Q6: 工控入侵检测系统能发现哪些威胁？

Q6: 工控入侵检测系统能发现哪些威胁？

A: 工控入侵检测系统（IDS）基于特征匹配、异常检测和行为分析等技术，能够发现以下类型的威胁：

1. 已知攻击特征检测：系统内置工控威胁特征库，能够识别已知的工控攻击手法，如针对 Modbus 协议的功能码注入攻击、针对 PLC 的恶意指令下发、针对 SCADA 系统的远程代码执行等。
2. 协议违规检测：检测工业协议使用中的违规行为，如异常的功能码组合、超出合理范围的寄存器访问、异常的轮询频率、协议格式错误等。这些行为可能表明存在攻击或配置错误。
3. 异常流量检测：基于流量基线分析，发现偏离正常模式的异常流量，如突发的大量网络连接、异常的数据传输量、非常规的通信时间等。
4. 网络侦察检测：检测网络扫描和探测行为，如端口扫描、设备指纹识别、协议枚举等，这些通常是攻击者进行前期侦察的行为特征。
5. 异常操作行为检测：识别违反正常操作流程的行为模式，如非工作时间的大规模配置变更、异常的 PLC 程序下载、超出授权范围的参数修改等。
6. 恶意代码传播检测：检测工控恶意软件的传播行为，如针对特定工控软件或固件的攻击行为模式、异常的文件传输等。

工控 IDS 通常采用旁路部署方式，不影响正常业务通信，检测到威胁后产生告警供安全人员分析和处理。