Tài liệu Về một phương pháp phát hiện tấn công trong mạng điều hành giám sát công nghiệp: Nghiên cứu khoa học công nghệ
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 79
VỀ MỘT PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG MẠNG
ĐIỀU HÀNH GIÁM SÁT CÔNG NGHIỆP
Nguyễn Đào Trường1*, Nguyễn Doãn Cường2
Tóm tắt: Bài báo đề xuất về việc sử dụng các mô hình vật lý để phát hiện những
bất thường trong mạng điều hành giám sát công nghiệp. Đầu tiên là đi phân tích
một số hình thức tấn công điển hình trong mạng điều hành giám sát công nghiệp, từ
đó đề xuất giải pháp kết hợp mô hình tuyến tính để ước tính tín hiệu với hai giải
pháp phát hiện tuần tự và thay đổi trong các thông tin điều khiển để ngăn chặn các
cuộc tấn công, kéo dài thời gian để người vận hành hệ thống có thể can thiệp hoặc
ứng phó kịp thời với những thảm họa có thể xảy ra.
Từ khóa: Mô hình tuyến tính, Hệ thống điều khiển, Tấn công lén lút, Tấn công hình học, Tấn công độ lệch.
1. GIỚI THIỆU
Mạng điều hành giám sát công nghiệp (ĐHGSCN) là hệ thống mạng trên cơ sở
các máy tính để giám sát và điều khiể...
10 trang |
Chia sẻ: quangot475 | Lượt xem: 373 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Về một phương pháp phát hiện tấn công trong mạng điều hành giám sát công nghiệp, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Nghiên cứu khoa học công nghệ
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 79
VỀ MỘT PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG MẠNG
ĐIỀU HÀNH GIÁM SÁT CÔNG NGHIỆP
Nguyễn Đào Trường1*, Nguyễn Doãn Cường2
Tóm tắt: Bài báo đề xuất về việc sử dụng các mô hình vật lý để phát hiện những
bất thường trong mạng điều hành giám sát công nghiệp. Đầu tiên là đi phân tích
một số hình thức tấn công điển hình trong mạng điều hành giám sát công nghiệp, từ
đó đề xuất giải pháp kết hợp mô hình tuyến tính để ước tính tín hiệu với hai giải
pháp phát hiện tuần tự và thay đổi trong các thông tin điều khiển để ngăn chặn các
cuộc tấn công, kéo dài thời gian để người vận hành hệ thống có thể can thiệp hoặc
ứng phó kịp thời với những thảm họa có thể xảy ra.
Từ khóa: Mô hình tuyến tính, Hệ thống điều khiển, Tấn công lén lút, Tấn công hình học, Tấn công độ lệch.
1. GIỚI THIỆU
Mạng điều hành giám sát công nghiệp (ĐHGSCN) là hệ thống mạng trên cơ sở
các máy tính để giám sát và điều khiển các quá trình vật lý trong công nghiệp.
Những mạng này mô tả cho một loạt hệ thống mạng công nghệ thông tin khác
nhau để kết nối đến những thiết bị vật lý ở những vị trí khác nhau. Dựa trên những
ứng dụng mà những hệ thống điều khiển này còn được gọi với những cái tên như
hệ thống điều khiển quá trình PCS (Process Control System), hệ thống điều hành
giám sát và thu thập dữ liệu SCADA (Supervisory Control and Data Acquisition),
hệ thống điều khiển phân tán DCS (Distributed Control System) hoặc hệ thống
mạng vật lý CPS (Cyber-Physical System). Mạng điều hành giám sát công nghiệp
thường là một tập các trạm được kết nối mạng gồm các bộ cảm biến, các cơ cấu
chấp hành, các thiết bị xử lý điều khiển như bộ điều khiển logic lập trình được
PLC (Programmable Logic Controller) và các thiết bị truyền thông. Chẳng hạn như
trong hệ thống dầu khí và khí đốt sử dụng các hệ thống tích hợp để quản lý các
hoạt động tinh chế trong nhà máy, giám sát từ xa áp suất và lưu lượng dòng chảy
trong các ống dẫn khí đốt và điều khiển lưu lượng và đường đi của khí đốt. Trong
các hệ thống điều hành giám sát công nghiệp hiện đại ngày nay có cấu trúc phân
tầng[1]. Mục tiêu của cấu trúc điều khiển là: (1) duy trì việc vận hành hệ thống một
cách an toàn bằng cách hạn chế đến mức thấp nhất những hành vi không mong
muốn, (2) đáp ứng các nhu cầu sản xuất bằng việc lưu giữ các giá trị quá trình xử
lý thực tế trong những giới hạn cho phép, (3) tối đa hóa lợi ích sản phẩm.
