Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

The growing sophistication and frequency of cyberattacks targeting Internet Service Providers (ISPs) highlight the limitations of traditional, centralized network defense mechanisms. Static perimeter security and controller-based intrusion detection systems are increasingly inadequate to guarantee low-latency responses in large-scale, dynamic environments. This thesis presents the design and implementation of a distributed security and mon- itoring platform for P4-programmable networks. The proposed system integrates pro- grammable data planes, an event-driven controller, and real-time observability through Prometheus and Grafana. Each P4 switch operates as an intelligent node, executing lightweight anomaly detection and telemetry tasks directly within the data plane, while a a Python-based controller handles events received from the switches via digest messages and updates the routing tables and classification rules. A network of Weak Learners, deployed across the switches, enables in-network classifica- tion of traffic flows at line rate. Packets accumulate classification votes as they traverse the network, allowing a distributed majority-voting scheme that detects and blocks malicious traffic in near real time. In-band telemetry based on custom tunnel headers ensures per-hop visibility of congestion, queue depth, and inter-arrival times without control-plane overhead. The system has been experimentally validated in a Mininet testbed. Results demonstrate sub-millisecond reaction time in the data-plane, zero-downtime reconfiguration, and scalable monitoring under various attack scenarios, confirming the effectiveness and flexibility of the proposed architecture. This work lays the foundation for the integration of a higher-level orchestrator capable of dynamically distributing detection tasks across domains, paving the way toward a fully adaptive in-network security framework

L’aumento della complessità e della frequenza degli attacchi informatici rivolti agli Internet Service Provider (ISP) evidenzia i limiti delle soluzioni di sicurezza tradizionali basate su meccanismi centralizzati. Sistemi perimetrali statici e intrusion detection centralizzate non sono più in grado di garantire tempi di reazione sufficientemente ridotti in contesti di rete su larga scala e in continua evoluzione. Questa tesi presenta la progettazione e l’implementazione di una piattaforma distribuita per il monitoraggio e la sicurezza di reti programmabili P4. Il sistema integra piani dati programmabili, un controller event-driven e strumenti di osservabilità in tempo reale basati su Prometheus e Grafana. Ogni switch P4 opera come nodo intelligente, eseguendo attività di rilevamento di anomalie e raccolta di telemetria direttamente nel data plane, mentre un controller sviluppato in Python gestisce gli eventi ricevuti dagli switch tramite messaggi digest e aggiorna le tabelle di routing e le regole di classificazione. Una rete di Weak Learners, distribuita sui vari switch, consente la classificazione dei flussi di traffico direttamente all’interno della rete, alla velocità di linea. I pacchetti accumulano voti di classificazione lungo il percorso, consentendo una decisione distribuita basata su majority voting che identifica e blocca in tempo quasi reale i flussi malevoli. La telemetria in-band, implementata tramite header personalizzati, fornisce visibilità per-hop su congestione, profondità delle code e tempi di inter-arrivo, senza introdurre overhead sul piano di controllo. Il sistema è stato validato sperimentalmente in un testbed Mininet, dimostrando tempi di reazione sub-millisecondo nel data plane, riconfigurazione senza interruzioni e scalabilità sotto differenti scenari di attacco. I risultati confermano l’efficacia e la flessibilità dell’architettura proposta, che costituisce una base per l’integrazione futura di un orchestratore di livello superiore capace di distribuire dinamicamente i compiti di rilevamento, verso un paradigma di sicurezza completamente adattivo e in-network.

