Tóm tắt: Nghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệp

Nghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệp

BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC BÁCH KHOA HÀ NỘI

Công trình được hoàn thành tại Đại học Bách Khoa Hà Nội

Người hướng dẫn khoa học:

1 TS Cung Thành Long

2 PGS.TS Lê Minh Thùy

Phản biện 1: PGS.TS Trương Xuân Tùng

Vào hồi ……giờ, ngày … tháng … năm 2024

Có thể tìm hiểu luận án tại thư viện:

1 Thư viện Tạ Quang Bửu - ĐHBK Hà Nội

2 Thư viện Quốc gia Việt Nam

MỞ ĐẦU

Các hệ thống điều khiển giám sát và thu thập dữ liệu SCADA (Supervisory Control and Data Acquisition) nói riêng, hay tổng quát hơn là các hệ thống điều khiển phân tán công nghiệp (DCS – Distributed Control System), là các hệ thống được sử dụng để giám sát, điều khiển các trạm, hay nhà máy xí nghiệp công nghiệp với nhiều quy mô khác nhau Để thực hiện các chức năng của hệ thống, việc thu thập, truyền nhận và kiểm soát, đảm bảo tính toàn vẹn của dữ liệu là rất quan trọng Các hệ thống điều khiển công nghiệp có thể bị tấn công phối hợp không chỉ trên cơ sở hạ tầng vật chất mà còn trên lớp truyền thông và trung tâm điều khiển, với nhiều điểm tấn công khác nhau [1]–[12] Vì vậy, vấn đề đảm bảo an toàn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn Hiện nay, có hai hướng nghiên cứu chính về đảm bảo an toàn thông tin trong các hệ thống điều khiển công nghiệp Hướng thứ nhất tập trung vào các thuật toán/ phương pháp phát hiện điểm bất thường của chuỗi dữ liệu truyền trong hệ thống Các phương pháp có thể kể đến bao gồm CHI2, CUSUM, FSS (Fixed-Size Sample), WL CUSUM (Window Limited Cumulative SUM), FMA (Finite Moving Average) – áp dụng khi biết thông số kỳ vọng, phương sai của hệ thống khi

có thay đổi bất thường; hoặc GLR (Generalized Likelihood Ratio), WLR (Weighted Likelihood Ratio) khi chưa biết kỳ vọng, phương sai của hệ thống khi có thay đổi bất thường [13] Hướng thứ hai tập trung nâng cao khả năng phát hiện sai lệch dữ liệu trong cấp điều khiển, giám sát của các hệ thống điều khiển công nghiệp, sử dụng bộ dữ liệu mẫu mô phỏng các trường hợp bị tấn công điển hình Vấn đề này hiện đang nhận được nhiều sự quan tâm [14] Đối với vấn đề phát hiện xâm nhập dữ liệu, các phương pháp học máy truyền thống [15]–[19] và các kiến trúc mạng nơ ron học sâu (đối với các mảng dữ liệu lớn) [20]–[24] đang được nghiên cứu khá rộng rãi Ngoài ra, nhiều nhóm cũng nỗ lực nghiên cứu xây dựng các bộ dữ liệu để phát hiện xâm nhập của các dạng tấn công trong hệ thống SCADA [22], [25]–[27]

LATS này trình bày các nghiên cứu về ảnh hưởng của tấn công tuyến tính tới tính toàn vẹn dữ liệu trong hệ thống điều khiển công nghiệp, từ đó đề xuất các phương pháp dò tìm, phát hiện tấn công tuyến tính trong trường hợp vượt qua phương pháp K-L Ngoài ra, tác giả cũng đề xuất một dạng mô hình xếp chồng để cải thiện chất lượng trong việc phát hiện sự xâm nhập của một

số dạng tấn công trong các hệ thống SCADA Mô hình đề xuất đã được tối

ưu hóa và thử nghiệm trên bộ dữ liệu quốc tế (bộ dữ liệu đường ống dẫn khí Turnipseed)

Bố cục luận án gồm phần mở đầu, bốn chương nội dung nghiên cứu và kết luận, kiến nghị Toàn bộ nội dung trình bày trong 116 trang (không gồm phụ lục), trong đó có 22 bảng và 66 hình

CHƯƠNG 1 TỔNG QUAN VẤN ĐỀ AN TOÀN THÔNG TIN TRONG

HỆ THỐNG ĐIỀU KHIỂN CÔNG NGHIỆP

1.1 Tổng quan về hệ thống điều khiển công nghiệp

Kiến trúc của một hệ thống điều khiển công nghiệp bao gồm ba cấp

chính: cấp giám sát điều khiển, cấp điều khiển tự động và cấp chấp hành

1.2 Vấn đề an toàn thông tin trong hệ thống điều khiển công nghiệp

1.2.1 Một số cuộc tấn công hệ thống điều khiển công nghiệp

Cuộc tấn công vào Hệ thống trạm biến áp cao áp, máy tính, thiết bị mạng ở

Ukraine (2022)

Cuộc tấn công vào nhà máy sản xuất nhôm ở Mỹ Norsk Hydro (2019)

Cuộc tấn công vào nhà máy sản xuất chip lớn nhất ở Đài Loan TSMC (2018)

Cuộc tấn công vào nhà máy công nghiệp ở Trung Đông (2017

Cuộc tấn công vào Telvent ở Canada (2012)

Virus Stuxnet (2010)

1.2.2 Các điểm tấn công

Hình 1.3 Các điểm có khả năng bị tấn công trong hệ thống điều khiển

Các điểm có khả năng bị tấn công trong hệ thống điều khiển công nghiệp

được mô tả ở hình 1.3 Trong đó các phương thức tấn công ở điểm A1, A2,

A3 là một số thủ đoạn tấn công nhằm vào lớp điều khiển giám sát, thông qua

việc chiếm quyền truy cập vào trung tâm điều khiển từ các ứng dụng trên web

server; lan truyền virus phá hoại cấu hình mạng điều khiển, giám sát của nhà

máy; A4 là chiếm quyền truy cập vào các kênh truyền thông giữa trung tâm

điều khiển và các trạm; A5, A6 là tấn công vào liên kết truyền thông giữa

MTU và PLC /RTU; A7 là tấn công đường kết nối mạng giữa nhà máy và

nhà thầu; A8 là tấn công các thiết bị đầu cuối hiện trường; A9 là tấn công

đường tín hiệu gửi từ bộ điều khiển cho các thiết bị truyền động; A10 là tấn

công các tín hiệu phản hồi được truyền từ các bộ cảm biến để điều khiển; A0

là tấn công cơ học trực tiếp vào các thiết bị ở lớp vật lý của các hệ thống điều khiển công nghiệp Vì vậy, các nghiên cứu đảm bảo an toàn dữ liệu cho các

hệ thống điều khiển công nghiệp đang được quan tâm lớn

1.2.3 Một số lỗ hổng dễ bị tấn công

Các sự cố mạng gần đây cho thấy việc khai thác các lỗ hổng của hệ thống điều khiển công nghiệp hiện đại đang được thực hiện rất tốt để từ đó nhằm vào các cuộc tấn công trên cơ sở hạ tầng mạng quan trọng Để cải thiện sự an toàn của hệ thống, việc cần thiết là phải kiểm tra các lỗ hổng của toàn hệ thống điều khiển công nghiệp để từ đó đưa ra các biện pháp bảo vệ

1.3 Các dạng tấn công điển hình và phân loại

Hình 1.4 Một số dạng tấn công điển hình

1.4 Kết luận chương 1

Các hệ thống điều khiển công nghiệp (tập trung hoặc phân tán) là các

hệ thống được sử dụng để giám sát, điều khiển các trạm, hay nhà máy xí nghiệp công nghiệp với nhiều quy mô khác nhau Để thực hiện các chức năng của hệ thống, việc thu thập, truyền nhận và kiểm soát, đảm bảo tính toàn vẹn của dữ liệu là rất quan trọng Cùng với sự phát triển của công nghệ thông tin

và truyền thông, các hệ thống điều khiển công nghiệp dễ bị tấn công phối hợp không chỉ trên các cơ sở hạ tầng vật chất mà còn trên lớp truyền thông và trung tâm điều khiển Vì vậy, các nghiên cứu đảm bảo an toàn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn Hiện nay, có hai hướng nghiên cứu chính Đó là nghiên cứu các thủ đoạn tấn công mới nhằm đánh giá khả năng của các phương pháp bảo mật thông tin, và hướng nghiên cứu thứ hai là tập trung xây dựng các phương pháp phát hiện dữ liệu

