Binary Image-Based Intrusion Detection for Operational Technology Networks: Extending the SPHBI Methodology from IoT to Modbus TCP

本文将单包头部二进制图像（SPHBI）方法扩展至 Modbus TCP 网络，证明仅结合八字节应用层数据即可使轻量级模型以显著少于深度学习替代方案的参数实现 98.1% 的二分类准确率和 94.4% 的多分类准确率，同时突显了单包方法在检测重放攻击方面的固有局限性。

要点

想象一个繁忙的工业工厂，其中的机器使用一种非常严格、重复的语言——Modbus TCP——相互通信。这种语言是电网和污水处理厂等关键基础设施的“心跳”。长期以来，这些系统处于隔离状态，但现在它们已连接到互联网，从而使其容易受到黑客攻击。

本文讲述的是如何构建一个微小却超级智能的“安全卫士”，它驻守在工厂门口，检查每一道经过的消息（数据包），以识别潜在威胁。

以下是他们构建该系统的过程，借助简单的类比来阐述：

1. 旧思路与新现实

此前，研究人员尝试使用一种称为SPHBI（单包头部二进制图像）的方法来捕捉物联网（IoT，如恒温器和摄像头等智能家居设备）中的黑客。

• 物联网类比：想象机场里熙熙攘攘的人群。每个人穿着不同的衣服，携带不同的包，以不同的速度行走。如果你拍下他们的“身份证”（即数据包头部），很容易识别出可疑人员，因为他们看起来与众不同。旧方法在此非常有效，因为这些“身份证”都是独一无二的。
• 运营技术（OT）：现在，想象一个工厂车间，每位工人穿着完全相同的制服，携带完全相同的工具箱，并以完全相同的步伐行走。如果你拍下他们的“身份证”，它们看起来全都一模一样。
• 问题所在：当研究人员将旧方法应用于工厂网络（Modbus）时，它彻底失败了，准确率仅为51.8%（基本上等于瞎猜）。“制服”太过完美；黑客大摇大摆地混在其中，因为标准的“身份证”无法显示出好工人和坏工人之间的任何差异。

2. 解决方案：深入查看工具箱

研究人员意识到，要抓住工厂里的坏人，不能只查看“身份证”（网络头部），而必须窥探工人携带的工具箱（应用数据）内部。

他们测试了五种不同的数据“深度”：

1. 仅查看身份证：失败（51.8%）。
2. 身份证 + 工具箱把手：好得多（98.1%）。
3. 身份证 + 工具箱把手 + 内部工具：表现最佳（针对特定攻击类型的识别准确率达 94.4%）。

类比：这就像一名安保人员过去只检查你是否佩戴了徽章。但由于每个人的徽章都一样，这名安保人员开始检查你口袋里装了什么。即使坏人和好人佩戴着相同的徽章，坏人可能拿的是扳手而不是螺丝刀，或者拿反了。正是这种微小的差异被新系统捕捉到了。

3. “微型大脑”（模型）

大多数现代安全系统使用庞大、沉重的计算机“大脑”（如ResNet50），需要巨大的服务器来运行。这就像用超级计算机去解一道数独题。

• 本文的方法：他们构建了一个微小、轻量级的大脑（一个仅包含约57,000 个参数的神经网络）。
• 隐喻：与其使用超级计算机，不如想象一个袖珍计算器。它极其小巧高效。它可以运行在工厂机器内部（边缘设备）那些微小、低功耗的芯片上。它的体积大约是其他人使用的大型模型的430 分之一，使其非常适合空间和资源有限的工厂环境。

4. 它捕捉到了什么（以及遗漏了什么）

该系统针对包含 8 种不同网络攻击类型的 1140 万个数据包流量进行了测试。

• 成功之处：它成为了 8 种攻击类型中 7 种的“侦探大师”。它成功拦截了试图暴力破解密码、用问题淹没系统或注入虚假数据的黑客，成功率超过 94%。它在识别“有效载荷注入”（将假工具塞入工具箱）方面表现出色，拦截率达到 100%。
• 局限性：
  • “重放”攻击：想象一个坏人录下好工人走过门口的视频，然后播放给安保人员看。由于视频看起来与真实情况完全一致，安保人员无法区分。论文承认，该系统无法检测“重放攻击”，因为它只查看时间轴上的单个快照。要捕捉此类攻击，需要一个能够观察事件序列随时间变化的系统。
  • “延迟”攻击：如果坏人只是减慢工人的行走速度，单个快照也无法察觉这一点。

5. 权衡：误报与漏报

研究人员做出了一个明确的选择：宁可错杀，不可放过。

• 策略：他们将系统调整为捕捉所有可能的攻击，即使这意味着偶尔会将无害的工人标记为可疑。
• 结果：约**5.9%**的正常流量被标记为可疑。在真实工厂中，这意味着安全团队可能需要调查一些“误报”。
• 原因：在发电厂，漏掉一次真实攻击可能导致爆炸或停电。调查误报仅仅意味着多做一些文书工作。该系统的设计优先考虑安全而非便利。

