Binary Image-Based Intrusion Detection for Operational Technology Networks: Extending the SPHBI Methodology from IoT to Modbus TCP

Ce papier étend la méthodologie de l'Image Binaire d'En-tête de Paquet Unique (SPHBI) aux réseaux Modbus TCP, démontrant que l'intégration de seulement huit octets de données de la couche application permet à un modèle léger d'atteindre une précision binaire de 98,1 % et une précision multiclasse de 94,4 % avec nettement moins de paramètres que les alternatives d'apprentissage profond, tout en soulignant la limitation inhérente des méthodes de paquet unique dans la détection des attaques par rejeu.

L'essentiel

Imaginez une usine industrielle animée où les machines communiquent entre elles en utilisant un langage très strict et répétitif appelé Modbus TCP. Ce langage est le « pouls » des infrastructures critiques telles que les réseaux électriques et les usines de traitement des eaux. Pendant longtemps, ces systèmes étaient isolés, mais ils sont désormais connectés à Internet, ce qui les rend vulnérables aux pirates informatiques.

Ce document traite de la construction d'un petit garde de sécurité ultra-intelligent qui se tient à la porte de cette usine, examinant chaque message (paquet) qui passe pour repérer les problèmes.

Voici l'histoire de sa création, utilisant des analogies simples :

1. L'ancienne idée contre la nouvelle réalité

Auparavant, les chercheurs tentaient d'utiliser une méthode appelée SPHBI (Single Packet Header Binary Image) pour attraper les pirates dans l'IoT (appareils domestiques intelligents comme les thermostats et les caméras).

• L'analogie de l'IoT : Imaginez une foule de personnes dans un aéroport très fréquenté. Tout le monde porte des vêtements différents, transporte des sacs différents et marche à des vitesses différentes. Si vous prenez une photo de leurs « cartes d'identité » (les en-têtes de paquets), il est facile de repérer la personne suspecte car elle ressemble à quelqu'un de différent de tous les autres. L'ancienne méthode fonctionnait très bien ici car les « cartes d'identité » étaient toutes uniques.
• La réalité de l'OT : Maintenant, imaginez un atelier où chaque travailleur porte exactement le même uniforme, transporte exactement la même boîte à outils et marche exactement au même rythme. Si vous prenez une photo de leurs cartes d'identité, elles semblent toutes identiques.
• Le problème : Lorsque les chercheurs ont appliqué l'ancienne méthode au réseau de l'usine (Modbus), elle a échoué lamentablement. Elle n'a obtenu qu'une précision de 51,8 % (essentiellement des suppositions). Les « uniformes » étaient trop parfaits ; les pirates se cachaient au grand jour car les cartes d'identité standard ne montraient aucune différence entre un bon travailleur et un mauvais.

2. La solution : Regarder plus profondément dans la boîte à outils

Les chercheurs ont réalisé que pour attraper les méchants dans l'usine, ils ne pouvaient pas se contenter de regarder la carte d'identité (l'en-tête réseau). Ils devaient jeter un coup d'œil à l'intérieur de la boîte à outils (les données de l'application) que les travailleurs portaient.

Ils ont testé cinq « profondeurs » différentes d'examen des données :

1. Juste la carte d'identité : Échec (51,8 %).
2. Carte d'identité + Poignée de la boîte à outils : Beaucoup mieux (98,1 %).
3. Carte d'identité + Poignée de la boîte à outils + Les outils à l'intérieur : Le meilleur résultat (94,4 % de précision pour repérer des types d'attaques spécifiques).

L'analogie : C'est comme un garde de sécurité qui vérifiait auparavant seulement si vous aviez un badge. Mais puisque tout le monde a le même badge, le garde commence à vérifier ce qu'il y a dans votre poche. Même si le méchant a le même badge que le bon travailleur, il pourrait tenir une clé à molette au lieu d'un tournevis, ou le tenir à l'envers. C'est cette infime différence que le nouveau système repère.

3. Le « petit cerveau » (le modèle)

La plupart des systèmes de sécurité modernes utilisent de massifs et lourds cerveaux informatiques (comme ResNet50) qui nécessitent d'énormes serveurs pour fonctionner. Ils sont comme un superordinateur essayant de résoudre un puzzle Sudoku.

• L'approche de ce document : Ils ont construit un petit cerveau léger (un réseau de neurones avec seulement environ 57 000 paramètres).
• La métaphore : Au lieu d'un superordinateur, imaginez une calculatrice de poche. Elle est incroyablement petite et efficace. Elle peut fonctionner sur les puces faibles en puissance intégrées dans les machines de l'usine elles-mêmes (appareils de périphérie). Elle est environ 430 fois plus petite que les modèles géants utilisés par les autres, ce qui la rend parfaite pour l'atelier où l'espace et l'énergie sont limités.

