NISTIR 8219旨在向制造商展示切实可用的网络安全方法，以确保制造过程的安全运行。行为异常检测(BAD)工具可以为维持业务操作，特别是基于工业控制系统(ICS)的业务操作提供必要的安全能力。有意或无意的引入异常数据均会导致制造过程的中断，因此该报告阐述了如何检测异常条件来提高制造业控制系统的可靠性，进而证明了行为异常检测的预期效果。

如NIST(SP)800-82[1]所述，工业控制系统对美国关键基础设施的运行至关重要，这些基础设施通常是高度互联和相互依赖的系统。虽然联邦机构也运营许多工业控制系统，但美国大约90%的关键基础设施是由私人拥有并运营的。虽然传统信息技术领域已有较好的安全控制技术，但需要进行功能适配才能将其引入并应用于工业控制系统。在某些情况下，需要针对特定ICS环境定制新的安全技术。NIST认识到这一问题，并与业界合作，通过开发参考设计标准和实际应用网络安全技术来解决这些问题。行为异常检测是一种用于提高工业控制系统安全性的主要工具。

NIST的国家网络安全卓越中心(NCCoE)，与NIST的工程实验室(EL)和NCCoE工业合作者一起，展示了一套行为异常检测能力，以支持制造业组织机构提高网络安全能力。这些能力使制造商能够检测出操作环境中的异常条件，以减轻恶意软件攻击和其他影响操作数据完整性的威胁。NCCoE和EL将这些已证明的网络安全能力映射到了NIST的网络安全框架中，并进一步说明基于标准的安全控制能力如何满足制造商的许多安全需求。

网络安全对于现代工业过程的安全可靠运行至关重要。对ICS的威胁可能来自许多方面，包括敌对的政府、犯罪集团、心怀不满的员工、其他恶意的个人、组件间交互的意外后果、事故和自然灾害。网络安全框架解决了识别威胁和潜在漏洞、预防和检测事件、响应和事后恢复的问题，不可能阻止所有的网络攻击事件，甚至无法识别针对为ICS的特定威胁。在对事件做出响应或从事件中恢复之前，检测事件当然是必要的。因此，检测网络事件是网络安全的一个基本要素。

许多事件检测工具均对系统行为进行监测，例如监测规定的设置或读数，对预定义的威胁签名进行认证。然而并不是所有的威胁和漏洞都是预先知道的(例如，0day漏洞)。因此，并不是所有的威胁和漏洞都可以包含在已有的签名中。行为异常检测指的是对系统进行异常事件或趋势的持续监控并发现异常，而不是直接检测出攻击。

该项研究为制造厂商提供可以用以实现其网络安全目标的行为异常检测能力的实例。具体来说，该项目响应了制造业的需求，以提高实时或接近实时检测异常行为检测的能力。尽早发现潜在的网络安全事件可有效减少其对ICS的影响。

NCCoE开发并证明了一组用于检测制造业工业控制系统环境中异常条件的示例和方法。通过这些示例和方法对制造企业安全技术的实施与开展提出基本的需求建议，同时该异常检测能力还可以检测出与网络安全无关的异常行为（例如设备故障）。

NCCoE示例提供以下能力:

1、 制造企业可以采用行为异常检测模型保护工业控制系统，进而降低工业控制系统受到网络攻击的风险。

2、 利用非入侵式技术对工业控制网络通信流量进行分析，确保工控网络流不受影响。

3、 建立多项安全基准，当网络运行超出该基准时发出预警。

4、 对工控网络内新增设备和移除的设备资产的识别。

5、 检测非授权的配置修改和文件传输行为。

6、 提升了网络操作和实时预警的可视化能力。

该报告旨在帮助组织通过使用异常检测工具实现以下目的:

1、 及时发现网络事件，确保有效的响应和恢复。

2、 增强制造系统、网络、设备的可视化能力。

3、 通过提供实时监控和异常检测预警，降低破坏性网络攻击事件发生的概率。

4、 支持资产、资源可视化（包括信息网络、人、数据）。

5、 有较快的事件响应速度，发生更少的异常事件，减少宕机时间。

智能制造系统(CSMS)网络安全演示环境通过在实验室环境中使用软件模拟器和硬件来模拟真实世界的制造过程及其工业控制系统。设计CSMS环境是为了衡量网络安全技术对工业控制系统性能造成的影响。本次演示采用了过程控制系统（PCS）和协作机器人系统(CRS)，本节将详细介绍这两种控制系统。

