Security and privacy in the internet of things

Abstract

In the digital era of smart economies, the Internet of Things (IoT) plays a significant role in Critical Infrastructures (CIs), providing several benefits such as improved productivity, efficient operation management and self-healing. However, this rapid evolution raises severe security and privacy issues, especially in critical environments. In particular, on the one hand, IoT introduces a set of new and heterogeneous technologies that rely on the vulnerable Internet model (Transmission Control Protocol/Internet Protocol (TCP/IP) networks). On the other hand, Industrial IoT (IIoT) environments are characterised by the presence of legacy systems that are prone to a wide range of security weaknesses and vulnerabilities. For instance, industrial communication protocols, such as Modbus/TCP, Distributed Network protocol 2 (DNP3) and IEC 60870-5-104 do not include any authentication and authorisation mechanisms. Therefore, cyberattackers are able to execute unauthorised activities, such as Man In The Middle (MITM) and Denial of Service (DoS) attacks. In addition, the IIoT-based CIs are an attractive target for a growing number of cyberattackers and Advanced Persistent Threats (APTs). Characteristic APT campaigns are Industroyer (also known as Crashoverride), Stuxnet and TRITON. Finally, it is worth mentioning that IIoT is characterised by constrained computing resources that do not allow the deployment of conventional security mechanisms.Based on the aforementioned remarks, it is evident that the presence of appropriate defensive mechanisms for the IoT paradigm is necessary. Therefore, the main goal of this PhD thesis is to investigate the security and privacy issues of IoT, providing effective security solutions. After the introductory chapter to this PhD thesis (Chapter 1), the security requirements, challenges and threats are examined in Chapter 2, paying special attention to the unique characteristics and constraints of the IoT entities. In particular, a new IoT threat taxonomy is provided, utilising the Common Attack Pattern Enumeration and Classification (CAPEC) system, while also the efficiency of the existing countermeasures is analysed. It is noteworthy that both academia and industry have provided sufficient solutions, such as the encryption and authorisation mechanisms of the IoT communication protocols. However, they cannot be adopted in IIoT ecosystems due to the role of Industrial Control Systems (ICS) and Supervisory Control and Data Acquisition (SCADA) systems. Consequently, the presence of Intrusion Detection and Prevention Systems (IDPS) is necessary.According to the countermeasure analysis of Chapter 2, next, Chapter 3 focuses on intrusion detection and mitigation mechanisms. In particular, a special emphasis is given to the architectural design and specifications of IDPS. In addition, the categories of IDPS are analysed, taking full advantage of Artificial Intelligence (AI) techniques. Moreover, mitigation and resilience mechanisms like honeypots and Software-Defined