Binary Image-Based Intrusion Detection for Operational Technology Networks: Extending the SPHBI Methodology from IoT to Modbus TCP

Dieser Beitrag erweitert die Single Packet Header Binary Image (SPHBI)-Methodik auf Modbus-TCP-Netzwerke und zeigt, dass die Einbeziehung von lediglich acht Bytes an Anwendungsdatenebene-Daten es einem leichten Modell ermöglicht, eine binäre Genauigkeit von 98,1 % und eine Multiklassen-Genauigkeit von 94,4 % mit deutlich weniger Parametern als Deep-Learning-Alternativen zu erreichen, während gleichzeitig die inhärente Einschränkung von Single-Packet-Methoden bei der Erkennung von Replay-Angriffen hervorgehoben wird.

Das Wesentliche

Stellen Sie sich eine geschäftige Industrieanlage vor, in der Maschinen miteinander über eine sehr strenge, repetitive Sprache namens Modbus TCP kommunizieren. Diese Sprache ist der „Herzschlag" kritischer Infrastrukturen wie Stromnetze und Kläranlagen. Lange Zeit waren diese Systeme isoliert, doch nun sind sie mit dem Internet verbunden, was sie für Hacker verwundbar macht.

Diese Arbeit handelt davon, einen winzigen, superscharfsinnigen Sicherheitswächter zu bauen, der an der Tür dieser Fabrik steht, jede einzelne Nachricht (Paket), die hindurchgeht, betrachtet, um Probleme zu erkennen.

Hier ist die Geschichte, wie sie ihn mit einfachen Analogien bauten:

1. Die alte Idee versus die neue Realität

Früher versuchten Forscher, eine Methode namens SPHBI (Single Packet Header Binary Image) zu verwenden, um Hacker in IoT-Geräten (smarte Heimgeräte wie Thermostate und Kameras) zu fangen.

• Die IoT-Analogie: Stellen Sie sich eine Menschenmenge an einem belebten Flughafen vor. Jeder trägt unterschiedliche Kleidung, trägt unterschiedliche Taschen und läuft mit unterschiedlichem Tempo. Wenn Sie ein Foto ihrer „Ausweise" (der Paketheader) machen, ist es leicht, die verdächtige Person zu erkennen, da sie sich von allen anderen unterscheidet. Die alte Methode funktionierte hier hervorragend, weil die „Ausweise" alle einzigartig waren.
• Die OT-Wirklichkeit: Stellen Sie sich nun einen Fabrikboden vor, auf dem jeder Arbeiter exakt dasselbe Uniform trägt, exakt dasselbe Werkzeugkoffer trägt und exakt im selben Tempo läuft. Wenn Sie ein Foto ihrer Ausweise machen, sehen sie alle identisch aus.
• Das Problem: Als die Forscher die alte Methode auf das Fabriknetzwerk (Modbus) anwendeten, schlug sie kläglich fehl. Sie erreichte nur eine Genauigkeit von 51,8 % (im Grunde Raten). Die „Uniformen" waren zu perfekt; die Hacker verbargen sich in aller Öffentlichkeit, da die Standardausweise keine Unterschiede zwischen einem guten und einem bösen Arbeiter zeigten.

2. Die Lösung: Tiefer in den Werkzeugkoffer schauen

Die Forscher erkannten, dass sie, um die Bösewichte in der Fabrik zu fangen, nicht nur auf den Ausweis (den Netzwerkheader) schauen konnten. Sie mussten einen Blick in den Werkzeugkoffer (die Anwendungsdaten) werfen, den die Arbeiter trugen.

Sie testeten fünf verschiedene „Tiefen" der Datenbetrachtung:

1. Nur der Ausweis: Gescheitert (51,8 %).
2. Ausweis + Werkzeugkoffer-Griff: Viel besser (98,1 %).
3. Ausweis + Werkzeugkoffer-Griff + Die Werkzeuge darin: Der beste Performer (94,4 % Genauigkeit beim Erkennen spezifischer Angriffstypen).

