Binary Image-Based Intrusion Detection for Operational Technology Networks: Extending the SPHBI Methodology from IoT to Modbus TCP

본 논문은 단일 패킷 헤더 이진 이미지 (SPHBI) 방법론을 Modbus TCP 네트워크로 확장하여, 응용 계층 데이터 8 바이트만 통합하면 경량 모델이 심층 학습 대안보다 훨씬 적은 매개변수로 98.1% 의 이진 정확도와 94.4% 의 다중 클래스 정확도를 달성할 수 있음을 보여주면서도 단일 패킷 기반 방법의 재전송 공격 탐지 한계를 지적한다.

핵심

바쁜 산업 공장을 상상해 보세요. 이곳의 기계들은 Modbus TCP라는 매우 엄격하고 반복적인 언어로 서로 대화합니다. 이 언어는 전력망과 정수 처리 시설과 같은 핵심 인프라의 "심장박동"과 같습니다. 오랫동안 이러한 시스템은 격리되어 있었지만, 이제는 인터넷에 연결되어 해커들에게 취약해졌습니다.

이 논문은 공장 입구에 서서 통과하는 모든 메시지 (패킷) 를 하나하나 살펴가며 문제를 포착하는 작고 초지능적인 보안 요원을 구축하는 방법에 관한 것입니다.

간단한 비유를 사용하여 그들이 이를 어떻게 구축했는지 이야기해 보겠습니다.

1. 옛 아이디어 대 새로운 현실

과거 연구자들은 IoT(스마트 홈의 온도 조절기나 카메라와 같은 스마트 홈 기기) 에서 해커를 잡기 위해 SPHBI(Single Packet Header Binary Image, 단일 패킷 헤더 이진 이미지) 라는 방법을 사용하려 했습니다.

• IoT 비유: 붐비는 공항의 사람들로 가득 찬 장면을 상상해 보세요. 모두 다른 옷을 입고, 다른 가방을 들고, 다른 속도로 걷고 있습니다. 그들의 "신분증"(패킷 헤더) 을 사진으로 찍으면, 다른 사람들과 다르게 보이는 수상한 사람을 쉽게 찾아낼 수 있습니다. "신분증"이 모두 고유했기 때문에 이 옛 방법은 여기서 매우 잘 작동했습니다.
• OT 현실: 이제 공장 바닥을 상상해 보세요. 모든 근로자가 정확히 같은 유니폼을 입고, 정확히 같은 공구함을 들고, 정확히 같은 속도로 걷습니다. 그들의 신분증을 사진으로 찍으면 모두 똑같이 보입니다.
• 문제점: 연구자들이 이 옛 방법을 공장 네트워크 (Modbus) 에 적용하려 했을 때, 그것은 처참하게 실패했습니다. 정확도는 **51.8%**에 불과했습니다 ( basically 추측 수준). "유니폼"이 너무 완벽했기 때문입니다. 해커들은 표준 신분증이 좋은 근로자와 나쁜 근로자 사이의 차이를 보여주지 못하기 때문에 평범한 모습으로 숨어 있었습니다.

2. 해결책: 공구함 속을 더 깊이 들여다보기

연구자들은 공장에서의 나쁜 놈들을 잡기 위해 신분증 (네트워크 헤더) 만으로는 부족하다는 것을 깨달았습니다. 근로자들이 들고 있는 공구함(애플리케이션 데이터) 속을 엿봐야 했습니다.

그들은 데이터를 들여다보는 다섯 가지 다른 "깊이"를 테스트했습니다:

1. 신분증만: 실패 (51.8%).
2. 신분증 + 공구함 손잡이: 훨씬 나아짐 (98.1%).
3. 신분증 + 공구함 손잡이 + 안의 도구들: 최고의 성능 (특정 공격 유형 포착 정확도 94.4%).

