Về một phương pháp phát hiện tấn công trong mạng điều hành giám sát công nghiệp

Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 79 VỀ MỘT PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG MẠNG ĐIỀU HÀNH GIÁM SÁT CÔNG NGHIỆP Nguyễn Đào Trường1*, Nguyễn Doãn Cường2 Tóm tắt: Bài báo đề xuất về việc sử dụng các mô hình vật lý để phát hiện những bất thường trong mạng điều hành giám sát công nghiệp. Đầu tiên là đi phân tích một số hình thức tấn công điển hình trong mạng điều hành giám sát công nghiệp, từ đó đề xuất giải pháp kết hợp mô hình tuyến tính để ước tính tín hiệu với hai giải pháp phát hiện tuần tự và thay đổi trong các thông tin điều khiển để ngăn chặn các cuộc tấn công, kéo dài thời gian để người vận hành hệ thống có thể can thiệp hoặc ứng phó kịp thời với những thảm họa có thể xảy ra. Từ khóa: Mô hình tuyến tính, Hệ thống điều khiển, Tấn công lén lút, Tấn công hình học, Tấn công độ lệch. 1. GIỚI THIỆU Mạng điều hành giám sát công nghiệp (ĐHGSCN) là hệ thống mạng trên cơ sở các máy tính để giám sát và điều khiển các quá trình vật lý trong công nghiệp. Những mạng này mô tả cho một loạt hệ thống mạng công nghệ thông tin khác nhau để kết nối đến những thiết bị vật lý ở những vị trí khác nhau. Dựa trên những ứng dụng mà những hệ thống điều khiển này còn được gọi với những cái tên như hệ thống điều khiển quá trình PCS (Process Control System), hệ thống điều hành giám sát và thu thập dữ liệu SCADA (Supervisory Control and Data Acquisition), hệ thống điều khiển phân tán DCS (Distributed Control System) hoặc hệ thống mạng vật lý CPS (Cyber-Physical System). Mạng điều hành giám sát công nghiệp thường là một tập các trạm được kết nối mạng gồm các bộ cảm biến, các cơ cấu chấp hành, các thiết bị xử lý điều khiển như bộ điều khiển logic lập trình được PLC (Programmable Logic Controller) và các thiết bị truyền thông. Chẳng hạn như trong hệ thống dầu khí và khí đốt sử dụng các hệ thống tích hợp để quản lý các hoạt động tinh chế trong nhà máy, giám sát từ xa áp suất và lưu lượng dòng chảy trong các ống dẫn khí đốt và điều khiển lưu lượng và đường đi của khí đốt. Trong các hệ thống điều hành giám sát công nghiệp hiện đại ngày nay có cấu trúc phân tầng[1]. Mục tiêu của cấu trúc điều khiển là: (1) duy trì việc vận hành hệ thống một cách an toàn bằng cách hạn chế đến mức thấp nhất những hành vi không mong muốn, (2) đáp ứng các nhu cầu sản xuất bằng việc lưu giữ các giá trị quá trình xử lý thực tế trong những giới hạn cho phép, (3) tối đa hóa lợi ích sản phẩm. 2. PHÁT HIỆN TẤN CÔNG TRONG MẠNG ĐHGSCN 2.1. Mô hình tấn công Xét trường hợp trạng thái của hệ thống được đo bằng một mạng gồm p bộ cảm biến với véc-tơ đo lường  1 2( ) ( ), ( ),..., ( )py k y k y k y k , trong đó ( )iy k ký hiệu phép đo của bộ cảm biến thứ i tại thời điểm k. Toàn bộ các bộ cảm biến thành một dải biểu diễn miền của yi với mọi k. Điều đó tức là tất cả bộ cảm biến xác định giá trị nhỏ nhất và lớn nhất min max, ( ) ,i i ik y k y y    , đặt min max,i i iY y y    . Giả sử mỗi bộ cảm biến có một định danh duy nhất được bảo vệ bằng một khóa mật mã. Đặt ( ) py k   ký hiệu các phép