Evénements



Calendrier

août 2017 :

Rien pour ce mois

juillet 2017 | septembre 2017

Sécurité en Profondeur des Infrastructures Industrielles de Contrôle-Commande liés aux actions malveillantes : une approche réactive de surveillance et de supervision orientée maîtrise des risques

Accueil > Communauté GOSPI > Thèses

Doctorant : Sicard Franck

  • Directeur : ZAMAI Eric
  • Laboratoire : G-SCOP

1. Problématique De nos jours, la plupart des systèmes de contrôle commande et de nombreux systèmes embarqués sont connectés en réseau, soit local, soit même à l’Internet [8][11]. Dans tous les cas, ils sont relativement facilement accessibles à des logiciels malveillants qui chercheraient à en prendre le contrôle pour exécuter des actions dangereuses ou paralysantes pour les installations [1][2][3]. Ces systèmes présentent donc des risques liés à leur vulnérabilité informatique. Pour diminuer celle-ci plusieurs axes d’action sont possibles. Le premier consiste à sécuriser les échanges de données en utilisant un protocole sécurisé. Cependant, si un logiciel malveillant réussi à franchir ce niveau de protection, ce qui n’est pas à exclure compte tenu de sa sensibilité aux erreurs humaines, le système de contrôle commande est entièrement accessible. Dans le cadre de cette étude, nous proposons d’ajouter un niveau de protection prenant en compte la spécificité des interactions entre le système de contrôle-commande et le système physique qui est contrôlé : alors qu’il peut être difficile d’évaluer la dangerosité de l’exécution d’une instruction informatique par un système quelconque, cela peut être beaucoup plus facilement envisageable lorsque cette action agit sur un système physique dont on peut construire un modèle de comportement. Nous parlerons donc ici d’approche métier de la sécurité du contrôle-commande industriel. Cet axe de recherche est à ce jour très peu considéré dans le cadre d’attaques ciblées. Il reste pourtant fondamental à développer car faisant office de dernier rempart lorsque les autres barrières auront été franchies. Sur le plan de la recherche, la problématique cyber-attaque rejoint en fait celle de la surveillance et de la sûreté de fonctionnement des installations industrielles qui doivent faire face des aléas de fonctionnement non ciblés. Par exemple, un procédé de fabrication qui a déjà atteint une température élevée dont on maintient la chauffe, entre dans une zone dangereuse. Il en est de même pour un véhicule qui a atteint une vitesse élevée et dont on maintient l’accélération dans un virage. Si on a encodé un parcours et qu’on dispose de coordonnées GPS, on pourra aussi évaluer la dangerosité des actions. Les informations pour évaluer cette dangerosité peuvent être trouvées dans le modèle du système piloté, ainsi que dans les analyses de risques réalisées pour ce système. L’objet de cette étude serait donc de réaliser, à partir de ces informations, un superviseur des informations issues du système de captage ainsi que des actions de contrôle, de façon à détecter ces événements anormaux afin de soit les rejeter, soit déclencher un mode de repli (a minima une alerte), en fonction du niveau de criticité de l’action associée. Ce niveau serait déterminé par une prédiction du comportement du système sur un horizon temporel, et une évaluation des conséquences. Ce superviseur sera chiffré et nécessiterait un accès de plus haut niveau pour être modifié, de façon à proposer un niveau de sécurité supplémentaire. 2. Programme de travail 2.1 Analyse des sources de menaces La première étape du travail consistera à établir une liste des sources de menace et de leurs caractéristiques. L’ensemble de la boucle de contrôle-commande sera analysé pour identifier les différentes possibilités de corruption. 2.2 Développement d’une approche de validation des mesures/ordres La validation des mesures reçues est une étape cruciale. Dans cette partie, nous nous proposons d’élaborer une approche pour valider les mesures/ordres reçus en fonction du modèle métier du système considéré et de l’historique des mesures. L’approche s’appuiera sur les méthodes de surveillance et de diagnostic [4] [13][15][16][17] existantes en prenant en compte les spécificités des erreurs sur les mesures modifiées par malveillance. L’algorithme de surveillance diagnostic pourra être généré automatiquement à partir du modèle du système. 2.3 Développement d’une approche de détection des attaques La solution envisagée pour garantir un pilotage sécurisé consiste à réaliser un mécanisme de détection par filtrage des alarmes et des commandes appliquées au système [5][9][10][12]. Le travail de recherche consistera donc à proposer un algorithme qui, compte tenu du modèle métier du système contrôlé, et des performances souhaitées, générera un modèle de filtrage, implanté « en dur » au plus près du système de contrôle-commande, voire même de l’actionneur, et ce, en mémoire permanente. Dans une seconde étape, une analyse de la vulnérabilité de la solution proposée pourra être réalisée, compte tenu du niveau de performances souhaité, et de l’incertitude de modélisation. Elle pourra être utilisée pour définir un programme de test périodique pour obtenir un niveau de confiance donné. 