Prise en compte des risques de cyber-attaques dans le domaine de la sécurité des systèmes cyber-physiques : proposition de mécanismes de détection à base de modèles comportementaux / Addressing cyber-attack risks for the security of cyber-physical systems : proposition of detection mechanisms based on behavioural models

Sicard, Franck

11 October 2018

Les systèmes de contrôle-commande industriels (Industrial Control System, ICS) sont des infrastructures constituées par un ensemble de calculateurs industriels reliés en réseau et permettant de contrôler un système physique. Ils assurent le pilotage de réseaux électriques (Smart Grid), de systèmes de production, de transports, de santé ou encore de systèmes d’armes. Pensés avant tout pour assurer productivité et respect de la mission dans un environnement non malveillant, les ICS sont, depuis le 21ème siècle, de plus en plus vulnérables aux attaques (Stuxnet, Industroyer, Triton, …) notamment avec l’arrivée de l’industrie 4.0. De nombreuses études ont contribué à sécuriser les ICS avec des approches issues du domaine de la sécurité (cryptographie, IDS, etc…) mais qui ne tiennent pas compte du comportement du système physique et donc des conséquences de l’acte de malveillance en lui-même. Ainsi, une sécurisation se limitant exclusivement à l’analyse des informations qui transitent sur un réseau industriel n’est pas suffisante. Notre approche amène un changement de paradigme dans les mécanismes de détection en y intégrant la modélisation du comportement du système cyber-physique.Cette thèse propose des mécanismes de détection d’attaques en se positionnant au plus proche de la physique. Ils analysent les données échangées entre le système de contrôle-commande et le système physique, et filtrent les échanges au travers de modèles déterministes qui représentent le comportement du système physique soumis à des lois de commande. A cet effet, une méthodologie de conception a été proposée dans laquelle l’ensemble des ordres est identifié afin de détecter les attaques brutales. Pour faire face aux autres attaques, en particulier celles plus sournoises, comme les attaques par séquences, nous proposons une stratégie de détection complémentaire permettant d’estimer l’occurrence d’une attaque avant que ses conséquences ne soient destructives. A cet effet, nous avons développé des concepts de distance d’un état caractérisé comme critique auquel nous avons adjoint un second mécanisme dit de trajectoire dans le temps permettant de caractériser une intention de nuire.L’approche proposée hybride ainsi deux techniques orientées sécurité (sonde IDS) et sûreté (approche filtre) pour proposer une stratégie de détection basée sur quatre mécanismes lié :• A la détection de contexte : basé sur l’état courant de l’ICS, un ordre émis par l’API peut être bloqué s’il conduit vers un état critique (attaque brutale).• Aux contraintes combinatoires (attaque par séquences) : vérifiées par les concepts de distance et de trajectoire (évolution de la distance).• Aux contraintes temporelles (attaque temporelle) : vérifiées par des fenêtres temporelles sur l’apparition d’évènements et d’indicateurs surveillant la durée moyenne d’exécution.• Aux sur-sollicitations basées sur un indicateur surveillant les commandes envoyées afin de prévenir un vieillissement prématuré (attaque sur les équipements).L’approche proposée a été appliquée sur différents exemples de simulation et sur une plateforme industrielle réelle où la stratégie de détection a montré son efficacité face à différents profils d’attaquant. / Industrial Control Systems (ICSs) are infrastructures composed by several industrial devices connected to a network and used to control a physical system. They control electrical power grid (Smart Grid), production systems (e.g. chemical and manufacturing industries), transport (e.g. trains, aircrafts and autonomous vehicles), health and weapon systems. Designed to ensure productivity and respect safety in a non-malicious environment, the ICSs are, since the 21st century, increasingly vulnerable to attacks (e.g. Stuxnet, Industroyer, Triton) especially with the emergence of the industry 4.0. Several studies contributed to secure the ICS with approaches from the security field (e.g. cryptography, IDS) which do not take into account the behavior of the physical system and therefore the consequences of the malicious act. Thus, a security approach limited exclusively to the analysis of information exchanged by industrial network is not sufficient. Our approach creates a paradigm shift in detection mechanisms by integrating the behavioral modeling of the cyber-physical system.This thesis proposes detection mechanisms of attacks by locating detection closer to physical system. They analyze the data exchanged between the control system and the physical system, and filter the exchanges through deterministic models that represent the behavior of the physical system controlled by control laws. For this purpose, a design methodology has been proposed in which all actions are identified in order to instantly detect brutal attacks. To deal with other attacks, especially the more sneaky, such as sequential attacks, we propose a complementary detection strategy to estimate the occurrence of an attack before its consequences are destructive. To this end, we have developed the concepts of distance of a state identified as critical to which we have added a second mechanism called trajectory which leads to a temporal notion that characterize an intention to harm.As part of this thesis, the proposed approach combines two techniques oriented security (IDS probe) and safety (filter approach) to propose a detection strategy based on four mechanisms related to:• Context detection: based on the current state of the system, an order sent by the PLC can be blocked by the control filter if it leads to a critical state (brutal attack).• Combinatorial constraints (sequential attack): verified by the concepts of distance (risk indicator for the current state) and trajectory (indicator of the intention to harm by studying the evolution of the distance on a sequence).• Temporal constraints (temporal attack): verified by time windows on the appearance of events and an indicator monitoring the average duration of execution.• Over-solicitation monitoring mechanism: based on an indicator monitoring orders sent to the actuators to prevent premature ageing of the production equipment (attack on the equipment).The proposed approach has been applied to various simulation examples and an industrial platform where the detection strategy has shown its effectiveness against different scenarios corresponding to attacker profiles.