Networking (SDN) are discussed. Finally, this chapter analyses the role of Security Information and Event Management (SIEM) systems in IoT, paying special attention to the normalisation and correlation of the various security events.Next, in Chapter 4, a thorough analysis of the intrusion detection and mitigation mechanisms in the smart electrical grid (or Smart Grid (SG)) follows. In particular, SG is the largest IoT application, including multiple architectural elements, such as the Advanced Metering Infrastructure (AMI), ICS/SCADA systems, substations and synchrophasors. Therefore, for each of the previous SG elements, relevant intrusion detection and mitigation solutions (such as IDPS, honeypots and SIEM) are studied in terms of their architecture and detection performance. Based on this comparative analysis, the strengths and limitations of the existing solutions are further discussed, thus guiding the implementation of the proposed SDN-enabled SIEM in the following chapter.Subsequently, Chapter 5 presents the proposed SDN-enabled SIEM, which is composed of three IDPS, namely (a) Network Flow-based IDPS (NF-IDPS), (b) Host-based IDPS (H-IDPS) and (c) Visual-based IDPS (V-IDPS). First, NF-IDPS incorporates multiple ML and DL models that can discriminate cyberattacks and anomalies against a wide range of industrial communication protocols. Next, H-IDPS can recognise operational anomalies against four SG environments: (a) hydropower plant, (b) substation, (c) power plant and (d) smart home. Finally, V-IDPS can detect Modbus/TCP cyberattacks, using visual representations and Convolutional Neural Networks (CNNs). It is worth mentioning that the proposed V-IDPS follows a self-learning approach that can re-train the pre-trained CNN during the inference mode. The security events of the previous IDPS are normalised, correlated and mitigated by the Normalisation, Correlation and Mitigation Engine (NCME). For the correlation process, custom security rules are used, while mitigation relies on the SDN controller. In particular, NCME adopts a Reinforcement Learning (RL) agent, which guides the SDN controller about the appropriate mitigation actions. Finally, NCME includes a sophisticated honeypot deployment mechanism, which relies on a honeypot security game between two players: (a) attacker(s) and (b) defender(s). For the previous honeypot security game, the Nash Equilibrium (NE) is identified, while when NE is not available based on the parameters of the game, two alternative approaches are provided: (a) maxmin-based honeypot development and AI-powered honeypot deployment. Then, after the description of the proposed detection and mitigation solutions, Chapter 6 summarises the respective evaluation results. In particular, first, a concrete evaluation framework is defined, introducing (a) the evaluation environments, (b) the datasets, (c) comparative methods and (d) the evaluation metrics. Next, the evaluation results for each component of the proposed SDN-enabled SIEM are summarised and discussed, while Appendices M-N provide a detailed comparative