如果说第 4 节回答了"是什么 ",本节将回答"怎么做到的 "。
Cyber Vision 的核心竞争力可以归纳为一条流水线:
抓包 → 解码 → 建模 → 评分 → 告警 。
我们将沿着这条流水线,从交换机 ASIC 一直追踪到最终的风险仪表盘。
5.1 深度包检测(DPI)引擎
🔬 类比: 把 DPI 引擎想象成海关 X 光机——它不拆开包裹(不中断流量),
但能透视每一层包装,读懂里面装的是螺丝还是芯片,甚至品牌和型号。
Cyber Vision 传感器的 DPI 引擎是整个系统的"感知层"。它以 IOx 容器 的形式运行在
Cisco 工业交换机(如 IE3400、Catalyst 9300 系列)的专用 CPU 核心 上,与交换转发面完全隔离,
不占用数据面资源。[14]
Cisco IE3400 / Catalyst 9300 交换机
数据面 (Data Plane)
ASIC 硬件转发
线速 L2/L3 交换
PLC
HMI
SCADA
ERSPAN 镜像
ASIC → AppGigabitEthernet (内部)
IOx 应用容器(独立 CPU 核心)
Cyber Vision DPI 引擎
协议解码器
400+ 工业协议
资产建模
Tag / 属性推断
风险评分引擎
Impact × Likelihood
输出:资产清单 · 漏洞列表 · 流量基线 · 告警事件
→ 传输至 Cyber Vision Center(TLS 加密)
镜像流量
OT 生产流量 — 零干扰
分析面 — 独立计算资源
特性 说明
ERSPAN 镜像 交换机 ASIC 将选定 VLAN/端口的流量以 ERSPAN(GRE 封装)格式送到内部 AppGigabitEthernet 接口,
再由 IOx 容器接收。整个过程在芯片内部完成,不增加外部布线。[14]
专用 CPU 核心 IOx 容器被分配交换机 x86 CPU 的独立核心(IE3400 分配 1 核 + 最高 2GB 内存),
确保 DPI 分析不影响交换面性能。[15]
零注入(被动模式) 默认工作模式下,传感器不向网络注入任何数据包 ——仅"看"不"说"。
这对于要求零干扰的制药、半导体产线至关重要。
边缘预处理 传感器在边缘完成协议解码和元数据提取,仅将结构化元数据 (非原始 PCAP)
上传至 Center,极大减少 WAN 带宽消耗(通常 < 100 kbps)。[14]
5.2 协议解码:读懂 OT 的"方言"
IT 世界的流量大多是 HTTP/TLS/DNS——"标准普通话"。但 OT 世界是"方言的海洋":
一条汽车产线可能同时跑着 EtherNet/IP (美系)、PROFINET (德系)、
CC-Link (日系)、Modbus/TCP (通用)等截然不同的工业协议。
Cyber Vision 的 DPI 引擎内置 400 余种工业及 IT 协议解码器 ,能够逐层解析到
应用层语义 ——不仅知道"谁跟谁通信",还能理解"在做什么操作"。[16]
数据包分层解码
L2: Ethernet / 802.1Q VLAN
L3: IPv4 / IPv6 / ARP
L4: TCP / UDP
L7: 工业协议
Modbus · EtherNet/IP · S7 · OPC-UA · PROFINET …
语义层:操作 / 变量 / 值
Cyber Vision 提取的信息
➜ MAC 地址、VLAN ID、厂商 OUI
➜ IP 地址、子网、路由关系
➜ 端口号、会话状态、带宽
➜ 设备型号、固件版本、硬件系列号
➜ 所用功能码 / 服务类型
➜ 读/写变量名、PLC 运行模式
➜ 固件下载指令、配置变更
协议族 代表协议 解码深度示例 典型行业
Modbus Modbus/TCP, Modbus RTU over TCP
功能码(读线圈/写寄存器)、寄存器地址、异常码
电力、水务、通用制造
CIP EtherNet/IP, DeviceNet
CIP 服务码、Object Class/Instance、设备身份对象(型号、序列号、固件)
汽车、食品饮料(美系)
S7 S7comm, S7comm Plus
CPU 运行/停止模式、DB 块读写、固件下载指令
汽车、化工(德系)
PROFINET PROFINET IO, DCP
设备名称、站号、I/O 数据交换状态、诊断帧
汽车、包装(德系)
OPC OPC-UA, OPC-DA (Classic)
节点浏览、订阅、读/写请求、安全策略
跨行业(IT/OT 桥梁)
楼宇 BACnet, LonWorks, KNX
对象类型、属性读写、告警事件
智能楼宇、数据中心
电力 DNP3, IEC 61850/MMS, IEC 104
数据对象类型、遥控/遥信、事件记录
电网、变电站
IT 常见 HTTP, TLS, DNS, SMB, RDP, SSH
版本、加密套件、用户代理、文件操作
