Binary Image-Based Intrusion Detection for Operational Technology Networks: Extending the SPHBI Methodology from IoT to Modbus TCP

Este artigo estende a metodologia da Imagem Binária do Cabeçalho de Pacote Único (SPHBI) para redes Modbus TCP, demonstrando que a incorporação de apenas oito bytes de dados da camada de aplicação permite que um modelo leve alcance 98,1% de precisão binária e 94,4% de precisão multiclasse com significativamente menos parâmetros do que alternativas de aprendizado profundo, ao mesmo tempo em que destaca a limitação inerente dos métodos de pacote único na detecção de ataques de repetição.

O essencial

Imagine uma fábrica industrial movimentada onde as máquinas conversam entre si usando uma linguagem muito estrita e repetitiva chamada Modbus TCP. Esta linguagem é o "batimento cardíaco" de infraestruturas críticas, como redes elétricas e estações de tratamento de água. Durante muito tempo, esses sistemas estavam isolados, mas agora estão conectados à internet, tornando-os vulneráveis a hackers.

Este artigo trata da construção de um guarda de segurança minúsculo e superinteligente que fica na porta dessa fábrica, examinando cada mensagem (pacote) que passa para identificar problemas.

Aqui está a história de como eles o construíram, usando analogias simples:

1. A Ideia Antiga vs. A Nova Realidade

Anteriormente, os pesquisadores tentaram usar um método chamado SPHBI (Imagem Binária Única do Cabeçalho do Pacote) para pegar hackers em IoT (dispositivos de casa inteligente, como termostatos e câmeras).

• A Analogia da IoT: Imagine uma multidão de pessoas em um aeroporto movimentado. Todos estão vestindo roupas diferentes, carregando malas diferentes e andando em velocidades diferentes. Se você tirar uma foto dos seus "cartões de identificação" (os cabeçalhos dos pacotes), é fácil identificar a pessoa suspeita porque ela parece diferente de todos os outros. O método antigo funcionava muito bem aqui porque os "cartões de identificação" eram todos únicos.
• A Realidade da OT: Agora, imagine um chão de fábrica onde cada trabalhador veste exatamente o mesmo uniforme, carrega exatamente a mesma caixa de ferramentas e anda no mesmo ritmo exato. Se você tirar uma foto dos seus cartões de identificação, todos parecem idênticos.
• O Problema: Quando os pesquisadores tentaram o método antigo na rede da fábrica (Modbus), ele falhou miseravelmente. Obteve apenas 51,8% de precisão (basicamente um chute). Os "uniformes" eram perfeitos demais; os hackers estavam se escondendo à vista de todos porque os cartões de identificação padrão não mostravam nenhuma diferença entre um trabalhador bom e um mau.

2. A Solução: Olhando Mais Profundo na Caixa de Ferramentas

Os pesquisadores perceberam que, para pegar os bandidos na fábrica, não podiam apenas olhar para o cartão de identificação (o cabeçalho da rede). Eles precisavam espiar dentro da caixa de ferramentas (os dados da aplicação) que os trabalhadores carregavam.

Eles testaram cinco diferentes "profundidades" de análise dos dados:

1. Apenas o Cartão de Identificação: Falhou (51,8%).
2. Cartão de Identificação + Alça da Caixa de Ferramentas: Muito melhor (98,1%).
3. Cartão de Identificação + Alça da Caixa de Ferramentas + As Ferramentas Dentro: O melhor desempenho (94,4% de precisão para identificar tipos específicos de ataques).

A Analogia: É como um guarda de segurança que antes apenas verificava se você tinha um crachá. Mas, como todos têm o mesmo crachá, o guarda começa a verificar o que está no seu bolso. Mesmo que o bandido tenha o mesmo crachá que o trabalhador bom, ele pode estar segurando uma chave de fenda em vez de um parafusador, ou segurando-o de cabeça para baixo. Essa pequena diferença é o que o novo sistema detecta.

3. O "Cérebro Minúsculo" (O Modelo)

A maioria dos sistemas de segurança modernos usa cérebros de computador massivos e pesados (como ResNet50) que exigem servidores enormes para funcionar. Eles são como um supercomputador tentando resolver um jogo de Sudoku.

• A Abordagem deste Artigo: Eles construíram um cérebro minúsculo e leve (uma rede neural com apenas cerca de 57.000 parâmetros).
• A Metáfora: Em vez de um supercomputador, imagine uma calculadora de bolso. É incrivelmente pequena e eficiente. Pode rodar nos chips minúsculos e de baixo consumo encontrados dentro das próprias máquinas da fábrica (dispositivos de borda). É aproximadamente 430 vezes menor do que os modelos gigantes usados por outros, tornando-o perfeito para o chão de fábrica, onde espaço e energia são limitados.

