徐志杰，朱凌云，金鑫

(1. Kenexis咨詢公司，天津 300270；2. 北京上德自動化系統(tǒng)有限公司，北京 102502；3. 遼寧石油化工大學(xué) 信息與控制工程學(xué)院，遼寧 撫順 113001)

確定性是設(shè)計并操作工業(yè)控制系統(tǒng)(ICS)的工程師需要考慮的主要內(nèi)容之一。ICS需要在一定的時間內(nèi)對網(wǎng)絡(luò)發(fā)送的信息做出響應(yīng)，否則系統(tǒng)可能會處于不穩(wěn)定和/或失效狀態(tài)。能夠影響系統(tǒng)確定性的因素有很多，如單一設(shè)備性能等。雖然在設(shè)計系統(tǒng)時可以考慮其間的某些因素，然而系統(tǒng)內(nèi)部和系統(tǒng)間的交互以及安全性設(shè)置等因素有時難以預(yù)先確定。因此，需要在測試和操作期間測量并收集數(shù)據(jù)，以評估系統(tǒng)的確定性。

目前，中國國內(nèi)諸多企業(yè)在ICS安全方面仍存在誤區(qū)： 他們認(rèn)為ICS只要未與互聯(lián)網(wǎng)連接、黑客便無法攻擊ICS。事實上，企業(yè)的諸多工業(yè)控制網(wǎng)絡(luò)均為“開放式”，系統(tǒng)與系統(tǒng)之間也未進(jìn)行有效隔離。盡管企業(yè)內(nèi)網(wǎng)安裝了防護(hù)設(shè)施/軟件，并實施了多種網(wǎng)絡(luò)安全技術(shù)，但隨著信息化的推進(jìn)以及工業(yè)化進(jìn)程的加速，工廠信息網(wǎng)絡(luò)、互聯(lián)網(wǎng)，以及其他因素導(dǎo)致的信息安全問題正逐步向控制系統(tǒng)擴散，繼而對工廠生產(chǎn)控制的安全穩(wěn)定產(chǎn)生了直接威脅。

1 常用的網(wǎng)絡(luò)安全監(jiān)控方法

1.1 設(shè)備報告方法

ICS網(wǎng)絡(luò)協(xié)議[1]是從較為陳舊且基于串行或總線的現(xiàn)場總線網(wǎng)絡(luò)發(fā)展而來。雖然它們目前可以在以太網(wǎng)和傳輸控制協(xié)議(TCP)/用戶數(shù)據(jù)報協(xié)議(UDP)/ 互聯(lián)網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò)上運行，但設(shè)備在網(wǎng)絡(luò)上交互的大部分方式均基于該類現(xiàn)場總線。當(dāng)現(xiàn)場總線上的設(shè)備需要通過某種形式的總線連接網(wǎng)絡(luò)時，則必須要限制通信流的數(shù)量、消息的長度以及周期性。如此一來，便催生了一些限制網(wǎng)絡(luò)外來流量的不同方法。

一種方法是讓復(fù)雜控制器充當(dāng)網(wǎng)絡(luò)上的主機，而輸入/輸出(I/O)設(shè)備充當(dāng)從機。主機可以命令從機執(zhí)行一些操作，也可以通過網(wǎng)絡(luò)向從機請求信息。除非主機發(fā)出特別請求，否則從機不會通信。

另一種方法是“定期報告”，它允許I/O設(shè)備和控制器以對等的方式交互。控制器和I/O設(shè)備在啟動通信流時會例行交換信號，該種交換會為該通信流建立參數(shù)，包括通信報文中包含的信息和預(yù)計周期。I/O設(shè)備和控制器獨立工作并監(jiān)視通信流中的錯誤。如果通信過程中出現(xiàn)錯誤，大多數(shù)控制器均能借助其內(nèi)部方法重新建立通信流。