비유: 과거 보안 요원은 당신이 배지를 가지고 있는지만 확인했습니다. 하지만 모두 같은 배지를 가지고 있기 때문에, 요원은 이제 당신의 주머니에 무엇이 들어있는지 확인하기 시작합니다. 나쁜 놈이 좋은 놈과 같은 배지를 가지고 있더라도, 나사못 대신 렌치를 들고 있거나, 렌치를 거꾸로 들고 있을 수 있습니다. 바로 그 작은 차이가 새로운 시스템이 포착하는 부분입니다.

3. "작은 두뇌"(모델)

대부분의 현대 보안 시스템은 거대한 서버가 필요하고 무거운 거대한 컴퓨터 두뇌 (예: ResNet50) 를 사용합니다. 이는 슈퍼컴퓨터가 스도쿠 퍼즐을 풀려고 노력하는 것과 같습니다.

• 이 논문의 접근 방식: 그들은 작고 가벼운 두뇌(약 57,000 개의 파라미터만 있는 신경망) 를 구축했습니다.
• 비유: 슈퍼컴퓨터 대신 주머니 계산기를 상상해 보세요. 그것은 incredibly 작고 효율적입니다. 공장 기계 자체 (엣지 장치) 내부에 있는 작고 저전력 칩에서 실행할 수 있습니다. 다른 사람들이 사용하는 거대 모델보다 약 430 배나 작아 공간과 전력이 제한된 공장 바닥에 완벽하게 적합합니다.

4. 포착한 것 (그리고 놓친 것)

이 시스템은 8 가지 유형의 사이버 공격을 포함한 1,140 만 개의 트래픽 패킷으로 테스트되었습니다.

• 성공: 8 가지 공격 유형 중 7 가지에 대해 마스터 탐정이 되었습니다. 암호를 무차별 대입 공격하거나, 시스템에 질문을 폭주시키거나, 가짜 데이터를 주입하려는 해커들을 94% 이상의 성공률로 잡았습니다. "페이로드 주입"(공구함 안에 가짜 도구를 슬쩍 넣는 것) 을 포착하는 데는 그토록 뛰어나서 **100%**의 확률로 잡아냈습니다.
• 한계:
  • "재전송" 공격: 나쁜 놈이 좋은 근로자가 문을 통과하는 장면을 녹화해서 경비원에게 재생하는 상황을 상상해 보세요. 비디오가 실제 것과 완전히 같기 때문에 경비원은 차이를 알 수 없습니다. 이 논문은 이 시스템이 재전송 공격을 잡을 수 없다고 인정합니다. 왜냐하면 그것은 오직 한 순간의 스냅샷만 보기 때문입니다. 이를 잡으려면 시간의 흐름에 따른 사건들의 순서를 지켜보는 시스템이 필요합니다.
  • "지연" 공격: 나쁜 놈이 근로자의 걸음걸이만 늦추는 경우, 단일 스냅샷으로는 이것도 볼 수 없습니다.

5. 트레이드오프: 오경보 대 놓친 공격

연구자들은 의식적인 선택을 했습니다: 미리 예방하는 것이 후회하는 것보다 낫습니다.

• 전략: 그들은 때때로 무해한 근로자를 수상한 것으로 표시하더라도 모든 가능한 공격을 잡도록 시스템을 조정했습니다.
• 결과: 정상 트래픽의 약 **5.9%**가 수상한 것으로 표시되었습니다. 실제 공장에서는 보안 팀이 몇 가지 "오경보"를 조사해야 한다는 것을 의미합니다.
• 이유: 발전소에서 실제 공격을 놓치는 것은 폭발이나 정전을 초래할 수 있습니다. 오경보를 조사하는 것은 단순히 서류 작업일 뿐입니다. 이 시스템은 편의성보다 안전을 우선시하도록 설계되었습니다.

