Original Title: Anomaly and attack detection in supervisory control networks for cyber-physical systems
Source: doi.org/10.3850/978-981-14-8593-0
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ការរកឃើញភាពមិនប្រក្រតី និងការវាយប្រហារនៅក្នុងបណ្តាញត្រួតពិនិត្យសម្រាប់ប្រព័ន្ធ Cyber-Physical

ចំណងជើងដើម៖ Anomaly and attack detection in supervisory control networks for cyber-physical systems

អ្នកនិពន្ធ៖ Ernesto Del Prete (National Institute for Insurance against Accidents at Work, Italy), Fabio Pera (National Institute for Insurance against Accidents at Work, Italy), Luca Faramondi (Campus Bio-Medico University of Rome, Italy), Camilla Fioravanti (Campus Bio-Medico University of Rome, Italy), Simone Guarino (Campus Bio-Medico University of Rome, Italy), Gabriele Oliva (Campus Bio-Medico University of Rome, Italy), Roberto Setola (Campus Bio-Medico University of Rome, Italy)

ឆ្នាំបោះពុម្ព៖ 2020 ESREL2020-PSAM15

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ឯកសារនេះដោះស្រាយបញ្ហានៃភាពងាយរងគ្រោះរបស់ប្រព័ន្ធត្រួតពិនិត្យ និងប្រមូលទិន្នន័យ (SCADA) នៅក្នុងប្រព័ន្ធ Cyber-Physical (CPS) ទៅនឹងការវាយប្រហារតាមអ៊ីនធឺណិតដែលអាចបណ្តាលឱ្យមានការខូចខាតដល់ហេដ្ឋារចនាសម្ព័ន្ធរូបវន្តផ្ទាល់។

វិធីសាស្ត្រ (The Methodology)៖ ការសិក្សានេះប្រើប្រាស់ការក្លែងធ្វើប្រព័ន្ធចែកចាយទឹកខ្នាតតូច ដោយរួមបញ្ចូលបច្ចេកវិទ្យាប្រព័ន្ធភ្លោះឌីជីថល (Digital Twin) ដើម្បីតាមដាន និងវិភាគការវាយប្រហារបណ្តាញកុំព្យូទ័រប្រភេទ Man-in-the-Middle (MITM)។

លទ្ធផលសំខាន់ៗ (The Verdict)៖

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method) គុណសម្បត្តិ (Pros) គុណវិបត្តិ (Cons) លទ្ធផលគន្លឹះ (Key Result)
Digital Twin vs Standard MITM Attack
ប្រព័ន្ធ Digital Twin ទល់នឹងការវាយប្រហារ MITM ធម្មតា		 មានប្រសិទ្ធភាពខ្ពស់ក្នុងការរកឃើញការកែប្រែទិន្នន័យព្រំដែន ឬការវាយប្រហារដែលមិនមានភាពស៊ីចង្វាក់គ្នាជាមួយរូបវន្ត ដោយផ្អែកលើការប្រៀបធៀបគំរូព្យាករណ៍។ ពឹងផ្អែកខ្លាំងលើការកំណត់កម្រិត Threshold (β) ឱ្យបានត្រឹមត្រូវ ដើម្បីចៀសវាងការលោតសញ្ញាប្រកាសអាសន្នខុស (False alarm)។ Digital Twin អាចប្រកាសអាសន្នបានជោគជ័យ ដោយចាប់បានរាល់ភាពខុសគ្នាធំរវាងទិន្នន័យជាក់ស្តែង និងទិន្នន័យព្យាករណ៍ នៅពេលអត្រាភាពខុសគ្នានេះធំជាងកម្រិតកំណត់ (r > β)។
Digital Twin vs Stealth MITM Attack
ប្រព័ន្ធ Digital Twin ទល់នឹងការវាយប្រហារ MITM បែបលួចលាក់		 ទោះបីជាបរាជ័យក្នុងការរកឃើញ ក៏វាបានបង្ហាញពីតម្រូវការចាំបាច់ក្នុងការបញ្ចូលប្រព័ន្ធតាមដានចរាចរណ៍បណ្តាញ (Network Traffic Monitor) បន្ថែមពីលើ DT ផងដែរ។ មានចំណុចខ្សោយធ្ងន់ធ្ងរ ព្រោះមិនអាចរកឃើញការវាយប្រហារដែលក្លែងបន្លំទិន្នន័យសេនស័រឱ្យស្របតាមគំរូគណិតវិទ្យានៃប្រព័ន្ធរូបវន្តបានឡើយ។ ប្រព័ន្ធបរាជ័យក្នុងការប្រកាសអាសន្ន ដោយសារតម្លៃភាពខុសគ្នានៅតូចជាងកម្រិតកំណត់ (r < β) ដែលបណ្តាលឱ្យប្រតិបត្តិករធ្វើការសម្រេចចិត្តខុសនិងធ្វើឱ្យទឹកហូរហៀរ។