第三種方法稱作“異常報告”，它在某種程度上介于主/從報告和定期報告之間。在該方法中，控制器能夠以某種周期性的方式與I/O設(shè)備通信，以確保這2臺設(shè)備仍然運行，稱為“心跳”(heartbeat)。一般來講，“心跳”通常具有相對低的周期性。I/O設(shè)備會在這些“心跳”消息之外基本上保持休眠狀態(tài)，以等待某些條件得到滿足。當(dāng)該條件滿足時，例如： 傳感器測量值超出某個范圍，I/O設(shè)備將向控制器發(fā)送一條指示異常已經(jīng)發(fā)生的消息。

1.2 積極指標(biāo)與消極指標(biāo)的對比

關(guān)于指標(biāo)報告，它可以是積極的，也可以是消極的。積極指標(biāo)是指被報告為能夠表示某個物理量的特定值(布爾值、整數(shù)、浮點數(shù)等)指標(biāo)。積極指標(biāo)允許數(shù)值被另一臺設(shè)備和/或系統(tǒng)用作某種流程的輸入(例如： 控制函數(shù))。

對于過程控制周期而言，積極指標(biāo)通常是輸入控制回路并作為每個周期中被使用的過程變量。在檢查每個控制周期時，除非滿足某些特定條件，否則不會主動使用消極指標(biāo)。如果出現(xiàn)該類情況，消極指標(biāo)可能會導(dǎo)致系統(tǒng)進(jìn)入另一種狀態(tài)，或者在主控制回路中執(zhí)行不同的子回路。然而，在正常操作期間，控制周期通常不會主動使用這些指標(biāo)。

安全指標(biāo)通常被報告為消極指標(biāo)。殺毒軟件不斷地在后臺檢查系統(tǒng)，但在錯誤發(fā)生之前通常保持“后臺運行”狀態(tài)。如果檢測到已知的病毒簽名，它就會提醒用戶出了問題。除非用戶特意檢查軟件本身的狀態(tài)，否則殺毒軟件將始終保持靜默。為了維持態(tài)勢感知，無論錯誤或特殊情形是否出現(xiàn)，需要了解整個系統(tǒng)在任意時刻的執(zhí)行情況。相應(yīng)的趨勢變化可在達(dá)到報警觸發(fā)值之前建立。

1.3 網(wǎng)絡(luò)安全監(jiān)控及安全信息/事件管理

網(wǎng)絡(luò)安全監(jiān)控(NSM)是“收集、分析、升級指示和警告，以檢測入侵并對其響應(yīng)”。NSM表示“一種可以找到網(wǎng)絡(luò)入侵者并在其破壞企業(yè)之前對其采取措施的手段”[1]。NSM通常涉及從網(wǎng)絡(luò)中的不同來源收集所有可用日志和報警信息，并分析其感染指標(biāo)(IOC)，注意： 該類信息有可能成為流向不法分子的網(wǎng)絡(luò)通信流。

NSM對于檢測已知和正在出現(xiàn)的威脅非常有效，因為它并非一種能夠容易被擊敗的單一產(chǎn)品。NSM通常會從多個不同的來源收集信息并整合，從而形成較好的態(tài)勢感知。由于NSM更多的是一種監(jiān)測網(wǎng)絡(luò)IOC的方法，因此，其更有可能在攻擊出現(xiàn)時，能夠通過使用單一類型的產(chǎn)品或技術(shù)捕捉到攻擊。

1.3.1網(wǎng)絡(luò)安全監(jiān)控的優(yōu)點

NSM特別適合大型計算環(huán)境，在該環(huán)境中，傳感器可以布置在關(guān)鍵點位上檢測IOC。

ICS網(wǎng)絡(luò)結(jié)構(gòu)的上層結(jié)構(gòu)如圖1所示。商業(yè)系統(tǒng)和服務(wù)器通過企業(yè)防火墻連接到因特網(wǎng)，通過另一個防火墻連接到ICS網(wǎng)絡(luò)。隔離區(qū)(DMZ)用于防止ICS網(wǎng)絡(luò)和商業(yè)網(wǎng)絡(luò)之間的直接通信。ICS服務(wù)器與DMZ中的服務(wù)器通信，DMZ中的服務(wù)器與商業(yè)網(wǎng)絡(luò)中的服務(wù)器通信。