总结

本文证明，通过比仅查看标准头部更深入地检查数据包，你可以为工业网络构建一个高效、微小的安全卫士。虽然它无法捕捉每一种诡计（例如回放旧视频），但它极其高效，小巧到可以嵌入微芯片，并且能以高可靠性捕捉几乎所有其他类型的攻击。它将重点从“庞大、昂贵的服务器”转移到了“轻量、智能、本地化的卫士”。

技术摘要

技术摘要：基于二进制图像的运营技术网络入侵检测

问题陈述
运营技术（OT）网络负责控制关键基础设施，其与信息技术（IT）系统的互联日益紧密，从而扩大了攻击面。虽然基于机器学习的入侵检测系统（IDS）已应用于 OT 领域，但它们通常依赖流级聚合或手工特征工程，这会引入延迟并限制可移植性。此外，现有的基于图像的分类方法（如单包头部二进制图像 SPHBI 方法）已在异构物联网流量中展现出高成功率，但在 Modbus TCP 等 OT 协议的高度均匀流量上尚未得到验证。核心挑战在于：确定源自均匀 OT 头部的二进制图像表示是否包含足够的判别信息以实现单包分类；若否，则需明确必须包含哪些协议层以恢复可检测性。

方法论
本研究利用 CIC Modbus 2023 数据集（包含 1140 万个数据包），将 SPHBI 方法扩展至 Modbus TCP 流量。研究采用一种系统性的、基于协议深度的五阶段梯度，以评估不同字节子集的判别能力：

1. 仅 TCP/IP 头部：18 字节（12×12 二进制图像）。
2. TCP/IP + MBAP + 功能码（FC）：26 字节（16×13 二进制图像）。
3. TCP/IP + MBAP + FC + PDU 操作数：30 字节（16×15 二进制图像）。
4. 仅应用层：8 字节（8×8 二进制图像）。
5. 应用层 + PDU：12 字节（12×8 二进制图像）。

原始数据包字节是从解码后的 tshark 输出中重构的，以确保生成准确的二进制图像。分类模型采用轻量级卷积神经网络（CNN）。二分类器由两个卷积层组成，每层各含一个滤波器（参数量为 35–73）；多分类器则使用两层，每层含 32 个滤波器（参数量高达 56,873），显著小于基于 ResNet50 的替代方案。

方法论的一个关键组成部分是透明且可复现的标注策略。由于攻击场景期间 94% 的流量为良性轮询，作者开发了结合攻击日志时间窗口与协议级特征（如特定功能码或字节计数）的混合式按攻击类型规则，以识别恶意数据包。该过程生成了涵盖九个类别的 1070 万个正常数据包和 642,331 个攻击数据包。

关键结果
实验采用 10 个随机种子和分层采样进行，得出以下发现：

• 协议深度依赖性：仅使用 TCP/IP 头部（方法 1）的二分类准确率仅为 51.8%，证实了在物联网中利用的头部级异质性在 Modbus SCADA 流量中并不存在。
• 应用层的必要性：仅增加 8 字节的应用层信息（方法 2），便将二分类准确率恢复至 98.1%。
• 多分类性能：表现最佳的方法（2b：TCP/IP + MBAP + FC + PDU）实现了 94.4% ± 2.2pp 的多分类准确率，参数量为 56,873。这大约是可比基于 ResNet50 方法的 430 分之一。
• 攻击可检测性：八种可检测的攻击类型中（暴力破解、帧堆叠、FDI、侦察、查询泛洪、载荷注入和正常流量），有七种的召回率超过 94%。
• 结构限制：重放攻击（召回率 7.9%）和长度操纵（召回率 3.3%）在很大程度上仍无法被检测。论文将此归因于单包范式：重放数据包与合法流量完全相同，而长度操纵攻击缺乏足够的样本用于训练。
• 参数效率：二分类器仅需 38 至 73 个参数。包含 PDU 操作数显著提升了多分类性能（例如，使 FDI 检测的召回率达到 100%），而在拥有充足训练数据的情况下，TCP/IP 头部相较于仅应用层数据并未提供统计学上显著的改进。

意义与主张
该论文提出了四项主要贡献：

1. 首次应用于 OT：首次将基于单包二进制图像的深度学习应用于 Modbus TCP 流量，证明了有效的检测可以在现有深度学习模型计算成本的一小部分下实现。
2. 协议深度的量化：系统量化了各协议层的判别贡献，证明虽然 TCP/IP 头部不足以用于 OT，但一组最小化的应用层字节（8 字节）对于高精度二分类既是必要的也是充分的。
3. 可复现的标注：提供了一种透明的 CIC Modbus 2023 数据集标注方法，解决了该公共基准中缺乏数据包级标注的问题。
4. 检测边界：明确定义了单包检测的局限性，指出重放和延迟响应攻击在没有时序或基于序列的分析情况下，在结构上是无法检测的。

作者将这项工作定位为迈向资源受限边缘部署的一步，在此场景下，轻量级模型可在 SCADA 主站与现场设备之间的网络边界执行单包筛查。他们指出，虽然该方法对特定攻击特征非常有效，但全面的 OT IDS 需要将这种单包分类与互补的时序方法相结合，以解决单包分析固有的局限性。