Binary Image-Based Intrusion Detection for Operational Technology Networks: Extending the SPHBI Methodology from IoT to Modbus TCP

本論文は、単一パケットヘッダバイナリイメージ（SPHBI）手法を Modbus TCP ネットワークに拡張し、アプリケーション層データわずか 8 バイトを組み込むことで、深層学習の代替手法に比べてはるかに少ないパラメータで 98.1% の二値精度と 94.4% の多クラス精度を達成する軽量モデルを実現することを示すと同時に、単一パケット手法がリプレイ攻撃を検出する際の固有の限界を浮き彫りにする。

要約

過密な産業用工場を想像してください。そこで機械同士がModbus TCPと呼ばれる非常に厳格で反復的な言語を使って会話しています。この言語は、電力網や上下水道処理施設といった重要インフラの「鼓動」です。長らくこれらのシステムは孤立していましたが、現在ではインターネットに接続されており、ハッカーの標的となり得る脆弱性を抱えています。

本論文は、この工場の入り口に立ち、通過するすべてのメッセージ（パケット）を一つずつ監視してトラブルを特定する、小さくて超高性能なセキュリティガードの構築について述べるものです。

以下に、彼らがそれをどのように構築したか、簡単な比喩を用いて物語ります。

1. 古いアイデア対新しい現実

以前、研究者たちはIoT（サーモスタットやカメラなどのスマートホーム機器）におけるハッカーの検知のために、SPHBI（Single Packet Header Binary Image：単一パケットヘッダの二値画像）と呼ばれる手法を試みました。

• IoT の比喩: 混雑した空港にいる大勢の人々を想像してください。誰もが異なる服装をし、異なるバッグを持ち、異なる歩幅で歩いています。彼らの「ID カード」（パケットヘッダ）を写真に撮れば、他の人々と異なる姿をしている不審者を簡単に見つけ出すことができます。この古い手法は、すべての「ID カード」がユニークだったため、ここで非常にうまく機能しました。
• OT の現実: 一方、工場のフロアを想像してください。そこで働くすべての労働者が全く同じ制服を着て、全く同じ工具箱を持ち、全く同じ歩幅で歩いています。彼らの ID カードを写真に撮れば、すべてが同じように見えます。
• 問題点: 研究者たちがこの古い手法を工場ネットワーク（Modbus）に適用しようとしたところ、惨敗しました。精度はわずか51.8%（ほぼ推測）でした。「制服」が完璧すぎるため、ハッカーは平然と隠れていました。標準的な ID カードには、良い労働者と悪い労働者の違いが一切現れていなかったからです。

2. 解決策：工具箱の奥深くを見る

研究者たちは、工場内の悪党を捕まえるには、単に ID カード（ネットワークヘッダ）を見るだけでは不十分だと気づきました。彼らが運んでいる工具箱（アプリケーションデータ）の中を覗き見る必要がありました。

彼らはデータを眺める「深さ」の 5 つの異なるレベルをテストしました。

1. ID カードのみ: 失敗（51.8%）。
2. ID カード + 工具箱の取っ手: 大幅に改善（98.1%）。
3. ID カード + 工具箱の取っ手 + 中に入っている道具: 最良のパフォーマンス（特定の攻撃タイプの検出精度 94.4%）。

比喩: これは、以前は単にバッジを持っているか確認していたセキュリティガードが、誰もが同じバッジを持っているため、ポケットの中に何が入っているかをチェックし始めたようなものです。悪い奴が良い奴と同じバッジを持っていたとしても、彼はネジ回しではなくレンチを持っていたり、逆さまに持っていたりするかもしれません。そのわずかな違いこそが、新しいシステムが検知するものです。

3. 「小さな脳」（モデル）

現代のほとんどのセキュリティシステムは、巨大なサーバーを必要とする巨大で重いコンピュータの脳（ResNet50など）を使用しています。これらは、スーパーコンピュータが数独パズルを解こうとしているようなものです。

• 本論文のアプローチ: 彼らは小さく軽量な脳（約57,000 個のパラメータを持つニューラルネットワーク）を構築しました。
• 比喩: スーパーコンピュータの代わりに、ポケット電卓を想像してください。それは驚くほど小さく効率的です。工場内の機械そのもの（エッジデバイス）に搭載されている小型の低電力チップ上で動作できます。他の研究者が使用する巨大なモデルの約430 分の 1のサイズであり、スペースと電力が限られた工場フロアに最適です。

