Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

The evolution of IT technology has led to significant changes in the communication services of energy infrastructure throughout the world. One of the most widely-used standards in industrial control and supervisory systems is IEC 61850 protocol. This protocol provides outstanding features to ease the tele-controlling of the intelligent devices, protection relays and measurement units. But, this protocol is vulnerable to many cybersecurity threats that needs to be investigated to find effective solutions to prevent, monitor and detect anomalies to ensure secure communication in smart grids. This thesis studies the cybersecurity aspects of IEC 61850's Manufacturing Message Specification(MMS) in Opendistro for Elasticsearch which runs on a docker-based environment. To generate MMS data traffic we used two methods: First, a simulation test-bed is implemented through a MMS server in Typhoon-HIL tool-chain to send controlling commands to update the status of circuit breaker from SCADA. Second, the information flow is provided by the test client/server application in LibiEC61850 library to establish a MMS-session to send and receive controlling reports . Then, this traffic is captured by using Wireshark/tshark software and imported to Elasticsearch by some pipeline methods. In order to scrutinize the presence of an illegitimate third party in the client and server communication, we carry out Man-In-The-Middle attack scenario by using Ettercap software. ARP spoofing strategy is employed to eavesdrop the traffic by a passive attacker. Also, Denial of Service attack is implemented to disable the TCP/IP connection between two devices by dropping MMS packets. To explore and analyze the logs, we utilize Kibana which is the graphical analysis plugin of Opendistro. We study different fields associated with each network layer in both healthy and under-attack communication to present the indicators to detect the presence of a malicious actor during data transmission in the local network.

L'evoluzione della tecnologia IT ha portato a cambiamenti significativi nei servizi di comunicazione delle infrastrutture energetiche in tutto il mondo. Uno degli standard più utilizzati nei sistemi di controllo e supervisione industriale è il protocollo IEC 61850. Questo protocollo fornisce caratteristiche eccezionali per facilitare il telecontrollo dei dispositivi intelligenti, dei relè di protezione e delle unità di misura. Tuttavia, questo protocollo è vulnerabile a molte minacce alla sicurezza informatica che devono essere studiate per trovare soluzioni efficaci per prevenire, monitorare e rilevare anomalie per garantire una comunicazione sicura nelle reti intelligenti. Questa tesi studia gli aspetti della sicurezza informatica della Manufacturing Message Specification (MMS) di IEC 61850 in Opendistro per Elasticsearch che viene eseguito su un ambiente basato su docker. Per generare il traffico di dati MMS abbiamo utilizzato due metodi: in primo luogo, un banco di prova di simulazione viene implementato tramite un server MMS nella catena di strumenti Typhoon-HIL per inviare comandi di controllo per aggiornare lo stato dell'interruttore da SCADA. In secondo luogo, il flusso di informazioni viene fornito dall'applicazione client/server di test nella libreria LibiEC61850 per stabilire una sessione MMS per inviare e ricevere report di controllo. Quindi, questo traffico viene catturato utilizzando il software Wireshark/tshark e importato in Elasticsearch con alcuni metodi di pipeline. Per esaminare la presenza di una terza parte illegittima nella comunicazione client e server, eseguiamo uno scenario di attacco Man-In-The-Middle utilizzando il software Ettercap. La strategia di spoofing ARP viene utilizzata per intercettare il traffico da un utente malintenzionato passivo. Inoltre, viene implementato il attacco Denial of Service per disabilitare la connessione TCP/IP tra due dispositivi. Per esplorare e analizzare i log, utilizziamo Kibana che è il plugin di analisi grafica di Opendistro. Studiamo diversi campi associati a ciascun livello di rete sia nella comunicazione sana che in quella attaccata per presentare gli indicatori per rilevare la presenza di un attore malintenzionato durante la trasmissione dei dati nella rete locale.