2. PHÁT HIỆN TẤN CÔNG TRONG MẠNG ĐHGSCN
2.1. Mô hình tấn công
Xét trường hợp trạng thái của hệ thống được đo bằng một mạng gồm p bộ cảm
biến với véc-tơ đo lường 1 2( ) ( ), ( ),..., ( )py k y k y k y k , trong đó ( )iy k ký hiệu phép
đo của bộ cảm biến thứ i tại thời điểm k. Toàn bộ các bộ cảm biến thành một dải
biểu diễn miền của yi với mọi k. Điều đó tức là tất cả bộ cảm biến xác định giá trị
nhỏ nhất và lớn nhất min max, ( ) ,i i ik y k y y , đặt
min max,i i iY y y . Giả sử mỗi bộ
cảm biến có một định danh duy nhất được bảo vệ bằng một khóa mật mã. Đặt
( ) py k ký hiệu các phép đo nhận được của bộ điều khiển tại thời điểm k. Dựa
Công nghệ thông tin & Khoa học máy tính
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 80
trên các số đo này mà hệ thống điều khiển xác định hành động để duy trì mục đích
hoạt động nhất định. Nếu một số bộ cảm biến bị tấn công, ( )y k có thể khác với số
đo thực tế ( )y k ; Giả sử tín hiệu tấn công ( )iy k cũng nằm trong iY (nếu ( )iy k nằm
ngoài dải này thì rất dễ bị phát hiện bằng các thuật toán fault-tolerant).
Đặt ,...,a s eK k k mô tả quá trình tấn công trong khoảng thời gian từ ks đến ke.
Mô hình tổng quát tín hiệu quan sát được như sau:
( )
( )
, ( )
i a
i
i a i i
y k fork K
y k
a k fork K a k Y
(1)
với ai(k) là tín hiệu tấn công. Mô hình tấn công bộ cảm biến này được sử dụng để
biểu diễn tấn công toàn vẹn và tấn công từ chối dịch vụ (DoS: Dinied of Service).
Trong tấn công toàn vẹn, giả sử kẻ tấn công đã xâm nhập vào một bộ cảm biến, sau
đó tiêm vào một giá trị tùy ý, trong trường hợp này ai(k) là một giá trị khác 0.
Trong tấn công DoS, bộ điều khiển sẽ nhận thấy thiếu những số đo mới và sẽ phản
ứng tương ứng. Một phản hồi trực quan với bộ điều khiển chống lại tấn công DoS
là sử dụng tín hiệu nhận được cuối cùng: ai(k) = yi(ks), với yi(ks) là số đo nhận được
cuối cùng trước khi tấn công DoS bắt đầu.
2.2. Mô hình tuyến tính
Để triển khai các thuật toán điều khiển chính xác, các kỹ sư điều khiển thường
xây dựng một mô hình biểu diễn bắt hành vi của hệ thống vật lý để dự đoán cách
hệ thống sẽ phản ứng với một tín hiệu điều khiển cho trước. Mô hình quá trình có
thể được bắt nguồn từ các nguyên tắc đầu tiên hoặc từ dữ liệu đầu vào và ra thực
nghiệm. Mô hình sử dụng phổ biến là kết hợp cả hai mô hình này; Trong các mô
hình thực nghiệm thường được điều chỉnh việc tính toán quá trình vật lý đã
biết[1],[2]. Đối với các ứng dụng yêu cầu an toàn cao, chẳng hạn như ngành công
nghiệp hàng không vũ trụ, tính mềm dẻo về kỹ thuật và kinh tế để phát triển các
mô hình phù hợp[1]. Tuy nhiên, đối với phần lớn các hệ thống điều khiển quá
trình, sự phát triển của các mô hình quá trình khó thỏa mãn về kinh tế, và thậm chí
không thể có được trong thời gian hợp lý do tính chất phức tạp của hệ thống và các
quá trình.
