تشخیص حملات یکپارچگی (جامعیت) در سیستم های SCADA
Detecting Integrity Attacks on SCADA Systems
چکیده : تضمین امنیت سیستم های مبتنی بر کنترل نظارت و اکتساب داده ها یک چالش اصلی می باشد. هدف این مقاله گسترش روش های مبتنی بر مدل که قادر به تشخیص حملات یکپارچگی در سنسورهای یک سیستم کنترل باشند،می باشد. در این مقاله، اثر حملات یکپارچگی بر روی سیستم های کنترل بررسی شده و اقدامات متقابل جهت افشای چنین حملاتی ارائه شده است. قسمت های اصلی این مقاله، فراتر از فرمول بندی مشکل، در شمارش شرایط امکان(احتمال) حمله باز پخش(تکرار) قرار می گیرد و که اقدامات متقابل را ارائه می دهد که احتمال تشخیص توسط تایید عملکرد کنترل بهینه می گردد. روش بیان شده و نتایج تئوری با استفاده از مجموعه های مختلفی از شبیه سازی ها ارزیابی می شوند.
سیستم اسکادا و دیسپاچینگ
اجزای سیستم اسکادا
1. مقدمه
سیستم های سایبر-فیزیکی (CPS) سیستم هایی با هماهنگی قوی بین مولفه های محاسباتی و فیزیکی می باشند [1]. این گونه سیستم ها اغلب شبکه های توزیعی(توزیع شده) سنسورهای تعبیه(نهفته) شده و محرک هایی که با محیط فیزیکی تعامل می کنند را بکار می برند و توسط یک سیستم کنترل نظارتی و اکتساب داده ها (SCADA) نظارت و کنترل می شود. CPS در کاربردهای چندجانبه مانند شبکه های هوشمند ، سیستم های کنترل فرآیند، کنترل ترافیک هوایی (ATC)،پایش پزشکی و غیره مشاهده می شود. نگرانی اخیر در امنیت سیستم کنترل توزیعی(پراکنده) می باشد که مهاجم می تواند به مجموعه ادوات سنجش و محرک دستیابی پیدا کند و نرم افزار و محیط شان را جهت راه اندازی یک حمله هماهنگ شده در برابر زیرساخت های سیستم تغییر دهد. Stuxnet worm (ویروس اینترنتی)، مخصوصا برای تغییر برنامه سانتریفیوژ صنعتی و آسیب زدن به آنها به شیوه ی که عملا غیر قابل کشف باشد طراحی شده است [2]، نمونه ای از جنگ دیجیتال می باشد [3]. این ویروس حساسیت های امنیتی جدی در سیستم های کنترل صنعتی ایجاد کرده است. با در نظر گرفتن تهدید همه جایی تروریسم سازمان یافته، یک خرابی شبکه قدرت، تفکیک محلی سیستم های مخابراتی، یا اختلال ATC در مرکز(hub) بزرگ، همه می توانند به عنوان بیشینه ی یک حمله ی تکامل یلفته(کامل) باشند. این قبیل تهدیدات برای یک مدت زمان طولانی پیش بینی شده اند [4]. زیرساخت های اصلی CPS نسبت به عمل طبیعی یک جامعه حیاتی امنیتی می باشند ، و هر حمله ای به یکی از آنها، یا یک حمله ی هماهنگ شده به دو یا بیشتر آنها می تواند به طور قابل توجهی مانع اقتصاد و به خطر افتادن زندگی های انسان شوند. اشخاص بی پروا همچنین می توانند چنین حملاتی را جهت تاثیرگذاری بر روی قیمت گذاری بازار برای سودهای غیر قانونی استفاده کنند. طراحی ایمن CPS بخاطر اهمیت ارقام می باشد. یک اقدام امنیتی مرسوم بکارگیری ارتباطات رمزگذاری می باشد، اما کلید های رمزنگاری می توانند شکسته شوند یا به سرقت بروند یا مهاجم به طور مستقیم می تواند به عناصر فیزیکی سیستم بدون ارتباطات ربودنی( hijacking )حمله کند. این گونه حملات وقتی که سنسورها و محرک ها در مکان های راه دور توزیع می شوند، امکان پذیر می باشند. بنابراین، دانش سیستم و امنیت سایبری جهت تضمین عملکرد مطمئن CPS ضروری می باشد.
