Αντίπαλες τακτικές ελέγχου για κυβερνοφυσικά συστήματα

Abstract

This dissertation addresses the design of attack scenarios along with the development of suitable attack detection methods using control-theoretic tools, thus giving rise to adversary control tactics in cyber-physical systems. The main characteristic of the systems under consideration is the existence of operational constraints, which are associated with both the control input and the state vector. The constraints are polyhedral in nature and represent saturation bounds, when it comes to the control input, and safety or performance criteria, when it comes to the state vector. We demonstrate that these constraints can be exploited for the design of effective attacks using tools from the classical control theory, such as the polyhedral Lyapunov functions, in conjunction with modern optimization techniques. Furthermore, it is shown that based on the same constraints we can develop enhanced attack detection methods with the help of set-theoretic tools, such as the robust invariant sets. The assessment of our research results is performed in terms of the analysis of a cyber-physical electric power system and more specifically through the study of the load-frequency control loop. The transmission of measurements from remote sensors through unprotected communication channels along with the absence of any human-operators in the various data management layers justify completely the selection of this particular control loop for the purposes of a cybersecure-oriented study. The model that we used to describe the interactions between the individual control areas of a generic electric power network is linear and time invariant. Furthermore, we chose to represent the evolution of the dynamic phenomena in the discrete-time domain in order to reduce the computational cost during the design of the attacks and the detectors. The cases of an islanded and a networked power system, both in the presence and in the absence of a power load, where examined separately. The dissertation is focused on the study of two attack scenarios. Initially, we study the scenario, where the system is denied service from the control center and the input signal is supplanted by the attack signal, whereas in the sequel we study the scenario where the measurement data, which are collected by the sensors and used by the system controllers, are corrupted. In both cases, the aim of the attacker is to cause system malfunctions, either by deregulating the electrical frequency from its nominal value or by desynchronizing the coupled generators. Special effort was made to design effective attacks, while gradually reducing the knowledge and information resources required about the system characteristics, with the purpose of studying realistic scenarios. We addressed the cases of both persistent and switching attacks. For the design of the detectors, a set-theoretic approach was adopted. The key idea is the activation of an alarm signal, whenever the state vector trajectory exits a robust invariant polyhedral set. The robustness property provides us with the ability to detect attacks even in the case where the system is simultaneously affected by power load changes, assuming that the latter ones remain bounded. The design of the detector is complemented by an alternative modeling method of the networked power system, which prompts certain state variables to behave in an unstable manner, when the measurement data are corrupted. It is shown that the convex and compact nature of the robust invariant sets along with the unstable system behavior, in the presence of an attacker, guarantee the detection of both persistent and switching data corruption attack patterns, something that the conventional detectors, which are implemented as state estimators, are unable to ensure.

