Nghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệp

Nghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệp

2

LỜI CAM ĐOAN

Tôi xin cam đoan bản luận án này là công trình nghiên cứu của riêng tôi Nội dung, các số liệu và kết quả nghiên cứu, trình bày trong luận án này là hoàn toàn trung thực và chưa được tác giả khác công bố

Hà Nội, ngày 15 tháng 5 năm 2024 Tập thể hướng dẫn

1

LỜI CAM ĐOAN

Tôi xin cam đoan bản luận án này là công trình nghiên cứu của riêng tôi Nội dung, các số liệu và kết quả nghiên cứu, trình bày trong luận án này là hoàn toàn trung thực và chưa được tác giả khác công bố

Hà Nội, ngày 15 tháng 5 năm 2024 Tập thể hướng dẫn

2

LỜI CẢM ƠN

Tôi xin bày tỏ lòng biết ơn sâu sắc đến tập thể hướng dẫn, những người Thầy, người

Cô đã tận tình hướng dẫn, chỉ bảo để tôi hoàn thành luận án

Tôi xin trân trọng cảm ơn Ban Đào tạo, tập thể Khoa Tự động hóa, Trường Điện – Điện tử của Đại học Bách Khoa Hà Nội đã tạo điều kiện thuận lợi giúp đỡ tôi trong suốt thời gian học tập, nghiên cứu

Tôi xin trân trọng cảm ơn Ban giám hiệu, tập thể cán bộ quản lý, tập thể giảng viên khoa Điện-TĐH, trường Đại học Kinh tế Kỹ thuật Công nghiệp đã hỗ trợ để tôi thêm động lực phấn đấu, hoàn thành nhiệm vụ được giao

Tôi xin trân trọng cảm ơn các chuyên gia đã dành thời gian đọc và góp ý luận án cho tôi

Xin được gửi lời cảm ơn tới gia đình, người thân, vợ, các con luôn bên cạnh, thông cảm và ủng hộ tôi bằng tình yêu thương vô điều kiện

Hà Nội, ngày 15 tháng 5 năm 2024

Tác giả luận án

Nguyễn Đức Dương

3

MỤC LỤC

LỜI CAM ĐOAN 1

LỜI CẢM ƠN 1

MỤC LỤC 3

DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT 6

DANH MỤC CÁC BẢNG 9

DANH MỤC CÁC HÌNH VẼ 10

MỞ ĐẦU 13

CHƯƠNG 1 TỔNG QUAN VẤN ĐỀ AN TOÀN THÔNG TIN TRONG HỆ THỐNG ĐIỀU KHIỂN CÔNG NGHIỆP 18

1.1 Tổng quan về hệ thống điều khiển công nghiệp 18

1.1.1 Cấp giám sát điều khiển 18

1.1.2 Cấp điều khiển 19

1.1.3 Cấp chấp hành 20

1.1.4 Mạng truyền thông 21

1.2 Vấn đề an toàn thông tin trong hệ thống điều khiển công nghiệp 21

1.2.1 Một số cuộc tấn công hệ thống điều khiển công nghiệp 22

1.2.2 Các điểm tấn công 26

1.2.3 Một số lỗ hổng dễ bị tấn công 27

1.3 Các dạng tấn công điển hình và phân loại 29

1.3.1 Tấn công từ chối dịch vụ - DoS 30

1.3.2 Tấn công từ chối dịch vụ phân tán - DDoS 30

1.3.3 Tấn công tính toàn vẹn 32

1.4 Kết luận chương 1 35

CHƯƠNG 2 TỔNG QUAN TẤN CÔNG TUYẾN TÍNH VÀ MỘT SỐ PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TÍNH TOÀN VẸN DỮ LIỆU 36

2.1 Tổng quan về tấn công tuyến tính 36

2.1.1 Mô hình đối tượng 36

2.1.2 Bộ ước lượng từ xa 37

2.1.3 Chiến lược tấn công tuyến tính 38

2.2 Đánh giá mức độ ảnh hưởng của tấn công tuyến tính lên hệ thống so với một số dạng tấn công khác 44

2.2.1 Đánh giá mức độ ảnh hưởng của tấn công tuyến tính thông qua hiệp phương sai của sai số ước lượng trong bộ ước lượng từ xa 44

2.2.2 Kiểm chứng bằng mô phỏng 46

2.3 Phương pháp phát hiện tấn công Kullback - Leibler 49

2.4 Tổng quan một số phương pháp phát hiện tấn công tính toàn vẹn dữ liệu 51

2.4.1 Phương pháp FSS 52

4

2.4.2 Phương pháp CHI-SQUARED 54

2.4.3 Phương pháp CUSUM 55

2.4.4 Phương pháp WL CUSUM 57

2.4.5 Phương pháp FMA 58

2.5 Kết luận chương 2 60

CHƯƠNG 3 NGHIÊN CỨU KHẢ NĂNG PHÁT HIỆN TẤN CÔNG TUYẾN TÍNH CỦA CÁC PHƯƠNG PHÁP CHI-SQUARED, CUSUM, WL CUSUM, FMA 61

3.1 Đối tượng chịu tác động tấn công 61

3.1.1 Đối tượng thứ nhất - Khảo sát tác động của tấn công tuyến tính và phương pháp K-L 61

3.1.2 Đối tượng thứ hai - Khảo sát tác động của tấn công tuyến tính và phương pháp K-L 63

3.2 Kết quả mô phỏng và thảo luận với đối tượng thứ nhất - hệ thống MIMO 67

3.2.1 Đánh giá khả năng phát hiện tấn công tuyến tính của phương pháp CHI2, CUSUM, WL CUSUM, FMA với đối tượng thứ nhất 67

3.2.2 Các yếu tố ảnh hưởng đến khả năng phát hiện tấn công tuyến tính của phương pháp FMA với đối tượng thứ nhất 71

3.3 Phát hiện tấn công trên đối tượng thứ hai – bình trộn nhiệt 73

3.3.1 Đánh giá khả năng phát hiện tấn công tuyến tính của phương pháp CHI2, CUSUM, WL CUSUM, FMA với hệ thống bình trộn nhiệt 73

3.3.2 Các yếu tố ảnh hưởng đến khả năng phát hiện tấn công tuyến tính của phương pháp FMA với hệ thống bình trộn nhiệt 77

3.4 Khảo sát khoảng ngưỡng phát hiện tấn công tuyến tính của một số phương pháp 81 3.4.1 Khảo sát khoảng ngưỡng phát hiện tấn công tuyến tính trên đối tượng thứ hai - bình trộn nhiệt 81

3.4.2 Khảo sát khoảng ngưỡng phát hiện tấn công tuyến tính trên đối tượng thứ nhất 83

3.5 Tổng kết chương 3 83

CHƯƠNG 4 85

NGHIÊN CỨU, ÁP DỤNG KỸ THUẬT HỌC MÁY NHẰM NÂNG CAO CHẤT LƯỢNG NHẬN DẠNG XÂM NHẬP, TẤN CÔNG TÍNH TOÀN VẸN DỮ LIỆU VÀO HỆ THỐNG ĐIỀU KHIỂN CÔNG NGHIỆP 85

4.1 Bộ dữ liệu Đường ống dẫn khí của Turnipseed 85

4.2 Tổng quan một số kỹ thuật học máy 88

4.2.1 Các tiêu chí đánh giá 88

4.2.2 Một số mô hình phân lớp điển hình 89

4.2.3 Một số mô hình phân lớp sử dụng kiến trúc mạng nơron 90

5

4.3 Phát hiện tấn công trong hệ thống điều khiển công nghiệp sử dụng bộ dữ liệu Đường

ống dẫn khí Turnipseed và mạng nơ ron 90

4.3.1 Kiến trúc mô hình stacking với các mạng nơ ron 90

4.3.2 Mô hình nhận dạng với các mạng nơ ron 93

4.3.3 Kết quả dự đoán với các mạng nơ ron 95

4.4 Phát hiện tấn công trong hệ thống điều khiển công nghiệp sử dụng bộ dữ liệu đường ống dẫn khí Turnipseed và kỹ thuật học máy cơ bản 99

4.4.1 Kiến trúc mô hình stacking áp dụng kỹ thuật học máy cơ bản 99

4.4.2 Mô hình nhận dạng áp dụng kỹ thuật học máy cơ bản 101

4.4.3 Kết quả dự đoán áp dụng kỹ thuật học máy cơ bản 104

4.5 Kết luận chương 4 107

KẾT LUẬN VÀ KIẾN NGHỊ 109

TÀI LIỆU THAM KHẢO 111

DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN 116

PHỤ LỤC 117

6

DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT

Các ký hiệu

n k

x  vector trạng thái của hệ thống, với giá trị ban đầu

v  vector nhiễu của cảm biến

n k

w  vector nhiễu của quá trình

y ước lượng đầu ra (tín hiệu cảm biến)

K  AK biểu thị độ lợi của Kalman (hệ số cố định của bộ lọc

z ước lượng sai lệch tín hiệu đầu ra của cảm biến

P ước lượng hiệp phương sai (biến trạng thái của hệ thống)

ở trạng thái ổn định ,

Tr P vết của ma trận hiệp phương sai khi dữ liệu bị tấn công

h ngưỡng phát hiện tấn công của các phương pháp CHI2,

CUSUM, WL CUSUM, FMA

F1 lưu lượng thể tích của nước nóng (m3/h)

F2 lưu lượng thể tích của nước bổ sung (m3/h)

F3 lưu lượng thể tích của đầu ra (m3/h)

T nhiệt độ của nước trong bình trộn (oC)

H chiều cao mức nước bình trộn nhiệt (m)

Ρ khối lượng riêng của nước; ρ = 1000 (kg/m3)

V thể tích lượng nước trong bình trộn nhiệt

DoS Tấn công tự chối dịch vụ (Denial-of-Service)

DDoS Tấn công tự chối dịch vụ phân tán (Distributed Denial-of-Service)

SCADA Hệ thống điều khiển giám sát và thu thập dữ liệu (Supervisory Control

and Data Acquisition)

8

DCS Hệ thống điều khiển phân tán (Distributed Control System)

LATS Luận Án Tiến Sĩ

LLR Likelihood Ratio - Tỷ lệ thay đổi thực sự

FSS Phương pháp dò tìm mẫu cố định (Fixed Size Sample)

WL CUSUM Window Limited Cumulative SUM

FMA Finite Moving Average

GLR Phương pháp tỷ lệ hợp lý hóa tổng quát (Generalized Likelihood Ratio) WLR Weigted Likelihood Ratio

NMRI Tấn công chèn đáp ứng tinh vi (Complex Malicious Response

Injection) MSCI Tấn công thay đổi trạng thái (Malicious State Command Injection) MPCI Tấn công thay đổi thông số (Malicious Parameter Command Injection) MFCI Tấn công giả mạo mã hàm (Malicious Function Code Injection) Recon Tấn công do thám (Reconnaissance)

TP Số mẫu trong nhóm positive (1 - bị tấn công) được dự đoán đúng (True

Positives)

TN Số mẫu trong nhóm negative (0 - bình thường) được dự đoán đúng

(True Negatives)

