Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Cyber-Physical Systems (CPSs) are becoming pervasive in modern digital infrastructure, as industrial robots, vehicles, etc. are equipped with computing platforms offering a plethora of functionalities, from infotainment to engine control. To reduce size and costs, CPSs share computation among a single SoC. From the necessity of co-executing heterogeneous software while maintaining strong safety guarantees, Mixed-Criticality Systems (MCSs) were introduced. Since MCSs interact with the physical world, temporal correctness is paramount; estimating the Worst-Case Execution Time (WCET) of every task via timing analysis is essential. However, modern architecture complexity and large task input spaces make representative estimates difficult, paving the way for timing anomalies (i.e., WCET overruns) that bring the system into degraded operation, undermining its availability. Such drop in availability ultimately becomes an attractive vector for Denial-of-Service (DoS) attacks. In particular, increasing connectivity prompts to consider two prominent attack classes: data-oriented and sensor spoofing. This thesis investigates the possibility to exploit poor input representativity in timing analysis to maliciously induce timing anomalies on MCSs, while also tackling the problem of detecting them. Existing approaches---based on independent and identically distributed (iid) execution times---show variable accuracy across heterogeneous workloads, so we propose a novel technique, based on goodness-of-fit against a ground truth WCET distribution, aiming to offer more stable performance. Evaluation proves that the availability of a mixed-criticality system can indeed be undermined by data-oriented and sensor spoofing attacks. Furthermore, our detection approach shows improved stability of accuracy across heterogeneous workloads, although at the cost of higher detection latency.

I sistemi ciber-fisici trovano un sempre maggior impiego nella moderna infrastruttura digitale: settori come automotive o aerospace hanno ormai prevalentemente adottato un approccio software-based nello sviluppo dei loro prodotti con lo scopo di arricchirne la funzionalità, dai sistemi di infotainment al controllo di elementi critici---quali, per esempio, motori o attuatori---ai sistemi di assistenza alla guida. Al fine di ridurre dimensioni e costo dell'hardware, spesso il software viene consolidato su di un unico System-on-Chip (SoC) condiviso tra vari moduli software, i quali però richiedono diversi gradi di garanzia sul loro corretto funzionamento. I sistemi a criticalità mista nascono quindi dall'esigenza di integrare software eterogeneo mantenendo l'isolamento spaziale e temporale tra task critici e meno critici. Tipicamente, i sistemi ciber-fisici sono progettati per interagire con l'ambiente esterno; di conseguenza è fondamentale mantenerne la correttezza temporale delle computazioni, stimando il Worst-Case Execution Time (WCET) di ogni task. Tuttavia, la crescente complessità delle moderne architetture e l'elevata dimensione dello spazio di input dei task rende difficile ottenere stime rappresentative del reale comportamento temporale, aumentando il rischio di tempi di esecuzione superiori al WCET, che porterebbero il sistema ad operare in condizioni degradate, compromettendone l'availability. Questa condizione operativa costituisce una possibile problematica di sicurezza, sfruttabile da un attaccante con l'obiettivo di provocare Denial-of-Service (DoS). In particolare, la crescente interazione ed interconnessione di questi dispositivi suggerisce la considerazione di due classi di attacchi, data-oriented e sensor spoofing Questa tesi esplora la possibilità di sfruttare condizioni di scarsa rappresentatività per indurre anomalie temporali nell'esecuzione di software su sistemi a criticalità mista, affrontando inoltre il problema del loro rilevamento a runtime: gli approcci allo stato dell'arte---basati su tempi di esecuzione indipendenti ed identicamente distribuiti (i.i.d.)---rivelano un'accuratezza instabile al variare del task in esame, rendendoli inadatti a sistemi molto eterogenei come quelli di nostro interesse. Presentiamo quindi un nuovo approccio, basato sul controllo della goodness-of-fit dei tempi di esecuzione nei confronti di una distribuzione di riferimento, rappresentante il comportamento temporale stimato in fase di testing. I risultati dimostrano che l'availability di un sistema a criticalità mista può difatti essere compromessa da attacchi data-oriented e sensor spoofing, con un considerevoli aumenti dei tempi di esecuzione che portano ad un incremento del tempo speso in condizioni degradate. Inoltre, il nostro approccio di rilevamento esibisce valori di accuratezza più consistenti tra task eterogenei, anche se al costo di un aumento della latenza.

