Về một phương pháp phát hiện tấn công trong mạng điều hành giám sát công nghiệp

Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 79
VỀ MỘT PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG MẠNG 
ĐIỀU HÀNH GIÁM SÁT CÔNG NGHIỆP 
Nguyễn Đào Trường1*, Nguyễn Doãn Cường2 
Tóm tắt: Bài báo đề xuất về việc sử dụng các mô hình vật lý để phát hiện những 
bất thường trong mạng điều hành giám sát công nghiệp. Đầu tiên là đi phân tích 
một số hình thức tấn công điển hình trong mạng điều hành giám sát công nghiệp, từ 
đó đề xuất giải pháp kết hợp mô hình tuyến tính để ước tính tín hiệu với hai giải 
pháp phát hiện tuần tự và thay đổi trong các thông tin điều khiển để ngăn chặn các 
cuộc tấn công, kéo dài thời gian để người vận hành hệ thống có thể can thiệp hoặc 
ứng phó kịp thời với những thảm họa có thể xảy ra. 
Từ khóa: Mô hình tuyến tính, Hệ thống điều khiển, Tấn công lén lút, Tấn công hình học, Tấn công độ lệch. 
1. GIỚI THIỆU 
Mạng điều hành giám sát công nghiệp (ĐHGSCN) là hệ thống mạng trên cơ sở 
các máy tính để giám sát và điều khiển các quá trình vật lý trong công nghiệp. 
Những mạng này mô tả cho một loạt hệ thống mạng công nghệ thông tin khác 
nhau để kết nối đến những thiết bị vật lý ở những vị trí khác nhau. Dựa trên những 
ứng dụng mà những hệ thống điều khiển này còn được gọi với những cái tên như 
hệ thống điều khiển quá trình PCS (Process Control System), hệ thống điều hành 
giám sát và thu thập dữ liệu SCADA (Supervisory Control and Data Acquisition), 
hệ thống điều khiển phân tán DCS (Distributed Control System) hoặc hệ thống 
mạng vật lý CPS (Cyber-Physical System). Mạng điều hành giám sát công nghiệp 
thường là một tập các trạm được kết nối mạng gồm các bộ cảm biến, các cơ cấu 
chấp hành, các thiết bị xử lý điều khiển như bộ điều khiển logic lập trình được 
PLC (Programmable Logic Controller) và các thiết bị truyền thông. Chẳng hạn như 
trong hệ thống dầu khí và khí đốt sử dụng các hệ thống tích hợp để quản lý các 
hoạt động tinh chế trong nhà máy, giám sát từ xa áp suất và lưu lượng dòng chảy 
trong các ống dẫn khí đốt và điều khiển lưu lượng và đường đi của khí đốt. Trong 
các hệ thống điều hành giám sát công nghiệp hiện đại ngày nay có cấu trúc phân 
tầng[1]. Mục tiêu của cấu trúc điều khiển là: (1) duy trì việc vận hành hệ thống một 
cách an toàn bằng cách hạn chế đến mức thấp nhất những hành vi không mong 
muốn, (2) đáp ứng các nhu cầu sản xuất bằng việc lưu giữ các giá trị quá trình xử 
lý thực tế trong những giới hạn cho phép, (3) tối đa hóa lợi ích sản phẩm. 
2. PHÁT HIỆN TẤN CÔNG TRONG MẠNG ĐHGSCN 
 2.1. Mô hình tấn công 
Xét trường hợp trạng thái của hệ thống được đo bằng một mạng gồm p bộ cảm 
biến với véc-tơ đo lường 1 2( ) ( ), ( ),..., ( )py k y k y k y k , trong đó ( )iy k ký hiệu phép 
đo của bộ cảm biến thứ i tại thời điểm k. Toàn bộ các bộ cảm biến thành một dải 
biểu diễn miền của yi với mọi k. Điều đó tức là tất cả bộ cảm biến xác định giá trị 
nhỏ nhất và lớn nhất min max, ( ) ,i i ik y k y y  , đặt 
min max,i i iY y y . Giả sử mỗi bộ 
cảm biến có một định danh duy nhất được bảo vệ bằng một khóa mật mã. Đặt 
( ) py k   ký hiệu các phép đo nhận được của bộ điều khiển tại thời điểm k. Dựa 
Công nghệ thông tin & Khoa học máy tính 
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 80 
trên các số đo này mà hệ thống điều khiển xác định hành động để duy trì mục đích 
hoạt động nhất định. Nếu một số bộ cảm biến bị tấn công, ( )y k có thể khác với số 
đo thực tế ( )y k ; Giả sử tín hiệu tấn công ( )iy k cũng nằm trong iY (nếu ( )iy k nằm 
ngoài dải này thì rất dễ bị phát hiện bằng các thuật toán fault-tolerant). 
