Software-Defined Networking Approaches for Intrusion Response in Industrial Control Systems

Etxezarreta, Xabier

dc.rights.license	Attribution 4.0 International	*
dc.contributor.advisor	Garitano, Iñaki
dc.contributor.advisor	Iturbe Urretxa, Mikel
dc.contributor.author	Etxezarreta, Xabier
dc.date.accessioned	2025-05-14T09:31:53Z
dc.date.available	2025-05-14T09:31:53Z
dc.date.issued	2024
dc.date.submitted	2024-10-28
dc.identifier.other	https://katalogoa.mondragon.edu/janium-bin/janium_login_opac.pl?find&ficha_no=188119	en
dc.identifier.uri	https://hdl.handle.net/20.500.11984/7003
dc.description.abstract	Since the introduction of the first Programmable Logic Controllers (PLCs) in the 1960s, Industrial Control Systems (ICSs) have evolved vastly. From the primitive isolated setups, ICSs have progressively become more interconnected, forming the complex networked environments known today as industrial networks. These systems are responsible for a wide range of physical processes, including those belonging to Critical Infrastructures (CIs). As a result, securing industrial networks is critical to the well-being of modern societies. Traditional network architectures pose significant challenges in securing industrial networks due to several reasons. Firstly, they exhibit limited automation, heavily relying on manual configuration processes which are slow to adapt and prone to human error, thereby hindering dynamic security adjustments in ICS environments. Secondly, these architectures employ device-centric management, leading to intricate configurations and restricted visibility across the entire network, complicating the identification and isolation of security threats. Thirdly, they lack centralized control, as the control plane and data plane are tightly coupled within network devices, impeding a holistic security posture and making it complex to enforce consistent network-wide configurations. To overcome these limitations, Software-Defined Networking (SDN) emerges as a solution to address the challenges faced by traditional network architectures in industrial networks. SDN transforms network management by separating the control plane (network intelligence) from the data plane (data forwarding). This separation enables centralized, programmatic control over the network, offering an opportunity to enhance ICS security. In addition, this centralized approach provides real-time and network-wide visibility and programmability, which is useful for network monitoring, threat detection, and threat response capabilities. The main objective of this thesis is to demonstrate the feasibility of using SDN to develop intrusion response strategies specifically tailored to the ICS domain. This thesis aims to fill this gap by presenting two main contributions: (1) a proactive network packet attribute randomization approach against reconnaissance attacks, and (2) a proactive and adaptive network packet replication approach that mitigates False Data Injection (FDI) attacks. We experimentally validate the approaches by building ICS networks in test environments and analyzing the data generated by them. Based on this need to conduct ICS security research in a rigorous and reproducible environment, we analyze the feasibility of the MiniCPS framework for this purpose.	en
dc.description.abstract	1960ko hamarkadan lehenengo Kontrolatzaile Logiko Programagarriak (PLCak) sortu zirenetik, Industria Kontrolerako Sistemak (ICSak) asko eboluzionatu dute. Konfigurazio isolatu eta primitiboetatik hasita, gero eta interkonektatuagoak bihurtu dira, poliki-poliki gaur egun ezagutzen ditugun sare industrial konplexuak osatuz. ICSek prozesu fisiko ugari kontrolatzen dituztenez, Azpiegitura Kritikoak (CI) barne, sare industrialen segurtasuna bermatzea funtsezkoa da gizartearen ongizaterako. Sare-arkitektura tradizionalek erronka handiak aurkezten dituzte sare industrialen segurtasuna bermatzeko hainbat arrazoirengatik. Lehenik eta behin, automatizazio mugatua dute, neurri handi batean eskuzko konfigurazio-prozesuetan oinarritzen dira, aldaketa moteletara eta erroreen menpe egonez. Bigarrenik, arkitektura hauek gailuetan zentratutako kudeaketa erabiltzen dute, eta horrek konfigurazio konplexuak eta sare osoaren ikusgarritasun mugatua dakartza, segurtasunmehatxuen identifikazioa eta isolamendua zailduz. Hirugarrenik, ez dute kontrol zentralizaturik, kontrol-planoa eta datu-planoa sare-gailuetan loturik daudelako, eta horrek segurtasun-ikuspegi holistikoa eragoztu eta konfigurazioak sare osoan ezartzea konplexu bihurtzen ditu. Muga hauek gainditzeko, Softwarez Definituriko Sareak (SDN) irtenbide gisa agertzen dira sare industrialetan sare arkitektura tradizionalek dituzten erronkei aurre egiteko. SDNk sarearen kudeaketa eraldatzen du kontrol-planoa (sarearen inteligentzia) eta datu-planoa (datuen birbidalketa) banatuz. Banaketa honek sarearen gaineko kontrol zentralizatua eta programatikoa ahalbidetzen du, ICSen segurtasuna