Critical infrastructures, such as the power grid and water distribution networks, are the backbone of our modern society. With the integration of computational devices and communication networks in critical infrastructures, they have become more efficient, but also more vulnerable to cyberattacks. Due to the underlying physical process, these cyberattacks can not only have a financial and ecological impact, but also cost human lives. Several reported cyberattacks on critical infrastructures show that it is vital to protect them from these attacks. Critical infrastructures typically rely on accurate sensor measurements for optimal performance. In this thesis, we, therefore, look into attacks that corrupt the measurements.

The first part of the thesis is concerned with the feasibility of a worst-case sensor attack. The attacker's goal is to maximize its impact, while remaining undetected by an anomaly detector. The investigated worst-case attack strategy needs the exact controller state for its execution. Therefore, we start by looking into the feasibility of estimating the controller state by an attacker that has full model knowledge and access to all sensors. We show that an unstable controller prevents the attacker from estimating the controller state exactly and, therefore, makes the attack non-executable. Since unstable controllers come with their own issues, we propose a defense mechanism based on injecting uncertainty into the controller. Next, we examine the confidentiality of the anomaly detector. With access to the anomaly detector state, the attacker can design a more powerful attack. We show that, in the case of a detector with linear dynamics, the attacker is able to obtain an accurate estimate of the detector’s state.

The second part of the thesis is concerned with the performance of anomaly detectors under the investigated attack in the first part. We use a previously proposed metric to compare the performance of a χ2, cumulative sum (CUSUM), and multivariate exponentially weighted moving average (MEWMA) detectors. This metric depends on the attack impact and average time between false alarms. For two different processes, we observe that the CUSUM and MEWMA detectors, which both have internal dynamics, can mitigate the attack impact more than the static χ2 detector. Since this metric depends on the attack impact, which is usually hard to determine, we then propose a new metric. The new metric depends on the number of sensors, and the size of an invariant set guaranteeing that the attack remains undetected. The new metric leads to similar results as the previously proposed metric, but is less dependent on the attack modeling. Finally, we formulate a Stackelberg game to tune the anomaly detector thresholds in a cost-optimal manner, where the cost depends on the number of false alarms and the impact an attack would cause.

Kritiska infrastrukturer, så som elnätet eller vattenförsörjningssystemet, är ryggraden i vårt moderna samhälle. Effektiviteten av kritiska infrastrukturerhar ökats genom integration med beräkningsenheter och kommunikationsnätverk, men detta har medfört att de också har blivit mer sårbara för cyberattacker. På grund av den underliggande fysikaliska processen kan dessa cyberattacker inte bara ha ekonomiska och ekologiska effekter, utan de kan också kosta människoliv. Flera rapporterade cyberattacker mot kritiska infrastrukturer visar att det är viktigt att skydda dem från dessa attacker. Kritiska infrastrukturer förlitar sig vanligtvis på noggranna sensormätningar för optimal prestanda. I denna avhandling undersöker vi därför attacker som korrumperar mätningar.

Den första delen av avhandlingen handlar om genomförandet av en sensorattack i ett värstafallsscenario. Angriparens mål är att maximera verkan av attacken, medan den förblir oupptäckt av en feldetektor. Den undersökta värstafallstrategin behöver exakt information av regulatorns tillstånd för att kunna användas. Därför börjar vi med att titta på möjligheten att en angripare ska kunna uppskatta regulatorns tillstånd samtidigt som den känner till modellen och har tillgång till alla sensorer. Vi visar att en instabil regulator förhindrar angriparen från att exakt uppskatta regulatorns tillstånd och därmed förhindrar attacken. Eftersom instabila regulatorer introducerar andra problem, föreslår vi en försvarsmekanism baserad på injektion av osäkerhet i regulatorn. Därefter undersöker vi feldetektorns konfidentialitet. Med kännedom om feldetektorns tillstånd kan angriparen skapa en kraftfullare attack. Vi visar att angriparen kan få en noggrann uppskattning av detektorns tillstånd när detektorn har linjär dynamik.

Den andra delen av avhandlingen behandlar feldetektorers prestanda medan de utsätts för de attacker som introducerades i första delen. Vi använder en tidigare föreslagen metrik för att jämföra prestandan av detektorer baserade på χ2-fördelningen, kumulativ summa (CUSUM), och multivariat exponentiellt viktat glidande medelvärde (MEWMA). Denna metrik beror på verkan av attacken och genomsnittlig tid mellan falska larm. Vi observerar att CUSUM- och MEWMA-detektorerna, där båda har intern dynamik, kan begränsa verkan av attacker bättre än vad den statiska χ2-detektorn kan för två olika processer. Eftersom denna metrik beror på attackens verkan, vilket vanligtvis är svårt att fastställa, föreslår vi en ny metrik. Den nya metriken beror på antalet sensorer och storleken på en invariant mängd som garanterar att attacken förblir oupptäckt. Den nya metriken leder till liknande resultat somden tidigare föreslagna metriken, men är mindre beroende av en modell av angriparen. Slutligen formulerar vi ett Stackelberg-spel för att ställa in trösklar för feldetektorn på ett kostnadsoptimalt sätt, där kostnaden beror på antalet falska larm och potentiell verkan av attacker.