Để thuận lợi cho việc tạo ra các mô hình vật lý, hầu hết các nhà cung cấp điều
khiển công nghiệp đưa ra các công cụ để phát triển các mô hình hệ thống vật lý từ
dữ liệu huấn luyện. Mô hình phổ biến nhất là hệ thống tuyến tính. Hệ thống tuyến
tính có thể được sử dụng cho mô hình động mà là tuyến tính trong trạng thái x(k)
và đầu vào điều khiển u(k):
( 1) Ax( ) ( )x k k Bu k (2)
Với thời gian được biểu diễn bằng k , x(k) = (x1(k),, xn(k)) là trạng
thái của hệ thống và u(k) = (u1(k),, um(k)) là đầu vào điều khiển. Ma trận
ij( )
nxnA a mô tả phụ thuộc vật lý của trạng thái i vào trạng thái j, và
ij( )
nxmB b là ma trận đầu vào với trạng thái i từ đầu vào điều khiển j. Giả sử hệ
thống (2) được giám sát bởi mạng cảm biến gồm p bộ cảm biến. Chúng ta thu được
dãy phép đo từ biểu thức quan sát:
ˆ ( )y Cx k (3)
Nghiên cứu khoa học công nghệ
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 81
Với 1ˆ ˆ ˆ( ( ),..., ( ))
p
py y k y k và ˆ ( )ly k là số đo ước lượng thu thập được
từ bộ cảm biến l tại thời điểm k. Ma trận pxnC được gọi là ma trận đầu ra.
Trong bài báo này, chúng tôi sử dụng mô hình hệ thống TE-PCS (Tennessee-
Eastman Process Control System) kết hợp với luật điều khiển nhiều chu trình PI
được đề xuất bởi Ricker[11]. Khái quát quá trình xử lý và các chu trình điều khiển
được mô tả trong hình 1.
Hình 1. Kiến trúc của mạng ĐHGSCN đơn giản theo TE.
2.3. Phát hiện tấn công
Phát hiện các tấn công vào hệ thống điều khiển có thể được xây dựng như một
bài toán phát hiện xâm nhập dựa vào bất thường[3]. Sự khác biệt lớn trong hệ
thống điều khiển so với hệ thống công nghệ thông tin truyền thông đó là thay vì tạo
ra các mô hình lưu lượng mạng hoặc hành vi phần mềm, chúng ta có thể sử dụng
mô hình biểu diễn của hệ vật lý. Về mặt trực, phương pháp này như sau: Nếu
chúng ta biết chuỗi đầu ra y(k) của hệ thống vật lý như thế nào từ chuỗi đầu vào
điều khiển u(k) thì bất kỳ tấn công nào vào bộ cảm biến đều có thể phát hiện ngay
bằng cách so sánh tín hiệu nhận được với tín hiệu mong muốn. Tùy thuộc vào chất
lượng của ước lượng của chúng ta có thể dẫn tới một số cảnh báo sai.
Để chuẩn hóa bài toán phát hiện bất thường, chúng ta cần (1) một mô hình hành
vi của hệ thống vật lý, và (2) một thuật toán phát hiện bất thường. Trong phần 2.2
chúng tôi đã trình bày về lựa chọn mô hình tuyến tính như một xấp xỉ của các hành
vi trong hệ thống vật lý. Trong phần này, chúng tôi mô tả lý thuyết phát hiện thay
đổi và thuật toán phát hiện, chúng tôi sử dụng thống kê phi tham số CUSUM
(Cumulative Sum). Phương pháp phát hiện tấn công dự trên mô hình vật lý được
trình bày trong bài báo này có thể được xem như là bổ sung cho các phương pháp
phát hiện xâm nhập dựa trên mô hình mạng và mô hình hệ thống máy tính. Bởi vì
chúng tôi cần phát hiện bất thường trong thời gian thực, sử dụng các kết quả từ lý
thuyết phát hiện tuần tự để đưa ra một nền tảng vững chắc cho cách tiếp cận này.
Lý thuyết phát hiện tuần tự xem xét bài toán này với thời gian đo không cố định,
nhưng có thể được chọn trực tuyến với các số đo thu được. Cách phát biểu bài toán
Công nghệ thông tin & Khoa học máy tính
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 82
như vậy gọi là bài toán dừng tối ưu. Hai phát biểu bài toán đó là: Phát hiện tuần tự
và phát hiện thay đổi. Một khảo sát đầy đủ về những bài toán này được trình bày
trong Kailath và Poor[4].