圖1 ICS網(wǎng)絡(luò)結(jié)構(gòu)的上層結(jié)構(gòu)示意

上層大多數(shù)網(wǎng)絡(luò)通信流會跨網(wǎng)絡(luò)邊界，所采用的協(xié)議是較為常見的IT協(xié)議。通常來講，在上層運行的系統(tǒng)是更為常見的硬件和軟件平臺，由于跨區(qū)域邊界的通信流可以被監(jiān)控，因此對于NSM非常重要。在區(qū)域邊界部署NSM傳感器可以較為便利地監(jiān)控網(wǎng)絡(luò)通信。由于上層的大部分流量均跨越了區(qū)域邊界，因此更容易監(jiān)控和分析任何可疑情況。

NSM傳感器可以更容易地部署在這些常見的硬件和軟件平臺上。代理軟件可以部署在服務(wù)器上，實時監(jiān)控系統(tǒng)參數(shù)，而不需要專業(yè)工具或具備ICS經(jīng)驗的人員。這就使得NSM傳感器可以通過網(wǎng)絡(luò)在更多的區(qū)域整合[3]，從而能夠更早地發(fā)出IOC警報。

1.3.2網(wǎng)絡(luò)安全監(jiān)控的缺點

雖然NSM在網(wǎng)絡(luò)結(jié)構(gòu)的上層較為有效，但在下層卻較低。ICS網(wǎng)絡(luò)結(jié)構(gòu)的下層結(jié)構(gòu)如圖2所示。在該示例中，有多個能夠在基于以太網(wǎng)的工廠控制網(wǎng)絡(luò)和現(xiàn)場總線網(wǎng)絡(luò)之間通信的小型工作單元，這些工作單元表示生產(chǎn)裝置中的機撲(robotic)工作單元、單一加工區(qū)域中的遠(yuǎn)程控制站。圖2所示的工作單元之一位于一個能夠通過無線電線路與主裝置控制網(wǎng)絡(luò)通信的遠(yuǎn)程站點。工業(yè)控制網(wǎng)絡(luò)還包括操作員人機界面(HMI)、工程師工作站和專用控制設(shè)備。

圖2 ICS網(wǎng)絡(luò)結(jié)構(gòu)的下層結(jié)構(gòu)示意

下層網(wǎng)絡(luò)中的大多數(shù)網(wǎng)絡(luò)流量會在每個工作單元中“停留”，與留在工作單元內(nèi)的通信流相比，只有少量通信流能夠進(jìn)入或離開工作單元到達(dá)主裝置控制網(wǎng)絡(luò)，如此則導(dǎo)致在應(yīng)用常規(guī)NSM工具和技術(shù)時出現(xiàn)問題。

網(wǎng)絡(luò)通信通常會在某一區(qū)域內(nèi)“停留”且從不跨區(qū)域邊界，意味著網(wǎng)絡(luò)中部署NSM傳感器的典型方式需要更改。此外，為了獲得網(wǎng)絡(luò)通信流的態(tài)勢感知，需要在網(wǎng)絡(luò)中部署專用的NSM傳感器，傳感器需要添加到每個工作單元中，以便在出現(xiàn)問題時進(jìn)行檢測。

由于該下層網(wǎng)絡(luò)中的硬件和軟件平臺更加適合于ICS，因此需要在每個工作單元部署新的系統(tǒng)。在一個擁有大量工作單元的裝置中部署NSM傳感器的成本可能會迅速增加，因為每個傳感器的成本至少為幾萬元人民幣。此外，傳感器需要各自通信回主NSM服務(wù)器，該服務(wù)器可以圍繞整個網(wǎng)絡(luò)收集數(shù)據(jù)，這意味著工廠控制網(wǎng)絡(luò)需要添加大量的網(wǎng)絡(luò)通信流，以維持連續(xù)監(jiān)控。NSM傳感器必須是ICS協(xié)議感知，以檢測任何有價值的IOC，因此增加了系統(tǒng)的成本和復(fù)雜性，同時也限制了工具和技術(shù)的可用性。

