Original Title: Proposing Guidelines and Approaches to Make Anomaly Detection More Effective for Industrial Control Systems
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ការស្នើឡើងនូវគោលការណ៍ណែនាំ និងវិធីសាស្ត្រដើម្បីធ្វើឱ្យការរកឃើញភាពមិនប្រក្រតីកាន់តែមានប្រសិទ្ធភាពសម្រាប់ប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម

ចំណងជើងដើម៖ Proposing Guidelines and Approaches to Make Anomaly Detection More Effective for Industrial Control Systems

អ្នកនិពន្ធ៖ Clement Fung (Carnegie Mellon University)

ឆ្នាំបោះពុម្ព៖ 2025 (Carnegie Mellon University, Ph.D. Thesis)

វិស័យសិក្សា៖ Computer Security / Machine Learning

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ឯកសារនេះដោះស្រាយបញ្ហាប្រឈមក្នុងការធ្វើឱ្យការរកឃើញភាពមិនប្រក្រតីដោយប្រើប្រាស់ម៉ាស៊ីនសិក្សា (Machine Learning) កាន់តែមានប្រសិទ្ធភាព និងអាចទទួលយកបានសម្រាប់ប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម (Industrial Control Systems - ICS) ព្រមទាំងដោះស្រាយបញ្ហាទាក់ទងនឹងការវាយតម្លៃខុស (False positives) និងការកសាងទំនុកចិត្តរបស់អ្នកប្រតិបត្តិការ។

វិធីសាស្ត្រ (The Methodology)៖ អ្នកនិពន្ធបានធ្វើការវាយតម្លៃយ៉ាងទូលំទូលាយលើម៉ូដែលម៉ាស៊ីនសិក្សា (Machine Learning) បង្កើតវិធីសាស្ត្រកំណត់ប្រភពបញ្ហា (Attribution methods) និងធ្វើការសិក្សាជាមួយអ្នកប្រតិបត្តិការផ្ទាល់។

ការវាយតម្លៃនិងប្រៀបធៀបម៉ូដែលម៉ាស៊ីនសិក្សា (Comparing ML model architectures and evaluation metrics)
ការវាយតម្លៃលើវិធីសាស្ត្រកំណត់ប្រភពនៃភាពមិនប្រក្រតី (Evaluating attributions for ICS anomaly detection)
ការអភិវឌ្ឍម៉ូដែលដែលមានរចនាសម្ព័ន្ធស្ដើង (Development of CyPRESS: a structurally sparse model)
ការសិក្សាដោយការសម្ភាសន៍ជាមួយអ្នកអនុវត្តផ្ទាល់លើប្រព័ន្ធ ICS (Interview-based user studies with ICS practitioners)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

រង្វាស់ផ្អែកលើចន្លោះពេល (Range-based metrics) ផ្តល់ការវាយតម្លៃត្រឹមត្រូវជាងរង្វាស់ផ្អែកលើចំណុច (Point-based F1 score) សម្រាប់ការរកឃើញភាពមិនប្រក្រតីក្នុងប្រព័ន្ធ។
ម៉ូដែល CyPRESS មានសមត្ថភាពអាចរកឃើញភាពមិនប្រក្រតីបានល្អដូចម៉ូដែលធំៗ ដោយប្រើប្រាស់ប៉ារ៉ាម៉ែត្រតិចជាងដល់ទៅ ១០០០ដង និងធន់នឹងការវាយប្រហារ (Stealthy attacks) ជាងមុន។
អ្នកប្រតិបត្តិការភាគច្រើនពឹងផ្អែកលើទំនុកចិត្តជាចម្បងក្នុងការទទួលយកឧបករណ៍បច្ចេកវិទ្យាបញ្ញាសិប្បនិម្មិត (AI) ដោយពេញចិត្តប្រព័ន្ធដែលជួយគាំទ្រការវិភាគ ជាជាងប្រព័ន្ធស្វ័យប្រវត្តិទាំងស្រុង។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
CyPRESS (Cyber-Physical REpresentations with Sparse Structures) ម៉ូដែលបណ្តាញក្រាហ្វមានរចនាសម្ព័ន្ធស្តើង ដែលរៀនពីទំនាក់ទំនងរូបវន្ត និងតក្កវិជ្ជានៃប្រព័ន្ធ	ទាមទារប៉ារ៉ាម៉ែត្រតិចតួចបំផុត ដំណើរការលឿន និងមានសមត្ថភាពខ្ពស់ក្នុងការទប់ទល់នឹងការវាយប្រហារបញ្ឆោត (Evasion attacks)។ ការចង្អុលបង្ហាញទីតាំងវាយប្រហារ (Attribution) មានភាពច្បាស់លាស់។	ទាមទារឲ្យមានការកំណត់ទំនាក់ទំនងរវាងឧបករណ៍ (Graph specification) ពីអ្នកជំនាញ ឬតាមរយៈការវិភាគទិន្នន័យជាមុនសិន។	សម្រេចបានលទ្ធផលស្មើនឹងម៉ូដែល Deep learning តែប្រើប្រាស់ប៉ារ៉ាម៉ែត្រតិចជាង ១០០០ដង និងដំណើរការលឿនជាងរហូតដល់ ៥០ដង។
Deep Learning (CNN, GRU, LSTM) ម៉ូដែលបណ្តាញសរសៃប្រសាទសិប្បនិម្មិតស៊ីជម្រៅ (Deep Learning)	អាចរៀនពីទិន្នន័យប្រតិបត្តិការស្មុគស្មាញបានដោយស្វ័យប្រវត្តិដោយមិនបាច់មានអ្នកជំនាញប្រាប់ពីទំនាក់ទំនងឧបករណ៍ជាមុន។	ទាមទារកម្លាំងម៉ាស៊ីនធំ ងាយរៀនសូត្រពីទិន្នន័យមិនពិត (Spurious correlations) និងងាយចាញ់បោកការវាយប្រហារអនាមិក។ ការទាញរកប្រភពដើម (Attribution) មានកម្រិតទាប។	មានអត្រាចាប់កំហុសខ្ពស់ (High F1 scores) ប៉ុន្តែមានកម្រិតភាពត្រឹមត្រូវទាបនៅពេលត្រូវស្វែងរកឧបករណ៍ដែលរងការវាយប្រហារ (AvgRank ខ្ពស់)។
Raw-Error Ranking (MSE / Statistical Models) ម៉ូដែលស្ថិតិ និងការវាយតម្លៃចំណាត់ថ្នាក់កំហុសដើម (AR, PASAD)	មានភាពសាមញ្ញ ងាយស្រួលយល់ និងមិនត្រូវការកម្លាំងម៉ាស៊ីនធំក្នុងការគណនា។	មិនអាចស្វែងយល់ពីទំនាក់ទំនងរវាងសេនស័រ (Sensors) និងឧបករណ៍បញ្ជា (Actuators) ផ្សេងៗបានល្អ ធ្វើឲ្យការចាប់ទីតាំងប្រភពវាយប្រហារខុសច្រើន។	អត្រាបញ្ជាក់ពីទីតាំងវាយប្រហារខុសរហូតដល់ជាង ៦០% នៃប្រតិបត្តិការទាំងអស់ ដែលធ្វើឲ្យប្រតិបត្តិករលំបាកក្នុងការដោះស្រាយបញ្ហាជាក់ស្តែង។

ការចំណាយលើធនធាន (Resource Cost)៖ វិធីសាស្ត្រ CyPRESS ដែលបានស្នើឡើង ទាមទារកម្លាំងម៉ាស៊ីន និងធនធានតិចតួចបំផុត ដោយលុបបំបាត់តម្រូវការម៉ាស៊ីនកុំព្យូទ័រធំៗ (High-end GPUs) ខណៈពេលរក្សាបាននូវប្រសិទ្ធភាពខ្ពស់។

Hardware: អាចដំណើរការបានយ៉ាងរលូនលើកុំព្យូទ័រលើតុធម្មតា (ឧ. កុំព្យូទ័រប្រើ Intel Xeon CPU និង 32GB RAM) សម្រាប់ការអនុវត្ត និងការធ្វើតេស្ត។
Software: ទាមទារកម្មវិធីកូដកម្រិតខ្ពស់សម្រាប់ការស្រាវជ្រាវ និងអនុវត្ត ដូចជា Python និងបណ្ណាល័យ PyTorch Geometric សម្រាប់ការរចនាម៉ូដែលក្រាហ្វ។
Dataset: ត្រូវការទិន្នន័យកំណត់ត្រាប្រព័ន្ធប្រតិបត្តិការ (Process-level data) ដូចជាទិន្នន័យពី SWaT ឬ WADI សម្រាប់ប្រើក្នុងការបង្វឹកម៉ូដែល។
Expertise: ទាមទារអ្នកដែលមានចំណេះដឹងទាំងផ្នែកបញ្ញាសិប្បនិម្មិត (AI/ML) និងការយល់ដឹងពីប្រព័ន្ធបញ្ជាឧស្សាហកម្ម (ICS) ដើម្បីកំណត់រចនាសម្ព័ន្ធបណ្តាញរបស់ឧបករណ៍។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះប្រើប្រាស់ទិន្នន័យពីមន្ទីរពិសោធន៍នៅប្រទេសសិង្ហបុរី (SWaT, WADI) និងកម្មវិធីក្លែងធ្វើ (TEP, CTown) ដែលសុទ្ធសឹងជាប្រព័ន្ធមានស្តង់ដារ និងមានការកត់ត្រាទុកច្បាស់លាស់។ សម្រាប់ប្រទេសកម្ពុជា រោងចក្រ ឬប្រព័ន្ធគ្រប់គ្រងភាគច្រើនអាចជួបបញ្ហាកង្វះទិន្នន័យ បណ្តាញសេនស័រចាស់ៗ និងការកត់ត្រាមិនបានត្រឹមត្រូវ ដែលអាចធ្វើឲ្យការអនុវត្តម៉ូដែលនេះប្រឈមនឹងការលំបាកក្នុងតំណាក់កាលដំបូង។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

ទោះជាយ៉ាងណា វិធីសាស្ត្រ CyPRESS មានសក្តានុពលខ្ពស់សម្រាប់កម្ពុជា ដោយសារវាជាម៉ូដែលទម្ងន់ស្រាល ដែលមិនតម្រូវឲ្យចំណាយថវិកាច្រើនលើហេដ្ឋារចនាសម្ព័ន្ធ IT។

រដ្ឋាករទឹកស្វយ័តក្រុងភ្នំពេញ (PPWSA): អាចប្រើប្រាស់ម៉ូដែលនេះដើម្បីតាមដានសម្ពាធទឹក និងដំណើរការចម្រោះទឹកដោយស្វ័យប្រវត្តិ (ស្រដៀងនឹងប្រព័ន្ធ SWaT ក្នុងឯកសារ) ដែលជួយកាត់បន្ថយការពឹងផ្អែកលើការចុះពិនិត្យដោយផ្ទាល់។
អគ្គិសនីកម្ពុជា (EDC): វិធីសាស្ត្រប្រកាសអាសន្ន និងកំណត់មុខសញ្ញា (Attribution) របស់ CyPRESS អាចជួយវិស្វករអគ្គិសនីក្នុងការស្វែងរកទីតាំងបញ្ហា ឬការវាយប្រហារក្នុងបណ្តាញចែកចាយអគ្គិសនីបានលឿន និងចំគោលដៅ។
រោងចក្រផលិតកម្មខ្នាតតូច និងមធ្យម (SMEs): ការប្រើប្រាស់ម៉ូដែលធនធានតិចនេះ ស័ក្តិសមសម្រាប់រោងចក្រនៅកម្ពុជាដែលមានថវិកាមានកម្រិត ក្នុងការដាក់ពង្រាយប្រព័ន្ធសន្តិសុខ OT និងជួយគាំទ្រដល់ប្រតិបត្តិករដែលខ្វះបទពិសោធន៍។

សរុបមក ការប្រើប្រាស់បច្ចេកវិទ្យា AI ដែលមានតម្លាភាព និងប្រើធនធានតិចតួចដូចជា CyPRESS គឺជាជម្រើសដ៏ឆ្លាតវៃសម្រាប់កម្ពុជាក្នុងការធ្វើទំនើបកម្មប្រព័ន្ធឧស្សាហកម្ម និងរៀបចំខ្លួនការពារការវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺណិតនាពេលអនាគត។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

ស្វែងយល់ពីមូលដ្ឋានគ្រឹះនៃទិន្នន័យ ICS និង ML: ចាប់ផ្តើមដោយការសិក្សាពីទិន្នន័យ Time-series និងការចាប់យកភាពមិនប្រក្រតី (Anomaly Detection)។ និស្សិតគួរប្រើប្រាស់កម្មវិធី Python ដើម្បីវិភាគរចនាសម្ព័ន្ធទិន្នន័យរបស់សេនស័រ និងឧបករណ៍បញ្ជាផ្សេងៗ។
អនុវត្តលើទិន្នន័យសាធារណៈពិតប្រាកដ: ទាញយកទិន្នន័យកម្រិតពិភពលោកដូចជាសំណុំទិន្នន័យ SWaT ឬ WADI ពីស្ថាប័ន iTrust ដើម្បីធ្វើការហ្វឹកហាត់។ អនុវត្តការសម្អាតទិន្នន័យ និងត្រងយកលក្ខណៈសំខាន់ៗ។
កសាង និងសាកល្បងម៉ូដែល CyPRESS: សិក្សា និងប្រើប្រាស់បណ្ណាល័យ PyTorch Geometric ដើម្បីសរសេរកូដបង្កើត Graph Neural Networks។ សាកល្បងកំណត់រចនាសម្ព័ន្ធក្រាហ្វ (Graph specification) ដោយផ្អែកលើការតភ្ជាប់នៃឧបករណ៍ PLC បែបសាមញ្ញ។
វាយតម្លៃដោយប្រើប្រាស់រង្វាស់ Range-based Metrics: ជំនួសឲ្យការវាយតម្លៃត្រឹមតែ Point-F1 Score ធម្មតា និស្សិតត្រូវរៀនសរសេរកូដដើម្បីវាយតម្លៃប្រព័ន្ធតាមបែប Range-based metrics និង AvgRank ដើម្បីយល់ច្បាស់ពីប្រសិទ្ធភាពនៃការកំណត់រកទីតាំងខូចខាត (Attribution) នៅក្នុងបរិបទជាក់ស្តែង។
បង្កើតប្រព័ន្ធសាកល្បងសម្រាប់រោងចក្រក្នុងស្រុក: សហការជាមួយរោងចក្រក្នុងស្រុក ឬមន្ទីរពិសោធន៍សាកលវិទ្យាល័យ ដើម្បីទាញយកទិន្នន័យ SCADA ខ្នាតតូច រួចយកម៉ូដែលទៅសាកល្បង និងបង្ហាញពីសមត្ថភាពតម្លាភាព (Explainability) ទៅកាន់ប្រតិបត្តិករ។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Industrial Control Systems (ICS)	ជាប្រព័ន្ធកុំព្យូទ័រនិងបណ្តាញដែលត្រូវបានប្រើប្រាស់សម្រាប់គ្រប់គ្រង និងតាមដានដំណើរការម៉ាស៊ីននៅក្នុងរោងចក្រ ស្ថានីយអគ្គិសនី ឬប្រព័ន្ធចម្រោះទឹកស្អាតជាដើម។ វាមានតួនាទីទទួលទិន្នន័យពីសេនស័រ និងបញ្ជាដោយស្វ័យប្រវត្តិទៅលើឧបករណ៍រូបវន្តផ្សេងៗ។	ដូចជាខួរក្បាល និងប្រព័ន្ធសរសៃប្រសាទដែលបញ្ជាឲ្យសរីរាង្គក្នុងរាងកាយយើងធ្វើការប្រចាំថ្ងៃអញ្ចឹងដែរ។
Anomaly Detection	ជាដំណើរការនៃការប្រើប្រាស់បច្ចេកវិទ្យាម៉ាស៊ីនរៀន (Machine Learning) ឬច្បាប់ដែលបានកំណត់ទុក ដើម្បីស្វែងរកសកម្មភាព ឬទិន្នន័យណាដែលប្រែប្រួលខុសពីប្រក្រតីភាព ដែលអាចជាសញ្ញានៃការខូចខាតប្រព័ន្ធ ឬការវាយប្រហារតាមអ៊ីនធឺណិត។	ដូចជាសន្តិសុខអគារដែលចងចាំមុខបុគ្គលិកធម្មតា ហើយប្រកាសអាសន្នភ្លាមៗនៅពេលឃើញមានជនចម្លែកលួចចូលមក។