Détection à base de modèles

Surveillance

Contrôle-Commande

Systèmes à évènements discrets

Cybersécurité

Systèmes Cyber-Physiques

Model-Based Detection

System Monitoring

Industrial Control Systems

Discrete-Event Systems

Cybersecurity

Cyber-Physical Systems

004

Diagnostic et observation d'une classe de systèmes dynamiques hybrides. Application au convertisseur multicellulaire série

Van Gorp, Jérémy

05 December 2013

Cette thèse s'intéresse au diagnostic et à l'observation de systèmes linéaires à commutations et à l'application au convertisseur multicellulaire série. L'objectif est de proposer des solutions pour des sous-systèmes non-observables au sens classique et dont des fautes continues ou discrètes peuvent être présentes. Après la présentation d'un état de l'art sur les techniques d'observation et de diagnostic pourles systèmes à commutations, le mémoire est scindé en deux parties. La première partie propose, d'une part, une stratégie d'estimation des états discret et continu d'un système linéaire à commutation soumis à une entrée inconnue. Un observateur hybride basé sur la théorie des modes glissants d'ordre supérieur est développé. D'autre part, deux procédures de diagnostic sont présentées. La première combine un observateur hybride et un diagnostiqueur pour détecter une faute continue. Pour la seconde, un diagnostic actif est défini sur la base de la théorie du test afin de détecter et d'isoler une faute discrète. Dans la seconde partie de ce mémoire, les étapes de la réalisation d'un convertisseur multicellulaire sont détaillées. Ensuite, un chapitre est dédié à la validation des approches théoriques d'observation et de diagnostic sur le convertisseur à trois cellules. Un observateur est synthétisé afin d'estimer les tensions des capacités. Les deux procédures de diagnostic sont appliquées pour la détection d'une variation des valeurs des capacités et le diagnostic de cellules bloquées. Enfin, une commande binaire pour le convertisseur est proposée. L'application de cette stratégie permettra, par la suite, la commande tolérante aux fautes du convertisseur.

[SPI:OTHER] Engineering Sciences/Other

Système linéaire à commutations

Observation hybride

Diagnostic actif

Diagnostic basé observateur

Système à évènements discrets

Observateur par modes glissants

Convertisseur multicellulaire série

Commande binaire

Fonction de Lyapunov

Approche de modélisation approximative pour des systèmes à événements discrets : Application à l'étude de propagation de feux de forêt