4. 検知したもの（と見逃したもの）

このシステムは、8 種類の異なるサイバー攻撃を含む 1,140 万パケットのトラフィックでテストされました。

• 成功: 8 種類の攻撃のうち 7 種類において、それは熟練した探偵となりました。パスワードのブルートフォース攻撃、システムへの質問の洪水、偽データの注入を試みるハッカーを94% 以上の成功率で捕捉しました。「ペイロード注入」（工具箱に偽の道具を忍び込ませる行為）の検知においては、100% の確率で捉えるほど優秀でした。
• 限界:
  • 「リプレイ」攻撃: 悪い奴が、良い労働者がドアを通る様子を動画に録画し、それをガードに再生して見せる状況を想像してください。動画は本物と全く同じに見えるため、ガードは区別がつきません。本論文は、このシステムは時間の一点のスナップショットしか見ていないため、「リプレイ攻撃」を検知できないことを認めています。これには、時間の経過に伴うイベントの順序を観察するシステムが必要です。
  • 「遅延」攻撃: 悪い奴が単に労働者の歩行を遅くした場合、単一のスナップショットではそれも検知できません。

5. トレードオフ：誤報と見逃された攻撃

研究者たちは意識的な選択をしました。**「後悔するより安全に」**です。

• 戦略: 彼らは、無害な労働者を時折疑わしい人物としてフラグ立てすることになっても、可能な限りすべての攻撃を捕捉するようにシステムを調整しました。
• 結果: 通常のトラフィックの約**5.9%**が疑わしいとしてフラグ立てされました。実際の工場では、セキュリティチームがいくつかの「誤報」を調査する必要があることを意味します。
• 理由: 発電所において、実際の攻撃を見逃すことは爆発や停電を引き起こす可能性があります。誤報を調査することは、単に少しの書類作業で済みます。このシステムは、利便性よりも安全性を優先するように設計されています。

まとめ

本論文は、標準的なヘッダよりもデータパケットのわずかに奥深くを見ることで、産業用ネットワーク向けに極めて効果的で微小なセキュリティガードを構築できることを証明しています。すべての種類のトリック（古い動画を再生するなど）を捉えることはできませんが、それは驚くほど効率的で、マイクロチップに収まるほど小さく、他のほぼすべての種類の攻撃を高い信頼性で捕捉します。焦点は「重く高価なサーバー」から「軽く賢い、局所的なガード」へとシフトしました。

技術概要

技術概要：運用技術ネットワーク向けバイナリ画像ベースの侵入検知

問題定義
重要インフラを制御する運用技術（OT）ネットワークは、IT システムとの相互接続が進展し、攻撃対象領域が拡大している。OT 向けの機械学習ベースの侵入検知システム（IDS）は存在するが、これらはしばしばフローレベルの集約や手動による特徴量エンジニアリングに依存しており、遅延を招き、移植性を制限している。さらに、単一パケットヘッダバイナリ画像（SPHBI）手法のような既存の画像ベース分類手法は、異種 IoT トラフィックにおいて高い成功を収めているものの、Modbus TCP のような OT プロトコルの高度に均一なトラフィックにおいては未検証のままである。核心的な課題は、均一な OT ヘッダから導出されたバイナリ画像表現が、パケット単位の分類に十分な識別情報を有しているかどうかを判断すること、およびもしそうでない場合、検知性を回復させるためにどのプロトコル層を含める必要があるかを特定することである。

手法
本研究は、CIC Modbus 2023 データセット（1,140 万パケット）を用いて、Modbus TCP トラフィックに対して SPHBI 手法を拡張する。研究では、異なるバイト部分集合の識別力を評価するための、プロトコル深度の系統的な 5 つのアプローチの勾配を採用する：

1. TCP/IP ヘッダのみ: 18 バイト（12×12 のバイナリ画像）。
2. TCP/IP + MBAP + 機能コード（FC）: 26 バイト（16×13 のバイナリ画像）。
3. TCP/IP + MBAP + FC + PDU 演算子: 30 バイト（16×15 のバイナリ画像）。
4. アプリケーション層のみ: 8 バイト（8×8 のバイナリ画像）。
5. アプリケーション層 + PDU: 12 バイト（12×8 のバイナリ画像）。

