Nghiên cứu khoa học công nghệ<br />
<br />
VỀ MỘT PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG MẠNG<br />
ĐIỀU HÀNH GIÁM SÁT CÔNG NGHIỆP<br />
Nguyễn Đào Trường1*, Nguyễn Doãn Cường2<br />
Tóm tắt: Bài báo đề xuất về việc sử dụng các mô hình vật lý để phát hiện những<br />
bất thường trong mạng điều hành giám sát công nghiệp. Đầu tiên là đi phân tích<br />
một số hình thức tấn công điển hình trong mạng điều hành giám sát công nghiệp, từ<br />
đó đề xuất giải pháp kết hợp mô hình tuyến tính để ước tính tín hiệu với hai giải<br />
pháp phát hiện tuần tự và thay đổi trong các thông tin điều khiển để ngăn chặn các<br />
cuộc tấn công, kéo dài thời gian để người vận hành hệ thống có thể can thiệp hoặc<br />
ứng phó kịp thời với những thảm họa có thể xảy ra.<br />
Từ khóa: Mô hình tuyến tính, Hệ thống điều khiển, Tấn công lén lút, Tấn công hình học, Tấn công độ lệch.<br />
<br />
1. GIỚI THIỆU<br />
Mạng điều hành giám sát công nghiệp (ĐHGSCN) là hệ thống mạng trên cơ sở<br />
các máy tính để giám sát và điều khiển các quá trình vật lý trong công nghiệp.<br />
Những mạng này mô tả cho một loạt hệ thống mạng công nghệ thông tin khác<br />
nhau để kết nối đến những thiết bị vật lý ở những vị trí khác nhau. Dựa trên những<br />
ứng dụng mà những hệ thống điều khiển này còn được gọi với những cái tên như<br />
hệ thống điều khiển quá trình PCS (Process Control System), hệ thống điều hành<br />
giám sát và thu thập dữ liệu SCADA (Supervisory Control and Data Acquisition),<br />
hệ thống điều khiển phân tán DCS (Distributed Control System) hoặc hệ thống<br />
mạng vật lý CPS (Cyber-Physical System). Mạng điều hành giám sát công nghiệp<br />
thường là một tập các trạm được kết nối mạng gồm các bộ cảm biến, các cơ cấu<br />
chấp hành, các thiết bị xử lý điều khiển như bộ điều khiển logic lập trình được<br />
PLC (Programmable Logic Controller) và các thiết bị truyền thông. Chẳng hạn như<br />
trong hệ thống dầu khí và khí đốt sử dụng các hệ thống tích hợp để quản lý các<br />
hoạt động tinh chế trong nhà máy, giám sát từ xa áp suất và lưu lượng dòng chảy<br />
trong các ống dẫn khí đốt và điều khiển lưu lượng và đường đi của khí đốt. Trong<br />
các hệ thống điều hành giám sát công nghiệp hiện đại ngày nay có cấu trúc phân<br />
tầng[1]. Mục tiêu của cấu trúc điều khiển là: (1) duy trì việc vận hành hệ thống một<br />
cách an toàn bằng cách hạn chế đến mức thấp nhất những hành vi không mong<br />
muốn, (2) đáp ứng các nhu cầu sản xuất bằng việc lưu giữ các giá trị quá trình xử<br />
lý thực tế trong những giới hạn cho phép, (3) tối đa hóa lợi ích sản phẩm.<br />
2. PHÁT HIỆN TẤN CÔNG TRONG MẠNG ĐHGSCN<br />
2.1. Mô hình tấn công<br />
Xét trường hợp trạng thái của hệ thống được đo bằng một mạng gồm p bộ cảm<br />
biến với véc-tơ đo lường y(k) y1(k), y2 (k),..., yp (k) , trong đó yi ( k ) ký hiệu phép<br />
đo của bộ cảm biến thứ i tại thời điểm k. Toàn bộ các bộ cảm biến thành một dải<br />
biểu diễn miền của yi với mọi k. Điều đó tức là tất cả bộ cảm biến xác định giá trị<br />
nhỏ nhất và lớn nhất k , yi (k ) yimin , yimax , đặt Yi yimin , yim ax . Giả sử mỗi bộ<br />
cảm biến có một định danh duy nhất được bảo vệ bằng một khóa mật mã. Đặt<br />
y ( k ) p ký hiệu các phép đo nhận được của bộ điều khiển tại thời điểm k. Dựa<br />
<br />
<br />
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 79<br />
Công nghệ thông tin & Khoa học máy tính<br />
<br />
