Cadres pour l'analyse multi-perspective des infrastructures critiques / Frameworks for the multi-perspective analysis of critical infrastructures

Han, Fangyuan

23 January 2018

Les infrastructures critiques (CIs) sont essentielles au fonctionnement de la société moderne. Leur sécurité et leur fiabilité sont les principales préoccupations. La complexité des CIs exige des approches d'analyse de système capables de voir le problème de plusieurs points de vue. La présente thèse porte sur l'intégration de la perspective de contrôle dans l'analyse de sécurité et de fiabilité des éléments de configuration. L'intégration est d'abord abordée par examiner les propriétés de contrôle d'un microgrid d'alimentation électrique. Un schéma basé sur la simulation est développé pour l'analyse sous différentes perspectives : le service d'approvisionnement, la contrôlabilité et la topologie. Un cadre basé sur la commande prédictive (MPC) est proposé pour analyser le microrgrid dans divers scenarios de défaillance. Ensuite, un cadre multi-perspectif est développé pour analyser les CIs considérant le service d'approvisionnement, la contrôlabilité et la topologie. Ce cadre permet d'identifier le rôle des éléments de CIs et de quantifier les conséquences de scénarios de défaillances, par rapport aux différents perspectives considérées. Afin de présenter le cadre d'analyse, un réseau de transport de gaz réel à travers plusieurs pays de l'Union européenne est considéré comme une étude de cas. En fin, un cadre d'optimisation a trois objectifs est proposé pour la conception de CI : la topologie du réseau et l'allocation des capacités de liaison sont optimisées minimisant la demande non fournie et la complexité structurelle du système, et en même temps maximisant la contrôlabilité du système. Une investigation approfondie sur les multiples objectifs considérés est effectuée pour tirer des informations utiles pour la conception du système. Les résultats de cette thèse démontrent l'importance de développer du cadre d'analyse des CIs considérant de plusieurs perspectives pertinentes pour la conception, l'opération et la protection des CIs. / Critical infrastructures (CIs) provide essential goods and service for modern society. Their safety and reliability are primary concerns. The complexity of CIs calls for approaches of system analysis capable of viewing the problem from multiple perspectives. The focus of the present thesis is on the integration of the control perspective into the safety and reliability analysis of CIs. The integration is first approached by investigating the control properties of a small network system, i.e., an electric power microgrid. A simulation-based scheme is developed for the analysis from different perspectives: supply service, controllability and topology. An optimization-based model predictive control framework is proposed to analyze the microgrid under various failure scenarios. Then, a multi-perspective framework is developed to analyze CIs with respect to supply service, controllability and topology. This framework enables identifying the role of the CI elements and quantifying the consequences of scenarios of multiple failures, with respect to the different perspectives considered. To demonstrate the analysis framework, a benchmark network representative of a real gas transmission network across several countries of the European Union (EU) is considered as case study. At last, a multi-objective optimization framework is proposed for complex CIs design: design of network topology and allocation of link capacities are performed in an optimal way to minimize the non-supplied demand and the structural complexity of the system, while at the same time to maximize the system controllability. Investigation on the multiple objectives considered is performed to retrieve useful insights for system design. The findings of this thesis demonstrate the importance of developing frameworks of analysis of CIs that allow considering different perspectives relevant for CIs design, operation and protection.

Infrastructures critiques

Réseau complexe

Fiabilité

Contrôlabilité

Analyse multiperspective

Optimisation multi-objectif

Critical infrastructures

Complex networks

Controllability

Multi-perspective analysis

Multi-objective optimization

Measuring and Enhancing the Resilience of Interdependent Power Systems, Emergency Services, and Social Communities