요약

이 논문은 표준 헤더보다 데이터 패킷을 약간 더 깊이 들여다봄으로써 산업용 네트워크를 위한 매우 효과적이고 작은 보안 요원을 구축할 수 있음을 증명합니다. 모든 종류의 속임수 (예: 오래된 비디오 재생) 를 잡을 수는 없지만, 그것은 incredibly 효율적이며 마이크로칩에 들어갈 만큼 작고, 거의 모든 다른 유형의 공격을 높은 신뢰도로 포착합니다. 이는 "무겁고 비싼 서버"에서 "가볍고 지능적이며 지역적인 경비원"으로 초점을 이동시킵니다.

기술 요약

기술 요약: 운영 기술 네트워크를 위한 이진 이미지 기반 침입 탐지

문제 제기
중요 인프라를 제어하는 운영 기술 (OT) 네트워크는 IT 시스템과 점점 더 긴밀하게 연결되어 공격 표면이 확대되고 있습니다. OT 를 위한 머신러닝 기반 침입 탐지 시스템 (IDS) 이 존재하지만, 이러한 시스템은 종종 흐름 수준 집계나 수동 특징 공학에 의존하여 지연 시간을 초래하고 이식성을 제한합니다. 또한, 단일 패킷 헤더 이진 이미지 (SPHBI) 방법론과 같은 기존 이미지 기반 분류 방법들은 이질적인 IoT 트래픽에서 높은 성공을 보였으나, Modbus TCP 와 같은 OT 프로토콜의 매우 균일한 트래픽에서는 아직 검증되지 않았습니다. 핵심적인 과제는 균일한 OT 헤더에서 유도된 이진 이미지 표현이 패킷 단위 분류를 위한 충분한 구별 정보를 포함하는지, 그리고 그렇지 않다면 탐지 가능성을 회복하기 위해 어떤 프로토콜 계층을 포함해야 하는지를 결정하는 것입니다.

방법론
본 연구는 CIC Modbus 2023 데이터셋 (1,140 만 개 패킷) 을 사용하여 SPHBI 방법론을 Modbus TCP 트래픽으로 확장했습니다. 연구는 서로 다른 바이트 부분집합의 구별 능력을 평가하기 위해 프로토콜 깊이의 체계적인 5 단계 접근법을 적용했습니다:

1. TCP/IP 헤더만: 18 바이트 (12×12 이진 이미지).
2. TCP/IP + MBAP + 함수 코드 (FC): 26 바이트 (16×13 이진 이미지).
3. TCP/IP + MBAP + FC + PDU 피연산자: 30 바이트 (16×15 이진 이미지).
4. 애플리케이션 계층만: 8 바이트 (8×8 이진 이미지).
5. 애플리케이션 계층 + PDU: 12 바이트 (12×8 이진 이미지).

정확한 이진 이미지 생성을 위해 디코딩된 tshark 출력에서 원시 패킷 바이트를 재구성했습니다. 분류 모델은 경량 합성곱 신경망 (CNN) 을 활용합니다. 이진 분류기는 각 1 개의 필터를 가진 두 개의 합성곱 계층으로 구성되며 (35~73 개의 매개변수), 다중 클래스 분류기는 32 개의 필터를 가진 두 개의 계층을 사용하며 (최대 56,873 개의 매개변수), 이는 ResNet50 기반 대안보다 훨씬 작습니다.

방법론의 핵심 구성 요소는 투명하고 재현 가능한 라벨링 전략입니다. 공격 시나리오 동안 트래픽의 94% 가 정상적인 폴링으로 구성되므로, 저자들은 공격 로그 시간 창과 프로토콜 수준 서명 (예: 특정 함수 코드 또는 바이트 수) 을 결합한 하이브리드 공격 유형별 규칙을 개발하여 악성 패킷을 식별했습니다. 이 과정을 통해 9 개 클래스에 걸쳐 1,070 만 개의 정상 패킷과 642,331 개의 공격 패킷이 생성되었습니다.