2 一種更優(yōu)的網(wǎng)絡(luò)可靠性監(jiān)控方法

2.1 針對下層的網(wǎng)絡(luò)可靠性監(jiān)控

網(wǎng)絡(luò)可靠性監(jiān)控(NRM)的概念在本質(zhì)上與NSM非常相似。NRM使用多種來源的數(shù)據(jù)來分析系統(tǒng)的性能，主要區(qū)別在于NRM使用網(wǎng)絡(luò)性能的主動測量來建立圖像，并不需要實時監(jiān)控。

NSM的一個問題是能否在網(wǎng)絡(luò)通信流中捕獲IOC，如果其中一個NSM傳感器未報告任何信息，則無法提供有關(guān)網(wǎng)絡(luò)的足夠信息，從而無法確定系統(tǒng)是否運行正常。

通過使用實際網(wǎng)絡(luò)通信流的積極指標(biāo)，NRM可以創(chuàng)建網(wǎng)絡(luò)執(zhí)行方式，它能夠主動測量不同的網(wǎng)絡(luò)性能特征，并用它們來確定ICS設(shè)備是否按預(yù)期運行。

雖然可以實時使用NRM，但通常情況下并非如此。ICS通常維持不變，因此測試是定期進(jìn)行的，或者在重大變更之后進(jìn)行。NRM可以在工廠驗收測試(FAT)，現(xiàn)場驗收測試(SAT)和調(diào)試期間使用，以建立系統(tǒng)的基線簽名。然后，額外測試期間，可以比較新簽名與基線簽名，如果觀察到變化，或數(shù)據(jù)集中出現(xiàn)異常，則需要分析根本原因，以確定發(fā)生變化的原因。

由于NRM無需通過實時監(jiān)控來尋找IOC，因此可以減少監(jiān)控大型網(wǎng)絡(luò)所需的傳感器數(shù)量。單一捕獲設(shè)備或少量設(shè)備可以在不同的相對較短的時間(分鐘、小時或天)連接到ICS網(wǎng)絡(luò)，這些捕獲設(shè)備并不需要通過網(wǎng)絡(luò)與服務(wù)器通信，因此工廠控制網(wǎng)絡(luò)將不受到NRM的影響。

2.2 網(wǎng)絡(luò)可靠性監(jiān)控工具與技術(shù)

NRM既簡單又復(fù)雜。事實上，有許多可用于開展NRM的工具，Wireshark[4]是一種開源數(shù)據(jù)包捕獲、解碼器軟件包，它已經(jīng)成為事實上的標(biāo)準(zhǔn)。許多ICS協(xié)議均針對Wireshark開發(fā)了數(shù)據(jù)包解碼器，因此并不需要使用專用軟件。Wireshark軟件能夠生成包含不同網(wǎng)絡(luò)數(shù)據(jù)包字段的簡易電子表格文件。

Wireshark軟件通過某些參數(shù)過濾通信流，由于所有的數(shù)據(jù)包都在單一文件中相互交錯，所以Wireshark軟件具備依據(jù)網(wǎng)絡(luò)數(shù)據(jù)包中的某些參數(shù)過濾通信流的能力非常重要。所有通信流均應(yīng)進(jìn)行分類(廣播通信流、多播通信流，和單播通信流)，以便分析它們的性能和可靠性。雖然生成通信流過濾器的過程通常都很冗長，但如果擁有以前沒有內(nèi)置到Wireshark軟件的常規(guī)數(shù)據(jù)包解碼器中的專有或未知協(xié)議，則該過程可能會變得更加復(fù)雜。

由于城鄉(xiāng)規(guī)劃工作的開展與政府部門密切相關(guān)，因此，在該學(xué)科走向計量化過程中需要考慮政府方面面臨的挑戰(zhàn)。具體表現(xiàn)為：