Valinejad, Jaber

28 January 2022

Several calamities occur throughout the world each year, resulting in varying losses. Disasters wreak havoc on infrastructures and impair operation. They result in human deaths and injuries and stress people's mental and emotional states. These negative impacts of natural disasters induce significant economic losses, as demonstrated by the $ 423 billion loss in 2011 in Tohoku, Japan, and the $ 133 billion loss in hurricane Harvey, U.S.A. Every year, hurricanes and tropical storms result in 10,000 human deaths worldwide. To mitigate losses, communities' readiness, flexibility, and resilience must be strengthened. To this end, appropriate techniques for forecasting a community's capacity and functionality in the face of impending crises must be developed and suitable community resilience metrics and their quantification must be established. Collaboration between critical infrastructures such as power systems and emergency services and social networks is critical for building a resilient community. As a result, we require metrics that account for both the social and infrastructure aspects of the community. While the literature on critical infrastructures such as power systems discusses the effect of social factors on resilience, they do not model these social factors and metrics due to their complexity. On the other hand, it turns out that the role of critical infrastructures and some critical social characteristics is overlooked in the computational social science literature on community resilience. Thus, this dissertation presents a multi-agent socio-technical model of community resilience, taking into account the interconnection of power systems, emergency services, and social communities. We offer relevant measures for each section and describe dynamic change and its dependence on other metrics using a variety of theories and expertise from social science, psychology, electrical engineering, and emergency services. To validate the model, we used data on two hurricanes (Irma and Harvey) collected from Twitter, GoogleTrends, FEMA, power utilities, CNN, and Snopes (a fact-checking organization). We also describe methods for quantifying social metrics such as anxiety, risk perception, cooperation using social sensing, natural language processing, and text mining tools. / Doctor of Philosophy / Power systems serve social communities that consist of residential, commercial, and industrial customers. The social behavior and degree of collaboration of all stakeholders, such as consumers, prosumers, and utilities, affect the level of preparedness, mitigation, recovery, adaptability, and, thus, power system resilience. Nonetheless, the literature pays scant attention to stakeholders' social characteristics and collaborative efforts when confronted with a disaster and views the problem solely as a cyber-physical system. However, power system resilience, which is not a standalone discipline, is inherently a cyber-physical-social problem, making it complex to address. To this end, in this dissertation, we develop a socio-technical power system resilience model based on neuroscience, social science, and psychological theories and use the threshold model to simulate the behavior of power system stakeholders during a disaster. We validate our model using datasets of hurricane Harvey of Category 4 that hit Texas in August 2017 and hurricane Irma of Category 5 that made landfall in Florida in September 2017. We retrieve these datasets from Twitter and GoogleTrend and then apply natural language processing and language psychology analysis tools to deduce the social behavior of the end-users.

Community Resilience

Critical Infrastructures

Power Systems

Social Networks

Emergency Services

Big Data

Social Media

Data Analytic

Social Computing

Natural Language Processing

Urban Computing

Computational Social Science

CPS Systems

Le contrôle d'accès des réseaux et grandes infrastructures critiques distribuées / Access control in distributed networks and critical infrastructures

