امنیت در سیستم های کنترل صنعتیCyber–Physical Systems Security Challenges(Case study: Information Flow Security Analysis in Natural Gas Pipeline System )[Persian]
Cyber–Physical Systems Security Challenges(Case study: Information Flow Security Analysis in Natural Gas and Oil Pipeline System ) PetroICT2018
سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز) در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز ،پالایش و پتروشیمی
27 دی، تهران مرکز همایش های بین المللی شهید بهشتی
قلاب سازی در تحلیل بدافزارهاHooking in Malware Analysis
امنیت در سیستم های کنترل صنعتیCyber–Physical Systems Security Challenges(Case study: Information Flow Security Analysis in Natural Gas Pipeline System )[Persian]
1. مهدی محمداحمدیان
سایبر امنیت مشاور-سامانه فیزیکیزیرساخت و صنعتی کنترل هایحیاتی های
27ماه دی1396
Cyber–Physical Systems Security Challenges
چالشهایدر امنیتیسامانهسایبر های-فیزیکی
(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)
(Case study: Information Flow Security Analysis in Natural Gas and Oil Pipeline System )
34. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|47/
•سامانه تعریفدر:SPA
notation Description
Z performs the actions that E performs if Z ≡ E
Tr legal trace set of the system
L the set of low-level events
H the set of high-level events
τ x is a trace purged of all events in the domain of x
τ |x is a trace restricted to events in the domain of x
I the set of inputs
O the set of outputs
notation Description
0 is the empty process that cannot perform any ction
(specifically defines termination of a process)
µ.E performs action µ and then behaves like E
E1 + E2 can alternatively choose to behave like E1 or E2
E1|E2 is the parallel composition of events E1 and E2, where the
executions of the two systems are interleaved
EL executes all the actions that can be performed by E,
provided that they do not belong to L ∪ L ¯ (where L ¯ refers
to the output)
EIL requires that the actions of E do not belong to L ∩ I
E/L transforms all the actions in L into internal actions
E[f] if E can execute action µ, then E[f] performs f(µ)
Operational semantics :
35
35. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|47/
• A system ES is said to be non-deducibility secure secure if:
• A system ES is said to be non-inference secure if: This imposes two conditions on the system.
• First, for any system trace, the restriction of the
trace to low-level events alone is also a valid
system trace. That is, just by observing low-level
events, one cannot infer with certainty if a high
level event occurred.
• Second, purging high-level events from any system
trace should yield a valid trace comprising the
low-level events.
• A system is considered non-deducible secure if
nothing can be deduced about the sequence
of input events, I, in the H domain based only
on observation of events in the L domain.
• In other words, a system is non-deducible
secure if a L observation is compatible with
any H input event
36
36. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|47/
• A system is satisfied BNDC if it can preserve its security after composition with other processes
1. Bisimulation-based Non-Deducibility on Composition
• BNDC property uses weak bisimulation equivalence
• A system ES is BNDC if, for every H
process, Π, a L observation cannot
distinguish ES from the process ES
composed with any other process.
• In other words, a system ES is BNDC if a L
observation is not modified by composing
any H process, Π with ES.
• A system is BNDC-preserving if the above property holds for all possible system behaviors.
37
37. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|47/
• Theorem 1. The gas flow in the pipeline system is not non-inference secure.
• Proof. The valid traces of the system are
Purging a legal trace of events that are not in the low-level security
domain yields the traces
This system does not satisfy the definition of non-inference because a flow
change in the controlled line (e4) with no accompanying high-level event is
not a valid trace of the system. Hence, an observer at the controlled line
could infer high-level events associated with other FCSs.
• The system is also not secure according to the BLP model because
high-level information is written to the low-level domain.
38
Inputs Outputs
38. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|47/
• Theorem 2. The gas flow in the pipeline system is non-deducibility secure.
• Proof. Considering the same set of event traces listed :
every high-level event (e2 or e3) is compatible with a low-level output (e4).
In other words, changes experienced at a controlled line could be the result
of the stochastic demand or LTC setting at a neighboring FCS. Thus, a low-
level observer could not determine which neighboring FCS performed what
change. Hence, the gas flow in the pipeline system is non-deducibility
secure.
39
40. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|47/
• The implicit flow of information can be minimized by controlling the physical flow via cyber
actions (through coordinated message passing) by FCS devices.
• x|l :expresses the fact that object x is able to
communicate with object
41
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• y: is the value (or state) of the object.
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.
44. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|47/
مدل بررسی نحوه
•در سازی مدل نحوهCoPSحالت ماشی و:
• Protecting flow against Low partition {B} from a physical
change at High partition {A,C}
• This code satisfies SBNDC Property in both the cases and
also with compositionality
45
45. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|47/
مدل بررسی نحوه
Protecting flow against Low partition {B} from a physical
change at High partition {A,C}
46
50. شما توجه حسن از باتشکر...