Die Analogie: Es ist wie ein Sicherheitswächter, der früher nur prüfte, ob Sie einen Ausweis hatten. Da aber jeder denselben Ausweis hat, beginnt der Wächter zu prüfen, was in Ihrer Tasche ist. Selbst wenn der Bösewicht denselben Ausweis hat wie der gute Arbeiter, hält er vielleicht einen Schraubenschlüssel statt eines Schraubendrehers oder hält ihn verkehrt herum. Dieser winzige Unterschied ist es, was das neue System erkennt.

3. Das „winzige Gehirn" (das Modell)

Die meisten modernen Sicherheitssysteme verwenden massive, schwere Computerhirne (wie ResNet50), die riesige Server zum Betrieb benötigen. Sie sind wie ein Supercomputer, der versucht, ein Sudoku-Rätsel zu lösen.

• Der Ansatz dieser Arbeit: Sie bauten ein winziges, leichtgewichtiges Gehirn (ein neuronales Netzwerk mit nur etwa 57.000 Parametern).
• Die Metapher: Anstelle eines Supercomputers stellen Sie sich einen Taschenrechner vor. Er ist unglaublich klein und effizient. Er kann auf den winzigen, stromsparenden Chips laufen, die in den Fabrikmaschinen selbst zu finden sind (Edge-Geräte). Er ist etwa 430-mal kleiner als die riesigen Modelle, die andere verwenden, was ihn perfekt für den Fabrikboden macht, wo Platz und Strom begrenzt sind.

4. Was es erwischte (und was es verpasste)

Das System wurde gegen 11,4 Millionen Datenpakete des Datenverkehrs getestet, darunter 8 verschiedene Arten von Cyberangriffen.

• Die Erfolge: Es wurde zum Meisterdetektiv für 7 von 8 Angriffstypen. Es fing Hacker, die versuchten, Passwörter per Brute-Force zu knacken, das System mit Fragen zu fluten oder gefälschte Daten einzuspeisen, mit über 94 % Erfolg. Es war so gut darin, „Payload Injection" (das Einschleusen eines falschen Werkzeugs in den Werkzeugkoffer) zu erkennen, dass es dies zu 100 % der Zeit erwischte.
• Die Grenzen:
  • Der „Replay"-Angriff: Stellen Sie sich vor, ein Bösewicht filmt einen Video eines guten Arbeiters, der durch die Tür geht, und spielt es dem Wächter ab. Da das Video exakt wie das Original aussieht, kann der Wächter keinen Unterschied erkennen. Die Arbeit gibt zu, dass dieses System keine „Replay-Angriffe" fangen kann, da es nur einen Moment in der Zeit betrachtet. Es braucht ein System, das die Abfolge von Ereignissen über die Zeit hinweg beobachtet, um dies zu fangen.
  • Der „Delay"-Angriff: Wenn ein Bösewicht einfach den Gang des Arbeiters verlangsamt, kann ein einzelner Moment dies ebenfalls nicht erkennen.

5. Der Kompromiss: Falsche Alarme versus verpasste Angriffe

Die Forscher trafen eine bewusste Entscheidung: Vorsicht ist besser als Nachsicht.

• Die Strategie: Sie stimmten das System so ab, dass es jeden möglichen Angriff fängt, selbst wenn dies bedeutet, gelegentlich einen harmlosen Arbeiter als verdächtig zu markieren.
• Das Ergebnis: Etwa 5,9 % des normalen Datenverkehrs wurden als verdächtig markiert. In einer echten Fabrik bedeutet dies, dass das Sicherheitsteam möglicherweise ein paar „Fehlalarme" untersuchen muss.
• Warum? In einem Kraftwerk könnte das Verpassen eines echten Angriffs eine Explosion oder einen Stromausfall verursachen. Die Untersuchung eines Fehlalarms ist nur etwas Papierkram. Das System ist darauf ausgelegt, Sicherheit vor Komfort zu priorisieren.

