NISTIR 8219

制造业工业控制系统保护：行为异常检测

翻译：王厚奎樊山高佳廖宇力郝轶

JamesMcCarthy

MichaelPowell

KeithStouffer

CheeYeeTang

TimothyZimmerman

WilliamBarker

TitilayoOgunyale

DevinWynne

JohnathanWiltberger

NISTIR 8219

制造业工业控制系统保护：行为异常检测

James McCarthy Michael Powell

National Cybersecurity Center of Excellence Information Technology Laboratory

Keith Stouffer CheeYee Tang Timothy Zimmerman

Intelligent Systems Division Engineering Laboratory

William Barker Dakota Consulting Silver Spring, MD

Titilayo Ogunyale Devin Wynne Johnathan Wiltberger

The MITRE Corporation

McLean, VA

U.S. Department ofCommerce

Wilbur L. Ross, Jr.,Secretary

National Institute of Standards andTechnology

Walter Copan, NIST Director and Undersecretary of Commerce for Standards andTechnology

2018年11月

摘要

工业控制系统（ICS）在许多行业中用于监控和控制物理流程。随着ICS继续采用商用信息技术（IT）来促进企业业务系统的连接和远程访问功能，ICS变得更容易受到网络安全威胁。美国国家标准与技术研究院（NIST）的国家网络安全卓越中心（NCCoE）与NIST的工程实验室（EL）合作，展示了一套行为异常检测（BAD）功能，以支持制造业的网络安全。这些功能的使用使制造商能够检测其操作环境中的异常情况，以减轻恶意软件攻击和对关键操作数据完整性的其他威胁。 NIST的NCCoE和EL已将这些演示的功能映射到网络安全框架，并记录了这套基于标准的控制如何支持制造商的许多安全要求。本报告记录了BAD功能在两个不同但相关的演示环境中的使用：基于机器人的制造系统和类似于化学制造行业使用的过程控制系统。

读者

本报告面向有兴趣了解BAD技术在ICS环境中如何应用的个人或实体。此外，本报告面向有兴趣了解如何在ICS和其他操作技术环境中实施BAD工具的人员。

关键词

BAD; 行为异常检测; 网络安全; 网络安全框架;ICS; 工业控制系统; 制造业; 过程控制

致谢

NIST和NCCoE希望感谢CyberX的Omer Schneider，Phil Neray和Joe DiPietro; OSIsoft的Paul J. Geraci，Andrew Duke和Mark McCoy; SecurityMatters的Dennis Murphy，Jason Sharp和Daniel Trivellato; 和Erlend A. Engum，Jishnu Nair，Nina Hesby Tvedt和Secure-NOK的Siv Hilde Houmb对本文件的贡献。

在本文件中可以识别某些商业实体，设备或材料，以便充分描述实验程序或概念。此类标识并非旨在暗示NIST的推荐或认可，也不意味着暗示实体，材料或设备必然是最适合此目的的。

所有商标，产品名称，徽标和品牌均为其各自所有者的财产。

执行摘要

NIST的NCCoE与NIST的EL和NCCoE合作者一起，提供有关使用BAD功能支持制造业中的ICS网络安全的相关信息。该国家标准与技术机构间报告研究所（NISTIR）是根据制造业成员对网络安全指导需求的反馈而制定的。

针对制造业基础设施的网络安全攻击可能损害人类生命和财产。 BAD机制支持多方面的方法来检测制造过程所依赖的ICS设备的网络安全攻击，以便减轻这些攻击。

为了在已建立的实验室基础设施中展示BAD功能，NCCoE和EL部署了行业提供的商用硬件和软件，以响应NIST在联邦公报中的通知。我们基于NISTIR 8183（网络安全框架制造概况^[2]）将所演示功能的安全特性映射到改进关键基础设施网络安全框架^[1]。该映射可用作应用重要行业标准和指南中的特定安全控制的参考。

无论是故意还是无意将异常数据引入制造过程可能会破坏操作。NISTIR的目标是为制造商提供切实可行的方法，以加强其制造流程的网络安全。本NISTIR演示了如何将BAD工具用作维持业务运营的关键安全组件，特别是那些基于ICS的组件。本NISTIR中提供的示例说明了除了提供特定的网络安全优势之外，如何检测异常情况提高ICS的可靠性。

