ICS35.240.50 CCSJ07 中华人民共和国国家标准 GB/T41262—2022 工业控制系统的信息物理融合异常 检测系统技术要求 Technical requirements for cyber-physicai fusion anomaly detection specification of industrial control system 2022-10-01实施 2022-03-09发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T41262—2022 目 次 前言 范围 2 规范性引用文件 术语和定义 缩略语 4 5 系统概述 5.1 系统架构 5.2 功能模块 6功能要求 6.1 数据采集 6.2 异常检测 6.3 响应与告警 6.4 检测结果处理 6.5 管理控制 6.6 安全管理· 10 6.7 日志管理· 性能要求 7.1 误报率 7.2 漏报率 12 7.3 流量监控能力 12 7.4 并发连接数监控能力 12 7.5 新建TCP连接速率监控能力 12 7.6检测时间· 12 附录A（资料性） 工业控制系统信息物理融合中的威胁 13 附录B（资料性） 工业控制系统信息物理融合安全防护措施 14 参考文献 15 GB/T41262—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由中国机械工业联合会提出。 本文件由全国自动化系统与集成标准化技术委员会（SAC/TC159）归口。 本文件起草单位：中国科学院信息工程研究所、北京机械工业自动化研究所有限公司、浙江大学、杭 州优稳自动化系统有限公司、北京工业大学、上海电力大学、中国科学院声学研究所、奇安信科技集团股 份有限公司、中国信息通信研究院、中国科学院沈阳自动化研究所、浙江中控技术股份有限公司、北京东 方通科技股份有限公司。 S2C本文件主要起草人：孙利民、石志强、朱红松、闫兆腾、吕世超、陈新、刘俊矫、张雪嫣、孙洁香、王文海、 张稳稳、赵璐、赖英旭、孙墨童、谷浩然、王勇、杨军、王勋、陈君、王斐、崔君荣、梁炜、张思超、蒋皓、李艺、 倪平、陆卫军、章维、李志、孙玉砚、李红、文辉、路晓、崔婷婷。 1 GB/T41262—2022 工业控制系统的信息物理融合异常 检测系统技术要求 1范围 本文件规定了融合信息空间和物理空间的工业控制系统异常检测技术架构、功能模块、功能要求及 性能要求。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件 GB/T20275—2013信息安全技术网络人侵检测系统技术要求和测试评价方法 GB/T22239—2019 信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T36323 信息安全技术工业控制系统安全管理基本要求 GB/T36324一2018信息安全技术工业控制系统信息安全分级规范 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 工业控制系统 industrial control system;ICS 一类用于工业生产的控制系统的统称。 注：它包含SCADA、DCS和其他一些常见于工业部门与关键基础设施的小型控制系统（如PLC)等 3.2 信息物理融合cyber-physicalfusion 将ICS中的指令、状态信息和真实物理系统相结合的过程。 注：具体体现为将ICS中生产控制设备中的物料流、信息流、能量流相结合。 3.3 信息物理系统 tcyber-physical system;Cps 一个综合计算、网络和物理环境的多维复杂系统。 注：通过通信技术、计算机技术和控制技术的有机融合与深度协作，实现大型工程系统的实时感知、动态控制和信 息服务。 3.4 异常abnormal 故障、意外或攻击行为导致的系统出现异于正常或已有基线的情况 1 GB/T41262—2022 注：包括恶意代码感染、网络攻击、固件宴改、控制逻辑宴改等信息安全事件，以及设备故障、误操作、能耗超出正常 國值、时序超出正常范围、状态统计数据超出正常范围等功能安全事件。 3.5 异常检测 Janomalydetection 对ICS发生的异常进行检测的过程。 3.6 误用检测1 misuse detection 一种能检测模式库中已涵盖的入侵行为或不可接受的行为的方式 注：在误用检测中首先定义异常系统行为，然后将所有其他行为定义为正常，主要假设是具有能够被精确地按某科 方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。 