analysis.Finally, Chapter 7 concludes this PhD thesis, providing also potential directions for future research work in this field. In particular, after discussing the key results studied and implemented in the context of this PhD programme, next, five research directions for future work are discussed: (a) Intrusion and Anomaly Detection using Federated Learning (FL), (b) Correlation Mechanisms using Association Learning, (c) RL-based Mitigation Strategies, (d) SDN-powered recovery mechanisms using Graph Neural Networks (GNN) and (e) Explainable AI (XAI) Techniques for AI Detection and Mitigation Models.

Στη ψηφιακή εποχή των έξυπνων οικονομιών, το Διαδίκτυο των Πραγμάτων (ΔτΠ) (Internet of Things – IoT) διαδραματίζει σημαντικό ρόλο στον κύκλο ζωής των κρίσιμων υποδομών, παρέχοντας διάφορα πλεονεκτήματα, όπως η βελτιωμένη παραγωγικότητα, υπηρεσίες αυτοθεραπείας και δυνατότητες ακριβέστερου ελέγχου και διαχείρισης. Ωστόσο, η ραγδαία εξέλιξη των επικοινωνιακών συστημάτων εγείρει σοβαρά ζητήματα ασφάλειας, κυρίως σε βιομηχανικά οικοσυστήματα. Ειδικότερα, το ΔτΠ εισάγει ένα σύνολο ετερογενών τεχνολογιών, οι οποίες χρησιμοποιούν το συμβατικό μοντέλο του διαδικτύου (Internet), το όποιο χαρακτηρίζεται από ένα μεγάλο εύρος ευπαθειών. Επίσης, τα βιομηχανικά οικοσυστήματα χαρακτηρίζονται από την παρουσία συμβατικών συστημάτων, τα οποία είναι επιρρεπή σε ένα ευρύ φάσμα αδυναμιών και ευπαθειών ασφάλειας. Για παράδειγμα, τα βιομηχανικά πρωτόκολλα επικοινωνίας δεν περιλαμβάνουν μηχανισμούς πιστοποίησης ταυτότητας και εξουσιοδότησης. Επομένως, πιθανοί επιτιθέμενοι έχουν τη δυνατότητα να εκτελέσουν επιθέσεις άρνησης υπηρεσιών (Denial of Service – DoS) και «Ανθρώπου Στη Μέση» (Man In The Middle - MITM). Επίσης, οι κρίσιμες υποδομές αποτελούν έναν ελκυστικό στόχο για έναν αυξανόμενο αριθμό κυβερνοεπιτιθέμενων, οι οποίοι δύνανται να σχεδιάζουν και να εκτελούν προγραμματισμένα προηγμένες επίμονες απειλές (Advanced Persistent Threats - APT). Χαρακτηριστικά παραδείγματα APT αποτελούν οι εκστρατείες: Industroyer, Stuxnet και TRITON. Τέλος, αξίζει να σημειωθεί πως το ΔτΠ χαρακτηρίζεται από περιορισμένους υπολογιστικούς πόρους, οι οποίοι δεν επιτρέπουν την ανάπτυξη συμβατικών μηχανισμών ασφάλειας.Με βάση τις προαναφερθείσες παρατηρήσεις, είναι προφανής η απαραίτητη παρουσία κατάλληλων μηχανισμών ασφάλειας για το ΔτΠ. Συνεπώς, ο κύριος στόχος της παρούσας διδακτορικής διατριβής είναι η διερεύνηση των ζητημάτων ασφάλειας και ιδιωτικότητας στο ΔτΠ, παρέχοντας αποτελεσματικές λύσεις ασφάλειας. Επομένως, μετά το Κεφάλαιο 1, το οποίο αποτελεί την εισαγωγή στην παρούσα διδακτορική διατριβή, παρουσιάζοντας τους στόχους, τη μεθοδολογία, τη συνεισφορά και τη δομή της εργασίας, οι απαιτήσεις, προκλήσεις και οι απειλές ασφάλειας στο οικοσύστημα του ΔτΠ εξετάζονται αναλυτικά στο Κεφάλαιο 2, δίνοντας ιδιαίτερη προσοχή στα ιδιαίτερα χαρακτηριστικά και τους περιορισμούς των οντοτήτων στο οικοσύστημα του ΔτΠ. Συγκεκριμένα, παρέχεται μια νέα ταξινόμηση των απειλών του ΔτΠ, αξιοποιώντας το σύστημα (Common Attack Pattern Enumeration and Classification - CAPEC), ενώ αναλύεται επίσης η