1.简介

国家标准与技术机构间报告研究所（NISTIR）的目标是展示制造商可用于加强其制造过程中网络安全的实用方法。行为异常检测（BAD）工具可以为维持业务运营提供关键的安全组件，特别是那些基于工业控制系统（ICS）的组件。由于无论是故意还是无意将异常数据引入制造过程可能会破坏操作，NISTIR中提供的示例演示了检测异常情况如何提高制造和其他ICS的可靠性，以及提供已证实的网络安全优势。

1.1 背景

正如美国国家标准与技术研究院（NIST）特刊（SP）800-82^[3]所述，ICS对于美国关键基础设施的运行至关重要，这些基础设施往往是高度互联和相互依赖的系统。虽然联邦机构也经营许多ICS，但该国大约90％的关键基础设施都是私人拥有和运营的。随着ICS越来越多地采用信息技术（IT）来通过使用行业标准计算机，操作系统（OS）和网络协议来促进公司业务系统的连接和远程访问功能，随之而来的集成使ICS与外界的隔离度大大降低。虽然安全控制旨在解决典型IT系统中的安全问题，但在ICS环境中引入这些相同方法时必须采取特殊预防措施。在某些情况下，需要针对特定ICS环境量身定制的新安全技术。 NIST认识到这一问题，并正在与业界合作，通过参考设计的开发和网络安全技术的实际应用来解决这些挑战。BAD是提高ICS安全性的一种工具。

NIST的国家网络安全卓越中心（NCCoE）与NIST的工程实验室（EL）和NCCoE行业合作伙伴一起，展示了一系列支持制造企业网络安全的BAD功能。这些功能的使用使制造商能够检测其操作环境中的异常情况，以减轻恶意软件攻击和对关键操作数据完整性的其他威胁。NIST的NCCoE和EL已将这些演示的功能映射到NIST网络安全框架^[1]，并记录了这套基于标准的控制如何支持制造商的许多安全要求。本NISTIR记录了BAD功能在两个不同但相关的演示环境中的使用：基于协作机器人的制造系统和类似于化学制造行业所使用的过程控制系统（PCS）。

1.2 目的和范围

NISTIR的范围是单一的网络安全能力。不同BAD方法的安全特征被映射到网络安全框架。映射将制造商指向突出的网络安全标准中的特定安全控制。

1.3 挑战

网络安全对于现代工业流程的安全可靠运行至关重要。对ICS的威胁可能来自众多来源，包括敌对政府，犯罪集团，心怀不满的员工，其他恶意个人，组件互动的意外后果，事故和自然灾害。网络安全框架^[1]涉及识别威胁和潜在漏洞;预防和发现事件;并回应事件并从中恢复。它无法阻止所有网络事件。甚至可能无法确定ICS需要应对的所有威胁。在对事件作出响应或从中恢复之前，必须检测事件。因此，网络事件的检测是网络安全的基本要素。

许多事件检测工具涉及监视不合规设置或读数的系统行为或预定义威胁签名（以前被识别为与威胁或漏洞特征相关联的信息元素）。但是，如前所述，并非预先知道所有威胁和漏洞（例如，零日攻击）;因此，并非所有威胁和漏洞都可以包含在进行监测的签名中。BAD涉及对异常事件或趋势的系统的持续监控。监视器寻找妥协的证据，而不是攻击本身。

该项目所面临的挑战是演示制造商可以采用的BAD功能的示例实现，以实现其网络安全目标。具体而言，该项目响应制造业的需求，以提高实时或近实时检测异常行为的能力。及早发现潜在的网络安全事件是帮助减少这些事件对ICS的影响的关键。

1.4 解决挑战的方法

NCCoE开发并演示了一套用于检测制造商ICS环境中的异常情况的示例方法。这些示例包括对企业实施以加强其制造过程中的网络安全的实用建议，还具有检测与安全无关的异常情况的额外可能性，例如设备故障。