A. تحقیقات پیشین
اهمیت امنیت CPS توسط جامعه ی تحقیقات در [5] و [6] در میان دیگران چندین برابر شده است. کاردناس و همکارانش [7] به بررسی اثر سایبر- فیزیکی حملات محرومیت از سرویس(DOS)، که جریان اطلاعات از سنسورها، محرک ها و سیستم کنترل را قطع می کنند و حملات فریبکارانه که یکپارچگی بسته های اطلاعاتی را فراهم می سازد،می پردازند. حملات DOS و طراحی کنترل فیدبک منعطف به آنها بیشتر در [8] بحث شده است. محققان بر این عقیده هستند که حمله فریب دادن(فریبکارانه) زیرکانه ترین و در اصل مشکل ترین جهت تشخیص نسبت به یک حمله DOS می باشد. از آنجا که این مسئله به اندازه کافی در این مقاله بررسی نشده است،از این رو یک روش جهت تشخیص گونه ی خاص حمله فریب در این مقاله ارائه شده است. مقدار قابل توجهی تحقیقات در بررسی، تشخیص و اداره ی خرابی CPS انجام گرفته است. Sinopoli و همکارانش [9]، [10] اثر افت بسته تصادفی بر روی کنترل و عملکرد تخمین گر(محاسبه گر) را بررسی کرده اند. چندین طرح تشخیص- خرابی در سیستم های دینامیکی در [11] بررسی شده اند. بعضی از سناریوهای CPS، به عنوان مثال، آنهایی که در [12] آورده شده، قادر به استفاده از نتایج کنترل تقویتی، که در آن محققان بر روی طراحی کنترل کننده ها برای سیستم های ناشناخته یا پارامترهای نامشخص متمرکز کرده اند می باشند. در حالی که این تحقیقات فرض می کنند که خرابی ها یا تصادفی اند یا خوش خیم(بی خطر) می باشند، یک مهاجم زیرک، همانطور که در این مقاله در نظر گرفته شده، به دقت می تواند یک روش حمله جهت فریب دادن آشکارسازها و خراب کردن کنترل کننده های قوی را ایجاد کند. Alpcan and Ba¸sar ]13[ اصول تئوری بازی را جهت تشخیص نفوذ برای توسعه یک چارچوب تصمیم و کنترل را بکار می برند. تحقیق شان بررسی سنسور های تشخیص نفوذ، نه در طرح واقعی تشخیص که هر سنسور بکار گرفته می شود را لحاظ می کنند. کنترل پذیری و مشاهده پذیری
سیستم های خطی با استفاده از نظریه گراف بررسی در [14] که روش هایی برای رسیدن به اجماعی در حضور عوامل مخرب را ارائه می دهد، بررسی شده اند. روش های پیشنهادی در ماهیت ترکیبی می باشند و از لحاظ محاسباتی دشوار می باشند. تخمین مقاوم با بهره گیری از سنسورها در محیط های غیر قابل اطمینان در [16] بررسی شده اند که در آن Lazons و همکارانش [15]الگوریتم محلی سازی مقاوم که بر روی اطلاعات محلی سنسورها، نه داده های حسگرش تمرکز دارد را ارائه داده اند. Pasqualetti و همکارانش [17]، [18] حمله داده ها عمدی مخرب را به حساب آورده، و مشکل نظارت توزیعی(پراکنده) و تشخیص نفوذ را بررسی کرده اند. کنترل شکل توزیعی در حضور مهاجمان در [19] که یک الگوریتم کنترل توزیعی با استفاده از تطابق آنلاین ارائه می دهد مورد بررسی قرار گرفته است. این سناریوها، بر خلاف مقاله ی پیش رو یک فرایند و محیط بدون نویز را در نظر گرفته اند(لحاظ کرده اند). Giani و همکارانش [20] مشکل امنیت و انتقال انعطاف پذیر قدرت و توزیع را بررسی کرده اند و به چند تهدیدات بالقوه در سیستم های قدرت مدرن اشاره کرده اند. یک بررسی جامع نتایج فعلی در سیستم های کنترل شبکه در [21] انجام شده است. Dán and Sandberg [22] حملات پنهانی(خفا) در تخمین گرهای حالت سیستم قدرت را بررسی می کنند و از فرموله کردن سیستم استاتیک(ثابت) بر خلاف این مقاله استفاده می کند. Sandberg et al [23] تحلیل شبکه های قدرت مقیاس بزرگ با استفاده از شاخص های امنیتی پیشنهادی را بررسی می کنند. تخمین حالت ایمن و کنترل سیستم ها تحت حمله در [24] و [25] بررسی شده است. امنیت شبکه های قدرت بر روی سیستم های ثابت، بر خلاف ساختار اصلی سیستم خطی مستقل از زمان (LTI) در این مقاله تمرکز یافته است.(بررسی شده است). این مقاله بر پایه ی نتایج تئوری قبلی محققان می باشد، [26]، [27]. Mo and Sinopoli ]26[ مشکل اصلی و استراتژی حمله را ارائه داده و مفهوم کنترل نویز را با بعضی از شبیه سازی ها در یک مدل یک خودروی متحرک معرفی کرده اند. تحقیق بعدی [27] یک روش جهت بهینه کردن کنترل نویز در سیستم های چند ورودی، چند خروجی ارائه داده و کنترل نویزی برای یک آشکارساز همبسته گر متقابل(cross-correlator ) با شبیه سازی ها بر روی یک کارخانه مواد شیمیایی و ریزشبکه را معرفی کرده است. در این مقاله، نتایج فوق با بعضی از نتایج جدید متناظر با شکل سیگنال کنترل بهینه شده توسعه یافته است. شبیه سازی ها به کارخانه تولید مواد شیمیائی برای مقایسه بهتر کاربرد روش های مختلف و عملکرد شان مرتبط شده اند.