주요 결과
10 개의 무작위 시드와 계층적 샘플링으로 수행된 실험은 다음과 같은 결과를 도출했습니다:

• 프로토콜 깊이 의존성: TCP/IP 헤더만 (접근법 1) 을 사용할 경우 이진 정확도가 51.8% 에 불과하여, IoT 에서 활용되는 헤더 수준의 이질성이 Modbus SCADA 트래픽에는 부재함을 확인했습니다.
• 애플리케이션 계층의 필요성: 애플리케이션 계층 정보 8 바이트만 추가 (접근법 2) 하면 이진 정확도가 98.1% 로 회복되었습니다.
• 다중 클래스 성능: 가장 성능이 우수한 접근법 (2b: TCP/IP + MBAP + FC + PDU) 은 56,873 개의 매개변수로 94.4% ± 2.2pp 의 다중 클래스 정확도를 달성했습니다. 이는 유사한 ResNet50 기반 접근법보다 약 430 배 적은 매개변수입니다.
• 공격 탐지 가능성: 8 가지 탐지 가능한 공격 유형 중 7 가지 (Brute Force, Frame Stacking, FDI, Reconnaissance, Query Flooding, Payload Injection, Normal traffic) 가 94% 이상의 재현율 (recall) 을 달성했습니다.
• 구조적 한계: 재전송 공격 (7.9% 재현율) 과 길이 조작 (3.3% 재현율) 은 대부분 탐지되지 않았습니다. 논문은 이를 단일 패킷 패러다임에 기인한 것으로 설명하며, 재전송된 패킷은 합법적인 트래픽과 동일하고 길이 조작 공격은 훈련을 위한 충분한 샘플이 부족했다고 분석합니다.
• 매개변수 효율성: 이진 분류기는 38~73 개의 매개변수만 필요로 했습니다. PDU 피연산자의 포함은 다중 클래스 성능을 크게 향상시켰으며 (예: FDI 탐지에 100% 재현율 달성), 반면 충분한 훈련 데이터가 존재할 경우 TCP/IP 헤더는 애플리케이션 계층 데이터만 사용할 때보다 통계적으로 유의미한 개선을 제공하지 않았습니다.

의의 및 주장
이 논문은 네 가지 주요 공헌을 주장합니다:

1. OT 에 대한 최초 적용: 단일 패킷 이진 이미지 기반 딥러닝을 Modbus TCP 트래픽에 최초로 적용하여, 기존 딥러닝 모델의 계산 비용의 일부로 효과적인 탐지가 가능함을 입증했습니다.
2. 프로토콜 깊이의 정량화: 프로토콜 계층의 구별 기여도를 체계적으로 정량화하여, TCP/IP 헤더는 OT 에 불충분하지만 최소한의 애플리케이션 계층 바이트 (8 바이트) 만이 고정확도 이진 분류에 필요하고 충분함을 증명했습니다.
3. 재현 가능한 라벨링: 이 공개 벤치마크의 패킷 수준 라벨 부재를 해결하기 위해 CIC Modbus 2023 데이터셋을 라벨링하는 투명한 방법론을 제공합니다.
4. 탐지 경계 정의: 단일 패킷 탐지의 한계를 명시적으로 정의하여, 재전송 및 지연 응답 공격은 시간적 또는 시퀀스 기반 분석 없이는 구조적으로 탐지 불가능함을 규명했습니다.

저자들은 이 작업을 SCADA 마스터와 현장 장치 간의 네트워크 경계에서 경량 모델이 패킷 단위 스크리닝을 수행할 수 있는 리소스 제약이 있는 엣지 배포를 향한 한 걸음으로 위치시킵니다. 그들은 이 접근법이 특정 공격 서명에는 매우 효과적이지만, 포괄적인 OT IDS 를 위해서는 단일 패킷 분석의 고유한 한계를 해결하기 위해 이 패킷 단위 분류를 보완적인 시간적 방법과 결합해야 한다고 지적합니다.