Binary Image-Based Intrusion Detection for Operational Technology Networks: Extending the SPHBI Methodology from IoT to Modbus TCP

Este artículo extiende la metodología de Imagen Binaria de Encabezado de Paquete Único (SPHBI) a las redes Modbus TCP, demostrando que incorporar solo ocho bytes de datos de la capa de aplicación permite que un modelo ligero alcance una precisión binaria del 98,1% y una precisión multiclase del 94,4% con significativamente menos parámetros que las alternativas de aprendizaje profundo, al tiempo que destaca la limitación inherente de los métodos de paquete único para detectar ataques de repetición.

Lo esencial

Imagina una fábrica industrial bulliciosa donde las máquinas se comunican entre sí utilizando un lenguaje muy estricto y repetitivo llamado Modbus TCP. Este lenguaje es el "latido" de infraestructuras críticas como las redes eléctricas y las plantas de tratamiento de agua. Durante mucho tiempo, estos sistemas estuvieron aislados, pero ahora están conectados a internet, lo que los hace vulnerables a los hackers.

Este artículo trata sobre la construcción de un guardaespaldas diminuto y superinteligente que se para en la puerta de esta fábrica, observando cada mensaje (paquete) individual que pasa para detectar problemas.

Aquí está la historia de cómo lo construyeron, utilizando analogías simples:

1. La Vieja Idea vs. La Nueva Realidad

Anteriormente, los investigadores intentaron usar un método llamado SPHBI (Imagen Binaria Única de Cabecera de Paquete) para atrapar a los hackers en el IoT (dispositivos para el hogar inteligente como termostatos y cámaras).

• La Analogía del IoT: Imagina una multitud de personas en un aeropuerto muy concurrido. Todos llevan ropa diferente, portan maletas distintas y caminan a diferentes velocidades. Si tomas una foto de sus "tarjetas de identificación" (las cabeceras de los paquetes), es fácil detectar a la persona sospechosa porque se ve diferente a todos los demás. El método antiguo funcionaba muy bien aquí porque las "tarjetas de identificación" eran todas únicas.
• La Realidad de la OT: Ahora, imagina el piso de una fábrica donde cada trabajador lleva el uniforme exacto, porta la misma caja de herramientas y camina al mismo ritmo exacto. Si tomas una foto de sus tarjetas de identificación, todas se ven idénticas.
• El Problema: Cuando los investigadores probaron el método antiguo en la red de la fábrica (Modbus), falló miserablemente. Solo obtuvo un 51,8 % de precisión (básicamente adivinando). Los "uniformes" eran demasiado perfectos; los hackers se ocultaban a plena vista porque las tarjetas de identificación estándar no mostraban ninguna diferencia entre un buen trabajador y uno malo.

2. La Solución: Mirar Más Profundo en la Caja de Herramientas

Los investigadores se dieron cuenta de que para atrapar a los malos en la fábrica, no podían limitarse a mirar la tarjeta de identificación (la cabecera de la red). Tenían que echar un vistazo dentro de la caja de herramientas (los datos de la aplicación) que los trabajadores portaban.

Probaron cinco diferentes "profundidades" de mirar los datos:

1. Solo la Tarjeta de Identificación: Falló (51,8 %).
2. Tarjeta de Identificación + Asa de la Caja de Herramientas: Mucho mejor (98,1 %).
3. Tarjeta de Identificación + Asa de la Caja de Herramientas + Las Herramientas de Adentro: El mejor rendimiento (94,4 % de precisión para detectar tipos específicos de ataques).

La Analogía: Es como un guardaespaldas que antes solo verificaba si tenías una credencial. Pero como todos tienen la misma credencial, el guardia empieza a verificar qué llevas en el bolsillo. Incluso si el malo tiene la misma credencial que el bueno, podría estar sosteniendo una llave inglesa en lugar de un destornillador, o sosteniéndola al revés. Esa pequeña diferencia es lo que el nuevo sistema detecta.

3. El "Pequeño Cerebro" (El Modelo)

La mayoría de los sistemas de seguridad modernos utilizan cerebros informáticos masivos y pesados (como ResNet50) que requieren servidores enormes para funcionar. Son como una supercomputadora intentando resolver un rompecabezas de Sudoku.

• El Enfoque de este Artículo: Construyeron un cerebro diminuto y ligero (una red neuronal con solo alrededor de 57.000 parámetros).
• La Metáfora: En lugar de una supercomputadora, imagina una calculadora de bolsillo. Es increíblemente pequeña y eficiente. Puede ejecutarse en los diminutos chips de bajo consumo que se encuentran dentro de las propias máquinas de la fábrica (dispositivos de borde). Es aproximadamente 430 veces más pequeño que los modelos gigantes utilizados por otros, lo que lo hace perfecto para el piso de la fábrica, donde el espacio y la energía son limitados.