NCCoE示例提供以下功能：

l制造商可以采用的BAD功能模型，以实现其安全目标，减轻网络安全威胁带来的风险

l用于分析工业网络通信的非侵入式技术，允许现有ICS基础设施在不中断或影响性能的情况下流经网络

l建立一个或多个基线，并在环境中随时间发生特定变化或异常时发出通知

l识别ICS网络上的新设备以及从网络中消失的资产

l检测未经授权的配置更改以及网络中文件的传输

l提高网络运营和实时警报的可视性

NCCoE使用了行业合作者提供的商用产品来解决这一网络安全挑战。这些产品是根据合作研究和开发协议提供的。本NISTIR不认可任何产品，也不保证遵守任何监管举措。组织的信息安全专家应确定最能与其现有工具，流程和系统基础架构集成的产品。组织可以采用其中一种已证实的方法，也可以采用符合建议指南的方法。这个NISTIR也可以作为实施BAD的起点。

1.5 优点

此NISTIR旨在通过将异常检测工具用于以下目的来帮助组织实现其目标：

l及时发现网络事件，以便有效应对和恢复

l扩展制造控制系统，网络和设备中的可见性和监控能力

l通过提供实时监控和异常检测警报来减少破坏性网络事件的机会

l支持资源监督（例如IT，人员，数据）

l实现更快的事件响应时间，更少的事件和更短的停机时间

2.网络安全框架和NIST制造业概况

改进关键基础设施网络安全框架^[1]是一种基于风险的自愿性行业标准和最佳实践组合，旨在帮助组织管理网络安全风险。通过政府和私营部门之间的合作创建的网络安全框架使用共同语言，以业务需求为基础，以经济有效的方式处理和管理网络安全风险，而不强加额外的监管要求。网络安全框架制造概况^[2]定义了特定的网络安全活动和结果，以保护制造系统及其组件，设施和环境。通过使用配置文件，制造商可以将网络安全活动与业务要求，风险容忍度和资源相结合。该简介从标准，指南和行业最佳实践中提供了针对制造业的网络安全方法。

表2-1将BAD功能解决的功能映射到配置文件中显示的NIST Cybersecurity Framework功能。在表2-1中，参考要求是美国国家标准协会/国际自动化协会标准62443-2-1（工业自动化和控制系统安全：建立工业自动化和控制系统安全计划）^[4]，美国国家标准协会/国际自动化学会标准62443-2-3（工业自动化与控制系统安全 - 第2-3部分：IACS环境中的补丁管理）^[5]和NIST SP 800-53（安全和隐私）联邦信息系统和组织的控制措施）^[6]。

表2-1 BAD能力对制造业概况的网络安全框架功能映射

功能	类别	子类别	制造概况	参考文献
检测	异常和事件（DE.AE）	AE-2	低	62443-2-1:2009 4.3.4.5.6, 62443-2-3:2015 SR 2.8、2.9 AU-6 IR-4 AU-6（1） IR-4（1）
			审查和分析制造系统中检测到的事件，以了解攻击目标和方法
			中高
			在可行的情况下，采用自动化机制审查和分析制造系统中检测到的事件。
		AE-3	低和中等	62443-3-3:2013 SR 6.1 IR-5 AU-6（5）（6）AU-12（1）
			通过使用各种来源，如事件报告、审计监控、网络监控、物理访问监控和用户/管理员报告，确保在整个制造系统中编译和关联事件数据。
			高
			在可行的情况下，将事件分析与漏洞扫描信息、性能数据、制造系统监控和设施监控分析相结合，进一步增强识别不当或异常活动的能力。
		AE-4	低	RA-3 IR-4（1） Si-4（2） IR-4（4）
			确定检测到的事件对生产运营、资产和个人的负面影响，并将影响与风险评估结果相关联。
			适度的
			采用自动化机制支持影响分析
			高
			将检测到的事件信息和响应关联起来，以对事件在整个组织中的影响进行透视。

3.演示环境架构

智能制造系统网络安全（CSMS）演示环境通过在实验室环境中使用软件模拟器和商用现成硬件来模拟真实世界的制造过程及其ICS ^[7]。 CSMS环境旨在衡量网络安全技术对ICS的性能影响。 PCS和协作机器人系统（CRS）是用于演示BAD功能的两个系统。 PCS和CRS演示飞地在3.1和3.2节中描述。

图3-1描绘了BAD演示环境的高级架构。演示环境中引入的功能在图3-1中以粗体显示，并解决了表2-1中列出的网络安全框架功能和子类别。

局域网（LAN），防火墙网络安全工具环境（非军事区[DMZ]）和两个ICS环境构成了CSMS演示环境的现有架构。 LAN包括用于虚拟化的管理程序，用于时间同步的网络时间协议（NTP）服务器，用于备份和存储的服务器，以及用于域服务的虚拟化Active Directory服务器。在演示环境的DMZ中，有一个虚拟机管理程序，允许在隔离环境中部署网络安全工具。

在这种架构中，BAD功能在两个使用四个协作产品的领域中引入。两个BAD系统安装在演示环境的DMZ中。其中一个BAD系统是基于代理的，安装在CRS和PCS内的多个端点上，而数据则在演示环境的DMZ中汇总。另一个BAD系统仅作为CRS内历史数据库的附加功能实现。该构建包括在CRS和PCS环境中执行和引入BAD功能，一次一个产品。换句话说，在任何给定时间只安装了一个产品并执行BAD。每个协作者的产品安装都按顺序运行，以确保构建中每个产品的完全自治。

图3-1 BAD高级架构

3.1 协同机器人系统

环境CRS飞地由两个机器人手臂组成，这两个机器人手臂模仿称为“机器管理”的材料处理应用^[8]。机器人机械管理使用的机器人与机械进行交互，执行操作员通常将执行的操作（例如，装载和卸载部件，打开和关闭机器门，激活操作员控制面板按钮）。机器人根据材料处理程序协同工作，该程序根据模拟加工操作的反馈动态变化。机器人飞地网络的架构如图3-2所示。

机器人控制器可以以两种模式之一操作：调配或虚拟化。在调配模式下，每台机器人都在Ubuntu Linux上运行机器人操作系统（ROS）的专用Dell PowerEdge R420服务器上进行控制。在虚拟化模式下，每个机械手都由Dell PowerEdge 620服务器上运行的虚拟机监控程序中的虚拟化服务器控制。调配模式支持使用伪理想配置的实验。虚拟化模式支持使用资源受限配置的实验，并可以维护独立的演示环境。

伪理想配置为机器人控制器软件提供远远超出无阻碍操作的最低要求的计算资源。以这种方式操作保留用于不需要测量服务器性能影响的实验（例如，网络特定实验）。资源受限配置允许研究人员限制机器人控制器软件和底层OS的可用资源（例如，存储器分配，可用硬盘空间，硬盘访问速率，中央处理单元[CPU]核心的数量）。

虚拟机管理程序还允许在隔离环境中部署基于软件的网络安全工具，并允许将飞地环境恢复到已知良好状态，从而减少残留软件模块或服务中交叉污染的可能性。虚拟机（VM）后实验。基于软件的网络安全工具安装在VM上，专用于虚拟机管理程序中的特定实验并存档。这允许任何工具在需要执行的任何实验中被调用。

图3-2机器人装配飞地网络

3.1.1 CRS网络架构

除了两个工业机器人外，飞地还包括一个监控可编程逻辑控制器（PLC），一个人机界面（HMI），几个用于执行所需计算资源和应用的服务器，一个网络安全虚拟机（CybersecVM）和一个工程师工作站。

CRS飞地局域网构建为分层架构。对于BAD实现，安全区的可重新配置设计实现网络分段和安全边界。本地网络流量（CRS LAN）由西门子RUGGEDCOM RX1510管理，高级环境流量（环境LAN）及其与“公司网络”的连接由Cisco 409 ASA 5512-X管理。

CRS LAN具有许多直接操作和支持飞地操作的机器。机器人控制器或驱动程序服务器执行操作代码并直接与机器人通信以指导其操作。监控PLC将加工站和操作员控制的状态传达给机器人控制器，并将部件跟踪用于制造性能测量。操作员HMI还与PLC通信，以向操作员显示制造过程信息和性能测量值。工程师工作站托管编程环境和调试工具，这些工具用于修改机器人代码并提供对安全区内其他机器的终端级访问。HyperV服务器为飞地提供服务器虚拟化，允许研究人员根据特定软件工具或软件包的要求按需创建服务器。