bermatzeko aukera emanez. Gainera, sarearen ikuspegi zentralizatuak sare osoko ikusgarritasuna eta programagarritasuna hobetzen ditu, sarearen monitorizaziorako, mehatxuen detekziorako eta mehatxuen erantzunerako gaitasuna emanez. Tesi honen helburu nagusia SDN erabiltzearen bideragarritasuna erakustea da, ICSetan erasoen aurkako erantzun-estrategiak garatzeko. Tesi honek bi ekarpen nagusi aurkezten ditu: (1) errekonozimendu erasoen aurkako sarepaketeen atributuen ausazko aldaketa proaktiboa, eta (2) sare-paketeen erreplikazio proaktibo eta adaptatiboa, Datu Faltsuen Injekzio (FDI) erasoak mitigatzeko. Proposamen hauek esperimentalki balioztatzen dira ICS sareak probatzeko inguruneak eraikiz eta hauek sorturiko datuak aztertuz. ICS segurtasun ikerketa ingurune fidagarri eta erreproduzigarrian egitearen beharra ikusita, MiniCPS herramintaren bideragarritasuna ere aztertzen dugu helburu horretarako.	eu
dc.description.abstract	Desde la introducci´on de los primeros Controladores L´ogicos Programables (PLCs) en la d´ecada de 1960, los Sistemas de Control Industrial (ICS) han evolucionado enormemente. De configuraciones aisladas y primitivas, los ICS se han vuelto cada vez m´as interconectados, formando los complejos entornos en red conocidos hoy como redes industriales. Estos sistemas son responsables de una amplia gama de procesos f´ısicos, incluidos aquellos pertenecientes a Infraestructuras Cr´ıticas (CI). En consecuencia, la seguridad de las redes industriales es fundamental para el bienestar de las sociedades modernas. Las arquitecturas de red tradicionales presentan desaf´ıos significativos para asegurar las redes industriales por varias razones. En primer lugar, muestran una automatizaci´on limitada, dependiendo en gran medida de procesos de configuraci ´on manual que son lentos para adaptarse y propensos a errores humanos, lo que obstaculiza los ajustes de seguridad din´amicos en entornos ICS. En segundo lugar, estas arquitecturas emplean una gesti´on centrada en dispositivos, lo que conduce a configuraciones intrincadas y visibilidad restringida en toda la red, complicando la identificaci´on y aislamiento de amenazas de seguridad. En tercer lugar, carecen de control centralizado, ya que el plano de control y el plano de datos est´an estrechamente acoplados dentro de los dispositivos de red, impidiendo una postura de seguridad hol´ıstica y haciendo compleja la aplicaci´on de configuraciones consistentes en toda la red. Para superar estas limitaciones, las Redes Definidas por Software (SDN) emergen como una soluci´on para abordar los desaf´ıos que enfrentan las arquitecturas de red tradicionales en las redes industriales. SDN transforma la gesti´on de la red al separar el plano de control (inteligencia de red) del plano de datos (envio de datos). Esta separaci´on permite un control centralizado y program´atico sobre la red, ofreciendo una oportunidad para mejorar la seguridad de los ICS. Adem´as, este enfoque centralizado proporciona una visibilidad y programabilidad mejoradas en tiempo real y en toda la red, lo cual es ´util para la monitorizaci´on de la red, la detecci´on de amenazas y las capacidades de respuesta a amenazas. El objetivo principal de esta tesis es demostrar la factibilidad de usar SDN para desarrollar estrategias de respuesta a intrusiones espec´ıficamente adaptadas al dominio de ICS. Esta tesis pretende llenar este vac´ıo presentando dos contribuciones principales: (1) un enfoque proactivo de aleatorizaci´on de atributos de paquetes de red contra ataques de reconocimiento, y (2) un enfoque proactivo y adaptativo de replicaci´on de paquetes de red que mitiga ataques de Inyecci´on de Datos Falsos (FDI). Los enfoques son validados experimentalmente construyendo redes ICS en entornos de prueba y analizando los datos generados por ellas. Debido a la necesidad de llevar a cabo investigaciones de seguridad de ICS en un entorno riguroso y reproducible, analizamos la factibilidad de MiniCPS para este prop´osito.	es
dc.format.extent	194 p.	en
dc.language.iso	eng	en
dc.publisher	Mondragon Unibertsitatea. Goi Eskola Politeknikoa	en
dc.rights	© Xabier Etxezarreta Argarate	en
dc.rights.uri	http://creativecommons.org/licenses/by/4.0/	*
dc.title	Software-Defined Networking Approaches for Intrusion Response in Industrial Control Systems	en
dcterms.accessRights	http://purl.org/coar/access_right/c_abf2	en
local.description.responsability	Presidencia: Per Magnus Almgren (Chalmers University of Technology); Vocalía: Roberto Magán Carrión (Universidad de Granada); Vocalía: Cristina Alcaraz Tello (Universidad de Málaga); Vocalía: Jon Matías Fraile (Keynetic Technologies); Secretaría: Urko Zurutuza Orteaga (Mondragon Unibertsitatea)	es
local.identifier.doi	https://doi.org/10.48764/nphm-7c96
oaire.format.mimetype	application/pdf	en
oaire.file	$DSPACE\assetstore	en
oaire.resourceType	http://purl.org/coar/resource_type/c_db06	en
oaire.version	http://purl.org/coar/version/c_970fb48d4fbd8a85	en