Cross-Layer Security for Resilient Cyber-Physical Systems

Abstract

Cyber-physical system (CPS) is an integration of physical systems in the real world and control software in the cyber world. The physical systems and the control software are connected by wired and wireless networks, which enhance the connectivity of each CPS component more than conventional embedded systems. However, due to the enhanced connectivity, malicious attacks can be launched through the networks, which degrade the control performance or destabilize the physical systems. In particular, the real-time interactions between the physical systems and networks are the main target of the attacker. The main topic of this dissertation is the design of resilient cyber-physical systems against the cross-layer cyber-physical attacks that target the interactions between the physical systems and networks. Cross-layer cyber-physical attack is defined as the attack having different attack media and attack target, which correspond to the attack access location and disruption object of the attacker, respectively. Unlike conventional physical attacks and network attacks, the cyber-physical security strategies against the cross-layer cyber-physical attacks must consider both aspects of the physical systems and the networks. Furthermore, cyber-physical security strategies detect cyber-physical attacks and have resiliency. By cyber-physical attacks, the physical systems are disrupted in a timely manner; therefore, the cyber-physical security strategies must provide control performance recovery to mitigate the physical impact of the attacks in real-time. As a countermeasure for the cross-layer cyber-physical attacks targeting physical systems, we propose a resilient CPS framework with a holistic network-wide approach. The proposed CPS framework has three resilient functions; attack detection, attacker isolation, and path recovery. When the cyber-physical attack is launched, distributed network devices detect the cyber-physical attacks with control-theoretical attack detection algorithms and notify a network manager of the attack. After detection, the network manager estimates the location of the attacker and isolation the attacker on the networks. Finally, the network manager reconstructs the communication path between the physical systems and computing systems to reestablish feedback control loops between them, which recover the control performance of the physical systems from the physical damage by the attacks. We consider pole-dynamics attack as an example of sophisticated cross-layer cyber-physical attacks and implement the proposed CPS framework with software-defined networking (SDN). By implementing a testbed, we show that the proposed CPS framework can ensure the safety of the physical systems in real-time. For the cross-layer cyber-physical attacks targeting networks, we first propose a novel cyber-physical attack named disturbance-induced denial-of-service attack. The proposed attack consumes limited network resources by injecting physical disturbances to the physical systems with an aperiodic control strategy. The attack-induced delays interfere with transmissions of control-related packets for the feedback control, which degrades the control performance or destabilizes the physical systems. To ensure the stability of the physical systems under the novel cyber-physical attack, we propose a resilient CPS framework consisting of a detection algorithm and two attack mitigation algorithms. The proposed CPS framework detects the DIDoS attack with a disturbance estimator using control input signals, state measurements, and the physical system model. In addition, the controller gain tuning and access point (AP) handover algorithms mitigate the impact of the DIDoS attack by diminishing network utilization of the physical systems. By conducting simulations, we evaluate the impact of the proposed attack and the resiliency of the proposed CPS framework. Simulation results for the physical impact show