文章总结: 本文聚焦工业控制系统ICS网络安全实战化异常行为检测,核心思路是先建立正常行为基线再识别偏离基线的异常行为。文章从网络流量、用户活动、工控过程控制、安全事件四大维度构建基线,采用20%浮动阈值作为异常判定标准,并建立分级告警处置机制。同时详细拆解了侦察、初始入侵、横向移动、生产破坏、数据窃取五大阶段典型风险场景,为制造、电力等关键行业提供可落地的工控安全监控方案。 综合评分: 85 文章分类: 安全运营,威胁情报,实战经验,网络安全,数据安全
聚焦工业控制系统(ICS)网络安全的实战化异常行为检测
原创
老付话安全 老付话安全
老付话安全
2026年7月14日 20:25 山东
在小说阅读器读本章
去阅读
点击蓝字
关注我们
关注我,带给你不一样的精彩
世界因你的沉淀而出彩
始于理论,源于实践,终于实战
老付话安全,每天一点点
激情永无限,进步看得见
严正声明
本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。
特此声明!!!
本文字数:
5444字
阅读时间:
14分钟
随着智能制造、工业互联网加速落地,原本封闭隔离的工控内网逐步打通内外互联通道,PLC、HMI、SCADA、工业网关等核心生产资产暴露面持续扩大。
和传统 IT 网络安全不同,工业控制系统第一优先级是生产连续、设备高可用,一旦遭遇入侵、越权操作、程序篡改,极易造成产线停机、设备损毁、化工 / 电力重大安全事故。
传统基于攻击特征库的防火墙、IPS 仅能拦截已知攻击,面对新型隐蔽渗透、内部人员违规操作、无特征内网横向移动完全失效。
在此背景下,基于基线的行为异常检测成为工控安全运营的核心抓手。
基于行为基线的异常检测,依靠 “先建立正常行为基准,再识别偏离基线的异常行为”,成为工控安全运营的核心实战手段。
利用原始检测规则、告警分级标准,搭配真实工业安全典型案例,系统拆解工控异常检测体系、全链路风险场景、典型风险场景与落地监控方案,为制造、电力、化工、水务等关键行业运维团队提供可落地参考。
一、工控行为异常检测核心逻辑:先建基线,再辨异常
想要精准识别工控网络风险,核心思路是先建立正常行为衡量基准,再对比偏离基线的异常行为。整套检测体系分为三层落地框架:
(一)四大维度构建正常行为基线
我们可从网络流量、用户活动、工控过程控制、安全事件四大维度采集指标,搭建企业专属正常行为模型:
- 网络流量行为基线
统计源 / 目的 IP、通信端口、流量字节、连接时长,依托交换机流量日志、IDS/IPS、网络审计设备采集数据,由网络行为异常检测系统NBAD(依据流量统计、通信关系、时序行为(员工凌晨、节假日登录内网服务器;设备突然 7×24 小时持续外联)、实体画像识别未知攻击、内网横向移动、僵尸网络、内网渗透等威胁,仅需 NetFlow/sFlow 流元数据,加密流量无需解密即可分析,针对与误报可通过AI或风险评分降噪)、SIEM 系统完成建模。
注 NetFlow/sFlow 流元数据:不抓完整报文,轻量化采集
- 五元组:源 / 目的 IP、端口、协议
- 统计特征:包速率、字节总量、会话时长、并发连接数、DNS 请求频率、访问时段
- 实体画像:员工 IP、服务器、IoT 设备、第三方运维账号的日常访问习惯
- 通过统计模型 / 机器学习建立每台设备、每个用户、每个业务的正常行为基线(工作日访问时段、固定通信对象、流量阈值)。
例如:正常生产环境 PLC 仅固定 3 台 HMI 建立通信、设备 IP 与 MAC 一一对应、工控区域流量保持稳定区间。
- 用户活动基线
统计登录登出频次、账户操作行为、配置变更记录,对接 AD、IAM、应用认证日志(大部分企业没有应用工控主机认证,根据情况而定,主要是能够记录用户账户情况)、HMI 应用日志、数据库事务日志,绑定多账号对应同一实体用户。
