Binary Image-Based Intrusion Detection for Operational Technology Networks: Extending the SPHBI Methodology from IoT to Modbus TCP

Questo articolo estende la metodologia Single Packet Header Binary Image (SPHBI) alle reti Modbus TCP, dimostrando che l'inclusione di soli otto byte di dati a livello applicativo consente a un modello leggero di raggiungere un'accuratezza binaria del 98,1% e un'accuratezza multiclasse del 94,4% con un numero di parametri significativamente inferiore rispetto alle alternative di deep learning, evidenziando al contempo il limite intrinseco dei metodi basati su singolo pacchetto nel rilevare gli attacchi di replay.

L'essenziale

Immagina una fabbrica industriale affollata dove le macchine comunicano tra loro utilizzando un linguaggio molto rigido e ripetitivo chiamato Modbus TCP. Questo linguaggio è il "battito cardiaco" delle infrastrutture critiche come le reti elettriche e gli impianti di trattamento delle acque. Per lungo tempo, questi sistemi sono stati isolati, ma ora sono connessi a Internet, rendendoli vulnerabili agli hacker.

Questo articolo riguarda la costruzione di una minuscola guardia di sicurezza super-intelligente che si trova all'ingresso di questa fabbrica, osservando ogni singolo messaggio (pacchetto) che passa per individuare problemi.

Ecco la storia di come è stato costruito, utilizzando semplici analogie:

1. La Vecchia Idea vs. La Nuova Realtà

In precedenza, i ricercatori tentavano di utilizzare un metodo chiamato SPHBI (Single Packet Header Binary Image) per catturare gli hacker nei dispositivi IoT (dispositivi per la casa intelligente come termostati e telecamere).

• L'Analogia IoT: Immagina una folla di persone in un aeroporto affollato. Tutti indossano vestiti diversi, portano borse diverse e camminano a velocità diverse. Se fai una foto alle loro "targhette identificative" (gli header dei pacchetti), è facile individuare la persona sospetta perché appare diversa da tutti gli altri. Il vecchio metodo funzionava benissimo qui perché le "targhette" erano tutte uniche.
• La Realtà OT: Ora, immagina un piano di fabbrica dove ogni lavoratore indossa lo stesso identico uniforme, porta la stessa identica cassetta degli attrezzi e cammina allo stesso identico passo. Se fai una foto alle loro targhette identificative, sembrano tutte identiche.
• Il Problema: Quando i ricercatori hanno provato il vecchio metodo sulla rete della fabbrica (Modbus), ha fallito miseramente. Ha ottenuto solo una precisione del 51,8% (basicamente un'ipotesi). Le "uniformi" erano troppo perfette; gli hacker si nascondevano in piena vista perché le targhette standard non mostravano alcuna differenza tra un lavoratore buono e uno cattivo.

2. La Soluzione: Guardare Più a Fondo nella Cassetta degli Attrezzi

I ricercatori hanno capito che per catturare i cattivi nella fabbrica, non potevano limitarsi a guardare la targhetta (l'header di rete). Dovevano sbirciare all'interno della cassetta degli attrezzi (i dati dell'applicazione) che i lavoratori portavano con sé.

Hanno testato cinque diverse "profondità" di osservazione dei dati:

1. Solo la Targhetta: Fallito (51,8%).
2. Targhetta + Maniglia della Cassetta: Molto meglio (98,1%).
3. Targhetta + Maniglia della Cassetta + Gli Strumenti all'Interno: Il miglior risultato (94,4% di precisione nell'individuare tipi specifici di attacco).

L'Analogia: È come una guardia di sicurezza che prima controllava solo se avevi un badge. Ma dato che tutti hanno lo stesso badge, la guardia inizia a controllare cosa hai in tasca. Anche se il cattivo ha lo stesso badge del buono, potrebbe tenere una chiave inglese invece di un cacciavite, o tenerla al contrario. Questa minuscola differenza è ciò che il nuovo sistema individua.

3. Il "Cervello Minuscolo" (Il Modello)

La maggior parte dei moderni sistemi di sicurezza utilizza enormi cervelli informatici pesanti (come ResNet50) che richiedono server giganteschi per funzionare. Sono come un supercomputer che cerca di risolvere un puzzle Sudoku.

• L'Approccio di Questo Articolo: Hanno costruito un cervello minuscolo e leggero (una rete neurale con solo circa 57.000 parametri).
• La Metafora: Invece di un supercomputer, immagina una calcolatrice tascabile. È incredibilmente piccola ed efficiente. Può funzionare sui minuscoli chip a basso consumo energetico presenti all'interno delle stesse macchine della fabbrica (dispositivi edge). È circa 430 volte più piccolo dei modelli giganti utilizzati da altri, rendendolo perfetto per il piano di fabbrica dove lo spazio e l'energia sono limitati.