FP Số mẫu trong nhóm negative (0 - bình thường) được dự đoán sai, tức

là được dự đoán nhầm sang nhóm positve (1 - bị tấn công) (False Positives)

FN Số mẫu trong nhóm positve (1 - bị tấn công) được dự đoán sai, tức là

được dự đoán nhầm sang nhóm negative (0 - bình thường) (False Negatives)

PDEs Partial Differential Equations - Phương trình vi phân từng phần

ANN Artificial Neural network – Mạng nơ ron nhân tạo

NN Neural network – Mạng nơ ron

MLP Multilayer Perceptron - Mạng nhiều lớp truyền thẳng

CNN Convolutional Neural Network - Mạng tích chập

LSTM Long-Short Term Memory - Mạng nơ ron với bộ nhớ ngắn hạn dài GRU Gated Recurrent Unit - Mạng hồi quy với nút

RNN Recurrent Neural Network - Mạng hồi quy

PLC Programmable Logic Controller - Bộ điều khiển logic lập trình

MTU Master Terminal Unit – Thiết bị đầu cuối chính

RTU Remote Terminal Unit – Thiết bị đầu cuối hiện trường

IDE Intelligent Electronic Device - thiết bị điện tử thông minh

DNP3 Distributed Network Protocol, version 3

WLAN Wireless Local Area Network

WiMAX Wireless Interoperability for Microwave Access

9

DANH MỤC CÁC BẢNG

Bảng 2.1 Bảng giá trị phân vị của luật Student 41Bảng 2.2 Bảng giá trị phân vị của luật Chi - squared 2 43Bảng 3.1 Khả năng phát hiện của CUSUM với  0 ,1 81Bảng 3.2 Ngưỡng phát hiện tấn công tuyến tính của CUSUM khi K-L bị vượt qua 82Bảng 4.1 Các thuộc tính của mỗi mẫu trong tập dữ liệu [25] 86Bảng 4.2 Mô tả các dạng tấn công khác nhau của tập dữ liệu 87Bảng 4.3 Ba dòng đầu bộ dữ liệu thô với 17 trường đặc trưng và 2 loại nhãn 87Bảng 4.4 Ba hàng đầu của tập dữ liệu thô sau khi áp dụng phương pháp "keep prior values" 87Bảng 4.5 Kết quả của từng bộ phân loại (mạng nơ ron) trong trường hợp phát hiện tấn công hai nhãn 93Bảng 4.6 Kết quả của từng bộ phân loại (mạng nơ ron) trong trường hợp phát hiện tấn công tám nhãn 94Bảng 4.7 Kết quả của mô hình xếp chồng trên bộ thử nghiệm khi phát hiện tấn công hai nhãn với bộ meta MLP 95Bảng 4.8 Kết quả của mô hình xếp chồng trên bộ thử nghiệm khi phát hiện tấn công tám nhãn với bộ meta MLP 95Bảng 4.9 Kết quả của mô hình xếp chồng trên bộ thử nghiệm khi phát hiện tấn công hai nhãn với bộ meta MLP kết hợp tinh chỉnh 96Bảng 4.10 Kết quả của mô hình xếp chồng trên bộ thử nghiệm khi phát hiện tấn công tám nhãn với bộ meta MLP kết hợp tinh chỉnh 96Bảng 4.11 Kết quả của mô hình xếp chồng trên bộ thử nghiệm khi phát hiện tấn công hai nhãn với các bộ meta khác nhau 97Bảng 4.12 Kết quả của mô hình xếp chồng trên bộ thử nghiệm khi phát hiện tấn công tám nhãn với với các bộ meta khác nhau 97Bảng 4.13 Kết quả của từng bộ phân loại trong trường hợp phát hiện tấn công hai nhãn 103Bảng 4.14 Kết quả của từng bộ phân loại trong trường hợp phát hiện tấn công 8 nhãn 104Bảng 4.15 Kết quả của mô hình xếp chồng trên bộ thử nghiệm khi phát hiện tấn công hai nhãn 104Bảng 4.16 Kết quả của mô hình xếp chồng trên bộ thử nghiệm khi phát hiện tấn công tám nhãn 105Bảng 4.17 Các kết quả so sánh mô hình đề xuất với các công trình khác gần đây 106

10

DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Cấu trúc điển hình của hệ thống 18

Hình 1.2 Các bước hoạt động của Stuxnet 24

Hình 1.3 Các điểm có khả năng bị tấn công trong hệ thống điều khiển 26

Hình 1.4 Một số dạng tấn công điển hình 29

Hình 1.5 Kiến trúc tấn công DDoS trực tiếp 31

Hình 2.1 Sơ đồ minh họa vị trí chịu tấn công tuyến tính 36

Hình 2.2 Phương pháp tạo phần dư bằng bộ lọc Kalman 38

Hình 2.3 Cơ chế hoạt động của bộ lọc Kalman 38

Hình 2.4 Đồ thị hàm mật độ của phân bố student 40

Hình 2.5 Đồ thị hàm mật độ của phân bố Chi - squared 2 42

Hình 2.6 Đường đặc tính của x x z zk, , ,ˆk k k với hệ thống ổn định 46

Hình 2.7 Đường đặc tính của ma trận hiệp phương sai P Pk, kvới hệ thống ổn định 47

Hình 2.8 Đường đặc tính của x x z zk, , ,ˆk k k với hệ thống không ổn định 48

Hình 2.9 Đường đặc tính của ma trận hiệp phương sai P Pk, kvới hệ thống không ổn định 49

Hình 2.10 Vấn đề phát hiện điểm thay đổi tuần tự 51

Hình 2.11 Các phương pháp phát hiện tấn công 52

Hình 2.12 Phương pháp phát hiện mẫu cố định (FSS) 53

Hình 2.13 Minh họa phương pháp CHI2 phát hiện dữ liệu bị tấn công 54

Hình 2.14 Minh họa phương pháp CUSUM phát hiện dữ liệu bị tấn công 55

Hình 2.15 Minh họa phương pháp WL CUSUM phát hiện dữ liệu bị tấn công 58

Hình 2.16 Minh họa phương pháp FMA phát hiện dữ liệu bị tấn công 59

Hình 3.1 Sơ đồ minh họa vị trí chịu tấn công tuyến tính trong hệ thống đối tượng 61

Hình 3.2 Quan hệ giữa các ngưỡng  (DELTA) và (MU) của đối tượng thứ nhất 62 Hình 3.3 Vết của ma trận hiệp phương sai khi bị tấn công tuyến tính 62

Hình 3.4 Sơ đồ công nghệ hệ thống bình trộn nhiệt 63

Hình 3.5 Sơ đồ đơn giản hóa bình trộn nhiệt 64

Hình 3.6 Các biến quá trình của bình trộn nhiệt đơn giản hóa 64

Hình 3.7 Vết của ma trận hiệp phương sai khi bị tấn công tuyến tính ở bình trộn nhiệt 67

Hình 3.8 Áp dụng các phương pháp CHI2, CUSUM, WL CUSUM, FMA để phát hiện tấn công tuyến tính trong hệ thống đối tượng 67

Hình 3.9 Khả năng phát hiện tấn công tuyến tính với ngưỡng   0,5 và h  0,1 68

Hình 3.10 Khả năng phát hiện tấn công tuyến tính với ngưỡng   0,5 và h  5, 3 69

Hình 3.11 Vấn đề phát hiện tấn công 69

Hình 3.12 Đánh giá khả năng phát hiện tấn công tuyến tính bằng các phương pháp khi K-L bị vượt qua với ngưỡng   2,5 70

11

Hình 3.13 Đánh giá hiệu suất phát hiện tấn công tuyến tính với các ngưỡng  bằng

phương pháp CHI2 và CUSUM 71

Hình 3.14 Đánh giá hiệu suất phát hiện tấn công tuyến tính với các ngưỡng  bằng phương pháp WL CUSUM và FMA 71

Hình 3.15 Ảnh hưởng của khoảng thời gian tấn công trong phương pháp FMA 72

Hình 3.16 Ảnh hưởng của các trọng số trong phương pháp FMA 72

Hình 3.17 Khả năng phát hiện tấn công tuyến tính ở hệ thống bình trộn nhiệt với ngưỡng 0,1   và h  0,1 73

Hình 3.18 Khả năng phát hiện tấn công tuyến tính ở hệ thống bình trộn nhiệt với ngưỡng 0,1   và h  3, 4 74

Hình 3.19 Đánh giá khả năng phát hiện tấn công tuyến tính ở hệ thống bình trộn nhiệt bằng các phương pháp khi K-L bị vượt qua với ngưỡng   0,1 75

Hình 3.20 Đánh giá khả năng phát hiện tấn công tuyến tính ở hệ thống bình trộn nhiệt bằng các phương pháp khi K-L bị vượt qua với ngưỡng   1, 0 75

Hình 3.20 Đánh giá khả năng phát hiện tấn công tuyến tính ở hệ thống bình trộn nhiệt bằng các phương pháp khi K-L bị vượt qua với ngưỡng   5,0 75

Hình 3.21 Đánh giá hiệu suất phát hiện tấn công tuyến tính ở hệ thống bình trộn nhiệt với các ngưỡng  bằng phương pháp CHI2 và CUSUM 76

Hình 3.22 Đánh giá hiệu suất phát hiện tấn công tuyến tính ở hệ thống bình trộn nhiệt với các ngưỡng  bằng phương pháp WL CUSUM và FMA 76

Hình 3.23 Ảnh hưởng của khoảng thời gian tấn công trong phương pháp FMA khi K-L bị vượt qua với ngưỡng   0,1 với hệ thống bình trộn nhiệt 77

Hình 3.24 Ảnh hưởng của khoảng thời gian tấn công trong phương pháp FMA khi K-L bị vượt qua với ngưỡng   1, 0 với hệ thống bình trộn nhiệt 78

Hình 3.25 Ảnh hưởng của các trọng số trong phương pháp FMA khi K-L bị vượt qua với ngưỡng   0,1 với hệ thống bình trộn nhiệt 78

Hình 3.26 Ảnh hưởng của các trọng số trong phương pháp FMA khi K-L bị vượt qua với ngưỡng  2.0 với hệ thống bình trộn nhiệt 79

Hình 3.27 Ảnh hưởng của các trọng số trong phương pháp FMA khi K-L bị vượt qua với ngưỡng   5,0 với hệ thống bình trộn nhiệt 80

Hình 3.28 Khả năng phát hiện tấn công tuyến tính bằng phương pháp CUSUM 82

Hình 3.28 Khả năng phát hiện tấn công tuyến tính bằng phương pháp CHI2 và CUSUM 83

Hình 4.1 Kiến trúc hệ thống tạo ra bộ dữ liệu của Turnipseed [25] 86

Hình 4.2 Phân loại các mô hình Ensemble 89

Hình 4.3 Kiến trúc mô hình stacking kết hợp các mạng nơ ron (mô hình 1) 91

Hình 4.4 Kỹ thuật tinh chỉnh 91

Hình 4.5 Kiến trúc mô hình stacking kết hợp các mạng nơ ron chi tiết (mô hình 1) 92