所有 IT/OT 混合环境
⚠️ 为什么普通 IT 安全工具看不懂? 一条"写"指令可能意味着有人正在修改 PLC 逻辑 ,
这是最高级别的安全事件,而 IT 工具只会记录为"TCP 会话到端口 502"。
5.3 Tag 系统:OT 资产的"数字画像"
每个被发现的资产,Cyber Vision 都会自动赋予一组 Tag(标签) 。
Tag 是整个系统实现自动化分类、风险评估和策略联动的基石。Tag 分为两大类:
Cyber Vision Tag 分类体系
🏷️ 设备标签 (Device Tags)
描述设备"是什么"——身份与角色
Purdue 层级
Level 0-1 (现场) · Level 2 (控制) · Level 3-4 (运营/企业)
设备类型
PLC · HMI · 工程站 · 历史数据库 · 交换机 · IO模块
厂商 / 型号
Rockwell · Siemens · Schneider · ABB · 三菱 · 欧姆龙
固件版本
FW v3.2.1 · 关联 CVE 漏洞数据库匹配
网络属性
IP · MAC · VLAN · 所属 Group · 自定义标签
🏷️ 活动标签 (Activity Tags)
描述设备"在做什么"——行为与风险
协议使用
Uses-Modbus · Uses-S7 · Uses-HTTP · Uses-RDP
危险行为
Has-PLC-Write · Has-FW-Download · Has-Config-Change
暴露面
Internet-Facing · Cross-Zone · Talks-to-IT
漏洞关联
Has-Known-CVE · CVE-Critical · CVE-CISA-KEV
合规状态
Cleartext-Protocol · No-Auth · Outdated-Firmware
💡 Tag 的价值链: Tag 不是一个静态标签——它是下游所有自动化能力的"燃料":
Tag → 分组 (Group) :自动按 Purdue 层级 / 厂商 / 区域组织资产风险评分 :Tag 权重直接影响设备的 Impact 和 Likelihood 计算基线规则 :基于 Activity Tag 自动生成"正常行为"模板ISE 策略 :通过 pxGrid 共享 Tag,驱动 TrustSec SGT 分配和微分段防火墙策略 :通过 CSDAC,Tag/Group 映射为 FMC 动态对象,自动更新 ACL
5.4 风险评分模型
Cyber Vision 为每个资产计算一个 0-100 分的风险评分 ,并在仪表盘中以颜色标识。
分数越高,风险越大。其核心公式:
Risk Score = Impact × Likelihood
📐 Impact(影响度)
设备标签权重 :Level 0-1 PLC > Level 2 HMI > Level 3 Server分组工业影响 :管理员可为每个 Group 设置 Industrial Impact 等级(Critical / High / Medium / Low)逻辑: 一台控制反应釜温度的 PLC(Level 0, Critical Group)的 Impact 远高于一台办公打印机
📊 Likelihood(可能性)
活动标签权重 :Has-PLC-Write > Uses-Cleartext > Uses-HTTP漏洞数据 :关联的 CVE 数量与严重等级(CVSS)外部暴露 :Internet-Facing 或 Cross-Zone 通信加权逻辑: 一台有 3 个 Critical CVE、使用明文协议、且跨区通信的 HMI 的 Likelihood 最高
设备风险评分刻度
0
25
50
75
100
低风险
中等风险
高风险
严重风险
12
交换机
48
HMI
87
PLC(有CVE)
✅ 可定制的评分权重: 管理员可以调整 Tag 权重和 Group Industrial Impact 参数,
让评分模型适配本企业的业务优先级。例如,制药企业可将"清洁间控制器"Group 设为 Critical,
而将"照明控制"设为 Low。[17]
5.5 被动发现 vs 主动发现
Cyber Vision 提供两种互补的资产发现方式。理解它们的差异是正确部署的关键。
原理 监听 ERSPAN 镜像流量,解析所有经过交换机的数据包 注入包数量 零 — 完全不向网络发送任何数据包适用场景 所有 OT 环境,尤其是零干扰要求的产线(制药、半导体、核电) 能发现什么 所有有网络通信行为的设备及其属性(IP、MAC、协议、版本、通信关系) 盲区 • 不主动通信的"沉默"设备 默认状态 始终开启 — 这是 Cyber Vision 的基本工作模式