Đặt ,...,a s eK k k mô tả quá trình tấn công trong khoảng thời gian từ ks đến ke. 
Mô hình tổng quát tín hiệu quan sát được như sau: 
( )
( )
, ( )
i a
i
i a i i
y k fork K
y k
a k fork K a k Y
 (1) 
với ai(k) là tín hiệu tấn công. Mô hình tấn công bộ cảm biến này được sử dụng để 
biểu diễn tấn công toàn vẹn và tấn công từ chối dịch vụ (DoS: Dinied of Service). 
Trong tấn công toàn vẹn, giả sử kẻ tấn công đã xâm nhập vào một bộ cảm biến, sau 
đó tiêm vào một giá trị tùy ý, trong trường hợp này ai(k) là một giá trị khác 0. 
Trong tấn công DoS, bộ điều khiển sẽ nhận thấy thiếu những số đo mới và sẽ phản 
ứng tương ứng. Một phản hồi trực quan với bộ điều khiển chống lại tấn công DoS 
là sử dụng tín hiệu nhận được cuối cùng: ai(k) = yi(ks), với yi(ks) là số đo nhận được 
cuối cùng trước khi tấn công DoS bắt đầu. 
2.2. Mô hình tuyến tính 
Để triển khai các thuật toán điều khiển chính xác, các kỹ sư điều khiển thường 
xây dựng một mô hình biểu diễn bắt hành vi của hệ thống vật lý để dự đoán cách 
hệ thống sẽ phản ứng với một tín hiệu điều khiển cho trước. Mô hình quá trình có 
thể được bắt nguồn từ các nguyên tắc đầu tiên hoặc từ dữ liệu đầu vào và ra thực 
nghiệm. Mô hình sử dụng phổ biến là kết hợp cả hai mô hình này; Trong các mô 
hình thực nghiệm thường được điều chỉnh việc tính toán quá trình vật lý đã 
biết[1],[2]. Đối với các ứng dụng yêu cầu an toàn cao, chẳng hạn như ngành công 
nghiệp hàng không vũ trụ, tính mềm dẻo về kỹ thuật và kinh tế để phát triển các 
mô hình phù hợp[1]. Tuy nhiên, đối với phần lớn các hệ thống điều khiển quá 
trình, sự phát triển của các mô hình quá trình khó thỏa mãn về kinh tế, và thậm chí 
không thể có được trong thời gian hợp lý do tính chất phức tạp của hệ thống và các 
quá trình. 
Để thuận lợi cho việc tạo ra các mô hình vật lý, hầu hết các nhà cung cấp điều 
khiển công nghiệp đưa ra các công cụ để phát triển các mô hình hệ thống vật lý từ 
dữ liệu huấn luyện. Mô hình phổ biến nhất là hệ thống tuyến tính. Hệ thống tuyến 
tính có thể được sử dụng cho mô hình động mà là tuyến tính trong trạng thái x(k) 
và đầu vào điều khiển u(k): 
( 1) Ax( ) ( )x k k Bu k (2) 
Với thời gian được biểu diễn bằng k  , x(k) = (x1(k),, xn(k))  là trạng 
thái của hệ thống và u(k) = (u1(k),, um(k))  là đầu vào điều khiển. Ma trận 
ij( )
nxnA a  mô tả phụ thuộc vật lý của trạng thái i vào trạng thái j, và 
ij( )
nxmB b  là ma trận đầu vào với trạng thái i từ đầu vào điều khiển j. Giả sử hệ 
thống (2) được giám sát bởi mạng cảm biến gồm p bộ cảm biến. Chúng ta thu được 
dãy phép đo từ biểu thức quan sát: 
ˆ ( )y Cx k (3) 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 81
Với 1ˆ ˆ ˆ( ( ),..., ( ))
p
py y k y k  và ˆ ( )ly k  là số đo ước lượng thu thập được 
từ bộ cảm biến l tại thời điểm k. Ma trận pxnC  được gọi là ma trận đầu ra. 