αποτελεσματικότητα των υφιστάμενων αντιμέτρων. Αξίζει να σημειωθεί ότι τόσο η ακαδημαϊκή κοινότητα όσο και η βιομηχανία έχουν αναπτύξει αποτελεσματικές λύσεις ασφάλειας, όπως οι μηχανισμοί κρυπτογράφησης και εξουσιοδότησης των πρωτοκόλλων επικοινωνίας του ΔτΠ. Ωστόσο, οι υφιστάμενοι μηχανισμοί ασφάλειας δεν έχουν τη δυνατότητα να υιοθετηθούν πλήρως σε βιομηχανικά περιβάλλοντα λόγω του αναγκαίου ρόλου των Συστημάτων Βιομηχανικού Ελέγχου (Industrial Control Systems - ICS) και των Συστημάτων Εποπτικού Ελέγχου και Συλλογής Δεδομένων (Supervision Control And Data Acquisition - SCADA). Κατά συνέπεια, η παρουσία Συστημάτων Ανίχνευσης και Πρόληψης Εισβολών (ΣΑΠΕ) (Intrusion Detection and Prevention Systems - IDPS) είναι απαραίτητη.Με βάση την ανάλυση των αμυντικών μηχανισμών στο προηγούμενο κεφάλαιο, στη συνέχεια το Κεφάλαιο 3 επικεντρώνεται στην ανίχνευση και πρόληψη εισβολών. Ακριβέστερα, διερευνάται το αρχιτεκτονικό μοντέλο και οι προδιαγραφές των συστημάτων ΣΑΠΕ, αναλύοντας τις κατηγορίες τους με βάση τις μεθόδους ανίχνευσης και την τοποθέτηση τους. Επίσης, ιδιαίτερη έμφαση δίνεται στις τεχνικές Τεχνητής Νοημοσύνης (Artificial Intelligence – AI), οι οποίες δύνανται να εφαρμοστούν από τα συστήματα ΣΑΠΕ για την αναγνώριση κυβερνοεπιθέσεων και ανωμαλιών. Επιπλέον, αναλύονται μηχανισμοί πρόληψης εισβολών, όπως οι παγίδες εισβολών (honeypots) και οι μηχανισμοί καθοριζόμενοι από λογισμικό (Software-Defined Networking - SDN). Τέλος, στο συγκεκριμένο κεφάλαιο αναλύεται ο ρόλος των Συστημάτων Διαχείρισης Πληροφοριών και Συμβάντων ασφάλειας (ΣΔΠΣΑ) (Security Information and Event Management -SIEM) στα οικοσυστήματα ΔτΠ, εστιάζοντας στις μεθόδους κανονικοποίησης και συσχέτισης των διαφόρων συμβάντων ασφάλειας. Στη συνέχεια, στο Κεφάλαιο 4, ακολουθεί μια διεξοδική ανάλυση των μηχανισμών ανίχνευσης και πρόληψη εισβολών σε περιβάλλοντα Έξυπνων Δικτύων Ηλεκτροδότησης (ΕΔΗ) (Smart Grid - SG). Συγκεκριμένα, τα συστήματα ΕΔΗ αποτελούν τη μεγαλύτερη εφαρμογή του ΔτΠ, περιλαμβάνοντας πολλαπλά αρχιτεκτονικά συστατικά, όπως η Προηγμένες Υποδομές Μέτρησης (Advanced Metering Infrastructure - AMI), τα συστήματα βιομηχανικού ελέγχου, οι υποσταθμοί και οι συγχρονιστές. Συνεπώς, για καθένα από τα προηγούμενα αρχιτεκτονικά στοιχεία των συστημάτων ΕΔΗ μελετώνται σχετικές λύσεις ανίχνευσης και πρόληψης εισβολών (όπως ΣΑΠΕ και παγίδες εισβολών), εστιάζοντας στην αρχιτεκτονική και την απόδοση τους. Επομένως, με βάση αυτή τη συγκριτική ανάλυση, διερευνώνται περαιτέρω τα πλεονεκτήματα και οι περιορισμοί των υφιστάμενων λύσεων, καθοδηγώντας έτσι την υλοποίηση του προτεινόμενου ΣΔΠΣΑ με δυνατότητες καθοριζόμενου λογισμικού και τεχνητής νοημοσύνης στο επόμενο κεφάλαιο.