bị tấn công

Theo hướng nghiên cứu thứ nhất, hiện có thể phân loại một số phương pháp tấn công như tấn công từ chối dịch vụ – DoS, tấn công tính toàn vẹn dữ liệu truyền nhận giữa các lớp, hoặc trong các lớp mạng của hệ thống điều khiển, bằng các hình thức như làm sai lệch thông tin, chèn thông tin giả, [4] Gần đây, có công bố về phương pháp tấn công tuyến tính của nhóm nghiên cứu tại Đại học Công nghệ Hồng Kông [6] Đây là phương pháp tấn công vào

tính toàn vẹn dữ liệu ở cấp hiện trường với độ nguy hiểm cao, tập trung vào

điểm tấn công A9 và A10 (hình 1.3) Nhóm nghiên cứu đã chỉ ra rằng, thuật

toán phát hiện tấn công K-L hoàn toàn có thể bị vượt qua với kiểu tấn công

này [5], [6] Nội dung này sẽ được trình bày chi tiết hơn trong chương 2 của

luận án

Hướng nghiên cứu thứ hai, về đảm bảo an toàn thông tin, hiện nhận

được nhiều sự quan tâm và có nhiều công trình được công bố Một nhóm

nghiên cứu ở học viện Kỹ thuật mật mã áp dụng phương pháp CUSUM để

phát hiện một số dạng tấn công điển hình (tấn công đột ngột (surge attack),

tấn công phân cực (bias attack), tấn công hình học (geometric attack) trên đối

tượng một vào một ra – SISO [45]

Trong luận án này, kế thừa các kết quả của hướng nghiên cứu thứ nhất,

NCS sẽ tập trung vào hướng nghiên cứu thứ hai, cụ thể nghiên cứu các

phương pháp phát hiện tấn công tuyến tính tại các điểm tấn công A9 và A10

trong hệ thống điều khiển công nghiệp (hình 1.3) và kiểm chứng khả năng

phát hiện tấn công tuyến tính của các phương pháp này (chương 3)

Đồng thời, NCS cũng sẽ tiến hành nghiên cứu đề xuất mô hình cho phép

nâng cao khả năng phát hiện tấn công tính toàn vẹn dữ liệu trong các hệ thống

điều khiển công nghiệp, sử dụng bộ dữ liệu quốc tế đã công bố [4] (chương

4)

CHƯƠNG 2 TỔNG QUAN TẤN CÔNG TUYẾN TÍNH VÀ MỘT SỐ

PHƯƠNG PHÁP TẤN CÔNG TÍNH TOÀN VẸN DỮ LIỆU

2.1 Tổng quan về tấn công tuyến tính

2.1.1 Mô hình đối tượng

Xét hệ thống điều khiển với điểm chịu tấn công tuyến tính được mô tả

như hình 2.1, làm thay đổi dữ liệu truyền không dây tại đầu ra của các cảm

Hình 2.1 Sơ đồ minh họa vị trí chịu tấn công tuyến tính

Trong đó, phương trình mô tả tín hiệu tại đầu vào và đầu ra của cảm

biến được viết như trong (2.1) và (2.2) [5]:

Trường hợp bị tấn công, tín hiệu ra của cảm biến bị thay đổi như

mô tả trong công thức (2.9):

2.1.3 Chiến lược tấn công tuyến tính

Tấn công tuyến tính là tấn công kiểu mới được mô tả theo phương trình (2.13):

b N  - biến ngẫu nhiên dạng Gaussian

Theo [51], dưới tác động của tấn công tuyến tính, tín hiệu cảm biến yk

bị biến đổi thành y k thỏa mãn (2.9) và (2.13)

+ Tấn công tuyến tính với hệ thống biết đủ thông số,

+ Tấn công tuyến tính với hệ thống không biết đủ thông số

2.2 Đánh giá mức độ ảnh hưởng của tấn công tuyến tính lên hệ thống so với một số dạng tấn công khác