Trong bài toán dừng tối ưu, đưa ra một chuỗi thời gian tuần tự z(1), z(2), . . . ,
z(N), và mục đích là xác định số lượng mẫu tối thiểu N, lược đồ phát hiện bất
thường được quan sát trước khi đưa ra một quyết định dN giữa hai giả thuyết: H0
(hành vi bình thường) và H1 (bị tấn công). Sự khác biệt giữa phát hiện tuần tự và
phát hiện sự thay đổi là các giả sử trước đó chuỗi z(i) được tạo ra hoặc theo giả
thuyết hành vi bình thường H0 hoặc theo giả thuyết bị tấn công H1. Mục tiêu là đưa
ra quyết định xem giả thuyết nào đúng trong thời gian ngắn nhất. Mặt khác, giả sử
phát hiện thay đổi quan sát z(i) bắt đầu với giả thuyết H0 và sau đó tại thời điểm ks
thay đổi sang giả thuyết H1. Mục đích là để phát hiện thay đổi này sớm nhất có thể.
Trong phương pháp phát hiện tấn công của chúng tôi, phát biểu phát hiện thay đổi
trực quan hơn. Để thuận tiện cho phát biểu trực quan này, chúng tôi mô tả tóm tắt
hai phát biểu như sau:
2.3.1. Phát hiện tuần tự
Cho trước một xác suất cảnh báo sai và xác suất phát hiện cố định, mục đích của
phát hiện tuần tự là tối thiểu số lượng quan sát cần thiết để đưa gia quyết định giữa
hai giả thuyết. Giải pháp là thử nghiệm tỷ lệ xác suất tuần tự cổ điển (SPRT
Sequential Probability Test) của Wald[5] (cũng như TRW – Threshold Random
Walk trong một số bài báo). SPRT được sử dụng rộng rãi trong nhiều bài toán an
toàn thông tin như phát hiện quét cổng[6], sâu mạng[7], các proxy sử dụng các
tham số[8], và các botnet[9].
Giả sử quan sát z(k) với giả thuyết Hj được tạo ra với một phân phối xác suất pj,
thuật toán SPRT có thể được mô tả bằng biểu thức sau:
1
0
( ( ))
( 1) log ( )
( ( ))
inf {n:S(n) [ , ]}
n
p z k
s k S k
p z k
N L U
(4)
Bắt đầu với S(0) = 0. SPRT quyết định quy luật dN được định nghĩa như sau:
1
0
if ( )
if ( )N
H S n U
d
H S n L
(5)
Với ln
1
b
L
a
,
1
ln
b
U
a
, a là xác suất cảnh báo sai và b là xác suất phát hiện
nhầm (thường chọn các giá trị này rất nhỏ), nN được xác định trong (4).
2.3.2. Phát hiện thay đổi
Mục đích của bài toán phát hiện thay đổi là phát hiện ra thay đổi có thể tại một
thời điểm không biết trước ks. Thống kê CUSUM (Cumulative Sum) và thống kê
Shiryaev-Roberts là hai thuật toán được sử dụng phổ biến nhất trong bài toán phát
hiện thay đổi. Trong phần này, chúng tôi sử dụng thống kê CUSUM bởi vì nó rất
đơn giản với SPRT.
Cho trước tỉ lệ cảnh báo sai cố định, thuật toán cố gắng tối thiểu thời gian N
(với N>ks) để dừng kiểm tra và quyết định là đã có thay đổi. Đặt S(0) = 0. Thống
kê CUSUM được nâng cấp như sau:
Nghiên cứu khoa học công nghệ
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 83
1
0
( ( ))
( 1) log ( )
( ( ))
p z k
S k S k
p z k
(6)
Với (a)+ = a nếu a ≥ 0 và bằng 0 trong các trường hợp còn lại. Thời gian dừng sẽ
là: inf { : ( ) }
n
N n S n (7)
Với một ngưỡng cho trước được lựa chọn dựa trên ràng buộc cảnh báo sai.
Chúng tôi sử dụng thuật toán CUSUM là một thử nghiệm SPRT với L=0, U=
và phép thống kê đạt được ngưỡng thấp hơn L sẽ bắt đầu lại. Chúng tôi mô tả sao
cho phù hợp với các kết quả về lý thuyết phát hiện thay đổi đối với bài toán cụ thể
trong việc phát hiện các bộ cảm biến bị tấn công. Tiếp theo chúng tôi sử dụng chỉ
số dưới i để ký hiệu chỉ số tuần tự tương ứng với bộ cảm biến i.