trên các số đo này mà hệ thống điều khiển xác định hành động để duy trì mục đích<br />
hoạt động nhất định. Nếu một số bộ cảm biến bị tấn công, y (k ) có thể khác với số<br />
đo thực tế y ( k ) ; Giả sử tín hiệu tấn công yi ( k ) cũng nằm trong Yi (nếu yi (k ) nằm<br />
ngoài dải này thì rất dễ bị phát hiện bằng các thuật toán fault-tolerant).<br />
Đặt K a ks ,..., ke mô tả quá trình tấn công trong khoảng thời gian từ ks đến ke.<br />
Mô hình tổng quát tín hiệu quan sát được như sau:<br />
yi ( k ) fork K a<br />
yi ( k ) (1)<br />
a i k fork K a , a i ( k ) Yi<br />
với ai(k) là tín hiệu tấn công. Mô hình tấn công bộ cảm biến này được sử dụng để<br />
biểu diễn tấn công toàn vẹn và tấn công từ chối dịch vụ (DoS: Dinied of Service).<br />
Trong tấn công toàn vẹn, giả sử kẻ tấn công đã xâm nhập vào một bộ cảm biến, sau<br />
đó tiêm vào một giá trị tùy ý, trong trường hợp này ai(k) là một giá trị khác 0.<br />
Trong tấn công DoS, bộ điều khiển sẽ nhận thấy thiếu những số đo mới và sẽ phản<br />
ứng tương ứng. Một phản hồi trực quan với bộ điều khiển chống lại tấn công DoS<br />
là sử dụng tín hiệu nhận được cuối cùng: ai(k) = yi(ks), với yi(ks) là số đo nhận được<br />
cuối cùng trước khi tấn công DoS bắt đầu.<br />
2.2. Mô hình tuyến tính<br />
Để triển khai các thuật toán điều khiển chính xác, các kỹ sư điều khiển thường<br />
xây dựng một mô hình biểu diễn bắt hành vi của hệ thống vật lý để dự đoán cách<br />
hệ thống sẽ phản ứng với một tín hiệu điều khiển cho trước. Mô hình quá trình có<br />
thể được bắt nguồn từ các nguyên tắc đầu tiên hoặc từ dữ liệu đầu vào và ra thực<br />
nghiệm. Mô hình sử dụng phổ biến là kết hợp cả hai mô hình này; Trong các mô<br />
hình thực nghiệm thường được điều chỉnh việc tính toán quá trình vật lý đã<br />
biết[1],[2]. Đối với các ứng dụng yêu cầu an toàn cao, chẳng hạn như ngành công<br />
nghiệp hàng không vũ trụ, tính mềm dẻo về kỹ thuật và kinh tế để phát triển các<br />
mô hình phù hợp[1]. Tuy nhiên, đối với phần lớn các hệ thống điều khiển quá<br />
trình, sự phát triển của các mô hình quá trình khó thỏa mãn về kinh tế, và thậm chí<br />
không thể có được trong thời gian hợp lý do tính chất phức tạp của hệ thống và các<br />
quá trình.<br />
Để thuận lợi cho việc tạo ra các mô hình vật lý, hầu hết các nhà cung cấp điều<br />
khiển công nghiệp đưa ra các công cụ để phát triển các mô hình hệ thống vật lý từ<br />
dữ liệu huấn luyện. Mô hình phổ biến nhất là hệ thống tuyến tính. Hệ thống tuyến<br />
tính có thể được sử dụng cho mô hình động mà là tuyến tính trong trạng thái x(k)<br />
và đầu vào điều khiển u(k):<br />
x(k 1) Ax(k ) Bu (k ) (2)<br />
Với thời gian được biểu diễn bằng k , x(k) = (x1(k),…, xn(k)) là trạng<br />
thái của hệ thống và u(k) = (u1(k),…, um(k)) là đầu vào điều khiển. Ma trận<br />
A (aij ) nxn mô tả phụ thuộc vật lý của trạng thái i vào trạng thái j, và<br />
B (bij ) nxm là ma trận đầu vào với trạng thái i từ đầu vào điều khiển j. Giả sử hệ<br />
thống (2) được giám sát bởi mạng cảm biến gồm p bộ cảm biến. Chúng ta thu được<br />
dãy phép đo từ biểu thức quan sát:<br />
yˆ Cx(k ) (3)<br />
<br />
<br />
80 N. Đ. Trường, N. D. Cường, “Về một phương pháp… giám sát công nghiệp.”<br />
Nghiên cứu khoa học công nghệ<br />
<br />
Với yˆ ( yˆ1 (k ),..., yˆ p (k )) p và yˆl (k ) là số đo ước lượng thu thập được<br />
từ bộ cảm biến l tại thời điểm k. Ma trận C pxn được gọi là ma trận đầu ra.<br />
Trong bài báo này, chúng tôi sử dụng mô hình hệ thống TE-PCS (Tennessee-<br />