Zusammenfassung

Diese Arbeit beweist, dass man einen hochwirksamen, winzigen Sicherheitswächter für Industrienetze bauen kann, indem man etwas tiefer in die Datenpakete schaut als nur in die Standardheader. Obwohl es nicht jeden Trick fangen kann (wie das Abspielen alter Videos), ist es unglaublich effizient, klein genug, um auf einen Mikrochip zu passen, und fängt fast jeden anderen Angriffstyp mit hoher Zuverlässigkeit. Es verlagert den Fokus von „schweren, teuren Servern" hin zu „leichten, intelligenten, lokalen Wächtern".

Technische Zusammenfassung

Technische Zusammenfassung: Binärbildbasierte Intrusion Detection für Operational-Technology-Netzwerke

Problemstellung
Operational-Technology-(OT-)Netzwerke, die kritische Infrastrukturen steuern, werden zunehmend mit IT-Systemen vernetzt, was ihre Angriffsfläche vergrößert. Zwar existieren für OT intrusionserkennungssysteme (IDS) auf Basis von maschinellem Lernen, doch verlassen sie sich häufig auf Aggregation auf Flussebene oder handgefertigte Feature-Engineering-Verfahren, was Latenz einführt und die Portabilität einschränkt. Darüber hinaus haben bildbasierte Klassifizierungsmethoden, wie die Single Packet Header Binary Image (SPHBI)-Methode, zwar hohe Erfolge bei heterogenem IoT-Datenverkehr gezeigt, bleiben jedoch für den hochgradig einheitlichen Datenverkehr von OT-Protokollen wie Modbus TCP ungetestet. Die Kernherausforderung besteht darin, zu bestimmen, ob aus einheitlichen OT-Headern abgeleitete Binärbildrepräsentationen ausreichende diskriminierende Informationen für die Paket-für-Paket-Klassifizierung enthalten und, falls nicht, welche Protokollschichten einbezogen werden müssen, um die Erkennbarkeit wiederherzustellen.

Methodik
Diese Studie erweitert die SPHBI-Methode auf Modbus TCP-Datenverkehr unter Verwendung des CIC Modbus 2023-Datensatzes (11,4 Millionen Pakete). Die Forschung employs einen systematischen, fünfstufigen Gradienten der Protokolltiefe, um die diskriminierende Kraft verschiedener Byte-Teilmengen zu bewerten:

1. Nur TCP/IP-Header: 18 Bytes (12×12 Binärbild).
2. TCP/IP + MBAP + Funktionscode (FC): 26 Bytes (16×13 Binärbild).
3. TCP/IP + MBAP + FC + PDU-Operanden: 30 Bytes (16×15 Binärbild).
4. Nur Anwendungsschicht: 8 Bytes (8×8 Binärbild).
5. Anwendungsschicht + PDU: 12 Bytes (12×8 Binärbild).

Roh-Paket-Bytes wurden aus decodierten tshark-Ausgaben rekonstruiert, um eine genaue Binärbildgenerierung sicherzustellen. Die Klassifizierungsmodelle nutzen leichte Convolutional Neural Networks (CNNs). Binärklassifikatoren bestehen aus zwei Faltungsschichten mit jeweils einem Filter (35–73 Parameter), während Multiklassenklassifikatoren zwei Schichten mit 32 Filtern verwenden (bis zu 56.873 Parameter), was deutlich kleiner ist als ResNet50-basierte Alternativen.

Ein kritischer Bestandteil der Methodik ist eine transparente, reproduzierbare Kennzeichnungsstrategie. Da 94 % des Datenverkehrs während Angriffsszenarien aus harmlosem Polling bestehen, entwickelten die Autoren hybride Regeln pro Angriffstyp, die Zeitfenster von Angriffsprotokollen mit Protokollebenen-Signaturen (z. B. spezifische Funktionscodes oder Byte-Anzahlen) kombinieren, um bösartige Pakete zu identifizieren. Dieser Prozess ergab 10,7 Millionen normale Pakete und 642.331 Angriffs-Pakete über neun Klassen hinweg.