待過濾網(wǎng)絡(luò)通信流且生成可用于分析通信流的數(shù)據(jù)文件之后，即可分析通信流。這些通信流的圖形分析能夠讓工程師識別數(shù)據(jù)中的異常。周期性抖動的網(wǎng)絡(luò)通信流分析如圖3所示。圖3右側(cè)所示為測量數(shù)據(jù)包間隔(MPI)與測試時間的對照散點圖，該圖顯示的是時間增量與時間的關(guān)系。MPI表示同一網(wǎng)絡(luò)通信流中后續(xù)數(shù)據(jù)包之間的測量時間。由于ICS網(wǎng)絡(luò)和系統(tǒng)嚴(yán)重依賴于設(shè)備之間的確定性通信，因此，網(wǎng)絡(luò)通信流需要盡可能地接近“確定性”頻率。周期性抖動表示實際網(wǎng)絡(luò)通信流數(shù)據(jù)包相對于所需數(shù)據(jù)包間隔的可變性。在圖3中，期望的數(shù)據(jù)包間隔是10 ms，MPI的平均值為10 ms，最小到最大周期性抖動約為500 μs。

圖3 周期性抖動的網(wǎng)絡(luò)通信流分析示例1示意

圖3左側(cè)為數(shù)據(jù)頻率計數(shù)圖，它能夠提供頻率分析的某種測量，但并不會像傅里葉分析那樣完整。然而，這足可以幫助工程師理解數(shù)據(jù)中的可見波段。雖然圖3所示的圖形相當(dāng)穩(wěn)定，大多數(shù)數(shù)據(jù)包均出現(xiàn)在中心處，分布較為集中，且無長期事件發(fā)生，但并非所有設(shè)備皆如此。圖4所示為單獨測試期間另一臺設(shè)備的網(wǎng)絡(luò)通信流。平均MPI為1 ms，周期性抖動約為210 μs，表明該平均值附近的分布較好。設(shè)備分析圖中大約26 s出現(xiàn)一次拍頻圖形。

圖4 周期抖動的網(wǎng)絡(luò)通信流分析示例2示意

嘗試?yán)斫庵芷诙秳臃治鰣D中觀察到的拍頻圖形或異常的最大難題之一是找到拍頻或異常的根本原因。設(shè)備結(jié)構(gòu)問題可能是操作系統(tǒng)垃圾收集、殺毒軟件檢查和更新，以及屏幕操作等問題。另外，網(wǎng)絡(luò)基礎(chǔ)設(shè)施也可能存在問題，諸如： 電磁干擾(EMI)、信號劣化或腐蝕。ICS環(huán)境并不一定總是有利于針對辦公環(huán)境的網(wǎng)絡(luò)基礎(chǔ)設(shè)施接線和設(shè)備[5]，有的時候，大量的機械、化學(xué)品、顆粒物等因素有可能會影響網(wǎng)絡(luò)通信性能。另外，也有可能在實際發(fā)生安全事件的情況下，拍頻圖形或異常情形上會呈現(xiàn)出IOC。若缺少可以用于比較的基線通信流，則很難對此加以確定。

2.3 基線測試

尋找網(wǎng)絡(luò)簽名異常時，開發(fā)良好的比較基線非常重要。由于條件不斷變化，因此采用IT設(shè)計良好的基線可能會很困難。然而，在ICS環(huán)境中卻很容易。系統(tǒng)在開始運行之前要經(jīng)過多次測試，包括： FAT，SAT和調(diào)試，每次測試期間，均應(yīng)該捕獲基線簽名，這些基線捕獲可用來與將來的簽名進(jìn)行比較。

除了系統(tǒng)初始測試之外，ICS一般不會定期變更，除非系統(tǒng)中的某些改變表明ICS設(shè)備或程序正在發(fā)生改變，否則系統(tǒng)將會按照安裝時的方式運行，這有可能是由于工藝變更，設(shè)備更換，程序效率變化，或者其他因素所致，但這些并非正常運行條件。事實上，系統(tǒng)可以在不做任何變化的情況下運行數(shù)年，除了靜態(tài)環(huán)境之外， ICS開展變更管理時必須要一致。最終用戶無法準(zhǔn)確地記錄每一次變更，但對系統(tǒng)進(jìn)行重大變更時，通常會形成文件記錄。捕獲設(shè)備簽名應(yīng)作為變更管理過程的一部分，如此一來，便可依據(jù)新配置的需要更新基線簽名。

ICS設(shè)備在檢驗和停機期間也要定期測試。測試頻率有可能是每年一次或者幾年一次，但通常在某個固定的時間段進(jìn)行。在此期間，還應(yīng)該為系統(tǒng)收集簽名。