4. Cosa Ha Catturato (e Cosa Ha Perso)

Il sistema è stato testato contro 11,4 milioni di pacchetti di traffico, inclusi 8 diversi tipi di attacchi informatici.

• I Successi: È diventato un detective maestro per 7 tipi di attacco su 8. Ha catturato gli hacker che tentavano di forzare le password, inondare il sistema con domande o inserire dati falsi con oltre il 94% di successo. È stato così bravo a individuare l'"Iniezione di Payload" (far scivolare un attrezzo falso nella cassetta degli attrezzi) da catturarlo il 100% delle volte.
• I Limiti:
  • L'Attacco "Replay": Immagina un cattivo che registra un video di un buon lavoratore che attraversa la porta e lo riproduce alla guardia. Dato che il video sembra esattamente come la cosa reale, la guardia non può distinguere la differenza. L'articolo ammette che questo sistema non può catturare gli "Attacchi Replay" perché guarda solo un'istantanea in un momento specifico. Ha bisogno di un sistema che osservi la sequenza degli eventi nel tempo per catturarli.
  • L'Attacco "Ritardo": Se un cattivo rallenta semplicemente il passo del lavoratore, un'istantanea singola non può vederlo nemmeno in questo caso.

5. Il Trade-off: Falsi Allarmi vs. Attacchi Persi

I ricercatori hanno fatto una scelta consapevole: È meglio essere al sicuro che pentirsi.

• La Strategia: Hanno sintonizzato il sistema per catturare ogni possibile attacco, anche se ciò significa segnare occasionalmente un lavoratore innocente come sospetto.
• Il Risultato: Circa il 5,9% del traffico normale è stato segnalato come sospetto. In una vera fabbrica, questo significa che il team di sicurezza potrebbe dover investigare alcuni "falsi allarmi".
• Perché? In una centrale elettrica, perdere un vero attacco potrebbe causare un'esplosione o un blackout. Investigare un falso allarme è solo un po' di burocrazia. Il sistema è progettato per dare priorità alla sicurezza rispetto alla comodità.

Riepilogo

Questo articolo dimostra che è possibile costruire una guardia di sicurezza minuscola e altamente efficace per le reti industriali guardando leggermente più a fondo nei pacchetti di dati rispetto ai soli header standard. Sebbene non possa catturare ogni tipo di trucco (come la riproduzione di vecchi video), è incredibilmente efficiente, abbastanza piccola da stare su un microchip e cattura quasi ogni altro tipo di attacco con alta affidabilità. Sposta il focus dai "server pesanti e costosi" alle "guardie locali leggere e intelligenti".

Sommario tecnico

Sintesi Tecnica: Rilevamento delle Intrusioni Basato su Immagini Binarie per Reti di Tecnologia Operativa

Enunciato del Problema
Le reti di Tecnologia Operativa (OT), che controllano le infrastrutture critiche, sono sempre più interconnesse con i sistemi IT, ampliando la loro superficie di attacco. Sebbene esistano Sistemi di Rilevamento delle Intrusioni (IDS) basati sul machine learning per l'OT, questi spesso si affidano all'aggregazione a livello di flusso o all'ingegnerizzazione manuale delle caratteristiche, introducendo latenza e limitando la portabilità. Inoltre, i metodi esistenti di classificazione basati su immagini, come la metodologia dell'Immagine Binaria dell'Intestazione del Singolo Pacchetto (SPHBI), hanno dimostrato un alto successo nel traffico IoT eterogeneo, ma rimangono non testati sul traffico altamente uniforme dei protocolli OT come Modbus TCP. La sfida fondamentale consiste nel determinare se le rappresentazioni binarie derivate da intestazioni OT uniformi contengano informazioni discriminative sufficienti per la classificazione per pacchetto, e in caso contrario, quali livelli del protocollo debbano essere inclusi per ripristinare la rilevabilità.

Metodologia
Questo studio estende la metodologia SPHBI al traffico Modbus TCP utilizzando il dataset CIC Modbus 2023 (11,4 milioni di pacchetti). La ricerca impiega un gradiente sistematico di cinque approcci basati sulla profondità del protocollo per valutare il potere discriminativo di diversi sottoinsiemi di byte:

1. Solo Intestazioni TCP/IP: 18 byte (immagine binaria 12×12).
2. TCP/IP + MBAP + Codice Funzione (FC): 26 byte (immagine binaria 16×13).
3. TCP/IP + MBAP + FC + Operandi PDU: 30 byte (immagine binaria 16×15).
4. Solo Livello Applicativo: 8 byte (immagine binaria 8×8).
5. Livello Applicativo + PDU: 12 byte (immagine binaria 12×8).