3.2 过程控制系统

PCS飞地模拟工业连续制造系统，连续生产或加工材料的制造工艺，材料连续移动，经历化学反应或经历机械或热处理。连续制造通常意味着每周7天，每天24小时，每周工作7天，不经常维护停机，与批量生产形成对比。连续制造系统的例子是化学品生产，炼油，天然气处理和废水处理^[9]。 PCS网络的体系结构如图3-3所示。

图3-3 PCS网络体系结构

PCS包括一个模拟田纳西伊士曼（TE）化学反应过程的软件模拟器。 Downs和Vogel ^[10]提出的TE问题是连续化学制造中众所周知的过程控制问题。由于几个原因，选择TE控制问题作为连续过程模型。首先，TE模型是一种众所周知的工厂模型，用于控制系统研究，并且很好地理解工厂过程的动态。第二，必须控制这个过程;否则，扰动会使系统进入不稳定状态。TE过程模型固有的不稳定开环操作呈现了一种真实世界的情景，其中网络安全攻击可能对人类安全，环境安全和经济可行性构成真正的风险。第三，该过程是复杂的，非线性的，并且具有许多自由度，通过该自由度来控制和扰乱过程的动态。最后，利用易于获得的可重复使用的代码开发了许多TE过程的模拟。我们选择了Ricker^[11]的华盛顿大学Simulink控制器设计。选择Ricker Simulink模型用于其多回路控制架构，使分布式控制架构可行。它与Downs和Vogel模型精确匹配，控制代码可轻松与工厂代码分离。

TE过程模型如图3-4所示。Downs和Vogel没有透露该过程中使用的实际物质;相反，他们使用每种物质的通用标识符。该方法由四种反应物（A，C，D和E）产生两种产物（G和H）。该过程定义为不可逆和放热，四种反应物的反应速率是反应器温度的函数。该过程分为五个主要操作：反应器，产物冷凝器，汽液分离器，产物汽提器和循环压缩机。PCS安装在19英寸机架系统中。该型号有12个用于控制的执行器和41个用于监控的传感器。过程描述总结如下。

如前所述，反应物的反应速率是反应器温度的函数。将气态反应物在反应器中合并以形成液体产物。然后通过使用内部冷却束冷却反应器温度。反应器产物通过冷凝器到达分离器。然后，汽-液分离器将未反应的气体与液体产物分离。未反应的气体通过循环压缩机送回反应器。在汽提塔中除去剩余的反应物。最后，两个最终产品被送往下游进行进一步的精炼和分离。

图3-4 TE过程控制模型

3.2.1 PCS网络架构

PCS包括用于模拟TE化学反应过程的软件模拟器。模拟器是用C代码编写的，并在运行Windows 7的计算机上执行。此外，该系统还包括一个PLC，一个用MATLAB实现的软件控制器，一个HMI，一个用于过程控制（OPC）数据访问的对象链接和嵌入（DA）服务器，数据历史记录，工程师工作站以及多个虚拟LAN交换机和网络路由器。

PCS网络通过边界路由器从演示网络分段。路由器使用动态路由协议（Open Shortest Path First）与主演示环境路由器通信。所有网络流量都需要通过边界路由器才能访问主演示网络。系统中有两个虚拟网段。每个网络都由以太网交换机管理。HMI和控制器位于虚拟局域网（VLAN）-1中，而工厂模拟器，数据历史记录，OPC DA服务器和PLC位于VLAN-2中。VLAN-1模拟中央控制室环境，其中HMI和控制器实际上位于同一网段中。VLAN-2模拟过程操作环境，通常由操作工厂，PLC，OPC DA服务器和数据历史记录组成。这些网络交换机和路由器具有高度可重配置性，因此允许系统实现各种网络拓扑以进行演示。

安装了专为ICS应用而设计的防火墙Tofino Xenon安全设备，用于保护PLC。防火墙规则配置为仅允许某些网络节点和特定协议访问PLC，并拒绝所有其他流量。系统中的所有计算机节点都启用了Windows防火墙。规则配置为允许计算机仅访问特定于其应用程序的流量。例如，OPC DA服务器计算机的防火墙仅允许OPC客户端访问的受限范围的远程过程调用和分布式组件对象模型（DCOM）端口，并且它限制OPC的源Internet协议（IP）地址客户端。

工厂模拟器采用C代码实现，该代码基于最初由Downs和Vogel开发的Fortran代码。工厂模拟器需要控制器来提供控制回路以便连续运行。由Ricker开发的Simulink中实现的分散控制器用作过程控制器。Ricker实现与工厂模拟器精确匹配，控制器是一个独立的软件过程，在与工厂模拟器不同的计算机上运行。为了在工厂模拟器和控制器之间提供通信，使用具有工业网络协议能力的硬件PLC。工业网络协议用于工厂模拟器和PLC之间的通信。工厂模拟器将其传感器信息发送到控制器，控制器算法使用传感器输入来计算执行器的期望值，然后将这些值发送回工厂模拟器。

因此，在系统中配置了53个虚拟节点（41个用于传感器，12个用于执行器）。开发了一个软件界面，通过DeviceNet在工厂模拟器和PLC之间发送和接收传感器和执行器值。 OPC DA服务器在Windows 7计算机上运行，充当PLC的主数据网关。PLC与OPC DA服务器通信，分别更新和检索所有传感器和执行器信息。该传感器和执行器信息也称为PLC术语中的“标签”。控制器具有MATLAB Simulink接口，可直接与OPC DA服务器通信。

HMI和数据历史记录在系统中实现。HMI提供图形用户界面（GUI），以向操作员或用户呈现关于过程状态的信息。数据历史记录用作记录所有过程传感器和执行器信息的主数据库。HMI和数据历史记录都具有内置接口，用于建立与OPC DA服务器的连接，以访问所有过程信息。系统中使用工程工作站来提供工程支持，例如PLC开发和控制，HMI开发和部署以及数据历史数据检索。

PCS中的所有系统都与NTP服务器环境同步。网络数据包分析器工具安装在系统中的所有计算机中，以捕获和分析网络数据包。其他专业软件工具也用于监控系统。例如，OPC数据分析器用于监视OPC数据交换，DeviceNet日志记录用于记录DeviceNet级别的流量。

3.3表现出行为异常检测能力

通过在每个环境中安装单个产品来演示BAD功能。在任何给定时间只安装一个产品并执行BAD。BAD功能通过三种不同的检测方法实现：基于网络，基于代理和基于历史/传感器。CyberX和安全事项静默防御演示了基于网络的检测。Secure-NOK的SNOK Detector演示了基于代理的检测。OSIsoft过程信息（PI）系统的PI Data Archive（历史数据库）演示了历史数据中基于传感器的检测。

3.3.1 安全事项静默防御

安全事项静默防御利用传感器在第3层对等交换机上被动地嗅探流量，以监控关键网络的异常情况。静默防御产品还使用命令中心来管理和收集企业站点上所有传感器的数据。附录A中提供了安全事项静默防御产品的安装和配置程序。

3.3.2 Secure-NOK SNOK

Secure-NOK的SNOK是一种针对工业网络和控制系统量身定制的网络安全监控和检测系统。 SNOK利用非侵入式端点监控代理和来自第2层和第3层交换机的被动网络监控。 SNOK网络入侵检测系统（IDS）预先安装在设备上，端点监视代理程序集成到资产所有者的环境中。 Secure-NOK SNOK设备的安装和配置程序见附录B.

3.3.3 CyberX

CyberX平台提供持续运营技术（OT）威胁监控和资产发现，将对工业协议，设备和应用的深入理解与OT特定的行为分析，威胁情报，风险和漏洞管理以及自动威胁建模相结合。该平台作为预配置设备提供，包括构建环境中使用的IP地址，子网掩码，默认网关和域名系统（DNS）服务器。附录C中提供了CyberX设备的安装和配置程序。

3.3.4 OSIsoft PI Data Archive

OSIsoft PI System的PI Data Archive是PI System的一个组件，它通过使用最少的磁盘空间来检索，存档和实现高性能数据存储和快速检索。附录D中提供了OSIsoft PI System软件的安装和配置程序。

3.4 行为异常检测方法和安全功能

表3-1列出了此项目中使用的方法，并提供了方法类型，执行的功能和提供的安全控制之间的映射。有关Cybersecurity Framework子类别代码的说明，请参阅表2-1。