图1  行为异常检测网络架构

图1描述了该行为异常检测系统演示环境的整体网络架构。该演示环境分为局域网(LAN)、非军事化区、和两个ICS环境。局域网由用于虚拟化的虚拟机监视器hypervisor、用于时间同步的network time protocol(NTP)服务器、用于备份和存储的服务器以及用于域名服务的虚拟化Active Directory(AD)服务器组成。在非军事化区内，有一个虚拟机监控程序允许在一个隔离的环境中部署网络安全工具。

该环境的CRS由两个机械臂组成，它们模拟材料搬运过程，该过程称作机器巡检。机器人巡检过程利用机器人与机器交互，完成工人需要完成的操作任务(例如，装卸零件，打开和关闭机器门，激活操作员控制面板按钮)。机器人根据模拟加工操作的反馈动态变化的物料处理程序协同操作。机器人CRS网络的架构如图2所示。

机器人控制器有两种操作模式：配置模式或虚拟化模式。在配置模式下，每个机器人由一台专用的Dell PowerEdge R420服务器控制，该服务器在Ubuntu Linux上运行机器人操作系统。在虚拟化模式下，每个机器人由运行在Dell PowerEdge 620服务器上的虚拟管理程序中的虚拟化服务器控制。

图2 协作机器人网络架构

除了两个工业机器人，CRS还包括一个PLC、一个HMI、为运行应用程序提供计算资源的多个服务器、一个网络安全虚拟机和一个工程师工作站。CRS LAN被设计成多层次结构，本地网络（CRS LCN）流量由西门子RUGGEDCOM RX1510管理，上层网络(environment LAN)流量及其到“公司网络”的连接由思科ASA 5512-X管理。CRS LAN有许多直接操作和支持CRS操作的机器。机器人控制器或驱动服务器执行操作代码，并直接与机器人通信，以直接控制机器人动作。监控PLC将加工站和操作人员控制的状态和零件的实时位置状态传达给机器人控制器，以便制造性能的测量与评估。操作员的HMI也与PLC通信，以向操作员显示制造过程信息和性能测量。工程师工作站提供编程环境和调试工具，用于修改机器人代码，并提供CRS内其他机器终端的访问。HyperV服务器为CRS提供了服务器虚拟化，允许研究人员根据特定软件工具或软件包的需要创建服务器。

PCS CRS模拟过程工业制造系统，是一种连续生产或加工材料的制造过程。连续制造通常意味着7*24小时的操作，很少有维修停机。与批量制造相比，连续制造系统的使用场景有化工生产、石油精炼、天然气处理和废水处理等。其网络的体系结构如图3所示。

图3  过程控制系统网络架构

该过程控制系统包括一个软件模拟器以模拟TE过程，TE过程是一个实际化工过程的仿真模拟。该过程控制系统包括一个软件模拟器，以模拟TE的化学反应过程。该模拟器是用C代码编写的，并运行在Windows 7计算机上。此外，系统还包括一个PLC、一个MATLAB实现的软件控制器、一个HMI、一个对象连接和嵌入过程控制(OPC)数据访问(DA)服务器、一个历史数据库服务器、一个过程工作站和几个虚拟LAN交换机和网络路由器。

如图3所示，PCS网络通过边界路由器从演示网络中分割出来。该路由器采用动态路由协议，先打开最短路径，与主网络环境的路由器通信。所有网络流量都需要通过边界路由器来进入主网络。系统中有两个虚拟网络段，每个网络都由一个以太网交换机管理。HMI和控制器在VLAN-1中，而工厂模拟器、历史数据服务器、OPC DA服务器和PLC在VLAN-2中。VLAN-1模拟中央控制室环境，其中HMI和控制器实际上位于同一网络段。VLAN-2模拟流程操作环境，该环境通常由操作工厂、PLC、OPC DA服务器和历史数据服务器组成。这些网络交换机和路由器是高度可配置的，因此，允许系统实现各种网络拓扑来进行演示。