ការចំណាយលើធនធាន (Resource Cost)៖ ឯកសារនេះបានបញ្ជាក់ពីការប្រើប្រាស់ប្រព័ន្ធសាកល្បងខ្នាតតូច (Testbed) សម្រាប់ការក្លែងធ្វើ ដោយទាមទារទាំងផ្នែករឹងនិងផ្នែកទន់ជាក់លាក់។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះត្រូវបានធ្វើឡើងនៅក្នុងមន្ទីរពិសោធន៍ ដោយប្រើប្រាស់ប្រព័ន្ធក្លែងធ្វើចែកចាយទឹកខ្នាតតូច (Small-scale hardware simulator) ជាមួយនឹងពិធីការ Modbus ធម្មតា។ ទោះបីជាវាមិនមែនជាប្រព័ន្ធជាក់ស្តែងខ្នាតធំ ប៉ុន្តែវាមានសារៈសំខាន់សម្រាប់ប្រទេសកម្ពុជាក្នុងការយល់ដឹងពីចំណុចខ្សោយនៃហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ (Critical Infrastructures) ដែលកំពុងចាប់ផ្តើមប្រើប្រាស់ប្រព័ន្ធឌីជីថល។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

វិធីសាស្ត្រនេះមានសារៈសំខាន់ខ្លាំងសម្រាប់ប្រព័ន្ធគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធរដ្ឋ និងឯកជននៅក្នុងប្រទេសកម្ពុជា ដែលកំពុងផ្លាស់ប្តូរទៅកាន់ប្រព័ន្ធស្វ័យប្រវត្តិកម្ម។

សរុបមក ការរួមបញ្ចូលគ្នារវាងម៉ូដែល Digital Twin និងការត្រួតពិនិត្យសុវត្ថិភាពបណ្តាញ គឺជាយុទ្ធសាស្ត្រដ៏ចាំបាច់មួយដើម្បីការពារហេដ្ឋារចនាសម្ព័ន្ធជាតិរបស់កម្ពុជាពីការគំរាមកំហែងតាមអ៊ីនធឺណិតនាពេលអនាគត។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

