，避免“弱点告警”变成无法行动的提示。

3  面向工业控制系统的流量审计系统设计

系统采用旁路部署方式，通过交换机SPAN或网络TAP获取生产网镜像流量，装置不参与业务转发、不改变现网拓扑，从根本上避免了其成为生产链路的单点故障。在多镜像口场景下，系统支持按VLAN、端口或站区进行聚合与分域处理，统一进入采集流水线并保持对不同业务域的可区分审计能力。整体架构遵循“数据面+ 控制面”的分层思想：数据面承担高性能采集、分流、解析与在线检测任务，强调确定性与吞吐能力；控制面承担策略配置、基线治理、告警展示、索引检索与报表输出等任务，强调可运维与可扩展。为避免控制面波动影响检测链路，二者通过消息队列或共享内存队列解耦，使数据面在高压流量下仍保持稳定运行。系统内部采用多线程流水线组织处理链路，从采集线程开始完成批量抓包与轻量预处理，再进入解析线程池做协议语义抽取，之后由检测线程完成规则与行为融合判定，并将结果交由落库/索引线程进行持久化与检索构建。面对突发流量，系统通过队列水位触发背压与分级降级策略，在资源紧张时减少解析深度、对非关键流量采样，同时优先保障关键资产流与写控制语义事件的解析与留证，从而在“全量流量不可完全解析”的极端情况下仍能保留高价值证据并维持检测链路可用。

3.1   采集与预处理

为了让基线学习、在线检测与历史追溯使用同一套语义承载，系统将解析结果统一抽象为标准化事件模型Event，并为每个事件绑定原始报文或PCAP的引用索引，确保告警可回溯与证据闭环。在旁路镜像口汇聚多业务流且对丢包敏感的前提下，数据面采用“多队列接收+批处理+无锁队列”的高性能流水线：网卡侧启用RSS或多队列机制，将不同五元组散列到不同接收队列以提升并行度；采集线程以batch方式拉取报文并完成时间戳标记、镜像去重与L2～L4的快速解析，随后将报文指针与必要的元数据写入无锁环形队列，由协议解析与检测线程并行消费。该设计在工程上尽量减少内存拷贝与锁竞争，既能提升持续吞吐下的稳定性，也能在突发PPS场景中通过背压机制避免队列失控。当检测链路触发降级时，采集与预处理阶段仍保证对关键流量的完整留证，以确保后续追溯时能够复核控制指令类事件的真实发生过程与字段细节。

为统一支撑基线、检测与追溯，系统将解析结果抽象为标准化事件Event：Event={ts, src_asset, dst_asset, l4_proto, app_proto, direction, op_ type, object_id, value, features, raw_ref}。其中raw_ref为原始报文/PCAP的索引引用（时间窗+文件偏移或流ID），用于告警证据闭环。

3.2   资产与通信基线

在不主动探测的前提下，资产发现基于多源线索融合：ARP/IP统计MAC-IP映射；工业协议字段（如Modbus Unit Identifier、IEC104公共地址CA、信息对象地址IOA）推断逻辑设备；结合端口、协议组合与报文方向推断角色（主站/从站、 HMI/PLC/RTU/工程师站等）。为降低误判，角色推断采用“规则优先+置信度累积”机制：不同证据赋予权重，累计超过阈值才固化角色标签，并支持回滚与人工校准。

通信关系以有向图G=(V,E)表示，顶点为资产，边e=(u, v, proto, port)表示在观测窗内存在通信。对每条边维护稳定性与周期性特征。稳定性：边出现频率f_e、持续时间占比r_e、新建流速率λ_e。周期性：对报文到达间隔Δt计算变异系数CV=std(Δt)/ mean(Δt)，并使用自相关/FFT检测主周期T。方向一致性：主从协议应满足Query-Response的方向约束，出现方向反转时提升风险分。