Ameziane El Hassani, Abdeljebar

23 April 2016

La stabilité et le développement des nations dépendent grandement de leurs Infrastructures Critiques (IC). Vu leur importance, de nombreuses menaces guettent leurs systèmes d’information - aussi appelés Infrastructures d’Information Critiques (IIC) -, parmi elles: les atteintes à l’intégrité de leurs données et processus informatisés ainsi que les abus pouvant survenir au cours des collaborations avec d’autres parties. L’intégrité d’une information, qui est sa propriété de ne pas être altérée, est primordiale pour les IIC puisqu’elles manipulent et génèrent des informations devant nécessairement être correctes et fiables. Dans un contexte de mondialisation et d’ouverture, les IC ne peuvent évoluer sans collaborer avec leur environnement. Toutefois, cela n’est pas sans risques puisque les ressources qu’elles engagent peuvent faire l’objet de corruptions et de sabotages. Tentant de réduire les risques de corruptions pouvant émaner de l’intérieur comme de l’extérieur, nous avons œuvré à l’amélioration du mécanisme de contrôle d’accès. Incontournable, il vise à limiter les actions auxquelles peuvent prétendre les utilisateurs légitimes du système, conformément à la politique de sécurité de l’organisation. La pertinence et la finesse de cette dernière impacte grandement l’efficacité du mécanisme. Ainsi, les modèles de contrôle d’accès sont utilisés pour faciliter l’expression et l’administration desdites politiques. OrBAC est un modèle riche et dynamique, satisfaisant plusieurs besoins des IIC, en revanche il reste limité quant à la prise en charge de l’intégrité, aussi bien en contexte localisé que distribué. Ainsi, nous avons proposé une extension d’OrBAC pour les environnements localisés, Integrity-OrBAC (I-OrBAC), qui tient compte de contraintes réelles liées à l’intégrité pour statuer sur les requêtes d’accès. I-OrBAC intègre des paramètres issus de l’application de méthodes d’analyse de risques pour refléter les besoins des ressources passives et apprécier, à leur juste valeur, les habilitations des sujets. Cela nous a orientés vers une modélisation en multi-niveaux d’intégrité qui favorisera la priorisation des biens sensibles, comme la stipule les programmes de protection des IC. Dans I-OrBAC, les niveaux d’intégrité servent aussi bien à contraindre l’attribution des privilèges qu’à la rendre plus flexible : ces niveaux restreignent les accès pour garantir que seuls les utilisateurs chevronnés accèdent aux ressources sensibles, mais permettent aussi aux sujets de différents rôles de réaliser une même tâche, étant bien sûr assujettis à des niveaux seuils différents. Pour rendre I-OrBAC proactif - non limité à statuer uniquement sur les requêtes d’accès - nous avons proposé un algorithme qui vise à déterminer le sujet le plus adéquat, parmi les rôles prioritaires, pour la réalisation d’une tâche sans attendre que les sujets n’en fassent la requête. L’algorithme est décrit par un système d’inférence pour faciliter sa compréhension tout en favorisant la conduite de raisonnements logiques et la dérivation de conclusions. Nous avons proposé une implémentation de notre modèle dans le cadre d’une étude de cas tirée du projet européen FP7 CRUTIAL relatif aux réseaux de transport et de distribution d’électricité. Finalement, pour pallier les problèmes issus des collaborations, nous avons fait appel aux contrats électroniques pour étendre I-OrBAC aux environnements distribués - l’extension Distributed IOrBAC (DI-OrBAC). Ces pactes servent non seulement à définir le contexte, les clauses ainsi que les activités à réaliser mais aussi à prévenir l’occurrence de litiges et à les résoudre. Toutefois, nous avons dû concevoir des mécanismes adaptés à notre modèle I-OrBAC pour leur négociation et leur application. / Nations stability and development depend deeply on their Critical Infrastructures (CI). Given their importance, many threats target their information systems - also called Critical Information Infrastructures (CII) -, among them: the attacks against integrity of their data and computerized processes and the abuses that may occur during the collaborations with other parties. Information integrity, that is its property of not being corrupted, is paramount to the CII as they manipulate and generate information that must necessarily be correct and reliable. In the context of globalization and openness, CI cannot evolve without collaborating with their environment. However, this is not without risks, since their resources can be targets of corruptions and sabotages. Trying to reduce corruption risks that may occur both from inside and outside, we focused on improving the access control mechanism. Being necessary, it aims to limit the actions of the system legitimate users in accordance with the organization security policy. The relevance and the fine-grained property of the policy impact the effectiveness of the mechanism. Therefore, access control models are used to facilitate the expression and the administration of such policies. OrBAC is a rich and dynamic model, satisfying several CII needs; however it remains limited as to the support of integrity, both in local and distributed environments. Thus, we proposed an OrBAC extension for local environments, Integrity-OrBAC (IOrBAC), which takes into account real integrity constraints to rule on access requests. I-OrBAC includes some parameters extracted from the application of risk analysis methods to reflect passive resources needs and appreciate pertinently subjects’ clearances. This led us to a multi integrity levels modeling, that promotes the prioritization of sensitive resources just like the CI protection programs do. In I-OrBAC the integrity levels are used both to constraint the assignment of privileges and to make it more flexible: these levels restrict access to ensure that only experienced users access sensitive resources but also allow subjects of different roles to perform the same task, of course being subject to different threshold levels. To make IOrBAC proactive - not only being limited to ruling on access requests - we proposed an algorithm that aims to determine the most appropriate subject, among the priority roles, for achieving a task without waiting for subjects to request it. The algorithm is described by an inference system to ease its understanding while promoting the conduct of logical reasoning and deriving conclusions. We proposed an implementation of our model through a case study drawn from the FP7 European project (CRUTIAL) on electrical energy transmission and distribution. Finally, to address problems that arise from collaborations, we used electronic contracts to enrich and extend IOrBAC to serve in distributed environments - the extension is called Distributed I-OrBAC (DI-OrBAC). These agreements aim, on the one hand, to define the context, terms and activities to be achieved and serve, on the other hand, to prevent and resolve the disputes. However, we had to design appropriate mechanisms for our I-OrBAC model in order to lead correct negotiations and rigorous enforcement of these contracts.

