Binary Image-Based Intrusion Detection for Operational Technology Networks: Extending the SPHBI Methodology from IoT to Modbus TCP

Dit artikel breidt de Single Packet Header Binary Image (SPHBI)-methodologie uit tot Modbus TCP-netwerken, waarbij wordt aangetoond dat het opnemen van slechts acht bytes aan applicatielaagdata een lichtgewicht model in staat stelt om 98,1% binaire nauwkeurigheid en 94,4% multiclass-nauwkeurigheid te bereiken met aanzienlijk minder parameters dan deep learning-alternatieven, terwijl tegelijkertijd de inherente beperking van single-packet-methoden bij het detecteren van replay-aanvallen wordt benadrukt.

De kern

Stel je een drukke industriële fabriek voor waar machines met elkaar communiceren via een zeer strikte, repetitieve taal genaamd Modbus TCP. Deze taal is het "hartslag" van kritieke infrastructuur zoals elektriciteitsnetten en waterzuiveringsinstallaties. Lange tijd waren deze systemen geïsoleerd, maar nu zijn ze verbonden met het internet, waardoor ze kwetsbaar zijn voor hackers.

Dit artikel gaat over het bouwen van een kleine, superslimme bewaker die bij de deur van deze fabriek staat, die elk enkel bericht (pakket) dat passeert, bekijkt om problemen op te sporen.

Hier is het verhaal van hoe ze het bouwden, met gebruik van eenvoudige analogieën:

1. Het Oude Idee versus De Nieuwe Realiteit

Vroeger probeerden onderzoekers een methode genaamd SPHBI (Single Packet Header Binary Image) te gebruiken om hackers te vangen in IoT (slimme huisapparaten zoals thermostaten en camera's).

• De IoT-analogie: Stel je een menigte mensen voor op een drukke luchthaven. Iedereen draagt verschillende kleren, draagt verschillende tassen en loopt met verschillende snelheden. Als je een foto maakt van hun "ID-kaarten" (de pakketkoppen), is het gemakkelijk om de verdachte persoon te spotten omdat ze anders lijken dan iedereen else. De oude methode werkte hier uitstekend omdat de "ID-kaarten" allemaal uniek waren.
• De OT-realiteit: Stel je nu een fabrieksvloer voor waar elke arbeider exact hetzelfde uniform draagt, exact dezelfde gereedschapskist draagt en exact hetzelfde tempo loopt. Als je een foto maakt van hun ID-kaarten, zien ze er allemaal identiek uit.
• Het probleem: Toen de onderzoekers de oude methode probeerden op het fabrieksnetwerk (Modbus), faalde het jammerlijk. Het behaalde slechts 51,8% nauwkeurigheid (in feite gissen). De "uniformen" waren te perfect; de hackers verstopten zich in het open zicht omdat de standaard ID-kaarten geen verschillen toonden tussen een goede arbeider en een slechte.

2. De Oplossing: Dieper Kijken in de Gereedschapskist

De onderzoekers beseften dat ze, om de slechteriken in de fabriek te vangen, niet alleen naar de ID-kaart (de netwerkkop) konden kijken. Ze moesten een kijkje nemen in de gereedschapskist (de applicatiegegevens) die de arbeiders droegen.

Ze testten vijf verschillende "dieptes" van het bekijken van de data:

1. Alleen de ID-kaart: Gefaald (51,8%).
2. ID-kaart + Handvat van de gereedschapskist: Veel beter (98,1%).
3. ID-kaart + Handvat van de gereedschapskist + De gereedschappen erin: De beste presterende (94,4% nauwkeurigheid voor het opsporen van specifieke aanvalstypen).

De analogie: Het is alsof een bewaker die vroeger alleen controleerde of je een badge had. Maar aangezien iedereen hetzelfde badge heeft, begint de bewaker te controleren wat er in je zak zit. Zelfs als de slechterik hetzelfde badge heeft als de goede arbeider, houdt hij misschien een moersleutel vast in plaats van een schroevendraaier, of houdt hij hem ondersteboven. Dat kleine verschil is wat het nieuwe systeem opspoort.

3. Het "Kleine Brein" (Het Model)

De meeste moderne beveiligingssystemen gebruiken enorme, zware computerhersenen (zoals ResNet50) die enorme servers vereisen om te draaien. Ze zijn als een supercomputer die een sudoku-puzzel probeert op te lossen.

• De aanpak van dit artikel: Ze bouwden een klein, lichtgewicht brein (een neurale net met slechts ongeveer 57.000 parameters).
• De metafoor: In plaats van een supercomputer, stel je je een zakrekenmachine voor. Het is ongelooflijk klein en efficiënt. Het kan draaien op de kleine, energiezuinige chips die zich in de fabrieksmachines zelf bevinden (edge-apparaten). Het is ongeveer 430 keer kleiner dan de gigantische modellen die door anderen worden gebruikt, waardoor het perfect is voor de fabrieksvloer waar ruimte en stroom beperkt zijn.

