Cyber resilience meta-modelling: The railway communication case study

Recent times have demonstrated how much the modern critical infrastructures (e.g., energy, essential services, people and goods transportation) depend from the global communication networks. However, in the current Cyber-Physical World convergence, sophisticated attacks to the cyber layer can provoke severe damages to both physical structures and the operations of infrastructure affecting not only its functionality and safety, but also triggering cascade effects in other systems because of the tight interdependence of the systems that characterises the modern society. Hence, critical infrastructure must integrate the current cyber-security approach based on risk avoidance with a broader perspective provided by the emerging cyber-resilience paradigm. Cyber resilience is aimed as a way absorb the consequences of these attacks and to recover the functionality quickly and safely through adaptation. Several high-level frameworks and conceptualisations have been proposed but a formal definition capable of translating cyber resilience into an operational tool for decision makers considering all aspects of such a multifaceted concept is still missing. To this end, the present paper aims at providing an operational formalisation for cyber resilience starting from the Cyber Resilience Ontology presented in a previous work using model-driven principles. A domain model is defined to cope with the different aspects and “resilience-assurance” processes that it can be valid in various application domains. In this respect, an application case based on critical transportation communications systems, namely the railway communication system, is provided to prove the feasibility of the proposed approach and to identify future improvements

A Platform Independent Access Control Metamodel for Web Services

Web services provide platform independent communication through an XML-based standard family. The major software vendors released their own SOA products implementing these standards. However, the configuration of the WS-* protocols differs from product to product. Matching these configurations between different products can be a very tedious task. Security protocols are among the most complicated protocols to configure, especially if access control is also required. Although the XACML standard aims to solve this task, its rules and policies described in XML are not very user friendly, and XACML has a very poor support in the major SOA products. Therefore, we have developed a platform independent metamodel for describing distributed systems of web services. From models described in this metamodel the platform specific configurations and program codes can be easily generated for the various SOA products, increasing the productivity of the development. This article introduces an access control extension to this metamodel

Design and Analysis of Vehicle Sharing Programs: A Systems Approach

Transit, touted as a solution to urban mobility problems, cannot match the addictive flexibility of the automobile. 86% of all trips in the U.S. are in personal vehicles. A more recent approach to reduce automobile dependence is through the use of Vehicle Sharing Programs (VSPs). A VSP involves a fleet of vehicles located strategically at stations across the transportation network. In its most flexible form, users are free to check out vehicles at any station and return the vehicle at a station close to their destination. Vehicle fleets are comprised of bicycles, cars or electric vehicles. Such systems offer innovative solutions to the larger mobility problem and can have positive impacts on the transportation system as a whole by reducing urban congestion. This dissertation employs a network modeling framework to quantitatively design and operate VSPs. At the strategic level, the problem of determining the optimal VSP configuration is studied. A bilevel optimization model and associated solution methods are developed and implemented for a large-scale case study in Washington D.C. The model explicitly considers the intermodalism, and views the VSP as a `last-mile' connection of an existing transit network. At the operational level, by transferring control of vehicles to the user for improved system flexibility, exceptional logistical challenges are placed on operators who must ensure adequate vehicle stock (and parking slots) at each station to service all demand. Since demand in the short-term can be asymmetric (flow from one station to another is seldom equal to flow in the opposing direction), service providers need to redistribute vehicles to correct this imbalance. A chance-constrained program is developed that generates least-cost redistribution plans such that most demand in the near future is met. Since the program has a non-convex feasible region, two methods for its solution are developed. The model is applied to a real-world car-sharing system in Singapore where the value of accounting for inherent stochasticities is demonstrated. The framework is used to characterize the efficiency of Velib, a large-scale bicycle sharing system in Paris, France