Eastman Process Control System) kết hợp với luật điều khiển nhiều chu trình PI<br />
được đề xuất bởi Ricker[11]. Khái quát quá trình xử lý và các chu trình điều khiển<br />
được mô tả trong hình 1.<br />
<br />
<br />
<br />
<br />
Hình 1. Kiến trúc của mạng ĐHGSCN đơn giản theo TE.<br />
2.3. Phát hiện tấn công<br />
Phát hiện các tấn công vào hệ thống điều khiển có thể được xây dựng như một<br />
bài toán phát hiện xâm nhập dựa vào bất thường[3]. Sự khác biệt lớn trong hệ<br />
thống điều khiển so với hệ thống công nghệ thông tin truyền thông đó là thay vì tạo<br />
ra các mô hình lưu lượng mạng hoặc hành vi phần mềm, chúng ta có thể sử dụng<br />
mô hình biểu diễn của hệ vật lý. Về mặt trực, phương pháp này như sau: Nếu<br />
chúng ta biết chuỗi đầu ra y(k) của hệ thống vật lý như thế nào từ chuỗi đầu vào<br />
điều khiển u(k) thì bất kỳ tấn công nào vào bộ cảm biến đều có thể phát hiện ngay<br />
bằng cách so sánh tín hiệu nhận được với tín hiệu mong muốn. Tùy thuộc vào chất<br />
lượng của ước lượng của chúng ta có thể dẫn tới một số cảnh báo sai.<br />
Để chuẩn hóa bài toán phát hiện bất thường, chúng ta cần (1) một mô hình hành<br />
vi của hệ thống vật lý, và (2) một thuật toán phát hiện bất thường. Trong phần 2.2<br />
chúng tôi đã trình bày về lựa chọn mô hình tuyến tính như một xấp xỉ của các hành<br />
vi trong hệ thống vật lý. Trong phần này, chúng tôi mô tả lý thuyết phát hiện thay<br />
đổi và thuật toán phát hiện, chúng tôi sử dụng thống kê phi tham số CUSUM<br />
(Cumulative Sum). Phương pháp phát hiện tấn công dự trên mô hình vật lý được<br />
trình bày trong bài báo này có thể được xem như là bổ sung cho các phương pháp<br />
phát hiện xâm nhập dựa trên mô hình mạng và mô hình hệ thống máy tính. Bởi vì<br />
chúng tôi cần phát hiện bất thường trong thời gian thực, sử dụng các kết quả từ lý<br />
thuyết phát hiện tuần tự để đưa ra một nền tảng vững chắc cho cách tiếp cận này.<br />
Lý thuyết phát hiện tuần tự xem xét bài toán này với thời gian đo không cố định,<br />
nhưng có thể được chọn trực tuyến với các số đo thu được. Cách phát biểu bài toán<br />
<br />
<br />
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 81<br />
Công nghệ thông tin & Khoa học máy tính<br />
<br />
như vậy gọi là bài toán dừng tối ưu. Hai phát biểu bài toán đó là: Phát hiện tuần tự<br />
và phát hiện thay đổi. Một khảo sát đầy đủ về những bài toán này được trình bày<br />
trong Kailath và Poor[4].<br />
Trong bài toán dừng tối ưu, đưa ra một chuỗi thời gian tuần tự z(1), z(2), . . . ,<br />
z(N), và mục đích là xác định số lượng mẫu tối thiểu N, lược đồ phát hiện bất<br />
thường được quan sát trước khi đưa ra một quyết định dN giữa hai giả thuyết: H0<br />
(hành vi bình thường) và H1 (bị tấn công). Sự khác biệt giữa phát hiện tuần tự và<br />
phát hiện sự thay đổi là các giả sử trước đó chuỗi z(i) được tạo ra hoặc theo giả<br />
thuyết hành vi bình thường H0 hoặc theo giả thuyết bị tấn công H1. Mục tiêu là đưa<br />
ra quyết định xem giả thuyết nào đúng trong thời gian ngắn nhất. Mặt khác, giả sử<br />
phát hiện thay đổi quan sát z(i) bắt đầu với giả thuyết H0 và sau đó tại thời điểm ks<br />
thay đổi sang giả thuyết H1. Mục đích là để phát hiện thay đổi này sớm nhất có thể.<br />
Trong phương pháp phát hiện tấn công của chúng tôi, phát biểu phát hiện thay đổi<br />
trực quan hơn. Để thuận tiện cho phát biểu trực quan này, chúng tôi mô tả tóm tắt<br />
hai phát biểu như sau:<br />