4. Ce qu'il a attrapé (et ce qu'il a manqué)

Le système a été testé contre 11,4 millions de paquets de trafic, incluant 8 types différents d'attaques informatiques.

• Les succès : Il est devenu un détective maître pour 7 types d'attaques sur 8. Il a attrapé les pirates tentant de forcer les mots de passe, d'inonder le système de questions, ou d'injecter de fausses données avec plus de 94 % de succès. Il était si bon pour repérer l'« injection de charge utile » (glisser un faux outil dans la boîte à outils) qu'il l'a attrapé 100 % du temps.
• Les limites :
  • L'attaque par « rejeu » : Imaginez un méchant enregistrant une vidéo d'un bon travailleur entrant par la porte et la faisant rejouer au garde. Puisque la vidéo ressemble exactement à la réalité, le garde ne peut pas faire la différence. Le document admet que ce système ne peut pas attraper les « attaques par rejeu » car il ne regarde qu'un instantané dans le temps. Il a besoin d'un système qui observe la séquence des événements au fil du temps pour attraper cela.
  • L'attaque par « délai » : Si un méchant ralentit simplement la marche du travailleur, un instantané unique ne peut pas non plus le voir.

5. Le compromis : Faux positifs contre attaques manquées

Les chercheurs ont fait un choix conscient : Mieux vaut prévenir que guérir.

• La stratégie : Ils ont réglé le système pour attraper toute attaque possible, même si cela signifie occasionnellement signaler un travailleur inoffensif comme suspect.
• Le résultat : Environ 5,9 % du trafic normal a été signalé comme suspect. Dans une vraie usine, cela signifie que l'équipe de sécurité pourrait devoir enquêter sur quelques « fausses alertes ».
• Pourquoi ? Dans une centrale électrique, manquer une vraie attaque pourrait provoquer une explosion ou un blackout. Enquêter sur une fausse alerte n'est qu'un peu de paperasse. Le système est conçu pour privilégier la sécurité à la commodité.

Résumé

Ce document prouve que l'on peut construire un garde de sécurité très efficace et minuscule pour les réseaux industriels en regardant légèrement plus profondément dans les paquets de données que les en-têtes standard. Bien qu'il ne puisse pas attraper chaque type de ruse (comme rejouer d'anciennes vidéos), il est incroyablement efficace, assez petit pour tenir sur une puce microélectronique, et attrape presque tous les autres types d'attaques avec une grande fiabilité. Il déplace l'accent des « serveurs lourds et coûteux » vers des « gardes locaux légers et intelligents ».

Résumé technique

Résumé technique : Détection d'intrusion basée sur des images binaires pour les réseaux de technologie opérationnelle

Énoncé du problème
Les réseaux de technologie opérationnelle (OT), qui contrôlent les infrastructures critiques, sont de plus en plus interconnectés avec les systèmes informatiques, élargissant ainsi leur surface d'attaque. Bien que des systèmes de détection d'intrusion (IDS) basés sur l'apprentissage automatique existent pour l'OT, ils reposent souvent sur une agrégation au niveau du flux ou sur un ingénierie de caractéristiques manuelle, introduisant une latence et limitant la portabilité. De plus, les méthodes de classification basées sur l'image existantes, telles que la méthodologie de l'image binaire d'en-tête de paquet unique (SPHBI), ont démontré un grand succès sur le trafic hétérogène de l'IoT, mais restent inexplorées sur le trafic hautement uniforme des protocoles OT comme Modbus TCP. Le défi central consiste à déterminer si les représentations d'images binaires dérivées d'en-têtes OT uniformes contiennent suffisamment d'informations discriminatives pour une classification par paquet, et si ce n'est pas le cas, quelles couches de protocole doivent être incluses pour restaurer la détectabilité.

Méthodologie
Cette étude étend la méthodologie SPHBI au trafic Modbus TCP en utilisant l'ensemble de données CIC Modbus 2023 (11,4 millions de paquets). La recherche emploie un gradient systématique de cinq approches de profondeur de protocole pour évaluer le pouvoir discriminatif de différents sous-ensembles d'octets :

1. En-têtes TCP/IP uniquement : 18 octets (image binaire 12×12).
2. TCP/IP + MBAP + Code de fonction (FC) : 26 octets (image binaire 16×13).
3. TCP/IP + MBAP + FC + Opérandes PDU : 30 octets (image binaire 16×15).
4. Couche application uniquement : 8 octets (image binaire 8×8).
5. Couche application + PDU : 12 octets (image binaire 12×8).