3 網(wǎng)絡(luò)可靠性監(jiān)控的測試與數(shù)據(jù)分析

3.1 實時測試與定期測試的比較

現(xiàn)實當(dāng)中為了保持態(tài)勢感知，有可能需要實時分析這些簽名。實時測試要求在整個網(wǎng)絡(luò)中安裝監(jiān)測傳感器，這些監(jiān)測傳感器需要有足夠?qū)崟r捕獲和分析網(wǎng)絡(luò)通信流的能力，然后將其報告給相應(yīng)的監(jiān)測系統(tǒng)。為了應(yīng)對監(jiān)控系統(tǒng)增加的通信流，有時需要調(diào)整基礎(chǔ)設(shè)施的規(guī)模，操作人員必須負(fù)責(zé)監(jiān)控分析結(jié)果，這是其正常管控職責(zé)的一部分。所有這些因素使得可靠性數(shù)據(jù)的實時監(jiān)控對操作運行的影響大幅降低，多數(shù)情況下，通過應(yīng)用實時NRM降低成本不一定合理。

使用NRM的更簡單、更有效方法是使用少量臨時部署的NRM傳感器。這些NRM傳感器可以根據(jù)環(huán)境的臨界性，以不同的頻率在整個系統(tǒng)的選定點收集和分析網(wǎng)絡(luò)通信流[5]。

在某些時段，通過使用少量能夠與網(wǎng)絡(luò)連接且性能更為優(yōu)良的傳感器，便可以不必修改網(wǎng)絡(luò)基礎(chǔ)設(shè)施。通信流可在所期望的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上就地捕獲，因此不必穿過防火墻、隔離區(qū)或其他網(wǎng)絡(luò)設(shè)備來收集數(shù)據(jù)。另外，還可以在整個網(wǎng)絡(luò)的不同位置收集數(shù)據(jù)并對數(shù)據(jù)進(jìn)行后處理。工程師可以在不同的時間負(fù)責(zé)簽名比較，而不必在捕獲數(shù)據(jù)時實時查看簽名。

3.2 自動測試與分析

盡管可能沒有必要連續(xù)監(jiān)視NRM系統(tǒng)，但最好能夠讓捕獲和分析過程自動化。在正常的ICS環(huán)境中，數(shù)據(jù)的采集量和通信流的數(shù)量會使得人工分析變得非常困難且極為耗時，對于以小時計的通信流捕獲，可能需要花費數(shù)天的時間來分析收集所有通信流(主要取決于分析的難易程度)。因此，在選擇使用NRM時，首先需要考慮其流程自動化，在查看多個捕獲文件時，采用圖像形式的Wireshark等工具進(jìn)行通信流分析是不可取的。

大部分通信流分析都可以通過編寫腳本來實現(xiàn)。許多電子表格處理程序均有某種形式可以用來導(dǎo)入的文件并自動對導(dǎo)入文件進(jìn)行一些計算的腳本語言。工程師仍需要對該類腳本文件進(jìn)行某種形式的分析，但大部分的分析可以由計算機來完成而無需人工交互。

3.3 數(shù)據(jù)分析與通信流統(tǒng)計

在查看圖4所示的圖形時，有必要知曉圖中所給類型的拍頻圖形為正常運行模式，還是異常運行模式。由于在很短的捕獲時間內(nèi)通信流捕獲的數(shù)據(jù)集會非常大，因此有必要將數(shù)據(jù)轉(zhuǎn)換為某種形式的數(shù)理統(tǒng)計數(shù)據(jù)，以便能夠隨時間的推移對其監(jiān)控和比較。

查看數(shù)據(jù)最簡單和最常見的一類方法是平均值、最小值和最大值，該類型的統(tǒng)計數(shù)據(jù)作為其維護(hù)特征的一部分，很容易從設(shè)備本身獲得。然而，它們并不能說明全部情況，為了更好地了解正在發(fā)生的情況，需要應(yīng)用其他統(tǒng)計和數(shù)學(xué)手段。