Design and implementation of a distributed security and monitoring architecture for P4 programmable network

Giannini, Nicolò
2024/2025

Abstract

The growing sophistication and frequency of cyberattacks targeting Internet Service Providers (ISPs) highlight the limitations of traditional, centralized network defense mechanisms. Static perimeter security and controller-based intrusion detection systems are increasingly inadequate to guarantee low-latency responses in large-scale, dynamic environments. This thesis presents the design and implementation of a distributed security and mon- itoring platform for P4-programmable networks. The proposed system integrates pro- grammable data planes, an event-driven controller, and real-time observability through Prometheus and Grafana. Each P4 switch operates as an intelligent node, executing lightweight anomaly detection and telemetry tasks directly within the data plane, while a a Python-based controller handles events received from the switches via digest messages and updates the routing tables and classification rules. A network of Weak Learners, deployed across the switches, enables in-network classifica- tion of traffic flows at line rate. Packets accumulate classification votes as they traverse the network, allowing a distributed majority-voting scheme that detects and blocks malicious traffic in near real time. In-band telemetry based on custom tunnel headers ensures per-hop visibility of congestion, queue depth, and inter-arrival times without control-plane overhead. The system has been experimentally validated in a Mininet testbed. Results demonstrate sub-millisecond reaction time in the data-plane, zero-downtime reconfiguration, and scalable monitoring under various attack scenarios, confirming the effectiveness and flexibility of the proposed architecture. This work lays the foundation for the integration of a higher-level orchestrator capable of dynamically distributing detection tasks across domains, paving the way toward a fully adaptive in-network security framework
Troia, Sebastian
MAIER, GUIDO ALBERTO
ING - Scuola di Ingegneria Industriale e dell'Informazione
10-dic-2025
2024/2025
L’aumento della complessità e della frequenza degli attacchi informatici rivolti agli Internet Service Provider (ISP) evidenzia i limiti delle soluzioni di sicurezza tradizionali basate su meccanismi centralizzati. Sistemi perimetrali statici e intrusion detection centralizzate non sono più in grado di garantire tempi di reazione sufficientemente ridotti in contesti di rete su larga scala e in continua evoluzione. Questa tesi presenta la progettazione e l’implementazione di una piattaforma distribuita per il monitoraggio e la sicurezza di reti programmabili P4. Il sistema integra piani dati programmabili, un controller event-driven e strumenti di osservabilità in tempo reale basati su Prometheus e Grafana. Ogni switch P4 opera come nodo intelligente, eseguendo attività di rilevamento di anomalie e raccolta di telemetria direttamente nel data plane, mentre un controller sviluppato in Python gestisce gli eventi ricevuti dagli switch tramite messaggi digest e aggiorna le tabelle di routing e le regole di classificazione. Una rete di Weak Learners, distribuita sui vari switch, consente la classificazione dei flussi di traffico direttamente all’interno della rete, alla velocità di linea. I pacchetti accumulano voti di classificazione lungo il percorso, consentendo una decisione distribuita basata su majority voting che identifica e blocca in tempo quasi reale i flussi malevoli. La telemetria in-band, implementata tramite header personalizzati, fornisce visibilità per-hop su congestione, profondità delle code e tempi di inter-arrivo, senza introdurre overhead sul piano di controllo. Il sistema è stato validato sperimentalmente in un testbed Mininet, dimostrando tempi di reazione sub-millisecondo nel data plane, riconfigurazione senza interruzioni e scalabilità sotto differenti scenari di attacco. I risultati confermano l’efficacia e la flessibilità dell’architettura proposta, che costituisce una base per l’integrazione futura di un orchestratore di livello superiore capace di distribuire dinamicamente i compiti di rilevamento, verso un paradigma di sicurezza completamente adattivo e in-network.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2025_12_Giannini.pdf

accessibile in internet solo dagli utenti autorizzati

Descrizione: Testo della Tesi
Dimensione 1.2 MB
Formato Adobe PDF
  Visualizza/Apri
1.2 MB Adobe PDF   Visualizza/Apri
2025_12_Giannini_Executive_Summary.pdf

accessibile in internet solo dagli utenti autorizzati

Descrizione: Executive Summary
Dimensione 471.88 kB
Formato Adobe PDF
  Visualizza/Apri
471.88 kB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/245297