EPANETCPA TOOLBOX

La caja de herramientas epanetCPA ampla las funciones de EPANET al dominio de la seguridad

ciberntica, permitiendo a los usuarios simular mltiples ataques y reproducir sus efectos en
las operaciones y la dinmica de los sistemas de distribucin de agua

La caja de herramientas funciona con el sistema hidrulico EPANET Un motor de simulacin de

paso a paso moderno mientras que sigue la lgica de control original para permitir posibles
acciones adversarias.

En epanetCPA

Los usuarios deben especificar primero la capa ciberntica relacionada con el mapa de red de
proceso fsico. En particular, la siguiente informacin

Se requiere:

1) nmero y ubicacin de los PLC desplegados en la red

2) conexiones entre PLCs y sensores /Actuadores
3) declaraciones de control distribuidas entre PLC (basadas en
4) En los actuadores que controlan)
5) flujo de datos entre PLCs.

Un SCADA tambin se introduce sobre la jerarqua del PLC, bajo

La suposicin de que el estado de un sensor en el nivel SCADA coincide con la del PLC
conectado directamente al sensor, a menos que la correspondiente conexin PLC-SCADA es
atacada.

Durante la simulacin, El software almacena las salidas de simulacin que reflejan el Estado de
la capa fsica. La caja de herramientas tambin Lecturas a nivel de PLC y SCADA en caso de
ataques con sensores y se simula la manipulacin de seales.

EpanetCPA es un software orientado a objetos donde ATK1-ATK8 se implementan con clases

especficas.

Especficamente las instancias de ataque se crean a partir de las plantillas de clase mediante la
personalizacin de atributos, tales especificaciones incluyen la identidad del componente o
enlace de conexin bajo ataque y las sentencias que definen atacar las condiciones iniciales y
finales, as como los detalles que caracterizan la accin particular perpetrada por el adversario.

Esta ltima informacin

Define si el objetivo est sufriendo un dao fsico, DoS o Ataque de falso Los ataques de
espionaje no se implementan explcitamente porque no afectan directamente a los procesos
fsicos. Sin embargo, epanetCPA implica implcitamente la escucha espontnea permitiendo

El modelo de usuario DoS y los ataques de engao basados en la cantidad

Del conocimiento que el atacante puede inferir violando la confidencialidad del sistema.
CONFIGURACIN EXPERIMENTAL
C-Ciudad Red

Los efectos potenciales de los ataques cibernticos son demostrados sobre el sistema de
distribucin de agua de C-Town, que se basa en una real medicin de tamao medio. Este
punto de referencia fue introducido para la Batalla de las redes de calibracin de agua
(Ostfeld et al., 2012)

Y posteriormente utilizados para una variedad de problemas, por ejemplo:

Reduccin de fugas y un diseo y operacin ptimos

Almacenamiento y distribucin de agua a travs de los nodos de demanda est garantizada

por siete tanques, Cuyo nivel de agua activa las operaciones de 11 bombas (ver Tabla 1 para
detalles adicionales sobre los componentes hidrulicos de C-Town).

Tabla 1. Componentes hidrulicos del sistema de distribucin de agua de C-Town

Componente hidrulico Nmero

Nodos 388
Tuberas 429
Tanques 7
Bombas 11
Vlvulas 4 (1 accionable)

Como se representa en la Fig. 2, las bombas, vlvulas y los sensores de nivel de agua del
tanque son conectados a nueve PLCs, que se encuentran en la proximidad de los componentes
hidrulicos que supervisan / controlan. Tambin hay un solo sistema SCADA que recoge las
lecturas de todos los PLC y coordina las operaciones de toda la red. Tabla 2 reporta el papel
desempeado por cada PLC, es decir, los sensores que estn conectados y los actuadores
hidrulicos que controlan.

La mayora de los PLC que controlan las bombas no estn conectadas directamente a los
sensores empleados en la lgica de control, sino que reciben la informacin a travs de otros
PLC.

La simulacin hidrulica se lleva a cabo con EPANET, con un horizonte de simulacin y paso de
tiempo hidrulico de 7 das (168 h) y 1 h, respectivamente.
ESPECIFICACIONES DE ATAQUE
Entre el gran nmero de ataques se podra concebir, seis escenarios de ataque han sido
diseados para ejemplificar los efectos potenciales de los ataques descritos por el modelo de
ataque. Todos los escenarios conducen a una interrupcin de las operaciones del sistema, tales
como de desbordamiento y de nivel bajo condiciones de los tanques. El nivel de interrupcin
se puede simular es limitado en cierta medida por EPANET impulsada por la demanda del
motor hidrulico; por ejemplo, no es posible simular romper una tubera o condiciones vacos
de los tanques. Los escenarios de ataque tienen las siguientes especificaciones:

Escenario 1: desbordamiento del tanque debido a un ataque directo a una estacin de

refuerzo (activacin no programada de bombas PU1 y PU2 que conduce a un
desbordamiento del tanque T1). Esta accin puede ser perpetrado si el atacante es
fsicamente en la estacin de bombeo (ATK2) o si el atacante altera la seal de control
enviada por PLC1 (ATK4) por cualquiera de conmutacin de las bombas en o que les
impide recibir una seal de parada. Alternativamente, el atacante puede tomar el
control de PLC1 por completo y manipular las seales de activacin a voluntad (ATK8)

Escenario 2: Nivel bajo en un tanque debido a lecturas de nivel de agua manipuladas.