Infrastructures critiques

Infrastructures d'informations critiques

IOrBAC

Niveaux d'intégrité

Criticité

Crédibilité

DI-OrBAC

Contrats électronique

Critical infrastructures

Critical information infrastructures

I-OrBAC

Integrity levels

Criticality

Credibility

DI-OrBAC

Electronic contracts

Detection of attacks against cyber-physical industrial systems / Détection des attaques contre les systèmes cyber-physiques industriels

Rubio Hernan, Jose Manuel

18 July 2017

Nous abordons des problèmes de sécurité dans des systèmes cyber-physiques industriels. Les attaques contre ces systèmes doivent être traitées à la fois en matière de sûreté et de sécurité. Les technologies de contrôles imposés par les normes industrielles, couvrent déjà la sûreté. Cependant, du point de vue de la sécurité, la littérature a prouvé que l’utilisation de techniques cyber pour traiter la sécurité de ces systèmes n’est pas suffisante, car les actions physiques malveillantes seront ignorées. Pour cette raison, on a besoin de mécanismes pour protéger les deux couches à la fois. Certains auteurs ont traité des attaques de rejeu et d’intégrité en utilisant une attestation physique, p. ex., le tatouage des paramètres physiques du système. Néanmoins, ces détecteurs fonctionnent correctement uniquement si les adversaires n’ont pas assez de connaissances pour tromper les deux couches. Cette thèse porte sur les limites mentionnées ci-dessus. Nous commençons en testant l’efficacité d’un détecteur qui utilise une signature stationnaire afin de détecter des actions malveillantes. Nous montrons que ce détecteur est incapable d’identifier les adversaires cyber-physiques qui tentent de connaître la dynamique du système. Nous analysons son ratio de détection sous la présence de nouveaux adversaires capables de déduire la dynamique du système. Nous revisitons le design original, en utilisant une signature non stationnaire, afin de gérer les adversaires visant à échapper à la détection. Nous proposons également une nouvelle approche qui combine des stratégies de contrôle et de communication. Toutes les solutions son validées à l’aide de simulations et maquettes d’entraînement / We address security issues in cyber-physical industrial systems. Attacks against these systems shall be handled both in terms of safety and security. Control technologies imposed by industrial standards already cover the safety dimension. From a security standpoint, the literature has shown that using only cyber information to handle the security of cyber-physical systems is not enough, since physical malicious actions are ignored. For this reason, cyber-physical systems have to be protected from threats to their cyber and physical layers. Some authors handle the attacks by using physical attestations of the underlying processes, f.i., physical watermarking to ensure the truthfulness of the process. However, these detectors work properly only if the adversaries do not have enough knowledge to mislead crosslayer data. This thesis focuses on the aforementioned limitations. It starts by testing the effectiveness of a stationary watermark-based fault detector, to detect, as well, malicious actions produced by adversaries. We show that the stationary watermark-based detector is unable to identify cyber-physical adversaries. We show that the approach only detects adversaries that do not attempt to get any knowledge about the system dynamics. We analyze the detection performance of the original design under the presence of adversaries that infer the system dynamics to evade detection. We revisit the original design, using a non-stationary watermark-based design, to handle those adversaries. We also propose a novel approach that combines control and communication strategies. We validate our solutions using numeric simulations and training cyber-physical testbeds