12

Hình 4.6 Đồ thị accuracy, loss theo epoch với mạng nơ ron MLP 93Hình 4.7 Kiến trúc mô hình stacking kết hợp các mạng nơ ron với bộ phân loại meta

RF (mô hình 1) 98Hình 4.8 Ma trận confusion cho bài toán phân loại hai nhãn (a) và bài toán phân loại đa lớp (b) với bộ phân loại meta RF 99Hình 4.9 Kiến trúc mô hình stacking (mô hình 2) 99Hình 4.10 Kiến trúc mô hình stacking chi tiết (mô hình 2) 101Hình 4.11 Kết quả phân loại các mô hình cấp một thông qua đánh giá mô hình cross-validation (CV) và tìm kiếm ngẫu nhiên, đối với 2 nhãn (a) và 8 nhãn (b) 102Hình 4.12 Kết quả phân loại các mô hình cấp meta thông qua đánh giá mô hình cross-validation (CV) và tìm kiếm ngẫu nhiên, đối với 2 nhãn (a) và 8 nhãn (b) 103Hình 4.13 Ma trận confusion cho bài toán phân loại nhị phân (a) và bài toán phân loại

đa lớp (b) 105Hình 4.14 Biểu đồ so sánh mô hình đề xuất với các công trình khác gần đây với bài toán phân loại nhị phân (hai nhãn) 106Hình 4.15 Biểu đồ so sánh mô hình đề xuất với các công trình khác gần đây với bài toán phân loại đa lớp (tám nhãn) 107

13

MỞ ĐẦU

Các hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA - Supervisory Control and Data Acquisition), hay các hệ thống điều khiển phân tán công nghiệp (DCS – Distributed Control System), gọi chung là các hệ thống điều khiển công nghiệp, là các

hệ thống được sử dụng để giám sát, điều khiển các trạm, hay nhà máy xí nghiệp công nghiệp với nhiều quy mô khác nhau Để thực hiện các chức năng của hệ thống, việc thu thập, truyền nhận và kiểm soát, đảm bảo tính toàn vẹn của dữ liệu là đặc biệt quan trọng Vấn đề an toàn thông tin nói chung và an toàn thông tin trong các hệ thống điều khiển công nghiệp thường có ba mục tiêu cơ bản: đảm bảo tính bí mật, đảm bảo tính nguyên vẹn, đảm bảo tính khả dụng hay sẵn sàng Việc nâng cao khả năng phát hiện tấn công tính toàn vẹn dữ liệu, do đó góp phần nâng cao mức an toàn thông tin trong các hệ thống điều khiển công nghiệp

Luận án này tập trung nghiên cứu một số khía cạnh về khả năng phát hiện tấn công tính toàn vẹn dữ liệu trong các hệ thống điều khiển công nghiệp, qua đó góp phần nâng cao an toàn thông tin trong hệ thống

1 Tính cấp thiết của đề tài

Từ những năm 80 của thế kỷ 19 cho đến nay, các hệ thống điều khiển công nghiệp

có thể bị tấn công phối hợp không chỉ trên cơ sở hạ tầng vật chất mà còn trên lớp truyền thông và trung tâm điều khiển, với nhiều điểm tấn công khác nhau [1], [2], [3], [4], [5], [6], [7], [8], [9], [10], [11], [12] Vì vậy, vấn đề đảm bảo an toàn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn

Hiện nay, có hai hướng nghiên cứu chính về đảm bảo an toàn thông tin trong các hệ thống điều khiển công nghiệp Hướng thứ nhất tập trung vào các thuật toán/ phương pháp phát hiện điểm bất thường của chuỗi dữ liệu truyền trong hệ thống Các phương pháp có thể kể đến bao gồm CHI2, CUSUM, FSS (Fixed-Size Sample), WL CUSUM (Window Limited Cumulative SUM), FMA (Finite Moving Average) – áp dụng khi biết thông số kỳ vọng, phương sai của hệ thống khi có thay đổi bất thường; hoặc GLR (Generalized Likelihood Ratio), WLR (Weighted Likelihood Ratio) khi chưa biết kỳ vọng, phương sai của hệ thống khi có thay đổi bất thường [13] Hướng thứ hai tập trung nâng cao khả năng phát hiện sai lệch dữ liệu trong cấp điều khiển, giám sát của các hệ thống điều khiển công nghiệp, sử dụng bộ dữ liệu mẫu mô phỏng các trường hợp bị tấn công điển hình Vấn đề này hiện đang nhận được nhiều sự quan tâm [14] Đối với vấn

đề phát hiện xâm nhập dữ liệu, các phương pháp học máy truyền thống [15], [16], [17], [18], [19], [20] và các kiến trúc mạng nơ ron học sâu (đối với các mảng dữ liệu lớn) [21], [22], [23], [24] đang được nghiên cứu khá rộng rãi Ngoài ra, nhiều nhóm cũng nỗ

và ngoài nước, do tính cần thiết của nó

2 Mục tiêu nghiên cứu

Mục tiêu của luận án là tập trung nghiên cứu một số khía cạnh của bài toán nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệp Trong đó, một trong các mục tiêu quan trọng là đánh giá được khả năng phát hiện tấn công làm thay đổi dữ liệu truyền từ cảm biến lên các bộ điều khiển, của một số phương pháp cho phép phát hiện bất thường trong chuỗi dữ liệu Đồng thời, luận án cũng hướng tới mục tiêu xây dựng được các mô hình nhận dạng hiệu quả, ứng dụng kỹ thuật học máy, nhằm nâng cao khả năng phát hiện và phân loại được một số dạng tấn công điển hình vào các hệ thống điều khiển công nghiệp Các nội dung nghiên cứu của luận án nhằm mục tiêu tiếp cận và so sánh được với các nghiên cứu quốc tế mới, đặt tiền đề cho các nghiên cứu triển khai thực tế trên các hệ thống thực

3 Đối tượng và phạm vi nghiên cứu

Hiện nay, có thể phân loại một số phương pháp tấn công điển hình vào các hệ thống điều khiển công nghiệp, đó là tấn công tính toàn vẹn của dữ liệu và tấn công từ chối dịch

vụ [4], [8], [13] Tấn công tính toàn vẹn dữ liệu nhằm vào dữ liệu truyền nhận giữa các lớp, hoặc trong các lớp mạng của hệ thống điều khiển, làm sai lệch thông tin hoặc chèn thông tin giả Luận án này giới hạn phạm vi nghiên cứu về một kiểu tấn công tính toàn vẹn dữ liệu, mới được công bố gần đây của nhóm nghiên cứu tại Đại học Công nghệ Hồng Kông [5], [6], [7], có tên gọi là tấn công tuyến tính Đây là phương pháp tấn công vào tính toàn vẹn dữ liệu ở cấp trường với độ nguy hiểm cao Nhóm nghiên cứu đã chỉ

ra rằng, thuật toán phát hiện tấn công K-L hoàn toàn có thể bị vượt qua với kiểu tấn công này [5] Đồng thời, cũng chưa có nghiên cứu nào chỉ ra được khả năng phát hiện tấn công tuyến tính Vì thế, nghiên cứu khả năng phát hiện tấn công loại này là một nội dung lớn trong luận án này

Bên cạnh đó, nhằm thực hiện mục tiêu đề xuất được các mô hình nhận dạng hiệu quả, cho phép phát hiện và phân loại một số dạng tấn công điển hình vào các hệ thống điều khiển công nghiệp, luận án này tiếp cận bộ dữ liệu quốc tế duy nhất (bộ dữ liệu

15

đường ống dẫn khí Turnipseed), được công bố công khai, về các cuộc tấn công làm sai lệch dữ liệu trong các hệ thống mạng truyền thông công nghiệp, do phòng thí nghiệm SCADA của Đại học bang Mississippi, Hoa Kỳ, nghiên cứu và công bố vào năm 2015 [25] Dựa trên bộ dữ liệu này, khá nhiều phương pháp đã được đề xuất nhằm nâng cao khả năng phát hiện các xâm nhập Cũng trên bộ dữ liệu này, luận án tập trung nghiên cứu, đề xuất một mô hình nhận dạng mới, cho phép nâng cao chất lượng phát hiện các loại tấn công vào hệ thống khi so với các công bố trước đây

4 Ý nghĩa khoa học và thực tiễn của đề tài

Trong phạm vi nghiên cứu của luận án, tác giả đã trình bày các nghiên cứu về ảnh hưởng của tấn công tuyến tính tới tính toàn vẹn dữ liệu trong hệ thống điều khiển công nghiệp, từ đó nghiên cứu các phương pháp dò tìm, phát hiện tấn công tính toàn vẹn của

dữ liệu bao gồm FSS, CHI2, CUSUM, WL CUSUM hay FMA Các kết quả nghiên cứu chỉ ra rằng, có thể sử dụng phương pháp CHI2, CUSUM, WL CUSUM hay FMA như một tầng phát hiện phía sau trong chuỗi các kỹ thuật được áp dụng, để đảm bảo tính toàn vẹn dữ liệu của các hệ thống điều khiển công nghiệp

Luận án cũng đã thực hiện nghiên cứu trên bộ dữ liệu quốc tế lớn, đề xuất hướng tiếp cận dùng kỹ thuật học máy để nâng cao chất lượng nhận dạng xâm nhập, tấn công tính toàn dữ liệu của hệ thống mạng công nghiệp

Các nội dung nghiên cứu trong luận án, do đó, có ý nghĩa về mặt khoa học và thực tiễn, đảm bảo tính mới và riêng biệt, góp phần làm phong phú thêm các phương pháp tiếp cận, nhằm nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệp

5 Tính mới của đề tài

Đề tài có điểm mới khi thực hiện nghiên cứu khả năng phát hiện tấn công tuyến tính

- một hình thức tấn công mới vào tính toàn vẹn dữ liệu trong các hệ thống điều khiển công nghiệp Trong nội dung này, một số phương pháp phát hiện bất thường trong chuỗi

dữ liệu sẽ được nghiên cứu và đánh giá khả năng phát hiện tấn công tuyến tính của những phương pháp đó

Luận án cũng nghiên cứu, đề xuất một mô hình nhận dạng kết hợp cho phép nâng cao chất lượng nhận dạng các kiểu tấn công tính toàn vẹn dữ liệu vào hệ SCADA, sử dụng bộ dữ liệu quốc tế đường ống dẫn khí Turnipseed

Các nội dung nghiên cứu thực hiện trong luận án là mới, các kết quả đạt được theo hai nội dung nghiên cứu chính trong luận án này, sẽ có đóng góp trong việc nâng cao khả năng phát hiện xâm nhập, tấn công vào tính toàn vẹn dữ liệu trong các hệ thống điều khiển công nghiệp, qua đó góp phần nâng cao an toàn thông tin trong hệ thống