2.3.1. Phát hiện tuần tự<br />
Cho trước một xác suất cảnh báo sai và xác suất phát hiện cố định, mục đích của<br />
phát hiện tuần tự là tối thiểu số lượng quan sát cần thiết để đưa gia quyết định giữa<br />
hai giả thuyết. Giải pháp là thử nghiệm tỷ lệ xác suất tuần tự cổ điển (SPRT<br />
Sequential Probability Test) của Wald[5] (cũng như TRW – Threshold Random<br />
Walk trong một số bài báo). SPRT được sử dụng rộng rãi trong nhiều bài toán an<br />
toàn thông tin như phát hiện quét cổng[6], sâu mạng[7], các proxy sử dụng các<br />
tham số[8], và các botnet[9].<br />
Giả sử quan sát z(k) với giả thuyết Hj được tạo ra với một phân phối xác suất pj,<br />
thuật toán SPRT có thể được mô tả bằng biểu thức sau:<br />
p1 ( z ( k ))<br />
s ( k 1) log S (k )<br />
p 0 ( z ( k )) (4)<br />
N inf {n:S(n) [L , U ]}<br />
n<br />
<br />
Bắt đầu với S(0) = 0. SPRT quyết định quy luật dN được định nghĩa như sau:<br />
H if S ( n ) U<br />
dN 1 (5)<br />
H 0 if S ( n ) L<br />
1b<br />
Với L ln b , U ln , a là xác suất cảnh báo sai và b là xác suất phát hiện<br />
1a a<br />
nhầm (thường chọn các giá trị này rất nhỏ), nN được xác định trong (4).<br />
2.3.2. Phát hiện thay đổi<br />
Mục đích của bài toán phát hiện thay đổi là phát hiện ra thay đổi có thể tại một<br />
thời điểm không biết trước ks. Thống kê CUSUM (Cumulative Sum) và thống kê<br />
Shiryaev-Roberts là hai thuật toán được sử dụng phổ biến nhất trong bài toán phát<br />
hiện thay đổi. Trong phần này, chúng tôi sử dụng thống kê CUSUM bởi vì nó rất<br />
đơn giản với SPRT.<br />
Cho trước tỉ lệ cảnh báo sai cố định, thuật toán cố gắng tối thiểu thời gian N<br />
(với N>ks) để dừng kiểm tra và quyết định là đã có thay đổi. Đặt S(0) = 0. Thống<br />
kê CUSUM được nâng cấp như sau:<br />
<br />
<br />
82 N. Đ. Trường, N. D. Cường, “Về một phương pháp… giám sát công nghiệp.”<br />
Nghiên cứu khoa học công nghệ<br />
<br />
p ( z (k )) (6)<br />
S (k 1) log 1 S (k ) <br />
p0 ( z (k )) <br />
Với (a)+ = a nếu a ≥ 0 và bằng 0 trong các trường hợp còn lại. Thời gian dừng sẽ<br />
là: N inf {n : S (n) } (7)<br />
n<br />
<br />
Với một ngưỡng cho trước được lựa chọn dựa trên ràng buộc cảnh báo sai.<br />
Chúng tôi sử dụng thuật toán CUSUM là một thử nghiệm SPRT với L=0, U=<br />
và phép thống kê đạt được ngưỡng thấp hơn L sẽ bắt đầu lại. Chúng tôi mô tả sao<br />
cho phù hợp với các kết quả về lý thuyết phát hiện thay đổi đối với bài toán cụ thể<br />
trong việc phát hiện các bộ cảm biến bị tấn công. Tiếp theo chúng tôi sử dụng chỉ<br />
số dưới i để ký hiệu chỉ số tuần tự tương ứng với bộ cảm biến i.<br />
Một vấn đề phát sinh mà chúng tôi có được trong trường hợp này là chúng tôi<br />
không biết phân phối xác suất của tấn công p1. Nói chung, đối phương có thể phát<br />
hiện bất kỳ bất thường nào dãy không cố định zi(k). Giả sử cố định p1 sẽ giới hạn<br />
khả năng của chúng ta để phát hiện ra một dải các tấn công.<br />
Để tránh đưa ra những thừa nhận về phân phối xác suất của kẻ tấn công, chúng<br />
tôi sử dụng ý tưởng xuất phát từ thống kê phi tham số. Chúng tôi không đặt giả<br />
thiết phân phối xác suất với p1 và p0; thay vào đó là chỉ các giàng buộc ở giữa<br />
trong chuỗi quan sát. Một trong những giàng buộc đơn giản là giả sử giá trị mong<br />
đợi của quá trình ngẫu nhiên Zi(k) mà tạo ra chuỗi zi(k) với giả thuyết H0 nhỏ hơn 0<br />
( 0 Z i 0 ) và giá trị mong đợi của Zi(k) với giả thuyết H1 lớn hơn 0 ( 1 Z i 0 ).<br />
