2026-04-21T19:40:45Zhttps://ebiltegia.mondragon.edu/oai/requestoai:ebiltegia.mondragon.edu:20.500.11984/70032025-05-15T06:15:31Zcom_20.500.11984_460col_20.500.11984_469
Etxezarreta, Xabier
2025-05-14T09:31:53Z
2025-05-14T09:31:53Z
2024
https://katalogoa.mondragon.edu/janium-bin/janium_login_opac.pl?find&ficha_no=188119
https://hdl.handle.net/20.500.11984/7003
Since the introduction of the first Programmable Logic Controllers (PLCs)
in the 1960s, Industrial Control Systems (ICSs) have evolved vastly. From the
primitive isolated setups, ICSs have progressively become more interconnected,
forming the complex networked environments known today as industrial networks.
These systems are responsible for a wide range of physical processes, including
those belonging to Critical Infrastructures (CIs). As a result, securing industrial
networks is critical to the well-being of modern societies.
Traditional network architectures pose significant challenges in securing industrial
networks due to several reasons. Firstly, they exhibit limited automation,
heavily relying on manual configuration processes which are slow to adapt and
prone to human error, thereby hindering dynamic security adjustments in ICS
environments. Secondly, these architectures employ device-centric management,
leading to intricate configurations and restricted visibility across the entire network,
complicating the identification and isolation of security threats. Thirdly,
they lack centralized control, as the control plane and data plane are tightly coupled
within network devices, impeding a holistic security posture and making it
complex to enforce consistent network-wide configurations.
To overcome these limitations, Software-Defined Networking (SDN) emerges
as a solution to address the challenges faced by traditional network architectures
in industrial networks. SDN transforms network management by separating the
control plane (network intelligence) from the data plane (data forwarding). This
separation enables centralized, programmatic control over the network, offering an
opportunity to enhance ICS security. In addition, this centralized approach provides
real-time and network-wide visibility and programmability, which is useful
for network monitoring, threat detection, and threat response capabilities.
The main objective of this thesis is to demonstrate the feasibility of using SDN
to develop intrusion response strategies specifically tailored to the ICS domain.
This thesis aims to fill this gap by presenting two main contributions: (1) a proactive
network packet attribute randomization approach against reconnaissance attacks,
and (2) a proactive and adaptive network packet replication approach that
mitigates False Data Injection (FDI) attacks. We experimentally validate the approaches
by building ICS networks in test environments and analyzing the data
generated by them. Based on this need to conduct ICS security research in a
rigorous and reproducible environment, we analyze the feasibility of the MiniCPS
framework for this purpose.
1960ko hamarkadan lehenengo Kontrolatzaile Logiko Programagarriak
(PLCak) sortu zirenetik, Industria Kontrolerako Sistemak (ICSak)
asko eboluzionatu dute. Konfigurazio isolatu eta primitiboetatik hasita, gero eta
interkonektatuagoak bihurtu dira, poliki-poliki gaur egun ezagutzen ditugun sare
industrial konplexuak osatuz. ICSek prozesu fisiko ugari kontrolatzen dituztenez,
Azpiegitura Kritikoak (CI) barne, sare industrialen segurtasuna bermatzea
funtsezkoa da gizartearen ongizaterako.
Sare-arkitektura tradizionalek erronka handiak aurkezten dituzte sare industrialen
segurtasuna bermatzeko hainbat arrazoirengatik. Lehenik eta behin, automatizazio
mugatua dute, neurri handi batean eskuzko konfigurazio-prozesuetan oinarritzen
dira, aldaketa moteletara eta erroreen menpe egonez. Bigarrenik, arkitektura
hauek gailuetan zentratutako kudeaketa erabiltzen dute, eta horrek konfigurazio
konplexuak eta sare osoaren ikusgarritasun mugatua dakartza, segurtasunmehatxuen
identifikazioa eta isolamendua zailduz. Hirugarrenik, ez dute kontrol
zentralizaturik, kontrol-planoa eta datu-planoa sare-gailuetan loturik daudelako,
eta horrek segurtasun-ikuspegi holistikoa eragoztu eta konfigurazioak sare osoan
ezartzea konplexu bihurtzen ditu.
Muga hauek gainditzeko, Softwarez Definituriko Sareak (SDN) irtenbide gisa
agertzen dira sare industrialetan sare arkitektura tradizionalek dituzten erronkei
aurre egiteko. SDNk sarearen kudeaketa eraldatzen du kontrol-planoa (sarearen
inteligentzia) eta datu-planoa (datuen birbidalketa) banatuz. Banaketa honek
sarearen gaineko kontrol zentralizatua eta programatikoa ahalbidetzen du, ICSen
segurtasuna bermatzeko aukera emanez. Gainera, sarearen ikuspegi zentralizatuak
sare osoko ikusgarritasuna eta programagarritasuna hobetzen ditu, sarearen
monitorizaziorako, mehatxuen detekziorako eta mehatxuen erantzunerako gaitasuna
emanez.