16

6 Bố cục luận án

Chương 1 Tổng quan vấn đề an ninh trong hệ thống điều khiển công nghiệp Giới thiệu cấu trúc hệ thống điều khiển công nghiệp Liệt kê một số sự kiện tấn công hệ thống điều khiển công nghiệp Giới thiệu các điểm có khả năng bị tấn công trong hệ thống điều khiển công nghiệp và một số lỗ hổng dễ bị tấn công Giới thiệu một số dạng tấn công điển hình Nội dung này cũng cho thấy tình hình nghiên cứu về an ninh trong hệ thống điều khiển công nghiệp hiện nay và đưa ra hướng nghiên cứu cho luận án

Chương 2 Tổng quan tấn công tuyến tính và một số phương pháp phát hiện tấn công tính toàn vẹn dữ liệu Tấn công tuyến tính là loại tấn công mới, được mô tả bằng phương trình zk Tkzk bk, với m m

k

T   là ma trận tùy ý; bk  0,k là biến ngẫu nhiên dạng Gaussian Tấn công tuyến tính sẽ tối ưu khi Tk  I b, k 0, gây ra sai lệch tín hiệu lớn hơn nhiều so với với tấn công từ chối dịch vụ (DoS) và một số tấn công khác Luôn tồn tại khả năng để tấn công tuyến tính có thể vượt qua phương pháp phát hiện sai lệch dữ liệu K-L Tổng quan một số phương pháp dò tìm, phát hiện tấn công toàn vẹn dữ liệu (FSS, CHI2, CUSUM, WL CUSUM, FMA)

Chương 3 Nghiên cứu khả năng phát hiện tấn công tuyến tính của các phương pháp Chi-squared, CUSUM, WL CUSUM, FMA Các phân tích trong chương này đã chỉ ra rằng tồn tại khả năng phát hiện tấn công tuyến tính của phương pháp WL CUSUM, FMA, CUSUM và CHI2, khi kiểu tấn công này vượt qua phương pháp độ chênh K – L Đối tượng thử nghiệm là mô hình không gian trạng thái trong miền rời rạc với các thông

số chưa biết và nhiễu ngẫu nhiên Phương pháp tạo phần dư truyền thống (bộ lọc Kalman) cũng được sử dụng Các phương pháp WL CUSUM và FMA sử dụng chuỗi các phần dư này để xác định thời điểm phát hiện tấn công tuyến tính Các kết quả mô phỏng cũng đồng thời chỉ ra rằng, có thể sử dụng phương pháp WL CUSUM, FMA, CUSUM hay CHI2 như một tầng phát hiện phía sau trong chuỗi các kỹ thuật được áp dụng để đảm bảo tính toàn vẹn dữ liệu của các hệ thống điều khiển công nghiệp Ngoài

ra, phân tích các kết quả mô phỏng cũng cho thấy khả năng phát hiện tấn công tuyến tính của phương pháp FMA tốt hơn so với phương pháp CHI2, CUSUM, WL CUSUM Nội dung này cũng phân tích ảnh hưởng của các trọng số  và khoảng thời gian tấn công

L đến khả năng phát hiện tấn công tuyến tính của phương pháp FMA Đồng thời trong chương 3, tác giả cũng tìm ra ngưỡng phát hiện tấn công tuyến tính của các phương pháp CUSUM, CHI2 khi phương pháp K-L bị vượt qua

Chương 4 Nghiên cứu, áp dụng kỹ thuật học máy nhằm nâng cao chất lượng nhận dạng xâm nhập, tấn công tính toàn vẹn dữ liệu vào hệ thống điều khiển công nghiệp Trong chương này, tác giả đề xuất một dạng mô hình xếp chồng để cải thiện chất lượng

17

trong việc phát hiện sự xâm nhập của một số dạng tấn công trong các hệ thống SCADA,

sử dụng bộ dữ liệu quốc tế Turnipseed – bộ dữ liệu mới và toàn diện nhất tính tới thời điểm hiện tại Lớp đầu tiên của mô hình được đề xuất là sự kết hợp của các mô hình Random Forest, Light Boosting Gradient Machine, và eXtreme Gradient Boosting Tác giả dùng một mạng đa tầng MLP làm lớp phân loại meta cho mô hình Mô hình đề xuất

đã được tối ưu hóa và thử nghiệm trên bộ dữ liệu quốc tế (bộ dữ liệu đường ống dẫn khí) Kết quả thử nghiệm có độ chính xác lần lượt là 99,72% và 99,62%, tương ứng trường hợp phát hiện tấn công phân loại nhị phân (hai nhãn) và phân loại đa lớp (tám nhãn)

18

CHƯƠNG 1 TỔNG QUAN VẤN ĐỀ AN TOÀN THÔNG TIN TRONG

HỆ THỐNG ĐIỀU KHIỂN CÔNG NGHIỆP

Chương 1 giới thiệu cấu trúc điển hình của các hệ thống điều khiển công nghiệp;

điểm qua một số sự kiện tấn công hệ thống điều khiển công nghiệp; liệt kê các điểm có

khả năng bị tấn công trong hệ thống điều khiển công nghiệp và một số lỗ hổng dễ bị tấn

công; giới thiệu một số dạng tấn công điển hình; tổng hợp tình hình nghiên cứu về an

toàn thông tin trong hệ thống điều khiển công nghiệp hiện nay và đưa ra hướng nghiên

cứu cho luận án

1.1 Tổng quan về hệ thống điều khiển công nghiệp

Kiến trúc của một hệ thống điều khiển công nghiệp bao gồm ba cấp chính: cấp

giám sát điều khiển, cấp điều khiển tự động và cấp chấp hành (hình 1.1) [28]

Hình 1.1 Cấu trúc điển hình của hệ thống 1.1.1 Cấp giám sát điều khiển

SCADA server: kiểm soát, giám sát hoạt động của toàn hệ thống

Communication server: trao đổi dữ liệu giữa trung tâm điều khiển và các lớp dưới,

là giao diện với các gói phần mềm khác nhau để truy cập dữ liệu từ các thiết bị

trường như các bộ PLC (Programable Logic Controller), các MTU (Master

Terminal Unit), các RTU (Remote Terminal Unit)

19

Builder server: dùng để tải chương trình xuống các thiết bị điều khiển hay gỡ bỏ chương trình của các thiết bị hiện trường như các bộ PLC, các MTU, các RTU thông qua Ethernet hoặc cáp nối tiếp, ví dụ gói phần mềm WinCC/ STEP7 của Siemens

Diagnostic server: để phát hiện các xâm nhập, các tình huống bất thường, các lỗi, các cuộc tấn công vào hệ thống

Application server: khung phần mềm giúp việc phát triển và thực hiện các ứng dụng bổ sung cho hoạt động của hệ thống

Human Machine Interface (HMI): một ứng dụng cho phép vận hành hệ thống đồ họa tương tác với các hệ thống điều khiển công nghiệp, cho phép sửa đổi các lệnh điều khiển và giám sát các biến hệ thống

Database server: dùng cho tất cả các quá trình đăng nhập thông tin, thông tin này sau được sử dụng bởi các máy chủ cho phép tìm, phát hiện và xác định các tình huống bất thường xảy ra đối với hệ thống, có thể được sử dụng để phân tích dữ liệu, thay đổi từ phân tích quá trình kiểm soát đến mức điều khiển toàn nhà máy của doanh nghiệp

Operators: chịu trách nhiệm giám sát hoạt động của hệ thống và giải quyết các tình huống lỗi bất thường, các cuộc tấn công mạng vật lý…

1.1.2 Cấp điều khiển

Lớp điều khiển tự động chịu trách nhiệm điều tiết hoạt động của các quá trình vật

lý dựa trên các lệnh điều khiển truyền từ trung tâm điều khiển và các phép đo cảm biến nhận được từ thiết bị hiện trường Đầu ra của bộ điều khiển là các tín hiệu điều khiển, được gửi đến các bộ truyền động thông qua mạng truyền thông Các biến trong hệ thống, bao gồm các lệnh điều khiển, đo lường cảm biến, và tín hiệu điều khiển, được tổng hợp cho trung tâm điều khiển với mục đích giám sát và quản lý toàn hệ thống Trong các hệ thống điều khiển công nghiệp quy mô lớn, các lớp điều khiển tự động thường được phân chia thành các trạm (hoặc hệ thống nhỏ), mà trung tâm là thiết bị đầu cuối chủ (Master Terminal Unit - MTU), và các thiết bị đầu cuối hiện trường (Remote Terminal Unit - RTU), bộ điều khiển logic lập trình (Programmable Logic Controller - PLC) hoặc thiết

bị điện tử thông minh (Intelligent Electronic Device - IED)

MTU: thường là một hệ các máy tính công nghiệp, các MTU giao tiếp với người điều hành và Các RTU thông qua khối truyền thông, ngoài ra MTU còn được kết nối với các thiết bị ngoại vi như màn hình điều khiển, máy in và có thể kết nối với mạng truyền thông, nhiệm vụ của MTU là:

o Cập nhật dữ liệu từ các thiết bị RTU và nhận lệnh từ người vận hành

o Xuất dữ liệu đến các thiết bị RTU

20

o Hiển thị các thông tin cần thiết về các quá trình cũng như trạng thái của các thiết bị lên màn hình giúp cho người điều hành giám sát và điều khiển

o Lưu trữ, xử lý các thông tin và giao tiếp với các hệ thống thông tin khác Các RTU: thường đặt tại hiện trường để thu nhận dữ liệu và thông tin từ các thiết bị trường như các cảm biến, thiết bị đo, … gửi đến MTU để xử lý và thông báo cho người điều hành biết trạng thái hoạt động của các thiết bị hiện trường Mặt khác nó nhận lệnh hay tín hiệu từ MTU để điều khiển hoạt động của các thiết bị theo yêu cầu Thông thường các RTU lưu giữ thông tin thu thập được trong bộ nhớ của nó và đợi yêu cầu từ MTU mới truyền dữ liệu Tuy nhiên, ngày nay các RTU hiện đại có các máy tính và PLC có thể điều khiển trực tiếp qua các địa điểm xa mà không cần định hướng của MTU, có thể truyền tin không dây qua vệ tinh để trao đổi với MTU

PLC: là các bộ điều khiển logic khả trình có thể điều khiển quá trình và thiết

bị trường, có đầy đủ tính năng của các loại RTU và dễ cài đặt

Các IED: là những cảm biến thông minh hay thiết bị điện tử thông minh (rơle

kỹ thuật số DR, các bộ biến đổi T, công tơ điện tử) có trang bị công nghệ không dây để giao tiếp với RTU, PLC hoặc các MTU IED có các chức năng:

o Bảo vệ tác động khi xảy ra sự cố

o Biểu thị trạng thái của các phần tử đóng cắt của lưới, ví dụ: vị trí nấc phân áp của máy biến áp, trạng thái đóng mở của máy biến áp

o Kiểm tra tình trạng hoạt động của bản thân thiết bị

o Ghi lại các sự kiện sự cố…

1.1.3 Cấp chấp hành

Cấp chấp hành của nhiều hệ thống điều khiển công nghiệp nói chung được mô tả bởi một tập hợp các phương trình vi phân từng phần, sử dụng mô hình không gian trạng thái rời rạc để mô tả lớp vật lý của hệ thống:

1

0 0

x  là vector trạng thái của hệ thống, với giá trị ban đầu x0 n

k

u là vector của tín hiệu điều khiển

q k

21

p k

v  là vector nhiễu của cảm biến

n k

w  là vector nhiễu của quá trình

o Mạng quá trình (Process network): mạng quá trình là một tập hợp các máy chủ kết nối với nhau trong việc kiểm soát trung tâm của một hệ thống điều khiển công nghiệp Sự liên kết của các máy chủ thông qua mạng quá trình giúp theo dõi và giám sát hoạt động của hệ thống, mạng quá trình kết nối với mạng cấp trường giúp kiểm soát các thiết bị hiện trường, nó cũng liên quan đến các mạng kinh doanh để chia sẻ thông tin quá trình với ban quản lý

o Mạng hiện trường (Field network): Mạng hiện trường kết nối bộ điều khiển cục

bộ (các MTU, RTU, PLC hoặc IED) với nhau và liên kết các bộ điều khiển với thiết bị truyền động / cảm biến để thực hiện các quy trình công nghệ Với mục đích bảo trì, hệ thống DCS hiện đại cho phép các truy cập trực tiếp vào khu điều khiển từ các điểm truy cập cục bộ từ hiện trường, vì vậy đây có thể là điểm tấn công mạng vật lý

o Mạng của đơn vị cung cấp giải pháp (Vendor network): Phần lớn các hệ thống điều khiển công nghiệp hiện đại đều được kết nối với mạng của đơn vị cung cấp giải pháp nhằm mục đích bảo trì hoặc hỗ trợ kĩ thuật từ xa, do đó có thể làm cho

hệ thống điều khiển công nghiệp dễ bị tấn công, vì các nhóm tin tặc có thể tiếp cận với hệ thống điều khiển công nghiệp thông qua mạng của đơn vị cung cấp giải pháp

Sự phát triển của các mạng truyền thông công nghiệp đã trải qua ba thế hệ khác nhau Từ các giao thức nối tiếp dựa trên bus trường truyền thống (ví dụ như: Modbus, Profibus hoặc DNP3) đến các mạng công nghiệp dựa trên Ethernet (ví dụ: Modbus-TCP/IP, Ethernet/ IP) và công nghệ truyền thông không dây (ví dụ: WLAN, WiMAX hay Blue-tooth) Các tiêu chuẩn hóa các giao thức truyền thông làm cho hệ thống điều khiển công nghiệp hiện đại dễ bị tấn công trong không gian mạng Chính xác hơn, những

kẻ tấn công đủ mạnh có thể đột nhập vào các kênh truyền thông, cho phép họ sửa đổi các tín hiệu lệnh, tín hiệu điều khiển hoặc các phép đo cảm biến, từ đó phá vỡ hệ thống

1.2 Vấn đề an toàn thông tin trong hệ thống điều khiển công nghiệp Hướng phát triển của các hệ thống sản xuất công nghiệp hiện đại là tích hợp các kỹ thuật tính toán, truyền thông và điều khiển thành các mức khác nhau trong hệ thống

để giảm chi phí, nâng cao chất lượng sản phẩm Do vây, các hệ thống sản xuất phải được module hóa, phân tán về điều khiển, có khả năng tích hợp cao, dễ dàng cho bảo trì Các giới hạn của truyền thông điểm - điểm làm cho các hệ thống sử dụng giải pháp truyền thông này trở nên không còn phù hợp nữa Các hệ thống truyền thông sử dụng bus truyền thông chung có thể đáp ứng được yêu cầu đó nhờ khả năng nâng cao hiệu suất, nâng cao tính linh hoạt, độ tin cậy của các hệ thống tích hợp đồng thời giảm được chi phí, thời gian lắp đặt, nâng cấp cũng như bảo trì [4], [8], [13]

Trong những năm 90 của thế kỷ 20, quá trình module hóa, phân tán điều khiển với mạng truyền thông kỹ thuật số phát triển mạnh mẽ và cho ra đời một thế hệ mới các hệ thống điều khiển công nghiệp (SCADA, DCS) Cấu trúc điển hình của các hệ thống điều khiển công nghiệp này được mô tả ở hình 1.1 Cho tới nay các hệ thống này được sử dụng phổ biến trong tất cả các ngành công nghiệp Đây là các hệ thống điều khiển công nghiệp với quy mô đa dạng, được thiết kế để điều khiển, vận hành và giám sát các dây chuyền sản xuất từ các tài nguyên phân tán về mặt địa lý, chẳng hạn như mạng lưới điện, đường ống dẫn khí đốt hay hệ thống phân phối nước,… Sự phát triển nhanh chóng của công nghệ thông tin và truyền thông làm cho hệ thống điều khiển công nghiệp hiện đại hơn và dễ bị tấn công, không chỉ trên các thành phần vật lý mà còn trên cả cơ sở hạ tầng mạng

1.2.1 Một số cuộc tấn công hệ thống điều khiển công nghiệp

Trong những thập kỷ qua, nhiều vụ tấn công cơ sở hạ tầng quan trọng đã được ghi nhận Mặc dù những cuộc tấn công là lớn hay không nhưng nó đã đưa ra một lo ngại lớn

về sự an toàn của hệ thống điều khiển công nghiệp (DCS, SCADA) Sau đây là một số

vụ tấn công tiêu biểu:

Hệ thống trạm biến áp cao áp, máy tính, thiết bị mạng ở Ukraine (2022): đã bị phá hoại bởi nhóm tin tặc Voodo Bear vào đầu tháng 4 năm 2022 thông qua một biến thể mới của một phần mềm độc hại (Industroyer) [29]

Nhà máy sản xuất nhôm ở Mỹ Norsk Hydro (2019): đã bị tấn công mạng trong ngày 19/3/2019, khiến hoạt động của công ty bị ảnh hưởng khá nghiêm trọng Vụ việc

Nhà máy công nghiệp ở Trung Đông (2017): một mã độc mới vừa được phát hiện với tên gọi Triton hoặc Trisis Mã độc này được phát hiện bởi hãng bảo mật Trend Micro với định dạng Troj_Trisis.A Theo báo cáo từ một nhà máy ở vùng Trung Đông, Triton tấn công vào hệ thống kiểm soát an toàn và khiến các nhà máy phải ngừng mọi hoạt động Cũng theo bản báo cáo, vẫn chưa có thiệt hại đáng kể nào xảy ra vì hệ thống chỉ

tự động ngừng làm việc Tuy nhiên, nếu cuộc tấn công này nhằm vào các ngành công nghiệp quan trọng, đặc biệt là các nhà máy sản xuất năng lượng hạt nhân, sẽ gây ra hậu quả cực kỳ nghiêm trọng Việc khiến hệ thống ngừng hoạt động có thể là bước chuẩn bị trước để tội phạm mạng xâm nhập và đánh cắp dữ liệu công nghệ [32]

Telvent ở Canada (2012): đã xảy ra một hành vi vi phạm các bức tường lửa và hệ thống an ninh nội bộ của Telvent Canada Một công ty cung cấp các công cụ quản trị từ

xa và giám sát về ngành năng lượng, được phát hiện vào ngày 10 tháng 9 năm 2012 Sau khi thâm nhập vào mạng, những kẻ xâm nhập đã đánh cắp các tập tin dự án liên quan đến các sản phẩm Oasys SCADA, một công cụ quản trị từ xa cho phép công ty để kết hợp thiết bị công nghệ thông tin (CNTT) cũ với công nghệ "lưới điện thông minh" hiện đại Có khả năng là các đối thủ thu thập thông tin về các sản phẩm mới để tìm các lỗ hổng của phần mềm và để chuẩn bị cho các cuộc tấn công trong tương lai đối với hệ thống SCADA trong ngành năng lượng [33]

Virus Stuxnet (2010): Sâu máy tính và virus đều được thiết kế nhằm mục đích phá hoại dữ liệu hoặc các hệ thống máy tính Tuy nhiên, sâu máy tính nguy hiểm hơn bởi nó

có khả năng tự sao chép và tự lan truyền giữa các máy tính với nhau, thường là sẽ thông qua một mạng máy tính Stuxnet chính là một con sâu máy tính và nó hoạt động theo ba giai đoạn Đầu tiên, nó sẽ nhắm đến các máy tính sử dụng Windows để lây nhiễm và tiếp tục lan truyền qua mạng bằng biện pháp tự sao chép Sau đó, Stuxnet sẽ nhắm vào phần mềm lập trình Step7, một phần mềm chạy trên Windows do Siemens phát triển để

24

kiểm soát các thiết bị công nghiệp, ví dụ như van, bơm, lò nung Cuối cùng, sâu này sẽ tìm cách phá hỏng các bộ lập trình PLC [34] Quy trình chi tiết được minh họa ở hình 1.2 [35]

Hình 1.2 Các bước hoạt động của Stuxnet Hai biến thể của Stuxnet là Duqu (2011) và Flame (2012)

Vào tháng 9/2011, một sâu máy tính mang tên Duqu được phát hiện bởi Phòng thí nghiệm CrySyS Lab ở Đại học Kinh tế và Kĩ thuật Budapest thuộc Hungary Cái tên này được lấy từ tiền tố "~DQ" của các file mà sâu này tạo ra Duqu được cho là có cách hoạt động y như Stuxnet, tuy nhiên mục đích của nó thì khác hẳn Hãng Symantec tin rằng Duqu được tạo ra bởi chính tác giả của Stuxnet hoặc do một ai đó có quyền truy cập vào mã nguồn Stuxnet Loại virus này cũng có chữ kí số hợp pháp đánh cắp từ hãng C-Media (Đài Loan) và nó sẽ thu thập thông tin để chuẩn bị cho các đợt tấn công trong tương lai

Đến tháng 5/2012, phòng thí nghiệm Kaspersky được Ủy ban Truyền thông Quốc

tế (ITU) yêu cầu nghiên cứu một mẫu malware vốn bị nghi ngờ là đã phá hoại tập tin của một công ty dầu mỏ Iran Trong quá trình làm việc theo yêu cầu của ITU, hệ thống

tự động do Kaspersky xây dựng phát hiện thêm một biến thể khác của Stuxnet Lúc đầu, Schouwenberg và đồng nghiệp tưởng rằng hệ thống đã mắc phải một lỗi nào đó bởi malware mới không có sự tương đồng rõ ràng nào với Stuxnet cả Thế nhưng sau khi nghiên cứu kỹ mã nguồn của malware mới, họ tìm thấy một tập tin tên là Flame, vốn từng có mặt trong những bản Stuxnet đầu tiên Trước đây người ta nghĩ Stuxnet và

25

Flame hoàn toàn không có can hệ gì nhưng bây giờ thì các nhà khoa học đã nhận ra rằng Flame thực chất chính là người tiền nhiệm của Stuxnet nhưng vì một cách nào đó mà người ta không tìm thấy nó trước Stuxnet