đo nhận được của bộ điều khiển tại thời điểm k. Dựa Công nghệ thông tin & Khoa học máy tính N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 80 trên các số đo này mà hệ thống điều khiển xác định hành động để duy trì mục đích hoạt động nhất định. Nếu một số bộ cảm biến bị tấn công, ( )y k có thể khác với số đo thực tế ( )y k ; Giả sử tín hiệu tấn công ( )iy k cũng nằm trong iY (nếu ( )iy k nằm ngoài dải này thì rất dễ bị phát hiện bằng các thuật toán fault-tolerant). Đặt  ,...,a s eK k k mô tả quá trình tấn công trong khoảng thời gian từ ks đến ke. Mô hình tổng quát tín hiệu quan sát được như sau:   ( ) ( ) , ( ) i a i i a i i y k fork K y k a k fork K a k Y      (1) với ai(k) là tín hiệu tấn công. Mô hình tấn công bộ cảm biến này được sử dụng để biểu diễn tấn công toàn vẹn và tấn công từ chối dịch vụ (DoS: Dinied of Service). Trong tấn công toàn vẹn, giả sử kẻ tấn công đã xâm nhập vào một bộ cảm biến, sau đó tiêm vào một giá trị tùy ý, trong trường hợp này ai(k) là một giá trị khác 0. Trong tấn công DoS, bộ điều khiển sẽ nhận thấy thiếu những số đo mới và sẽ phản ứng tương ứng. Một phản hồi trực quan với bộ điều khiển chống lại tấn công DoS là sử dụng tín hiệu nhận được cuối cùng: ai(k) = yi(ks), với yi(ks) là số đo nhận được cuối cùng trước khi tấn công DoS bắt đầu. 2.2. Mô hình tuyến tính Để triển khai các thuật toán điều khiển chính xác, các kỹ sư điều khiển thường xây dựng một mô hình biểu diễn bắt hành vi của hệ thống vật lý để dự đoán cách hệ thống sẽ phản ứng với một tín hiệu điều khiển cho trước. Mô hình quá trình có thể được bắt nguồn từ các nguyên tắc đầu tiên hoặc từ dữ liệu đầu vào và ra thực nghiệm. Mô hình sử dụng phổ biến là kết hợp cả hai mô hình này; Trong các mô hình thực nghiệm thường được điều chỉnh việc tính toán quá trình vật lý đã biết[1],[2]. Đối với các ứng dụng yêu cầu an toàn cao, chẳng hạn như ngành công nghiệp hàng không vũ trụ, tính mềm dẻo về kỹ thuật và kinh tế để phát triển các mô hình phù hợp[1]. Tuy nhiên, đối với phần lớn các hệ thống điều khiển quá trình, sự phát triển của các mô hình quá trình khó thỏa mãn về kinh tế, và thậm chí không thể có được trong thời gian hợp lý do tính chất phức tạp của hệ thống và các quá trình. Để thuận lợi cho việc tạo ra các mô hình vật lý, hầu hết các nhà cung cấp điều khiển công nghiệp đưa ra các công cụ để phát triển các mô hình hệ thống vật lý từ dữ liệu huấn luyện. Mô hình phổ biến nhất là hệ thống tuyến tính. Hệ thống tuyến tính có thể được sử dụng cho mô hình động mà là tuyến tính trong trạng thái x(k) và đầu vào điều khiển u(k): ( 1) Ax( ) ( )x k k Bu k   (2) Với thời gian được biểu diễn bằng k  , x(k) = (x1(k),, xn(k))  là trạng thái của hệ thống và u(k) = (u1(k),, um(k))  là đầu vào điều khiển. Ma trận ij( ) nxnA a  mô tả phụ thuộc vật lý của trạng thái i vào trạng thái j, và ij( ) nxmB b  là ma trận đầu vào với trạng thái i từ đầu vào điều khiển j. Giả sử hệ thống (2) được giám sát bởi mạng cảm biến gồm p bộ cảm biến. Chúng ta thu được dãy phép đo từ biểu thức quan sát: ˆ ( )y Cx k (3) Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 81 Với 1ˆ ˆ ˆ( ( ),..., ( )) p py y k y k  và ˆ ( )ly k  là số đo ước lượng thu thập được từ bộ cảm biến l tại thời điểm k. Ma trận pxnC được gọi là ma trận đầu ra. Trong bài báo này, chúng tôi sử dụng mô hình hệ thống TE-PCS (Tennessee- Eastman Process Control System) kết hợp với luật điều khiển nhiều chu trình PI được đề xuất bởi Ricker[11]. Khái quát quá trình xử lý và các chu trình điều khiển được mô tả trong hình 1. Hình 1. Kiến trúc của mạng ĐHGSCN đơn giản theo TE. 2.3. Phát hiện tấn công Phát hiện các tấn công vào hệ thống điều khiển có thể được xây dựng như một bài toán phát hiện xâm nhập dựa vào bất thường[3]. Sự khác biệt lớn trong hệ thống điều khiển so với hệ thống công nghệ thông tin truyền thông đó là thay vì tạo ra các mô hình lưu lượng mạng hoặc hành vi phần mềm, chúng ta có thể sử dụng mô hình biểu diễn của hệ vật lý. Về mặt trực, phương pháp này như sau: Nếu chúng ta biết chuỗi đầu ra y(k) của hệ thống vật lý như thế nào từ chuỗi đầu vào điều khiển u(k) thì bất kỳ tấn công nào vào bộ cảm biến đều có thể phát hiện ngay bằng cách so sánh tín hiệu nhận được với tín hiệu mong muốn. Tùy thuộc vào chất lượng của ước lượng của chúng ta có thể dẫn tới một số cảnh báo sai. Để chuẩn hóa bài toán phát hiện bất thường, chúng ta cần (1) một mô hình hành vi của hệ thống vật lý, và (2) một thuật toán phát hiện bất thường. Trong phần 2.2 chúng tôi đã trình bày về lựa chọn mô hình tuyến tính như một xấp xỉ của các hành vi trong hệ thống vật lý. Trong phần này, chúng tôi mô tả lý thuyết phát hiện thay đổi và thuật toán phát hiện, chúng tôi sử dụng thống kê phi tham số CUSUM (Cumulative Sum). Phương pháp phát hiện tấn công dự trên mô hình vật lý được trình bày trong bài báo này có thể được xem như là bổ sung cho các phương pháp phát hiện xâm nhập dựa trên mô hình mạng và mô hình hệ thống máy tính. Bởi vì chúng tôi cần phát hiện bất thường trong thời gian thực, sử dụng các kết quả từ lý thuyết phát hiện tuần tự để đưa ra một nền tảng vững chắc cho cách tiếp cận này. Lý thuyết phát hiện tuần tự xem xét bài toán này với thời gian đo không cố định, nhưng có thể được chọn trực tuyến với các số đo thu được. Cách phát biểu bài toán Công nghệ thông tin & Khoa học máy tính N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 82 như vậy gọi là bài toán dừng tối ưu. Hai phát biểu bài toán đó là: Phát hiện tuần tự và phát hiện thay đổi. Một khảo sát đầy đủ về những bài toán này được trình bày trong Kailath và Poor[4]. Trong bài toán dừng tối ưu, đưa ra một chuỗi thời gian tuần tự z(1), z(2), . . . , z(N), và mục đích là xác định số lượng mẫu tối thiểu N, lược đồ phát hiện bất thường được quan sát trước khi đưa ra một quyết định dN giữa hai giả thuyết: H0 (hành vi bình thường) và H1 (bị tấn công). Sự khác biệt giữa phát hiện tuần tự và phát hiện sự thay đổi là các giả sử trước đó chuỗi z(i) được tạo ra hoặc theo giả thuyết hành vi bình thường H0 hoặc theo giả thuyết bị tấn công H1. Mục tiêu là đưa ra quyết định xem giả thuyết nào đúng trong thời gian ngắn nhất. Mặt khác, giả sử phát hiện thay đổi quan sát z(i) bắt đầu với giả thuyết H0 và sau đó tại thời điểm ks thay đổi sang