Trong bài báo này, chúng tôi sử dụng mô hình hệ thống TE-PCS (Tennessee-
Eastman Process Control System) kết hợp với luật điều khiển nhiều chu trình PI 
được đề xuất bởi Ricker[11]. Khái quát quá trình xử lý và các chu trình điều khiển 
được mô tả trong hình 1. 
Hình 1. Kiến trúc của mạng ĐHGSCN đơn giản theo TE. 
2.3. Phát hiện tấn công 
Phát hiện các tấn công vào hệ thống điều khiển có thể được xây dựng như một 
bài toán phát hiện xâm nhập dựa vào bất thường[3]. Sự khác biệt lớn trong hệ 
thống điều khiển so với hệ thống công nghệ thông tin truyền thông đó là thay vì tạo 
ra các mô hình lưu lượng mạng hoặc hành vi phần mềm, chúng ta có thể sử dụng 
mô hình biểu diễn của hệ vật lý. Về mặt trực, phương pháp này như sau: Nếu 
chúng ta biết chuỗi đầu ra y(k) của hệ thống vật lý như thế nào từ chuỗi đầu vào 
điều khiển u(k) thì bất kỳ tấn công nào vào bộ cảm biến đều có thể phát hiện ngay 
bằng cách so sánh tín hiệu nhận được với tín hiệu mong muốn. Tùy thuộc vào chất 
lượng của ước lượng của chúng ta có thể dẫn tới một số cảnh báo sai. 
Để chuẩn hóa bài toán phát hiện bất thường, chúng ta cần (1) một mô hình hành 
vi của hệ thống vật lý, và (2) một thuật toán phát hiện bất thường. Trong phần 2.2 
chúng tôi đã trình bày về lựa chọn mô hình tuyến tính như một xấp xỉ của các hành 
vi trong hệ thống vật lý. Trong phần này, chúng tôi mô tả lý thuyết phát hiện thay 
đổi và thuật toán phát hiện, chúng tôi sử dụng thống kê phi tham số CUSUM 
(Cumulative Sum). Phương pháp phát hiện tấn công dự trên mô hình vật lý được 
trình bày trong bài báo này có thể được xem như là bổ sung cho các phương pháp 
phát hiện xâm nhập dựa trên mô hình mạng và mô hình hệ thống máy tính. Bởi vì 
chúng tôi cần phát hiện bất thường trong thời gian thực, sử dụng các kết quả từ lý 
thuyết phát hiện tuần tự để đưa ra một nền tảng vững chắc cho cách tiếp cận này. 
Lý thuyết phát hiện tuần tự xem xét bài toán này với thời gian đo không cố định, 
nhưng có thể được chọn trực tuyến với các số đo thu được. Cách phát biểu bài toán 
Công nghệ thông tin & Khoa học máy tính 
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 82 
như vậy gọi là bài toán dừng tối ưu. Hai phát biểu bài toán đó là: Phát hiện tuần tự 
và phát hiện thay đổi. Một khảo sát đầy đủ về những bài toán này được trình bày 
trong Kailath và Poor[4]. 
Trong bài toán dừng tối ưu, đưa ra một chuỗi thời gian tuần tự z(1), z(2), . . . , 
z(N), và mục đích là xác định số lượng mẫu tối thiểu N, lược đồ phát hiện bất 
thường được quan sát trước khi đưa ra một quyết định dN giữa hai giả thuyết: H0 
(hành vi bình thường) và H1 (bị tấn công). Sự khác biệt giữa phát hiện tuần tự và 
phát hiện sự thay đổi là các giả sử trước đó chuỗi z(i) được tạo ra hoặc theo giả 
thuyết hành vi bình thường H0 hoặc theo giả thuyết bị tấn công H1. Mục tiêu là đưa 
ra quyết định xem giả thuyết nào đúng trong thời gian ngắn nhất. Mặt khác, giả sử 
phát hiện thay đổi quan sát z(i) bắt đầu với giả thuyết H0 và sau đó tại thời điểm ks 
thay đổi sang giả thuyết H1. Mục đích là để phát hiện thay đổi này sớm nhất có thể. 
Trong phương pháp phát hiện tấn công của chúng tôi, phát biểu phát hiện thay đổi 
trực quan hơn. Để thuận tiện cho phát biểu trực quan này, chúng tôi mô tả tóm tắt 
hai phát biểu như sau: 
2.3.1. Phát hiện tuần tự 
Cho trước một xác suất cảnh báo sai và xác suất phát hiện cố định, mục đích của 
phát hiện tuần tự là tối thiểu số lượng quan sát cần thiết để đưa gia quyết định giữa 
hai giả thuyết. Giải pháp là thử nghiệm tỷ lệ xác suất tuần tự cổ điển (SPRT 
Sequential Probability Test) của Wald[5] (cũng như TRW – Threshold Random 
Walk trong một số bài báo). SPRT được sử dụng rộng rãi trong nhiều bài toán an 
toàn thông tin như phát hiện quét cổng[6], sâu mạng[7], các proxy sử dụng các 
tham số[8], và các botnet[9]. 
Giả sử quan sát z(k) với giả thuyết Hj được tạo ra với một phân phối xác suất pj, 
thuật toán SPRT có thể được mô tả bằng biểu thức sau: 
1
0
( ( ))
( 1) log ( )
( ( ))
inf {n:S(n) [ , ]}
n
p z k
s k S k
p z k
N L U
 (4) 
Bắt đầu với S(0) = 0. SPRT quyết định quy luật dN được định nghĩa như sau: 
 1
0
 if ( )
 if ( )N
H S n U
d
H S n L
 (5) 
Với ln
1
b
L
a
, 
1
ln
b
U
a
 , a là xác suất cảnh báo sai và b là xác suất phát hiện 
nhầm (thường chọn các giá trị này rất nhỏ), n N được xác định trong (4). 
2.3.2. Phát hiện thay đổi 
Mục đích của bài toán phát hiện thay đổi là phát hiện ra thay đổi có thể tại một 
thời điểm không biết trước ks. Thống kê CUSUM (Cumulative Sum) và thống kê 
Shiryaev-Roberts là hai thuật toán được sử dụng phổ biến nhất trong bài toán phát 
hiện thay đổi. Trong phần này, chúng tôi sử dụng thống kê CUSUM bởi vì nó rất 
đơn giản với SPRT. 
Cho trước tỉ lệ cảnh báo sai cố định, thuật toán cố gắng tối thiểu thời gian N 
(với N>ks) để dừng kiểm tra và quyết định là đã có thay đổi. Đặt S(0) = 0. Thống 
kê CUSUM được nâng cấp như sau: 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 83
 1
0
( ( ))
( 1) log ( )
( ( ))
p z k
S k S k
p z k
 (6) 
Với (a)+ = a nếu a ≥ 0 và bằng 0 trong các trường hợp còn lại. Thời gian dừng sẽ 
là: inf { : ( ) }
n
N n S n  (7) 
Với một ngưỡng cho trước  được lựa chọn dựa trên ràng buộc cảnh báo sai. 
Chúng tôi sử dụng thuật toán CUSUM là một thử nghiệm SPRT với L=0, U= 
và phép thống kê đạt được ngưỡng thấp hơn L sẽ bắt đầu lại. Chúng tôi mô tả sao 
cho phù hợp với các kết quả về lý thuyết phát hiện thay đổi đối với bài toán cụ thể 
trong việc phát hiện các bộ cảm biến bị tấn công. Tiếp theo chúng tôi sử dụng chỉ 
số dưới i để ký hiệu chỉ số tuần tự tương ứng với bộ cảm biến i. 
Một vấn đề phát sinh mà chúng tôi có được trong trường hợp này là chúng tôi 
không biết phân phối xác suất của tấn công p1. Nói chung, đối phương có thể phát 
hiện bất kỳ bất thường nào dãy không cố định zi(k). Giả sử cố định p1 sẽ giới hạn 
khả năng của chúng ta để phát hiện ra một dải các tấn công. 
