ICS 35.240.50
CCS J 07
GB
中华人民共和国国家标准
GB/T41262—2022
工业控制系统的信息物理融合异常
检测系统技术要求
Technical requirements for cyber-physical fusion anomaly detection
specification of industrial control system
2022-10-01实施
2022-03-09发布
国家市场监督管理总局国家标准化管理委员会
发布 GB/T41262—2022
目 次
前言 1 范围 2 规范性引用文件 3 术语和定义
缩略语系统概述 5.1 系统架构 5.2 功能模块功能要求 6.1 数据采集 6.2 异常检测 6.3 响应与告警 6.4 检测结果处理 6.5 管理控制· 6.6 安全管理 6.7 日志管理性能要求 7.1 误报率 7.2 漏报率 7.3 流量监控能力 7.4 并发连接数监控能力 7.5 新建TCP连接速率监控能力 7.6 检测时间· 附录A（资料性） 工业控制系统信息物理融合中的威胁附录B（资料性） 工业控制系统信息物理融合安全防护措施参考文献
4 5
3
6
0
10
11 12 12
12 12 13 14
15 GB/T41262—2022
前言
本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由中国机械工业联合会提出。 本文件由全国自动化系统与集成标准化技术委员会（SAC/TC159）归口。 本文件起草单位：中国科学院信息工程研究所、北京机械工业自动化研究所有限公司、浙江大学、杭
州优稳自动化系统有限公司、北京工业大学、上海电力大学、中国科学院声学研究所、奇安信科技集团股份有限公司、中国信息通信研究院、中国科学院沈阳自动化研究所、浙江中控技术股份有限公司、北京东方通科技股份有限公司。
本文件主要起草人：孙利民、石志强、朱红松、闫兆腾、吕世超、陈新、刘俊矫、张雪嫣、孙洁香、王文海、 张稳稳、赵璐、赖英旭、孙墨童、谷浩然、王勇、杨军、王勋、陈君、王、崔君荣、梁炜、张思超、蒋皓、李艺、 倪平、陆卫军、章维、李志、孙玉砚、李红、文辉、路晓、崔婷婷
1 GB/T41262—2022
工业控制系统的信息物理融合异常
检测系统技术要求
1范围
本文件规定了融合信息空间和物理空间的工业控制系统异常检测技术架构、功能模块、功能要求及性能要求。
本文件适用于工业控制安全厂商、设备生产厂商研制高效的信息物理融合异常检测设备。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文
件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件 GB/T20275一2013信息安全技术网络入侵检测系统技术要求和测试评价方法 GB/T22239—20191 信息安全技术网络安全等级保护基本要求 GB/T 25069 信息安全技术术语 GB/T 36323 信息安全技术工业控制系统安全管理基本要求 GB/T36324一2018信息安全技术工业控制系统信息安全分级规范
3术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。
3.1
工业控制系统 industrial control system;ICS 一类用于工业生产的控制系统的统称。 注：它包含SCADA、DCS和其他一些常见于工业部门与关键基础设施的小型控制系统（如PLC)等
3.2
信息物理融合cyber-physicalfusion 将ICS中的指令、状态信息和真实物理系统相结合的过程。 注：具体体现为将ICS中生产控制设备中的物料流、信息流、能量流相结合。
3.3
信息物理系统 cyber-physical system;CPS 一个综合计算、网络和物理环境的多维复杂系统，注：通过通信技术、计算机技术和控制技术的有机融合与深度协作，实现大型工程系统的实时感知、动态控制和信
息服务。
3.4
异常abnormal 故障、意外或攻击行为导致的系统出现异于正常或已有基线的情况
1 GB/T41262—2022
注：包括恶意代码感染、网络攻击、固件篡改、控制逻辑篡改等信息安全事件，以及设备故障、误操作、能耗超出正常
阅值、时序超出正常范围、状态统计数据超出正常范围等功能安全事件，
3.5
异常检测 anomalydetection 对ICS发生的异常进行检测的过程。
3.6
误用检测misusedetection 种能检测模式库中已涵盖的人侵行为或不可接受的行为的方式。 注：在误用检测中首先定义异常系统行为，然后将所有其他行为定义为正常，主要假设是具有能够被精确地按某种
方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行攻击的人侵方法的变种
3.7
信息流informationflow ICS控制设备中的系统控制指令和设备状态等数据。
3.8
物料流 materialflow 物质流在ICS中原材料或半成品加工、检验、装配、试验、存储等过程数据。
3.9
能量流 energyflow 能耗流 ICS中的原材料或半成品在整个生产过程中所产生的能量数据
3.10
脆弱性 vulnerability 可能被一个或多个威胁利用的资产或控制的弱点。 ［来源GB/T29246—2017,2.89]
3.11
高级持续性威胁攻击advancedpersistentthreat；APT 利用各种先进的攻击手段，对高价值目标进行的有组织、长期持续性网络攻击行为。 注：此种攻击需要长期经营与策划，因此具有极强的隐蔽性和针对性。在ICS中，此种攻击会带来更严重的财产损
失和威胁。
3.12
虚假数据攻击falsedatainjectionattack 利用状态估计器中不良数据辨识方法的局限性，恶意改元件的量测值，使控制中心误判当前状