B. نمای کلی
هدف این مقاله توسعه مدل روش های مبتنی بر مدل که قادر به تشخیص حملات یکپارچگی در سنسورهای یک سیستم کنترل باشند، می باشد. فرض شده که مهاجم خواهان اخلال(برهم زنی) در کارکرد یک سیستم کنترل در حالت پایا که در پایان مهاجم سنسورها، مشاهدات و پژوهش هایشان را برای یک مقدار مشخصی از زمان ثبت می کند و آنها را بعد از مخفی کردن حمله اش تکرار می کند ،می باشد. چنین حمله ای مرسوم(رایج) و طبیعی می باشد، مخصوصا اگر مهاجم دینامیک های سیستم را نشناسد، اما از اینکه سیستم در طول حمله در حالت پایدار(پایا) باشد،آگاه (مطلع) است. این فریب، یک سال قبل از انکه Stuxnet (ویروس اینترنتی) به وجود آید، ارائه شد[26]، دقیقا همان ویروسی بود که جهت پنهان کردن فعالیت هایش استفاده می شد.- آن عملیات های عادی در نیروگاه هسته ای را ظبط می کرد که آن برای اپراتورها جهت تظاهر به انجام کارکرد عادی نقش بازی می کرد در حالی که سانتریفیوژ ها فراتر از مقادیر نامی می چرخیدند [28]. قسمت های اصلی این مقاله، فراتر از جدید بودن فرموله کردن مشکل، در شمارش شرایط امکان حمله بازپخش قرار می گیرد و اقدامات متقابلی را نشان می دهد که احتمال تشخیص توسط اذعان عملکرد کنترل را بهینه می کند. این مقاله به صورت زیر طبقه بندی شده است. در بخش دوم، فرموله کردن مشکل توسط بازبینی و تطبیق فیلتر کالمن، کنترل کننده ی گوسی خطی درجه دوم (LQG) و آشکارساز خرابی χ2 ارائه شده است. مدل تهدید نیز تعریف شده و اثرش بر روی طرح های کنترلی بخش دوم تجزیه و تحلیل شده است. در بخش سوم، طبقه ی سیستم ها که قادر به تشخیص چنین حملاتی می باشند بررسی شده اند. در بخش چهارم، سه اقدام متقابل برای تشخیص این گونه حملات ارائه شده، بر اساس اضافه کردن یک سیگنال احراز هویت گاوسی میانگین صفر نسبت به کنترل بهینه ارائه شده است. یک روش جهت طراحی سیگنال احراز هویت جهت کاهش دادن تلفات عملکرد در حالی که احتمال معینی از تشخیص نیز ارائه شده بیان گردیده است. روش ها توسط انجام چند شبیه سازی در بخش پنجم ارزیابی شده اند. بخش ششم نتیجه گیری این مقاله با بعضی از جهات برای کار آتی می باشد.