Les octets bruts des paquets ont été reconstruits à partir de sorties tshark décodées pour garantir une génération précise d'images binaires. Les modèles de classification utilisent des réseaux de neurones convolutifs (CNN) légers. Les classificateurs binaires se composent de deux couches convolutives avec un seul filtre chacune (35 à 73 paramètres), tandis que les classificateurs multiclasse utilisent deux couches avec 32 filtres (jusqu'à 56 873 paramètres), nettement plus petits que les alternatives basées sur ResNet50.

Un composant critique de la méthodologie est une stratégie d'étiquetage transparente et reproductible. Étant donné que 94 % du trafic pendant les scénarios d'attaque consiste en des requêtes de sondage bénignes, les auteurs ont développé des règles hybrides par type d'attaque combinant des fenêtres temporelles de journaux d'attaque avec des signatures au niveau du protocole (par exemple, des codes de fonction spécifiques ou des nombres d'octets) pour identifier les paquets malveillants. Ce processus a produit 10,7 millions de paquets normaux et 642 331 paquets d'attaque répartis sur neuf classes.

Résultats clés
Les expériences, menées avec 10 graines aléatoires et un échantillonnage stratifié, ont produit les constatations suivantes :

• Dépendance à la profondeur du protocole : Les en-têtes TCP/IP seuls (Approche 1) n'ont atteint qu'une précision binaire de 51,8 %, confirmant que l'hétérogénéité au niveau de l'en-tête exploitée dans l'IoT est absente du trafic SCADA Modbus.
• Nécessité de la couche application : L'ajout de seulement huit octets d'informations de la couche application (Approche 2) a restauré la précision binaire à 98,1 %.
• Performance multiclasse : L'approche la plus performante (2b : TCP/IP + MBAP + FC + PDU) a atteint une précision multiclasse de 94,4 % ± 2,2 pp avec 56 873 paramètres. Cela représente environ 430 fois moins de paramètres que les approches comparables basées sur ResNet50.
• Détectabilité des attaques : Sept des huit types d'attaques détectables (Force brute, Empilement de trames, FDI, Reconnaissance, Inondation de requêtes, Injection de charge utile et Trafic normal) ont atteint un rappel supérieur à 94 %.
• Limites structurelles : Les attaques par rejeu (7,9 % de rappel) et la manipulation de longueur (3,3 % de rappel) sont restées largement indétectables. L'article attribue cela au paradigme du paquet unique : les paquets rejoués sont identiques au trafic légitime, et les attaques de manipulation de longueur manquaient d'échantillons suffisants pour l'entraînement.
• Efficacité des paramètres : Les classificateurs binaires ne nécessitaient que 38 à 73 paramètres. L'inclusion des opérandes PDU a considérablement amélioré les performances multiclasse (par exemple, permettant un rappel de 100 % pour la détection FDI), tandis que les en-têtes TCP/IP n'ont apporté aucune amélioration statistiquement significative par rapport aux données de la couche application uniquement lorsque des données d'entraînement suffisantes étaient disponibles.

Importance et revendications
L'article revendique quatre contributions principales :

1. Première application à l'OT : Il présente la première application de l'apprentissage profond basé sur des images binaires de paquets uniques au trafic Modbus TCP, démontrant qu'une détection efficace est réalisable avec une fraction du coût computationnel des modèles d'apprentissage profond existants.
2. Quantification de la profondeur du protocole : Il quantifie systématiquement la contribution discriminative des couches de protocole, prouvant que si les en-têtes TCP/IP sont insuffisants pour l'OT, un ensemble minimal d'octets de la couche application (8 octets) est nécessaire et suffisant pour une classification binaire de haute précision.
3. Étiquetage reproductible : Il fournit une méthodologie transparente pour l'étiquetage de l'ensemble de données CIC Modbus 2023, comblant le manque d'étiquettes au niveau des paquets dans cette référence publique.
4. Limites de détection : Il définit explicitement les limites de la détection par paquet unique, identifiant que les attaques par rejeu et par réponse différée sont structurellement indétectables sans analyse temporelle ou basée sur la séquence.

Les auteurs positionnent ce travail comme une étape vers un déploiement en périphérie contraint en ressources, où des modèles légers peuvent effectuer un filtrage par paquet à la limite du réseau entre les maîtres SCADA et les dispositifs de terrain. Ils notent que si l'approche est hautement efficace pour des signatures d'attaques spécifiques, un IDS OT complet nécessiterait de combiner cette classification par paquet avec des méthodes temporelles complémentaires pour répondre aux limitations inhérentes de l'analyse par paquet unique.