4. Wat Het Ving (en Wat Het Misdeed)

Het systeem werd getest tegen 11,4 miljoen pakketten verkeer, inclusief 8 verschillende soorten cyberaanvallen.

• De successen: Het werd een meester-detective voor 7 van de 8 aanvalstypen. Het ving hackers die probeerden wachtwoorden te kraken via brute force, het systeem overspoelden met vragen, of nep-data injecteerden met ruim 94% succes. Het was zo goed in het opsporen van "Payload Injection" (het laten glijden van een nep-gereedschap in de gereedschapskist) dat het dit 100% van de tijd ving.
• De beperkingen:
  • De "Replay"-aanval: Stel je een slechterik voor die een video opneemt van een goede arbeider die door de deur loopt en deze afspeelt voor de bewaker. Omdat de video er exact hetzelfde uitziet als het echte ding, kan de bewaker het verschil niet zien. Het artikel geeft toe dat dit systeem geen "Replay-aanvallen" kan vangen omdat het alleen kijkt naar één momentopname in de tijd. Het heeft een systeem nodig dat de sequentie van gebeurtenissen in de tijd bekijkt om dit op te vangen.
  • De "Vertraging"-aanval: Als een slechterik gewoon het looptempo van de arbeider vertraagt, kan een enkele momentopname dat ook niet zien.

5. De Ruil: Valse Alarmen versus Gemiste Aanvallen

De onderzoekers maakten een bewuste keuze: Het is beter om op je hoede te zijn dan spijt te hebben.

• De strategie: Ze stemden het systeem af om elke mogelijke aanval te vangen, zelfs als dit betekent dat ze af en toe een onschadelijke arbeider als verdacht markeren.
• Het resultaat: Ongeveer 5,9% van het normale verkeer werd gemarkeerd als verdacht. In een echte fabriek betekent dit dat het beveiligingsteam misschien een paar "valse alarmen" moet onderzoeken.
• Waarom? In een elektriciteitscentrale kan het missen van een echte aanval leiden tot een explosie of een stroomuitval. Het onderzoeken van een valse alarm is slechts wat papierwerk. Het systeem is ontworpen om veiligheid boven gemak te prioriteren.

Samenvatting

Dit artikel bewijst dat je een zeer effectieve, kleine bewaker voor industriële netwerken kunt bouwen door iets dieper in de datapakketten te kijken dan alleen de standaardkoppen. Hoewel het niet elk type truc kan vangen (zoals het afspelen van oude video's), is het ongelooflijk efficiënt, klein genoeg om op een microchip te passen, en vangt het bijna elk ander type aanval met hoge betrouwbaarheid. Het verschuift de focus van "zware, dure servers" naar "lichte, slimme, lokale bewakers".

Technische samenvatting

Technische Samenvatting: Inbraakdetectie op basis van binaire afbeeldingen voor netwerken met Operationele Technologie

Probleemstelling
Netwerken met Operationele Technologie (OT), die kritieke infrastructuur besturen, worden steeds meer met IT-systemen verbonden, waardoor hun aanvalsoppervlak groeit. Hoewel er voor OT op machine learning gebaseerde Inbraakdetectiesystemen (IDS) bestaan, vertrouwen deze vaak op aggregatie op stroomniveau of handgemaakte kenmerken, wat latentie introduceert en de draagbaarheid beperkt. Bovendien zijn bestaande classificatiemethoden op basis van afbeeldingen, zoals de Single Packet Header Binary Image (SPHBI)-methodologie, weliswaar zeer succesvol gebleken bij heterogene IoT-traffic, maar zijn ze nog niet getest op de zeer uniforme traffic van OT-protocollen zoals Modbus TCP. De kernuitdaging is vaststellen of binaire afbeeldingen die zijn afgeleid van uniforme OT-headers voldoende discriminerende informatie bevatten voor classificatie per pakket, en zo niet, welke protocollagen moeten worden opgenomen om detecteerbaarheid te herstellen.

Methodologie
Deze studie breidt de SPHBI-methodologie uit naar Modbus TCP-traffic met behulp van het CIC Modbus 2023-dataset (11,4 miljoen pakketten). Het onderzoek maakt gebruik van een systematische, vijfbenaderingsgradiënt van protocoldiepte om de discriminerende kracht van verschillende byte-subsets te evalueren:

1. Alleen TCP/IP-headers: 18 bytes (12×12 binaire afbeelding).
2. TCP/IP + MBAP + Functiecode (FC): 26 bytes (16×13 binaire afbeelding).
3. TCP/IP + MBAP + FC + PDU-operatoren: 30 bytes (16×15 binaire afbeelding).
4. Alleen Toepassingslaag: 8 bytes (8×8 binaire afbeelding).
5. Toepassingslaag + PDU: 12 bytes (12×8 binaire afbeelding).

