Protecting Network Based Control Systems from Denial of Service Attacks

Name: Hakem Beitollahi

When: 23/04/2012 17:00
Language: en

Where: aula L, 00.24, Kasteelpark Arenberg 10, 3001 Heverlee

Prof. dr. ir. Geert Deconinck

Dutch version below 

Critical infrastructure systems (e.g., power grid, water supply network, telecommunication systems) are vital systems for our daily lives. These systems typically are controlled and managed by SCADA (supervisory control and data acquisition) systems. Today SCADA servers communicate through the Internet. Availability of controller servers and plant servers, latency and packet loss rate are critical factors in these network-basedcontrol systems. On the other hand, distributed denial of service (DDoS) attacks are one of the major threats against availability in network based control system. These attacks may result in a significant packet loss or a high packet latency. These attacks may cause a controller serveror a plant server to become unavailable. In fact, a DDoS attack againstSCADA systems of these critical infrastructure systems can disturb the daily lives of many people and can cause significant damages.

This dissertation proposes novel techniques to handle DDoS attacks in these systems. Fosel (Filtering with the help of an Overlay SEcurity Layer), Feecod (a FEEdback-based COntrol technique against DDoS attacks), Ferris wheel (a ring-based onion circuit to enable hidden services in overlay networks) and ConnectionScore are innovation techniques that this dissertation proposes.

Furthermore, in this dissertation, we classify DDoS attacks, investigate the origin of these attacks, and show the trends for future attack types. Next, we analyze and evaluate well-known countermeasure techniques. This thesis enumerates the strengths and challenges (technical, deployability, cost, security holes, etc.) of each technique in detail and whenever possible it provides a countermeasure against the defense approach from the attacker’s point of view.

Our novel techniques are evaluated through either empirical experiments, simulation results or analytically. The results show that these new techniques significantly improve the state of the art against DDoS attacks.

Bescherming van Netwerkgebaseerde Controlesystemen tegen Denial of Service Attacks

Belangrijke nutsvoorzieningen (zoals, elektriciteit, water, telecommunicatie) zijn van vitaal belang in ons dagelijks leven. Deze worden meestal bestuurd en beheerd door SCADA-systemen (Supervisory Control And Data Acquisition). Weldra communiceren SCADA servers via internet. Beschikbaarheid van lokale en centrale servers, communicatie-vertraging en het verlies van datapakketten zijn kritische factoren in deze netwerk-gebaseerde besturingssystemen. Aan de andere kant zijn DDoS-aanvallen (distributed denial of service) een grote bedreiging van de beschikbaarheid van netwerk gebaseerde besturingssystemen. Deze aanvallen leiden tot een aanzienlijk pakketverlies of grote pakketvertraging. Ook kunnen ze er voor zorgen dat een lokale of centrale server onbeschikbaar wordt. Een DDoS-aanval tegen deze nutsvoorzieningen met SCADA-systemen kan het dagelijks leven van veel mensen verstoren en kan leiden tot aanzienlijke schade.

Dit proefschrift stelt nieuwe technieken voor om met DDoS-aanvallen op deze systemen om te gaan. Dit doctoraat stelt Fosel (Filtering with the help of an Overlay SEcurity Layer), Feecod (a FEEdback-based COntrol technique against DDoS attacks), Ferris wheel (a ring-based onion circuit to enable hidden services in overlay networks) en ConnectionScore voor als de innovatieve technieken.

Verder klasseert dit proefschrif DDoS-aanvallen, onderzoekt het de oorsprong van deze aanvallen, en wijst het trends aan voor toekomstige aanvalstypes. Vervolgens analyseert en evalueert het bekende verdedigingsmaatregelen. Het doctoraat geeft in detail een opsomming van de sterktes en uitdagingen (techniek, inzetbaarheid, kosten, gaten in de beveiliging, enz.) van elke verdedigingstechniek en, als het mogelijk is, bespreekt het een tegenaanval.

Het doctoraat evalueert onze nieuwe technieken zowel empirisch als analytisch of via simulatie. De resultaten tonen aan dat dankzij onze nieuwetechnieken DDoS aanvallen beter kunnen weerstaan worden.

• Prof. dr. ir. Geert Deconinck (promotor)
• Prof. dr. Carlo Vandecasteele (voorzitter/chairman)
• Prof. dr. ir. Bart Preneel (secretaris/secretary)
• Prof. dr. ir. Bart De Decker
• Prof. dr. ir. Yolande Berbers
• Prof. dr. Ettore Bompard , University Politecnico di Torino