II. فرموله کردن مسئله
این قسمت، فرموله کردن مسئله توسط بکار گیری فیلتر کالمن، کنترل کننده ی LQG، و آشکارساز χ2 برای علت تحت تحقیق را ارائه می دهد. مفهوم توسعه داده شده در زیر برای بقیه ی این مقاله استفاده می گردد. یک سیستم LTI را در نظر بگیرید:
شبکه حسگر سیستم (1) را نظارت می کنند. معادله مشاهده را می توان به صورت زیر نوشت:
فیلتر کالمن و کنترل کننده ی LQG می باشد.فیلتر کالمن تخمین حالت بهینه زیر را ارائه می دهد:
اگر چه فیلتر کالمن از یک بهره ی متغیر با زمان
بهره می برد،اما این بهره در صورتی همگرا خواهد شد که سیستم قابل تشخیص باشد. در عمل، بهره ی کالمن معمولا در چند مرحله همگرا می شود. از این رو، P و K را می توان به صورت زیر تعریف کرد:
همانطور که سیستم های کنترل معمولا برای مدت زمان طولانی اجرا می شوند،سیستم را می توان در حالت پایدار فرض کرد. شرایط اولیه ی
فیلتر کالمن را به یک تخمین گر بهره ی ثابت کاهش می دهد:
کنترل کننده ی LQG یک کنترل کننده ی خطی بهره ثابت مبتنی بر تخمین بهینه ی حالت
می باشد:
که در آن 
ورودی کنترل بهینه و S "معادله ریکاتی" را ارضا می کند (در آن صدق می کند):
با قرار دادن آنگاه.
مقدار بهینه تابع هدف در این حالت برابر است با:
A . آشکارساز خرابی χ2
آشکارساز χ2 [29]، [30] به طور گسترده ای در سیستم های کنترل بکار گرفته می شود و از بقیه ی ویژگی های فیلتر کالمن استفاده می کند:
قضیه 1: برای سیستم LTI تعریف شده در (1) با فیلتر کالمن و کنترل کننده ی LQG، دنباله های فیلتر کالمن ، مستقل با توزیع یکسان گوسی (i.i.d.) با میانگین صفر و کوواریانس می
اثبات:
اثبات در [29] بیان شده است.
داریم:
که در آن 
"اندازه پنجره" می باشد. با استفاده از قضیه 1، آن تعریف می گردد زمانی که سیستم به طور طبیعی در حال کار می باشد،
دارای یک توزیع
با درجات آزادی 
می باشد که دلالت کننده ی احتمال کمتر یک مقدار بزرگتر می باشد. آشکارساز در زمان K برابر است با:
که در آن η یک آستانه ی انتخاب شده برای احتمال وِیژه هشدار کاذب می باشد. H1 هشدار Triggered می باشد.
III . احتمال(امکان) حمله
در این قسمت، فرض شده که یک شخص ثالث مخرب می خواهد سیستم کنترل بیان شده در بخش دوم را تخریب کند. یک مدل حمله مشابه به حمله باز پخش در امنیت کامپیوتر تعریف شده و احتمال این گونه حملات بر روی سیستم کنترل بررسی شده است. سپس بررسی به طبقات دیگر سیستم کنترل تعمیم داده می شود. مهاجم فرض شده که دارای توانایی زیر باشد:
1) وارد کردن ورودی کنترل خارجی
به سیستم
2) (محافظه کارانه) تمام اطلاعات سنسور را خوانده و آنها را خودسرانه تغییر می دهد. اطلاعات تغییریافته توسط مهاجم
توسط
نشان داده می شوند. با توجه به این قابلیت ها، مهاجم فرض شده که دارای یک استراتژی حمله می باشد که می تواند به دو مرحله تقسیم شود.
1) مهاجم تعداد کافی 
را بدون ارائه ی هیچ ورودی به سیستم ظبط می کند.
2) مهاجم دنباله ای از ورودی های مورد نظر کنترل را ارائه می دهد در حالی که 
قبلی ضیط شده را دوباره پخش می کند(بازبخش).
نکته 1: حمله به سنسور می تواند توسط شکستن الگوریتم رمزنگاری صورت گیرد. راه دیگر برای انجام یک حمله، که تصور می شود جهت دفاع بسیار سخت تر باشد، استفاده از حملات فیزیکی می باشد. به عنوان مثال، قرائت یک سنسور دمایی را می توان در صورت دستکاری شود که مهاجم یک بخاری در نزدیکی سنسور قرار دهد.
نکته 2: هنگامی که سیستم مورد حمله قرار گرفته است، کنترل کننده نمی تواند کنترل حلقه بسته انجام دهد، همانطور که اطلاعات حسی در دسترس نمی باشند. بنابراین، عملکرد کنترل سیستم نمی تواند در زمان حمله باز پخش تضمین شود.
