Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • harvard1
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Entropy Based Anomaly Detection in Deterministic Ethernet
KTH, School of Information and Communication Technology (ICT).
2016 (English)Independent thesis Advanced level (degree of Master (Two Years)), 20 credits / 30 HE creditsStudent thesis
Abstract [en]

Safety-critical embedded systems are widespread in many application areas, such as automotive, aerospace, industrial and healthcare. They are typically implemented as distributed systems, composed of processing elements interconnected using specialized communication protocols.

There is a strong interest in using the Ethernet protocol for communication, since it is cheap and has high speeds. However, Ethernet is unsuitable for safety-critical and real-time applications. In this thesis we address ‘Deterministic Ethernet’ (DE), which are extensions to Ethernet, such as TTEthernet and Time Sensitive Networking, to support safety-critical and real-time applications.

However, to be safe, a system has to also be secure. Therefore, the focus of this thesis is on the security of DE. DE integrates multiple traffic classes, including Time-Triggered, Event-Triggered and Best Effort. The Time-Triggered class, which is intended for the most critical applications, uses schedule tables that require clock synchronization.

We focus on the security of the clock synchronization algorithm. in TTEthernet, which uses Protocol Control Frames (PCF) for its implementation. We have defined two attack scenarios, namely ‘manipulation attack’ and ‘delay attack’, which can break the clock synchronization, and thus lead to the failure of the highly-critical Time-Triggered applicatoins.

We propose a monitoring system for clock synchronization that is aimed at determining if the system is under a security attack. The attack is detected via an ‘anomaly detection’ method, which in our case is based on ‘entropy’ measures, a concept from information theory.

Our anomaly detection works in three steps: (1) features selection, (2) feature quantization, and (3) comparison. (1) The experiment selects packet ‘timestamp’ and ‘pcf_transparent_clock ’ header of a PCF as the features. (2) Probability Mass Function (PMF) as component to count entropy represents the feature quantization. (3) Relative entropy is used to compare the incoming communication flow to the baseline communication flow (i.e., not under attack).

The technique has been implemented in the OMNeT++ simulator and has been evaluated on several test cases. We have also implemented a tool for generating TTEthernet traffic under the two attack scenarios, which has been used for the evaluation. The proposed solution is able to detect anomaly caused by delay attack to the sensitivity of 3 microseconds and anomaly caused by manipulation attack by 10 nanoseconds.

Abstract [sv]

Säkerhetskritiska inbyggda system är vanligt förekommande i många applikationsområden, såsom bil-, flyg-, industrioch sjukvård. De är oftast genomförs som distribuerade system, som består av behandlingselement sammankopplade med hjälp av specialiserade kommunikationsprotokoll.

Det finns ett starkt intresse av att använda Ethernet-protokollet för kommunikation, eftersom den är billig och har höga hastigheter. Dock är Ethernet olämpliga för säkerhetskritiska och realtidsapplikationer. I denna avhandling adress vi ‘deterministiska Ethernet"(DE), som är tillägg till Ethernet, såsom TTEthernet och tidskänslig nätverk, för att stödja säkerhetskritiska och realtidsapplikationer.

Men för att vara säker, har ett system för att också vara säkra. Därför är fokus för denna avhandling om säkerheten i DE. DE integrerar flera trafikklasser, inklusive tidsstyrda, händelseutlöst och Best Effort. Time-Triggered klass, som är avsedd för de mest kritiska applikationer, använder schematabeller som kräver klocksynkronisering.

Vi fokuserar på säkerheten i klocksynkronisering algoritmen. i TTEthernet, som använder protokoll kontroll Frames (PCF) för dess genomförande. Vi har definierat två attackscenarier, nämligen ’manipulation attack’ och ’försening attack ", som kan bryta klocksynkronisering, och därmed leda till fel i den mycket kritiska tidsstyrda applicatoins.

Vi föreslår ett system för synkronisering klock övervakning som syftar till att fastställa om systemet är under en säkerhet attack. Attacken upptäcks via en ‘upptäcka avvikelsermetoden, som i vårt fall är baserad på ‘entropi"åtgärder, ett koncept från informationsteori.

Vår upptäcka avvikelser arbetar i tre steg: (1) har val, (2) funktion kvantisering,och (3) jämförelse. (1) Experimentet väljer paket ’timestamp’ och pcf_transparent_clock huvudet på en PCF som funktionerna. (2) sannolikhetsfunktion (PMF) som komponent för att räkna entropi representerar funktionen kvantisering. (3) Re-lativ entropi används för att jämföra den inkommande kommunikationsflödet till baslinjen kommunikationsflödet (dvs inte under attack).

Tekniken har genomförts i OMNeT++ simulator och har utvärderats på flera testfall. Vi har också genomfört ett verktyg för att generera TTEthernet trafik under två attackscenarier, som har använts för utvärderingen. Den föreslagna lösningen kan upptäcka anomali orsakad av fördröjnings attack till känsligheten hos 3 mikrosekunder och anomali orsakad av manipulation attack med 10 nanosekunder.

Place, publisher, year, edition, pages
2016. , 105 p.
Series
TRITA-ICT-EX, 2016:139
National Category
Electrical Engineering, Electronic Engineering, Information Engineering
Identifiers
URN: urn:nbn:se:kth:diva-205326OAI: oai:DiVA.org:kth-205326DiVA: diva2:1088560
Subject / course
Electrical Engineering
Educational program
Master of Science -Security and Mobile Computing
Supervisors
Examiners
Available from: 2017-04-13 Created: 2017-04-13 Last updated: 2017-04-13Bibliographically approved

Open Access in DiVA

No full text

By organisation
School of Information and Communication Technology (ICT)
Electrical Engineering, Electronic Engineering, Information Engineering

Search outside of DiVA

GoogleGoogle Scholar

Total: 3 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • harvard1
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf