Tóm tắt: Nghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệp

Nghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệpNghiên cứu giải pháp nâng cao an toàn thông tin trong các hệ thống điều khiển công nghiệp

BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC BÁCH KHOA HÀ NỘI

Công trình được hoàn thành tại Đại học Bách Khoa Hà Nội

Người hướng dẫn khoa học: 1 TS Cung Thành Long 2 PGS.TS Lê Minh Thùy

Phản biện 1: PGS.TS Trương Xuân Tùng Phản biện 2: PGS.TS Trần Đức Tân Phản biện 3: TS Phạm Ngọc Minh

Luận án được bảo vệ trước Hội đồng đánh giá luận án tiến sĩ cấp Đại học Bách khoa Hà Nội họp tại Đại học Bách khoa Hà Nội

Vào hồi ……giờ, ngày … tháng … năm 2024

Có thể tìm hiểu luận án tại thư viện:

1 Thư viện Tạ Quang Bửu - ĐHBK Hà Nội 2 Thư viện Quốc gia Việt Nam

MỞ ĐẦU

Các hệ thống điều khiển giám sát và thu thập dữ liệu SCADA (Supervisory Control and Data Acquisition) nói riêng, hay tổng quát hơn là các hệ thống điều khiển phân tán công nghiệp (DCS – Distributed Control System), là các hệ thống được sử dụng để giám sát, điều khiển các trạm, hay nhà máy xí nghiệp công nghiệp với nhiều quy mô khác nhau Để thực hiện các chức năng của hệ thống, việc thu thập, truyền nhận và kiểm soát, đảm bảo tính toàn vẹn của dữ liệu là rất quan trọng Các hệ thống điều khiển công nghiệp có thể bị tấn công phối hợp không chỉ trên cơ sở hạ tầng vật chất mà còn trên lớp truyền thông và trung tâm điều khiển, với nhiều điểm tấn công khác nhau [1]–[12] Vì vậy, vấn đề đảm bảo an toàn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn Hiện nay, có hai hướng nghiên cứu chính về đảm bảo an toàn thông tin trong các hệ thống điều khiển công nghiệp Hướng thứ nhất tập trung vào các thuật toán/ phương pháp phát hiện điểm bất thường của chuỗi dữ liệu truyền trong hệ thống Các phương pháp có thể kể đến bao gồm CHI2, CUSUM, FSS (Fixed-Size Sample), WL CUSUM (Window Limited Cumulative SUM), FMA (Finite Moving Average) – áp dụng khi biết thông số kỳ vọng, phương sai của hệ thống khi có thay đổi bất thường; hoặc GLR (Generalized Likelihood Ratio), WLR (Weighted Likelihood Ratio) khi chưa biết kỳ vọng, phương sai của hệ thống khi có thay đổi bất thường [13] Hướng thứ hai tập trung nâng cao khả năng phát hiện sai lệch dữ liệu trong cấp điều khiển, giám sát của các hệ thống điều khiển công nghiệp, sử dụng bộ dữ liệu mẫu mô phỏng các trường hợp bị tấn công điển hình Vấn đề này hiện đang nhận được nhiều sự quan tâm [14] Đối với vấn đề phát hiện xâm nhập dữ liệu, các phương pháp học máy truyền thống [15]–[19] và các kiến trúc mạng nơ ron học sâu (đối với các mảng dữ liệu lớn) [20]–[24] đang được nghiên cứu khá rộng rãi Ngoài ra, nhiều nhóm cũng nỗ lực nghiên cứu xây dựng các bộ dữ liệu để phát hiện xâm nhập của các dạng tấn công trong hệ thống SCADA [22], [25]–[27]

LATS này trình bày các nghiên cứu về ảnh hưởng của tấn công tuyến tính tới tính toàn vẹn dữ liệu trong hệ thống điều khiển công nghiệp, từ đó đề xuất các phương pháp dò tìm, phát hiện tấn công tuyến tính trong trường hợp vượt qua phương pháp K-L Ngoài ra, tác giả cũng đề xuất một dạng mô hình xếp chồng để cải thiện chất lượng trong việc phát hiện sự xâm nhập của một số dạng tấn công trong các hệ thống SCADA Mô hình đề xuất đã được tối ưu hóa và thử nghiệm trên bộ dữ liệu quốc tế (bộ dữ liệu đường ống dẫn khí Turnipseed)

Bố cục luận án gồm phần mở đầu, bốn chương nội dung nghiên cứu và kết luận, kiến nghị Toàn bộ nội dung trình bày trong 116 trang (không gồm phụ lục), trong đó có 22 bảng và 66 hình

CHƯƠNG 1 TỔNG QUAN VẤN ĐỀ AN TOÀN THÔNG TIN TRONG

HỆ THỐNG ĐIỀU KHIỂN CÔNG NGHIỆP 1.1 Tổng quan về hệ thống điều khiển công nghiệp

Kiến trúc của một hệ thống điều khiển công nghiệp bao gồm ba cấp chính: cấp giám sát điều khiển, cấp điều khiển tự động và cấp chấp hành

1.2 Vấn đề an toàn thông tin trong hệ thống điều khiển công nghiệp

1.2.1 Một số cuộc tấn công hệ thống điều khiển công nghiệp

Cuộc tấn công vào Hệ thống trạm biến áp cao áp, máy tính, thiết bị mạng ở Ukraine (2022)

Cuộc tấn công vào nhà máy sản xuất nhôm ở Mỹ Norsk Hydro (2019) Cuộc tấn công vào nhà máy sản xuất chip lớn nhất ở Đài Loan TSMC (2018) Cuộc tấn công vào nhà máy công nghiệp ở Trung Đông (2017

Cuộc tấn công vào Telvent ở Canada (2012) Virus Stuxnet (2010)

1.2.2 Các điểm tấn công

Hình 1.3 Các điểm có khả năng bị tấn công trong hệ thống điều khiển Các điểm có khả năng bị tấn công trong hệ thống điều khiển công nghiệp được mô tả ở hình 1.3 Trong đó các phương thức tấn công ở điểm A1, A2, A3 là một số thủ đoạn tấn công nhằm vào lớp điều khiển giám sát, thông qua việc chiếm quyền truy cập vào trung tâm điều khiển từ các ứng dụng trên web server; lan truyền virus phá hoại cấu hình mạng điều khiển, giám sát của nhà máy; A4 là chiếm quyền truy cập vào các kênh truyền thông giữa trung tâm điều khiển và các trạm; A5, A6 là tấn công vào liên kết truyền thông giữa MTU và PLC /RTU; A7 là tấn công đường kết nối mạng giữa nhà máy và nhà thầu; A8 là tấn công các thiết bị đầu cuối hiện trường; A9 là tấn công đường tín hiệu gửi từ bộ điều khiển cho các thiết bị truyền động; A10 là tấn công các tín hiệu phản hồi được truyền từ các bộ cảm biến để điều khiển; A0

là tấn công cơ học trực tiếp vào các thiết bị ở lớp vật lý của các hệ thống điều khiển công nghiệp Vì vậy, các nghiên cứu đảm bảo an toàn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn

1.2.3 Một số lỗ hổng dễ bị tấn công

Các sự cố mạng gần đây cho thấy việc khai thác các lỗ hổng của hệ thống điều khiển công nghiệp hiện đại đang được thực hiện rất tốt để từ đó nhằm vào các cuộc tấn công trên cơ sở hạ tầng mạng quan trọng Để cải thiện sự an toàn của hệ thống, việc cần thiết là phải kiểm tra các lỗ hổng của toàn hệ thống điều khiển công nghiệp để từ đó đưa ra các biện pháp bảo vệ

1.3 Các dạng tấn công điển hình và phân loại

Hình 1.4 Một số dạng tấn công điển hình

1.4 Kết luận chương 1

Các hệ thống điều khiển công nghiệp (tập trung hoặc phân tán) là các hệ thống được sử dụng để giám sát, điều khiển các trạm, hay nhà máy xí nghiệp công nghiệp với nhiều quy mô khác nhau Để thực hiện các chức năng của hệ thống, việc thu thập, truyền nhận và kiểm soát, đảm bảo tính toàn vẹn của dữ liệu là rất quan trọng Cùng với sự phát triển của công nghệ thông tin và truyền thông, các hệ thống điều khiển công nghiệp dễ bị tấn công phối hợp không chỉ trên các cơ sở hạ tầng vật chất mà còn trên lớp truyền thông và trung tâm điều khiển Vì vậy, các nghiên cứu đảm bảo an toàn dữ liệu cho các hệ thống điều khiển công nghiệp đang được quan tâm lớn Hiện nay, có hai hướng nghiên cứu chính Đó là nghiên cứu các thủ đoạn tấn công mới nhằm đánh giá khả năng của các phương pháp bảo mật thông tin, và hướng nghiên cứu thứ hai là tập trung xây dựng các phương pháp phát hiện dữ liệu bị tấn công

Theo hướng nghiên cứu thứ nhất, hiện có thể phân loại một số phương pháp tấn công như tấn công từ chối dịch vụ – DoS, tấn công tính toàn vẹn dữ liệu truyền nhận giữa các lớp, hoặc trong các lớp mạng của hệ thống điều khiển, bằng các hình thức như làm sai lệch thông tin, chèn thông tin giả, [4] Gần đây, có công bố về phương pháp tấn công tuyến tính của nhóm nghiên cứu tại Đại học Công nghệ Hồng Kông [6] Đây là phương pháp tấn công vào

tính toàn vẹn dữ liệu ở cấp hiện trường với độ nguy hiểm cao, tập trung vào điểm tấn công A9 và A10 (hình 1.3) Nhóm nghiên cứu đã chỉ ra rằng, thuật toán phát hiện tấn công K-L hoàn toàn có thể bị vượt qua với kiểu tấn công này [5], [6] Nội dung này sẽ được trình bày chi tiết hơn trong chương 2 của luận án

Hướng nghiên cứu thứ hai, về đảm bảo an toàn thông tin, hiện nhận được nhiều sự quan tâm và có nhiều công trình được công bố Một nhóm nghiên cứu ở học viện Kỹ thuật mật mã áp dụng phương pháp CUSUM để phát hiện một số dạng tấn công điển hình (tấn công đột ngột (surge attack), tấn công phân cực (bias attack), tấn công hình học (geometric attack) trên đối tượng một vào một ra – SISO [45]

Trong luận án này, kế thừa các kết quả của hướng nghiên cứu thứ nhất, NCS sẽ tập trung vào hướng nghiên cứu thứ hai, cụ thể nghiên cứu các phương pháp phát hiện tấn công tuyến tính tại các điểm tấn công A9 và A10 trong hệ thống điều khiển công nghiệp (hình 1.3) và kiểm chứng khả năng phát hiện tấn công tuyến tính của các phương pháp này (chương 3)

Đồng thời, NCS cũng sẽ tiến hành nghiên cứu đề xuất mô hình cho phép nâng cao khả năng phát hiện tấn công tính toàn vẹn dữ liệu trong các hệ thống điều khiển công nghiệp, sử dụng bộ dữ liệu quốc tế đã công bố [4] (chương 4)

CHƯƠNG 2 TỔNG QUAN TẤN CÔNG TUYẾN TÍNH VÀ MỘT SỐ

PHƯƠNG PHÁP TẤN CÔNG TÍNH TOÀN VẸN DỮ LIỆU 2.1 Tổng quan về tấn công tuyến tính

2.1.1 Mô hình đối tượng

Xét hệ thống điều khiển với điểm chịu tấn công tuyến tính được mô tả như hình 2.1, làm thay đổi dữ liệu truyền không dây tại đầu ra của các cảm biến

Hình 2.1 Sơ đồ minh họa vị trí chịu tấn công tuyến tính

Trong đó, phương trình mô tả tín hiệu tại đầu vào và đầu ra của cảm biến được viết như trong (2.1) và (2.2) [5]:

2.1.3 Chiến lược tấn công tuyến tính

Tấn công tuyến tính là tấn công kiểu mới được mô tả theo phương trình (2.13):

với m mk

T - ma trận tấn công tuyến tính

0, 

b N  - biến ngẫu nhiên dạng Gaussian

Theo [51], dưới tác động của tấn công tuyến tính, tín hiệu cảm biến yk

bị biến đổi thành yk thỏa mãn (2.9) và (2.13)

+ Tấn công tuyến tính với hệ thống biết đủ thông số, + Tấn công tuyến tính với hệ thống không biết đủ thông số

2.2 Đánh giá mức độ ảnh hưởng của tấn công tuyến tính lên hệ thống so với một số dạng tấn công khác

2.2.1 Đánh giá mức độ ảnh hưởng của tấn công tuyến tính thông qua hiệp phương sai của sai số ước lượng trong bộ ước lượng từ xa

Xét hệ thống vô hướng (Scalar) với thành phần m = 1, tấn công tuyến tính zk Tkzk bk có Tk là đại lượng vô hướng

Hiệp phương sai của sai số ước lượng trong hệ thống khi không có tấn công P được xác định từ phương trình (2.40) [6]:

; N 0; ;

0; v ; v ; ,

z z k T T T T TTrường hợp này xảy ra khi Tk 1; bk 0

Từ phương trình (2.43), ta có:

PAP A  Q  (2.46) với điểm đầu thỏa mãn (2.47)

2.2.2 Kiểm chứng bằng mô phỏng a) Xét hệ thống Scalar ổn định b) Xét hệ thống Scalar không ổn định

2.3 Phương pháp phát hiện tấn công Kullback - Leibler

Các tác giả trong [5] đã nghiên cứu khả năng tấn công tuyến tính vượt qua phương pháp phát hiện sai lệch dữ liệu K-L Đây là một phương pháp phát hiện lỗi được đánh giá cao, dựa trên nguyên tắc tính độ chênh giữa hai chuỗi giá trị ngẫu nhiên zk và zk Giả sử fzk  v fà zk  là hàm mật độ của

z zz z

với  là ngưỡng phát hiện đặt trước của phương pháp K-L

Tấn công tuyến tính sẽ vượt qua phương pháp phát hiện K-L khi xác định được Tk, thoả mãn (2.54) [5]: k

với Tr P k là vết của ma trận hiệp phương sai khi dữ liệu bị tấn công Trong đó ma trận Pk được tính như công thức (2.55) [5]:

PAP A   Q KKPC T KKT CP (2.55) Theo [53], ta có nghiệm tối đa *

z của (2.55), thỏa mãn: 1

1 2 T

 và  1, , ,2 m là các giá trị riêng của K KT

Theo quy hoạch lồi Karush Kuhn Tucker, từ (2.56), ta có mối quan hệ giữa các ngưỡng  và  thoả mãn phương trình (2.57) [5]:

Tr CPPC TT

0, 1 hay ,0, ,

Trong đó các ma trận  0, 1 được tính theo công thức (2.61):

Điều này cho thấy tính nguy hiểm của dạng tấn công tuyến tính

2.4 Tổng quan một số phương pháp phát hiện tấn công tính toàn vẹn dữ liệu

Hình 2.11 Các phương pháp phát hiện tấn công 2.4.1 Phương pháp FSS

1T

 

X N   Phương pháp CUSUM xét tỷ lệ thay đổi thực sự ki

S (likelihood ratio – LLR), (như được minh họa ở hình 2.14, xác định theo công thức (2.72) và (3.20) [13], [55] Tỷ lệ k

S có xu hướng biến thiên đơn điệu khi không có thay đổi bất thường trong tín hiệu, và đổi chiều biến thiên tại thời điểm xảy ra thay đổi bất thường Thuật toán CUSUM được minh họa qua công thức (2.71) và (2.72)

1kk L

  

2.4.4 Phương pháp WL CUSUM

Phương pháp WL CUSUM (Window Limited Cumulative SUM) là một trường hợp đặc biệt của phương pháp CUSUM Xu hướng biến thiên của tỷ lệ thay đổi thực sự (LLR)  k

 được minh qua ở hình 2.15 Dễ thấy trước điểm thay đổi k0 và sau điểm thay đổi k0 L 1, đạo hàm của tỷ lệ thay đổi thực sự (LLR) có giá trị âm, còn trong khoảng k0 và k0 L 1 thì đạo hàm này có giá trị dương Thời điểm cảnh báo tấn công được xác định từ điều kiện [13], [34], [57]:

 

trong đó, h là ngưỡng cảnh báo được chọn trước; i 0 với i1, ,L là các trọng số tương thích các bộ lọc hệ quả hay là các hệ số được xác định trước

L k iki

k ii

 