giả thuyết H1. Mục đích là để phát hiện thay đổi này sớm nhất có thể. Trong phương pháp phát hiện tấn công của chúng tôi, phát biểu phát hiện thay đổi trực quan hơn. Để thuận tiện cho phát biểu trực quan này, chúng tôi mô tả tóm tắt hai phát biểu như sau: 2.3.1. Phát hiện tuần tự Cho trước một xác suất cảnh báo sai và xác suất phát hiện cố định, mục đích của phát hiện tuần tự là tối thiểu số lượng quan sát cần thiết để đưa gia quyết định giữa hai giả thuyết. Giải pháp là thử nghiệm tỷ lệ xác suất tuần tự cổ điển (SPRT Sequential Probability Test) của Wald[5] (cũng như TRW – Threshold Random Walk trong một số bài báo). SPRT được sử dụng rộng rãi trong nhiều bài toán an toàn thông tin như phát hiện quét cổng[6], sâu mạng[7], các proxy sử dụng các tham số[8], và các botnet[9]. Giả sử quan sát z(k) với giả thuyết Hj được tạo ra với một phân phối xác suất pj, thuật toán SPRT có thể được mô tả bằng biểu thức sau: 1 0 ( ( )) ( 1) log ( ) ( ( )) inf {n:S(n) [ , ]} n p z k s k S k p z k N L U      (4) Bắt đầu với S(0) = 0. SPRT quyết định quy luật dN được định nghĩa như sau: 1 0 if ( ) if ( )N H S n U d H S n L     (5) Với ln 1 b L a   , 1 ln b U a   , a là xác suất cảnh báo sai và b là xác suất phát hiện nhầm (thường chọn các giá trị này rất nhỏ), nN được xác định trong (4). 2.3.2. Phát hiện thay đổi Mục đích của bài toán phát hiện thay đổi là phát hiện ra thay đổi có thể tại một thời điểm không biết trước ks. Thống kê CUSUM (Cumulative Sum) và thống kê Shiryaev-Roberts là hai thuật toán được sử dụng phổ biến nhất trong bài toán phát hiện thay đổi. Trong phần này, chúng tôi sử dụng thống kê CUSUM bởi vì nó rất đơn giản với SPRT. Cho trước tỉ lệ cảnh báo sai cố định, thuật toán cố gắng tối thiểu thời gian N (với N>ks) để dừng kiểm tra và quyết định là đã có thay đổi. Đặt S(0) = 0. Thống kê CUSUM được nâng cấp như sau: Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 83 1 0 ( ( )) ( 1) log ( ) ( ( )) p z k S k S k p z k          (6) Với (a)+ = a nếu a ≥ 0 và bằng 0 trong các trường hợp còn lại. Thời gian dừng sẽ là: inf { : ( ) } n N n S n   (7) Với một ngưỡng cho trước  được lựa chọn dựa trên ràng buộc cảnh báo sai. Chúng tôi sử dụng thuật toán CUSUM là một thử nghiệm SPRT với L=0, U= và phép thống kê đạt được ngưỡng thấp hơn L sẽ bắt đầu lại. Chúng tôi mô tả sao cho phù hợp với các kết quả về lý thuyết phát hiện thay đổi đối với bài toán cụ thể trong việc phát hiện các bộ cảm biến bị tấn công. Tiếp theo chúng tôi sử dụng chỉ số dưới i để ký hiệu chỉ số tuần tự tương ứng với bộ cảm biến i. Một vấn đề phát sinh mà chúng tôi có được trong trường hợp này là chúng tôi không biết phân phối xác suất của tấn công p1. Nói chung, đối phương có thể phát hiện bất kỳ bất thường nào dãy không cố định zi(k). Giả sử cố định p1 sẽ giới hạn khả năng của chúng ta để phát hiện ra một dải các tấn công. Để tránh đưa ra những thừa nhận về phân phối xác suất của kẻ tấn công, chúng tôi sử dụng ý tưởng xuất phát từ thống kê phi tham số. Chúng tôi không đặt giả thiết phân phối xác suất với p1 và p0; thay vào đó là chỉ các giàng buộc ở giữa trong chuỗi quan sát. Một trong