Một vấn đề phát sinh mà chúng tôi có được trong trường hợp này là chúng tôi
không biết phân phối xác suất của tấn công p1. Nói chung, đối phương có thể phát
hiện bất kỳ bất thường nào dãy không cố định zi(k). Giả sử cố định p1 sẽ giới hạn
khả năng của chúng ta để phát hiện ra một dải các tấn công.
Để tránh đưa ra những thừa nhận về phân phối xác suất của kẻ tấn công, chúng
tôi sử dụng ý tưởng xuất phát từ thống kê phi tham số. Chúng tôi không đặt giả
thiết phân phối xác suất với p1 và p0; thay vào đó là chỉ các giàng buộc ở giữa
trong chuỗi quan sát. Một trong những giàng buộc đơn giản là giả sử giá trị mong
đợi của quá trình ngẫu nhiên Zi(k) mà tạo ra chuỗi zi(k) với giả thuyết H0 nhỏ hơn 0
( 0 0iZ ) và giá trị mong đợi của Zi(k) với giả thuyết H1 lớn hơn 0 ( 1 0iZ ).
Để đạt được các điều kiện này cần xác định ˆ( ) ( ) ( )i i i iz k y k y k b (8)
Với bi là hằng số dương nhỏ được chọn sao cho
0 ˆ( ) ( ) 0i i iy k y k b (9)
Thống kê CUSUM phi tham số với bộ cảm biến i là:
( ) ( ( 1) ( )) , (0) 0i i i iS k S k z k S
(10)
Và quy luật quyết định tương ứng là
1,
0
if ( )
( ( ))
i i
N i i
H S k
d d S k
H otherwise
(11)
Với τi là ngưỡng được chọn dựa trên tỷ lệ cảnh báo sai với bộ cảm biến i.
Theo [10], chúng ta thấy hai kết quả quan trọng của phương trình (10)-(11) đó là:
- Xác suất cảnh báo sai giảm theo hàm mũ.
- Thời gian phát hiện tấn công (Ni − ks,i)
+ là tỷ lệ nghịch với bi.
2.4. Tấn công lén lút
Vấn đề cơ bản trong phát hiện xâm nhập là sự hiện diện của những đối thủ cạnh
tranh cố gắng vượt qua lược đồ phát hiện; Vì vậy, chúng tôi coi như đối phương
biết về lược đồ phát hiện bất thường của chúng tôi. Chúng tôi đưa ra giải pháp để
đảm bảo trong mô hình của chúng tôi bằng giả thiết kẻ tấn công rất mạnh với sự
hiểu biết về: (1) mô hình tuyến tính chính xác mà chúng tôi sử dụng (chẳng hạn
các ma trận A, B và C), (2) các tham số (τi và bi), và (3) các tín hiệu điều khiển.
Mục đích của kẻ tấn công là tạo ra sức ép trong thùng chứa mà không bị phát
hiện. Chúng tôi xây dựng mô hình 3 loại tấn công: tấn công lén lút, tấn công độ
Công nghệ thông tin & Khoa học máy tính
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 84
lệch, tấn công hình học. Mô hình tấn công lén lút[13], các kẻ tấn công muốn đạt
được sự phá hủy tối đa ngay khi chúng truy cập được vào hệ thống. Mô hình tấn
công độ lệch, các kẻ tấn công cố gắng thay đổi hệ thống một cách rời rạc bằng
cách thêm vào những xáo trộn nhỏ trong một khoảng thời gian lớn. Cuối cùng, mô
hình tấn công hình học, các kẻ tấn công cố gắng dịch các hành vi của hệ thống rất
rời rạc tại thời điểm bắt đầu tấn công và tiếp theo phá hủy tối đa sau đó hệ thống sẽ
bị chuyển sang trạng thái hoàn toàn mất kiểm soát.