Tesi honen helburu nagusia SDN erabiltzearen bideragarritasuna erakustea
da, ICSetan erasoen aurkako erantzun-estrategiak garatzeko. Tesi honek bi
ekarpen nagusi aurkezten ditu: (1) errekonozimendu erasoen aurkako sarepaketeen
atributuen ausazko aldaketa proaktiboa, eta (2) sare-paketeen erreplikazio
proaktibo eta adaptatiboa, Datu Faltsuen Injekzio (FDI) erasoak mitigatzeko.
Proposamen hauek esperimentalki balioztatzen dira ICS sareak probatzeko
inguruneak eraikiz eta hauek sorturiko datuak aztertuz. ICS segurtasun
ikerketa ingurune fidagarri eta erreproduzigarrian egitearen beharra ikusita,
MiniCPS herramintaren bideragarritasuna ere aztertzen dugu helburu horretarako.
Desde la introducci´on de los primeros Controladores L´ogicos Programables
(PLCs) en la d´ecada de 1960, los Sistemas de Control Industrial (ICS) han
evolucionado enormemente. De configuraciones aisladas y primitivas, los ICS se
han vuelto cada vez m´as interconectados, formando los complejos entornos en red
conocidos hoy como redes industriales. Estos sistemas son responsables de una
amplia gama de procesos f´ısicos, incluidos aquellos pertenecientes a Infraestructuras
Cr´ıticas (CI). En consecuencia, la seguridad de las redes industriales es
fundamental para el bienestar de las sociedades modernas.
Las arquitecturas de red tradicionales presentan desaf´ıos significativos para
asegurar las redes industriales por varias razones. En primer lugar, muestran
una automatizaci´on limitada, dependiendo en gran medida de procesos de configuraci
´on manual que son lentos para adaptarse y propensos a errores humanos,
lo que obstaculiza los ajustes de seguridad din´amicos en entornos ICS. En segundo
lugar, estas arquitecturas emplean una gesti´on centrada en dispositivos,
lo que conduce a configuraciones intrincadas y visibilidad restringida en toda la
red, complicando la identificaci´on y aislamiento de amenazas de seguridad. En
tercer lugar, carecen de control centralizado, ya que el plano de control y el plano
de datos est´an estrechamente acoplados dentro de los dispositivos de red, impidiendo
una postura de seguridad hol´ıstica y haciendo compleja la aplicaci´on de
configuraciones consistentes en toda la red.
Para superar estas limitaciones, las Redes Definidas por Software (SDN) emergen
como una soluci´on para abordar los desaf´ıos que enfrentan las arquitecturas
de red tradicionales en las redes industriales. SDN transforma la gesti´on de la
red al separar el plano de control (inteligencia de red) del plano de datos (envio
de datos). Esta separaci´on permite un control centralizado y program´atico
sobre la red, ofreciendo una oportunidad para mejorar la seguridad de los ICS.
Adem´as, este enfoque centralizado proporciona una visibilidad y programabilidad
mejoradas en tiempo real y en toda la red, lo cual es ´util para la monitorizaci´on
de la red, la detecci´on de amenazas y las capacidades de respuesta a amenazas.
El objetivo principal de esta tesis es demostrar la factibilidad de usar SDN
para desarrollar estrategias de respuesta a intrusiones espec´ıficamente adaptadas
al dominio de ICS. Esta tesis pretende llenar este vac´ıo presentando dos contribuciones
principales: (1) un enfoque proactivo de aleatorizaci´on de atributos de
paquetes de red contra ataques de reconocimiento, y (2) un enfoque proactivo y
adaptativo de replicaci´on de paquetes de red que mitiga ataques de Inyecci´on de
Datos Falsos (FDI). Los enfoques son validados experimentalmente construyendo
redes ICS en entornos de prueba y analizando los datos generados por ellas. Debido
a la necesidad de llevar a cabo investigaciones de seguridad de ICS en un
entorno riguroso y reproducible, analizamos la factibilidad de MiniCPS para este
prop´osito.
eng
Attribution 4.0 International
http://creativecommons.org/licenses/by/4.0/
© Xabier Etxezarreta Argarate
Software-Defined Networking Approaches for Intrusion Response in Industrial Control Systems
http://purl.org/coar/resource_type/c_db06