4. Lo que Atrapó (y lo que se le Escapó)

El sistema fue probado contra 11,4 millones de paquetes de tráfico, incluidos 8 tipos diferentes de ciberataques.

• Los Éxitos: Se convirtió en un detective maestro para 7 de los 8 tipos de ataques. Atrapó a hackers intentando forzar contraseñas, inundar el sistema con preguntas o inyectar datos falsos con más del 94 % de éxito. Fue tan bueno detectando la "Inyección de Carga Útil" (deslizar una herramienta falsa en la caja de herramientas) que la detectó el 100 % de las veces.
• Las Limitaciones:
  • El Ataque de "Reproducción": Imagina a un malo grabando un video de un buen trabajador pasando por la puerta y reproduciéndolo ante el guardia. Como el video se ve exactamente igual que la cosa real, el guardia no puede distinguir la diferencia. El artículo admite que este sistema no puede atrapar los "Ataques de Reproducción" porque solo mira una instantánea en el tiempo. Necesita un sistema que observe la secuencia de eventos a lo largo del tiempo para atrapar esto.
  • El Ataque de "Retraso": Si un malo simplemente ralentiza la caminata del trabajador, una sola instantánea tampoco puede verlo.

5. La Compensación: Falsas Alarmas vs. Ataques Pasados por Alto

Los investigadores tomaron una decisión consciente: Es mejor prevenir que lamentar.

• La Estrategia: Ajustaron el sistema para atrapar cada posible ataque, incluso si eso significa marcar ocasionalmente a un trabajador inofensivo como sospechoso.
• El Resultado: Aproximadamente el 5,9 % del tráfico normal fue marcado como sospechoso. En una fábrica real, esto significa que el equipo de seguridad podría tener que investigar algunas "falsas alarmas".
• ¿Por qué? En una planta de energía, perderse un ataque real podría causar una explosión o un apagón. Investigar una falsa alarma es solo un poco de papeleo. El sistema está diseñado para priorizar la seguridad sobre la conveniencia.

Resumen

Este artículo demuestra que se puede construir un guardaespaldas diminuto y altamente efectivo para redes industriales mirando ligeramente más profundo en los paquetes de datos que solo las cabeceras estándar. Aunque no puede atrapar cada tipo de truco (como reproducir videos antiguos), es increíblemente eficiente, lo suficientemente pequeño para caber en un microchip y atrapa casi todo otro tipo de ataque con alta fiabilidad. Cambia el enfoque de "servidores pesados y costosos" a "guardias ligeros, inteligentes y locales".

Resumen técnico

Resumen Técnico: Detección de Intrusiones Basada en Imágenes Binarias para Redes de Tecnología Operativa

Enunciado del Problema
Las redes de Tecnología Operativa (OT), que controlan infraestructuras críticas, están cada vez más interconectadas con sistemas de TI, lo que amplía su superficie de ataque. Aunque existen Sistemas de Detección de Intrusiones (IDS) basados en aprendizaje automático para OT, estos a menudo dependen de la agregación a nivel de flujo o de la ingeniería de características manual, lo que introduce latencia y limita la portabilidad. Además, los métodos existentes de clasificación basados en imágenes, como la metodología de Imagen Binaria de Encabezado de Paquete Único (SPHBI), han demostrado un alto éxito en tráfico heterogéneo de IoT, pero permanecen sin probar en el tráfico altamente uniforme de protocolos OT como Modbus TCP. El desafío central es determinar si las representaciones de imágenes binarias derivadas de encabezados OT uniformes contienen información discriminativa suficiente para la clasificación por paquete, y si no es así, qué capas del protocolo deben incluirse para restaurar la detectabilidad.

Metodología
Este estudio extiende la metodología SPHBI al tráfico Modbus TCP utilizando el conjunto de datos CIC Modbus 2023 (11,4 millones de paquetes). La investigación emplea un gradiente sistemático de cinco enfoques de profundidad de protocolo para evaluar el poder discriminativo de diferentes subconjuntos de bytes:

1. Solo Encabezados TCP/IP: 18 bytes (imagen binaria de 12×12).
2. TCP/IP + MBAP + Código de Función (FC): 26 bytes (imagen binaria de 16×13).
3. TCP/IP + MBAP + FC + Operandos PDU: 30 bytes (imagen binaria de 16×15).
4. Solo Capa de Aplicación: 8 bytes (imagen binaria de 8×8).
5. Capa de Aplicación + PDU: 12 bytes (imagen binaria de 12×8).