Về kích thước, Flame nặng đến 20MB, gấp 40 lần so với Stuxnet, và một lần nữa, các nhà nghiên cứu, trong đó có Schouwenberg, nghi ngờ rằng lại có bàn tay của chính phủ một nước nào đó can thiệp vào Để phân tích Flame, Kaspersky cũng sử dụng kĩ thuật sinkhole giống như lúc Symantec nghiên cứu Stuxnet Khi Flame liên lạc với các server của nó, dữ liệu đã được chuyển về máy chủ do Kaspersky quản lý và tại đây, các thông tin về thẻ tín dụng cũng như cổng proxy bị đánh cắp đã lộ diện Việc xác định chủ

sở hữu các server của Flame được Schouwenberg nhận xét là rất khó khăn

Nói đến tính chất, nếu như Stuxnet được tạo ra để phá hủy mọi thứ thì Flame chỉ đơn giản đóng vai trò gián điệp Flame lây lan qua các ổ cứng gắn cổng USB và có thể nhiễm vào các máy tính được chia sẻ trên cùng một mạng Khi Flame đã xâm nhập thành công vào máy tính, nó sẽ tìm kiếm những từ khóa trong các tập tin PDF tuyệt mật, sau

đó tạo và gửi một bản tóm tắt của tài liệu này về người tấn công Mọi hoạt động của Flame đều không dễ dàng bị phát hiện bởi tập tin gửi về máy chủ C&C bị chia nhỏ thành nhiều gói, chính vì thế mà nhà quản trị mạng sẽ không thấy đột biến bất thường nào trong việc sử dụng dung lượng mạng

Virus Slammer tấn công mạng truyền thông toàn nhà máy điện Ohio (2003): Vào tháng giêng năm 2003, Slammer thâm nhập vào một mạng lưới máy tính cá nhân tại nhà máy điện hạt nhân Davis-Besse Ohio và vô hiệu hóa một hệ thống giám sát an toàn trong gần 5 giờ, mặc dù các nhân viên nhà máy đã tin rằng hệ thống mạng được bảo vệ bởi tường lửa Virus Slammer lây lan từ mạng doanh nghiệp với hệ thống điều khiển SCADA nhà máy điện hạt nhân bằng cách khai thác các lỗ hổng của MS-SQL Lúc

đó, các HMI và các máy tính vận hành, điều khiển của nhà máy đã bị treo trong nhiều giờ, gây ra rắc rối lớn về vận hành hệ thống [36]

Đối với các nhà máy công nghiệp ở Việt Nam, cho đến nay chưa ghi nhận vụ tấn công mạng đáng kể nào Tuy nhiên có khá nhiều vụ tấn công vào mạng hệ thống thông tin của các doanh nghiệp thông qua mạng internet, đặc biệt là vụ tấn công vào mạng hệ thống thông tin của Tổng công ty Hàng không Việt Nam vào tháng 7 năm 2016 Theo báo cáo thống kê của Cục An ninh mạng (A68), cuộc tấn này đã phá hủy nhiều hệ thống máy chủ và máy chủ ảo của Vietnam Airlines, thông tin của hơn 410.000 khách hàng thường xuyên của Tổng công ty Hàng không Việt Nam bị đăng tải lên mạng Internet; các hãng hàng không phải làm thủ tục thủ công, thậm chí dùng loa cầm tay, bảng trắng

để phục vụ hành khách; làm trễ gần 100 chuyến bay, gây thiệt hại về uy tín của Tổng công ty Hàng không Việt Nam [37]

26

1.2.2 Các điểm tấn công

Các điểm có khả năng bị tấn công trong hệ thống điều khiển công nghiệp được mô

tả ở hình 1.3 [28] Các hệ thống an ninh, bảo mật của hệ thống có nhiệm vụ chống lại các cuộc tấn công nguy hiểm

Điểm tấn công A1: Hệ thống điều khiển công nghiệp hiện đại sử dụng các ứng dụng dựa trên web để được linh hoạt đến quá trình quản lý Phù hợp với những lợi thế đó, các ứng dụng dựa trên web cũng thể hiện một số bất tiện, đặc biệt là liên quan đến an ninh mạng Một kẻ tấn công có thể lấy quyền truy cập và truy cập trái phép vào các trung tâm điều khiển thông qua các ứng dụng

Điểm tấn công A2: Một nhân viên bất mãn nào đó của một doanh nghiệp cắm USB

có chứa virus vào một máy tính của doanh nghiệp Virus này có thể phá tường lửa giữa các mạng thương mại và mạng điều khiển công nghiệp, lan truyền toàn bộ trong cấu hình mạng điều khiển của nhà máy, kiểm soát hệ thống hoạt động Ví dụ: virus mạnh

mẽ như: Stuxnet, Flame có thể vượt qua hệ thống phát hiện xâm phạm - IDS

Hình 1.3 Các điểm có khả năng bị tấn công trong hệ thống điều khiển

Vấn đề này hiện đang nhận được rất nhiều sự quan tâm nghiên cứu trong vài năm trở lại đây, từ sau một loạt các sự kiện: vụ virus Slammer tấn công nhà máy điện hạt nhân Davis-Besse Ohio (2003), vụ nhà máy sản xuất vi mạch Nvidia bị tấn công (2022),

vụ nhà máy sản xuất nhôm ở Mỹ Norsk Hydro bị tấn công (2019), …, đặc biệt là sau sự kiện Stuxnet vào năm 2010 [34]

27

Điểm tấn công A3: Trong một số trường hợp, một chiếc USB chứa virus có thể được cắm trực tiếp vào máy tính ở trung tâm điều khiển Một khi nó xâm nhập vào mạng quá trình, các phần mềm độc hại có thể truyền qua mạng và thực hiện mục tiêu phá hủy của nó Nó sẽ tấn công, làm tê liệt các máy chủ builder server, communication server, database server, diagnostic server, application server

Điểm tấn công A4, A5, A6: Bằng cách khai thác các lỗ hổng của các giao thức truyền thông như ModBus, DNP3, Ethernet hoặc dựa các giao thức không dây, kẻ tấn công có thể nhận được quyền truy cập vào các kênh thông tin liên lạc giữa trung tâm điều khiển và các trạm và các trạm phụ (tấn công điểm A4) Khi đột nhập vào kênh này,

kẻ xâm nhập có thể đưa ra các lệnh điều khiển giả đến thiết bị đầu cuối chủ MTU gửi lại số liệu sai cho các trung tâm điều khiển, hoặc thậm chí làm nhiễu các kênh thông tin liên lạc bằng cách gây ra tấn công từ chối dịch vụ (Denial of Service - DoS) Cuộc tấn công vào liên kết truyền thông giữa MTU và PLC/RTU (tức là, điểm tấn công A5 và A6) có thể được thực hiện trong cùng một cách thức

Điểm tấn công A7, A8: để thuận lợi trong việc bảo trì, bảo dưỡng, hệ thống điều khiển của nhà máy được kết nối mạng với nhà thầu Đây là điểm tấn công A7 Điểm tấn công A8 vào các thiết bị đầu cuối hiện trường Sự linh hoạt này tạo ra một lỗ hổng cho tin tặc có thể kiểm soát và phá hoại các thiết bị hiện trường Tất cả những lỗ hổng trên đều có thể bị khai thác để thực hiện các cuộc tấn công, gây nên thiệt hại nghiêm trọng Điểm tấn công A9, A10: tín hiệu giữa các bộ điều khiển với các cơ cấu chấp hành đôi khi được thực hiện bởi các công nghệ không an toàn, chẳng hạn truyền không dây,

vệ tinh hay radio Như vậy các tín hiệu điều khiển được gửi từ bộ điều khiển cho các thiết bị truyền động (điểm A9) và các tín hiệu phản hồi được truyền từ các bộ cảm biến

để điều khiển (điểm A10) rất dễ bị tấn công [28]

Điểm tấn công A0: Do đặc điểm địa lý phân tán, nên sẽ rất khó khăn để bảo vệ các

hệ thống SCADA từ các cuộc tấn công vật lý (tức là tấn công điểm A0) như việc cắt cáp thông tin hoặc làm ảnh hưởng đến các bộ cảm biến và cơ cấu chấp hành Đôi khi, kẻ phá hoại tích hợp các hoạt động cả về tấn công vật lý và mạng vào một cuộc tấn công phối hợp để gây thiệt hại nghiêm trọng hơn

1.2.3 Một số lỗ hổng dễ bị tấn công

Các sự cố mạng gần đây cho thấy việc khai thác các lỗ hổng của hệ thống điều khiển công nghiệp hiện đại đang được thực hiện rất tốt để từ đó nhằm vào các cuộc tấn công trên cơ sở hạ tầng mạng quan trọng Để cải thiện sự an toàn của hệ thống, việc cần thiết

là phải kiểm tra các lỗ hổng của toàn hệ thống điều khiển công nghiệp để từ đó đưa ra các biện pháp bảo vệ thích hợp Có năm loại lỗ hổng đó là: lỗ hổng kiến trúc, lỗ hổng chính sách an ninh, lỗ hổng phần mềm phần cứng, lỗ hổng mạng thông tin liên lạc, lỗ hổng khác

28

a) Lỗ hổng kiến trúc

Nhìn chung, kiến trúc hệ thống điều khiển công nghiệp hiện đại không quá khác

về nguyên tắc so với những kiến trúc được sử dụng trong những năm 80 và 90, ngoại trừ việc chuyển từ một “môi trường cô lập” sang một “môi trường mở” Tính năng tiên tiến này làm cho hệ thống điều khiểnA hiện đại hơn tuy nhiên dễ bị tấn công trong không gian mạng

Thứ nhất: phần lớn các mạng điều khiển công nghiệp là kết nối với mạng công ty

để được linh hoạt hơn trong quá trình quản lý Ví dụ, nhiều hệ thống SCADA có quá trình lưu trữ dữ liệu và quá trình ghi trong đơn vị dữ liệu lịch sử, bản ghi quá trình cho phép ban quản lý có thể đạt được quyền truy cập vào các thông tin từ các mạng doanh nghiệp Điều này có thể để lại một cửa hậu cho các virus máy tính có thể thâm nhập vào

hệ thống mạng thông qua các mạng doanh nghiệp

Thứ hai: một số lượng lớn các hệ thống điều khiển công nghiệp có sử dụng các ứng dụng webserver, dựa trên sự theo dõi các quá trình vật lý và việc truy cập mạng Internet,

có thể là một con đường cho các tin tặc xâm nhập mạng Hơn nữa các điểm truy cập cục

bộ có thể là một cửa hậu sinh ra các mã độc hại được cài vào không gian mạng của hệ thống

Cuối cùng, kẻ tấn công có thể đột nhập vào mạng điều khiển công nghiệp thông qua kết nối với mạng lưới của các nhà cung cấp mạng

b) Lỗ hổng chính sách bảo mật

Một số chính sách an ninh, chẳng hạn như cập nhật phần mềm chống virus, có thể gây ra các tác động tiêu cực đến hệ thống điều khiển Phần mềm chống virus quét lỗ hổng bảo mật được thiết kế chuyên dụng từ những chuyên gia bảo mật để đánh giá máy tính, hệ thống mạng và các ứng dụng, để tìm các lỗ hổng bảo mật và khắc phục chúng c) Lỗ hổng phần mềm và phần cứng