Sécurité cyber-physique

Théorie du contrôle

Sécurité du réseau

Systèmes contrôlés via un réseau

Infrastructures critiques

Détection d’attaques

Modèle d’adversaire

Adversaire cyber-physique

Cyber-physical security

Control theory

Network security

Networked-control system

Critical infrastructures

Attack detection

Adversary model

Cyber-physical adversary

A Bayesian network based on-line risk prediction framework for interdependent critical infrastructures

Schaberreiter, T. (Thomas)

04 October 2013

Abstract Critical Infrastructures (CIs) are an integral part of our society and economy. Services like electricity supply or telecommunication services are expected to be available at all times and a service failure may have catastrophic consequences for society or economy. Current CI protection strategies are from a time when CIs or CI sectors could be operated more or less self-sufficient and interconnections among CIs or CI sectors, which may lead to cascading service failures to other CIs or CI sectors, where not as omnipresent as today. In this PhD thesis, a cross-sector CI model for on-line risk monitoring of CI services, called CI security model, is presented. The model allows to monitor a CI service risk and to notify services that depend on it of possible risks in order to reduce and mitigate possible cascading failures. The model estimates CI service risk by observing the CI service state as measured by base measurements (e.g. sensor or software states) within the CI service components and by observing the experienced service risk of CI services it depends on (CI service dependencies). CI service risk is estimated in a probabilistic way using a Bayesian network based approach. Furthermore, the model allows CI service risk prediction in the short-term, mid-term and long-term future, given a current CI service risk and it allows to model interdependencies (a CI service risk that loops back to the originating service via dependencies), a special case that is difficult to model using Bayesian networks. The representation of a CI as a CI security model requires analysis. In this PhD thesis, a CI analysis method based on the PROTOS-MATINE dependency analysis methodology is presented in order to analyse CIs and represent them as CI services, CI service dependencies and base measurements. Additional research presented in this PhD thesis is related to a study of assurance indicators able to perform an on-line evaluation of the correctness of risk estimates within a CI service, as well as for risk estimates received from dependencies. A tool that supports all steps of establishing a CI security model was implemented during this PhD research. The research on the CI security model and the assurance indicators was validated based on a case study and the initial results suggest its applicability to CI environments. / Tiivistelmä Tässä väitöskirjassa esitellään läpileikkausmalli kriittisten infrastruktuurien jatkuvaan käytön riskimallinnukseen. Tämän mallin avulla voidaan tiedottaa toisistaan riippuvaisia palveluita mahdollisista vaaroista, ja siten pysäyttää tai hidastaa toisiinsa vaikuttavat ja kumuloituvat vikaantumiset. Malli analysoi kriittisen infrastruktuurin palveluriskiä tutkimalla kriittisen infrastruktuuripalvelun tilan, joka on mitattu perusmittauksella (esimerkiksi anturi- tai ohjelmistotiloina) kriittisen infrastruktuurin palvelukomponenttien välillä ja tarkkailemalla koetun kriittisen infrastruktuurin palveluriskiä, joista palvelut riippuvat (kriittisen infrastruktuurin palveluriippuvuudet). Kriittisen infrastruktuurin palveluriski arvioidaan todennäköisyyden avulla käyttämällä Bayes-verkkoja. Lisäksi malli mahdollistaa tulevien riskien