原理 通过传感器的 eth2 接口向 OT 网络发送精心构造的工业协议请求包 注入包数量 极少 — 每次扫描仅数十至数百个包适用场景 需要更完整的资产清单:发现沉默设备、穿透 NAT、获取详细硬件信息 能发现什么 被动无法看到的沉默设备 + 更详细的属性(如 Rockwell 的 Slot/Module 信息、S7 的 Module 列表) 核心特点 • 闭环驱动 :被动发现先识别协议类型,主动扫描仅发送该设备"懂"的协议请求广播+单播 :先广播探测(如 Ethernet/IP ListIdentity),再针对性单播可穿透 NAT :因为主动请求从 OT 子网本地发起 默认状态 需手动开启 — 由管理员在 Center 上按需触发或调度
闭环发现流程
OT 设备
PLC · HMI
IO 模块
工程站
沉默设备 🤫
(NAT 后方)
IE3400 交换机
+ Cyber Vision 传感器
eth1=镜像 | eth2=主动探测
CV Center
汇聚 · 分析 · 展示
仪表盘
📊 风险视图
① 正常流量
② 元数据上报
主动发现闭环
❶ 被动发现识别到 EtherNet/IP 设备
❷ Center 下发主动扫描指令 → 传感器 eth2
❸ 传感器发送 CIP ListIdentity → 发现 NAT 后的沉默设备
③ 主动探测包
④ 响应
🔑 "闭环"的精妙之处: Cyber Vision 的主动发现不是盲目的全端口扫描——
它先通过被动监听"学习"网络中存在哪些协议,然后仅使用设备已经在用的工业协议 进行有针对性的查询。
例如,如果被动发现看到了 PROFINET DCP 广播,主动扫描就只会发送 PROFINET Identify 请求,
而不会发送 Modbus 请求。这种"先看、再问、只问它听得懂的"策略,
最大限度降低了对产线的干扰。[18]
5.6 基线与异常检测工作流
发现资产只是起点。Cyber Vision 的真正价值在于持续监控——建立"什么是正常的"(基线),
然后实时检测"什么偏离了正常"(异常)。
基线建立与异常检测 — 四步工作流
📚
第一步:学习
部署后进入"学习模式"
记录所有通信关系
协议 · 频率 · 数据量
建议学习期:2-4 周
📏
第二步:建基线
Preset-Based 基线:
管理员选择要监控的
维度(新设备/新流/
新协议/变量变更等)
👁️
第三步:监控
切换到"监控模式"
实时对比新流量与基线
任何偏离 → 生成事件
可多基线切换(生产/维护)
🚨
第四步:告警
Syslog / Email
XDR 事件推送
Splunk 仪表盘
ISE CoA 隔离
常见异常检测场景示例
🆕 新设备接入
未知 MAC/IP 出现在 OT 网段
🔄 新通信关系
PLC 突然与 Internet IP 通信
⚡ 危险操作
非维护窗口出现 PLC 固件下载指令
📡 新协议出现
OT 网段突然出现 RDP/SSH 流量
🔓 明文凭证
检测到 Telnet/FTP 明文登录行为
📊 流量异常
某设备数据量突增 10x(可能数据外泄)
工厂不是 7×24 始终如一的——生产班次、维护窗口、换线调试期间的"正常"截然不同。
Cyber Vision 支持为同一网络创建多个基线 ,并按场景切换:[19]
🏭 生产基线
正常生产期间的通信模式。
任何偏离立即告警——例如工程站不应在此时段连接 PLC。
🔧 维护基线
计划维护窗口的模式。允许工程站连接 PLC、
固件更新等操作,但仍监控非预期行为。
🔄 换线基线
产线切换产品配方时的模式。
允许参数批量下发,但监控写入值是否在合理范围内。
5.7 完整数据流水线总览
最后,让我们把所有环节串联起来,形成 Cyber Vision 从"数据包到决策"的完整视图:
📦
抓包
ERSPAN 镜像
零拷贝接收
🔬
解码
400+ 协议 DPI
L2→L7 语义解析
🏷️
建模
设备/活动 Tag
资产属性推断
📐
评分
Impact × Likelihood
0-100 风险值
📏
基线
行为模式匹配
偏离检测
🚨
告警
事件生成
联动响应
输出与联动 ↓
📋 资产清单
🛡️ 漏洞报告
🔗 ISE pxGrid
🔥 Firewall CSDAC
📊 XDR / Splunk
整个流水线从抓包到告警,延迟通常 < 5 秒(取决于网络拓扑和事件类型)
📌 第 5 节要点回顾:
1. DPI 引擎以 IOx 容器运行在交换机专用核心上,通过 ERSPAN 获取流量副本,零干扰2. 400+ 工业协议解码器可深入 L7 语义层,区分"读"与"写"、"正常运行"与"固件篡改"3. 双维 Tag 系统(设备标签 + 活动标签)是自动分类、评分、策略联动的基石4. 风险评分 = Impact × Likelihood,可定制权重以适配业务优先级5. 被动发现(默认)零注入;主动发现(可选)采用闭环策略,仅发送设备可理解的协议请求6. 多基线管理适配生产/维护/换线等不同运行状态,减少误报7. 从"抓包→解码→建模→评分→基线→告警"的全链路在边缘完成预处理,仅上传结构化元数据