4. O Que Foi Detectado (e O Que Foi Perdido)

O sistema foi testado contra 11,4 milhões de pacotes de tráfego, incluindo 8 tipos diferentes de ataques cibernéticos.

• Os Sucessos: Tornou-se um detetive mestre para 7 dos 8 tipos de ataques. Pegou hackers tentando forçar senhas, inundar o sistema com perguntas ou injetar dados falsos com mais de 94% de sucesso. Foi tão bom em detectar "Injeção de Payload" (deslizar uma ferramenta falsa na caixa de ferramentas) que a detectou 100% das vezes.
• As Limitações:
  • O Ataque de "Replay": Imagine um bandido gravando um vídeo de um trabalhador bom passando pela porta e reproduzindo-o para o guarda. Como o vídeo parece exatamente igual ao real, o guarda não consegue distinguir a diferença. O artigo admite que este sistema não consegue pegar Ataques de Replay porque ele olha apenas para uma única imagem no tempo. É necessário um sistema que observe a sequência de eventos ao longo do tempo para pegar isso.
  • O Ataque de "Atraso": Se um bandido apenas desacelera a caminhada do trabalhador, uma única imagem também não consegue ver isso.

5. O Trade-off: Falsos Alarmes vs. Ataques Perdidos

Os pesquisadores fizeram uma escolha consciente: É melhor prevenir do que remediar.

• A Estratégia: Eles ajustaram o sistema para pegar todo e qualquer ataque possível, mesmo que isso signifique ocasionalmente sinalizar um trabalhador inofensivo como suspeito.
• O Resultado: Cerca de 5,9% do tráfego normal foi sinalizado como suspeito. Em uma fábrica real, isso significa que a equipe de segurança pode ter que investigar alguns "falsos alarmes".
• Por quê? Em uma usina de energia, perder um ataque real pode causar uma explosão ou um apagão. Investigar um falso alarme é apenas um pouco de papelada. O sistema é projetado para priorizar a segurança em vez da conveniência.

Resumo

Este artigo prova que é possível construir um guarda de segurança altamente eficaz e minúsculo para redes industriais, olhando ligeiramente mais fundo nos pacotes de dados do que apenas nos cabeçalhos padrão. Embora não consiga pegar todo tipo de truque (como reproduzir vídeos antigos), é incrivelmente eficiente, pequeno o suficiente para caber em um microchip e pega quase todos os outros tipos de ataques com alta confiabilidade. Ele desloca o foco de "servidores pesados e caros" para "guardas leves, inteligentes e locais".

Resumo técnico

Resumo Técnico: Detecção de Intrusão Baseada em Imagens Binárias para Redes de Tecnologia Operacional

Declaração do Problema
As redes de Tecnologia Operacional (OT), que controlam infraestruturas críticas, estão cada vez mais interconectadas com sistemas de TI, expandindo sua superfície de ataque. Embora existam Sistemas de Detecção de Intrusão (IDS) baseados em aprendizado de máquina para OT, eles frequentemente dependem de agregação no nível de fluxo ou engenharia de características manual, introduzindo latência e limitando a portabilidade. Além disso, métodos existentes de classificação baseados em imagens, como a metodologia de Imagem Binária de Cabeçalho de Pacote Único (SPHBI), demonstraram alto sucesso em tráfego heterogêneo de IoT, mas permanecem não testados no tráfego altamente uniforme de protocolos OT como Modbus TCP. O desafio central é determinar se representações de imagem binária derivadas de cabeçalhos OT uniformes contêm informações discriminativas suficientes para classificação por pacote, e, caso contrário, quais camadas de protocolo devem ser incluídas para restaurar a detectabilidade.

Metodologia
Este estudo estende a metodologia SPHBI para tráfego Modbus TCP utilizando o conjunto de dados CIC Modbus 2023 (11,4 milhões de pacotes). A pesquisa emprega um gradiente sistemático de cinco abordagens de profundidade de protocolo para avaliar o poder discriminativo de diferentes subconjuntos de bytes:

1. Apenas Cabeçalhos TCP/IP: 18 bytes (imagem binária 12×12).
2. TCP/IP + MBAP + Código de Função (FC): 26 bytes (imagem binária 16×13).
3. TCP/IP + MBAP + FC + Operandos PDU: 30 bytes (imagem binária 16×15).
4. Apenas Camada de Aplicação: 8 bytes (imagem binária 8×8).
5. Camada de Aplicação + PDU: 12 bytes (imagem binária 12×8).

