Διαχείριση της διάδοσης επικινδυνότητας των πληροφοριακών ροών σε κρίσιμες υποδομές IIoT

Abstract

Τα συστήματα του Βιομηχανικού Διαδικτύου των Πραγμάτων (IIoT), όπως τα έξυπνα δίκτυα, εκτελούν κρίσιμες διεργασίες με πολύπλοκες, πολυεπίπεδες ανταλλαγές δεδομένων. Οι παραδοσιακοί μηχανισμοί ελέγχου πρόσβασης εστιάζουν στην αρχική εξουσιοδότηση, αλλά αδυνατούν να παρακολουθήσουν τις μετέπειτα ροές δεδομένων, δημιουργώντας ευπάθειες για μη εξουσιοδοτημένη πρόσβαση. Για την αντιμετώπιση αυτού του κενού, η παρούσα διατριβή προτείνει μια δυναμική προσέγγιση Ελέγχου Πληροφοριακών Ροών (Information Flow Control - IFC), η οποία μοντελοποιεί τις επιχειρησιακές διεργασίες ως κατευθυνόμενους γράφους και αξιολογεί τη διάδοση της επικινδυνότητας σε πραγματικό χρόνο. Η κύρια συνεισφορά είναι η INFFLOW-RT, μια προσαρμοστική μεθοδολογία IFC πραγματικού χρόνου, ειδικά σχεδιασμένη για περιβάλλοντα IIoT. Η INFFLOW-RT εμπλουτίζει τους γράφους των διεργασιών ώστε να αποτυπώνουν τις έμμεσες εξαρτήσεις και αποδίδει βάρη σε επίπεδο συναλλαγής —με βάση τον τύπο της λειτουργίας, τη νομιμότητα και τη σοβαρότητα— προκειμένου να εκτιμήσει τον αντίκτυπο σε ακμές, κόμβους και μονοπάτια. Χρησιμοποιώντας σταδιακές (incremental) Μπεϋζιανές ενημερώσεις και εξομάλυνση Laplace, το σύστημα αναπροσαρμόζει δυναμικά την επικινδυνότητα με κάθε νέα συναλλαγή, επιτρέποντας την έγκαιρη αναγνώριση κόμβων υψηλής επιρροής και επικινδυνότητας, χωρίς την υπολογιστική επιβάρυνση του επανυπολογισμού ολόκληρου του γράφου. Η προσέγγισή μας αξιολογείται μέσω οκτώ επιχειρησιακών διεργασιών από ρεαλιστικά σενάρια έξυπνων δικτύων. Τα αποτελέσματα καταδεικνύουν ότι η INFFLOW-RT υπερτερεί των στατικών αναλύσεων και των μεθόδων που βασίζονται μόνο στη δομή, εξασφαλίζοντας ταχύτερη σύγκλιση της επικινδυνότητας, πρώιμη ανίχνευση κακόβουλων ενεργειών και σταθερή ιεράρχηση των επικίνδυνων ροών. Για τη μετάβαση από την ανάλυση στην πράξη, προτείνουμε έναν βρόχο ανατροφοδότησης πολιτικών (policy feedback loop) που μετατρέπει τις ειδοποιήσεις υψηλης επικινδυνότητας σε εφαρμόσιμες αλλαγές πολιτικής, χωρίς να διαταράσσεται η ομαλή λειτουργία των διεργασιών. Τέλος, η διατριβή εξερευνά μια υβριδική αρχιτεκτονική επιβολής (enforcement) που συνδυάζει τον έλεγχο πρόσβασης βάσει ικανοτήτων (CapBAC) με την τεχνολογία blockchain, προσφέροντας λεπτομερή, αμετάβλητο έλεγχο (auditing) και υψηλή ταχύτητα εφαρμογής στα άκρα του δικτύου (edge). Συνολικά, η παρούσα εργασία παρέχει ένα ολοκληρωμένο πλαίσιο, με επίγνωση των συνθηκών λειτουργίας (context-aware), για τη διαχείριση της διάδοσης επικινδυνότητας των πληροφοριακών ροών σε κρίσιμες βιομηχανικές υποδομές.Industrial Internet of Things (IIoT) systems, such as smart grids, execute critical processes involving complex, multi-hop data exchanges. Traditional access control mechanisms focus on initial authorization but fail to track subsequent data flows, creating vulnerabilities for unauthorized access. To address this gap, this dissertation proposes a dynamic Information Flow Control (IFC) approach that models business processes as directed graphs and evaluates risk propagation in real-time. The core contribution is INFFLOW-RT, a real-time, adaptive IFC methodology tailored for IIoT environments. INFFLOW-RT enriches process graphs to capture indirect dependencies and assigns transaction-level weights based on operation type, legality, and severity to estimate impact across edges, nodes, and paths. Utilizing incremental Bayesian updates and Laplace smoothing, the system dynamically recalculates risk with each new transaction, enabling the timely identification of influential, high-risk nodes without the overhead of full graph recomputation. We evaluate our approach using eight business processes from realistic smart-grid scenarios. Results demonstrate that INFFLOW-RT outperforms static analyses and structure-only baselines by ensuring faster risk convergence, early detection of malevolent actions, and stable prioritization of risky flows. To translate analysis into action, we propose a policy feedback loop that converts high-risk alerts into actionable, testable policy changes without disrupting normal operations. Finally, the dissertation explores a hybrid enforcement architecture combining capability-based access control (CapBAC) with blockchain technology, providing fine-grained, immutable auditing and high-rate enforcement at the edge. Overall, this work provides a context-aware framework for managing information flow risk propagation in critical industrial infrastructures.