Để đạt được các điều kiện này cần xác định zi (k ) yi (k ) yˆi (k ) bi (8)<br />
Với bi là hằng số dương nhỏ được chọn sao cho<br />
0 y i ( k ) yˆ i ( k ) bi 0 (9)<br />
Thống kê CUSUM phi tham số với bộ cảm biến i là:<br />
Si (k ) ( Si (k 1) zi (k )) , Si (0) 0 (10)<br />
Và quy luật quyết định tương ứng là<br />
H if S i ( k ) i<br />
d N ,i d ( S i ( k )) 1 (11)<br />
H0 otherwise<br />
Với τi là ngưỡng được chọn dựa trên tỷ lệ cảnh báo sai với bộ cảm biến i.<br />
Theo [10], chúng ta thấy hai kết quả quan trọng của phương trình (10)-(11) đó là:<br />
- Xác suất cảnh báo sai giảm theo hàm mũ.<br />
- Thời gian phát hiện tấn công (Ni − ks,i)+ là tỷ lệ nghịch với bi.<br />
2.4. Tấn công lén lút<br />
Vấn đề cơ bản trong phát hiện xâm nhập là sự hiện diện của những đối thủ cạnh<br />
tranh cố gắng vượt qua lược đồ phát hiện; Vì vậy, chúng tôi coi như đối phương<br />
biết về lược đồ phát hiện bất thường của chúng tôi. Chúng tôi đưa ra giải pháp để<br />
đảm bảo trong mô hình của chúng tôi bằng giả thiết kẻ tấn công rất mạnh với sự<br />
hiểu biết về: (1) mô hình tuyến tính chính xác mà chúng tôi sử dụng (chẳng hạn<br />
các ma trận A, B và C), (2) các tham số (τi và bi), và (3) các tín hiệu điều khiển.<br />
Mục đích của kẻ tấn công là tạo ra sức ép trong thùng chứa mà không bị phát<br />
hiện. Chúng tôi xây dựng mô hình 3 loại tấn công: tấn công lén lút, tấn công độ<br />
<br />
<br />
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 83<br />
Công nghệ thông tin & Khoa học máy tính<br />
<br />
lệch, tấn công hình học. Mô hình tấn công lén lút[13], các kẻ tấn công muốn đạt<br />
được sự phá hủy tối đa ngay khi chúng truy cập được vào hệ thống. Mô hình tấn<br />
công độ lệch, các kẻ tấn công cố gắng thay đổi hệ thống một cách rời rạc bằng<br />
cách thêm vào những xáo trộn nhỏ trong một khoảng thời gian lớn. Cuối cùng, mô<br />
hình tấn công hình học, các kẻ tấn công cố gắng dịch các hành vi của hệ thống rất<br />
rời rạc tại thời điểm bắt đầu tấn công và tiếp theo phá hủy tối đa sau đó hệ thống sẽ<br />
bị chuyển sang trạng thái hoàn toàn mất kiểm soát.<br />
2.5. Tấn công đột biến<br />
Trong tấn công đột biến, đối phương cố gắng phá hủy lớn nhất có thể, nhưng<br />
khi việc thống kê đạt ngưỡng, nó sẽ duy trì tại mức ngưỡng: Si(k) = τ trong phần<br />
thời gian còn lại của cuộc tấn công. Để lưu lại ở ngưỡng đó, kẻ tấn công cần giải<br />
phương trình toàn phương sau:<br />
2<br />
Si ( k ) yˆi (k ) yi (k ) bi i (12)<br />
Kết quả tấn công (với y2 và y1) là:<br />
y min if Si (k 1) i<br />
yi (k ) i (13)<br />
yˆi (k ) i bi Si (k ) if Si (k 1) i<br />
Với y3 sử dụng:<br />
y3min if S y3 (k ) 3<br />
y3 (k ) (14)<br />
yˆ3 (k ) 3 b3 S y3 (k ) if S y3 (k ) 3<br />
2.6. Tấn công độ lệch<br />
Trong tấn công độ lệch, kẻ tấn công thêm một hằng số nhỏ ci tại mỗi bước.<br />
y i ,k yˆ i , k ci Yi (15)<br />
Trong trường hợp này, thống kê phi tham số CUSUM có thể được viết như sau:<br />
n 1<br />
Si (n) yˆi (k ) yi (k ) nbi (16)<br />
k 0<br />
<br />
Giả sử kẻ tấn công bắt đầu tại thời điểm k = 0 và kẻ tấn công muốn không bị<br />
phát hiện trong thời gian n bước, kẻ tấn công cần giải phương trình sau:<br />
n 1<br />
<br />
c<br />
k 0<br />
i i nbi (17)<br />
<br />
Cho nên ci = τi/n + b. Tấn công này tạo ra một độ lệch τi/n + b với mỗi tín hiệu<br />
tấn công. Biểu thức này cho thấy những giới hạn của kẻ tấn công. Nếu kẻ tấn công<br />