Cyber security analysis of IEC 61850 protocol by using Opendistro for Elasticsearch

KAMTARIN, AMIR
2020/2021

Abstract

The evolution of IT technology has led to significant changes in the communication services of energy infrastructure throughout the world. One of the most widely-used standards in industrial control and supervisory systems is IEC 61850 protocol. This protocol provides outstanding features to ease the tele-controlling of the intelligent devices, protection relays and measurement units. But, this protocol is vulnerable to many cybersecurity threats that needs to be investigated to find effective solutions to prevent, monitor and detect anomalies to ensure secure communication in smart grids. This thesis studies the cybersecurity aspects of IEC 61850's Manufacturing Message Specification(MMS) in Opendistro for Elasticsearch which runs on a docker-based environment. To generate MMS data traffic we used two methods: First, a simulation test-bed is implemented through a MMS server in Typhoon-HIL tool-chain to send controlling commands to update the status of circuit breaker from SCADA. Second, the information flow is provided by the test client/server application in LibiEC61850 library to establish a MMS-session to send and receive controlling reports . Then, this traffic is captured by using Wireshark/tshark software and imported to Elasticsearch by some pipeline methods. In order to scrutinize the presence of an illegitimate third party in the client and server communication, we carry out Man-In-The-Middle attack scenario by using Ettercap software. ARP spoofing strategy is employed to eavesdrop the traffic by a passive attacker. Also, Denial of Service attack is implemented to disable the TCP/IP connection between two devices by dropping MMS packets. To explore and analyze the logs, we utilize Kibana which is the graphical analysis plugin of Opendistro. We study different fields associated with each network layer in both healthy and under-attack communication to present the indicators to detect the presence of a malicious actor during data transmission in the local network.
PALAHALLI, HARSHAVARDHAN
TERRUGGIA, ROBERTA
ING - Scuola di Ingegneria Industriale e dell'Informazione
28-apr-2022
2020/2021
L'evoluzione della tecnologia IT ha portato a cambiamenti significativi nei servizi di comunicazione delle infrastrutture energetiche in tutto il mondo. Uno degli standard più utilizzati nei sistemi di controllo e supervisione industriale è il protocollo IEC 61850. Questo protocollo fornisce caratteristiche eccezionali per facilitare il telecontrollo dei dispositivi intelligenti, dei relè di protezione e delle unità di misura. Tuttavia, questo protocollo è vulnerabile a molte minacce alla sicurezza informatica che devono essere studiate per trovare soluzioni efficaci per prevenire, monitorare e rilevare anomalie per garantire una comunicazione sicura nelle reti intelligenti. Questa tesi studia gli aspetti della sicurezza informatica della Manufacturing Message Specification (MMS) di IEC 61850 in Opendistro per Elasticsearch che viene eseguito su un ambiente basato su docker. Per generare il traffico di dati MMS abbiamo utilizzato due metodi: in primo luogo, un banco di prova di simulazione viene implementato tramite un server MMS nella catena di strumenti Typhoon-HIL per inviare comandi di controllo per aggiornare lo stato dell'interruttore da SCADA. In secondo luogo, il flusso di informazioni viene fornito dall'applicazione client/server di test nella libreria LibiEC61850 per stabilire una sessione MMS per inviare e ricevere report di controllo. Quindi, questo traffico viene catturato utilizzando il software Wireshark/tshark e importato in Elasticsearch con alcuni metodi di pipeline. Per esaminare la presenza di una terza parte illegittima nella comunicazione client e server, eseguiamo uno scenario di attacco Man-In-The-Middle utilizzando il software Ettercap. La strategia di spoofing ARP viene utilizzata per intercettare il traffico da un utente malintenzionato passivo. Inoltre, viene implementato il attacco Denial of Service per disabilitare la connessione TCP/IP tra due dispositivi. Per esplorare e analizzare i log, utilizziamo Kibana che è il plugin di analisi grafica di Opendistro. Studiamo diversi campi associati a ciascun livello di rete sia nella comunicazione sana che in quella attaccata per presentare gli indicatori per rilevare la presenza di un attore malintenzionato durante la trasmissione dei dati nella rete locale.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2022_04_Kamtarin_01.pdf

solo utenti autorizzati dal 26/03/2023

Dimensione 3.02 MB
Formato Adobe PDF
  Visualizza/Apri
3.02 MB Adobe PDF   Visualizza/Apri
2022_04_Kamtarin_02.pdf

solo utenti autorizzati dal 26/03/2023

Dimensione 987.76 kB
Formato Adobe PDF
  Visualizza/Apri
987.76 kB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/185822