Tải bản đầy đủ (.pdf) (28 trang)

Tóm tắt: Nghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệp

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.38 MB, 28 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC BÁCH KHOA HÀ NỘI

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

Cơng trình được hồn thành tại Đại học Bách Khoa Hà Nội

Người hướng dẫn khoa học: 1. TS. Cung Thành Long 2. PGS.TS. Lê Minh Thùy

Phản biện 1: PGS.TS. Trương Xuân Tùng Phản biện 2: PGS.TS. Trần Đức Tân Phản biện 3: TS. Phạm Ngọc Minh

Luận án được bảo vệ trước Hội đồng đánh giá luận án tiến sĩ cấp Đại học Bách khoa Hà Nội họp tại Đại học Bách khoa Hà Nội

Vào hồi ……giờ, ngày ….. tháng ….. năm 2024

Có thể tìm hiểu luận án tại thư viện:

1. Thư viện Tạ Quang Bửu - ĐHBK Hà Nội 2. Thư viện Quốc gia Việt Nam

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

MỞ ĐẦU

Các hệ thống điều khiển giám sát và thu thập dữ liệu SCADA (Supervisory Control and Data Acquisition) nói riêng, hay tổng quát hơn là các hệ thống điều khiển phân tán công nghiệp (DCS – Distributed Control System), là các hệ thống được sử dụng để giám sát, điều khiển các trạm, hay nhà máy xí nghiệp cơng nghiệp với nhiều quy mô khác nhau. Để thực hiện các chức năng của hệ thống, việc thu thập, truyền nhận và kiểm sốt, đảm bảo tính tồn vẹn của dữ liệu là rất quan trọng. Các hệ thống điều khiển cơng nghiệp có thể bị tấn cơng phối hợp không chỉ trên cơ sở hạ tầng vật chất mà cịn trên lớp truyền thơng và trung tâm điều khiển, với nhiều điểm tấn cơng khác nhau [1]–[12]. Vì vậy, vấn đề đảm bảo an toàn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn. Hiện nay, có hai hướng nghiên cứu chính về đảm bảo an tồn thơng tin trong các hệ thống điều khiển công nghiệp. Hướng thứ nhất tập trung vào các thuật toán/ phương pháp phát hiện điểm bất thường của chuỗi dữ liệu truyền trong hệ thống. Các phương pháp có thể kể đến bao gồm CHI2, CUSUM, FSS (Fixed-Size Sample), WL CUSUM (Window Limited Cumulative SUM), FMA (Finite Moving Average) – áp dụng khi biết thông số kỳ vọng, phương sai của hệ thống khi có thay đổi bất thường; hoặc GLR (Generalized Likelihood Ratio), WLR (Weighted Likelihood Ratio) khi chưa biết kỳ vọng, phương sai của hệ thống khi có thay đổi bất thường [13]. Hướng thứ hai tập trung nâng cao khả năng phát hiện sai lệch dữ liệu trong cấp điều khiển, giám sát của các hệ thống điều khiển công nghiệp, sử dụng bộ dữ liệu mẫu mô phỏng các trường hợp bị tấn công điển hình. Vấn đề này hiện đang nhận được nhiều sự quan tâm [14]. Đối với vấn đề phát hiện xâm nhập dữ liệu, các phương pháp học máy truyền thống [15]–[19] và các kiến trúc mạng nơ ron học sâu (đối với các mảng dữ liệu lớn) [20]–[24] đang được nghiên cứu khá rộng rãi. Ngoài ra, nhiều nhóm cũng nỗ lực nghiên cứu xây dựng các bộ dữ liệu để phát hiện xâm nhập của các dạng tấn công trong hệ thống SCADA [22], [25]–[27].

LATS này trình bày các nghiên cứu về ảnh hưởng của tấn cơng tuyến tính tới tính tồn vẹn dữ liệu trong hệ thống điều khiển cơng nghiệp, từ đó đề xuất các phương pháp dị tìm, phát hiện tấn cơng tuyến tính trong trường hợp vượt qua phương pháp K-L. Ngoài ra, tác giả cũng đề xuất một dạng mơ hình xếp chồng để cải thiện chất lượng trong việc phát hiện sự xâm nhập của một số dạng tấn cơng trong các hệ thống SCADA. Mơ hình đề xuất đã được tối ưu hóa và thử nghiệm trên bộ dữ liệu quốc tế (bộ dữ liệu đường ống dẫn khí Turnipseed).

Bố cục luận án gồm phần mở đầu, bốn chương nội dung nghiên cứu và kết luận, kiến nghị. Tồn bộ nội dung trình bày trong 116 trang (khơng gồm phụ lục), trong đó có 22 bảng và 66 hình.

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

CHƯƠNG 1 TỔNG QUAN VẤN ĐỀ AN TỒN THƠNG TIN TRONG

HỆ THỐNG ĐIỀU KHIỂN CÔNG NGHIỆP 1.1. Tổng quan về hệ thống điều khiển công nghiệp

Kiến trúc của một hệ thống điều khiển công nghiệp bao gồm ba cấp chính: cấp giám sát điều khiển, cấp điều khiển tự động và cấp chấp hành .

1.2.

Vấn đề an tồn thơng tin trong hệ thống điều khiển cơng nghiệp

1.2.1. Một số cuộc tấn công hệ thống điều khiển công nghiệp

Cuộc tấn công vào Hệ thống trạm biến áp cao áp, máy tính, thiết bị mạng ở Ukraine (2022)

Cuộc tấn công vào nhà máy sản xuất nhôm ở Mỹ Norsk Hydro (2019) Cuộc tấn công vào nhà máy sản xuất chip lớn nhất ở Đài Loan TSMC (2018) Cuộc tấn công vào nhà máy công nghiệp ở Trung Đông (2017

Cuộc tấn công vào Telvent ở Canada (2012) Virus Stuxnet (2010)

1.2.2. Các điểm tấn cơng

Hình 1.3. Các điểm có khả năng bị tấn cơng trong hệ thống điều khiển Các điểm có khả năng bị tấn công trong hệ thống điều khiển cơng nghiệp được mơ tả ở hình 1.3. Trong đó các phương thức tấn công ở điểm A1, A2, A3 là một số thủ đoạn tấn công nhằm vào lớp điều khiển giám sát, thông qua việc chiếm quyền truy cập vào trung tâm điều khiển từ các ứng dụng trên web server; lan truyền virus phá hoại cấu hình mạng điều khiển, giám sát của nhà máy; A4 là chiếm quyền truy cập vào các kênh truyền thông giữa trung tâm điều khiển và các trạm; A5, A6 là tấn công vào liên kết truyền thông giữa MTU và PLC /RTU; A7 là tấn công đường kết nối mạng giữa nhà máy và nhà thầu; A8 là tấn công các thiết bị đầu cuối hiện trường; A9 là tấn cơng đường tín hiệu gửi từ bộ điều khiển cho các thiết bị truyền động; A10 là tấn công các tín hiệu phản hồi được truyền từ các bộ cảm biến để điều khiển; A0

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

là tấn công cơ học trực tiếp vào các thiết bị ở lớp vật lý của các hệ thống điều khiển cơng nghiệp. Vì vậy, các nghiên cứu đảm bảo an toàn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn.

1.2.3. Một số lỗ hổng dễ bị tấn công

Các sự cố mạng gần đây cho thấy việc khai thác các lỗ hổng của hệ thống điều khiển công nghiệp hiện đại đang được thực hiện rất tốt để từ đó nhằm vào các cuộc tấn công trên cơ sở hạ tầng mạng quan trọng. Để cải thiện sự an toàn của hệ thống, việc cần thiết là phải kiểm tra các lỗ hổng của tồn hệ thống điều khiển cơng nghiệp để từ đó đưa ra các biện pháp bảo vệ.

