The ever-increasing complexity of cyber-physical systems is driving the need for assurance of critical infrastructure and embedded systems. However, traditional methods to secure cyber-physical systems—e.g., using cyber best practices, adapting mechanisms from information technology systems, and penetration testing followed by patching—are becoming ineffective. This paper describes, in detail, Verification Evidence and Resilient Design In anticipation of Cybersecurity Threats (VERDICT), a language and framework to address cyber resiliency. When we use the term resiliency, we mean hardening a system such that it anticipates and withstands attacks. VERDICT analyzes a system in the face of cyber threats and recommends design improvements that can be applied early in the system engineering process. This is done in two steps: (1) Analyzing at the system architectural level, with respect to cyber and safety requirements and (2) by analyzing at the component behavioral level, with respect to a set of cyber-resiliency properties. The framework consists of three parts: (1) Model-Based Architectural Analysis and Synthesis (MBAAS); (2) Assurance Case Fragments Generation (ACFG); and (3) Cyber Resiliency Verifier (CRV). The VERDICT language is an Architecture Analysis and Design Language (AADL) annex for modeling the safety and security aspects of a system’s architecture. MBAAS performs probabilistic analyses, suggests defenses to mitigate attacks, and generates attack-defense trees and fault trees as evidence of resiliency and safety. It can also synthesize optimal defense solutions—with respect to implementation costs. In addition, ACFG assembles MBAAS evidence into goal structuring notation for certification purposes. CRV analyzes behavioral aspects of the system (i.e., the design model)—modeled using the Assume-Guarantee Reasoning Environment (AGREE) annex and checked against cyber resiliency properties using the Kind 2 model checker. When a property is proved or disproved, a minimal set of vital system components responsible for the proof/disproof are identified. CRV also provides rich and localized diagnostics so the user can quickly identify problems and fix the design model. This paper describes the VERDICT language and each part of the framework in detail and includes a case study to demonstrate the effectiveness of VERDICT—in this case, a delivery drone.

中文翻译：

---

VERDICT：工程网络弹性和安全系统的语言和框架

网络物理系统的日益复杂性正推动着对关键基础设施和嵌入式系统的保证的需求。但是，保护网络物理系统安全的传统方法（例如，使用网络最佳实践，从信息技术系统适应机制以及进行渗透测试并进行补丁修复）变得无效。本文详细介绍了“在网络安全威胁预测中的验证证据和弹性设计”（VERDICT），这是一种解决网络弹性的语言和框架。当我们使用弹性这一术语时，我们的意思是强化系统以使其能够预见并抵御攻击。VERDICT在面对网络威胁时分析系统，并建议可以在系统工程过程的早期应用的设计改进。这分两个步骤完成：（1）在系统架构级别上针对网络和安全需求进行分析，以及（2）在组件行为级别上针对一组网络弹性属性进行分析。该框架包括三个部分：（1）基于模型的体系结构分析和综合（MBAAS）；（2）保证案件片段的产生（ACFG）；（3）网络弹性验证程序（CRV）。VERDICT语言是体系结构分析和设计语言（AADL）附件，用于对系统体系结构的安全性和安全性方面进行建模。MBAAS进行概率分析，提出防御措施以缓解攻击，并生成攻击防御树和故障树以作为弹性和安全性的证据。它还可以综合考虑实施成本的最佳防御解决方案。此外，ACFG将MBAAS证据汇总到目标结构表示法中以进行认证。CRV分析了系统的行为方面（即设计模型），该模型使用“假定-保证推理环境”（AGREE）附件进行了建模，并使用Kind 2模型检查器检查了网络的弹性。当一个属性被证明或被证明时，识别出负责证明/证明的最小生命系统组件集。CRV还提供了丰富且本地化的诊断，因此用户可以快速发现问题并修复设计模型。本文详细介绍了VERDICT语言和框架的每个部分，并包括一个案例研究，以证明VERDICT的有效性-在这种情况下，是交付无人机。设计模型）-使用Assume-Guarantee推理环境（AGREE）附件进行建模，并使用Kind 2模型检查器对照网络弹性属性进行检查。当一个属性被证明或被证明时，识别出负责证明/证明的最小生命系统组件集。CRV还提供丰富且本地化的诊断，因此用户可以快速发现问题并修复设计模型。本文详细介绍了VERDICT语言和框架的每个部分，并包括一个案例研究，以证明VERDICT的有效性-在这种情况下，是交付无人机。设计模型）-使用Assume-Guarantee推理环境（AGREE）附件进行建模，并使用Kind 2模型检查器对照网络弹性属性进行检查。当一个属性被证明或被证明时，识别出负责证明/证明的最小生命系统组件集。CRV还提供了丰富且本地化的诊断，因此用户可以快速发现问题并修复设计模型。本文详细介绍了VERDICT语言和框架的每个部分，并包括一个案例研究，以证明VERDICT的有效性-在这种情况下，是交付无人机。确定了负责检验/检验的最少一组重要系统组件。CRV还提供了丰富且本地化的诊断，因此用户可以快速发现问题并修复设计模型。本文详细介绍了VERDICT语言和框架的每个部分，并包括一个案例研究，以证明VERDICT的有效性-在这种情况下，是交付无人机。确定了负责检验/检验的最少一组重要系统组件。CRV还提供了丰富且本地化的诊断，因此用户可以快速发现问题并修复设计模型。本文详细介绍了VERDICT语言和框架的每个部分，并包括一个案例研究，以证明VERDICT的有效性-在这种情况下，是交付无人机。