những giàng buộc đơn giản là giả sử giá trị mong đợi của quá trình ngẫu nhiên Zi(k) mà tạo ra chuỗi zi(k) với giả thuyết H0 nhỏ hơn 0 (  0 0iZ  ) và giá trị mong đợi của Zi(k) với giả thuyết H1 lớn hơn 0 (  1 0iZ  ). Để đạt được các điều kiện này cần xác định ˆ( ) ( ) ( )i i i iz k y k y k b   (8) Với bi là hằng số dương nhỏ được chọn sao cho 0 ˆ( ) ( ) 0i i iy k y k b      (9) Thống kê CUSUM phi tham số với bộ cảm biến i là: ( ) ( ( 1) ( )) , (0) 0i i i iS k S k z k S     (10) Và quy luật quyết định tương ứng là 1, 0 if ( ) ( ( )) i i N i i H S k d d S k H otherwise      (11) Với τi là ngưỡng được chọn dựa trên tỷ lệ cảnh báo sai với bộ cảm biến i. Theo [10], chúng ta thấy hai kết quả quan trọng của phương trình (10)-(11) đó là: - Xác suất cảnh báo sai giảm theo hàm mũ. - Thời gian phát hiện tấn công (Ni − ks,i) + là tỷ lệ nghịch với bi. 2.4. Tấn công lén lút Vấn đề cơ bản trong phát hiện xâm nhập là sự hiện diện của những đối thủ cạnh tranh cố gắng vượt qua lược đồ phát hiện; Vì vậy, chúng tôi coi như đối phương biết về lược đồ phát hiện bất thường của chúng tôi. Chúng tôi đưa ra giải pháp để đảm bảo trong mô hình của chúng tôi bằng giả thiết kẻ tấn công rất mạnh với sự hiểu biết về: (1) mô hình tuyến tính chính xác mà chúng tôi sử dụng (chẳng hạn các ma trận A, B và C), (2) các tham số (τi và bi), và (3) các tín hiệu điều khiển. Mục đích của kẻ tấn công là tạo ra sức ép trong thùng chứa mà không bị phát hiện. Chúng tôi xây dựng mô hình 3 loại tấn công: tấn công lén lút, tấn công độ Công nghệ thông tin & Khoa học máy tính N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 84 lệch, tấn công hình học. Mô hình tấn công lén lút[13], các kẻ tấn công muốn đạt được sự phá hủy tối đa ngay khi chúng truy cập được vào hệ thống. Mô hình tấn công độ lệch, các kẻ tấn công cố gắng thay đổi hệ thống một cách rời rạc bằng cách thêm vào những xáo trộn nhỏ trong một khoảng thời gian lớn. Cuối cùng, mô hình tấn công hình học, các kẻ tấn công cố gắng dịch các hành vi của hệ thống rất rời rạc tại thời điểm bắt đầu tấn công và tiếp theo phá hủy tối đa sau đó hệ thống sẽ bị chuyển sang trạng thái hoàn toàn mất kiểm soát. 2.5. Tấn công đột biến Trong tấn công đột biến, đối phương cố gắng phá hủy lớn nhất có thể, nhưng khi việc thống kê đạt ngưỡng, nó sẽ duy trì tại mức ngưỡng: Si(k) = τ trong phần thời gian còn lại của cuộc tấn công. Để lưu lại ở ngưỡng đó, kẻ tấn công cần giải phương trình toàn phương sau:   2 ˆ( ) ( ) ( )i i i i iS k y k y k b     (12) Kết quả tấn công (với y2 và y1) là: min if S ( 1) ( ) ˆ ( ) ( ) if ( 1) i i i i i i i i i i y k y k y k b S k S k               (13) Với y3 sử dụng: 3 3 3 min 3 3 3 3 3 3 3 if S ( ) ( ) ˆ ( ) ( ) if ( ) y y y y k y k y k b S k S k             (14) 2.6. Tấn công độ lệch Trong tấn công độ lệch, kẻ tấn công thêm một hằng số nhỏ ci tại mỗi bước. , ,ˆi k i k i iy y c Y   (15) Trong trường hợp này, thống kê phi tham số CUSUM có thể được viết như sau: 1 0 ˆ( ) ( ) ( ) n i i i i k S n y k y k nb       (16) Giả sử kẻ tấn công bắt đầu tại thời điểm k = 0 và kẻ tấn công muốn không bị phát hiện trong thời gian n bước, kẻ tấn công cần giải phương trình sau: 1 0 n i i i k c nb     (17) Cho nên ci = τi/n + b. Tấn công này tạo ra một độ lệch τi/n + b với mỗi tín hiệu tấn công. Biểu thức này cho thấy những giới hạn của kẻ tấn công. Nếu kẻ tấn công muốn phá hủy tối đa (độ lệch của một tín hiệu tối đa), kẻ tấn công cần chọn n nhỏ nhất. Bởi vì i iy Y tấn công này làm giảm một cuộc tấn công xung lực. Nếu kẻ tấn công muốn tấn công trong thời gian dài thì n sẽ rất lớn. Nếu n rất lớn thì độ lệch sẽ nhỏ hơn. 2.7. Tấn công hình học Trong tấn công hình học, kẻ tấn công muốn kéo giá trị xuống rất thấp tại thời điểm bắt đầu tấn công và phá hủy tối đa khi kết thúc tấn công. Tấn công này kết hợp kéo khởi tạo của tấn công độ lệch xuống thấp với tấn công đột biến tại thời điểm kết thúc tấn công để tăng mức phá hủy lên cao nhất. Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 85 Cho α ∈ (0, 1). Tấn công là: ˆ( ) ( ) n k i i i iy k y k     (18) Tiếp theo tính  và  thỏa mãn Si(n) = τi. Giả sử quá trình tấn công bắt đầu tại thời điểm k = 0 và kẻ tấn công muốn không bị phát hiện với n bước. Kẻ tấn công cần giải phương trình sau: 1 0 n n k i i i i k nb        (19) Việc bổ sung này là một cấp số nhân. 1 1 1 1 0 0 1 ( ) 1 nn n n k n k i i i i i i i k k i                    (20) Bằng cách cố định , kẻ tấn công có thể chọn xấp xỉ  thỏa mãn biểu thức trên. 3. ỨNG PHÓ VỚI TẤN CÔNG Một thế trận an toàn toàn diện với bất kỳ hệ thống nào nên gồm các nguyên tắc ngăn chặn, phát hiện và ứng phó với các tấn công. Ứng phó tự động với các tấn công máy tính là một trong những bài toán cơ bản trong an toàn thông tin. Trong khi hầu hết các kết quả nghiên cứu tìm thấy trong các công trình nghiên cứu hướng đến ngăn chặn (xác thực, điều khiển truy cập, mật mã, ...) hoặc phát hiện (các hệ thống phát hiện xâm nhập), trong thực tế có khá nhiều nguyên tắc ứng phó. ( )y k ˆ( )y k Hình 2. Mô hình phát hiện tấn công đề xuất. Chúng tôi xây dựng một mô-đun ước tính cho trạng thái của hệ thống (theo mô hình tuyến tính) và một chiến lược ứng phó phù hợp cho hệ thống điều khiển sử dụng ước tính này theo phương pháp thống kê. Với giải pháp này khi phát hiện bất thường thì hệ thống sẽ tự bật báo động (hình 2). Với bộ cảm biến i, nếu Si(k) > τi, mô-đun phát hiện thay đổi CDM (Change Detection Module) sử dụng phương pháp phát hiện thay đổi trong phần 2.3 thay thế tất cả các số đo bộ cảm biến ( )iy k bằng các số đo được tạo ra bởi mô hình tuyến tính ˆ ( )iy k (tức là bộ điều khiển sẽ nhận đầu vào ˆ ( )iy k thay vì nhận ( )iy k ). Mặt khác, nó xem ( )iy k như là tín hiệu chính xác của bộ cảm biến. Trong kiến trúc phát hiện và phản ứng đề xuất trong hình 2, chúng tôi hy vọng nếu có một cảnh báo sai, việc điều khiển hệ thống bằng cách sử dụng các giá trị ước tính từ hệ thống tuyến tính sẽ không gây ra bất kỳ sự mất an toàn hệ thống nào. Công nghệ thông tin & Khoa học máy tính N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 86 Hình 3. Không có mô-đun phát hiện thay đổi. Hình 4. Mô-đun phát hiện tấn công thay đổi và ứng phó với tấn công tại thời điểm t=5,1. Nguyên tắc phản ứng tự động làm việc tốt khi chúng tôi thực