Automated Identification of ICS Topology and Device Types via Protocol-Agnostic Passive Monitoring

Abstract

Industrial Control Systems (ICS) form the backbone of critical infrastructure, where security requirements differ fundamentally from traditional IT domains due to the primacy of operational availability and physical safety. Maintaining visibility over device inventories and communication hierarchies is essential for resilience and defense-in-depth. However, existing asset discovery methods often rely on protocol-specific parsers or intrusive active probing, which limit scalability and risk operational disruption.

This thesis proposes a protocol-agnostic, passive monitoring framework for automated inference of ICS network topology and device types. The methodology integrates two complementary stages: (1) a graph-based structural analysis, leveraging strongly connected components (SCC) and betweenness centrality to reconstruct layered Purdue-style hierarchies, and (2) an image-based flow representation module, which transforms packet flows into multi-channel encodings (Raw, Gramian Angular Fields, Markov Transition Fields) for semantic clustering. A mimicry learning strategy extends beyond label-scarce supervision, enabling robust device-type inference under limited ground truth.

The framework is evaluated on two benchmark testbeds: ICSSIM and SWaT. Results show accurate recovery of hierarchical segmentation and fine-grained clustering of device communication patterns. Stability is demonstrated under new-node additions, where attacker or replacement hosts are correctly positioned within the inferred hierarchy without cross-layer violations. Robustness experiments under packet loss and payload perturbation further validate the approach, with the mimicry model maintaining superior clustering coherence compared to a purely supervised baseline.

Overall, the framework delivers scalable and interpretable ICS visibility by combining structural and behavioral perspectives. It reduces manual analysis effort, supports anomaly detection, and enables asset monitoring without protocol dependencies, thereby advancing the foundations for secure and resilient industrial network management. |본 논문은 산업제어시스템(Industrial Control Systems, ICS)의 네트워크 가시성을 확보하기 위한 새로운 수동·프로토콜 비종속적 모니터링 방법론을 제안한다. 기존 자산 탐지 기법은 프로토콜별 전용 파서나 능동적 스캐닝에 의존하므로 확장성이 제한되며, 실제 운영 환경에서는 서비스 중단 위험을 초래할 수 있다. 이를 해결하기 위해 본 연구는 별도의 사전 지식 없이 ICS 네트워크의 계층적 토폴로지와 디바이스 유형을 자동 추론하는 프로토콜 비종속적(passive, protocol-agnostic) 접근을 제시한다.

제안 프레임워크는 두 단계로 구성된다. 첫째, 네트워크 트래픽을 그래프로 변환한 뒤 강연결요소(Strongly Connected Components, SCC) 와 매개 중심성(Betweenness Centrality) 을 활용하여 Purdue 모델 기반의 계층 구조를 복원한다. 둘째, 흐름 단위 트래픽을 다채널 이미지(Raw, Gramian Angular Field, Markov Transition Field) 로 변환하고, 이를 이용해 의미기반 클러스터링을 수행한다. 라벨이 부족한 환경을 고려하여 지도 학습 기반 교사 모델과 모방(mimicry) 학습 기반 학생 모델을 결합함으로써 희소 빈도 클래스의 경계를 유지하면서 일반화 성능을 향상시킨다.

ICSSIM 및 SWaT 공개 데이터셋으로 검증한 결과, 제안 방법은 계층적 구조를 정확히 복원하고 기기 유형별 의미적 분리를 효과적으로 달성하였다. 또한 신규 노드(교체 장비 또는 공격자 호스트)가 추가된 경우에도 계층 경계가 유지되었으며, 패킷 손실·페이로드 오류 등 현실적 잡음 조건에서도 모방 학습 기반 모델이 안정적인 클러스터링 성능을 보였다.

본 연구는 ICS 환경에서의 가시성 확보를 위한 실용적 프레임워크로서, 수동·프로토콜 비종속적 분석을 통해 운영자에게 해석 가능한 네트워크 가시성을 제공한다. 이를 통해 수작업 분석 부담을 경감하고, 향후 이상 탐지 및 자산 관리의 기초 역량을 강화할 수 있음을 보인다.