1.3. Các dạng tấn cơng điển hình và phân loại

Hình 1.4. Một số dạng tấn cơng điển hình

1.4. Kết luận chương 1

Các hệ thống điều khiển công nghiệp (tập trung hoặc phân tán) là các hệ thống được sử dụng để giám sát, điều khiển các trạm, hay nhà máy xí nghiệp cơng nghiệp với nhiều quy mô khác nhau. Để thực hiện các chức năng của hệ thống, việc thu thập, truyền nhận và kiểm sốt, đảm bảo tính tồn vẹn của dữ liệu là rất quan trọng. Cùng với sự phát triển của công nghệ thông tin và truyền thông, các hệ thống điều khiển công nghiệp dễ bị tấn công phối hợp không chỉ trên các cơ sở hạ tầng vật chất mà cịn trên lớp truyền thơng và trung tâm điều khiển. Vì vậy, các nghiên cứu đảm bảo an tồn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn. Hiện nay, có hai hướng nghiên cứu chính. Đó là nghiên cứu các thủ đoạn tấn công mới nhằm đánh giá khả năng của các phương pháp bảo mật thông tin, và hướng nghiên cứu thứ hai là tập trung xây dựng các phương pháp phát hiện dữ liệu bị tấn công.

Theo hướng nghiên cứu thứ nhất, hiện có thể phân loại một số phương pháp tấn công như tấn công từ chối dịch vụ – DoS, tấn cơng tính tồn vẹn dữ liệu truyền nhận giữa các lớp, hoặc trong các lớp mạng của hệ thống điều khiển, bằng các hình thức như làm sai lệch thông tin, chèn thông tin giả, ...[4]. Gần đây, có cơng bố về phương pháp tấn cơng tuyến tính của nhóm nghiên cứu tại Đại học Cơng nghệ Hồng Kông [6]. Đây là phương pháp tấn công vào

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

tính tồn vẹn dữ liệu ở cấp hiện trường với độ nguy hiểm cao, tập trung vào điểm tấn cơng A9 và A10 (hình 1.3). Nhóm nghiên cứu đã chỉ ra rằng, thuật toán phát hiện tấn cơng K-L hồn tồn có thể bị vượt qua với kiểu tấn công này [5], [6]. Nội dung này sẽ được trình bày chi tiết hơn trong chương 2 của luận án.

Hướng nghiên cứu thứ hai, về đảm bảo an tồn thơng tin, hiện nhận được nhiều sự quan tâm và có nhiều cơng trình được cơng bố. Một nhóm nghiên cứu ở học viện Kỹ thuật mật mã áp dụng phương pháp CUSUM để phát hiện một số dạng tấn cơng điển hình (tấn cơng đột ngột (surge attack), tấn công phân cực (bias attack), tấn cơng hình học (geometric attack) trên đối tượng một vào một ra – SISO [45].

Trong luận án này, kế thừa các kết quả của hướng nghiên cứu thứ nhất, NCS sẽ tập trung vào hướng nghiên cứu thứ hai, cụ thể nghiên cứu các phương pháp phát hiện tấn cơng tuyến tính tại các điểm tấn công A9 và A10 trong hệ thống điều khiển cơng nghiệp (hình 1.3) và kiểm chứng khả năng phát hiện tấn cơng tuyến tính của các phương pháp này (chương 3).

Đồng thời, NCS cũng sẽ tiến hành nghiên cứu đề xuất mơ hình cho phép nâng cao khả năng phát hiện tấn cơng tính tồn vẹn dữ liệu trong các hệ thống điều khiển công nghiệp, sử dụng bộ dữ liệu quốc tế đã công bố [4] (chương 4).

CHƯƠNG 2 TỔNG QUAN TẤN CƠNG TUYẾN TÍNH VÀ MỘT SỐ

PHƯƠNG PHÁP TẤN CƠNG TÍNH TỒN VẸN DỮ LIỆU 2.1. Tổng quan về tấn cơng tuyến tính

2.1.1. Mơ hình đối tượng

Xét hệ thống điều khiển với điểm chịu tấn cơng tuyến tính được mơ tả như hình 2.1, làm thay đổi dữ liệu truyền không dây tại đầu ra của các cảm biến.