تنها راه مقابله با چنین حمله ای، تشخیص آن اتفاق می باشد.
نکته 3: در مرحله ی حمله، هدف مهاجم ایجاد قرائت های اشتباه(fake)
مانند 
می باشد. بازپخش(تکرار) فقط ساده ترین راه برای رسیدن به این هدف می باشد. روش های دیگر مانند یادگیری ماشین یا شناسایی سیستم جهت تولید یک توالی اشتباه از قرائت ها وجود دارد.
جهت ارائه یک چارچوب واحد و یکپارچه، را می توان به عنوان خروجی سیستم مجازی زیر تحت کارکرد طبیعی در نظر گرفت :
با شرایط اولیه ی
. برای حمله ی بازپخش، فرض کنید که مهاجم دنباله ی 
از بعد زمان t را ظبط می کند. سپس سیستم مجازی، فقط یک نسخه ی متغیر با زمان سیستم واقعی با 
می باشد.
و
زمانی که فرایند اصلی و نویزهای سنسور گوسی سفید می باشند، هنوز هم مستقل از همدیگر خواهند بود.
نکته 4: در حالی که مهاجم فقط می تواند قرائت ها برای یک زمان محدود قبل از حمله را ظبط کند،آنگاه کلا این ضبط جهت آسیب زدن به سیستم کافی می باشد. علاوه بر این، اگر مهاجم قرائتی خیلی کوتاه پیدا کند،آنگاه اندازه گیری های ثبت شده را می توان به صورت یک باز پخش طولانی تر لوپ(حلقه بسته) کرد، زیرا سیستم در حالت پایدار می باشد. بنابراین،برای سادگی، فرض می گیریم طول ضبط نامحدود می باشد.
قضیه 2: سیستم و آشکارساز بخش دوم و مهاجم در حال اجرا سیستم های مجازی داده شده توسط (13) را در نظر بگیرید.
هشدار کاذب و نرخ های تشخیص سیستم در زمان K را به ترتیب درنظر بگیرید:
اگر پایدار باشد:
متعاقباً، اگر
ناپایدار باشد:
اثبات: فرض کنید که سیستم تحت حمله قرار دارد، تخمین فیلتر کالمن
را می توان به صورت زیر بازنویسی کرد:
برای سیستم مجازی، معادله ی یکسانی را برای 
نگه می دارد:
داریم: .
حالا دنباله می تواند به صورت بیان گردد:
با تعریف سیستم مجازی، آشکار است که
توزیع دقیقی همانند
را دنبال می کند.
از این رو ، اگر
پایدار باشد، آنگاه عبارت های دوم و سوم در معادله ی (23) به صفر همگرا خواهند شد.
بنابراین 
به توزیع مشابهی همانند همگرا خواهد شد و نرخ تشخیص (β) ارائه شده توسط آشکارساز χ2 به نرخ هشدار کاذب (α) همگرا خواهد شد. از طرف دیگر، اگر ناپایدار باشد، مهاجم نمی تواند
برای مدت طولانی بازپخش کند، زیرا 
به زودی نامحدود خواهد شد که βk → 1. در این حالت، سیستم نسبت به حمله بازپخش همانطور که آشکارساز قادر به تشخیص حمله خواهد بود، انعطاف پذیر می باشد.
نکته 5: در طول دوره گذرا هنگامی که حمله شروع می شود، مقدار در فرمول بندی بالا به مقدار بالایی پرش می کند. اما برای یک مهاجم پیچیده جهت کاهش دادن این پرش در مقادیر ، حتی با حذف کامل آن توسط طراحی شروع حمله با دقت بیشتری نسبت به فرمول بندی بالا ،بسیار دشوار نمی باشد. به عنوان مثال، مهاجم می تواند مقدار اندازه گیری های نادرست
با زمان را افزایش دهد یا وی می تواند تا اینکه قسمت اولیه ی ظبط به اندازه گیری های موجود نزدیک شود، صبر کند. تکیه بر پرش گذرا در یک حرکت عاقلانه نمی باشد.