态，继而造成工控系统安稳控制措施误动或拒动，从而影响工控系统安全稳定运行的攻击行为
注：通过恶意篡改设备中的数据而实施的攻击，都可视为虚假数据攻击，
3.13
ARP毒药攻击 ARPpoisoning 对ARP缓存表进行复改，导致发送给正确主机的数据包被发送给另外一台由攻击者控制的主机
的攻击行为，也称ARP欺骗（ARPspoofing）。 3.14
内部威胁insiderthreat 内部人利用获得的信任或授权做出损害授信组织合法利益的行为。 注：内部威胁不仅仅是内部成员的有意或无意导致的损失，还包括一些外部伪装成内部成员的攻击。
2 GB/T 41262—2022
3.15
告警alert 当异常发生时，异常检测系统向授权管理员发出的紧急通知。
3.16
误报 falsepositive 异常检测系统在未发生异常时告警，或者发出错误的告警信息
3.17
漏报falsenegative 当攻击发生时异常检测系统未告警。
4缩略语
下列缩略语适用于本文件。 ARP：地址解析协议（AddressResolutionProtocol) CIP：通用工业协议（CommonIndustrialProtocol) CPU：中央处理器（CentralProcessingUnit) DCS：分布式控制系统（DistributedControlSystem） MAC：媒体存取控制（MediaAccessControlAddress) OPC：面向对象链接与嵌入的过程控制协议［ObjectLinkingandEmbedding（OLE）forProcess
Control]
PLC：可编程逻辑控制器（ProgrammableLogicController） SCADA：监视控制与数据采集系统（SupervisoryControlandDataAcquisition） SIS：安全仪表系统（SafetyInstrumentedSystem） VPN：虚拟专用网络（VirtualPrivateNetwork） WIA-FA：工业自动化无线网络（WirelessNetworksforIndustrialAutomation-FactoryAutoma
tion)
5系统概述
5.1系统架构
工业控制系统信息物理融合异常检测系统基本结构如图1所示，主要分为3个部分：感知层、网络层和控制层。感知层主要是由传感器、执行器等ICS现场设备组成，如阀门、开关等。感知层中的传感器作为CPS中的未端设备，主要采集物理环境中具体信息和状态信息形成流数据，通过网络层发送传输到控制层，同时接受来自控制层返回的相应的信息，感知层设备在感知执行物料流的同时完成生产的过程中会产生相应的能耗变化形成能量流。网络层是连接信息世界和物理世界的桥梁，主要实现信息流的实时传输。控制层主要是由具有逻辑控制的工控设备和上位机组成，如SCADA、DCS、PLC等，根据接收的感知层信息流进行相应的分析，将控制指令下发给感知层设备控制生产工艺，并形成物料流数据。感知层和控制层设备同时对应CPS框架的物理层，网络层对应CPS框架的网络层
针对CPS框架下“物料流、信息流、能量流”之间的消耗关系，异常检测系统中的数据采集模块对现场的流量、故障、网络等数据进行采集。异常检测模块通过生成受保护ICS的物料流、信息流、能量流实时关系基线和正常情况，构建异常检测匹配模型，当不匹配时即出现异常，如产生设备故障或遭受外部攻击等。响应和告警模块根据检测出的异常不同类型生成相应的响应结果，传递给检测结果处理模块进行最终的异常处置。异常检测过程中所有的运行过程都应完成日志记录、管理控制和安全管理，保
3 GB/T41262—2022
证异常检测系统自身的稳定性、可用性和安全性，
CPS框架
异常检测系统
-
检
控制层信息流
响和告
测结果处
数据 异常 应采
专测
集
警
！物料流
网络层信息流
理
感知层能量流
日志记录 管理控制 安全管理
图 1 信息物理融合异常检测架构图
5.2功能模块
本文件按照工业控制系统信息物理融合异常检测的安全功能要求的强度，将工业控制系统信息物
理融合异常检测产品分为基本级和增强级，如表1所示。工业控制系统信息物理融合异常检测安全保障应符合GB/T18336.3一2015的相关要求。安全功能强弱和安全保障要求高低是等级划分的具体依据。其中，基本级安全功能要求应具备GB/T22239一2019中的第二级安全保护能力；增强级安全功能要求应具备GB/T22239一2019中第三级安全保护能力。在增强级中新增的要求会通过加粗黑体标识。
表1安全功能要求等级划分
安全功能要求
基本级
增强级
感知层数据采集网络层数据采集控制层数据采集
*
* *
*
￥ *
协议解析人侵诱捕
数据采集
*
*
其他安全防护设备数据接入
* *
事件辨别扩展接口感知层异常检测网络层异常检测上位机异常检测控制器异常检测工艺参数异常检测行为异常检测威胁事件监测基于白名单规则分析
*
?
?
异常检测
*
自学习
*
4 GB/T41262—2022
表1 安全功能要求等级划分（续）
基本级 * * * * 一 * * * * 一 * * * * * * * * * * * 一 * * * *
增强级 * * * ** * * * * ** * * * * * * * * ** * * * * * * * **
安全功能要求
事件响应安全告警告警方式告警处置
响应和告警
与其他安全防护设备联动
全局预警结果记录结果可视化统计分析关联分析可选查阅报告输出唯一性标识管理员角色定义基本鉴别鉴别失败处理超时锁定或注销升级管理接口安全管理安全状态监测存储安全分布式部署自身安全保障日志生成日志内容日志存储
检测结果处理
管理控制
安全管理
日志管理
注：“*”表示具有该要求，“**”表示要求有所增强，“一”表示不适用
6 功能要求 6.1 数据采集 6.1.1 感知层数据采集
系统应具有感知层中信息流、物料流和能量流的数据识别和采集能力，应识别和采集的数据包括：
固件版本等感知层设备的软件资产数据；
a)
5