Để tránh đưa ra những thừa nhận về phân phối xác suất của kẻ tấn công, chúng 
tôi sử dụng ý tưởng xuất phát từ thống kê phi tham số. Chúng tôi không đặt giả 
thiết phân phối xác suất với p1 và p0; thay vào đó là chỉ các giàng buộc ở giữa 
trong chuỗi quan sát. Một trong những giàng buộc đơn giản là giả sử giá trị mong 
đợi của quá trình ngẫu nhiên Zi(k) mà tạo ra chuỗi zi(k) với giả thuyết H0 nhỏ hơn 0 
(  0 0iZ  ) và giá trị mong đợi của Zi(k) với giả thuyết H1 lớn hơn 0 (  1 0iZ  ). 
Để đạt được các điều kiện này cần xác định ˆ( ) ( ) ( )i i i iz k y k y k b  (8) 
Với bi là hằng số dương nhỏ được chọn sao cho 
 0 ˆ( ) ( ) 0i i iy k y k b  (9) 
Thống kê CUSUM phi tham số với bộ cảm biến i là: 
 ( ) ( ( 1) ( )) , (0) 0i i i iS k S k z k S
 (10) 
Và quy luật quyết định tương ứng là 
 1,
0
 if ( )
( ( ))
i i
N i i
H S k
d d S k
H otherwise
 
 (11) 
Với τi là ngưỡng được chọn dựa trên tỷ lệ cảnh báo sai với bộ cảm biến i. 
Theo [10], chúng ta thấy hai kết quả quan trọng của phương trình (10)-(11) đó là: 
- Xác suất cảnh báo sai giảm theo hàm mũ. 
- Thời gian phát hiện tấn công (Ni − ks,i)
+ là tỷ lệ nghịch với bi. 
2.4. Tấn công lén lút 
Vấn đề cơ bản trong phát hiện xâm nhập là sự hiện diện của những đối thủ cạnh 
tranh cố gắng vượt qua lược đồ phát hiện; Vì vậy, chúng tôi coi như đối phương 
biết về lược đồ phát hiện bất thường của chúng tôi. Chúng tôi đưa ra giải pháp để 
đảm bảo trong mô hình của chúng tôi bằng giả thiết kẻ tấn công rất mạnh với sự 
hiểu biết về: (1) mô hình tuyến tính chính xác mà chúng tôi sử dụng (chẳng hạn 
các ma trận A, B và C), (2) các tham số (τi và bi), và (3) các tín hiệu điều khiển. 
Mục đích của kẻ tấn công là tạo ra sức ép trong thùng chứa mà không bị phát 
hiện. Chúng tôi xây dựng mô hình 3 loại tấn công: tấn công lén lút, tấn công độ 
Công nghệ thông tin & Khoa học máy tính 
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 84 
lệch, tấn công hình học. Mô hình tấn công lén lút[13], các kẻ tấn công muốn đạt 
được sự phá hủy tối đa ngay khi chúng truy cập được vào hệ thống. Mô hình tấn 
công độ lệch, các kẻ tấn công cố gắng thay đổi hệ thống một cách rời rạc bằng 
cách thêm vào những xáo trộn nhỏ trong một khoảng thời gian lớn. Cuối cùng, mô 
hình tấn công hình học, các kẻ tấn công cố gắng dịch các hành vi của hệ thống rất 
rời rạc tại thời điểm bắt đầu tấn công và tiếp theo phá hủy tối đa sau đó hệ thống sẽ 
bị chuyển sang trạng thái hoàn toàn mất kiểm soát. 
2.5. Tấn công đột biến 
Trong tấn công đột biến, đối phương cố gắng phá hủy lớn nhất có thể, nhưng 
khi việc thống kê đạt ngưỡng, nó sẽ duy trì tại mức ngưỡng: Si(k) = τ trong phần 
thời gian còn lại của cuộc tấn công. Để lưu lại ở ngưỡng đó, kẻ tấn công cần giải 
phương trình toàn phương sau: 
2
ˆ( ) ( ) ( )i i i i iS k y k y k b   (12) 
Kết quả tấn công (với y2 và y1) là: 
min if S ( 1)
( )
ˆ ( ) ( ) if ( 1)
i i i
i
i i i i i i
y k
y k
y k b S k S k

 
 (13) 
Với y3 sử dụng: 
 3
3 3
min
3 3
3
3 3 3 3
 if S ( )
( )
ˆ ( ) ( ) if ( )
y
y y
y k
y k
y k b S k S k

 
 (14) 
2.6. Tấn công độ lệch 
Trong tấn công độ lệch, kẻ tấn công thêm một hằng số nhỏ ci tại mỗi bước. 