that the proposed attack drastically increases transmission delays for control input signals, which destabilizes not only the compromised physical systems but also the benign physical systems. In addition, the controller gain tuning and AP handover algorithms can reduce network delays by reducing the traffic generation of benign physical systems, and migrating networks of some physical systems, respectively. From a realistic CPS viewpoint, we design a resilient cyber-physical security strategy, where we consider communication-based train control (CBTC) systems that consist of trains on the railway, ground facilities, and wired/wireless networks to connect them. Through the networks, the malicious attacker launches the cyber-physical attacks targeting CBTC systems, which cause significant traffic accidents, such as derailment and train collisions. For the control command manipulation on the network, we show that the cross-layer cyber-physical attack on the wireless networks can cause train collision accidents. As a countermeasure of the cyber-physical attack, we implement the resilient CPS framework based on the SDN, which provides an attack detection and an emergency braking function to prevent train collisions in real-time. We evaluate the safety performance of the proposed CPS framework in a realistic CBTC testbed, where the experimental result shows that the proposed framework executes the emergency braking function within 2.5 s, which is short enough time to ensure the safety of the CBTC systems against the cyber-physical attack causing the train collision accidents. |사이버물리시스템은 현실세계의 물리시스템과 사이버공간의 제어소프트웨어의 결합으로 정의된다. 사이버물리시스템의 네트워크는 물리시스템들과 소프트웨어 간의 실시간 상호작용을 지원하며 기존 임베디드시스템 보다 확장된 연결성을 제공한다. 하지만, 사이버물리시스템에서 네트워크 도입으로 향상된 연결성은, 악의적인 공격자의 네트워크를 통한 사이버물리공격 인가를 허용하며, 이는 사이버물리시스템의 제어 성능을 악화시키고 심지어 물리시스템을 불안정한 상태를 초래한다. 특히, 물리시스템과 네트워크 간의 실시간 상호작용은 사이버물리공격자의 주요 공격 대상이다. 이에 대해, 본 학위 논문의 주요 주제는 물리시스템과 네트워크간의 상호작용을 대상으로 하는 계층간 사이버물리공격에 대응하는 보안기법과 자율복원 사이버물리시스템을 설계하는 것이다. 계층간 사이버물리공격은 공격자의 접근위치를 의미하는 공격매체와 공격의 파괴목표 개체를 의미하는 공격 대상이 상이한 사이버물리공격으로 정의된다. 기존의 물리적 공격 또는 네트워크 공격과 달리, 계층간 사이버물리공격에 대한 보안기법들은 물리시스템의 관점과 네트워크 관점을 모두 고려하여 설계되어야 한다. 또한, 사이버물리 보안기법들은 공격 검출뿐만 아니라 공격에 의한 물리적 피해를 실시간으로 회복하는 자율복원능력을 포함하여야 한다. 물리시스템을 공격대상으로 가지는 계층간 사이버물리공격의 대응책으로서, 네트워크관점에서의 자율복원 사이버물리시스템 프레임워크를 제안한다. 제안하는 프레임워크는 공격 검출, 공격자 격리, 경로 복구 기능을 포함한다. 네트워크상에 분산되어 설치된 네트워크 장비들이 제어이론 기반의 공격 검출 알고리즘을 보유하고 있으며, 사이버물리 공격이 인가되었을 때, 네트워크 장비들은 실시간으로 공격을 검출하고 네트워크 매니저에게 보고한다. 공격 검출이 수행된 이후, 네트워크 매니저는 공격자의 침입위치를 추정하고, 공격자를 네트워크로부터 격리한다. 마지막으로, 네트워크 매니저는 공격자 격리에 의해 소실된 물리시스템과 컴퓨팅 장비간의 통신 경로를 복구하며, 이는 공격에 의한 물리시스템의 피해를 복구한다. 가장 정교한 계층간 사이버물리공격 중 하나인 극 역학 (pole-dynamics) 공격에 대해, 소프트웨어 정의 네트워킹 (software-defined networking) 기반의 제안한 프레임워크가 물리시스템의 안정성을 보장할 수 있음을 실험을 통해 검증한다. 네트워크를 공격대상으로 가지는 계층간 사이버물리공격을 대상으로, 사이버물리시스템의 새로운 취약점 중 하나인 외란 기반의 서비스 거부 공격을 제안한다. 제안된 공격은 비주기 제어기법을 사용하는 물리시스템을 대상으로 외란을 인가하여 제한된 네트워크 자원을 고갈시킨다. 제안된 공격에 의해 유발된 전송지연은 제어정보가 포함된 패킷의 전송을 방해하며, 이는 물리시스템의 제어성능을 저하시키거나 물리시스템을 불안정하게 만든다. 제안된 공격에 대한 대응기법으로서, 공격 검출 알고리즘과 두 가지 공격 완화 알고리즘을 포함하는 자율복원 사이버물리시스템 프레임워크를 제안한다. 제안된 프레임워크는 제어 입력 신호와 물리시스템의 상태정보, 물리시스템의 모델을 활용한 외란 추정 기법을 사용하여 공격을 검출한다. 또한, 제어기 이득 조율 알고리즘과 액세스 포인트 변경 알고리즘은 네트워크 사용량을 줄여 제안된 공격의 영향을 감경시킨다. 공격 영향에 대한 시뮬레이션 결과는 제안된 공격이 컴퓨팅 장비로부터 물리시스템으로 전송되는 제어입력신호에 대한 전송지연을 증가시켜 물리시스템을 불안정 시킴을 입증하며, 이는 제안된 공격이 외란이 인가된 물리시스템 뿐만 아니라, 외란의 영향이 없는 물리시스템도 불안정한 상태가 되게 할 수 있음을 보인다. 또한, 제어기 이득 조율 알고리즘과 액세스 포인트 변경 알고리즘은 각각 외란의 영향이 없는 물리시스템의 네트워크 사용량 감소와 네트워크 변경을 통해서 기존 네트워크의 전송 지연을 감소시켜 통해 물리시스템의 안정성을 보장함을 시뮬레이션을 통해 검증한다. 다수의 열차와 지상 제어시스템이 유무선네트워크로 연결된 통신기반 열차제어시스템을 대상으로 실질적인 사이버물리시스템의 관점에서의 자율복원 가능한 사이버물리보안 기법을 제안한다. 악의적인 공격자는 네트워크를 통해서 통신기반 열차공격에 대한 사이버물리 공격을 인가할 수 있으며, 이는 열차의 탈선이나 충돌을 유발할 수 있다. 무선네트워크상에서 전달되는 제어입력의 변조를 통해, 공격자가 열차의 충돌을 유발하는 계층간 사이버물리공격이 인가될 수 있음을 보인다. 계층간 사이버물리공격의 대응책으로서, 소프트웨어 정의 기반 네트워킹 기술을 활용한 자율복원 사이버물리시스템 프레임워크를 제안하였으며, 이는 사이버물리 공격의 검출과 열차 충돌 방지를 위한 긴급정지 기능을 제공한다. 실제 환경과 유사한 테스트베드 환경에서 실험을 진행한 결과, 제안하는 자율복원 프레임워크가 열차의 충돌을 방지하기에 충분히 짧은 시간인 2.5초 이내에 긴급 정지 기능을 제공함을 입증한다.