  1. យល់ដឹងពីមូលដ្ឋានគ្រឹះនៃ SCADA និងពិធីការទិន្នន័យ: និស្សិតឬអ្នកស្រាវជ្រាវគួរចាប់ផ្តើមសិក្សាពីដំណើរការនៃប្រព័ន្ធ SCADA និងពិធីការ Modbus/TCP protocol ដែលប្រើប្រាស់ទូទៅក្នុងឧស្សាហកម្ម ដោយប្រើប្រាស់ឧបករណ៍ក្លែងធ្វើដូចជា Modbus Simulator
  2. សិក្សាអំពីចំណុចខ្សោយនិងការវាយប្រហារបណ្តាញ: អនុវត្តការសាកល្បងសុវត្ថិភាពបណ្តាញ (Penetration Testing) នៅក្នុងមន្ទីរពិសោធន៍ ដោយប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Kali Linux ដើម្បីរៀនពីរបៀបធ្វើ ARP Spoofing និង Man-in-the-Middle (MITM) attacks ប្រឆាំងនឹងពិធីការ Modbus។
  3. អភិវឌ្ឍគំរូ Digital Twin សម្រាប់ប្រព័ន្ធរូបវន្ត: ប្រើប្រាស់ភាសាកម្មវិធី PythonMATLAB ដើម្បីបង្កើតម៉ូដែលគណិតវិទ្យា (Mathematical Models) ដែលអាចក្លែងធ្វើនិងព្យាករណ៍ពីអាកប្បកិរិយារបស់ប្រព័ន្ធរូបវន្ត (ឧទាហរណ៍ កម្រិតទឹក សម្ពាធ ឬលំហូរអគ្គិសនី)។
  4. បង្កើតប្រព័ន្ធរកឃើញភាពមិនប្រក្រតី (Anomaly Detection): សរសេរកូដដើម្បីប្រៀបធៀបទិន្នន័យជាក់ស្តែងពីសេនស័រ ជាមួយនឹងទិន្នន័យព្យាករណ៍ពី Digital Twin រួចធ្វើការវិភាគគណនា និងកំណត់តម្លៃ Threshold (β) សម្រាប់ប្រកាសអាសន្ននៅពេលមានការវាយប្រហារកែប្រែទិន្នន័យ។
  5. រួមបញ្ចូលប្រព័ន្ធតាមដានចរាចរណ៍បណ្តាញ (Network Traffic Monitoring): ដើម្បីទប់ទល់នឹងការវាយប្រហារបែបលួចលាក់ (Stealth attacks) ដែលអាចបោកបញ្ឆោត Digital Twin បាន ត្រូវប្រើប្រាស់ឧបករណ៍ដូចជា WiresharkZeek (Bro) មកភ្ជាប់បញ្ចូលគ្នា ដើម្បីតាមដានទាំងសកម្មភាពរូបវន្ត និងកញ្ចប់ទិន្នន័យក្នុងបណ្តាញ (Network Packets) ក្នុងពេលតែមួយ។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស ការពន្យល់ជាខេមរភាសា (Khmer Explanation) និយមន័យសាមញ្ញ (Simple Definition)
Cyber-Physical Systems (CPS) ប្រព័ន្ធដែលរួមបញ្ចូលគ្នារវាងផ្នែករូបវន្ត (ម៉ាស៊ីន ឧបករណ៍ ឬបរិក្ខារជាក់ស្តែង) ជាមួយនឹងផ្នែកកុំព្យូទ័រ និងបណ្តាញទំនាក់ទំនង ដើម្បីប្រមូលទិន្នន័យ ត្រួតពិនិត្យ និងបញ្ជាដំណើរការដោយស្វ័យប្រវត្តិ។ ដូចជារថយន្តទំនើបដែលអាចបើកបរដោយខ្លួនឯង ដែលមានកង់និងម៉ាស៊ីន (ផ្នែករូបវន្ត) ដំណើរការរួមគ្នាជាមួយប្រព័ន្ធកុំព្យូទ័រនិងសេនស័រកាមេរ៉ា (ផ្នែកសាយប័រ)។
