Một phương án tổ chức ngữ cảnh dữ liệu cho bộ phát hiện tấn công mạng scada sử dụng mạng nơron MLP

Bài viết giới thiệu một mô hình IDS cho hệ SCADA có khả năng phát hiện tấn công trong hệ SCADA với độ chính xác cao. Mô hình này được xây dựng dựa trên mạng nơron MLP với hai lớp ẩn và sử dụng giải thuật di truyền để xác định số lượng nơron tối ưu trong các lớp ẩn.
Nội dung trích xuất từ tài liệu:
Một phương án tổ chức ngữ cảnh dữ liệu cho bộ phát hiện tấn công mạng scada sử dụng mạng nơron MLP Journal of Science and Technique - N.206 (5-2020) - Le Quy Don Technical University MỘT PHƯƠNG ÁN TỔ CHỨC NGỮ CẢNH DỮ LIỆU CHO BỘ PHÁT HIỆN TẤN CÔNG MẠNG SCADA SỬ DỤNG MẠNG NƠRON MLP Nguyễn Văn Xuân*, Phạm Văn Nguyên, Nguyễn Tăng Cường Đại học Kỹ thuật Lê Quý Đôn Tóm tắt Bài báo giới thiệu một mô hình IDS cho hệ SCADA có khả năng phát hiện tấn công trong hệ SCADA với độ chính xác cao. Mô hình này được xây dựng dựa trên mạng nơron MLP với hai lớp ẩn và sử dụng giải thuật di truyền để xác định số lượng nơron tối ưu trong các lớp ẩn. Điểm đặc biệt của mô hình được đề xuất nằm ở khả năng xem xét các mẫu dữ liệu trong ngữ cảnh để mạng nơron MLP nhận dạng tấn công chính xác hơn. Để tạo ngữ cảnh, tập dữ liệu ban đầu được xây dựng lại thành các vectơ ngữ cảnh gồm nhiều gói tin liên tiếp nhau trước khi đưa vào mạng nơron MLP. Các kết quả thử nghiệm cho thấy mô hình đề xuất có độ chính xác vượt trội. Từ khóa: Phát hiện tấn công; mạng nơron MLP; IDS; hệ thống SCADA. 1. Giới thiệu Hệ thống SCADA (Supervisory Control and Data Acquisition) quan trọng tầm quốc gia hoặc của các doanh nghiệp lớn luôn có nguy cơ bị tấn công từ các mã độc hại, tin tặc, từ các nhà thầu cạnh tranh nhau, từ khủng bố,... Ví dụ: Năm 2000, các trạm bơm dịch vụ nước Maroochy ở Úc bị tấn công làm dừng hệ thống [1]. Năm 2003, một sâu máy tính vượt qua tường lửa xâm nhập vào hệ thống SCADA tại nhà máy hạt nhân Davis Besse ở Ohio [2]. Năm 2010, Stuxnet [3] tấn công vào nhà máy hạt nhân Iran, sâu Stuxnet đã cảnh báo cho cả thế giới mức độ nghiêm trọng của các lỗ hổng đe dọa đến hệ thống SCADA. Tấn công (hay xâm nhập) nói chung được hiểu là một nỗ lực để phá vỡ hoặc lạm dụng vào một hệ thống [4]. Thông thường các cuộc tấn công đều dựa trên việc khai thác các lỗ hổng của hệ thống, có nghĩa là nếu một hệ thống bị tấn công, nó còn tồn tại các lỗ hổng. Do đó, nhiệm vụ của các nhà quản trị mạng là phải phát hiện ra các cuộc tấn công càng sớm càng tốt để có các biện pháp bảo mật phù hợp nhằm giảm thiểu rủi ro cho hệ thống và tránh thiệt hại cho doanh nghiệp. Khái niệm IDS (Intrusion detection system) dùng để chỉ các hệ thống an ninh nhằm phát hiện ra các xâm nhập như vậy [4, 5, 6]. IDS là thành phần quan trọng trong cơ sở hạ tầng an ninh mạng. Các hệ thống IDS thực hiện việc kiểm tra, giám sát hệ thống dựa trên các hoạt động của mạng để tìm và phát hiện * Email: xuannv8171@gmail.com 98 Journal of Science and Technique - N.206 (5-2020) - Le Quy Don Technical University một cách sớm nhất có thể các cuộc xâm