به نظر می رسد نتیجه امکان سنجی حاصل شده برای تخمین گر، کنترل کننده، و اجرای آشکارساز واقعا برای یک طبقه ی بزرگی از سیستم، با کمی شرایط بهتر قابل اجرا باشد. فرض کنید حالت تخمین گر در زمان K ، 
می باشد و
مطابق زیر کامل می گردد:
نیمه نرم(seminorm) f به صورت زیر تعرف می شود:
فرض کنید که مدافع از معیار زیر جهت انجام تشخیص نفوذ استفاده می کند:
که در آن g یک تابع پیوسته ترتیبی می باشد و 
مقدار آستانه برای g می باشد.
قضیه 3: اگر 
باشد، آنگاه:
که 
متغیر حالت سیستم مجازی می باشد.
نرخ تشخیص
در زمان k به صورت زیر همگرا می شود:
که در آن 
نرخ هشدار کاذب سیستم مجازی در زمان K می باشد.
اثبات:
بخاطر محدودیت فضایی، تنها یک نمای کلی از اثبات ارائه می گردد. در ابتدا، تضمین خواهد کرد که به
همگرا می شود و با ادامه دادن ، به همگرا می شود. نرخ تشخیص سیستم و نرخ هشدار کاذب سیستم های مجازی به صورت زیر ارائه می شوند:
از این رو به همگرا می گردد.
نکته 6: اگر قضیه 3 به سیستم LTI تحت شرایطی اعمال شود،آنگاه حالت کنترل کننده ی LQG، فیلتر کالمن، و آشکارساز
فقط به یک حالت خاص تبدیل می شود که حالت
تخمین گر در زمان k برابر با و می شود.
تابع f توسط (4( و g توسط(12) ارائه شده است. شرط انعطاف پذیری زمانی تحقق می پذیرد که بزرگترین مقدار تکین 
از
کمتر از یک باشد. این محدودترین شرط نسبت به شرط حاصل شده در قضیه 2 می باشد.
نکته 7: برای سیستم های خطی، پایداری نشان می دهد که نرخ تشخیص به نرخ هشدار کاذب همگرا شده است. اگر
ناپایدار باشد، نرخ تشخیص برابریک می گردد. برای طبقات بزرگتر سیستم ، یک شرط کافی برای همگرایی نرخ تشخیص به نرخ هشدار کاذب می باشد.
IV. اقدامات متقابل در برابر حملات
A. با استفاده از ناپایدار
نتیجه قضیه 2، آن است که اگر ناپایدار باشد، آنگاه
خیلی سریع به صورت نمایی نامحدود می گردد، که آشکار ساز را تحریک(راه اندازی) می کند. یک روش ممکن جهت مقابله با حمله بازپخش طراحی مجدد سیستم کنترل می باشد، به عنوان مثال، استفاده از تخمین غیر بهینه (نامطلوب) و ماتریس های بهره کنترل K و L، به نحوی که ناپایدار شود، در حالی که
سیستم پایدار باشد. اما زمانی که k و L در سنجش LOG بهینه نباشند، از این رو هزینه افزایش می یابد. LOG برای استفاده از K و L نامطلوب بررسی شده است. که داریم:
معادلات(31) و(32) را می توان به شکل ماتریسی به صورت زیر هم نوشت:
که 
برابر است با:
ماتریس کوواریانس عبارت آخر معادله ی(33) می باشد:
هزینه ی LOG برای K و L غیر مطلوب را می توان بدست آورد، که با قضیه ی زیر ارائه می شود.
قضیه ی 4: هزینه ی LOG با استفاده از یک تخمین ترتیبی و بهره ی کنترل K و L برابر است با:
که
پاسخ معادله ی لیاپونوف زیر می باشد:
اثبات:
هنگامی که از یک کنترل کننده ی بهره و تخمین گر استفاده می شود:
که می توانند به شکل ماتریسی بیان شوند:
با گرفتن حد از دو طرف داریم:
بنابراین، هزینه ی LOG برابر است با:
.
نکته 8: ممکن است به اندازه کافی آزادی جهت طراحی مجدد کنترل که برای اجرای این اقدام متقابل لازم می باشد، وجود نداشته باشد. گنجانیدن این روش این ، اما نه فقط به خاطر کاملیت –همانطور که 
به طور نمایی افزایش می یابد، بلکه این روش بالاترین احتمال پسین تشخیص، در حالتی که آن امکان پذیر است را فراهم می کند. اما، ای ناحتمال وجود دارد که محدودیت های طراحی اجازه ندهد که
به دلیل محدودیت ها در هزینه های عملیاتی، پارامترهای ایمنی، و غیره ناپایدار شود. در چنین حالت هایی، دو اقدام متقابل دیگر جهت تشخیص حملات بازبخش در قسمت یزر ارائه می گردد.