muốn phá hủy tối đa (độ lệch của một tín hiệu tối đa), kẻ tấn công cần chọn n nhỏ<br />
nhất. Bởi vì y i Yi tấn công này làm giảm một cuộc tấn công xung lực. Nếu kẻ<br />
tấn công muốn tấn công trong thời gian dài thì n sẽ rất lớn. Nếu n rất lớn thì độ<br />
lệch sẽ nhỏ hơn.<br />
2.7. Tấn công hình học<br />
Trong tấn công hình học, kẻ tấn công muốn kéo giá trị xuống rất thấp tại thời<br />
điểm bắt đầu tấn công và phá hủy tối đa khi kết thúc tấn công. Tấn công này kết<br />
hợp kéo khởi tạo của tấn công độ lệch xuống thấp với tấn công đột biến tại thời<br />
điểm kết thúc tấn công để tăng mức phá hủy lên cao nhất.<br />
<br />
<br />
84 N. Đ. Trường, N. D. Cường, “Về một phương pháp… giám sát công nghiệp.”<br />
Nghiên cứu khoa học công nghệ<br />
<br />
Cho α ∈ (0, 1). Tấn công là: y i ( k ) yˆ i ( k ) i i<br />
nk<br />
(18)<br />
Tiếp theo tính và thỏa mãn Si(n) = τi.<br />
Giả sử quá trình tấn công bắt đầu tại thời điểm k = 0 và kẻ tấn công muốn không<br />
bị phát hiện với n bước. Kẻ tấn công cần giải phương trình sau:<br />
n 1<br />
nk<br />
<br />
k 0<br />
i i nbi i (19)<br />
<br />
Việc bổ sung này là một cấp số nhân.<br />
n 1 n 1<br />
1 in<br />
iink iin (i1 )k i<br />
k 0 k 0 i1 1<br />
(20)<br />
<br />
Bằng cách cố định , kẻ tấn công có thể chọn xấp xỉ thỏa mãn biểu thức trên.<br />
3. ỨNG PHÓ VỚI TẤN CÔNG<br />
Một thế trận an toàn toàn diện với bất kỳ hệ thống nào nên gồm các nguyên tắc<br />
ngăn chặn, phát hiện và ứng phó với các tấn công. Ứng phó tự động với các tấn<br />
công máy tính là một trong những bài toán cơ bản trong an toàn thông tin. Trong<br />
khi hầu hết các kết quả nghiên cứu tìm thấy trong các công trình nghiên cứu hướng<br />
đến ngăn chặn (xác thực, điều khiển truy cập, mật mã, ...) hoặc phát hiện (các hệ<br />
thống phát hiện xâm nhập), trong thực tế có khá nhiều nguyên tắc ứng phó.<br />
<br />
<br />
<br />
<br />
y (k )<br />
<br />
<br />
<br />
<br />
yˆ(k )<br />
<br />
<br />
Hình 2. Mô hình phát hiện tấn công đề xuất.<br />
Chúng tôi xây dựng một mô-đun ước tính cho trạng thái của hệ thống (theo mô<br />
hình tuyến tính) và một chiến lược ứng phó phù hợp cho hệ thống điều khiển sử<br />
dụng ước tính này theo phương pháp thống kê. Với giải pháp này khi phát hiện bất<br />
thường thì hệ thống sẽ tự bật báo động (hình 2). Với bộ cảm biến i, nếu Si(k) > τi,<br />
mô-đun phát hiện thay đổi CDM (Change Detection Module) sử dụng phương<br />
pháp phát hiện thay đổi trong phần 2.3 thay thế tất cả các số đo bộ cảm biến yi (k )<br />
bằng các số đo được tạo ra bởi mô hình tuyến tính yˆi (k ) (tức là bộ điều khiển sẽ<br />
nhận đầu vào yˆ i ( k ) thay vì nhận yi (k ) ). Mặt khác, nó xem yi (k ) như là tín hiệu<br />
chính xác của bộ cảm biến.<br />
Trong kiến trúc phát hiện và phản ứng đề xuất trong hình 2, chúng tôi hy vọng<br />
nếu có một cảnh báo sai, việc điều khiển hệ thống bằng cách sử dụng các giá trị ước<br />
tính từ hệ thống tuyến tính sẽ không gây ra bất kỳ sự mất an toàn hệ thống nào.<br />
<br />
<br />
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 85<br />
Công nghệ thông tin & Khoa học máy tính<br />
<br />
<br />
<br />
<br />
Hình 3. Không có mô-đun phát hiện thay đổi.<br />
<br />
<br />
<br />
<br />
Hình 4. Mô-đun phát hiện tấn công thay đổi<br />
và ứng phó với tấn công tại thời điểm t=5,1.<br />
Nguyên tắc phản ứng tự động làm việc tốt khi chúng tôi thực hiện tấn công (với<br />
y 2 0.5* y2 .) Hình 3 và hình 4 cho thấy khi phát hiện tấn công, chiến lược phản<br />
ứng sẽ được sử dụng để giữ cho hệ thống an toàn. Kết quả tương tự nhận được với<br />
tất cả các tấn công có thể phát hiện được. Mặc dù cơ chế phản ứng tấn công là một<br />
giải pháp tốt khi các cảnh báo thực sự là dấu hiệu của cuộc tấn công, lo ngại chính<br />
của chúng tôi trong phần này là chi phí của các cảnh báo sai.<br />
Mặc dù cơ chế phản ứng tấn công thực hiện tốt khi các cảnh báo thực sự xác<br />
định dấu hiệu của các tấn công, mối quan tâm chính của chúng tôi là chi phí cảnh<br />
báo sai. Để giải quyết mối quan tâm này chúng tôi thực hiện lại kịch bản mô phỏng<br />
với các tham số y1 5, y2 1000, y3 20 hệ thống của chúng tôi không phát hiện<br />
bất kỳ cảnh báo sai nào; vì vậy chúng tôi quyết định giảm các ngưỡng xuống thành<br />
y1 1, y2 100, y3 2 và thực hiện tương tự. Chúng tôi thấy rằng trong khi cơ<br />
chế phản ứng lỗi làm tăng áp suất trong bể chưa, nó không bao giờ đạt đến các<br />
mức không an toàn. Áp suất tối đa thu được trong quá trình điều khiển hệ thống<br />
dựa trên mô hình tuyến tính là 248kPa, có cùng độ lớn với những thay đổi bình<br />
thường của áp suất không có bất kỳ cảnh báo sai nào (246kPa).<br />
Trong nghiên cứu của chúng tôi, ngay khi hệ thống được duy trì ở mức an toàn<br />
bằng phản ứng tự động, chiến lược phản ứng của chúng tôi chỉ là một giải pháp<br />
tạm thời trước khi người vận hành có thể phản ứng với những cảnh báo đó. Dựa<br />
trên những kết quả này chúng tôi hy vọng có đủ thời gian để con người có thể kịp<br />
thời phản ứng với những hiểm họa lớn.<br />
<br />
<br />
86 N. Đ. Trường, N. D. Cường, “Về một phương pháp… giám sát công nghiệp.”<br />
Nghiên cứu khoa học công nghệ<br />
<br />
4. KẾT LUẬN<br />
Trong bài báo này, chúng tôi nhận thấy một số thách thức nghiên cứu để đảm<br />
bảo an toàn trong hệ thống điều khiển cũng như trong mạng ĐHGSCN. Bằng cách<br />
kết hợp một mô hình vật lý của hệ thống, chúng ta có thể xác định các bộ cảm biến<br />
quan trọng nhất và các cuộc tấn công. Chúng tôi đề xuất sử dụng các cơ chế phản<br />
ứng tự động dựa trên những ước tính trạng thái của hệ thống. Phản ứng tự động có<br />
thể gặp một số vấn đề trong một số trường hợp (đặc biệt nếu việc phản ứng với<br />
một cảnh báo sai phải chi phí tốn kém); Vì vậy, chúng tôi muốn nhấn mạnh cơ chế<br />
phả ứng tự động nên được coi là một giải pháp tạm thời trước khi con người được<br />
điều động đến để điều tra cảnh báo đó. Một biện pháp triển khai đầy đủ với bất kỳ<br />
cơ chế phản ứng nào nên đi vào xem xét lượng thời gian phù hợp để người vận<br />
hành phản ứng với cảnh báo và khả năng hiệu quả của phản ứng với cảnh báo sai.<br />
Tuy nhiên, với hệ thống điều khiển quy mô lớn thì việc thiết kế thường không<br />
linh hoạt và có thể trở thành mục tiêu của các tấn công tiềm tàng nếu khả năng<br />
phục hồi không được xây dựng ngay trong việc thiết kế từ vị trí đầu tiên. Vì vậy, ý<br />
tưởng của chúng tôi liên quan tới tất cả các khía cạnh an toàn trong vận hành cho<br />
đến khi có cách thiết kế bài bản với tất cả các tình huống tấn công vào cấu trúc và<br />
thuật toán điều khiển.<br />
TÀI LIỆU THAM KHẢO<br />
[1]. Quin, S. J. and Badgwell, T. A., “A survey of industrial model predictive<br />
control technology”, Control Engineering Practice 11(7), 2003, pp.733-764.<br />
[2]. Rawlings, J., “Tutorial overview of model predictive control”, Control<br />
Systems Maga-zine, IEEE 20(3), 2000, pp.38–52.<br />
[3]. Denning, D., “An intrusion-detection model”, Software Engineering, IEEE<br />
Transac- tions on SE-13(2), 1987, pp.222–232.<br />
[4]. Kailath, T. and Poor, H. V., “Detection of stochastic processes”, IEEE<br />
Transactions on Information Theory 44(6), 1998, pp.2230–2258.<br />
[5]. Wald, A., “Sequential Analysis”, J. Wiley & Sons, New York, NY, 1947.<br />
[6]. Jung, J., Paxson, V., Berger, A. and Balakrishan, H., “Fast portscan<br />
detection using sequential hypothesis testing”, in Proceedings of the 2004<br />
IEEE Symposium on Security and Privacy, 2004, pp. 211–225.<br />
[7]. Schechter, S. and Berger, J. J. A., “Fast detection of scanning worm<br />
infections”, in ‘Proc. of the Seventh International Symposium on Recent<br />
Advances in Intrusion Detection (RAID)’, 2004.<br />
[8]. Xie, M., Yin, H. andWang, H., “An effective defense against email spam<br />
laundering”, in Proceedings of the 13th ACM Conference on Computer and<br />
Communications Security, 2006, pp. 179–190.<br />
[9]. Gu, G., Zhang, J. and Lee, W., “Botsniffer: Detecting botnet command and<br />
control channels in network traffic”, in Proceedings of the 15th Annual<br />
Network and Distributed System Security Symposium (NDSS’08), San<br />
Diego, CA, 2008.<br />
[10]. Brodsky, B. and Darkhovsky, B., “Non-Parametric Methods in Change-<br />
Point Problems”, Kluwer Academic Publishers, 1993.<br />
<br />
<br />
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 87<br />
Công nghệ thông tin & Khoa học máy tính<br />
<br />
[11]. Ricker, N., “Model predictive control of a continuous, nonlinear, two-phase<br />
reactor”, Journal of Process Control 3(2), 1993, pp. 109–123.<br />
[12]. Bedjaoui, N. and Weyer, E., “Algorithms for leak detection, estimation,<br />
isolation and localization in open water channels”, Control Engineering<br />
Practice (forthcoming), 2011.<br />
[13]. Amin, S., Litrico, X., Sastry, S. and Bayen, A., “Stealthy deception attacks<br />
on water SCADA systems”, in Proc. 13th ACM International Conference on<br />
Hybrid Systems: Computation and Control, pp. 161–170, 2010.<br />
[14]. Alpcan, T. and Basar, T., “Network Security: A Decision and Game<br />
Theoretic Approach”, Cambridge University Press, Philadelphia, 2011.<br />
<br />
ABSTRACT<br />
<br />
A DETECTION METHOD OF ATTACKING ON THE NETWORKED<br />
INDUSTRIAL SUPERVISOR AND MONITOR SYSTEM<br />
<br />
The articale proposes the use of physical models to detect anomalies in<br />
networked industrial supervisory and control system. First of all, we<br />
analyzes some types of attack on the networked industrial supervisor and the<br />
control system, then we proposed solutions combining linear model to<br />
estimate signal with two sequential and change detection solutions in<br />
information controls to prevent the attacks, the human operatiors have<br />
enough time to intervene or response with disasters that may occur.<br />
Keywords: Linear model, Control system, Stealthy attack, Geometric attack, Bias attack.<br />
<br />
Nhận bài ngày 11 tháng 05 năm 2016<br />
Hoàn thiện ngày 12 tháng 08 năm 2016<br />
Chấp nhận đăng ngày 17 tháng 08 năm 2016<br />
1<br />
Địa chỉ: Học viện Kỹ thuật Mật mã – Ban Cơ yếu chính phủ;<br />
2<br />
Viện Công nghệ thông tin – Viện KH-CN quân sự.<br />
*<br />
Email: truongnguyendaoact@hotmail.com<br />
<br />
<br />
<br />
<br />
88 N. Đ. Trường, N. D. Cường, “Về một phương pháp… giám sát công nghiệp.”<br />