 , ,ˆi k i k i iy y c Y  (15) 
Trong trường hợp này, thống kê phi tham số CUSUM có thể được viết như sau: 
1
0
ˆ( ) ( ) ( )
n
i i i i
k
S n y k y k nb
   (16) 
Giả sử kẻ tấn công bắt đầu tại thời điểm k = 0 và kẻ tấn công muốn không bị 
phát hiện trong thời gian n bước, kẻ tấn công cần giải phương trình sau: 
1
0
n
i i i
k
c nb
  (17) 
Cho nên ci = τi/n + b. Tấn công này tạo ra một độ lệch τi/n + b với mỗi tín hiệu 
tấn công. Biểu thức này cho thấy những giới hạn của kẻ tấn công. Nếu kẻ tấn công 
muốn phá hủy tối đa (độ lệch của một tín hiệu tối đa), kẻ tấn công cần chọn n nhỏ 
nhất. Bởi vì i iy Y  tấn công này làm giảm một cuộc tấn công xung lực. Nếu kẻ 
tấn công muốn tấn công trong thời gian dài thì n sẽ rất lớn. Nếu n rất lớn thì độ 
lệch sẽ nhỏ hơn. 
2.7. Tấn công hình học 
Trong tấn công hình học, kẻ tấn công muốn kéo giá trị xuống rất thấp tại thời 
điểm bắt đầu tấn công và phá hủy tối đa khi kết thúc tấn công. Tấn công này kết 
hợp kéo khởi tạo của tấn công độ lệch xuống thấp với tấn công đột biến tại thời 
điểm kết thúc tấn công để tăng mức phá hủy lên cao nhất. 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 85
Cho α ∈ (0, 1). Tấn công là: ˆ( ) ( )
n k
i i i iy k y k  
  (18) 
Tiếp theo tính và  thỏa mãn Si(n) = τi. 
Giả sử quá trình tấn công bắt đầu tại thời điểm k = 0 và kẻ tấn công muốn không 
bị phát hiện với n bước. Kẻ tấn công cần giải phương trình sau: 
1
0
n
n k
i i i i
k
nb 
  (19) 
Việc bổ sung này là một cấp số nhân. 
1 1
1
1
0 0
1
( )
1
nn n
n k n k i
i i i i i i
k k i
  
  (20) 
Bằng cách cố định , kẻ tấn công có thể chọn xấp xỉ  thỏa mãn biểu thức trên. 
3. ỨNG PHÓ VỚI TẤN CÔNG 
Một thế trận an toàn toàn diện với bất kỳ hệ thống nào nên gồm các nguyên tắc 
ngăn chặn, phát hiện và ứng phó với các tấn công. Ứng phó tự động với các tấn 
công máy tính là một trong những bài toán cơ bản trong an toàn thông tin. Trong 
khi hầu hết các kết quả nghiên cứu tìm thấy trong các công trình nghiên cứu hướng 
đến ngăn chặn (xác thực, điều khiển truy cập, mật mã, ...) hoặc phát hiện (các hệ 
thống phát hiện xâm nhập), trong thực tế có khá nhiều nguyên tắc ứng phó. 
( )y k
ˆ( )y k
 Hình 2. Mô hình phát hiện tấn công đề xuất. 
Chúng tôi xây dựng một mô-đun ước tính cho trạng thái của hệ thống (theo mô 
hình tuyến tính) và một chiến lược ứng phó phù hợp cho hệ thống điều khiển sử 
dụng ước tính này theo phương pháp thống kê. Với giải pháp này khi phát hiện bất 
thường thì hệ thống sẽ tự bật báo động (hình 2). Với bộ cảm biến i, nếu Si(k) > τi, 
mô-đun phát hiện thay đổi CDM (Change Detection Module) sử dụng phương 
pháp phát hiện thay đổi trong phần 2.3 thay thế tất cả các số đo bộ cảm biến ( )iy k 
bằng các số đo được tạo ra bởi mô hình tuyến tính ˆ ( )iy k (tức là bộ điều khiển sẽ 
nhận đầu vào ˆ ( )iy k thay vì nhận ( )iy k ). Mặt khác, nó xem ( )iy k như là tín hiệu 
chính xác của bộ cảm biến. 