2.5. Tấn công đột biến
Trong tấn công đột biến, đối phương cố gắng phá hủy lớn nhất có thể, nhưng
khi việc thống kê đạt ngưỡng, nó sẽ duy trì tại mức ngưỡng: Si(k) = τ trong phần
thời gian còn lại của cuộc tấn công. Để lưu lại ở ngưỡng đó, kẻ tấn công cần giải
phương trình toàn phương sau:
2
ˆ( ) ( ) ( )i i i i iS k y k y k b (12)
Kết quả tấn công (với y2 và y1) là:
min if S ( 1)
( )
ˆ ( ) ( ) if ( 1)
i i i
i
i i i i i i
y k
y k
y k b S k S k
(13)
Với y3 sử dụng:
3
3 3
min
3 3
3
3 3 3 3
if S ( )
( )
ˆ ( ) ( ) if ( )
y
y y
y k
y k
y k b S k S k
(14)
2.6. Tấn công độ lệch
Trong tấn công độ lệch, kẻ tấn công thêm một hằng số nhỏ ci tại mỗi bước.
, ,ˆi k i k i iy y c Y (15)
Trong trường hợp này, thống kê phi tham số CUSUM có thể được viết như sau:
1
0
ˆ( ) ( ) ( )
n
i i i i
k
S n y k y k nb
(16)
Giả sử kẻ tấn công bắt đầu tại thời điểm k = 0 và kẻ tấn công muốn không bị
phát hiện trong thời gian n bước, kẻ tấn công cần giải phương trình sau:
1
0
n
i i i
k
c nb
(17)
Cho nên ci = τi/n + b. Tấn công này tạo ra một độ lệch τi/n + b với mỗi tín hiệu
tấn công. Biểu thức này cho thấy những giới hạn của kẻ tấn công. Nếu kẻ tấn công
muốn phá hủy tối đa (độ lệch của một tín hiệu tối đa), kẻ tấn công cần chọn n nhỏ
nhất. Bởi vì i iy Y tấn công này làm giảm một cuộc tấn công xung lực. Nếu kẻ
tấn công muốn tấn công trong thời gian dài thì n sẽ rất lớn. Nếu n rất lớn thì độ
lệch sẽ nhỏ hơn.
2.7. Tấn công hình học
Trong tấn công hình học, kẻ tấn công muốn kéo giá trị xuống rất thấp tại thời
điểm bắt đầu tấn công và phá hủy tối đa khi kết thúc tấn công. Tấn công này kết
hợp kéo khởi tạo của tấn công độ lệch xuống thấp với tấn công đột biến tại thời
điểm kết thúc tấn công để tăng mức phá hủy lên cao nhất.
Nghiên cứu khoa học công nghệ
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 85
Cho α ∈ (0, 1). Tấn công là: ˆ( ) ( )
n k
i i i iy k y k
(18)
Tiếp theo tính và thỏa mãn Si(n) = τi.
Giả sử quá trình tấn công bắt đầu tại thời điểm k = 0 và kẻ tấn công muốn không
bị phát hiện với n bước. Kẻ tấn công cần giải phương trình sau:
1
0
n
n k
i i i i
k
nb
(19)
Việc bổ sung này là một cấp số nhân.
1 1
1
1
0 0
1
( )
1
nn n
n k n k i
i i i i i i
k k i
(20)
Bằng cách cố định , kẻ tấn công có thể chọn xấp xỉ thỏa mãn biểu thức trên.
3. ỨNG PHÓ VỚI TẤN CÔNG
Một thế trận an toàn toàn diện với bất kỳ hệ thống nào nên gồm các nguyên tắc
ngăn chặn, phát hiện và ứng phó với các tấn công. Ứng phó tự động với các tấn
công máy tính là một trong những bài toán cơ bản trong an toàn thông tin. Trong
khi hầu hết các kết quả nghiên cứu tìm thấy trong các công trình nghiên cứu hướng
đến ngăn chặn (xác thực, điều khiển truy cập, mật mã, ...) hoặc phát hiện (các hệ
thống phát hiện xâm nhập), trong thực tế có khá nhiều nguyên tắc ứng phó.
( )y k
ˆ( )y k
Hình 2. Mô hình phát hiện tấn công đề xuất.
Chúng tôi xây dựng một mô-đun ước tính cho trạng thái của hệ thống (theo mô
hình tuyến tính) và một chiến lược ứng phó phù hợp cho hệ thống điều khiển sử
dụng ước tính này theo phương pháp thống kê. Với giải pháp này khi phát hiện bất
thường thì hệ thống sẽ tự bật báo động (hình 2). Với bộ cảm biến i, nếu Si(k) > τi,
mô-đun phát hiện thay đổi CDM (Change Detection Module) sử dụng phương
pháp phát hiện thay đổi trong phần 2.3 thay thế tất cả các số đo bộ cảm biến ( )iy k
bằng các số đo được tạo ra bởi mô hình tuyến tính ˆ ( )iy k (tức là bộ điều khiển sẽ
nhận đầu vào ˆ ( )iy k thay vì nhận ( )iy k ). Mặt khác, nó xem ( )iy k như là tín hiệu
chính xác của bộ cảm biến.