Modularization Approaches in the Context of Monolithic Simulations

Qualitätsmerkmale eines Software-Systems wie Zuverlässigkeit oder Performanz können über dessen Erfolg oder Scheitern entscheiden. Diese Qualitätsmerkmale können im klassischen Software-Ingenieurswesen erst bestimmt werden, wenn der Entwurfsprozess bereits vollendet ist und Teile des Software-Systems implementiert sind. Computer-Simulationen erlauben es jedoch Schätzungen dieser Werte schon während des Software-Entwurfs zu bestimmen. Simulationen werden erstellt um bestimmte Aspekte eines Systems zu analysieren. Die Repräsentation des Systems ist auf diese Analyse spezialisiert. Diese Spezialisierung resultiert oft in einer monolithischen Struktur der Simulation. Solch eine Struktur kann jedoch die Wartbarkeit der Simulation negativ beeinflussen und das Verständnis und die Wiederverwendbarkeit der Repräsentation des Systems verschlechtern. Die Nachteile einer monolithischen Struktur können durch das Konzept der Modularisierung reduziert werden. In diesem Ansatz wird ein Problem in kleinere Teilprobleme zerlegt. Diese Zerlegung ermöglicht ein besseres Veständnis und eine bessere Handhabung der Teilprobleme. In dieser Arbeit wird ein Ansatz präsentiert, um die Kopplung von neu entwickelten oder bereits existierenden Simulationen zu einer modularen Simulation zu beschreiben. Dieser Ansatz besteht aus einer Domänenspezifischen Sprache (DSL), die mit modellgetriebenen Technologien entwickelt wird. Die DSL wird in einer Fallstudie angewendet, um die Kopplung von zwei Simulationen zu beschreiben. Weiterhin wird die Kopplung dieser Simulationen mit einem existierenden Kopplungsansatz gemäß der erzeugten Beschreibung manuell implementiert. In dieser Fallstudie wird die Vollständigkeit der Fähigkeit der DSL untersucht, die Kopplung von mehreren Simulation zu einer modularen Simulation zu beschreiben. Weiterhin wird die Genauigkeit des Modularisierungsansatzes bezüglich der Verhaltensbewahrung der modularen Simulation gegenüber der monolithischen Version evaluiert. Hierfür werden die Resultate der modularen Simulation mit denen der monolithischen Version verglichen. Zudem wird die Skalierbarkeit des Ansatzes durch die Betrachtung der Ausführungszeiten untersucht, wenn mehrere Simulationen gekoppelt werden. Außerdem wird der Effekt der Modularisierung auf die Ausführungszeit in Relation zur monolithischen Simulation betrachtet. Die erhaltenen Resultate zeigen, dass die Kopplung der beiden Simulationen der Fallstudie, mit der DSL beschrieben werden kann. Die Resultate bezüglich der Evaluation der Genauigkeit weisen Probleme bei der Interaktion der Simulationen mit dem Kopplungsansatz auf. Nichts desto trotz bleibt das Verhalten der monolithischen Simulation in der modularen Version insgesamt erhalten. Die Evaluation zeigt, dass die modulare Simulation eine Erhöhung der Ausführungszeit im Vergleich zur monolithischen Version erfährt. Zudem deutet die Analyse der Skalierbarkeit darauf hin, dass die Ausführungszeit der modularen Simulation nicht exponentiell mit der Anzahl der gekoppelten Simulationen wächst

Modeling and Simulation of Message-Driven Self-Adaptive Systems

Dynamische, sich selbst rekonfigurierende Systeme nutzen Nachrichtenwarteschlangen als gängige Methode zum Erreichen von Entkopplung zwischen Sendern und Empfängern. Das Vorhersagen der Qualität von Systemen zur Entwurfszeit ist wesentlich, da Änderungen in späteren Phasen der Entwicklung sehr viel aufwändiger und teurer sind. Momentan gibt es keine Methode, Nachrichtenwarteschlangen auf architekturellem Level darzustellen und deren Qualitätseinfluss auf Systeme vorherzusagen. Existierende Ansätze modellieren Warteschlangen nicht explizit sondern abstrahieren sie. Warteschlangeneffekte sowie Details der Nachrichten-Infrastruktur wie zum Beispiel Flusskontrolle werden nicht beachtet. Diese Arbeit schlägt ein Meta-Modell vor, das eine solche Repräsentation ermöglicht, und eine Simulations-Schnittstelle zwischen einer Simulation einer komponentenbasierten Architekturbeschreibungssprache und einer Nachrichtenaustausch-Simulation. Das Meta-Modell wurde als Erweiterung des Palladio Komponentenmodells realisiert. Die Schnittstelle wurde implementiert für den Palladio-Simulator SimuLizar und eine von RabbitMQ inspirierte Simulation, die dem AMQP 0.9.1 Protokoll folgt. Dies ermöglicht architekturelle Repräsentation von Nachrichtenaustausch und das Vorhersagen von Qualitätsattributen von nachrichtengetriebenen, selbst-adaptiven Systemen. Die Evaluation anhand einer Fallstudie zeigt die Anwendbarkeit des Ansatzes und seine Vorhersagegenauigkeit für Punkt-zu-Punkt-Kommunikation. Außerdem konnten andere qualitätsbezogene Metriken, wie etwa Nachrichtenwarteschlangenlänge, Ein- und Ausgangsraten von Nachrichtenwarteschlangen, sowie Speicherverbrauch korrekt vorhergesagt werden. Das ermöglicht tiefere Einsichten in die Qualität eines Systems. Wir argumentieren weiterhin, dass der Ansatz in dieser Arbeit selbst-adaptive nachrichtengetriebene Systeme, die sich basierend auf verschiedenen Metriken rekonfigurieren, simulieren kann

Towards Method Component Contextualization

International audienceMethod Engineering (ME) is a discipline which aims to bring effective solutions to the construction, improvement and modification of the methods used to develop Information Systems (IS). Situational Method Engineering (SME) promotes the idea of retrieving, adapting and tailoring components, rather than complete methodologies, to the specific context. Existing SME approaches use the notion of context for characterizing situations of IS development projects and for guiding the method components selection from a repository. However, in the reviewed literature, there is no proposed approach to specify the specific context of method components. This paper provides a detailed vision of context and a process for contextualizing methods in the IS domain. This proposal is illustrated with three case studies: scenario conceptualization, project portfolio management, and decision-making