Trong kiến trúc phát hiện và phản ứng đề xuất trong hình 2, chúng tôi hy vọng 
nếu có một cảnh báo sai, việc điều khiển hệ thống bằng cách sử dụng các giá trị ước 
tính từ hệ thống tuyến tính sẽ không gây ra bất kỳ sự mất an toàn hệ thống nào. 
Công nghệ thông tin & Khoa học máy tính 
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 86 
Hình 3. Không có mô-đun phát hiện thay đổi. 
Hình 4. Mô-đun phát hiện tấn công thay đổi 
và ứng phó với tấn công tại thời điểm t=5,1. 
Nguyên tắc phản ứng tự động làm việc tốt khi chúng tôi thực hiện tấn công (với 
2 20.5*y y  .) Hình 3 và hình 4 cho thấy khi phát hiện tấn công, chiến lược phản 
ứng sẽ được sử dụng để giữ cho hệ thống an toàn. Kết quả tương tự nhận được với 
tất cả các tấn công có thể phát hiện được. Mặc dù cơ chế phản ứng tấn công là một 
giải pháp tốt khi các cảnh báo thực sự là dấu hiệu của cuộc tấn công, lo ngại chính 
của chúng tôi trong phần này là chi phí của các cảnh báo sai. 
Mặc dù cơ chế phản ứng tấn công thực hiện tốt khi các cảnh báo thực sự xác 
định dấu hiệu của các tấn công, mối quan tâm chính của chúng tôi là chi phí cảnh 
báo sai. Để giải quyết mối quan tâm này chúng tôi thực hiện lại kịch bản mô phỏng 
với các tham số 
1
5,y 2 1000,y 3 20y hệ thống của chúng tôi không phát hiện 
bất kỳ cảnh báo sai nào; vì vậy chúng tôi quyết định giảm các ngưỡng xuống thành 
1
1,y 2 100,y 3 2y và thực hiện tương tự. Chúng tôi thấy rằng trong khi cơ 
chế phản ứng lỗi làm tăng áp suất trong bể chưa, nó không bao giờ đạt đến các 
mức không an toàn. Áp suất tối đa thu được trong quá trình điều khiển hệ thống 
dựa trên mô hình tuyến tính là 248kPa, có cùng độ lớn với những thay đổi bình 
thường của áp suất không có bất kỳ cảnh báo sai nào (246kPa). 
Trong nghiên cứu của chúng tôi, ngay khi hệ thống được duy trì ở mức an toàn 
bằng phản ứng tự động, chiến lược phản ứng của chúng tôi chỉ là một giải pháp 
tạm thời trước khi người vận hành có thể phản ứng với những cảnh báo đó. Dựa 
trên những kết quả này chúng tôi hy vọng có đủ thời gian để con người có thể kịp 
thời phản ứng với những hiểm họa lớn. 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số 44, 08 - 2016 87
4. KẾT LUẬN 
Trong bài báo này, chúng tôi nhận thấy một số thách thức nghiên cứu để đảm 
bảo an toàn trong hệ thống điều khiển cũng như trong mạng ĐHGSCN. Bằng cách 
kết hợp một mô hình vật lý của hệ thống, chúng ta có thể xác định các bộ cảm biến 
quan trọng nhất và các cuộc tấn công. Chúng tôi đề xuất sử dụng các cơ chế phản 
ứng tự động dựa trên những ước tính trạng thái của hệ thống. Phản ứng tự động có 
thể gặp một số vấn đề trong một số trường hợp (đặc biệt nếu việc phản ứng với 
một cảnh báo sai phải chi phí tốn kém); Vì vậy, chúng tôi muốn nhấn mạnh cơ chế 
phả ứng tự động nên được coi là một giải pháp tạm thời trước khi con người được 
điều động đến để điều tra cảnh báo đó. Một biện pháp triển khai đầy đủ với bất kỳ 
cơ chế phản ứng nào nên đi vào xem xét lượng thời gian phù hợp để người vận 
hành phản ứng với cảnh báo và khả năng hiệu quả của phản ứng với cảnh báo sai. 