Attribution methods	ជាបច្ចេកទេសគណនានៅក្នុងម៉ាស៊ីនរៀន ដែលមានតួនាទីទាញរកប្រភពដើម ដើម្បីបង្ហាញថាតើផ្នែកមួយណា (សេនស័រ ឬម៉ូទ័រ) ដែលជាមូលហេតុធ្វើឲ្យប្រព័ន្ធប្រកាសអាសន្នពីភាពមិនប្រក្រតី ដែលជួយឲ្យប្រតិបត្តិករដឹងចំគោលដៅក្នុងការជួសជុល។	ដូចជាគ្រូពេទ្យធ្វើរោគវិនិច្ឆ័យដើម្បីរកឲ្យឃើញច្បាស់ថា តើសរីរាង្គមួយណាដែលកំពុងរលាកនិងធ្វើឲ្យអ្នកជំងឺក្តៅខ្លួន។
Programmable Logic Controllers (PLCs)	ជាកុំព្យូទ័រខ្នាតតូចពិសេស ដែលត្រូវបានបំពាក់នៅកៀកនឹងម៉ាស៊ីនផ្ទាល់ ដើម្បីទទួលទិន្នន័យពីសេនស័រ (Sensors) និងបញ្ជាទៅឧបករណ៍ធ្វើសកម្មភាព (Actuators) ដូចជាការបិទ ឬបើកសន្ទះវ៉ានទឹកដោយស្វ័យប្រវត្តិក្នុងរោងចក្រ។	ដូចជាមេការប្រចាំការនៅរោងចក្រផ្ទាល់ ដែលចាំស្តាប់របាយការណ៍ និងស្រែកបញ្ជាកម្មករឲ្យធ្វើការតាមផែនការដោយមិនបាច់រង់ចាំថៅកែធំ។
Supervisory Control and Data Acquisition (SCADA)	ជាប្រព័ន្ធផ្នែកទន់ (Software) កម្រិតខ្ពស់ដែលប្រមូលផ្តុំទិន្នន័យពីគ្រប់ PLCs ទាំងអស់មកបង្ហាញលើផ្ទាំងបញ្ជាតែមួយ ដើម្បីឲ្យអ្នកប្រតិបត្តិការអាចមើលឃើញស្ថានភាពជារួមទាំងមូល និងបញ្ជាដំណើរការបានពីចម្ងាយ។	ដូចជាបន្ទប់តាមដានកាមេរ៉ាសុវត្ថិភាពកណ្តាល ដែលប្រធានសន្តិសុខអាចអង្គុយមើលឃើញគ្រប់ជ្រុងទាំងអស់នៃអគារធំមួយយ៉ាងច្បាស់លាស់។
Range-based metrics	ជារង្វាស់វាយតម្លៃប្រសិទ្ធភាពរបស់ម៉ូដែល AI ដែលគិតចំណាត់ថ្នាក់ទៅលើ 'ចន្លោះពេលទាំងមូល' នៃការវាយប្រហារ ជំនួសឲ្យការវាយតម្លៃត្រឹមតែចំណុចពេលវេលានីមួយៗដាច់ពីគ្នា។ វាជួយបង្ហាញថាប្រព័ន្ធអាចចាប់កំហុសបានលឿននិងមានប្រយោជន៍កម្រិតណា។	ដូចជាការវាយតម្លៃសិស្សដោយមើលលើលទ្ធផលការងារជាក្រុមពេញមួយខែ ជាជាងការកាត់ក្តីដោយមើលតែពិន្ទុប្រឡងល្បងប្រាជ្ញាមួយថ្ងៃ។
Evasion attacks	ជាយុទ្ធសាស្ត្រវាយប្រហារយ៉ាងឆ្លាតវៃ ដែលហេគឃ័របញ្ឆោតប្រព័ន្ធ AI ដោយកែច្នៃទិន្នន័យរបស់ខ្លួនបន្តិចបន្តួច ដើម្បីធ្វើឲ្យការវាយប្រហារនោះមើលទៅមានលក្ខណៈដូចជាទិន្នន័យធម្មតា ក្នុងគោលបំណងឆ្លងកាត់ប្រព័ន្ធការពារដោយគ្មានអ្នកសង្ស័យ។	ដូចជាចោរពាក់ឯកសណ្ឋានជាបុគ្គលិកអនាម័យ ដើម្បីបន្លំភ្នែកសន្តិសុខដើរចូលក្នុងធនាគារ។
Structurally sparse model	ជាម៉ូដែល AI ដែលត្រូវបានរចនាឡើងដោយភ្ជាប់ក្រាហ្វទិន្នន័យ (Graph connections) តែលើផ្នែកម៉ាស៊ីនដែលមានទំនាក់ទំនងគ្នាក្នុងរូបវន្តជាក់ស្តែងប៉ុណ្ណោះ។ ការធ្វើបែបនេះជួយសន្សំសំចៃកម្លាំងកុំព្យូទ័រ និងការពារកុំឲ្យ AI ចាប់យកទំនាក់ទំនងទិន្នន័យខុស។	ដូចជាការរៀបចំខ្សែបណ្តាញទូរស័ព្ទឲ្យខលផ្ទាល់តែទៅប្រធានផ្នែកដែលពាក់ព័ន្ធ ជាជាងបើកឲ្យខលចូលគ្រប់តុរបស់បុគ្គលិកទាំងអស់ក្នុងក្រុមហ៊ុន។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