2.4 Développement d’une approche de repli automatique en présence d’attaques Bien entendu, une fois l’attaque détectée, il s’agira de développer une approche réactive décisionnelle adaptée capable d’isoler l’attaque, et de produire, en temps réel, les solutions de repli adéquates ; ces solutions de repli pourront être réflexes pour les attaques apprises et donc connues, ou bien à concevoir dynamiquement pour les attaques nouvelles et donc inconnues. Pour cela, l’approche s’orientera vers des solutions de reprises et mise en repli telles que celles proposées dans [6][7][18][19][20][21][22]. L’ensemble des algorithmes qui seront proposées au sein de ce travail de recherche seront testés et évalués sur une plateforme de test réelle et à échelle réduite qui mettra à disposition une architecture de contrôle-commande allant du niveau 0 au niveau 2 du CIM [8] et donc basée sur des technologies représentatives du monde industriel (automates programmables, SCADA, réseaux de communication, système évolué de captage). 3. Références [1] A. Giani, S. Sastry, K. H. Johansson, and H. Sandberg, The VIKING project : an initiative on resilient control of power networks,"inProc. 2nd Int. Symp. on Resilient Control Systems, (Idaho Falls, ID, USA), pp. 3135, Aug. 2009. [2] A. C_ardenas, S. Amin, and S. Sastry, Research challenges for the security of control systems.," in Proc. 3rd USENIX Workshop on Hot topics in security, July 2008. [3] Symantech, Stuxnet introduces the _rst known rootkit for industrial control systems," August 6th 2010. [4] Towards Bayesian Network Methodology for Predicting the Equipment Health Factor of Complex Semiconductor Systems, Bouaziz M.-F., Zamaï E., Duvivier F. International Journal of Production Research Volume 51, Issue 15, (2013) 4597-4617. [5] Confidence estimation of feedback information for logic diagnosis, Duong Q.-B., Zamaï E., Tran-Dinh K.-Q.Engineering Applications of Artificial Intelligence Vol 26, issue 3 (2012) 1149 à 1161 [6] Logic control law design for automated manufacturing systems, Sébastien H., Zamai E., JacominoM.Engineering Application and Artificial Intelligence Vol 25, issue 4 (2012) 824 à 836 [7] Optimal reactive supervision of grid connected PV systems with batteries in real conditions, Riffonneau Y., Bacha S., Barruel F., Baghzouz Y., Zamaï E., International Review of Electrical Engineering 7 (2012) 4607-4615 [8] ,Principes des architectures de pilotage de procédés industriels , Coordination E.Zamaï, Techniques de l’Ingénieur, Traité "L’entreprise industrielle", AG3510, juillet 2007. [9] M.Combacau, P.Berruet, E.Zamaï&P.Charbonnaud, Supervision and Monitoring of Manufacturing Systems, Invited Session, Second IFAC, IFIP, IEEE Conference on Management and Control of Production and Logistics, Grenoble, France, July 2000, [10] L. E. Holoway and B. H. Krogh, "Fault detection and diagnosis in Manufacturing Systems:a behavioral model approach", IEEE International Conference on Computer Integrated Manufacturing", Mai, 1990". [11] J.F.Pétin, P.Berruet ; A. Toguyéni, E.Zamaï, Impact of information and communication emerging technologies in automation engineering : outline of the intica project, PapierInvité, Article de conférence avec actes, 1st NeCST workshop, Networked Control Systems Fault Tolerant Control, European Comission / IST priority, 6-7 october 2005, Ajaccio, France. pp.51-57. [12] L. Travé-Massuyès , Bridging control and artificial intelligence theories for diagnosis : A survey, Engineering Applications of Artificial Intelligence archive, Volume 27, January, 2014 [13] J. M. FLAUS : A model-based approach for systematic risk analysis. Proceedings of the Institution of Mechanical Engineers, Part O : Journal of Risk and Reliability, Volume 222, Number 1 / 2008:79–93, 2008. [14] Q. H. GIAP, S. PLOIX et J. M. FLAUS : Managing diagnosis processes with interative de- compositions. In Proceedings of the Artificial Intelligence Applications and Innovations III, 296:407–415, 2009. [15] K. Khoshhal, H. Aliakbarpour, K. Mekhnacha, J. Ros, J. Quintas and J. Dias. "LMA-based Human Behaviour Analysis Using HMM". Second Doctoral Conference on Computing, Electrical and Industrial Systems, DoCEIS’11, Lisbon, Portugal, 2011. [16] J. Ros and K. Mekhnacha "Situation Awareness and Prediction using Probabilistic Occupancy Map and Concurrent Hidden Markov Model - Application to Abnormal Situation Detection around an ATM". The 12th International Workshop on Image Analysis for Multimedia Interactive Services (WIAMIS 2011), Delft, Netherlands, 2011. [17] H. Aliakbarpour, K. Khoshhal, J. Quintas, K. Mekhnacha, J. Ros, M. Andersson, S. Ntalampiras and J. Dias. "HMM-based Abnormal Behaviour Detection Using Heterogeneous Sensor Network". Second Doctoral Conference on Computing, Electrical and Industrial Systems, DoCEIS’1, Lisbon, Portugal, 2011. [18] Charbonnier, F., Alla, H., & david, R. (1999). The supervised control of discretevent dynamic systems. IEEE Transactions on Control Systems Technology, 7, 175,187. [19] Holloway, L. E., Guan, X., Sundaravadivelu, R., & Jr., J. A. (2000). Automated synthesis and composition of taskblocks for control of manufacturing systems. IEEE Trans. On Systems, Man and Cybernetics, Part. B, 30. [20] Lee, G. B., Zandong, H., & Lee, J. S. (2004). Automatic generation of ladder diagram with control petri net. Journal of Intelligent Manufacturing, 15, 245,252. [21] Li, J., Dai, X., Meng, Z., Dou, J., & Guan, X. (2009). Rapid design and reconfiguration of petri net models for reconfigurable manufacturing cells with improved net rewriting systems and activity diagrams. Computers & Industrial Engineering, 57, 1431,1451. [22] Valente, A., & E.Carpanzano (2011). Development of multi-level adaptive control and scheduling solutions for shop-floor automation in reconfigurable manufacturing systems. CIRP Annals-ManufacturingTechnology, in press.