在线阶段采用滑动窗口更新统计量，并将基线按“学习期—冻结期—运营期”分阶段治理：学习期自动建模，冻结期用于验收与固化，运营期对偏离进行告警与变更单管理。

3.3   工业协议语义审计

工业协议语义审计以“状态机解析+字段校验+语义映射”为核心方法，既强调解析的鲁棒性，也强调语义抽取的一致性。以Modbus/TCP为例，系统解析MBAP头与PDU，并提取功能码、寄存器地址、数量与写入值等关键字段； 以IEC104为例，系统解析APCI/ASDU结构并提取Type ID、COT、 CA、IOA以及信息元素，从而识别总召、遥测、遥信、遥控等典型业务语义。为适配多协议并统一上层检测逻辑，系统将解析结果归一为统一事件模型，并将操作分为读、写、控制与配置四类。其中写、控制与配置类事件启用更严格的审计策略，例如限定授权源、限定可执行时间窗、限定对象白名单与参数阈值，并在触发风险时强制绑定原始报文引用以形成可核验证据。考虑到现场存在报文截断、乱序、重传与镜像重复等复杂情况，解析模块需要具备异常容错与一致性校验能力，避免因少量异常报文导致大面积误判，同时保证关键字段的提取可复核、可追溯。

3.4   检测与联动

为兼顾可解释性与工程可控性，系统采用融合评分而非单一黑盒模型。对每个事件计算三类分值：S_ comm：通信关系偏离分—新边/新端口/新方向/周期突变等；S_sem：协议语义偏离分—新功能码/新对象地址段/写操作频度异常/关键点越界等；S_flow：流量特征偏离分—包速率/字节速率/新建流速率/熵值异常等。

最终风险分采用加权求和并引入门限与抑制策略：Risk=w1×S_comm+w2×S_sem+w3×S_ flow。其中权重可按场景配置，例如对现场区强调语义风险，对DMZ区强调流量风险。告警输出时同时给出三类分值及触发证据，提升可解释性与处置效率。

DDoS检测采用“阈值+统计+模式”三层：第一层对关键资产配置带宽/pps/新建连接数阈值；第二层在滑动窗口上计算均值偏离与熵值变化，用于识别源地址分布突变；第三层针对SYN Flood/UDP Flood/ICMP Flood等模式，结合TCP标志位比例、目的端口集中度等规则进行确认。联动方面，装置输出标准化告警到北向接口或对接防火墙/清洗设备执行限速与封禁，装置自身保持旁路不阻断。

规则IDS负责已知威胁的确定性识别（漏洞利用特征、扫描payload、弱口令尝试特征等）；行为IDS以基线偏离为核心，覆盖未知异常（新资产接入、新通信边、角色越权）。二者在告警层面进行去重与关联：同一资产在短时间内出现“扫描+新边大量增加+登录失败率上升”，则合并为同一安全事件，提升研判效率。

装置不解密加密流量，仅在握手阶段提取元数据： TLS版本、客户端/服务端支持的密码套件列表、协商套件、扩展字段与证书要素（颁发者、有效期、密钥长度等）。对弱点的判定遵循可解释原则：将TLS1.0/1.1标记为弱协议，将NULL/RC4/3DES 等弱套件标记为高风险，并提示证书过期与密钥长度不足。在需要更细粒度分析时，可引入TLS指纹（如JA3/JA3S）作为关联维度，用于发现异常客户端或恶意工具。

4  实验设计与结果

4.1   环境与数据集

实验环境搭建遵循变电站自动化与典型工控现场的真实通信模式，拓扑包含主站、HMI、工程师站以及IED/RTU/PLC等核心角色，业务协议覆盖IEC104与Modbus/TCP，并在现场核心交换机配置镜像端口将全量生产流量引入审计装置。为保证基线学习与回放验证的充分性，实验采集7×24小时连续流量作为学习数据，并在此基础上构建包含正常工况、检修窗口与切换场景的多阶段数据集，以验证基线治理与变更抑制能力。同时搜集并注入典型攻击样本，包括SYN/UDP Flood、端口扫描、未授权写命令注入以及弱TLS配置会话等，使得系统在同一框架下接受“流量型、探测型、语义型、弱点型”的综合检验，从而评估装置在真实落地条件下的检测覆盖与告警可解释性表现。