Las lecturas de nivel de agua en el tanque T2 estn alteradas, Evitando as que el
tanque se llene. Esto puede resultar por una manipulacin fsica del sensor de nivel de
agua (ATK1) o por una alteracin del enlace de comunicacin entre el sensor y el PLC3
(ATK3).Un ataque similar en tanque T4 tambin se implementa (Escenario 2b).

La diferencia entre los dos ataques es que en el primero el bajo nivel de agua es el
resultado del cierre de la vlvula V1, mientras que en el segundo es el resultado de las
bombas PU6 y PU7 desactivacin

Escenario 3: Desbordamiento del tanque debido a una alteracin de la conexin PLC a

PLC. Este escenario ejemplifica el ataque ATK5, donde el atacante intercepta la
conexin PLC2 a PLC1 y altera las lecturas del nivel de agua del tanque T1, llevando a la
activacin de las bombas PU1 y PU2 con el consiguiente aumento del nivel de agua del
tanque T1

Escenario 4: Ocultacin mediante un ataque de repeticin en la conexin PLC-SCADA.

El escenario 3 se complementa con un ataque dirigido a ocultar sus efectos del SCADA.
Esto se obtiene atacando el enlace de comunicacin PLC2 a SCADA (ATK6)

Escenario 5: Desbordamiento del tanque debido a ajustes errneos enviados por

SCADA. Este escenario de ataque implica la alteracin de los paquetes enviados por
SCADA para cambiar las operaciones de un PLC que supervisa (ATK7). En particular, se
ataca el enlace de comunicacin entre SCADA y PLC5, dando como resultado la
activacin de la bomba PU11 y el desbordamiento del tanque T7
 Escenario 6: ataques mltiples aleatorios en el PLC. Este ltimo experimento est
destinado a provocar un desbordamiento de los tanques T2, T3 y T4 mediante la
manipulacin de las lecturas de nivel de agua que llegan al PLC3, que controla todos
los actuadores que desvan el agua a estos tanques. En particular, la manipulacin se
realiza sobre el enlace entre el sensor de nivel de agua T2 y PLC3 (ATK3), as como
sobre dos enlaces de comunicacin PLC a PLC, es decir, PLC4 a PLC3 y PLC6 a PLC3
(ATK5 ), Respectivamente.

Los escenarios de ataque 1 - 5 descritos anteriormente se repiten 100 veces mediante la

variacin aleatoria, el estado inicial (por ejemplo, los niveles de agua de los tanques) y las
demandas en las uniones de la red C. Esta combinacin de ataque y escenarios hidrulicos se
utiliza para cuantificar el impacto de ataques ciber-fsicos utilizando los ndices descritos en la
siguiente seccin. De escenarios de ataque 6 tambin se repite 100 veces, aunque en este caso
la aleatorizacin se realiza para la hora de inicio y duracin de cada ataque en lugar de la red
condiciones y exigencias iniciales.

NDICES DE IMPACTO CUANTIFICACIN

Debido a que los escenarios de ataque se dirigen principalmente a causa tanques de
desbordamiento, las condiciones de bajo nivel, y las bombas de mal funcionamiento,
se emplean tres ndices para cuantificar estos efectos a travs de los diferentes
escenarios. Estos ndices no estn destinados para caracterizar exhaustivamente el
comportamiento hidrulico de la red, sino simplemente para complementar y apoyar
el anlisis de los datos producidos por epanetCPA
El desbordamiento total del tanque Vtot se define como la cantidad de derramamiento
de agua sobre un tanque atacado durante el perodo de simulacin, es decir:

Dnde T = longitud de la simulacin; Q t = desbordamiento del tanque atacado en el

momento t; y t = paso de tiempo de la simulacin
Un ndice equivalente para cuantificar el efecto debido a las condiciones tanques
vacos es la cantidad de agua no entregado (o demanda insatisfecha) causada por un
ataque ciberntico fsica.
Este ndice no se puede calcular debido a las limitaciones de la demanda de EPAMET
accionada por el motor hidrulico en el modelado de los depsitos vacos y escenarios
a la presin deficiente, por lo que se utiliza un ndice proxy ( tiempo total a bajo nivel,
TBajo) se define como la cantidad total de tiempo durante el cual un tanque atacado
est en condiciones de bajo nivel, es decir:
Siendo gt un indicador de pasos definido como
gt = 0 si ht > 1 y gt = 1 de otra forma.
Donde ht = nivel de agua del tanque atacado en el instante t.
l = su umbral de nivel bajo.
Los valores de estos umbrales suelen ser establecidos por los gestores de procesos
para desencadenar algunas acciones de emergencia cuando se rompen. En este
estudio, estos valores se fijan arbitrariamente igual al 50% del valor ms bajo
registrado para cada tanque durante las operaciones normales; Esto corresponde a
0,25 m para ambos tanques T1 y T2; 1 m para los depsitos T3, T4 y T7; 0,75 m para el
tanque T5; Y 2 m para el tanque T6. Para caracterizar el efecto de los ataques
cibernticos sobre las operaciones de bombeo, se calcula la variacin relativa en el
consumo total de energa de las bombas p%, que se define como:

Donde Np = nmero de bombas; Y Pit y P*ic = consumo de energa De la bomba i en el

tiempo t en condiciones normales y de ataque, respectivamente.
En otras palabras, este ndice expresa la variacin relativa en el consumo de energa de
las bombas entre condiciones normales y de ataque.