Doctoral Thesis

Multilayer Passive Identification of PLCs in Industrial Control Systems

Final Thesis 2.55 MB Summary of Thesis 2.55 MB

Author of thesis: Ing. Ondřej Pospíšil, Ph.D.

Acad. year: 2025/2026

Supervisor: doc. Ing. Radek Fujdiak, Ph.D.

Reviewers: Ing. Pavel Praks, PhD., doc. Ing. Vladimír Soběslav, Ph.D.

Abstract:

In operational technology environments, reliable device identification is essential for security management. However, active information gathering may introduce operational risks. This dissertation therefore addresses passive PLC identification at the model level based exclusively on the observation of regular network communication, while also quantifying the risks associated with active querying in an environment designed according to the ISA-95 reference architecture. The aim is to design and evaluate a modular approach that enables the identification of PLC models across multiple layers while simultaneously providing an audit trail. The dissertation thus presents a framework in which the selection of a module is driven by data availability and the confidence of the output. To this end, three mutually complementary methods of passive identification are employed. These include methods based on network interface layer identifiers, statistical fingerprints of the application-layer payload, and information derived from temporal behavior. The results show that active querying may increase response times and induce communication losses, whereas passive identification remains achievable even when performed as part of an independent test and under changing operational profiles. Based on these findings, it is concluded that a multilayer passive approach increases the robustness of identification and supports safe deployment in OT.

Keywords:

Passive PLC identification, industrial control systems, ICS, operational technology, OT, device identification, network traffic analysis, device fingerprints.

Date of defence

17.06.2026

Result of the defence

Defended (thesis was successfully defended)

znamkaPznamka

Process of defence

Disertant stručně a jasně hovořil o vědeckých výsledcích své disertační práce. Komise byla s odpověďmi v diskusi spokojena, byly položeny doplňující otázky, na všechny správně odpověděl.

Language of thesis

Czech

Faculty

Fakulta elektrotechniky a komunikačních technologií

Department

Department of Telecommunications

Study programme

Teleinformatics (DKC-TLI)

Composition of Committee

prof. Ing. Zdeněk Smékal, CSc. (předseda)
doc. Ing. Petr Mlýnek, Ph.D. (člen)
doc. Ing. Zdeněk Martinásek, Ph.D. (člen)
Ing. Tereza Otčenášková, Ph.D., BA (člen)
doc. Mgr. Josef Horálek, Ph.D. (člen)
doc. Ing. Vladimír Soběslav, Ph.D. (člen)
Ing. Pavel Praks, PhD. (člen)

Supervisor’s report
doc. Ing. Radek Fujdiak, Ph.D.

Ing. Ondřej Pospíšil v průběhu doktorského studia prokázal schopnost samostatné vědecké a tvůrčí práce. Ve své disertační práci se věnuje velmi aktuálnímu a odborně náročnému tématu pasivní identifikace PLC v prostředí průmyslových řídicích systémů, které bezprostředně reaguje na současné potřeby bezpečné inventarizace aktiv a řízení kybernetických rizik v OT sítích.
Předloženou disertační práci hodnotím jako velmi kvalitní po odborné i metodické stránce. Za její hlavní přínos považuji především návrh vícevrstvého pasivního rámce identifikace PLC, který kombinuje tři vzájemně se doplňující přístupy. Velmi cenné je i to, že práce neřeší pouze samotnou identifikaci zařízení, ale experimentálně dokládá rizikovost aktivního skenování v OT prostředí. Autor dále ukazuje, že aktivní dotazování může vést k výraznému navýšení odezvy, vysoké ztrátovosti komunikace a v některých scénářích až k zastavení výstupu řízeného PLC.
Pozitivně hodnotím i dosažené výsledky jednotlivých identifikačních modulů, kdy autor přesvědčivě prokázal, že modelová identifikace PLC může být v řadě situací realizována čistě pasivně z běžného síťového provozu. Práce současně korektně reflektuje své limity, zejména potřebu další validace v heterogennějším prostředí a rozšíření referenčních dat, což však považuji za přirozený prostor pro navazující výzkum, nikoli za oslabení dosažených výsledků.
Publikační činnost autora hodnotím jako velmi dobrou a plně odpovídající požadavkům doktorského studia. Ze seznamu publikací je zřejmé, že se tématu průmyslových řídicích systémů, provozních technologií, identifikace zařízení a kybernetické bezpečnosti v průmyslovém prostředí věnuje dlouhodobě a že výsledky předložené v disertační práci navazují na jeho průběžnou publikační a výzkumnou činnost. Oceňuji, že publikační výstupy nevznikly izolovaně, ale tvoří součást soustavného odborného rozvoje autora.
Celkově hodnotím Ing. Ondřeje Pospíšila jako doktoranda, který prokázal schopnost samostatně řešit odborně náročný výzkumný problém, kriticky vyhodnocovat dosažené poznatky a dovést je do podoby ucelené a přínosné disertační práce. Předložená práce splňuje požadavky kladené na disertační práci v daném oboru a doporučuji ji k obhajobě.

Reviewer’s report
Ing. Pavel Praks, PhD.

viz pdf
File inserted by the reviewer Size
Posudek oponenta [.pdf] 785,83 kB

Reviewer’s report
doc. Ing. Vladimír Soběslav, Ph.D.

viz pdf
File inserted by the reviewer Size
Posudek oponenta [.pdf] 123,99 kB

Responsibility: Mgr. et Mgr. Hana Odstrčilová