2.2.1 Đánh giá mức độ ảnh hưởng của tấn công tuyến tính thông qua hiệp phương sai của sai số ước lượng trong bộ ước lượng từ xa

Xét hệ thống vô hướng (Scalar) với thành phần m = 1, tấn công tuyến tính z k  Tkzk  bk có Tk là đại lượng vô hướng

Hiệp phương sai của sai số ước lượng trong hệ thống khi không có tấn công P được xác định từ phương trình (2.40) [6]:

Giả sử hệ thống vô hướng trên chịu sự tác tộng của kiểu tấn công được

mô tả như trong (2.45)

Từ phương trình (2.43), ta có:

P   AP A    Q  (2.46) với điểm đầu thỏa mãn (2.47)

2.3 Phương pháp phát hiện tấn công Kullback - Leibler

Các tác giả trong [5] đã nghiên cứu khả năng tấn công tuyến tính vượt qua phương pháp phát hiện sai lệch dữ liệu K-L Đây là một phương pháp phát hiện lỗi được đánh giá cao, dựa trên nguyên tắc tính độ chênh giữa hai chuỗi giá trị ngẫu nhiên z k và zk Giả sử fzk  v fà z k  là hàm mật độ của

Tấn công tuyến tính sẽ vượt qua phương pháp phát hiện K-L khi xác định được Tk, thoả mãn (2.54) [5]: k

với Tr P  k là vết của ma trận hiệp phương sai khi dữ liệu bị tấn công Trong

đó ma trận Pk được tính như công thức (2.55) [5]:

P   AP A     Q K  K  PC T K  KT CP (2.55) Theo [53], ta có nghiệm tối đa *

 và  1, , ,2 m là các giá trị riêng của K KT

Theo quy hoạch lồi Karush Kuhn Tucker, từ (2.56), ta có mối quan hệ giữa các ngưỡng  và  thoả mãn phương trình (2.57) [5]:

Ma trận Tk thỏa mãn (2.54) được xác định từ việc giải phương trình tối

ưu quy hoạch lồi (2.58) [5]:

k T

k

Tr CPPC T

TT

Điều này cho thấy tính nguy hiểm của dạng tấn công tuyến tính

2.4 Tổng quan một số phương pháp phát hiện tấn công tính toàn vẹn dữ liệu

Hình 2.11 Các phương pháp phát hiện tấn công

1 T

Phương pháp CUSUM có khác biệt so với phương pháp K-L và CHI2

ở điểm là: phương pháp này áp dụng lý thuyết Wald phân tích tính bất thường trong dữ liệu [13], [55] Xét hệ ngẫu nhiên X x x 1 , 2 , x kT  N ,  Giả sử khi chưa bị tấn công thì X N,0 và khi bị tấn công thì

X N   Phương pháp CUSUM xét tỷ lệ thay đổi thực sự k

i

S (likelihood ratio – LLR), (như được minh họa ở hình 2.14, xác định theo công thức (2.72) và (3.20) [13], [55] Tỷ lệ k

i

S có xu hướng biến thiên đơn điệu khi không có thay đổi bất thường trong tín hiệu, và đổi chiều biến thiên tại thời điểm xảy ra thay đổi bất thường Thuật toán CUSUM được minh họa qua công thức (2.71) và (2.72)

với 1 là chỉ số các điểm khi có thay đổi bất thường, 0 là chỉ số các điểm khi không

có thay đổi bất thường

S

1 k

k L

S  

Hình 2.14 Minh họa phương pháp

CUSUM phát hiện dữ liệu bị tấn công

Hình 2.15 Minh họa phương pháp WL- CUSUM phát hiện dữ liệu bị tấn côngTiêu chuẩn để xác định dữ liệu có bị tấn công hay không được tính như công thức (2.73):

 

 