Bisgambiglia, Paul-Antoine

05 December 2008

Ce rapport présente les différentes étapes suivies afin de définir une nouvelle approche de modélisation et de simulation à évènements discrets pour les systèmes à paramètres imprécis. Cette étude a débuté avec des travaux sur la formalisation d'un système de production de fromage Corse. Suite à ces recherches, et en particulier, suite à la phase de modélisation du processus, nous avons pu constater l'influence de paramètres imparfaitement définis. Ces paramètres entrent en compte au cours des différentes phases de conception, et sont difficiles à représenter et surtout à manipuler. Dans le but de les prendre en compte de manière générique, nous nous sommes naturellement tournés vers l'utilisation de la Logique Floue. En effet, elle permet de représenter des informations imprécises (théorie des sous ensembles flous), incertaines (théorie des possibilités), et inexacte (raisonnement approximatif). Son avantage principal est de fournir un grand nombre d'outils mathématiques afin de manipuler de telles informations sous forme numérique ou linguistique, c'est-à-dire de manière relativement proche du mode de représentation, et surtout d'expression utilisé par l'homme. A partir des théories du flou, nous pouvons donc user de concepts mathématiques complexes tout en conservant un rapport privilégié (lien) entre représentation numérique et mode de description humain. Nous avons choisi d'intégrer ces différents outils dans un multi formalisme de modélisation et de simulation afin de pouvoir spécifier de manière générique n'importe quel type de système à paramètres imprécis. Le formalisme employé est nommé DEVS (Discrete EVents system Specification). Ses principaux avantages sont : sa capacité à être étendu à de nouveaux domaines d'étude, dans notre cas les systèmes flous ; la séparation des phases de modélisation et de simulation, de ce fait, lors de la conception d'un modèle DEVS les algorithmes de simulation sont automatiquement générés en fonction du modèle ; enfin, il permet de représenter un système sous sa forme fonctionnelle et structurelle. Notre but est d'associer le formalisme DEVS et une partie des théories du flou afin de définir une nouvelle approche de modélisation approximative.

[MATH] Mathematics

[MATH] Mathématiques

Imprécisions

évènements discrets

DEVS

Logique Floue

Théorie des sous ensembles flous

feux de forêt

modélisation

simulation

MODELISATION ET SIMULATION DE L’INTRODUCTION DE TECHNOLOGIES RFID DANS DES SYSTEMES DE CONFIGURATION A LA DEMANDE / MODELING AND SIMULATION OF THE INTRODUCTION OF RFID TECHNOLOGIES IN CONFIGURATION TO ORDER SYSTEMS

Haouari, Lobna

18 December 2012

L'IDentification par Radio-Fréquences (RFID) permet une identification rapide et efficace des objets. Dans les systèmes de personnalisation de masse, elle promet un apport considérable grâce à sa capacité à gérer des flux d'information complexes caractérisant ce type de systèmes.Dans cette thèse, nous étudions les impacts de la RFID sur les systèmes de configuration à la demande (CTO). Nous nous basons sur un cas réel pour apporter une mesure fiable et directement exploitable. La littérature à ce sujet offre souvent des mesures sommaires, théoriques ou qualitatives, d'où l'originalité de la thèse.L'étude est réalisée par une approche de simulation à évènements discrets et évalue l'apport des technologies RFID à deux niveaux. Le premier concerne des changements directs du système (e.g. accélération des maintes vérifications caractérisant la CTO, libération de ressources...). Ces changements influencent la performance du système en termes de temps de séjour, de taux de retard des commandes, etc. Le deuxième niveau concerne des changements profonds tirant profit d'une visibilité accrue des produits et de la facilité d'une collecte de données rigoureuse. Ces changements se focalisent sur l'allocation dynamique de la charge de travail. La remise en question des processus à l'occasion de l'introduction d'une technologie RFID constitue un point original en raison du manque de publications soulignantsuffisamment cet avantage.Nos expérimentations ont montré que les apports des technologies RFID dans un système CTO sont indéniables. De plus, repenser le fonctionnement du système afin d'exploiter plus profondément le potentiel de la technologie accroit les bénéfices. / Radio Frequency IDentification allows quick and secure identification of objects. In mass customisation systems, RFID technologies can be peculiarly efficient, because they are able to support the complex flows of information which characterize these systems.In this study, we focus on RFID technologies effects on configuration to order (CTO) systems.We base the research on an existing case in order to obtain reliable information directly usable by decision makers. The rarity of studies offering quantitative, detailed and real case based measures makes the originality of this thesis.RFID technology implementation's effect is analysed by a discrete event simulation approach and is presented in two levels:The first level relates direct changes brought about by RFID (e.g. faster execution of the many checks due to the wide range of products, reduced workload for resources…). These changes have an impact on system's performance in terms of lead time, late orders' rate, etc.The second level is axed on deeper changes occurring due to the increased product visibility and the ease of collecting large amounts of data with an RFID technology.These changes mainly focus on the dynamic allocation of workload. Reconsidering of processes and proposing changes deeper than the simple direct technology impact is a breakthrough, in this study, because of the lack of publications highlighting this benefit adequately.In conclusion, RFID contribution in CTO systems and, extensively, in assembly to order systems may be undeniable. Moreover, beyond the direct technology impact, rethinking how the system works by exploiting the deeper potential of technology can increase profits.