表3-1 BAD方法和安全功能

功能	种类	子种类	制造剖面	引证
低等
低等	回顾和分析制造系统中检测到的事件，以了解吸引焦油的方法和途径	62443-2-1:2009 4.3.4.5.6, 62443-2-3:2015 SR 2.8, 2.9
DE.AE-2	中等和高等	AU-6 IR-4
在可行的情况下，使用自动化机制来检查和分析制造系统中检测到的事件	AU-6(1)IR-4(1)
低等和中等
低等和中等	Detect	确保通过使用各种来源，如事件报告、审计监控、网络监控、对环的物理访问监控以及用户/管理员报告，在整个制造系统中对事件数据进行编译和关联	62443-3-3:2013 SR 6.1
高等	IR-5
异常和事件(DE.AE）	DE.AE-3	在可行的情况下，将事件分析与漏洞扫描信息、性能数据、制造系统监控和设施监控相结合，以进一步提高识别不适当或异常活动的能力	AU-6(5)(6)AU-12(1)
低等
低等	确定负面影响，由检测到的事件导致的，对制造运营、资产和个人的影响，并将影响与风险评估结果相关联	RA-3
DE.AE-4	中等
使用自动化机制来支持影响分析	IR-4(1) SI-4(2)
High
关联检测到的事件信息和响应，以了解事件对整个组织的影响	IR-4(4)

3.5 印刷约定

表3-2显示了此NISTIR对场景和演示结果的描述中使用的印刷约定。

表3-2印刷约定

字体/象征	意义	案例
斜体	文件名和路径名，应用非超链接的文档；新条款，和占位符	有关术语的详细定义，请参阅中国证监会术语汇编
粗体	菜单、选项、命令按钮和字段的名称	选择文件>编辑
等宽字体	命令行输入、屏幕上的计算机输出、示例代码示例和状态码	Mkdir
等宽字体加粗	命令行用户输入的名称与计算机输出	sshd服务开始
蓝色文本	链接到文档的其他部分，web统一资源定位器（URL）或电子邮件地址	NIST得NCCDE的所以出版物都可以在https://www.nccoe.nist.gov.上找到

4.示范场景和调查结果

由于机器人和过程控制基础设施可立即使用，BAD功能的实施包括安装和集成单个工具与现有基础设施。BAD产品安装在现有基础架构的演示环境的DMZ中。

4.1基于网络的行为异常检测

基于网络的异常检测需要将所有网络流量聚合到单个收集点。多个设备也可以与集中管理一起使用，以收集来自不同区域和站点的网络流量数据。检查网络流量并与预先存在的基线进行比较，该基线在捕获时被假定为正常。如果网络流量显示偏离此基线或显示任何其他类型的行为被视为可疑或未经授权，则将根据预先配置的参数生成警报。

在基于网络的异常检测期间，来自CRS和PCS LAN网络的网络流量通过SPAN端口在演示环境的DMZ中聚合。在演示环境的DMZ中，CyberX和SilentDefense平台会检查流量。一旦建立了正常的网络流量基线，此流量聚合可以显示与基线的偏差，根据预先配置的参数触发警报。可以配置参数以触发与网络流量偏差，用户行为偏差，体积偏差和协议偏差相关的警报。

4.2基于代理的行为异常检测

基于代理的异常检测将基于网络的异常检测的一些特征与对端点的非侵入式监视相结合。基于代理的异常检测使用安装在设备上或附近的分布式软件代理，例如服务器，HMI，网络交换机和控制器。代理收集和预处理设备信息，例如使用可移动媒体;登录用户;入口/出口交通;设备配置;流程和计划细节;设备参数，例如内存，磁盘和处理器利用率。收集的信息被安全地发送到检测引擎。检测引擎会警告与预配置的安全策略和预先存在的基准的偏差。预先存在的基线在被捕获时被正常审查和接受。

在基于代理的异常检测期间，监视PCS网络中的Windows 7设备和CRS网络中的Ubuntu Linux设备的行为。 Secure-NOK SNOK检测器检查主机代理信息和网络流量。一旦设备配置和行为的基线正常建立，偏差将触发警报。