另一個需要計算的簡單統(tǒng)計指標(biāo)是標(biāo)準(zhǔn)差，該指標(biāo)有助于對通信流的理解。如果通信流正常情況下呈現(xiàn)緊湊分布，但隨著時間的推移開始變寬，表明可能有問題出現(xiàn)。問題的根本原因有可能很難確定，但是對根本原因的調(diào)查可能會給出一些影響性能的新因素。

另外，標(biāo)準(zhǔn)差還可用作IOC。針對測試系統(tǒng)進(jìn)行的“中間人”(MITM)攻擊的周期性抖動分析如圖5所示[6]。在本例中，MPI的平均值保持不變(約10 ms)，但分布有明顯變化，在約8 ms和約12 ms時出現(xiàn)了旁瓣。該類情況在標(biāo)準(zhǔn)差分析期間很容易被發(fā)現(xiàn)。

圖5 顯示MITM攻擊的周期性抖動分析示意

其他類型的分析也可以提供更多的信息，諸如： 快速傅里葉變換、卷積，以及相關(guān)函數(shù)等均可用來更好地理解通信流。鑒于這些算法能夠在中等硬件條件下快速運行，所以應(yīng)予以考慮。它們在計算時的確需要一些時間，因此可能不太適合首次數(shù)據(jù)分析，然而卻較適合于更為深入的二次或者三次數(shù)據(jù)分析。

作為能夠初步了解一些最基本數(shù)據(jù)集中所包含的各種通信流的均衡且快速的統(tǒng)計數(shù)據(jù)集[7]，可以使用的基本指標(biāo)集包括： 平均值、最小值、最大值、標(biāo)準(zhǔn)差。

對于一個正常的ICS網(wǎng)絡(luò)而言，這四種統(tǒng)計量能夠在極短的時間內(nèi)(近乎實時)計算出來。通信流捕獲可按一定的頻率收集，通常是30 s或60 s的周期，在獲得下一個通信流捕獲文件之前，可以計算出該類通信流的統(tǒng)計數(shù)據(jù)。如此，基本數(shù)據(jù)分析就可以在近乎實時地條件下進(jìn)行，如果需要更為深入的分析，則可以使用上文提及的數(shù)學(xué)和統(tǒng)計方法重新分析通信流捕獲。

統(tǒng)計量的計算除了方便、快速之外，還容易被工程師和操作人員理解。上述指標(biāo)可以在儀表板上顯示變化趨勢，且隨著時間的推移，很容易比較。如果數(shù)據(jù)明顯超出范圍，則表明已出現(xiàn)問題需要調(diào)查。在許多情況下，僅僅知道狀況正在發(fā)生變化就足以提醒操作人員注意ICS環(huán)境中的潛在問題。并非所有的指示都會導(dǎo)致重要的報警，但它們可能會表明，應(yīng)該開展一些維護(hù)活動，以便使系統(tǒng)回到其期望狀態(tài)。這些統(tǒng)計數(shù)據(jù)提供了良好的信息集，可以使工程師理解數(shù)據(jù)，而不會被過多的數(shù)據(jù)所淹沒。

4 結(jié)束語

NSM對于許多系統(tǒng)來說都是一個好辦法，但是它并不是針對ICS環(huán)境的下層網(wǎng)絡(luò)而設(shè)計的，許多現(xiàn)有的簡單工具，均可用于ICS環(huán)境的各層來開展某種形式的NRM。然而，本文中討論的工具和技術(shù)更適合于網(wǎng)絡(luò)結(jié)構(gòu)的下層，在ICS環(huán)境中，不需要連續(xù)監(jiān)控NRM。事實上，為了適應(yīng)連續(xù)的NRM有可能需要對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行大規(guī)模的更改，因此周期性的、本地化的測試可能是一個更好的辦法。

測試和數(shù)據(jù)分析的自動化對NRM來說非常重要，這是因為隨著網(wǎng)絡(luò)變得越來越大，分析通信流數(shù)量所需的時間呈數(shù)量級遞增。分析通信流所需的工具和算法并不需要非常復(fù)雜，就能夠基本了解ICS環(huán)境，當(dāng)發(fā)現(xiàn)異常時，可以根據(jù)需要進(jìn)行更為復(fù)雜的分析，但在正常運行中通常則不需要。