4.2   测试结果

为验证装置在持续吞吐与突发压力下的稳定性与实时性，测试除记录吞吐、丢包率、CPU与内存占用外，同时采集网卡丢包计数、接收队列水位、解析耗时分布与告警端到端时延。性能测试结果如表1所示，总体表现为：在千兆级持续流量下可保持较低丢包与秒级告警时延；突发PPS场景中背压与降级策略能够有效保护关键语义事件与证据留存，避免检测链路失稳。攻击检测效果统计如表2所示。

表1 性能测试结果

表2 攻击检测效果统计（仿真注入/回放验证）

5  结语

本文针对ICS旁路部署与工程落地需求，设计并实现了一种全流量审计与多维安全防护装置，形成了“可观测—可解释—可追溯—可联动”的闭环体系。该装置以统一事件模型为核心，将通信拓扑、工控语义与流量统计纳入同一审计框架，并通过分层架构与多线程流水线实现千兆级持续流量下的稳定采集与在线检测。在检测机制上，装置采用通信偏离、语义偏离与流量偏离的融合评分方法，使告警既具备覆盖面也具备可解释性，同时通过规则IDS与行为IDS的协同关联提升对已知与未知威胁的综合检出能力；在加密趋势下，装置通过握手元数据与证书要素识别弱配置风险，为不可解密条件下的安全运营提供可行动线索。未来工作可进一步从三方面深化：其一，引入更强的时序建模与跨告警关联分析能力，增强对多步攻击与长潜伏行为的发现；其二，将网络侧语义审计与工艺过程模型结合，实现网络—工艺双域联合检测以降低误报并提升对真实事故的识别能力；其三，在不影响实时性与确定性的前提下完善闭环联动策略，与防火墙、交换机与清洗设备形成更紧密的自动化处置链路，实现从“可见可查”向“可控可阻”的演进。

作者简介：

  郑晓凤（1981-），女，北京人，硕士，现就职于宁波和利时信息安全研究院有限公司， 主要从事工业网络安全方面的研究。

楚   兵（1982-），男，北京人，硕士，现就职于宁波和利时信息安全研究院有限公司， 主要从事工业网络安全和工业控制安全方面的研究。

石艳松（1990-），男，天津人，软件工程师，学士， 现就职于宁波和利时信息安全研究院有限公司，主要从事工业网络安全方面的研究。

江   新（1998-），男，安徽安庆人，软件工程师， 学士， 现就职于宁波和利时信息安全研究院有限公司，主要从事工业网络安全方面的研究。

朱自通（1996-） ，男，河南周口人，高级软件测试工程师，学士，现就职于宁波和利时信息安全研究院有限公司，主要从事工业网络安全方面的研究。

参考文献：

[1] 工业和信息化部. 工业控制系统网络安全防护指南(工信部网安〔2024〕14号)[Z]. 2024 - 01 - 19.

[2] GB/T 30976.1-2014,工业控制系统信息安全 第1部分: 评估规范[S].

[3] GB/T 30976.2-2014,工业控制系统信息安全 第2部分: 验收规范[S].

[4] GB/T 32919-2016, 信息安全技术 工业控制系统安全控制应用指南[S].

[5] GB/T 36466-2018, 信息安全技术 工业控制系统风险评估实施指南[S].

[6] GB/T 22239-2019, 信息安全技术 网络安全等级保护基本要求[S].

[7] GB/T 28448-2019, 信息安全技术 网络安全等级保护测评要求[S].

[8] Stouffer K, et al. NIST SP 800-82 Rev. 3: Guide to Operational Technology (OT) Security[J]. NIST, 2023.

[9] ISA. ISA/IEC 62443 Series of Standards (Industrial Automation and Control Systems Security)[S].

[10] IEC. IEC 60870-5-104:2006 — Network access for IEC 60870-5-101 using standard transport profiles. IEC Webstore[S].

摘自《自动化博览》2026年第二期暨《工业控制系统信息安全专刊（第十二辑）》