Lập luận tương tự như ở phương pháp CUSUM, từ (2.95), ta có tỷ lệ thay đổi (LLR) của phương pháp FMA tính được theo công thức (2.96):

trong đó: m mk

trung nghiên cứu, chứng minh tấn công tuyến tính có khả năng vượt qua một phương pháp phát hiện tấn công, chưa nghiên cứu các phương pháp dò tìm, phát hiện dạng tấn công này Do đó, tìm hiểu các phương pháp dò tìm, phát hiện loại tấn công này là hướng nghiên cứu có ý nghĩa và cần thiết Tổng quan một số phương pháp phát hiện tấn công toàn vẹn dữ liệu đã được trình bày ở cuối chương 2, và các kết quả nghiên cứu về khả năng phát hiện tấn công tuyến tính của các phương pháp này sẽ được trình bày trong chương 3 của luận án

a) Tổng quan đối tượng thứ hai

Trong luận án này, tác giả xét thêm mô hình tổng quát của quá trình trộn nhiệt trong các nhà máy sản xuất thực phẩm nói chung, và trong các nhà máy sản xuất bia nói riêng Sơ đồ công nghệ của quá trình này được minh họa như trong hình 3.11 Xét bình trộn nhiệt với các thông số:

và chu kỳ lấy mẫu TS  0.1( ).s

Ta có mô hình trạng thái không liên tục của đối tượng bình trộn nhiệt:

Do ở đây ta không quan tâm tín hiệu điều khiển, giả sử uk 0, đối tượng có thể được mô tả dưới dạng phương trình (2.1) và (2.2) Trong đó, các ma trận hiệp phương sai của nhiễu trắng được chọn trong các mô phỏng là:

Hình 3.9 Khả năng phát hiện tấn công tuyến tính với ngưỡng  0,5 và

 0,1h

Bằng các ma trận Tk,k đã xác định vượt qua phương pháp K-L, xây dựng bộ dữ liệu giả lập có tấn công tuyến tính xảy ra trong khoảng thời gian từ 20s đến 40s với tổng thời gian mô phỏng dài 50s Chúng ta phân tích một số kết quả mô phỏng dưới đây Tại ngưỡng phát hiện của bốn phương pháp này h =0.1, áp dụng các công thức (2.40; 2.44; 2.65; 2.77; 2.78; 2.80; 2.87; 2.85; 2.86; 2.90; 2.92; 2.93) tính thời điểm cảnh báo tấn công, ta có kết quả mô phỏng như trong hình 3.9 Kết quả này cho thấy, trong khoảng thời gian xảy ra tấn công tuyến tính đã giả lập, phương pháp WL CUSUM đã phát hiện ra loại tấn công này tại thời điểm TWL21 , s nu1 (phát hiện đúng) và phương pháp FMA cũng phát hiện được tấn công tuyến tính tại thời điểm

25 , 1

T  s nu Bên cạnh đó, phương pháp CUSUM và CHI2 đã cảnh báo sai do nu1, TCS 4 , s TCHI22s, không nằm trong khoảng thời gian xảy ra tấn công

Các hình 3.9, 3.10 và 3.11 cho thấy rằng: dù vượt qua phương pháp K-L ở bất kỳ ngưỡng  nào, nhưng tấn công tuyến tính vẫn có thể được phát hiện bằng phương pháp CHI2, CUSUM, WL CUSUM hay FMA (thể hiện qua xác suất cảnh báo sai Pfathấp và xác suất phát hiện sai thời điểm Pm d thấp) Thứ hai, phương pháp FMA, WL CUSUM, CUSUM có khả năng phát hiện tấn công tuyến tính tốt hơn phương pháp phi tham số truyền thống CHI2 (với cùng điều kiện mô phỏng, xác suất cảnh báo sai Pfacủa phương pháp CHI2 lớn hơn nhiều xác suất cảnh báo sai Pfacủa phương pháp WL CUSUM, FMA) Điều này có thể được giải thích rằng phương pháp CHI2 chỉ sử dụng dữ liệu trước thời điểm thay đổi bất thường, còn các phương pháp CUSUM, WL CUSUM, FMA sử dụng dữ liệu trước và sau khi có thay đổi bất thường Thứ ba, cùng với dải xác suất cảnh báo sai Pfathích hợp (từ10-5 tới 100), xác suất phát hiện sai thời điểm Pm d của phương pháp FMA thấp hơn xác suất phát hiện sai thời điểm Pm d của các phương pháp CHI2, CUSUM, WL CUSUM Hay nói cách khác, phương pháp FMA có khả năng phát hiện tấn công tuyến tính tốt hơn các phương pháp còn lại

Hình 3.12 Đánh giá khả năng phát hiện tấn công tuyến tính bằng các phương pháp khi K-L bị vượt qua với ngưỡng 2.5