B. کنترل نویزی
مشکل اصلی ترکیبی یک کنترل کننده ی LQG و یک فیلتر کالمن آن است که کل سیستم کنترل نسبتا ثابت می باشد که آن را نسبت به یک حمله باز پخش آسیب پذیر می کند. برای تشخیص چنین حمله بازپخشی، یک روش ، طراحی مجدد سیگنال کنترل به صورت زیر می باشد:
که 
سیگنال کنترل مطلوب LQG و دنباله 
از توزیع گاوسی مستقل با توزیع یکسان با میانگین صفر و کوواریانس
و مستقل از 
حاصل شده است. شکل 1 نمودار سیستم شامل مهاجم و کنترل نویزی را نشان می دهد.
دنباله ی
به عنوان یک سیگنال احراز هویت time-stamped عمل می کند. میانگین صفر انتخاب شده تا اینکه هیچ بایاسی به سیستم معرفی(اعمال) نگردد. وجود این سیگنال احراز هویت اضافی سبب می شود که کنترل کننده بهینه نباشد.
- جهت کاهش دادن آسیب پذیری سیستم نسبت به حمله، عملکرد کنترل باید مطلوب باشد. قضیه 5 وابستگی تلفات عملکرد عملکرد LQG به توان سیگنال احراز هویت را نشان می دهد.
قضیه 5: عملکرد LQG بعد از اضافه کردن
برابر است با:
اثبات: در پیوست I ارائه شده است.
نکته 9: همانطور که عملکردLOG نامحدود می باشد، از این رو سیستم پایدار می باشد.
- آشکارساز
قضیه 6 اثربخشی آشکارساز با استفاده از طرح(روش) کنترل نویزی را نشان می دهد.
قضیه ی 6: بدون حمله:
که 
پاسخ معادله ی لیاپونوف می باشد:
اثبات: معادله ی(44) را به راحتی با استفاده از قضیه (1) می توان اثبات کرد که
را می توان به صورت زیر بازنویسی کرد:
به طور مشابه برای سیستم مجازی داریم:
عبارت اول در(50) توزیع یکسانی همانند
دارد و عبارت دوم به صفر زمانی که
پایدار باشد همگرا می گردد.
می توان مشاهده کرد که مستقل از سیستم مجازی می باشد. علاوه بر این، برای سیستم مجازی، مستقل از می باشد، از این رو،
با تعریف
از قضیه ی5 ، معادلاه یلیاپونوف (46) را می توان حل نمود که منجر به حاصل شدن 
می شود:
نتیجه 1: بدون حمله، انتظار آشکارساز 
برابر است با:
و تحت حمله: انتظار پسین(مجانبی) برابراست با:
تفاوت در توقعات
با و بدون حمله ثابت می کند که نرخ تشخیص به نرخ هشدار کاذب همگرا می گردد. در یک سیستم SISO، تنها یک راه جهت وارد کردن سیگنال تصادفی و تنها یک راه جهت مشاهده ی آن وجود دارد. بنابراین، جهت دستیابی به یک نرخ تشخیص خاص، تلفات عملکرد خاصی باید پذیرفته شود. در سیستم های MIMO، سیگنال احراز هویت می تواند در یک ورودی یا چند ورودی ، با توان های مختلف،مستقل یا نامستقل گنجانیده شود. به طور مشابه، پاسخ پذیری سیستم به سیگنال می تواند برای یک خروجی یا چند خروجی بررسی شود. سیگنال احراز هویت
را می توان به نحوی بهینه کرد که شرایط(الزامات) تشخیص فراهم گردد در حالی که تاثیر بر روی عملکرد کنترل را کاهش بدهد. از آنجا که سیگنال احراز هویت باید دارای میانگین صفر باشد، طراحی به ماتریس کواریانس
وابسته می گردد. اجازه دهید مقدار بهینه ی ، بر اساس الزامات طراحی،توسط 
نشان داده شود. مشکل بهینه سازی را می توان به دو روش شروع کرد. در ابتدا، تلفات عملکرد LQG (
) را می توان به کمتر از بعضی از پارامترهای طراحی
محدود کرد(کاهش داد) و افزایش (
)در مقدار مورد انتظار از دنباله های درجه دوم در حالت حمله به حداکثر می رسند. در این حالت، بهینه پاسخی برای مشکل بهینه سازی می باشد:
باشد، زیرا 
یک نیمه معین مثبت می باشد که برابر است با:
که 
مقادیر ویژه 
و 
یک ماتریس متعامد می باشد به نحوی که
.
