Automatic control advances in CPS security

Abstract

(English) Cyber-physical systems (CPSs) constitute a new generation of control systems that seeks a better integration between computation and physical processes. However, the notable advances of these systems in terms of efficiency and modularity come at the price of introducing new security vulnerabilities. Consequently, the complementation of existing cybersecurity methods with model-based techniques that take into account the effect of attacks on the system dynamics, has become an urgent need and a major theoretical challenge. Therefore, this thesis presents several contributions in the security of CPSs from an automatic control perspective. Notably, motivated by the concern that they generate in the industrial sector, attention is focused in two particular problems: the detection of replay attacks launched against control systems, and the reconfiguration of a hardware-redundant system after an anomaly causes the nominal component configuration to be no longer admissible. During this thesis, the non-negligible effect of the uncertainty that remains when modelling a dynamical system is addressed assuming an unknown-but-bounded description. As regards the detection of replay attacks, the bounded uncertainty premise has led to follow a set-based paradigm that allows to infer deterministically whether the system is under attack or not. In particular, the contributions presented in this field make use of zonotopic-sets in order to develop a set-invariance analysis on the detectability of the replay attack launched against the supervisory layer of a control system, as well as to derive explicit expressions regarding the attack detectability with respect the set-point output reference set from the supervision center. The advantages offered by zonotopes are exploited in the design of different physical watermarking schemes, which guarantee the detection of the attack either by injecting finite watermark sequences, or by imposing a continuous degradation of the system's operation. In addition, the relationship between the proposed zonotope-based deterministic techniques and the stochastic detection techniques, which are widely used in optimal control schemes, has been studied, obtaining analogous expressions that allow connecting both approaches. On the other hand, techniques for exploiting the physical redundancy common in large-scale systems, which often include back-up elements other than those used in nominal operation, are studied. On this subject, the (in some sense) optimal selection of the new system configuration after an anomaly detection is particularized for flow-based networks. In the first instance, the problem is addressed at a planning level, proposing a generic methodology where the selection of the optimal configuration is posed as a multi-objective mixed-integer program (MIP), pruned with the offline assessment of necessary properties. The methodology is further extended with the inclusion of closed-loop stability guarantees and the consideration of unknown-but-bounded uncertainty. On this subject, the admissibility of each configuration is evaluated according to the average stage-cost of the optimal periodic trajectory towards which the flow-based network can be robustly steered to. Besides, the configuration selection is solved using a single-layer robust model predictive control (MPC) scheme, where the local controller is designed using the minimal configurations that guarantee an admissible performance. To that end, several algorithms for searching minimum cardinality configurations in the associated lattice of configurations are proposed.

(Español) Los sistemas ciberfísicos (SCF) constituyen una nueva generación de sistemas de control que busca una mejor integración entre la parte computacional y los procesos físicos. Sin embargo, los notables avances que ofrecen estos sistemas en términos de eficiencia y modularidad, tienen como contrapartida la introducción de nuevas vulnerabilidades de seguridad. Como consecuencia, la complementación de los ya existentes métodos de ciberseguridad con técnicas basadas en modelo que analicen los posibles efectos que producen los ataques en las dinámicas del sistema, aparece como una necesidad imperiosa que, a su vez, plantea un gran reto académico. Por consiguiente, esta tesis presenta varias contribuciones en la seguridad de los SCF desde la perspectiva del control automático. En particular, motivado por su interés industrial, la atención se ha centrado en dos problemas concretos: la detección de ataques de repetición lanzados sobre un sistema de control, y la reconfiguración de un sistema que presenta redundancia de componentes físicos después de que una anomalía cause la inadmisibilidad de la configuración de elementos nominal. Durante esta tesis, el efecto no negligible de la incertidumbre que aparece al modelar un sistema físico es abordado mediante una descripción desconocida pero acotada. En lo referente a la detección de los ataques de repetición, la premisa de considerar técnicas basadas en conjuntos, las cuales permiten inferir de forma determinista si el sistema se encuentra, o no, bajo ataque. En particular, los conjuntos zonotopicos son utilizados para desarrollar un análisis de invariancia sobre la detectabilidad de los ataques de repetición que afectan la capa de supervisión de un sistema de control, así como para la obtención de expresiones analíticas que relacionan la consigna que es fijada desde el centro de supervisión con la detección del ataque. Las ventajas que ofrecen los zonotopos son aprovechadas en el diseño de distintos esquemas de marca de agua física mediante los cuales se puede garantizar la detección del ataque, bien a través de la inyección discreta de señales secuenciales, o bien mediante una degradación continua de la operación del sistema. Además, se ha estudiado la relación entre las técnicas deterministas propuestas y las técnicas de detección estocásticas, que son ampliamente usadas en los esquemas de control óptimos, obteniéndose expresiones análogas que permiten conectar ambas aproximaciones. Por otro lado, también se han investigado distintas técnicas para el aprovechamiento inteligente de la redundancia física que es común en sistemas de gran escala. En concreto, se analiza como seleccionar los componentes de respaldo que dan lugar a una nueva configuración óptima tras la detección de una anomalía en una red de flujo. En una primera instancia, se aborda el problema desde la capa de planificación, proponiéndose una metodología general donde la selección de la configuración es formulada como una optimización multiobjetivo mixta en enteros, que es previamente filtrada con la evaluación fuera de línea de propiedades necesarias. Esta metodología es extendida con la inclusión de garantías de estabilidad en lazo cerrado e incertidumbres. A este respecto, la admisibilidad de cada configuración es evaluada en función de la trayectoria periódica óptima hacia la que se puede hacer converger de forma robusta el sistema, mientras que la selección de la configuración es planteada usando esquemas de control de modelo predictivo (CMP) de una capa, cuyo controlador local es diseñado usando la configuración de actuadores mínima que garantiza una operación admisible. Con ese fin, también se proponen distintos algoritmos para buscar tales configuraciones mínimas.