Bytes brutos dos pacotes foram reconstituídos a partir de saídas decodificadas do tshark para garantir a geração precisa de imagens binárias. Os modelos de classificação utilizam Redes Neurais Convolucionais (CNNs) leves. Classificadores binários consistem em duas camadas convolucionais com um único filtro cada (35–73 parâmetros), enquanto classificadores multiclasse usam duas camadas com 32 filtros (até 56.873 parâmetros), significativamente menores que alternativas baseadas em ResNet50.

Um componente crítico da metodologia é uma estratégia de rotulagem transparente e reproduzível. Como 94% do tráfego durante cenários de ataque consiste em polling benigno, os autores desenvolveram regras híbridas por tipo de ataque combinando janelas de tempo de logs de ataque com assinaturas no nível de protocolo (por exemplo, códigos de função específicos ou contagens de bytes) para identificar pacotes maliciosos. Este processo resultou em 10,7 milhões de pacotes normais e 642.331 pacotes de ataque distribuídos em nove classes.

Principais Resultados
Os experimentos, conduzidos com 10 sementes aleatórias e amostragem estratificada, produziram as seguintes descobertas:

• Dependência da Profundidade do Protocolo: Apenas cabeçalhos TCP/IP (Abordagem 1) alcançaram apenas 51,8% de precisão binária, confirmando que a heterogeneidade no nível de cabeçalho explorada em IoT está ausente no tráfego Modbus SCADA.
• Necessidade da Camada de Aplicação: Adicionar apenas oito bytes de informações da camada de aplicação (Abordagem 2) restaurou a precisão binária para 98,1%.
• Desempenho Multiclasse: A abordagem de melhor desempenho (2b: TCP/IP + MBAP + FC + PDU) alcançou 94,4% ± 2,2pp de precisão multiclasse com 56.873 parâmetros. Isso é aproximadamente 430 vezes menos parâmetros do que abordagens comparáveis baseadas em ResNet50.
• Detectabilidade de Ataques: Sete dos oito tipos de ataques detectáveis (Força Bruta, Empilhamento de Quadros, FDI, Reconhecimento, Inundação de Consultas, Injeção de Payload e tráfego Normal) alcançaram recall acima de 94%.
• Limites Estruturais: Ataques de replay (7,9% de recall) e Manipulação de Comprimento (3,3% de recall) permaneceram amplamente indetectáveis. O artigo atribui isso ao paradigma de pacote único: pacotes retransmitidos são idênticos ao tráfego legítimo, e ataques de manipulação de comprimento careciam de amostras suficientes para treinamento.
• Eficiência de Parâmetros: Classificadores binários exigiram apenas 38 a 73 parâmetros. A inclusão de operandos PDU melhorou significativamente o desempenho multiclasse (por exemplo, permitindo 100% de recall para detecção de FDI), enquanto cabeçalhos TCP/IP não forneceram melhoria estatisticamente significativa sobre dados apenas da camada de aplicação quando dados de treinamento suficientes estavam disponíveis.

Significado e Alegações
O artigo alega quatro contribuições primárias:

1. Primeira Aplicação em OT: Apresenta a primeira aplicação de aprendizado profundo baseado em imagens binárias de pacote único para tráfego Modbus TCP, demonstrando que detecção eficaz é alcançável com uma fração do custo computacional de modelos de aprendizado profundo existentes.
2. Quantificação da Profundidade do Protocolo: Quantifica sistematicamente a contribuição discriminativa das camadas de protocolo, provando que, embora cabeçalhos TCP/IP sejam insuficientes para OT, um conjunto mínimo de bytes da camada de aplicação (8 bytes) é necessário e suficiente para classificação binária de alta precisão.
3. Rotulagem Reproduzível: Fornece uma metodologia transparente para rotular o conjunto de dados CIC Modbus 2023, abordando a falta de rótulos no nível de pacote neste benchmark público.
4. Limites de Detecção: Define explicitamente os limites da detecção por pacote único, identificando que ataques de replay e de resposta com atraso são estruturalmente indetectáveis sem análise temporal ou baseada em sequência.

Os autores posicionam este trabalho como um passo em direção à implantação em borda com restrições de recursos, onde modelos leves podem realizar triagem por pacote na fronteira da rede entre mestres SCADA e dispositivos de campo. Eles observam que, embora a abordagem seja altamente eficaz para assinaturas de ataque específicas, um IDS OT abrangente exigiria combinar esta classificação por pacote com métodos temporais complementares para abordar as limitações inerentes da análise de pacote único.