Rauwe pakketbytes werden gereconstrueerd uit gedecodeerde tshark-outputs om een accurate generatie van binaire afbeeldingen te waarborgen. De classificatiemodellen maken gebruik van lichtgewicht Convolutional Neural Networks (CNN's). Binaire classifiers bestaan uit twee convolutielagen met elk één filter (35–73 parameters), terwijl multiclass-classifiers twee lagen met 32 filters gebruiken (tot 56.873 parameters), aanzienlijk kleiner dan alternatieven op basis van ResNet50.

Een kritiek onderdeel van de methodologie is een transparante, reproduceerbare labelstrategie. Aangezien 94% van de traffic tijdens aanvalsscenario's uit onschadelijke polling bestaat, hebben de auteurs hybride regels per aanvalstype ontwikkeld die tijdsvensters van aanvalsdagschriften combineren met protocollagen-ondertekeningen (bijvoorbeeld specifieke functiecodes of byte-aantallen) om kwaadaardige pakketten te identificeren. Dit proces leverde 10,7 miljoen normale pakketten en 642.331 aanvalspakketten op over negen klassen.

Belangrijkste resultaten
De experimenten, uitgevoerd met 10 willekeurige zaden en gestratificeerde steekproeven, leverden de volgende bevindingen op:

• Afhankelijkheid van protocoldiepte: Alleen TCP/IP-headers (Benadering 1) behaalden slechts 51,8% binaire nauwkeurigheid, wat bevestigt dat de op header-niveau aanwezige heterogeniteit die bij IoT wordt benut, ontbreekt in Modbus SCADA-traffic.
• Noodzaak van Toepassingslaag: Het toevoegen van slechts acht bytes aan informatie uit de toepassingslaag (Benadering 2) herstelde de binaire nauwkeurigheid tot 98,1%.
• Multiclass-prestaties: De best presterende benadering (2b: TCP/IP + MBAP + FC + PDU) behaalde 94,4% ± 2,2pp multiclass-nauwkeurigheid met 56.873 parameters. Dit is ongeveer 430 keer minder parameters dan vergelijkbare benaderingen op basis van ResNet50.
• Detecteerbaarheid van aanvallen: Zeven van de acht detecteerbare aanvalstypen (Brute Force, Frame Stacking, FDI, Reconnaissance, Query Flooding, Payload Injection en Normale traffic) behaalden een recall boven de 94%.
• Structurele grenzen: Replay-aanvallen (7,9% recall) en Lengtemanipulatie (3,3% recall) bleven grotendeels ondetecteerbaar. Het artikel wijt dit aan het paradigma van één pakket: gereplayde pakketten zijn identiek aan legitieme traffic, en lengtemanipulatie-aanvallen hadden onvoldoende steekproeven voor training.
• Parameter-efficiëntie: Binaire classifiers vereisten slechts 38 tot 73 parameters. De opname van PDU-operatoren verbeterde de multiclass-prestaties aanzienlijk (bijvoorbeeld door 100% recall voor FDI-detectie mogelijk te maken), terwijl TCP/IP-headers geen statistisch significante verbetering boden ten opzichte van alleen data uit de toepassingslaag wanneer voldoende trainingsdata beschikbaar was.

Betekenis en claims
Het artikel claimt vier primaire bijdragen:

1. Eerste toepassing op OT: Het presenteert de eerste toepassing van deep learning op basis van binaire afbeeldingen van één pakket op Modbus TCP-traffic, en toont aan dat effectieve detectie haalbaar is met een fractie van de rekenkosten van bestaande deep learning-modellen.
2. Kwantificering van protocoldiepte: Het kwantificeert systematisch de discriminerende bijdrage van protocollagen, en bewijst dat terwijl TCP/IP-headers ontoereikend zijn voor OT, een minimale set bytes uit de toepassingslaag (8 bytes) noodzakelijk en voldoende is voor hoog-nauwkeurige binaire classificatie.
3. Reproduceerbare labelstrategie: Het biedt een transparante methodologie voor het labelen van het CIC Modbus 2023-dataset, waarmee het gebrek aan labels op pakketniveau in deze publieke benchmark wordt aangepakt.
4. Detectiegrenzen: Het definieert expliciet de grenzen van detectie per pakket, en identificeert dat replay- en delay-response-aanvallen structureel ondetecteerbaar zijn zonder tijds- of sequentiegebaseerde analyse.

De auteurs positioneren dit werk als een stap richting implementatie op randapparatuur met beperkte middelen, waar lichtgewicht modellen per-pakket screening kunnen uitvoeren op de netwerkgrens tussen SCADA-master en veldapparatuur. Zij merken op dat hoewel de aanpak zeer effectief is voor specifieke aanvalssignaturen, een uitgebreid OT-IDS deze classificatie per pakket moet combineren met complementaire tijdsgebonden methoden om de inherente beperkingen van analyse per pakket aan te pakken.