3.7 信息流 informationflow ICS控制设备中的系统控制指令和设备状态等数据 3.8 物料流 Ematerial flow 物质流 在ICS中原材料或半成品加工、检验、装配、试验、存储等过程数据。 3.9 能量流 energyflow 能耗流 ICS中的原材料或半成品在整个生产过程中所产生的能量数据。 3.10 脆弱性 vulnerability 可能被一个或多个威胁利用的资产或控制的弱点。 ［来源：GB/T29246—2017，2.89］ 3.11 高级持续性威胁攻击advancedpersistentthreat；APT 利用各种先进的攻击手段，对高价值目标进行的有组织、长期持续性网络攻击行为。 注：此种攻击需要长期经营与策划，因此具有极强的隐蔽性和针对性。在ICS中，此种攻击会带来更严重的财产损 失和威胁。 3.12 虚假数据攻击 falsedata injection attack 利用状态估计器中不良数据辨辩识方法的局限性，恶意篡改元件的量测值，使控制中心误判当前状 态，继而造成工控系统安稳控制措施误动或拒动，从而影响工控系统安全稳定运行的攻击行为 注：通过恶意算改设备中的数据而实施的攻击，都可视为虚假数据攻击、 3.13 ARP毒药攻击ARPpoisoning 对ARP缓存表进行篡改，导致发送给正确主机的数据包被发送给另外一台由攻击者控制的主机 的攻击行为，也称ARP欺骗（ARPspoofing） 3.14 内部威胁insiderthreat 内部人利用获得的信任或授权做出损害授信组织合法利益的行为。 注：内部威胁不仅仅是内部成员的有意或无意导致的损失，还包括一些外部伪装成内部成员的攻击。 GB/T41262-—2022 3.15 告警alert 当异常发生时，异常检测系统向授权管理员发出的紧急通知。 3.16 误报falsepositive 异常检测系统在未发生异常时告警，或者发出错误的告警信息 3.17 漏报falsenegative 当攻击发生时异常检测系统未告警。 4缩略语 下列缩略语适用于本文件。 ARP：地址解析协议（AddressResolutionProtocol) CIP：通用工业协议（CommonIndustrialProtocol) CPU：中央处理器（CentralProcessingUnit） DCS：分布式控制系统（DistributedControlSystem） MAC：媒体存取控制（MediaAccessControlAddress) OPC：面向对象链接与嵌入的过程控制协议[ObjectLinkingandEmbedding（OLE）forProcess Control] PLC：可编程逻辑控制器（ProgrammableLogicController） SCADA：监视控制与数据采集系统（SupervisoryControlandDataAcquisition） SIS：安全仪表系统（SafetyInstrumentedSystem） VPN：虚拟专用网络（VirtualPrivateNetwork） WIA-FA：工业自动化无线网络（WirelessNetworksforIndustrialAutomation-FactoryAutoma- tion) 5系统概述 5.1系统架构 工业控制系统信息物理融合异常检测系统基本结构如图1所示，主要分为3个部分：感知层、网络 层和控制层。感知层主要是由传感器、执行器等ICS现场设备组成，如阀门、开关等。感知层中的传感 器作为CPS中的末端设备，主要采集物理环境中具体信息和状态信息形成流数据，通过网络层发送传 输到控制层，同时接受来自控制层返回的相应的信息，感知层设备在感知执行物料流的同时完成生产的 过程中会产生相应的能耗变化形成能量流。网络层是连接信息世界和物理世界的桥梁，主要实现信息 流的实时传输。控制层主要是由具有逻辑控制的工控设备和上位机组成，如SCADA，DCS、PLC等，根 据接收的感知层信息流进行相应的分析，将控制指令下发给感知层设备控制生产工艺，并形成物料流数 据。感知层和控制层设备同时对应CPS框架的物理层，网络层对应CPS框架的网络层。 针对CPS框架下“物料流、信息流、能量流”之间的消耗关系，异常检测系统中的数据采集模块对现 场的流量、故障、网络等数据进行采集。异常检测模块通过生成受保护ICS的物料流、信息流、能量流 实时关系基线和正常情况，构建异常检测匹配模型，当不匹配时即出现异常，如产生设备故障或遭受外 部攻击等。响应和告警模块根据检测出的异常不同类型生成相应的响应结果，传递给检测结果处理模 块进行最