hiện tấn công (với 2 20.5*y y .) Hình 3 và hình 4 cho thấy khi phát hiện tấn công, chiến lược phản ứng sẽ được sử dụng để giữ cho hệ thống an toàn. Kết quả tương tự nhận được với tất cả các tấn công có thể phát hiện được. Mặc dù cơ chế phản ứng tấn công là một giải pháp tốt khi các cảnh báo thực sự là dấu hiệu của cuộc tấn công, lo ngại chính của chúng tôi trong phần này là chi phí của các cảnh báo sai. Mặc dù cơ chế phản ứng tấn công thực hiện tốt khi các cảnh báo thực sự xác định dấu hiệu của các tấn công, mối quan tâm chính của chúng tôi là chi phí cảnh báo sai. Để giải quyết mối quan tâm này chúng tôi thực hiện lại kịch bản mô phỏng với các tham số 1 5,y  2 1000,y  3 20y  hệ thống của chúng tôi không phát hiện bất kỳ cảnh báo sai nào; vì vậy chúng tôi quyết định giảm các ngưỡng xuống thành 1 1,y  2 100,y  3 2y  và thực hiện tương tự. Chúng tôi thấy rằng trong khi cơ chế phản ứng lỗi làm tăng áp suất trong bể chưa, nó không bao giờ đạt đến các mức không an toàn. Áp suất tối đa thu được trong quá trình điều khiển hệ thống dựa trên mô hình tuyến tính là 248kPa, có cùng độ lớn với những thay đổi bình thường của áp suất không có bất kỳ cảnh báo sai nào (246kPa). Trong nghiên cứu của chúng tôi, ngay khi hệ thống được duy trì ở mức an toàn bằng phản ứng tự động, chiến lược phản ứng của chúng tôi chỉ là một giải pháp tạm thời trước khi người vận hành có thể phản ứng với những cảnh báo đó. Dựa trên những kết quả này chúng tôi hy vọng có đủ thời gian để con người có thể kịp thời phản ứng với những hiểm họa lớn. Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 87 4. KẾT LUẬN Trong bài báo này, chúng tôi nhận thấy một số thách thức nghiên cứu để đảm bảo an toàn trong hệ thống điều khiển cũng như trong mạng ĐHGSCN. Bằng cách kết hợp một mô hình vật lý của hệ thống, chúng ta có thể xác định các bộ cảm biến quan trọng nhất và các cuộc tấn công. Chúng tôi đề xuất sử dụng các cơ chế phản ứng tự động dựa trên những ước tính trạng thái của hệ thống. Phản ứng tự động có thể gặp một số vấn đề trong một số trường hợp (đặc biệt nếu việc phản ứng với một cảnh báo sai phải chi phí tốn kém); Vì vậy, chúng tôi muốn nhấn mạnh cơ chế phả ứng tự động nên được coi là một giải pháp tạm thời trước khi con người được điều động đến để điều tra cảnh báo đó. Một biện pháp triển khai đầy đủ với bất kỳ cơ chế phản ứng nào nên đi vào xem xét lượng thời gian phù hợp để người vận hành phản ứng với cảnh báo và khả năng hiệu quả của phản ứng với cảnh báo sai. Tuy nhiên, với hệ thống điều khiển quy mô lớn thì việc thiết kế thường không linh hoạt và có thể trở thành mục tiêu của các tấn công tiềm tàng nếu khả năng phục hồi không được xây dựng ngay trong việc thiết kế từ vị trí đầu tiên. Vì vậy, ý tưởng của chúng tôi liên quan tới tất cả các khía cạnh an toàn trong vận hành cho đến khi có cách thiết kế bài bản với tất cả các tình huống tấn công vào cấu trúc và thuật toán điều khiển. TÀI LIỆU THAM KHẢO [1]. Quin, S. J. and Badgwell, T. A., “A survey of industrial model predictive control technology”, Control Engineering Practice 11(7), 2003, pp.733-764. [2]. Rawlings, J., “Tutorial