The only truly secure system is one that is powered off, cast in a block of concrete
and sealed in a lead-lined room with armed guards.
Gene Spafford
مهدی محمداحمدیان
تلگرام کانال:
t.me/MohammadMehdiAhmadian
52. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
•از استفاده نحوه دادن نشان برایSPA:
•سامانهESدارایاطالعات نشت(BLP)سهطح شهی از
پایی به باال!
• N : event set that ES does not allow
• y : current status of the object
• l: security level {H or L}
• read and write : allowed actions
• R: final output of reading a result
• W: the input of writing a result
•نشت به منجر دنباله:
•می پایی سطح شی هر حالمقدار تواند5بخواند را:
L H
53
53. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
مدل بررسی نحوه
•در سازی مدل نحوهCoPSحالت ماشی و:
system to check if events changing flow at B would allow a
causal flow change at other
1. bisimulation equivalence
54
55. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
مدل بررسی نحوه
•در سازی مدل نحوهCoPSحالت ماشی و:
• This code satisfies SBNDC Property in synchronous
partition
• This code satisfies SBNDC Property in both the
cases and also with compositionality
56
56. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
تحلیل سناریوهای•یک گرفتن درنظر با تحلیلFCSمنفردمستقل و
•تحلیلهماهن،ی وجود بدونبیFCSها(چندFCS)
•تحلیلهماهن،ی وجود بابیFCSها(چندFCS)
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.
• y: is the value (or state) of the object.
• e1 : change-in-flow event at a pipe segment with a
single FCS. (at the physical level)
• r1 : be the change in the reading of the pipeline due
to the triggered event e1 (e1 ⇔ r1) (at the cyber level)
• The following model encodes this system in SPA:
• Such a system can be represented simply as:
38/23
57. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or is
controlled.
38/24
• y: is the value (or state) of the object.
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.
58. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or is
controlled.
• FCSs can be represented as an event-based system in which each event represents a flow
change as follows: e1: change of flow (A), e2: change of flow (B), e3: change of flow (C).
• The behavior of the system is captured in SPA as:
• ⊓ : indicates a non-deterministic choice between
processes.
• The readings at the cyber level change non-deterministically as:
38/24
59. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
تحلیل سناریوهای•یک گرفتن درنظر با تحلیلFCSمنفردمستقل و
•تحلیلهماهن،ی وجود بدونبیFCSها(چندFCS)
•تحلیلهماهن،ی وجود بابیFCSها(چندFCS)
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.
• y: is the value (or state) of the object.
• e1 : change-in-flow event at a pipe segment with a
single FCS. (at the physical level)
• r1 : be the change in the reading of the pipeline due
to the triggered event e1 (e1 ⇔ r1) (at the cyber level)
• The following model encodes this system in SPA:
• Such a system can be represented simply as:
38/23
60. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or is
controlled.
38/24
• y: is the value (or state) of the object.
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.
61. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or is
controlled.
• FCSs can be represented as an event-based system in which each event represents a flow
change as follows: e1: change of flow (A), e2: change of flow (B), e3: change of flow (C).
• The behavior of the system is captured in SPA as:
• ⊓ : indicates a non-deterministic choice between
processes.
• The readings at the cyber level change non-deterministically as:
38/24
62. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
Focardi, Riccardo, and Roberto Gorrieri. "A Classification of Security
Properties for Process Algebras." Journal of Computer security
notation Stands for
NNI Non-deterministic Non-Interference
BNNI Bisimulation NNI
SNNI Strong NNI
BSNNI Bisimulation SNNI
BNDC Bisimulation-based Non-Deducibility on
Composition
SBNDC Strong BNDC
38/19
63. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
• The implicit flow of information can be minimized by controlling the physical flow via cyber
actions (through coordinated message passing) by FCS devices.
• The SPA model to prevent pipe C from interfering with the actions of pipes A and B is:
• x|l :expresses the fact that object x is able to
communicate with object
38/26
64. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
•می فرضکنیمCوAباال سطح دروBپایی سطح درشود بندی طبقه.
• In this case,
Notation Description
The events(inputs)
their respective outputs
High-level observation.
High-level action set.
System definition.
System prevented from actions in ActH.
Interference of Π with low-level
execution of system E.
• This scenario fails to satisfy the BNDC property, indicating that the system reveals changes made by one group
of users to other users. This information flow is due to the flow dependence in the composite system expressed
by Eq. (1).
38/28
65. م.احمدیان مهدی|چالشسامانه در امنیتی هایسایبر های-فیزیکی(گاز و نفت لوله خطوط در اطالعات جریان تحلیل محوریت با)|در سخنرانی فایلPetroICT2018www.mmAhmadian.ir|
مدل بررسی نحوه
Protecting flow within Low partition {B} against High partition {A,C}
Protecting flow against Low partition {B} from a physical
change at High partition {A,C}
38/34