Denial-of-service attacks on mixed-criticality systems by exploiting poor input representativity

Benatti, Nicolas
2024/2025

Abstract

Cyber-Physical Systems (CPSs) are becoming pervasive in modern digital infrastructure, as industrial robots, vehicles, etc. are equipped with computing platforms offering a plethora of functionalities, from infotainment to engine control. To reduce size and costs, CPSs share computation among a single SoC. From the necessity of co-executing heterogeneous software while maintaining strong safety guarantees, Mixed-Criticality Systems (MCSs) were introduced. Since MCSs interact with the physical world, temporal correctness is paramount; estimating the Worst-Case Execution Time (WCET) of every task via timing analysis is essential. However, modern architecture complexity and large task input spaces make representative estimates difficult, paving the way for timing anomalies (i.e., WCET overruns) that bring the system into degraded operation, undermining its availability. Such drop in availability ultimately becomes an attractive vector for Denial-of-Service (DoS) attacks. In particular, increasing connectivity prompts to consider two prominent attack classes: data-oriented and sensor spoofing. This thesis investigates the possibility to exploit poor input representativity in timing analysis to maliciously induce timing anomalies on MCSs, while also tackling the problem of detecting them. Existing approaches---based on independent and identically distributed (iid) execution times---show variable accuracy across heterogeneous workloads, so we propose a novel technique, based on goodness-of-fit against a ground truth WCET distribution, aiming to offer more stable performance. Evaluation proves that the availability of a mixed-criticality system can indeed be undermined by data-oriented and sensor spoofing attacks. Furthermore, our detection approach shows improved stability of accuracy across heterogeneous workloads, although at the cost of higher detection latency.
REGHENZANI, FEDERICO
ING - Scuola di Ingegneria Industriale e dell'Informazione
10-dic-2025
2024/2025
I sistemi ciber-fisici trovano un sempre maggior impiego nella moderna infrastruttura digitale: settori come automotive o aerospace hanno ormai prevalentemente adottato un approccio software-based nello sviluppo dei loro prodotti con lo scopo di arricchirne la funzionalità, dai sistemi di infotainment al controllo di elementi critici---quali, per esempio, motori o attuatori---ai sistemi di assistenza alla guida. Al fine di ridurre dimensioni e costo dell'hardware, spesso il software viene consolidato su di un unico System-on-Chip (SoC) condiviso tra vari moduli software, i quali però richiedono diversi gradi di garanzia sul loro corretto funzionamento. I sistemi a criticalità mista nascono quindi dall'esigenza di integrare software eterogeneo mantenendo l'isolamento spaziale e temporale tra task critici e meno critici. Tipicamente, i sistemi ciber-fisici sono progettati per interagire con l'ambiente esterno; di conseguenza è fondamentale mantenerne la correttezza temporale delle computazioni, stimando il Worst-Case Execution Time (WCET) di ogni task. Tuttavia, la crescente complessità delle moderne architetture e l'elevata dimensione dello spazio di input dei task rende difficile ottenere stime rappresentative del reale comportamento temporale, aumentando il rischio di tempi di esecuzione superiori al WCET, che porterebbero il sistema ad operare in condizioni degradate, compromettendone l'availability. Questa condizione operativa costituisce una possibile problematica di sicurezza, sfruttabile da un attaccante con l'obiettivo di provocare Denial-of-Service (DoS). In particolare, la crescente interazione ed interconnessione di questi dispositivi suggerisce la considerazione di due classi di attacchi, data-oriented e sensor spoofing Questa tesi esplora la possibilità di sfruttare condizioni di scarsa rappresentatività per indurre anomalie temporali nell'esecuzione di software su sistemi a criticalità mista, affrontando inoltre il problema del loro rilevamento a runtime: gli approcci allo stato dell'arte---basati su tempi di esecuzione indipendenti ed identicamente distribuiti (i.i.d.)---rivelano un'accuratezza instabile al variare del task in esame, rendendoli inadatti a sistemi molto eterogenei come quelli di nostro interesse. Presentiamo quindi un nuovo approccio, basato sul controllo della goodness-of-fit dei tempi di esecuzione nei confronti di una distribuzione di riferimento, rappresentante il comportamento temporale stimato in fase di testing. I risultati dimostrano che l'availability di un sistema a criticalità mista può difatti essere compromessa da attacchi data-oriented e sensor spoofing, con un considerevoli aumenti dei tempi di esecuzione che portano ad un incremento del tempo speso in condizioni degradate. Inoltre, il nostro approccio di rilevamento esibisce valori di accuratezza più consistenti tra task eterogenei, anche se al costo di un aumento della latenza.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2025_12_Benatti_ExecutiveSummary.pdf

accessibile in internet per tutti a partire dal 13/11/2026

Descrizione: Executive summary document
Dimensione 800.83 kB
Formato Adobe PDF
  Visualizza/Apri
800.83 kB Adobe PDF   Visualizza/Apri
2025_12_Benatti_Thesis.pdf

accessibile in internet per tutti a partire dal 13/11/2026

Descrizione: Thesis document
Dimensione 2.87 MB
Formato Adobe PDF
  Visualizza/Apri
2.87 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/247651