針對 OT/ICS 攻擊行動的攻擊者，其攻擊行為都經過高縝密計畫並濫用諸多看似合法的才得以越過多層次防護的層層防護、自 IT 外圍入侵至工控內部並濫用合法的感染途徑來進行攻擊，例如 2023 年俄羅斯網軍 Sandworm actor 就濫用了 OT-level living off the land (LotL) 技巧停用烏克蘭電力基礎設施以癱瘓電力設施。然而，這種濫用 OT/ICS 原生系統發動的攻擊對於現代 IT 解決方案而言過於複雜且難以斷定其明確惡意性並即時阻擋，使得過往推崇的 Multiple Layers of Protection 嚴格偵測惡意行為的策略驟然失效。

在這份研究中，我們將提出有別既往強調偵測惡意行為的新偵測手法打造專為 OT/ICS 而生的 AI 偵測策略 —— 透過 Process Relationship 與可疑行為的雙模態模型 BenignSuspicious2Vec 建模工控中那些難以被斷定惡意但可疑的良性行為，並透過大量學習建模野外針對 OT/ICS 惡意攻擊如何濫用這些可疑行為、達到讓 AI 能夠高精度偵測並分類出已知的野外 OT/ICS 攻擊行為。

在我們一年的實驗中，我們透過 562 條專家撰寫的可疑行為 Rules 用於捕獲多個真實 OT/ICS 廠房中良性軟體產生的可疑行為、總共回收了並訓練了其中的 2, 000, 000 回應行為，我們將這些獨特的可疑行為採用 Word Embedding 技術轉化為向量化的「惡意程式樣本」成功建模 VirusTotal 上已知的 OT/ICS 攻擊行為。並且我們成功使用了這套新穎的 AI 模型在 52438 支真實工廠環境程序中捕獲到 12 支變種的惡意程式。