بنابراین را می توان به صورت مجموع ماتریس های P با رتبه ی 1 نوشت:
علاوه بر این،
به عنوان پاسخ معادله ی لیاپونوف زیر تعریف می شود:
آشکار است که
بهینه باید ارضاء کند:
می توان مشاهده شود که:
که اثبات می کند:
علا.ه بر این، به آسانی می توان مشاهده کرد که زمانی که معادله ی لیاپونوف خطی می باشد:
بنابراین،
ترکیب محدب محدب P شدنی 
می باشد. زیرا بهینه می باشد ، ما می دانیم که برای هر λi> 0، 
مربوطه باید مطلوب باشد که اثبات تمام می شود.
نکته 10: این واقعیت که دارای مقدار یک می باشد، نیز دارای یک تحمل مستقیم بر روی شرط محاسبه می باشد. تعداد ژنراتورهای نویز سیگنال تصادفی مستقل مورد نیاز برابر است با رتبه 
می باشد. صرف نظر از تعداد ورودی سیستم، مقدار همیشه یک می باشد، یعنی یک ژنراتور نویز تصادفی برای یک سیستم با هر تعداد ورودی آسیب وارد خواهد کرد.
نکته 11: در حالت ایده آل، اگر یک محدودیت طراحی بر روی هزینه LQG وجود دارد، آنگاه یکی اقدام به بهینه کردن نرخ تشخیص می کند. اما می توان نشان داد که تحت حمله 
یک توزیع تعمیم یافته ی χ2 را دنبال می کند و هیچ فرم تحلیلی برای
نرخ تشخیص نمی توان تعلق داد. بنابراین، تنها ماکزیمم سازی انتظار در حالت یک حمله با شهودی که نرخ تشخیص در چنین حالتی نزدیک به ماکزیمم ممکن خواهد شد،تلاش شده است.
نکته 12: از قضایای 5 و 6 مشاهده می شودکه افزایش (
) در هزینه LQG و افزایش (
) در انتظار دنباله های درجه دوم، توابع خطی ماتریس کواریانس نویز 
می باشند.بنابراین، مشکل بهینه سازی مشکل بهین هسازی نیمه معین می باشد و از این رو می تواند به آسانی حل شود. علاوه بر این، می توان مشاهده کرد که اگر شرایط از
تغییر یابد،آنگاه 
به 
تغییر خواهد یافت. راه دیگر بهینه سازی محدود(کاهش دادن) کردن افزایش (
) در مقادیر باقی مانده های درجه دوم جهت قرار گرفتن در بالای مقدار ثابت
می باشد.در نتیجه تضمین نرخ معینی از تشخیص، و تلفات عملکرد (
) را می توان کاهش داد. 
بهینه، پاسخ به مشکل بهینه سازی می باشد:
نکته 13: پاسخ دو مشکل بهینه سازی با توجه به 57 و 71 مضارب اسکالر یکدیگر خواهد شد، در نتیجه حل مسئله بهینه سازی عملکرد یکسانی را تضمین می کند. راه بصری جهت مشاهده این، آن است که 
حساسیت خروجی سیستم به ورودی های مختلف را اندازه گیری کند در نتیجه آن را به یک ویژگی سیستم تبدیل می کند. نتایج نکته 12 و 13 را می توان به طراحی سیگنال به دو مرحله مستقل بکار برد. زیرا یک رابطه خطی بین تلفات عملکرد و یا افزایش در دنباله های به دامنه سیگنال وجود دارد، ابتدا شکل می تواند معین شود. سپس نرم می تواند در مرحله دوم، با توجه به هر دو عملکرد آشکارساز و یا عملکرد کنترل طراحی شود. این مراحل طراحی بیشتردر بخش V-D نشان داده شده اند.
12) ضریب همبسته ساز: پیاده سازی آشکارساز χ2 نیاز به اجرای تخمین گر کالمن دارد. در برخی از سیستم ها، تخمین گر کالمن، ممکن است بخاطر خصوصیات نویز یا مشاهده پذیری سیستم امکان پذیر نباشد . اقدام متقابل کنترل نویزی هنوز هم می تواند استفاده شود، به تقریبا هر کنترل کننده و آشکارساز، تا زمانی که یک سیستم مجازی را می توان اجرا کرد.