Tuy nhiên, với hệ thống điều khiển quy mô lớn thì việc thiết kế thường không 
linh hoạt và có thể trở thành mục tiêu của các tấn công tiềm tàng nếu khả năng 
phục hồi không được xây dựng ngay trong việc thiết kế từ vị trí đầu tiên. Vì vậy, ý 
tưởng của chúng tôi liên quan tới tất cả các khía cạnh an toàn trong vận hành cho 
đến khi có cách thiết kế bài bản với tất cả các tình huống tấn công vào cấu trúc và 
thuật toán điều khiển. 
TÀI LIỆU THAM KHẢO 
[1]. Quin, S. J. and Badgwell, T. A., “A survey of industrial model predictive 
control technology”, Control Engineering Practice 11(7), 2003, pp.733-764. 
[2]. Rawlings, J., “Tutorial overview of model predictive control”, Control 
Systems Maga-zine, IEEE 20(3), 2000, pp.38–52. 
[3]. Denning, D., “An intrusion-detection model”, Software Engineering, IEEE 
Transac- tions on SE-13(2), 1987, pp.222–232. 
[4]. Kailath, T. and Poor, H. V., “Detection of stochastic processes”, IEEE 
Transactions on Information Theory 44(6), 1998, pp.2230–2258. 
[5]. Wald, A., “Sequential Analysis”, J. Wiley & Sons, New York, NY, 1947. 
[6]. Jung, J., Paxson, V., Berger, A. and Balakrishan, H., “Fast portscan 
detection using sequential hypothesis testing”, in Proceedings of the 2004 
IEEE Symposium on Security and Privacy, 2004, pp. 211–225. 
[7]. Schechter, S. and Berger, J. J. A., “Fast detection of scanning worm 
infections”, in ‘Proc. of the Seventh International Symposium on Recent 
Advances in Intrusion Detection (RAID)’, 2004. 
[8]. Xie, M., Yin, H. andWang, H., “An effective defense against email spam 
laundering”, in Proceedings of the 13th ACM Conference on Computer and 
Communications Security, 2006, pp. 179–190. 
[9]. Gu, G., Zhang, J. and Lee, W., “Botsniffer: Detecting botnet command and 
control channels in network traffic”, in Proceedings of the 15th Annual 
Network and Distributed System Security Symposium (NDSS’08), San 
Diego, CA, 2008. 
[10]. Brodsky, B. and Darkhovsky, B., “Non-Parametric Methods in Change-
Point Problems”, Kluwer Academic Publishers, 1993. 
Công nghệ thông tin & Khoa học máy tính 
N. Đ. Trường, N. D. Cường, “Về một phương pháp giám sát công nghiệp.” 88 
[11]. Ricker, N., “Model predictive control of a continuous, nonlinear, two-phase 
reactor”, Journal of Process Control 3(2), 1993, pp. 109–123. 
[12]. Bedjaoui, N. and Weyer, E., “Algorithms for leak detection, estimation, 
isolation and localization in open water channels”, Control Engineering 
Practice (forthcoming), 2011. 
[13]. Amin, S., Litrico, X., Sastry, S. and Bayen, A., “Stealthy deception attacks 
on water SCADA systems”, in Proc. 13th ACM International Conference on 
Hybrid Systems: Computation and Control, pp. 161–170, 2010. 
[14]. Alpcan, T. and Basar, T., “Network Security: A Decision and Game 
Theoretic Approach”, Cambridge University Press, Philadelphia, 2011. 
ABSTRACT 
A DETECTION METHOD OF ATTACKING ON THE NETWORKED 
INDUSTRIAL SUPERVISOR AND MONITOR SYSTEM 
 The articale proposes the use of physical models to detect anomalies in 
networked industrial supervisory and control system. First of all, we 
analyzes some types of attack on the networked industrial supervisor and the 
control system, then we proposed solutions combining linear model to 
estimate signal with two sequential and change detection solutions in 
information controls to prevent the attacks, the human operatiors have 
enough time to intervene or response with disasters that may occur. 
Keywords: Linear model, Control system, Stealthy attack, Geometric attack, Bias attack. 
Nhận bài ngày 11 tháng 05 năm 2016 
Hoàn thiện ngày 12 tháng 08 năm 2016 
Chấp nhận đăng ngày 17 tháng 08 năm 2016 
Địa chỉ: 1 Học viện Kỹ thuật Mật mã – Ban Cơ yếu chính phủ; 
 2 Viện Công nghệ thông tin – Viện KH-CN quân sự. 
 * Email: truongnguyendaoact@hotmail.com