将单个检测工具安装到工控环境中，以验证其行为异常检测能力。这类行为异常检测能力的实现方法有三种：基于网络的行为异常检测、基于代理的行为异常检测和基于历史数据和传感器的行为异常检测。CyberX和Security Matters Silent Defense是基于网络的检测工具。Secure-NOK是基于代理的检测工具。OSIsoft是基于传感器的历史数据的检测工具。

1、 Security Matters Silent Defense：该工具利用传感器被动地抓取交换机的流量，以监测关键网络的异常情况。同时使用一个指挥中心来管理和收集企业站点上所有传感器的数据。

2、 Secure-NOK（SNOK）：该工具是专为工业网络和控制系统设计的网络安全监控和检测系统。SNOK利用非侵入式端点监控代理端被动监测来自交换机的网络流量。SNOK网络入侵检测系统(IDS)预先安装在设备上，端点监控代理集成到资产所有者的环境中。

3、 CyberX：该平台提供操作技术(OT)威胁的持续监控和资产发现，将对工业协议、设备和应用程序进行深入分析，并与OT特有的行为分析、威胁情报、风险和漏洞管理以及自动化威胁建模相结合。该平台作为预配置的设备交付，包括构建环境中使用的IP地址、子网掩码、缺省网关和域名系统(DNS)服务器。

4、 OSIsoft PI Data Archive：OSIsoft PI系统的PI数据存档是PI系统的一个组成部分，通过使用最小的磁盘空间来检索、归档和实现高性能数据存储和快速检索。

基于CRS和PCS两种基础设施，行为异常检测的实现包括检测工具的安装和检测产品的集成。行为异常检测产品安装在现有基础设施演示环境的DMZ（非军事化区）中。

基于网络的异常检测要求将所有网络流量汇聚到一个采集点。使用多种设备进行集中管理并对网络流量进行检查，将其与预先设置的正常行为基线进行比较。如果网络流量表现出偏离此基线的行为，将根据预先配置的参数发出报警。在基于网络的异常检测中，来自CRS和PCS本地网络的网络流量通过SPAN汇聚到演示环境的DMZ中。在演示环境的DMZ中，流量由CyberX和Silent Defense平台进行检查。网络流量正常行为基线一旦建立，流量汇聚后就可以显示出与基线的偏差，并根据预先配置的偏差参数触发警报。可以通过配置参数来触发警报的偏差有网络流量偏差、用户行为偏差、容量偏差和协议偏差。

该异常检测方法依赖于收集ICS网络组件到传感器的数据，如历史业务数据。因为实时操作数据不断地存入历史数据服务器，形成历史数据，这些数据已经被设置在操作范围内或设定的安全值内，任何偏离这些阈值的情况都将产生警报。通常情况下，这被认为是一种操作异常。OSIsoft的PI Data工具可以实现该异常的检测。

本次试验共测试了16类异常行为，并且通过这些异常行为成功检测到异常事件的发生，该16类异常行为包括：使用明文密码、用户认证失败、接入新网络设备、设备间异常网络流量、异常网络连接、数据泄露、非授权的软件安装、PLC固件修改、非授权的PLC逻辑修改、设备间文件传输、异常工控协议通信、恶意软件、拒绝服务攻击、制造系统异常操作、端口扫描与嗅探、修改环境变量。

目前常用的安全工具利用威胁签名（事先识别为与威胁或漏洞特征相关联的信息元素，如与IDS或入侵保护系统相关联的信息元素）和预定义的非正常设置与读数来监控系统行为。本演示中涉及的异常事件涵盖了以上安全工具或威胁签名通常无法检测到的所有威胁问题。本报告对基于网络、基于代理、基于历史数据/传感器的检测能力分别进行了测试。被测试的产品均达到了预期效果。

本项目旨在向制造业企业演示行为异常检测技术，以便此类企业开展ICS网络安全防护工作。项目分别演示了基于网络的、基于代理的和基于操作历史数据/传感器的行为异常检测能力；测试了不同的行为异常检测技术的效果与功能，以便用户可以更好的理解每种技术的特点，便于在不同的ICS网络环境中应用。