生パケットバイトは、正確なバイナリ画像生成を確保するため、デコードされた tshark 出力から再構築された。分類モデルは軽量な畳み込みニューラルネットワーク（CNN）を採用する。バイナリ分類器は、それぞれ単一のフィルターを持つ 2 つの畳み込み層で構成され（35〜73 パラメータ）、多クラス分類器は 32 フィルターを持つ 2 つの層を使用する（最大 56,873 パラメータ）。これは ResNet50 ベースの代替手段よりも著しく小さい。

手法の重要な構成要素は、透明性があり再現可能なラベリング戦略である。攻撃シナリオ中のトラフィックの 94% は benign なポーリングで構成されるため、著者らは攻撃ログの時間ウィンドウとプロトコルレベルのシグネチャ（特定の機能コードやバイト数など）を組み合わせた、攻撃タイプごとのハイブリッドルールを開発し、悪意のあるパケットを特定した。このプロセスにより、9 クラスにわたる 1,070 万の通常パケットと 642,331 の攻撃パケットが生成された。

主要な結果
10 個のランダムシードと層化サンプリングを用いて実施された実験は、以下の知見をもたらした：

• プロトコル深度への依存性: TCP/IP ヘッダのみ（アプローチ 1）は 51.8% のバイナリ精度しか達成できず、IoT で利用されているヘッダレベルの異質性が Modbus SCADA トラフィックには存在しないことを確認した。
• アプリケーション層の必要性: アプリケーション層情報 8 バイトを追加するだけで（アプローチ 2）、バイナリ精度は 98.1% に回復した。
• 多クラス性能: 最良のパフォーマンスを示したアプローチ（2b: TCP/IP + MBAP + FC + PDU）は、56,873 パラメータで 94.4% ± 2.2pp の多クラス精度を達成した。これは同様の ResNet50 ベースのアプローチと比較して約 430 倍少ないパラメータ数である。
• 攻撃検知性: 検知可能な 8 種類の攻撃のうち 7 種類（ブルートフォース、フレームスタッキング、FDI、偵察、クエリフラッディング、ペイロード注入、通常トラフィック）は、リコールが 94% 超であった。
• 構造的限界: リプレイ攻撃（リコール 7.9%）と長さ操作（リコール 3.3%）は、ほとんど検知不可能であった。論文はこれを単一パケットのパラダイムに起因すると帰属している。再送されたパケットは正当なトラフィックと同一であり、長さ操作攻撃は訓練に十分なサンプルが不足していた。
• パラメータ効率: バイナリ分類器は 38 から 73 パラメータのみを必要とした。PDU 演算子の含入は多クラス性能を著しく向上させた（例：FDI 検知で 100% のリコールを可能にした）のに対し、十分な訓練データが利用可能な場合、TCP/IP ヘッダはアプリケーション層のみのデータに対して統計的に有意な改善をもたらさなかった。

意義と主張
本論文は 4 つの主要な貢献を主張している：

1. OT への初適用: 単一パケットバイナリ画像ベースの深層学習を Modbus TCP トラフィックに適用した最初の事例であり、既存の深層学習モデルの計算コストの断片で効果的な検知が達成可能であることを示した。
2. プロトコル深度の定量化: プロトコル層の識別への寄与を体系的に定量化し、TCP/IP ヘッダは OT には不十分であるが、最小限のアプリケーション層バイト（8 バイト）が高精度なバイナリ分類に必要かつ十分であることを証明した。
3. 再現可能なラベリング: 公開ベンチマークである CIC Modbus 2023 データセットのラベリングに対する透明な手法を提供し、このデータセットにおけるパケットレベルラベルの欠如に対処した。
4. 検知の境界: 単一パケット検知の限界を明示的に定義し、リプレイ攻撃や遅延応答攻撃は、時間的またはシーケンスベースの分析なしには構造的に検知不可能であることを特定した。

著者らは、この研究を、軽量モデルが SCADA マスターとフィールドデバイス間のネットワーク境界でパケット単位のスクリーニングを実行できる、リソース制約のあるエッジ展開への一歩として位置づけている。彼らは、このアプローチが特定の攻撃シグネチャに対して非常に効果的である一方、包括的な OT IDS を構築するには、単一パケット分析の固有の限界に対処するため、このパケット単位分類を補完的な時間的手法と組み合わせる必要があると指摘している。