Trong kiến trúc phát hiện và phản ứng đề xuất trong hình 2, chúng tôi hy vọng
nếu có một cảnh báo sai, việc điều khiển hệ thống bằng cách sử dụng các giá trị ước
tính từ hệ thống tuyến tính sẽ không gây ra bất kỳ sự mất an toàn hệ thống nào.
Công nghệ thông tin & Khoa học máy tính
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 86
Hình 3. Không có mô-đun phát hiện thay đổi.
Hình 4. Mô-đun phát hiện tấn công thay đổi
và ứng phó với tấn công tại thời điểm t=5,1.
Nguyên tắc phản ứng tự động làm việc tốt khi chúng tôi thực hiện tấn công (với
2 20.5*y y .) Hình 3 và hình 4 cho thấy khi phát hiện tấn công, chiến lược phản
ứng sẽ được sử dụng để giữ cho hệ thống an toàn. Kết quả tương tự nhận được với
tất cả các tấn công có thể phát hiện được. Mặc dù cơ chế phản ứng tấn công là một
giải pháp tốt khi các cảnh báo thực sự là dấu hiệu của cuộc tấn công, lo ngại chính
của chúng tôi trong phần này là chi phí của các cảnh báo sai.
Mặc dù cơ chế phản ứng tấn công thực hiện tốt khi các cảnh báo thực sự xác
định dấu hiệu của các tấn công, mối quan tâm chính của chúng tôi là chi phí cảnh
báo sai. Để giải quyết mối quan tâm này chúng tôi thực hiện lại kịch bản mô phỏng
với các tham số
1
5,y 2 1000,y 3 20y hệ thống của chúng tôi không phát hiện
bất kỳ cảnh báo sai nào; vì vậy chúng tôi quyết định giảm các ngưỡng xuống thành
1
1,y 2 100,y 3 2y và thực hiện tương tự. Chúng tôi thấy rằng trong khi cơ
chế phản ứng lỗi làm tăng áp suất trong bể chưa, nó không bao giờ đạt đến các
mức không an toàn. Áp suất tối đa thu được trong quá trình điều khiển hệ thống
dựa trên mô hình tuyến tính là 248kPa, có cùng độ lớn với những thay đổi bình
thường của áp suất không có bất kỳ cảnh báo sai nào (246kPa).
Trong nghiên cứu của chúng tôi, ngay khi hệ thống được duy trì ở mức an toàn
bằng phản ứng tự động, chiến lược phản ứng của chúng tôi chỉ là một giải pháp
tạm thời trước khi người vận hành có thể phản ứng với những cảnh báo đó. Dựa
trên những kết quả này chúng tôi hy vọng có đủ thời gian để con người có thể kịp
thời phản ứng với những hiểm họa lớn.
Nghiên cứu khoa học công nghệ
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 87
4. KẾT LUẬN
Trong bài báo này, chúng tôi nhận thấy một số thách thức nghiên cứu để đảm
bảo an toàn trong hệ thống điều khiển cũng như trong mạng ĐHGSCN. Bằng cách
kết hợp một mô hình vật lý của hệ thống, chúng ta có thể xác định các bộ cảm biến
quan trọng nhất và các cuộc tấn công. Chúng tôi đề xuất sử dụng các cơ chế phản
ứng tự động dựa trên những ước tính trạng thái của hệ thống. Phản ứng tự động có
thể gặp một số vấn đề trong một số trường hợp (đặc biệt nếu việc phản ứng với
một cảnh báo sai phải chi phí tốn kém); Vì vậy, chúng tôi muốn nhấn mạnh cơ chế
phả ứng tự động nên được coi là một giải pháp tạm thời trước khi con người được
điều động đến để điều tra cảnh báo đó. Một biện pháp triển khai đầy đủ với bất kỳ
cơ chế phản ứng nào nên đi vào xem xét lượng thời gian phù hợp để người vận
hành phản ứng với cảnh báo và khả năng hiệu quả của phản ứng với cảnh báo sai.