Identification par radio-fréquences

RFID

Configuration à la demande

CTO

Personnalisation de masse

Répartition des ressources

Simulation à évènements discrets

DES

Radio-Frequency Identification

RFID

Configuration to order

CTO

Mass customisation

Workload allocation

Discrete Event simulation

DES

Contribution au diagnostic et pronostic des systèmes à évènements discrets temporisés par réseaux de Petri stochastiques / Contribution to fault diagnosis and prognosis of timed discrete event systems using stochastic Petri nets

Ammour, Rabah

11 December 2017

La complexification des systèmes et la réduction du nombre de capteurs nécessitent l’élaboration de méthodes de surveillance de plus en plus efficaces. Le travail de cette thèse s’inscrit dans ce contexte et porte sur le diagnostic et le pronostic des Systèmes à Événements Discrets (SED) temporisés. Les réseaux de Petri stochastiques partiellement mesurés sont utilisés pour modéliser le système. Le modèle représente à la fois le comportement nominal et le comportement dysfonctionnel du système. Il permet aussi de représenter ses capteurs à travers une mesure partielle des transitions et des places. Notre contribution porte sur l’exploitation de l’information temporelle pour le diagnostic et le pronostic des SED. À partir d’une suite de mesures datées, les comportements du système qui expliqueraient ces mesures sont d’abord déterminés. La probabilité de ces comportements est ensuite évaluée pour fournir un diagnostic du système en termes de probabilité d’occurrence d’un défaut. Dans le cas où une faute est diagnostiquée, une approche permettant d’estimer la distribution de sa date d’occurrence est proposée. L’objectif est de donner plus de détails sur cette faute afin de mieux la caractériser. Par ailleurs, la probabilité des comportements compatibles est exploitée pour estimer l’état actuel du système. Il s’agit de déterminer les marquages compatibles avec les mesures ainsi que leurs probabilités associées. À partir de cette estimation d’état, la prise en considération des évolutions possibles du système permet d’envisager la prédiction de la faute avant son occurrence. Une estimation de la probabilité d’occurrence de la faute sur un horizon de temps futur est ainsi obtenue. Celle-ci est ensuite étendue à l’évaluation de la durée de vie résiduelle du système. Enfin, une application des différentes approches développées sur un cas d’un système de tri est proposée. / Due to the increasing complexity of systems and to the limitation of sensors number, developing monitoring methods is a main issue. This PhD thesis deals with the fault diagnosis and prognosis of timed Discrete Event Systems (DES). For that purpose, partially observed stochastic Petri nets are used to model the system. The model represents both the nominal and faulty behaviors of the system and characterizes the uncertainty on the occurrence of events as random variables with exponential distributions. It also considers partial measurements of both markings and events to represent the sensors of the system. Our main contribution is to exploit the timed information, namely the dates of the measurements for the fault diagnosis and prognosis of DES. From the proposed model and collected measurements, the behaviors of the system that are consistent with those measurements are obtained. Based on the event dates, our approach consists in evaluating the probabilities of the consistent behaviors. The probability of faults occurrences is obtained as a consequence. When a fault is detected, a method to estimate its occurrence date is proposed. From the probability of the consistent trajectories, a state estimation is deduced. The future possible behaviors of the system, from the current state, are considered in order to achieve fault prediction. This prognosis result is extended to estimate the remaining useful life as a time interval. Finally, a case study representing a sorting system is proposed to show the applicability of the developed methods.

Diagnostic et pronostic de défauts

Réseaux de Petri stochastiques

Datation des fautes

Durée de vie résiduelle

Système à évènements discrets

Fault diagnosis and prognisis

Discrete event systems

Stochastic Petri nets

Fault date estimation

Remaining useful life

Environnement de programmation, support à l'exécution et simulateur pour machines à grand nombre de cœurs.