Hauptergebnisse
Die Experimente, durchgeführt mit 10 zufälligen Seeds und geschichteter Stichprobenziehung, ergaben folgende Erkenntnisse:

• Abhängigkeit von der Protokolltiefe: Nur TCP/IP-Header (Ansatz 1) erreichten lediglich 51,8 % Binärgenauigkeit, was bestätigt, dass die auf Header-Ebene vorhandene Heterogenität, die im IoT ausgenutzt wird, im Modbus SCADA-Datenverkehr fehlt.
• Erforderlichkeit der Anwendungsschicht: Das Hinzufügen von nur acht Bytes Informationen der Anwendungsschicht (Ansatz 2) stellte die Binärgenauigkeit auf 98,1 % wieder her.
• Multiklassen-Leistung: Der am besten abschneidende Ansatz (2b: TCP/IP + MBAP + FC + PDU) erreichte 94,4 % ± 2,2 pp Multiklassengenauigkeit mit 56.873 Parametern. Dies sind etwa 430-mal weniger Parameter als vergleichbare ResNet50-basierte Ansätze.
• Angriffserkennbarkeit: Sieben von acht erkennbaren Angriffstypen (Brute Force, Frame Stacking, FDI, Reconnaissance, Query Flooding, Payload Injection und Normalverkehr) erreichten eine Recall-Rate von über 94 %.
• Strukturelle Grenzen: Replay-Angriffe (7,9 % Recall) und Manipulation der Länge (3,3 % Recall) blieben weitgehend unerkennbar. Der Artikel führt dies auf das Single-Packet-Paradigma zurück: wiedergegebene Pakete sind identisch mit legitimem Verkehr, und Angriffe zur Manipulation der Länge verfügten nicht über ausreichende Stichproben für das Training.
• Parametereffizienz: Binärklassifikatoren benötigten nur 38 bis 73 Parameter. Die Einbeziehung von PDU-Operanden verbesserte die Multiklassen-Leistung erheblich (z. B. Ermöglichung von 100 % Recall für FDI-Erkennung), wohingegen TCP/IP-Header bei Vorhandensein ausreichender Trainingsdaten keine statistisch signifikante Verbesserung gegenüber Daten nur der Anwendungsschicht boten.

Bedeutung und Behauptungen
Das Papier beansprucht vier Hauptbeiträge:

1. Erste Anwendung auf OT: Es stellt die erste Anwendung von Single-Packet-Binärbild-basiertem Deep Learning auf Modbus TCP-Datenverkehr vor und zeigt, dass eine effektive Erkennung mit einem Bruchteil der Rechenkosten bestehender Deep-Learning-Modelle erreichbar ist.
2. Quantifizierung der Protokolltiefe: Es quantifiziert systematisch den diskriminierenden Beitrag von Protokollschichten und beweist, dass TCP/IP-Header für OT unzureichend sind, während ein minimales Set von Bytes der Anwendungsschicht (8 Bytes) für eine hochgenaue Binärklassifizierung notwendig und ausreichend ist.
3. Reproduzierbare Kennzeichnung: Es bietet eine transparente Methodik zur Kennzeichnung des CIC Modbus 2023-Datensatzes und adressiert das Fehlen von Paket-level-Labels in diesem öffentlichen Benchmark.
4. Erkennungsgrenzen: Es definiert explizit die Grenzen der Single-Packet-Erkennung und identifiziert, dass Replay- und Delay-Response-Angriffe ohne zeitliche oder sequenzbasierte Analyse strukturell unerkennbar sind.

Die Autoren positionieren diese Arbeit als Schritt hin zu ressourcenbeschränkter Edge-Bereitstellung, bei der leichte Modelle eine Paket-für-Paket-Prüfung an der Netzwerkgrenze zwischen SCADA-Mastern und Feldgeräten durchführen können. Sie weisen darauf hin, dass der Ansatz zwar für spezifische Angriffssignaturen hochwirksam ist, ein umfassendes OT-IDS jedoch diese Paket-für-Paket-Klassifizierung mit komplementären zeitlichen Methoden kombinieren müsste, um die inhärenten Grenzen der Single-Packet-Analyse zu adressieren.