ennustamisen lyhyellä, keskipitkällä ja pitkällä aikavälillä, ja mahdollistaa niiden keskinäisten riippuvuuksien mallintamisen, joka on yleensä vaikea esittää Bayes-verkoissa. Kriittisen infrastruktuurin esittäminen kriittisen infrastruktuurin tietoturvamallina edellyttää analyysiä. Tässä väitöskirjassa esitellään kriittisen infrastruktuurin analyysimenetelmä, joka perustuu PROTOS-MATINE -riippuvuusanalyysimetodologiaan. Kriittiset infrastruktuurit esitetään kriittisen infrastruktuurin palveluina, palvelujen keskinäisinä riippuvuuksina ja perusmittauksina. Lisäksi tutkitaan varmuusindikaattoreita, joilla voidaan tutkia suoraan toiminnassa olevan kriittisen infrastruktuuripalvelun riskianalyysin oikeellisuutta, kuin myös riskiarvioita riippuvuuksista. Tutkimuksessa laadittiin työkalu, joka tukee kriittisen infrastruktuurin tietoturvamallin toteuttamisen kaikkia vaiheita. Kriittisen infrastruktuurin tietoturvamalli ja varmuusindikaattorien oikeellisuus vahvistettiin konseptitutkimuksella, ja alustavat tulokset osoittavat menetelmän toimivuuden. / Kurzfassung In dieser Doktorarbeit wird ein Sektorübergreifendes Modell für die kontinuierliche Risikoabschätzung von kritische Infrastrukturen im laufenden Betrieb vorgestellt. Das Modell erlaubt es, Dienstleistungen, die in Abhängigkeit einer anderen Dienstleistung stehen, über mögliche Gefahren zu informieren und damit die Gefahr des Übergriffs von Risiken in andere Teile zu stoppen oder zu minimieren. Mit dem Modell können Gefahren in einer Dienstleistung anhand der Überwachung von kontinuierlichen Messungen (zum Beispiel Sensoren oder Softwarestatus) sowie der Überwachung von Gefahren in Dienstleistungen, die eine Abhängigkeit darstellen, analysiert werden. Die Abschätzung von Gefahren erfolgt probabilistisch mittels eines Bayessches Netzwerks. Zusätzlich erlaubt dieses Modell die Voraussage von zukünftigen Risiken in der kurzfristigen, mittelfristigen und langfristigen Zukunft und es erlaubt die Modellierung von gegenseitigen Abhängigkeiten, die im Allgemeinen schwer mit Bayesschen Netzwerken darzustellen sind. Um eine kritische Infrastruktur als ein solches Modell darzustellen, muss eine Analyse der kritischen Infrastruktur durchgeführt werden. In dieser Doktorarbeit wird diese Analyse durch die PROTOS-MATINE Methode zur Analyse von Abhängigkeiten unterstützt. Zusätzlich zu dem vorgestellten Modell wird in dieser Doktorarbeit eine Studie über Indikatoren, die das Vertrauen in die Genauigkeit einer Risikoabschätzung evaluieren können, vorgestellt. Die Studie beschäftigt sich sowohl mit der Evaluierung von Risikoabschätzungen innerhalb von Dienstleistungen als auch mit der Evaluierung von Risikoabschätzungen, die von Dienstleistungen erhalten wurden, die eine Abhängigkeiten darstellen. Eine Software, die alle Aspekte der Erstellung des vorgestellten Modells unterstützt, wurde entwickelt. Sowohl das präsentierte Modell zur Abschätzung von Risiken in kritischen Infrastrukturen als auch die Indikatoren zur Uberprüfung der Risikoabschätzungen wurden anhand einer Machbarkeitsstudie validiert. Erste Ergebnisse suggerieren die Anwendbarkeit dieser Konzepte auf kritische Infrastrukturen.

Bayesian networks

critical infrastructures

dependency

dynamic Bayesian networks

interdependency

modelling

monitoring

risk estimation

risk prediction

simulation

Bayes-verkot

dynaamiset Bayesin verkot

kriittinen infrastruktuuri

mallinnus

monitorointi

riippuvuus

riskiarviointi

riskin ennustaminen

simulointi

sisäinen riippuvuus

Abhängigkeiten

Bayessche Netzwerke

Modellierung

Risikoabschätzung

Risikovorhersage

Simulation

dynamische Bayessche Netzwerke

gegenseitige Abhängigkeiten

kritische Infrastrukturen

Überwachung