Η διατριβή αυτή πραγματεύεται το σχεδιασμό επιθέσεων, καθώς επίσης και την ανάπτυξη κατάλληλων μεθόδων ανίχνευσής τους με τη χρήση εργαλείων της θεωρίας ελέγχου, δίνοντας έτσι λαβή σε αντίπαλες τακτικές ελέγχου σε κυβερνοφυσικά συστήματα. Το κύριο χαρακτηριστικό των υπό μελέτη συστημάτων είναι η ύπαρξη περιορισμών λειτουργίας, οι οποίοι σχετίζονται τόσο με την είσοδο όσο και με το διάνυσμα κατάστασης. Οι περιορισμοί είναι πολυεδρικοί ως προς τη φύση τους και αντιπροσωπεύουν όρια κορεσμού, σε ό,τι αφορά την είσοδο, και κριτήρια ασφάλειας ή επιδόσεων, σε ό,τι αφορά το διάνυσμα κατάστασης. Αποδεικνύεται ότι αυτοί οι περιορισμοί μπορούν να χρησιμοποιηθούν για το σχεδιασμό αποτελεσματικών επιθέσεων, αξιοποιώντας βασικές έννοιες της θεωρίας ευστάθειας, όπως οι πολυεδρικές συναρτήσεις Lyapunov, σε συνδυασμό με μοντέρνες τεχνικές βελτιστοποίησης. Επιπλέον, αποδεικνύεται ότι στηριζόμενοι στους ίδιους περιορισμούς μπορούμε να αναπτύξουμε βελτιωμένες τεχνικές ανίχνευσης επιθέσεων με τη βοήθεια συνολοθεωρητικών εργαλείων, όπως τα σθεναρώς αμετάβλητα σύνολα. Η αξιολόγηση των ερευνητικών μας αποτελεσμάτων πραγματοποιείται στα πλαίσια της ανάλυσης ενός κυβερνοφυσικού συστήματος παραγωγής ηλεκτρικής ενέργειας και πιο συγκεκριμένα μέσα από τη μελέτη του βρόχου ελέγχου φορτίου-συχνότητας. Η αποστολή μετρήσεων από απομακρυσμένους αισθητήρες μέσω αθωράκιστων καναλιών επικοινωνίας σε συνδυασμό με την απουσία ανθρώπων-χειριστών στα επιμέρους επίπεδα διαχείρισης των δεδομένων δικαιολογούν πλήρως την επιλογή του συγκεκριμένου βρόχου για μία μελέτη κυβερνοασφάλειας. Το μοντέλο το οποίο χρησιμοποιήθηκε για να περιγράψει τις σχέσεις αλληλεπίδρασης μεταξύ των επιμέρους περιοχών ελέγχου ενός ευρύτερου δικτύου ηλεκτρικής ενέργειας είναι γραμμικό και χρονικώς αμετάβλητο. Επιπλέον, επιλέξαμε να αναπαραστήσουμε την εξέλιξη των δυναμικών φαινομένων στο πεδίο του διακριτού χρόνου, έτσι ώστε να μειώσουμε το υπολογιστικό κόστος κατά το σχεδιασμό επιθέσεων και ανιχνευτών. Οι περιπτώσεις ενός απομονωμένου και ενός δικτυωμένου συστήματος ενέργειας, τόσο παρουσία όσο και απουσία ηλεκτρικού φορτίου, εξετάσθηκαν ξεχωριστά. Τα σενάρια των επιθέσεων στα οποία επικεντρώνεται η διατριβή είναι δύο. Αρχικά μελετήθηκε το σενάριο της διακοπής εξυπηρέτησης του συστήματος από το κέντρο ελέγχου και η υποκατάσταση του σήματος εισόδου από το σήμα επίθεσης, ενώ στη συνέχεια μελετήθηκε το σενάριο της αλλοίωσης των δεδομένων μέτρησης που συλλέγονται από τους αισθητήρες και χρησιμοποιούνται από τους ελεγκτές του συστήματος. Σε κάθε περίπτωση, στόχος του επιτιθέμενου είναι η πρόκληση βλάβης στο σύστημα είτε με απορρύθμιση της ηλεκτρικής συχνότητας από την ονομαστική της τιμή, είτε με αποσυγχρονισμό των συζευγμένων γεννητριών. Ιδιαίτερη προσπάθεια καταβλήθηκε για το σχεδιασμό αποτελεσματικών επιθέσεων ελαττώνοντας σταδιακά τους απαιτούμενους πόρους γνώσης και πληροφορίας ως προς τα χαρακτηριστικά του συστήματος, με σκοπό τη μελέτη ρεαλιστικών σεναρίων. Οι περιπτώσεις συνεχόμενων και διακοπτικών επιθέσεων ερευνήθηκαν εξίσου. Για το σχεδιασμό των ανιχνευτών υιοθετήθηκε μία συνολοθεωρητική προσέγγιση. Η κεντρική ιδέα εντοπίζεται στην ενεργοποίηση ενός σήματος συναγερμού οποτεδήποτε η τροχιά του διανύσματος κατάστασης εξέρχεται από ένα σθεναρώς αμετάβλητο πολυεδρικό σύνολο. Η ιδιότητα της σθεναρότητας προσφέρει τη δυνατότητα ανίχνευσης επιθέσεων ακόμα και στην περίπτωση κατά την οποία το σύστημα επηρεάζεται ταυτόχρονα από μεταβολές του ηλεκτρικού φορτίου, υπό την προϋπόθεση ότι οι τελευταίες παραμένουν φραγμένες. Ο σχεδιασμός του ανιχνευτή συμπληρώνεται από μία εναλλακτική μέθοδο μοντελοποίησης του δικτυωμένου συστήματος ενέργειας, η οποία προκαλεί την ασταθή απόκριση συγκεκριμένων εικονικών μεταβλητών κατάστασης όταν αλλοιώνονται οι μετρήσεις των αισθητήρων. Αποδεικνύεται ότι η κυρτή και συμπαγής φύση των σθεναρώς αμετάβλητων συνόλων σε συνδυασμό με την ασταθή συμπεριφορά του συστήματος, κατά την παρουσία ενός επιτιθέμενου, εξασφαλίζουν την ανίχνευση τόσο συνεχόμενων όσο και διακοπτικών επιθέσεων αλλοίωσης δεδομένων, κάτι το οποίο δεν είναι σε θέση να εγγυηθούν οι συνηθισμένοι ανιχνευτές, που υλοποιούνται ως εκτιμητές κατάστασης.