Certner, Olivier

15 December 2010

L'accroissement régulier de la fréquence des micro-processeurs et des importants gains de puissance qui en avaient résulté ont pris fin en 2005. Les autres techniques matérielles d'amélioration de performance se sont largement essouflées. Les fabricants de micro-processeurs ont donc choisi d'exploiter le nombre croissant de transistors disponibles en plaçant plusieurs cœurs de processeurs sur une même puce. Dans cette thèse, nous préparons l'arrivée de processeurs multi-cœur à grand nombre de cœurs par des recherches dans trois directions. Premièrement, nous améliorons l'environnement de parallélisation CAPSULE (parallélisation conditionnelle) en lui adjoignant des primitives de synchronization de tâches robustes. Nous montrons les gains obtenus par rapport aux approches usuelles en terme de rapidité et de stabilité du temps d'exécution. Deuxièmement, nous adaptons CAPSULE à des machines à mémoire distribuée en présentant un modèle de données qui permet au système de déplacer automatiquement les données en fonction des accès effectués par les programmes. De nouveaux algorithmes répartis et locaux permettent de décider de la création effective des tâches et de leur répartition. Troisièmement, nous développons un nouveau simulateur d'évènements discrets, SiMany, qui peut prendre en charge des centaines à des milliers de cœurs. Il est plus de 100 fois plus rapide que les meilleurs simulateurs flexibles actuels. Après validation, nous montrons que SiMany permet l'exploration d'un plus large champ d'architectures ainsi que l'étude des grandes lignes du comportement des logiciels sur celles-ci.

Processeurs multi-coeurs

Parallélisation conditionnelle

Répartition de tâches

Machines à mémoire répartie

Synchronisation spatiale

Simulateur à évènements discrets

Algorithmes répartis

Diagnostic et observation d'une classe de systèmes dynamiques hybrides. Application au convertisseur multicellulaire série / Diagnosis and observation of a class of hybrid dynamical systems Application to the multicellular converter

Van Gorp, Jérémy

05 December 2013

Cette thèse s’intéresse au diagnostic et à l’observation de systèmes linéaires à commutations et à l’application au convertisseur multicellulaire série. L’objectif est de proposer des solutions pour des sous-systèmes non-observables au sens classique et dont des fautes continues ou discrètes peuvent être présentes. Après la présentation d’un état de l’art sur les techniques d’observation et de diagnostic pourles systèmes à commutations, le mémoire est scindé en deux parties. La première partie propose, d’une part, une stratégie d’estimation des états discret et continu d’un système linéaire à commutation soumis à une entrée inconnue. Un observateur hybride basé sur la théorie des modes glissants d’ordre supérieur est développé. D’autre part, deux procédures de diagnostic sont présentées. La première combine un observateur hybride et un diagnostiqueur pour détecter une faute continue. Pour la seconde, un diagnostic actif est défini sur la base de la théorie du test afin de détecter et d’isoler une faute discrète. Dans la seconde partie de ce mémoire, les étapes de la réalisation d’un convertisseur multicellulaire sont détaillées. Ensuite, un chapitre est dédié à la validation des approches théoriques d’observation et de diagnostic sur le convertisseur à trois cellules. Un observateur est synthétisé afin d’estimer les tensions des capacités. Les deux procédures de diagnostic sont appliquées pour la détection d’une variation des valeurs des capacités et le diagnostic de cellules bloquées. Enfin, une commande binaire pour le convertisseur est proposée. L’application de cette stratégie permettra, par la suite, la commande tolérante aux fautes du convertisseur. / This thesis deals with the diagnosis and the observation of a large class of switched linear systems with an application to the multicellular converter. The objective is to provide solutions for non-observable subsystems in the classical sense which can be influenced by continuous or discrete faults. After presenting a state of the art for the observation and diagnostic techniques for switched systems, the report is divided into two parts. The first part provides, in one hand, a strategy for the discrete and continuous states estimation for linear switched system with unknown input. A hybridobserver based on higher order sliding mode is developed. On the other hand, two diagnostic procedures are presented. The first one combines a hybrid observer and a discrete diagnoser to detect a continuous fault. In the second one, an active diagnosis is defined based on the testing theory to detect and isolate a discrete fault. In the second part of this thesis, the different steps to create a multicellular converter are detailed. Then, a chapter is dedicated to the validation of the theoretical approaches for the observation and diagnosis of the three cells converter. An observer is designed to estimate the capacitor voltages. The two proposed diagnosis procedures are applied to detect a change in the capacitance values and to diagnose locked cells. Finally, a binary control for the converter is proposed. The implementation of this strategy will allow, in the future, the fault tolerant control of the converter.

Système linéaire à commutations

Observation hybride

Diagnostic actif

Diagnostic basé observateur

Système à évènements discrets

Observateur par modes glissants

Convertisseur multicellulaire série

Commande binaire

Fonction de Lyapunov

Switched linear system

Hybrid observation

Active diagnosis

Diagnosis based observer

Discrete event system

Sliding mode observer

Multicellular converter

Binary control

Lyapunov function