Wireless communication is being used as an enabling technology with traditional fixed traffic control systems in this transitional era toward Intelligent Transportation Systems (ITS). Unfortunately, major security concerns have arisen with respect to ever-increasing complexity and interconnectivity, and a noticeable lack of attention for security in these systems. Addressing concerns is a colossal challenge as it requires thorough development and formal analysis of a system model with respect to security. To tackle this challenge, we present a novel formal attack modeling and impact analysis methodology based on the Link Queue Model (LQM) of traffic flow inside a double ring road network, which is equivalent to a grid network with homogeneous links. We develop attack models as functions of tampered traffic control settings (e.g., green time ratios, cycle length, retaining ratios) with outputs equivalent to mobility impacts on the traffic network (e.g., time until system reaches state convergence, asymptotic average network flow). Further, for a given attack model, we define and identify vulnerable states: states that are critical to protect because they lead to negative impacts under the given attack model. Using our methodology we found that for certain vulnerable states, after only a few cycles of tampered control settings an attacker could cause a real impact of 1.5x speed-up in gridlock state convergence or 37%-99% drop in the asymptotic average flow rate. These results imply potentially drastic financial costs for cities and all involved drivers if similar attacks were performed on a real traffic control system.

在这个向智能交通系统（ITS）过渡的时代，无线通信已成为传统固定交通控制系统的使能技术。不幸的是，关于不断增加的复杂性和互连性以及在这些系统中对安全性的关注明显不足，已经引起了主要的安全性关注。解决问题是一项巨大的挑战，因为它需要就安全性对系统模型进行彻底的开发和形式化分析。为了解决这一挑战，我们提出了一种新颖的形式化攻击建模和影响分析方法，该方法基于双环网内部交通流的链接队列模型（LQM），它等效于具有同质链接的网格网络。我们根据被篡改的流量控制设置（例如绿色时间比率，周期长度，保留比率），其输出等效于对交通网络的移动性影响（例如，直到系统达到状态收敛的时间，渐近平均网络流量）。此外，对于给定的攻击模型，我们定义并确定易受攻击的状态：由于在给定的攻击模型下会导致负面影响，因此对于保护至关重要的状态。使用我们的方法，我们发现，对于某些易受攻击的状态，仅经过几个周期的篡改控制设置，攻击者就可能真正造成Gridlock状态收敛1.5倍加速或渐进平均流量下降37％-99％的实际影响。如果在真实的交通控制系统上进行了类似的攻击，这些结果意味着城市和所有相关驾驶员可能会付出巨大的财务成本。保留比率），其输出等效于对交通网络的移动性影响（例如，直到系统达到状态收敛的时间，渐近平均网络流量）。此外，对于给定的攻击模型，我们定义并确定易受攻击的状态：由于在给定的攻击模型下会导致负面影响，因此对于保护至关重要的状态。使用我们的方法，我们发现对于某些易受攻击的状态，仅经过几个周期的篡改控制设置，攻击者就可能真正造成Gridlock状态收敛1.5倍加速或渐进平均流量下降37％-99％的实际影响。如果在真实的交通控制系统上进行了类似的攻击，这些结果意味着城市和所有相关驾驶员可能会付出巨大的财务成本。保留比率），其输出等效于对交通网络的移动性影响（例如，直到系统达到状态收敛的时间，渐近平均网络流量）。此外，对于给定的攻击模型，我们定义并标识了易受攻击的状态：由于在给定的攻击模型下会导致负面影响，因此对于保护至关重要的状态。使用我们的方法，我们发现，对于某些易受攻击的状态，仅经过几个周期的篡改控制设置，攻击者就可能真正造成Gridlock状态收敛1.5倍加速或渐进平均流量下降37％-99％的实际影响。如果在真实的交通控制系统上进行了类似的攻击，这些结果意味着城市和所有相关驾驶员可能会付出巨大的财务成本。渐近平均网络流量）。此外，对于给定的攻击模型，我们定义并确定易受攻击的状态：由于在给定的攻击模型下会导致负面影响，因此对于保护至关重要的状态。使用我们的方法，我们发现，对于某些易受攻击的状态，仅经过几个周期的篡改控制设置，攻击者就可能真正造成Gridlock状态收敛1.5倍加速或渐进平均流量下降37％-99％的实际影响。如果在真实的交通控制系统上进行了类似的攻击，这些结果意味着城市和所有相关驾驶员可能会付出巨大的财务成本。渐近平均网络流量）。此外，对于给定的攻击模型，我们定义并确定易受攻击的状态：由于在给定的攻击模型下会导致负面影响，因此对于保护至关重要的状态。使用我们的方法，我们发现对于某些易受攻击的状态，仅经过几个周期的篡改控制设置，攻击者就可能真正造成Gridlock状态收敛1.5倍加速或渐进平均流量下降37％-99％的实际影响。如果在真实的交通控制系统上进行了类似的攻击，这些结果意味着城市和所有相关驾驶员可能会付出巨大的财务成本。使用我们的方法，我们发现，对于某些易受攻击的状态，仅经过几个周期的篡改控制设置，攻击者就可能真正造成Gridlock状态收敛1.5倍加速或渐进平均流量下降37％-99％的实际影响。如果在真实的交通控制系统上进行了类似的攻击，这些结果意味着城市和所有相关驾驶员可能会付出巨大的财务成本。使用我们的方法，我们发现，对于某些易受攻击的状态，仅经过几个周期的篡改控制设置，攻击者就可能真正造成Gridlock状态收敛1.5倍加速或渐进平均流量下降37％-99％的实际影响。如果在真实的交通控制系统上进行了类似的攻击，这些结果意味着城市和所有相关驾驶员可能会付出巨大的财务成本。