Los bytes crudos de los paquetes se reconstruyeron a partir de salidas decodificadas de tshark para garantizar una generación precisa de imágenes binarias. Los modelos de clasificación utilizan Redes Neuronales Convolucionales (CNN) ligeras. Los clasificadores binarios consisten en dos capas convolucionales con un solo filtro cada una (35–73 parámetros), mientras que los clasificadores multiclase utilizan dos capas con 32 filtros (hasta 56.873 parámetros), significativamente más pequeños que las alternativas basadas en ResNet50.

Un componente crítico de la metodología es una estrategia de etiquetado transparente y reproducible. Dado que el 94% del tráfico durante los escenarios de ataque consiste en consultas benignas, los autores desarrollaron reglas híbridas por tipo de ataque que combinan ventanas de tiempo de registros de ataque con firmas a nivel de protocolo (por ejemplo, códigos de función específicos o conteos de bytes) para identificar paquetes maliciosos. Este proceso arrojó 10,7 millones de paquetes normales y 642.331 paquetes de ataque en nueve clases.

Resultados Clave
Los experimentos, realizados con 10 semillas aleatorias y muestreo estratificado, arrojaron los siguientes hallazgos:

• Dependencia de la Profundidad del Protocolo: Solo los encabezados TCP/IP (Enfoque 1) alcanzaron una precisión binaria del 51,8%, confirmando que la heterogeneidad a nivel de encabezado explotada en IoT está ausente en el tráfico SCADA Modbus.
• Necesidad de la Capa de Aplicación: Añadir solo ocho bytes de información de la capa de aplicación (Enfoque 2) restauró la precisión binaria al 98,1%.
• Rendimiento Multiclase: El enfoque de mejor rendimiento (2b: TCP/IP + MBAP + FC + PDU) alcanzó una precisión multiclase de 94,4% ± 2,2pp con 56.873 parámetros. Esto es aproximadamente 430 veces menos parámetros que los enfoques comparables basados en ResNet50.
• Detectabilidad de Ataques: Siete de los ocho tipos de ataques detectables (Fuerza Bruta, Apilamiento de Tramas, FDI, Reconocimiento, Inundación de Consultas, Inyección de Carga Útil y tráfico Normal) alcanzaron una recuperación superior al 94%.
• Límites Estructurales: Los ataques de repetición (7,9% de recuperación) y la Manipulación de Longitud (3,3% de recuperación) permanecieron en gran medida indetectables. El artículo atribuye esto al paradigma de paquete único: los paquetes repetidos son idénticos al tráfico legítimo, y los ataques de manipulación de longitud carecían de muestras suficientes para el entrenamiento.
• Eficiencia de Parámetros: Los clasificadores binarios requirieron solo 38 a 73 parámetros. La inclusión de operandos PDU mejoró significativamente el rendimiento multiclase (por ejemplo, permitiendo una recuperación del 100% para la detección de FDI), mientras que los encabezados TCP/IP no proporcionaron ninguna mejora estadísticamente significativa sobre los datos solo de la capa de aplicación cuando se disponía de datos de entrenamiento suficientes.

Significado y Afirmaciones
El artículo afirma cuatro contribuciones principales:

1. Primera Aplicación a OT: Presenta la primera aplicación de aprendizaje profundo basado en imágenes binarias de paquete único al tráfico Modbus TCP, demostrando que la detección efectiva es alcanzable con una fracción del costo computacional de los modelos de aprendizaje profundo existentes.
2. Cuantificación de la Profundidad del Protocolo: Cuantifica sistemáticamente la contribución discriminativa de las capas del protocolo, demostrando que, aunque los encabezados TCP/IP son insuficientes para OT, un conjunto mínimo de bytes de la capa de aplicación (8 bytes) es necesario y suficiente para una clasificación binaria de alta precisión.
3. Etiquetado Reproducible: Proporciona una metodología transparente para etiquetar el conjunto de datos CIC Modbus 2023, abordando la falta de etiquetas a nivel de paquete en esta referencia pública.
4. Límites de Detección: Define explícitamente los límites de la detección por paquete único, identificando que los ataques de repetición y de respuesta con retraso son estructuralmente indetectables sin análisis temporal o basado en secuencias.

Los autores posicionan este trabajo como un paso hacia el despliegue en el borde con restricciones de recursos, donde modelos ligeros pueden realizar la clasificación por paquete en el límite de la red entre los maestros SCADA y los dispositivos de campo. Señalan que, aunque el enfoque es altamente efectivo para firmas de ataque específicas, un IDS OT integral requeriría combinar esta clasificación por paquete con métodos temporales complementarios para abordar las limitaciones inherentes del análisis de paquete único.