Để đáp ứng yêu cầu của công nghiệp, các hệ thống điều khiển ngày nay đã ngày một trở nên phức tạp trong cả phần cứng lẫn phần mềm, và điều không thể tránh khỏi là các lỗi ở phần mềm cũng như phần cứng Lỗi phần mềm tiêu biểu có thể liệt kê là: tràn bộ nhớ đệm, xâm nhập vào hệ thống SQL, lỗi định dạng chuỗi (format string), v.v Trong thực tế các sự cố mạng là do các lỗ hổng của phần mềm MS-SQL Hơn nữa, hệ thống điều khiển công nghiệp là hệ điều hành thời gian thực, hệ thống ngăn chặn các thuật toán mã hóa truyền thống do yêu cầu về tính sẵn sàng của dữ liệu Nhu cầu thực tế này tạo ra nhiều khó khăn để thực hiện thuật toán mã hóa dữ liệu

d) Lỗ hổng giao thức truyền thông

Trong lịch sử, với quan điểm rằng các hệ thống điều khiển công nghiệp sẽ bị cô lập với các mạng khác, các nhà thiết kế hệ thống điều khiển ít quan tâm đến vấn đề an ninh

29

mạng như cơ chế kiểm tra tính toàn vẹn, cơ chế xác thực, cơ chế chống chối từ, cơ chế chống phát lại Nhiều giao thức truyền thông như: Modbus, DNP3 và Ethernet/IP thiếu tính năng xác thực để chứng minh nguồn gốc của lưu lượng mạng Do đó, các hệ thống này dễ bị tấn công từ chối dịch vụ (DoS) …

Được thực hiện với các giao thức truyền thông độc quyền, hệ thống điều khiển công nghiệp được cho là an toàn Tuy nhiên vấn đề “bảo mật bằng cách che dấu” là không rõ ràng trong thế giới hiện đại Công nghệ thông tin đã được phát triển nhanh chóng, dẫn đến việc áp dụng các giao thức truyền thông phổ biến như Ethernet, TCP / IP hoặc mạng không dây như tần số vô tuyến, thông tin vệ tinh, IEEE 802.x và Bluetooth trong phần lớn các hệ thống điều khiển hiện đại Sự tiến hóa này đã làm giảm sự cô lập của hệ thống điều khiển công nghiệp với môi trường bên ngoài

e) Lỗ hổng khác

Sự tồn tại của các nhóm tội phạm có tổ chức ảo (những kẻ khủng bố hoặc các nhóm nhà nước tài trợ) đã thực hiện các cuộc tấn công mạnh mẽ vào các cơ sử hạ tầng an toàn quan trọng Đã từng có suy đoán cho rằng các sâu máy tính như Stuxnet, Duqu, Flame,

… được nhận hỗ trợ tài chính từ các nhóm nhà nước

1.3 Các dạng tấn công điển hình và phân loại

Theo tài liệu [38], các cuộc tấn công mạng trên hệ thống điều khiển công nghiệp có thể được phân loại thành các loại chính: tấn công từ chối dịch vụ (Denial-of-Service -DoS), tấn công từ chối dịch vụ phân tán (Distributed Denial-of-Service - DDoS) và tấn công vào tính toàn vẹn (hình 1.4)

Hình 1.4 Một số dạng tấn công điển hình

30

1.3.1 Tấn công từ chối dịch vụ - DoS

DoS có tên đầy đủ là Denial of Service – là một hình thức tấn công từ chối dịch vụ Đây là hình thức tấn công khá phổ biến, nó khiến cho máy tính mục tiêu không thể xử

lý kịp các tác vụ và dẫn đến quá tải Các cuộc tấn công DoS này thường nhắm vào các máy chủ ảo (VPS) hay Web Server của ngân hàng, tài chính hay là các trang thương mại điện tử, nhà máy công nghiệp, … Tấn công DoS thường chỉ được tấn công từ một địa điểm duy nhất, tức là nó sẽ xuất phát tại một điểm và chỉ có một dải địa chỉ IP Tấn công DoS sẽ làm gián đoạn tạm thời hoặc vĩnh viễn việc trao đổi dữ liệu giữa các thành phần

có trong mạng

Xét việc truyền tín hiệu (ví dụ, tín hiệu lệnh, tín hiệu điều khiển, tín hiệu cảm biến)

từ máy phát đến máy thu thông qua một kênh truyền thông Cho zk là tín hiệu nguồn được gửi từ máy phát và zk là tín hiệu mục tiêu cần gửi đến người nhận

Các tín hiệu mục tiêu có thể khác các tín hiệu nguồn ban đầu do có thể có các cuộc tấn công độc hại trên các kênh truyền thông Chúng ta giả thiết rằng các cuộc tấn công mạng được diễn ra trong thời gian ngắn a k k L0, 0 1

0

k : thời điểm xảy ra tấn công

L : khoảng thời gian xảy ra tấn công

Chiến lược tấn công DoS dạng 1 [39]

, k 0,

k

a

z z

Chiến lược tấn công DoS dạng 3 [11], [41]

 

, k

; 0;1 , k

z z

Mô hình toán học (1.3) đề cập tới tấn công DoS không hoàn hảo, một số gói dữ liệu

có thể truyền đến máy thu này nhưng ko truyền đến máy thu khác

Xét về mặt công nghệ thông tin, tấn công từ chối dịch vụ có các phương thức sau: tấn công SYN, Ping of Death, LAND, Winnuke, Smurf, Teardrop, Slowloris

1.3.2 Tấn công từ chối dịch vụ phân tán - DDoS

a) Tổng quan tấn công DDoS

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) là một dạng phát triển ở mức độ cao của tấn công DoS được phát hiện lần đầu tiên vào năm

31

1999 Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công Trong khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưu lượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạng Internet

Hiện nay, có hai phương pháp tấn công DDoS chủ yếu [42] Trong phương pháp thứ nhất, kẻ tấn công gửi các gói tin được tạo theo dạng đặc biệt gây lỗi trong giao thức truyền hoặc lỗi trong ứng dụng chạy trên máy nạn nhân Một dạng tấn công DDoS điển hình theo phương pháp này là tấn công khai thác lỗ hổng an ninh của các giao thức hoặc dịch vụ trên máy nạn nhân Phương pháp tấn công DDoS thứ hai phổ biến hơn phương pháp thứ nhất

Các dạng tấn công DDoS được thực hiện ngày một nhiều với quy mô ngày một lớn và tinh vi hơn nhờ sự phát triển của các kỹ thuật tấn công và sự lan tràn của các công

cụ tấn công

b) Kiến trúc tấn tấn công DDoS

Mặc dù có nhiều dạng tấn công DDoS được ghi nhận, nhưng tựu trung có thể chia kiến trúc tấn công DDoS thành hai loại chính: kiến trúc tấn công DDoS trực tiếp (hình 1.5) và kiến trúc tấn công DDoS gián tiếp hay phản chiếu

Kiến trúc tấn công DDoS trực tiếp

Hình 1.5 Kiến trúc tấn công DDoS trực tiếp

Ở đây, tin tặc trước hết thực hiện chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie – những máy tính bị kiểm soát

và điều khiển từ xa bởi tin tặc Tin tặc thường điều khiển các Zombie thông qua các máy trung gian (Handler) Hệ thống các Zombie chịu sự điều khiển của tin tặc còn được gọi

là mạng máy tính ma hay botnet

Theo lệnh gửi từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (victim), gây ngập lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng

32

Kiến trúc tấn công DDoS gián tiếp hay phản chiếu

Tương tự như kiến trúc tấn công DDoS trực tiếp, tin tặc (attacker) trước hết thực hiện chiếm quyền điều khiển một lượng rất lớn máy tính có kết nối Internet, biến các máy tính này thành các Zombie, hay còn gọi là Slave Tin tặc điều khiển các Slave thông qua các máy trung gian (Handler) Theo lệnh gửi từ tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ nguồn của các gói tin là địa chỉ của máy nạn nhân đến đến một số lớn các máy khác (reflectors) trên mạng Internet Các reflectors gửi phản hồi đến máy nạn nhân do địa chỉ của máy nạn nhân được đặt vào yêu cầu giả mạo Khi các reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây tắc nghẽn đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng Các reflectors bị lợi dụng để tham gia tấn công thường là các hệ thống máy chủ có công suất lớn trên mạng Internet và không chịu sự điều khiển của tin tặc

1.3.3 Tấn công tính toàn vẹn

Tấn công tính toàn vẹn được thực hiện bằng cách thay đổi hành vi của các cơ cấu chấp hành và cảm biến hoặc bằng cách đột nhập vào kênh thông tin liên lạc giữa các lớp vật lý và các trung tâm điều khiển

a) Tấn công toàn vẹn đơn giản (Simple integrity attack)

Cho Z  zmin,zmax, trong đó zmin và zmax tương ứng là giá trị tối thiểu và giá trị tối đa cho cả hai tín hiệu nguồn và tín hiệu đích Thực hiện các cuộc tấn công toàn vẹn đơn giản không đòi hỏi thông tin về hệ thống Để tiến hành một cuộc tấn công toàn vẹn, những kẻ tấn công sẽ thu các tín hiệu có nguồn gốc zk truyền qua mạng, rồi sửa đổi các tín hiệu đã thu được, và cuối cùng truyền lại tín hiệu gây hại cho người nhận [40] Chiến lược này thường được gọi là tấn công "man-in-the-middle" Tấn công tính toàn vẹn đơn giản có thể chia làm ba loại: tấn công min-max, tấn công quy mô mở rộng và tấn công

bổ sung

Tấn công Min-max (Min, max attack)

Tấn công Min (hoặc Max) có thể được thực hiện đơn giản bằng cách đưa ra giá trị

vô cùng thấp (hoặc vô cùng cao) cho máy nhận tín hiệu [28], [40] Tấn công này có thể được mô hình hóa như công thức (1.5) và (1.6):

min

, ,

k

a

z k z

Tấn công mở rộng (Scaling attack)

Đối với tấn công mở rộng, kẻ tấn công phải nắm bắt được tín hiệu nguồn zkvà bội

số với một hệ số xác định trước k Mô hình của tấn công mở rộng được mô tả như sau:

Tấn công bổ sung (Additive attack)

Tương tự như tấn công mở rộng, các cuộc tấn công bổ sung được thực hiện bằng cách thêm giá trị được xác định trước akz với tín hiệu nguồn zk Mô hình của tấn công

bổ sung được mô tả như sau:

Trong đó hệ số bổ sung akz được các kẻ tấn công thiết kế

b) Tấn công toàn vẹn âm thầm (Stealthy integrity attacks)

Để tiến hành tấn công toàn vẹn âm thầm, các kẻ tấn công cần được trang bị các kiến thức về mô hình, tài nguyên tiết lộ và các khả năng hỗn loạn để thực hiện các cuộc tấn công một phần hoặc toàn phần để nhằm tránh các phương pháp phát hiện cổ điển Khả năng che dấu của một cuộc tấn công phụ thuộc rất nhiều vào khả năng tác động các vector tấn công vào tín hiệu điều khiển và các cảm biến đo lường của kẻ tấn công Sự khác biệt cơ bản giữa các cuộc tấn công không thể phát hiện nằm ở cách phối hợp các vectơ tấn công vào các tín hiệu điều khiển và các cảm biến đo lường, tương ứng Tấn công lặp lại (Replay attack)