用户正常基线示例:管理员仅工作日白班登录、普通操作员无程序修改权限、无Modbus 写入权限、远程访问仅固定办公 IP 发起。
- 工控过程控制基线
针对 Modbus 等工业协议,统计Modbus功能代码调用频次、设备参数设置点、梯形逻辑 / 组态变更次数等配置变更次数。这些基线数据从何而来呢?我们把他分为三类:工控底层设备层数据、上位机 / 业务应用层应用程序数据、生产历史数据库的生产工艺层数据。通过收集这些数据后再继续管理分析。
工业设备通信行为基线:采集PLC、SCADA、DCS、RTU、变频器、智能仪表等工业设备通信报文。
抓取Modbus、S7、OPC UA/DA、DNP3、IEC 60870-5、Profinet、EtherNet/IP、MQTT 工业版等工控私有 / 标准协议。通过协议识别出:
- 设备身份:PLC 编号、IP、机架槽位、寄存器地址;
- 操作行为:读寄存器、写参数、下发启停指令、修改阈值、上传报警;
- 通信时序:请求时间、响应时延、会话持续时长、指令频率;
- 异常特征:跨网段访问 PLC、批量写寄存器、陌生 IP 下发停机指令、非法功能码。
通过这些信息专门识别工控特有攻击:篡改工艺参数、恶意停机、劫持 PLC、内网工控横向渗透。
用户 – 应用操作时序基线:应用程序采集SCADA 上位机、HMI 画面、OPC 服务器、生产调度软件、MES、生产报表客户端、运维工具、工控终端操作系统。抓取的数据包括:
- 应用行为:HMI 登录账号、画面切换、参数修改操作、MES 工单下发、程序上传下载;
- 系统行为:进程启停、远程桌面 RDP 访问、文件拷贝、软件异常崩溃;
- 用户行为:运维人员越权登录、夜班非法操作、多终端同账号登录。
然后建立基线模型:用户 – 应用 – 操作时序基线:谁、什么时间、在哪台上位机、执行了哪种工艺操作。从而起到管控人为违规、运维漏洞、上位机病毒横向扩散,区分正常工艺操作和恶意篡改的作用。
工艺参数时序基线:采集工厂现有实时 / 历史数据库:PI、iHistorian、KingView 历史库、OPC 历史归档库等。
存储原始工艺数据温度、压力、转速、流量、液位、设备运行状态、产量、报警记录、工艺设定值。
把工艺数值做时序归档,建立工艺正常基线:比如正常温度区间 80–100℃、设备每小时启停不超过 2 次;一旦出现参数骤升骤降、无故跳变、长时间偏离标准区间,判定异常。
- 安全事件基线
汇总安全设备告警总量、高危 / 严重事件数量、防火墙拦截日志等告警,划分普通事件、关键事件、严重事件阈值,用于快速识别批量攻击行为。
| | | | | | — | — | — | — | | 行为 | 测量的指标 | 通过什么测量 | 通过什么分析 | | 网络流量 | 1.所有独立的源IP 2.所有独立的目的IP 3.所有独立的TCP/IP端口 4.流量的容量(所有流量) 5.流量的容量(所有字节数) 6.流量持续时间 | 1.网络交换机或路由器的流量日志(即网络流量、jFlow、sFlow等) 2.网络侦察(如IDS/IPS、网络监管等) | 1.网络行为异常检测系统(NBAD) 2.日志管理系统 3.SIEM系统 | | 用户活动 | 1.所有独立的活跃用户 2.所有登录数 3.所有登出数 4.通过用户的登录数 5.通过用户的登出数 6.用户的活动(如:配置的变化) | 1.应用程序日志、数据库日志和事务分析 2.应用程序日志和会话分析 3.集中认证(LSAP、Active Directory、IAM) | 1.日志管理系统 2.SIEM系统 注意:用户活动需要额外的关联层次,用于将多个用户名或账户与单个用户实体绑定 | | 过程和控制行为 | 1.所有独立的功能代码 2.每个独立功能代码的总量 3.所有设置点或其他配置变化 | 1.工业协议监控器 2.应用程序监控器 3.数据历史化标签 | 1.历史数据库 2.SIEM系统 | | 事件和事故活动 | 1.所 有事件数 2.所有关键的和严重的事件数 3.安全设备的事件数 | 1. 安全设备(即防火墙、IPS)日志 | 1.应用程序监控器 2.工业协议过滤器 |