1 0

tử xk L 1 và bổ sung phần tử xk1để tạo thành bộ L các phần tử quan sát

1 1 1

trong đó, h là ngưỡng cảnh báo được chọn trước; i 0 với i1, ,L là các trọng

số tương thích các bộ lọc hệ quả hay là các hệ số được xác định trước

log

L k i

k i

k i i

0 k 1

k L   k TFMA

 0 

0 : k

Hình 2.16 Minh họa phương pháp FMA

phát hiện dữ liệu bị tấn công

Hình 3.4 Sơ đồ công nghệ hệ thống bình

trộn nhiệt Lập luận tương tự như ở phương pháp CUSUM, từ (2.95), ta có tỷ lệ thay đổi (LLR) của phương pháp FMA tính được theo công thức (2.96):

ln

T k

về mảng tấn công tuyến tính Các nhóm nghiên cứu trên thế giới hiện chỉ tập

trung nghiên cứu, chứng minh tấn công tuyến tính có khả năng vượt qua một phương pháp phát hiện tấn công, chưa nghiên cứu các phương pháp dò tìm, phát hiện dạng tấn công này Do đó, tìm hiểu các phương pháp dò tìm, phát hiện loại tấn công này là hướng nghiên cứu có ý nghĩa và cần thiết Tổng quan một số phương pháp phát hiện tấn công toàn vẹn dữ liệu đã được trình bày ở cuối chương 2, và các kết quả nghiên cứu về khả năng phát hiện tấn công tuyến tính của các phương pháp này sẽ được trình bày trong chương 3 của luận án

CHƯƠNG 3 NGHIÊN CỨU KHẢ NĂNG PHÁT HIỆN TẤN CÔNG TUYẾN TÍNH CỦA CÁC PHƯƠNG PHÁP CHI-SQUARED,

CUSUM, WL CUSUM, FMA 3.1 Đối tượng chịu tác động tấn công

3.1.1 Đối tượng thứ nhất - Khảo sát tác động của tấn công tuyến tính và phương pháp K-L

Trong luận án này, để kiểm tra khả năng phát hiện tấn công tuyến tính của các phương pháp CHI2 và CUSUM, WL CUSUM, FMA, tác giả thử nghiệm trên cùng mô hình của một hệ thống điều khiển quá trình MIMO với hai cảm biến, đã được các tác giả trong [5] công bố

a) Tổng quan đối tượng thứ hai

Trong luận án này, tác giả xét thêm mô hình tổng quát của quá trình trộn nhiệt trong các nhà máy sản xuất thực phẩm nói chung, và trong các nhà máy sản xuất bia nói riêng Sơ đồ công nghệ của quá trình này được minh họa như trong hình 3.11 Xét bình trộn nhiệt với các thông số:

và chu kỳ lấy mẫu TS  0.1( ).s

Ta có mô hình trạng thái không liên tục của đối tượng bình trộn nhiệt:

Do ở đây ta không quan tâm tín hiệu điều khiển, giả sử uk 0, đối tượng có thể được mô tả dưới dạng phương trình (2.1) và (2.2) Trong đó, các

ma trận hiệp phương sai của nhiễu trắng được chọn trong các mô phỏng là:

Hình 3.9 Khả năng phát hiện tấn công tuyến tính với ngưỡng  0,5 và

 0,1 h

Bằng các ma trận Tk,k đã xác định vượt qua phương pháp K-L, xây dựng bộ

dữ liệu giả lập có tấn công tuyến tính xảy ra trong khoảng thời gian từ 20s đến 40s với tổng thời gian mô phỏng dài 50s Chúng ta phân tích một số kết quả mô phỏng dưới đây Tại ngưỡng phát hiện của bốn phương pháp này h =0.1, áp dụng các công thức (2.40; 2.44; 2.65; 2.77; 2.78; 2.80; 2.87; 2.85; 2.86; 2.90; 2.92; 2.93) tính thời điểm cảnh báo tấn công, ta có kết quả mô phỏng như trong hình 3.9 Kết quả này cho thấy, trong khoảng thời gian xảy ra tấn công tuyến tính đã giả lập, phương pháp WL CUSUM đã phát hiện ra loại tấn công này tại thời điểm TWL 21 , s nu  1 (phát hiện đúng) và phương pháp FMA cũng phát hiện được tấn công tuyến tính tại thời điểm

25 , 1

FMA

T  s nu Bên cạnh đó, phương pháp CUSUM và CHI2 đã cảnh báo sai

do nu1, TCS 4 , s TCHI22s, không nằm trong khoảng thời gian xảy ra tấn công