Hệ thống điều khiển có phản hồi được mô tả bằng mô hình Gaussian với thời gian rời rạc tuyến tính bất biến thông qua bộ điều khiển tuyến tính toàn phương Gaussian, ví

dụ, bao gồm các bộ lọc Kalman và bộ điều khiển toàn phương tuyến tính (LQR) Các

bộ dò 2 được sử dụng để phát hiện tất cả các hành vi bất thường xảy ra đối với hệ thống Chiến lược tấn công lặp lại được thực hiện bằng hai bước Trong bước đầu tiên,

kẻ tấn công ghi lại các cảm biến đo trong một khoảng thời gian nhất định trước khi thực hiện các cuộc tấn công Trong bước thứ hai, chúng sẽ thay đổi tín hiệu cảm biến đo thực

tế bởi các tín hiệu đã ghi lại trước đó khi đang thực hiện các cuộc tấn công độc hại trên tín hiệu điều khiển làm cho các hệ thống điều khiển rơi vào trạng thái vận hành không bình thường Nó đã được chỉ ra rằng: các tấn công này có thể bỏ qua sự phát hiện của các phương pháp phát hiện 2[12]

Tấn công đột ngột (Surge attack)

Một loại tấn công tàng hình, cụ thể là các cuộc tấn công bí mật vào hệ thống điều khiển mạng [43] Các chiến lược tấn công bí mật bao gồm trong việc phối hợp các tín hiệu điều khiển và giá trị đo bộ cảm biến vào một cuộc tấn công phá hoại Ý tưởng của cuộc tấn công bí mật là như sau Thứ nhất, các vector tấn công trạng thái có thể được tự

do lựa chọn dựa trên các mục tiêu phá hoại và các tài nguyên sẵn có Thứ hai, các vector

34

tấn công các bộ cảm biến được thiết kế theo cách như vậy để có thể bù đắp sự ảnh hưởng của các vector tấn công trạng thái về đo lường cảm biến Nó đã được chứng minh rằng tấn công dạng đột ngột có khả năng che dấu hoàn hảo cho bất kỳ các phát hiện bất thường Các chiến lược tấn công loại này có thể được coi là vụ tấn công tồi tệ nhất do

nó có thể hoàn toàn bỏ qua các phát hiện bất thường truyền thống

Những bất lợi của chiến lược này, nằm trong chiến lược của chính nó Chính xác hơn, các cuộc tấn công đột ngột đòi hỏi phải thỏa hiệp đủ số cảm biến để đảm bảo tính chất lén lút của nó Bằng cách khai thác sự bất tiện này, người bảo vệ có thể phát hiện các cuộc tấn công đột ngột bằng cách bảo vệ một số cảm biến quan trọng hoặc thậm chí trang bị các cảm biến mới và an toàn hơn

Xét mô hình không gian trạng thái thời gian rời rạc dưới các cuộc tấn công mạng Các vector tấn công auk và aky có thể được thiết kế bởi chiến lược tấn công đột ngột như sau:

Vector tấn công aku tác động vào tín hiệu điều khiển có thể được chọn tùy thuộc vào mục tiêu, sự phá hủy và nguồn lực sẵn có

Vector tấn công aky trên các thiết bị đo cảm biến được minh họa bằng phương trình sau đây:

 

0

, 1 ,

, ,

Tấn công động lực – điểm không (Zero-dynamics attack)

Bằng cách sử dụng các đầu ra bằng không kiểm soát không gian con bất biến trong

lý thuyết điều khiển hình học, các tác giả trong [10] đã nghiên cứu các cuộc tấn công động lực – điểm không trên hệ thống điều khiển mạng Việc công bố các cách thức tấn công động lực – điểm không cũng đã được xem xét, bao gồm cả việc thay đổi cấu trúc của hệ thống Hơn nữa, các tác giả trong [44] đã đề xuất một phương pháp để làm cho các cuộc tấn công có thể được phát hiện bằng cách kích hoạt lại các dữ liệu bị mất trên tín hiệu điều khiển mà đã bị hỏng bởi cuộc tấn công Hai chú ý được rút ra từ việc nghiên cứu các cuộc tấn công động lực học – điểm không Thứ nhất, chiến lược tấn công yêu cầu âm thầm thay đổi các tín hiệu điều khiển Tuy nhiên, các tín hiệu tấn công thêm vào tín hiệu điều khiển có thể không được lựa chọn tự do Các tín hiệu khác không phải được thiết kế theo cách mà tác động của chúng đến kết quả đầu ra là bằng không bằng cách khai thác các vấn đề đầu ra khác không trong lý thuyết điều khiển tự động

Tấn công tuyến tính (Cyber linear attack)

Tấn công tuyến tính là loại tấn công mới vào tính toàn vẹn dữ liệu ở cấp trường với độ nguy hiểm cao, được công bố bởi nhóm nghiên cứu tại Đại học Công nghệ Hồng Kông [5], [6], [7] Tấn công tuyến tính được mô tả bằng phương trình:

k k z k k

b  N  : biến ngẫu nhiên dạng Gaussian

Nội dung nghiên cứu về tấn công tuyến tính được trình bày chi tiết ở chương 2 (Tổng quan tấn công tuyến tính và một số phương pháp phát hiện tấn công tính toàn vẹn dữ liệu)

1.4 Kết luận chương 1

Các hệ thống điều khiển công nghiệp (tập trung hoặc phân tán) là các hệ thống được

sử dụng để giám sát, điều khiển các trạm, hay nhà máy xí nghiệp công nghiệp với nhiều quy mô khác nhau Để thực hiện các chức năng của hệ thống, việc thu thập, truyền nhận

và kiểm soát, đảm bảo tính toàn vẹn của dữ liệu là rất quan trọng Cùng với sự phát triển của công nghệ thông tin và truyền thông, các hệ thống điều khiển công nghiệp dễ bị tấn công phối hợp không chỉ trên các cơ sở hạ tầng vật chất mà còn trên lớp truyền thông

và trung tâm điều khiển Vì vậy, các nghiên cứu đảm bảo an toàn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn Hiện nay, có hai hướng nghiên cứu chính Đó là nghiên cứu các thủ đoạn tấn công mới nhằm đánh giá khả năng của các phương pháp bảo mật thông tin, và hướng nghiên cứu thứ hai là tập trung xây dựng các phương pháp phát hiện dữ liệu bị tấn công

Theo hướng nghiên cứu thứ nhất, hiện có thể phân loại một số phương pháp tấn công như tấn công từ chối dịch vụ – DoS, tấn công tính toàn vẹn dữ liệu truyền nhận giữa các lớp, hoặc trong các lớp mạng của hệ thống điều khiển, bằng các hình thức như làm sai lệch thông tin, chèn thông tin giả, [4] Gần đây, có công bố về phương pháp tấn công tuyến tính của nhóm nghiên cứu tại Đại học Công nghệ Hồng Kông [6] Đây

là phương pháp tấn công vào tính toàn vẹn dữ liệu ở cấp hiện trường với độ nguy hiểm cao, tập trung vào điểm tấn công A9 và A10 (hình 1.3) Nhóm nghiên cứu đã chỉ ra rằng, thuật toán phát hiện tấn công K-L hoàn toàn có thể bị vượt qua với kiểu tấn công này [5], [6] Nội dung này sẽ được trình bày chi tiết hơn trong chương 2 của luận án

Hướng nghiên cứu thứ hai, về đảm bảo an toàn thông tin, hiện nhận được nhiều sự quan tâm và có nhiều công trình được công bố Một nhóm nghiên cứu ở học viện Kỹ thuật mật mã áp dụng phương pháp CUSUM để phát hiện một số dạng tấn công điển hình (tấn công đột ngột (surge attack), tấn công phân cực (bias attack), tấn công hình học (geometric attack) trên đối tượng một vào một ra – SISO [45]

Trong luận án này, kế thừa các kết quả của hướng nghiên cứu thứ nhất, NCS sẽ tập trung vào hướng nghiên cứu thứ hai, cụ thể nghiên cứu các phương pháp phát hiện tấn công tuyến tính tại các điểm tấn công A9 và A10 trong hệ thống điều khiển công nghiệp (hình 1.3) và kiểm chứng khả năng phát hiện tấn công tuyến tính của các phương pháp này (chương 3)

Đồng thời, NCS cũng sẽ tiến hành nghiên cứu đề xuất mô hình cho phép nâng cao khả năng phát hiện xâm nhập, tấn công tính toàn vẹn dữ liệu trong các hệ thống điều khiển công nghiệp, sử dụng bộ dữ liệu quốc tế đã công bố [4] (chương 4)

36

CHƯƠNG 2 TỔNG QUAN TẤN CÔNG TUYẾN TÍNH

VÀ MỘT SỐ PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG

TÍNH TOÀN VẸN DỮ LIỆU

Tấn công tuyến tính là loại tấn công tối ưu đối với ước lượng trạng thái từ xa và là

loại tấn công mới vào tính toàn vẹn dữ liệu ở cấp trường với độ nguy hiểm khá cao,

được công bố bởi nhóm nghiên cứu tại Đại học Công nghệ Hồng Kông [5], [6], [7] từ

năm 2017 và được tiếp tục nghiên cứu bởi nhóm nghiên cứu tại Đại học Đông Bắc –

thành phố Thẩm Dương, Liêu Ninh, Trung Quốc [9] Hai nhóm nghiên cứu này đã phân

tích kỹ mô hình toán học và cách thức hoạt động của tấn công tuyến tính, từ đó bổ sung

một số thuật toán cho tấn công tuyến tính và chứng minh kiểu tấn công này có khả năng

vượt qua được một số phương pháp phát hiện tấn công như phương pháp

Kullback-Leiber Cuối chương 2, trình bày tổng quan về một số phương pháp phát hiện tấn công

tính toàn vẹn dữ liệu, là cơ sở để nghiên cứu và xác định khả năng phát hiện tấn công

tuyến tính của các phương pháp này

2.1 Tổng quan về tấn công tuyến tính

2.1.1 Mô hình đối tượng

Xét hệ thống điều khiển với điểm chịu tấn công tuyến tính được mô tả như hình 2.1,

làm thay đổi dữ liệu truyền không dây tại đầu ra của các cảm biến

ky

Phương pháp tạo phần dư bằng bộ lọc Kalman

Bộ lọc Kalman trạng thái ổn định có thể được mô tả như sau:

38

y   là ước lượng đầu ra (tín hiệu cảm biến)

K  AK là biểu thị độ lợi của Kalman

Cách thức tạo phần dư bằng bộ lọc Kalman được minh họa ở hình 2.2 và 2.3

2.1.3 Chiến lược tấn công tuyến tính

Tấn công tuyến tính là tấn công kiểu mới được mô tả theo phương trình (2.13):

k