nhập, tấn công sau đó kích hoạt cảnh báo tấn công để các nhà quản trị mạng có biện pháp xử lý kịp thời trong trường hợp bị tấn công. Các hệ thống IDS được phân loại theo 2 dạng chính: IDS dựa trên dấu hiệu tấn công và IDS dựa trên bất thường. Các IDS dựa trên dấu hiệu tấn công sử dụng kỹ thuật phân tích, so sánh, tìm kiếm nhằm phát hiện ra các dấu hiệu tấn công điển hình (mà hệ thống đã biết) để đưa ra cảnh báo về các cuộc tấn công. Còn các IDS dựa trên bất thường phát hiện ra các tấn công dựa vào các kỹ thuật phát hiện các dữ liệu bất thường trong hệ thống. Có nghĩa là hệ thống IDS này cần phải biết các đặc điểm của dữ liệu bình thường và nếu nó phát hiện các dữ liệu không bình thường thì đưa ra cảnh báo về các cuộc tấn công. Để phát hiện tấn công trong các hệ thống IDS kể trên, có thể sử dụng các kỹ thuật của máy học [4] như: Support Vector Machine (SVM), mạng nơron RBF (Radial Basis Function), cây quyết định, mạng nơron nhân tạo… Ngoài ra, các IDS được áp dụng cho các hệ thống IT (Information Technology) đơn thuần có thể không hoàn toàn phù hợp với hệ thống SCADA, do bản chất của hệ thống IT và hệ thống SCADA công nghiệp là khác nhau. Chính vì vậy, trong những năm gần đây, có nhiều nghiên cứu về an ninh cho hệ thống SCADA công nghiệp và nhiều mô hình IDS cho hệ SCADA công nghiệp được đề xuất. Trong [5], tác giả đề xuất 2 phương pháp phát hiện xâm nhập dựa trên kỹ thuật SVM: Phương pháp K-OCSVM kết hợp K-means clustering với One-class SVM và phương pháp IT-OCSVM sử dụng thông tin phân tích mạng xã hội (SNA - Social Network Analysis) nhằm gắn thêm trọng số cho các gói tin từ các nguồn khác nhau rồi kết hợp với K-means clustering và OCSVM để phân loại các gói tin là bình thường hay tấn công. Theo tác giả thì 2 phương pháp này thích hợp sử dụng cho các hệ SCADA lớn, SCADA phân tán. Phương pháp thứ nhất có ưu điểm là khả năng phát hiện tốt nhưng đôi khi lại làm giảm hiệu năng của hệ thống. Phương pháp thứ hai cải thiện khả năng phát hiện cũng như giảm tải cho hệ thống và thích hợp cho các ứng dụng thời gian thực. Kết quả phát hiện của phương pháp trên tập kiểm tra đạt 99,05% và trên các tập dữ liệu từ các nguồn khác là 97,07%. Trong [6], các tác giả sử dụng mạng nơron nhân tạo cùng tác thuật toán học sâu (Deep learning) nhằm phân loại các gói tin bình thường và gói tin tấn công trong hệ SCADA. Các gói tin trong mô hình thử nghiệm được các tác giả bắt bằng công cụ Wireshark, sau đó sử dụng một số công cụ lọc, mã hoá để có được tập dữ liệu. Tập dữ liệu này được chia thành hai tập con 70% cho huấn luyện và 30% cho kiểm tra. Kết quả phân loại trên tập kiểm tra khá cao 99,89%. Phương pháp được sử dụng trong [5] chưa thực sự tốt khi thử nghiệm trên các tập dữ liệu độc lập và quá trình xử lý thông tin khá phức tạp. Còn trong [6], thử nghiệm cho kết quả rất tốt đối với tập dữ liệu kiểm tra được tách ra từ chính tập dữ liệu thực nghiệm 99 Journal of Science and Technique - N.206 (5-2020) - Le Quy Don Technical University của tác giả, tuy nhiên phương ...