Digital Twin (DT) គំរូឌីជីថលនៃប្រព័ន្ធរូបវន្តពិតប្រាកដ ដែលត្រូវបានបង្កើតឡើងក្នុងកុំព្យូទ័រដោយប្រើប្រាស់រូបមន្តគណិតវិទ្យា ដើម្បីក្លែងធ្វើ តាមដាន និងព្យាករណ៍ពីអាកប្បកិរិយារបស់ប្រព័ន្ធពិតនោះក្នុងពេលជាក់ស្តែង។ ដូចជាការលេងហ្គេមស៊ីមូឡាទ័រ (Simulator) ហោះហើរ ដែលវាចម្លងគ្រប់សកម្មភាពនិងប្រតិកម្មរបស់យន្តហោះពិតៗមកដាក់លើអេក្រង់ ដើម្បីឱ្យយើងដឹងពីអ្វីដែលអាចកើតឡើងជាមុន។
SCADA ប្រព័ន្ធគ្រប់គ្រងខ្នាតធំដែលប្រមូលទិន្នន័យពីសេនស័រតាមរោងចក្រ ឬបណ្តាញហេដ្ឋារចនាសម្ព័ន្ធ ហើយបញ្ជូនទៅកាន់កុំព្យូទ័រមេ ដើម្បីឱ្យប្រតិបត្តិករអាចតាមដាននិងបញ្ជាពីចម្ងាយបានយ៉ាងងាយស្រួល។ ដូចជាបន្ទប់បញ្ជាកណ្តាលនៅក្នុងប្រព័ន្ធកាមេរ៉ាសុវត្ថិភាព ដែលសន្តិសុខអាចមើលឃើញនិងបញ្ជាបើកបិទទ្វារនៅគ្រប់ទីតាំងទាំងអស់ពីកន្លែងតែមួយ។
Man in the middle attack (MITM) ប្រភេទនៃការវាយប្រហារតាមអ៊ីនធឺណិត ដែលជនខិលខូចលួចជ្រៀតចូលនៅចន្លោះការទំនាក់ទំនងរវាងឧបករណ៍ពីរ (ឧ. កុំព្យូទ័របញ្ជា និង សេនស័រ) ដើម្បីលួចអាន ឬកែប្រែទិន្នន័យដោយមិនឱ្យភាគីទាំងសងខាងដឹងខ្លួន។ ដូចជាអ្នករត់សំបុត្រម្នាក់ដែលលួចបើកអាន និងកែប្រែខ្លឹមសារសំបុត្ររបស់អ្នកមុននឹងយកទៅឱ្យអ្នកទទួល ដោយធ្វើពុតជាគ្មានរឿងអ្វីកើតឡើង។
Modbus/TCP protocol ជាភាសា ឬច្បាប់ទំនាក់ទំនងស្តង់ដារមួយដែលឧបករណ៍ឧស្សាហកម្ម (ដូចជាសេនស័រ និងម៉ាស៊ីនបញ្ជា) ប្រើប្រាស់ដើម្បីផ្លាស់ប្តូរទិន្នន័យគ្នាទៅវិញទៅមកតាមរយៈបណ្តាញអ៊ីនធឺណិត (TCP/IP)។ ដូចជាការប្រើប្រាស់ភាសាអង់គ្លេសជាភាសាកណ្តាល ដើម្បីឱ្យមនុស្សមកពីប្រទេសផ្សេងៗគ្នាអាចនិយាយទាក់ទងគ្នានិងយល់គ្នានៅក្នុងកិច្ចប្រជុំអន្តរជាតិ។
ARP spoofing បច្ចេកទេសបោកបញ្ឆោតនៅក្នុងបណ្តាញកុំព្យូទ័រ (LAN) ដែលជនល្មើសផ្ញើសារក្លែងបន្លំ ដើម្បីភ្ជាប់អាសយដ្ឋានកាតបណ្តាញ (MAC address) របស់ខ្លួនទៅនឹងអាសយដ្ឋាន IP របស់ឧបករណ៍ជនរងគ្រោះ ដើម្បីបង្វែរទិសដៅទិន្នន័យមកកាន់ខ្លួនឯង។ ដូចជាការលួចដូរផ្លាកលេខផ្ទះរបស់អ្នកជិតខាងមកដាក់ផ្ទះខ្លួនឯង ដើម្បីឱ្យអ្នករត់សំបុត្រប្រគល់កញ្ចប់ឥវ៉ាន់របស់អ្នកជិតខាងនោះមកឱ្យខ្លួនជំនួសវិញ។
Stealth MITM Attack ការវាយប្រហារជ្រៀតជ្រែកកណ្តាលកម្រិតខ្ពស់ ដែលជនល្មើសមិនត្រឹមតែកែប្រែទិន្នន័យទេ តែធ្វើការគណនានិងក្លែងបន្លំទិន្នន័យនោះឱ្យស្របតាមច្បាប់រូបវន្តពិតប្រាកដ ដើម្បីបោកបញ្ឆោតប្រព័ន្ធសុវត្ថិភាព (ដូចជា Digital Twin) កុំឱ្យចាប់បាន។ ដូចជាចោរលួចចូលផ្ទះដែលមិនត្រឹមតែលួចរបស់របរទេ ថែមទាំងរៀបចំបន្ទប់និងបោសសម្អាតឱ្យមានរបៀបរៀបរយដូចដើមបេះបិទ ដើម្បីកុំឱ្យម្ចាស់ផ្ទះសង្ស័យនៅពេលត្រលប់មកវិញ។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