overview of model predictive control”, Control Systems Maga-zine, IEEE 20(3), 2000, pp.38–52. [3]. Denning, D., “An intrusion-detection model”, Software Engineering, IEEE Transac- tions on SE-13(2), 1987, pp.222–232. [4]. Kailath, T. and Poor, H. V., “Detection of stochastic processes”, IEEE Transactions on Information Theory 44(6), 1998, pp.2230–2258. [5]. Wald, A., “Sequential Analysis”, J. Wiley & Sons, New York, NY, 1947. [6]. Jung, J., Paxson, V., Berger, A. and Balakrishan, H., “Fast portscan detection using sequential hypothesis testing”, in Proceedings of the 2004 IEEE Symposium on Security and Privacy, 2004, pp. 211–225. [7]. Schechter, S. and Berger, J. J. A., “Fast detection of scanning worm infections”, in ‘Proc. of the Seventh International Symposium on Recent Advances in Intrusion Detection (RAID)’, 2004. [8]. Xie, M., Yin, H. andWang, H., “An effective defense against email spam laundering”, in Proceedings of the 13th ACM Conference on Computer and Communications Security, 2006, pp. 179–190. [9]. Gu, G., Zhang, J. and Lee, W., “Botsniffer: Detecting botnet command and control channels in network traffic”, in Proceedings of the 15th Annual Network and Distributed System Security Symposium (NDSS’08), San Diego, CA, 2008. [10]. Brodsky, B. and Darkhovsky, B., “Non-Parametric Methods in Change- Point Problems”, Kluwer Academic Publishers, 1993. Công nghệ thông tin & Khoa học máy tính N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 88 [11]. Ricker, N., “Model predictive control of a continuous, nonlinear, two-phase reactor”, Journal of Process Control 3(2), 1993, pp. 109–123. [12]. Bedjaoui, N. and Weyer, E., “Algorithms for leak detection, estimation, isolation and localization in open water channels”, Control Engineering Practice (forthcoming), 2011. [13]. Amin, S., Litrico, X., Sastry, S. and Bayen, A., “Stealthy deception attacks on water SCADA systems”, in Proc. 13th ACM International Conference on Hybrid Systems: Computation and Control, pp. 161–170, 2010. [14]. Alpcan, T. and Basar, T., “Network Security: A Decision and Game Theoretic Approach”, Cambridge University Press, Philadelphia, 2011. ABSTRACT A DETECTION METHOD OF ATTACKING ON THE NETWORKED INDUSTRIAL SUPERVISOR AND MONITOR SYSTEM The articale proposes the use of physical models to detect anomalies in networked industrial supervisory and control system. First of all, we analyzes some types of attack on the networked industrial supervisor and the control system, then we proposed solutions combining linear model to estimate signal with two sequential and change detection solutions in information controls to prevent the attacks, the human operatiors have enough time to intervene or response with disasters that may occur. Keywords: Linear model, Control system, Stealthy attack, Geometric attack, Bias attack. Nhận bài ngày 11 tháng 05 năm 2016 Hoàn thiện ngày 12 tháng 08 năm 2016 Chấp nhận đăng ngày 17 tháng 08 năm 2016 Địa chỉ: 1 Học viện Kỹ thuật Mật mã – Ban Cơ yếu chính phủ; 2 Viện Công nghệ thông tin – Viện KH-CN quân sự. * Email: truongnguyendaoact@hotmail.com