Hình 2.1. Sơ đồ minh họa vị trí chịu tấn cơng tuyến tính

Trong đó, phương trình mơ tả tín hiệu tại đầu vào và đầu ra của cảm biến được viết như trong (2.1) và (2.2) [5]:

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

2.1.3. Chiến lược tấn cơng tuyến tính

Tấn cơng tuyến tính là tấn cơng kiểu mới được mơ tả theo phương trình (2.13):

với <small>m mk</small>

T - ma trận tấn công tuyến tính

0,

b N  - biến ngẫu nhiên dạng Gaussian

Theo [51], dưới tác động của tấn công tuyến tính, tín hiệu cảm biến

y

<sub>k</sub>

bị biến đổi thành

y

<sub>k</sub> thỏa mãn (2.9) và (2.13).

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

+ Tấn cơng tuyến tính với hệ thống biết đủ thơng số, + Tấn cơng tuyến tính với hệ thống khơng biết đủ thông số.

2.2. Đánh giá mức độ ảnh hưởng của tấn cơng tuyến tính lên hệ thống so với một số dạng tấn công khác

2.2.1. Đánh giá mức độ ảnh hưởng của tấn cơng tuyến tính thơng qua hiệp phương sai của sai số ước lượng trong bộ ước lượng từ xa

Xét hệ thống vô hướng (Scalar) với thành phần m = 1, tấn công tuyến tính

z

<sub>k</sub>

T

<sub>k</sub>z<sub>k</sub>

b

<sub>k</sub> có T<sub>k</sub> là đại lượng vô hướng.

Hiệp phương sai của sai số ước lượng trong hệ thống khi khơng có tấn cơng

P

được xác định từ phương trình (2.40) [6]:

; N 0; ;

0; v ; v ; ,

z z k T T T T TTrường hợp này xảy ra khi T<sub>k</sub> 1; b<sub>k</sub> 0

Từ phương trình (2.43), ta có:

PAP A

<sub></sub>

 Q

 <sub>(2.46) </sub>với điểm đầu thỏa mãn (2.47)

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

2.2.2. Kiểm chứng bằng mô phỏng a) Xét hệ thống Scalar ổn định b) Xét hệ thống Scalar không ổn định

2.3. Phương pháp phát hiện tấn công Kullback - Leibler

Các tác giả trong [5] đã nghiên cứu khả năng tấn cơng tuyến tính vượt qua phương pháp phát hiện sai lệch dữ liệu K-L. Đây là một phương pháp phát hiện lỗi được đánh giá cao, dựa trên nguyên tắc tính độ chênh giữa hai chuỗi giá trị ngẫu nhiên

z

<sub>k</sub> và

z

<sub>k</sub> . Giả sử f<small>z</small><sub></sub><small>k</small>

 

 v fà <small>zk</small>

 

 là hàm mật độ của

z zz z

với  là ngưỡng phát hiện đặt trước của phương pháp K-L.

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

Tấn công tuyến tính sẽ vượt qua phương pháp phát hiện K-L khi xác định được T<sub>k</sub>, thoả mãn (2.54) [5]: <sub>k</sub>

với

Tr P 

<small>k</small> là vết của ma trận hiệp phương sai khi dữ liệu bị tấn cơng. Trong đó ma trận

P

<sub>k</sub> được tính như cơng thức (2.55) [5]:

PAP A

<sub></sub>

  Q KKPC T KKT CP

(2.55) Theo [53], ta có nghiệm tối đa <small>*</small>

z

của (2.55), thỏa mãn: <small>1</small>

<small>1</small> 2 <small>T</small>

 và

 

<sub>1</sub>, ,...,<sub>2</sub>

<sub>m</sub> là các giá trị riêng của

K K

<small>T</small>

Theo quy hoạch lồi Karush Kuhn Tucker, từ (2.56), ta có mối quan hệ giữa các ngưỡng

 và 

thoả mãn phương trình (2.57) [5]:

Tr CPPC TT

0, 1 hay ,0, ,

Trong đó các ma trận  <sub>0</sub>, <sub>1</sub> được tính theo cơng thức (2.61):

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

Điều này cho thấy tính nguy hiểm của dạng tấn cơng tuyến tính.