(二)标准化异常判定机制
| | | | | | — | — | — | — | | 正常行为 | 异常 | 通过什么测量 | 表现 | | 到一组PLC的Modbus所有通信都是来自于相同的3个HMI工作站 | 出现了第4个系统与PLC进行通信 | 从以下分析中可得出,独立源IP的数量出现了超过20%的增加: 1.网络流量 2.从防火墙、IPS等设备得到的安全事件日志 3.应用程序日志 4.其他 | 1.一个新的、未授权的设备被插入到网络中(如:一个管理员的笔记本电脑) 2.一个使用欺诈IP地址的恶意HMI正在运行 3.新的系统安装上线 | | 每个设备都有唯一的MAC地址和唯一的IP地址 | 一个IP地址来源于两个或者多个MAC地址 | 从以下分析中可以得出,每个IP地址的MAC地址数大于1: 1.网络流量 2.从防火墙、IPS等设备得到的安全事件日志 3.应用程序日志 4.其他 | 1.攻击者伪装一个地址 2.设备失效并被新的硬件所取代 | | 控制系统区域中的某个过程持续运行某个控制回路 | 流量增长至超过预期 | 从网络流量的分析中可知,总的网络流量有超过20%的增长(以字节计) | 1.一个未授权的服务在运行 2.扫描或者测试正在进行 3.转移变化正在进行 4.开始了一批新的作业或者过程 | | 流量减少至预期之下 | 从网络流量的分析中可知,总的网络流量有超过20%的减少(以字节计) | 1.服务停止运行 2.网络设备失效或离线 3.一批作业或过程的完成 | | 可编程逻辑的变化 | 工业网络监控器,如:SCADA IDS、梯形逻辑、代码审查 | 通过以下渠道分析获得的个体功能代码的所有改变和功能代码的频率: 1.工业协议监控器 2.应用程序监控器 3.SCADA IDS/IPS日志 | 1.过程被修改 2.新的过程被执行 3.老的过程被移除 4.过程被破坏 | | 在转移开始阶段,授权用户登录到常用系统中 | 1.未授权的用户登录到系统,该系统一般只由管理员访问 2.授权用户在正常值班时间之外登录到系统 3.授权用户登录未知或预期之外的系统 | 通过对以下认证日志进行分析得出所有的变化: 1.活动目录操作系统日志 2.应用程序日志 | 1.用户个人改变 2.由于管理员不在或缺席,故责任被移交给了其他用户 3.系统授权了一个恶意用户 4.管理员账户被破解并为攻击者所使用 |
- 基线判定核心阈值:±20% 流量 / IP 增量标准
统一采用20% 浮动阈值作为流量、接入终端数量的异常判定红线,是工控安全轻量化落地的通用标准:
优势:无需复杂机器学习建模,SIEM、网络审计设备可直接配置固定阈值规则,中小企业可快速落地;
适配场景:区分正常生产波动与恶意行为,小幅流量波动属于工艺正常变化,超过 20% 则大概率存在扫描、外联、新增未知设备等风险。
- 四大类检测维度全覆盖
资产接入基线(IP-MAC、访问 PLC 终端数量):防御内网未知设备接入、ARP 中间人攻击;
网络流量基线(总流量涨跌):快速识别侦察扫描、设备离线、数据外传行为;
控制程序基线(梯形逻辑 / Modbus 功能码变更):针对最高危生产篡改风险,监控工艺程序任何改动;
用户登录基线(时段、权限、登录系统):同时覆盖外部盗号入侵、内部人员越权违规两类威胁。
- 分层检测数据源架构
采用多层日志交叉关联验证,避免单一设备误告警:
网络层:防火墙、IPS、流量审计(识别 IP、MAC、流量大小);
工控业务层:工业协议监控、SCADA 应用监控(识别梯形逻辑、Modbus 指令);
身份管理层:AD 活动目录、应用登录日志(识别账号、登录时段、访问系统)。
(三)分级告警处置标准
根据风险危害划分为普通警告、关键警告、严重警告三个等级,匹配不同处置优先级:
仅警告:协议异常使用、异地 IP 正常用户登录、非工作时段写操作,留存日志生成风险报告,定期复盘;
关键警告:受保护工控区域出现外部陌生 IP 访问,高度怀疑边界入侵,立即核查网络边界配置;
严重警告:普通用户执行管理员特权操作、非管理员账户调用工控写入功能代码,存在权限提升、内部破坏、恶意篡改风险,需紧急阻断并溯源。
二、工控全生命周期典型异常风险场景拆解
攻击者针对工控系统的攻击链路分为侦察、初始访问、横向移动、篡改破坏、数据外泄五大阶段,每个阶段均有标志性异常行为,也是日常监控重点:
(一)侦察探测阶段:网络扫描、非法地址访问全网工控设备扫描
攻击者前期通过扫描探测内网 Modbus TCP 服务、PLC 资产,日志表现为大量陌生 IP 高频发起协议探测请求。非法内存地址访问
恶意报文尝试读写设备受保护寄存器内存,极易造成程序逻辑紊乱、设备失控。IP-MAC 地址不匹配
同一 IP 对应多个 MAC 地址,大概率存在 ARP 地址伪装、中间人攻击,少数情况为硬件设备故障替换。
(二)初始入侵阶段:凭据暴力破解、明文凭证泄露明文密码传输
运维设备使用未加密协议传输登录凭证,攻击者抓包即可窃取账号,若全网设备复用账号,风险会全域扩散。暴力密码爆破
大量高频无效远程登录请求,多利用设备出厂默认弱口令尝试入侵,无登录频次限制的老旧工控设备重灾区。
外网主动 TCP 连接请求工控边界收到互联网公网 IP 发起的连接请求,多为边界防火墙策略配置疏漏,或设备私自外联互联网。
(三)横向移动阶段:跨设备异常通信、非法设备接入
未知设备接入工控内网网络新增未备案终端、笔记本、物联网设备,可作为攻击支点横向渗透 PLC、HMI 核心设备。
SMB 跨设备异常数据传输正常生产无交互的两台工控设备产生大量 SMB 流量,代表攻击者已实现内网横向移动。
Modbus 设备通信中断关键 PLC、控制器突然离线失联,诱因包含恶意进程占用资源、攻击阻断服务、设备恶意重启。
(四)生产破坏阶段:固件 / 逻辑篡改、违规工业协议调用
该类异常属于最高危严重告警,直接威胁生产安全:
非授权 HMI 逻辑修改、设备固件远程更新攻击者利用设备开放的远程升级接口,替换恶意控制程序、篡改生产组态,极易引发生产事故。
异常 Modbus 指令调用
非管理员账户调用 Write 写入功能代码;
大量诊断功能代码批量读取设备参数;
设备接收未定义、格式错误的非标 Modbus 报文,造成设备未知异常运行。
(五)数据窃取阶段:外网 FTP 数据外泄
工控设备主动向互联网 FTP 服务器传输文件,多为攻击者窃取生产配方、工艺参数、设备台账等核心涉密数据,是典型数据泄露特征。三、落地落地:完整工控异常检测技术架构。
end
往期内容回顾****
| | | — | | 【大话工控安全】工业控制系统行业知识:港口行业-油品码头 | | 【大话工控安全】工业控制系统行业知识:港口行业-干散货码头 | | 【大话工控安全】工业控制系统行业知识:港口行业-集装箱码头 |
@请赐予我力量,关注和转发是最大的支持@
欢迎扫码进群交流
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:老付话安全 老付话安全 老付话安全《聚焦工业控制系统(ICS)网络安全的实战化异常行为检测》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论