I byte grezzi dei pacchetti sono stati ricostruiti dagli output decodificati di tshark per garantire una generazione accurata delle immagini binarie. I modelli di classificazione utilizzano Reti Neurali Convoluzionali (CNN) leggere. I classificatori binari consistono in due livelli convoluzionali con un singolo filtro ciascuno (35–73 parametri), mentre i classificatori multiclasse utilizzano due livelli con 32 filtri (fino a 56.873 parametri), significativamente più piccoli rispetto alle alternative basate su ResNet50.

Un componente critico della metodologia è una strategia di etichettatura trasparente e riproducibile. Poiché il 94% del traffico durante gli scenari di attacco consiste in polling benigno, gli autori hanno sviluppato regole ibride per tipo di attacco che combinano finestre temporali dei log di attacco con firme a livello di protocollo (ad esempio, codici funzione specifici o conteggi di byte) per identificare i pacchetti maligni. Questo processo ha prodotto 10,7 milioni di pacchetti normali e 642.331 pacchetti di attacco distribuiti su nove classi.

Risultati Chiave
Gli esperimenti, condotti con 10 semi casuali e campionamento stratificato, hanno prodotto le seguenti scoperte:

• Dipendenza dalla Profondità del Protocollo: Le sole intestazioni TCP/IP (Approccio 1) hanno raggiunto solo il 51,8% di accuratezza binaria, confermando che l'eterogeneità a livello di intestazione sfruttata nell'IoT è assente nel traffico SCADA Modbus.
• Necessità del Livello Applicativo: L'aggiunta di soli otto byte di informazioni a livello applicativo (Approccio 2) ha ripristinato l'accuratezza binaria al 98,1%.
• Prestazioni Multiclasse: L'approccio migliore (2b: TCP/IP + MBAP + FC + PDU) ha raggiunto un'accuratezza multiclasse del 94,4% ± 2,2pp con 56.873 parametri. Questo è circa 430 volte meno parametri rispetto agli approcci comparabili basati su ResNet50.
• Rilevabilità degli Attacchi: Sette degli otto tipi di attacco rilevabili (Brute Force, Frame Stacking, FDI, Ricognizione, Query Flooding, Iniezione di Payload e Traffico Normale) hanno raggiunto un richiamo superiore al 94%.
• Limiti Strutturali: Gli attacchi Replay (7,9% di richiamo) e la Manipolazione della Lunghezza (3,3% di richiamo) sono rimasti in gran parte non rilevabili. Il documento attribuisce ciò al paradigma del singolo pacchetto: i pacchetti riprodotti sono identici al traffico legittimo e gli attacchi di manipolazione della lunghezza non disponevano di campioni sufficienti per l'addestramento.
• Efficienza dei Parametri: I classificatori binari richiedevano solo da 38 a 73 parametri. L'inclusione degli operandi PDU ha migliorato significativamente le prestazioni multiclasse (ad esempio, consentendo un richiamo del 100% per il rilevamento FDI), mentre le intestazioni TCP/IP non hanno fornito alcun miglioramento statisticamente significativo rispetto ai dati solo a livello applicativo quando erano disponibili dati di addestramento sufficienti.

Significato e Affermazioni
Il documento rivendica quattro contributi principali:

1. Prima Applicazione all'OT: Presenta la prima applicazione del deep learning basato su immagini binarie di singoli pacchetti al traffico Modbus TCP, dimostrando che un rilevamento efficace è raggiungibile con una frazione del costo computazionale dei modelli di deep learning esistenti.
2. Quantificazione della Profondità del Protocollo: Quantifica sistematicamente il contributo discriminativo dei livelli del protocollo, dimostrando che, sebbene le intestazioni TCP/IP siano insufficienti per l'OT, un insieme minimo di byte a livello applicativo (8 byte) è necessario e sufficiente per una classificazione binaria ad alta accuratezza.
3. Etichettatura Riproducibile: Fornisce una metodologia trasparente per l'etichettatura del dataset CIC Modbus 2023, affrontando la mancanza di etichette a livello di pacchetto in questo benchmark pubblico.
4. Limiti di Rilevamento: Definisce esplicitamente i limiti del rilevamento per singolo pacchetto, identificando che gli attacchi Replay e di ritardo di risposta sono strutturalmente non rilevabili senza analisi temporale o basata sulla sequenza.

Gli autori posizionano questo lavoro come un passo verso la distribuzione ai margini (edge) con vincoli di risorse, dove modelli leggeri possono eseguire lo screening per pacchetto al confine di rete tra i master SCADA e i dispositivi di campo. Osservano che, sebbene l'approccio sia altamente efficace per firme di attacco specifiche, un IDS OT completo richiederebbe di combinare questa classificazione per pacchetto con metodi temporali complementari per affrontare i limiti intrinseci dell'analisi del singolo pacchetto.