2.4. Tổng quan một số phương pháp phát hiện tấn cơng tính tồn vẹn dữ liệu

Hình 2.11. Các phương pháp phát hiện tấn công 2.4.1. Phương pháp FSS

<small>1T</small>

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

 

X N   Phương pháp CUSUM xét tỷ lệ thay đổi thực sự <small>ki</small>

S (likelihood ratio – LLR), (như được minh họa ở hình 2.14, xác định theo cơng thức (2.72) và (3.20) [13], [55]. Tỷ lệ <small>k</small>

S có xu hướng biến thiên đơn điệu khi khơng có thay đổi bất thường trong tín hiệu, và đổi chiều biến thiên tại thời điểm xảy ra thay đổi bất thường. Thuật tốn CUSUM được minh họa qua cơng thức (2.71) và (2.72).

<small>1kk L</small>

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

  

2.4.4. Phương pháp WL CUSUM

Phương pháp WL CUSUM (Window Limited Cumulative SUM) là một trường hợp đặc biệt của phương pháp CUSUM. Xu hướng biến thiên của tỷ lệ thay đổi thực sự (LLR)

 

<small>k</small>

<small></small> được minh qua ở hình 2.15. Dễ thấy trước điểm thay đổi

k

<sub>0</sub> và sau điểm thay đổi k<sub>0</sub> L 1, đạo hàm của tỷ lệ thay đổi thực sự (LLR) có giá trị âm, còn trong khoảng k<sub>0</sub> và k<sub>0</sub> L 1 thì đạo hàm này có giá trị dương. Thời điểm cảnh báo tấn công được xác định từ điều kiện [13], [34], [57]:

<small> </small>

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

trong đó, h là ngưỡng cảnh báo được chọn trước;

<sub>i</sub> 0 với i1,..,L là các trọng số tương thích các bộ lọc hệ quả hay là các hệ số được xác định trước.

<small>L</small> <sub>k i</sub><small>ki</small>

<small>k ii</small>

<small> </small>

Lập luận tương tự như ở phương pháp CUSUM, từ (2.95), ta có tỷ lệ thay đổi (LLR) của phương pháp FMA tính được theo cơng thức (2.96):

trong đó: <small>m mk</small>

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

trung nghiên cứu, chứng minh tấn cơng tuyến tính có khả năng vượt qua một phương pháp phát hiện tấn công, chưa nghiên cứu các phương pháp dị tìm, phát hiện dạng tấn cơng này. Do đó, tìm hiểu các phương pháp dị tìm, phát hiện loại tấn công này là hướng nghiên cứu có ý nghĩa và cần thiết. Tổng quan một số phương pháp phát hiện tấn cơng tồn vẹn dữ liệu đã được trình bày ở cuối chương 2, và các kết quả nghiên cứu về khả năng phát hiện tấn cơng tuyến tính của các phương pháp này sẽ được trình bày trong chương 3 của luận án.

a) Tổng quan đối tượng thứ hai

Trong luận án này, tác giả xét thêm mơ hình tổng qt của q trình trộn nhiệt trong các nhà máy sản xuất thực phẩm nói chung, và trong các nhà máy sản xuất bia nói riêng. Sơ đồ cơng nghệ của q trình này được minh họa như trong hình 3.11. Xét bình trộn nhiệt với các thông số:

và chu kỳ lấy mẫu T<sub>S</sub>  0.1( ).s

Ta có mơ hình trạng thái khơng liên tục của đối tượng bình trộn nhiệt:

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

Do ở đây ta khơng quan tâm tín hiệu điều khiển, giả sử u<sub>k</sub> 0, đối tượng có thể được mơ tả dưới dạng phương trình (2.1) và (2.2). Trong đó, các ma trận hiệp phương sai của nhiễu trắng được chọn trong các mơ phỏng là:

Hình 3.9. Khả năng phát hiện tấn cơng tuyến tính với ngưỡng <small> 0,5</small> và

<small> 0,1h</small>

Bằng các ma trận T<sub>k</sub>,<sub>k</sub> đã xác định vượt qua phương pháp K-L, xây dựng bộ dữ liệu giả lập có tấn cơng tuyến tính xảy ra trong khoảng thời gian từ 20s đến 40s với tổng thời gian mô phỏng dài 50s. Chúng ta phân tích một số kết quả mơ phỏng dưới đây. Tại ngưỡng phát hiện của bốn phương pháp này h =0.1, áp dụng các công thức (2.40; 2.44; 2.65; 2.77; 2.78; 2.80; 2.87; 2.85; 2.86; 2.90; 2.92; 2.93) tính thời điểm cảnh báo tấn cơng, ta có kết quả mơ phỏng như trong hình 3.9. Kết quả này cho thấy, trong khoảng thời gian xảy ra tấn cơng tuyến tính đã giả lập, phương pháp WL CUSUM đã phát hiện ra loại tấn công này tại thời điểm <small>T</small><sub>WL</sub><small>21 , s nu1</small> (phát hiện đúng) và phương pháp FMA cũng phát hiện được tấn cơng tuyến tính tại thời điểm

25 , 1

T  s nu . Bên cạnh đó, phương pháp CUSUM và CHI2 đã cảnh báo sai do nu1, T<sub>CS</sub> 4 , s T<sub>CHI</sub><sub>2</sub>2s, không nằm trong khoảng thời gian xảy ra tấn công.

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

Các hình 3.9, 3.10 và 3.11 cho thấy rằng: dù vượt qua phương pháp K-L ở bất kỳ ngưỡng

nào, nhưng tấn cơng tuyến tính vẫn có thể được phát hiện bằng phương pháp CHI2, CUSUM, WL CUSUM hay FMA (thể hiện qua xác suất cảnh báo sai P<sub>fa</sub>thấp và xác suất phát hiện sai thời điểm P<sub>m d</sub> thấp). Thứ hai, phương pháp FMA, WL CUSUM, CUSUM có khả năng phát hiện tấn cơng tuyến tính tốt hơn phương pháp phi tham số truyền thống CHI2 (với cùng điều kiện mô phỏng, xác suất cảnh báo sai P<sub>fa</sub>của phương pháp CHI2 lớn hơn nhiều xác suất cảnh báo sai P<sub>fa</sub>của phương pháp WL CUSUM, FMA). Điều này có thể được giải thích rằng phương pháp CHI2 chỉ sử dụng dữ liệu trước thời điểm thay đổi bất thường, còn các phương pháp CUSUM, WL CUSUM, FMA sử dụng dữ liệu trước và sau khi có thay đổi bất thường. Thứ ba, cùng với dải xác suất cảnh báo sai P<sub>fa</sub>thích hợp (từ10<small>-5</small> tới 10<small>0</small>), xác suất phát hiện sai thời điểm <sub>P</sub><sub>m d</sub> của phương pháp FMA thấp hơn xác suất phát hiện sai thời điểm <sub>P</sub><sub>m d</sub> của các phương pháp CHI2, CUSUM, WL CUSUM. Hay nói cách khác, phương pháp FMA có khả năng phát hiện tấn công tuyến tính tốt hơn các phương pháp cịn lại.

Hình 3.12. Đánh giá khả năng phát hiện tấn cơng tuyến tính bằng các phương pháp khi K-L bị vượt qua với ngưỡng <small>2.5</small>

</div>

×