工控场景的入侵检测与普通场景入侵检测的区别

1. 安全目标和优先级不同

• 普通场景（IT）： IT 环境的核心安全目标通常是机密性、完整性和可用性（CIA）。其中，机密性往往是首要考虑的。这意味着保护数据不被泄露是头等大事，其次是确保数据不被篡改，最后是保障服务的持续运行。如果发生安全事件，系统可以短暂下线进行修复
• 工控场景（ICS/SCADA）： 工控环境的核心安全目标是可用性、完整性和机密性（AIC）。其首要任务是保障物理过程的持续运行和安全。任何中断都可能导致严重的物理后果，例如设备损坏、生产中断，甚至是人员伤亡和环境灾难。因此，可用性是压倒一切的。其次是确保控制命令的完整性，防止恶意篡改导致设备误操作。机密性（如生产配方）虽然重要，但优先级通常最低

2. 网络协议和通信方式不同

• 普通场景（IT）： IT 网络主要使用标准、开放的协议，如 TCP/IP、HTTP、HTTPS、SMTP、SSH 等。这些协议拥有成熟的加密、身份验证和安全机制，入侵检测系统（IDS）可以利用已知的签名库、异常行为模式和深度包检测（DPI）来分析流量
• 工控场景（ICS/SCADA）： 工控网络使用大量非标准的、专有的或特定领域的协议，如 Modbus、DNP3、Ethernet/IP、PROFINET、OPC 等。这些协议最初设计时并未过多考虑安全性，通常是明文传输，缺乏加密和身份验证。因此，IT 领域的传统 IDS 无法理解和解析这些协议，更无法从中提取有用的信息。工控 IDS 必须具备对这些特定协议的深度解析能力

3. 系统架构和设备特性不同

• 普通场景（IT）： IT 系统通常由服务器、PC、路由器、交换机等标准化硬件组成，更新和打补丁相对方便。架构灵活，通常有明确的边界和分层（如DMZ区）
• 工控场景（ICS/SCADA）： 工控系统由可编程逻辑控制器（PLC）、人机界面（HMI）、远程终端单元（RTU）、监控工作站等专用硬件组成。这些设备通常运行在实时操作系统上，计算能力和存储空间有限，打补丁和更新极为困难，甚至是不可能的，因为任何中断都可能影响生产。此外，工控网络通常是扁平的，设备之间直接通信，边界模糊

4. 攻击类型和检测方法不同

• 普通场景（IT）： IT 攻击通常针对软件漏洞、弱密码、DDoS攻击、恶意软件、钓鱼邮件等。入侵检测系统主要依靠已知签名库（基于签名的检测）和行为模式分析（基于异常的检测）。例如，检测到特定的恶意代码特征码，或者发现异常的登录尝试次数
• 工控场景（ICS/SCADA）： 工控攻击不仅包括 IT 攻击手法（如针对监控工作站的恶意软件），更重要的是针对工控协议和物理过程的攻击。例如，恶意修改PLC的逻辑控制程序、篡改HMI上的数据显示、发送恶意的控制命令等。因此，工控IDS必须能够检测到：
  • 异常的命令和参数： 例如，向PLC发送一个不属于正常操作范围的控制命令
  • 异常的过程值： 例如，传感器读数突然出现与物理常识不符的剧烈波动
  • 异常的通信模式： 例如，某个监控站突然向所有RTU发送大量广播包
  • 非法固件更新： 检测到对PLC或RTU的非法固件上传
  • 基于物理过程的异常检测： 结合物理过程的知识，判断网络流量是否会导致不合理的物理状态。例如，同时关闭两个互锁的阀门

5. 部署方式和对系统的影响不同

• 普通场景（IT）： IT IDS可以作为内联设备（inline）部署，直接串联在网络中，对流量进行阻断。或者作为旁路设备（out-of-band）部署，仅仅进行流量镜像分析。即使内联部署出现问题，通常也只会导致网络暂时中断，影响可控
• 工控场景（ICS/SCADA）： 工控 IDS 绝大多数情况下必须以旁路（out-of-band）方式部署。任何在关键通信路径上串联的设备都可能引入延迟，甚至导致网络通信中断，从而引发生产事故。因此，工控IDS通常通过交换机的镜像端口（SPAN）来复制和分析流量，只进行检测，不参与控制