Tuy nhiên, với hệ thống điều khiển quy mô lớn thì việc thiết kế thường không
linh hoạt và có thể trở thành mục tiêu của các tấn công tiềm tàng nếu khả năng
phục hồi không được xây dựng ngay trong việc thiết kế từ vị trí đầu tiên. Vì vậy, ý
tưởng của chúng tôi liên quan tới tất cả các khía cạnh an toàn trong vận hành cho
đến khi có cách thiết kế bài bản với tất cả các tình huống tấn công vào cấu trúc và
thuật toán điều khiển.
TÀI LIỆU THAM KHẢO
[1]. Quin, S. J. and Badgwell, T. A., “A survey of industrial model predictive
control technology”, Control Engineering Practice 11(7), 2003, pp.733-764.
[2]. Rawlings, J., “Tutorial overview of model predictive control”, Control
Systems Maga-zine, IEEE 20(3), 2000, pp.38–52.
[3]. Denning, D., “An intrusion-detection model”, Software Engineering, IEEE
Transac- tions on SE-13(2), 1987, pp.222–232.
[4]. Kailath, T. and Poor, H. V., “Detection of stochastic processes”, IEEE
Transactions on Information Theory 44(6), 1998, pp.2230–2258.
[5]. Wald, A., “Sequential Analysis”, J. Wiley & Sons, New York, NY, 1947.
[6]. Jung, J., Paxson, V., Berger, A. and Balakrishan, H., “Fast portscan
detection using sequential hypothesis testing”, in Proceedings of the 2004
IEEE Symposium on Security and Privacy, 2004, pp. 211–225.
[7]. Schechter, S. and Berger, J. J. A., “Fast detection of scanning worm
infections”, in ‘Proc. of the Seventh International Symposium on Recent
Advances in Intrusion Detection (RAID)’, 2004.
[8]. Xie, M., Yin, H. andWang, H., “An effective defense against email spam
laundering”, in Proceedings of the 13th ACM Conference on Computer and
Communications Security, 2006, pp. 179–190.
[9]. Gu, G., Zhang, J. and Lee, W., “Botsniffer: Detecting botnet command and
control channels in network traffic”, in Proceedings of the 15th Annual
Network and Distributed System Security Symposium (NDSS’08), San
Diego, CA, 2008.
[10]. Brodsky, B. and Darkhovsky, B., “Non-Parametric Methods in Change-
Point Problems”, Kluwer Academic Publishers, 1993.
Công nghệ thông tin & Khoa học máy tính
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 88
[11]. Ricker, N., “Model predictive control of a continuous, nonlinear, two-phase
reactor”, Journal of Process Control 3(2), 1993, pp. 109–123.
[12]. Bedjaoui, N. and Weyer, E., “Algorithms for leak detection, estimation,
isolation and localization in open water channels”, Control Engineering
Practice (forthcoming), 2011.
[13]. Amin, S., Litrico, X., Sastry, S. and Bayen, A., “Stealthy deception attacks
on water SCADA systems”, in Proc. 13th ACM International Conference on
Hybrid Systems: Computation and Control, pp. 161–170, 2010.
[14]. Alpcan, T. and Basar, T., “Network Security: A Decision and Game
Theoretic Approach”, Cambridge University Press, Philadelphia, 2011.
ABSTRACT
A DETECTION METHOD OF ATTACKING ON THE NETWORKED
INDUSTRIAL SUPERVISOR AND MONITOR SYSTEM
The articale proposes the use of physical models to detect anomalies in
networked industrial supervisory and control system. First of all, we
analyzes some types of attack on the networked industrial supervisor and the
control system, then we proposed solutions combining linear model to
estimate signal with two sequential and change detection solutions in
information controls to prevent the attacks, the human operatiors have
enough time to intervene or response with disasters that may occur.
Keywords: Linear model, Control system, Stealthy attack, Geometric attack, Bias attack.
Nhận bài ngày 11 tháng 05 năm 2016
Hoàn thiện ngày 12 tháng 08 năm 2016
Chấp nhận đăng ngày 17 tháng 08 năm 2016
Địa chỉ: 1 Học viện Kỹ thuật Mật mã – Ban Cơ yếu chính phủ;
2 Viện Công nghệ thông tin – Viện KH-CN quân sự.
* Email: truongnguyendaoact@hotmail.com
Các file đính kèm theo tài liệu này:
- 9_2071_2150287.pdf