Στη συνέχεια, στο Κεφάλαιο 5 παρουσιάζεται το προτεινόμενο ΣΔΠΣΑ, το οποίο αποτελείται από τρία ΣΑΠΕ: (α) ΣΑΠΕ με βάση δικτυακές ροές, (β) ΣΑΠΕ μεμονωμένων συστημάτων και (γ) ΣΑΠΕ με δυνατότητες οπτικοποίησης. Αρχικά, το πρώτο ΣΑΠΕ ενσωματώνει πολλαπλά μοντέλα μηχανικής και βαθιάς μάθησης, τα οποία δύνανται να διακρίνουν κυβερνοεπιθέσεις και ανωμαλίες έναντι ενός ευρέος φάσματος βιομηχανικών πρωτοκόλλων επικοινωνίας. Στη συνέχεια το δεύτερο ΣΑΠΕ μπορεί να αναγνωρίσει λειτουργικές ανωμαλίες έναντι τεσσάρων περιβαλλόντων ΕΔΗ: (α) υδροηλεκτρικό εργοστάσιο, (β) υποσταθμός, (γ) σταθμός παραγωγής ηλεκτρικής ενέργειας και (δ) έξυπνο σπίτι. Τέλος, το ΣΑΠΕ με δυνατότητες οπτικοποίησης δύναται να ανιχνεύσει κυβερνοεπιθέσεις κατά του πρωτοκόλλου επικοινωνίας (Modbus/TCP), χρησιμοποιώντας οπτικές αναπαραστάσεις και συνεπτυγμένα νευρωνικά δίκτυα. Αξίζει να σημειωθεί ότι το προτεινόμενο ΣΑΠΕ με δυνατότητες οπτικοποίησης ακολουθεί μια προσέγγιση αυτοεκμάθησης, η οποία δύναται να επανεκπαιδεύει το προ-εκπαιδευμένο συνεπτυγμένο νευρωνικό δίκτυο κατά τη διάρκεια της λειτουργίας προβλέψεων σε πραγματικό χρόνο. Τα συμβάντα ασφάλειας των προηγουμένων ΣΑΠΕ κανονικοποιούνται, συσχετίζονται και μετριάζονται από τη Μηχανή Κανονικοποίησης, Συσχέτισης και Μετριασμού (ΜΚΣΜ). Συγκεκριμένα, για τη διαδικασία συσχέτισης χρησιμοποιούνται προσαρμοσμένοι κανόνες ασφάλειας, ενώ ο μετριασμός βασίζεται στην τεχνολογία καθοριζόμενη από λογισμικό. Συγκεκριμένα, η ΜΚΣΜ υιοθετεί έναν πράκτορα ενισχυτικής μάθησης, ο οποίος καθοδηγεί την τεχνολογία καθοριζόμενη από λογισμικό σχετικά με τις κατάλληλες αμυντικές ενέργειες. Τέλος, η ΜΚΣΜ περιλαμβάνει έναν εξελιγμένο μηχανισμό ανάπτυξης παγίδων εισβολών, ο οποίος βασίζεται σε ένα παιχνίδι ασφάλειας μεταξύ δύο παικτών: (α) επιτιθέμενος(-οι) και (β) αμυνόμενος(-οι). Για το προηγούμενο παίγνιο, προσδιορίζεται η ισορροπία (Nash), ενώ όταν η ισορροπία Nash) δεν είναι διαθέσιμη με βάση τις παραμέτρους του παιγνίου, παρέχονται δύο εναλλακτικές προσεγγίσεις: (α) ανάπτυξη παγίδων εισβολών με βάση ανάλυση μεγιστοποίησης και ελαχιστοποίησης και (β) ανάπτυξη παγίδων εισβολών με βάση τεχνητή νοημοσύνη.Στη συνέχεια, μετά την περιγραφή των προτεινόμενων λύσεων ανίχνευσης και πρόληψης, το Κεφάλαιο 6 συνοψίζει τα αντίστοιχα αποτελέσματα αξιολόγησης. Ειδικότερα, αρχικά ορίζεται ένα συγκεκριμένο πλαίσιο αξιολόγησης, παρουσιάζοντας (α) τα περιβάλλοντα αξιολόγησης, (β) τα σύνολα δεδομένων, (γ) τις συγκριτικές μεθόδους και (δ) τις μετρικές αξιολόγησης. Στη συνέχεια, συνοψίζονται και διερευνώνται τα αποτελέσματα αξιολόγησης για κάθε συστατικό στοιχείο του προτεινόμενου ΣΔΠΣΑ με δυνατότητα καθοριζόμενη από λογισμικό, ενώ τα παραρτήματα Μ-Ν παρέχουν τη λεπτομερή συγκριτική ανάλυση.Τέλος, το Κεφάλαιο 7 ολοκληρώνει την παρούσα διδακτορική διατριβή, παρέχοντας επίσης πιθανές κατευθύνσεις για μελλοντικές ερευνητικές εργασίες στο συγκεκριμένο τομέα. Ειδικότερα, αφού συζητηθούν τα βασικά αποτελέσματα που μελετήθηκαν και υλοποιήθηκαν στο πλαίσιο του παρόντος διδακτορικού προγράμματος, στη συνέχεια, αναλύονται πέντε ερευνητικές κατευθύνσεις για μελλοντικές ερευνητικές προσπάθειες: (α) Ανίχνευση Εισβολών και Ανωμαλιών με Χρήση Ομοσπονδιακής Μάθησης, (β) Μηχανισμοί Συσχέτισης με Χρήση Μάθησης Συσχετίσεων, (γ) Στρατηγικές Μετριασμού με Τεχνικές Ενισχυτικής Μάθησης, (δ) Μηχανισμοί Ανάκτησης με χρήση Τεχνολογίας Καθοριζόμενης από Λογισμικό με Χρήση Νευρωνικών Δικτύων Γράφων και (ε) Τεχνικές Εξήγησης και Ανάλυσης Τεχνητής Νοημοσύνης για Μοντέλα Ανίχνευσης και Μετριασμού Τεχνητής Νοημοσύνης.