Kombination af gammelt og nyt giver et nyt cybersikkerhedsværktøj til elnet

Et innovativt R&D-projekt ledet af Berkeley Lab-forskere, der kombinerer cybersikkerhed, maskinlæringsalgoritmer og kommercielt tilgængelig strømsystemsensorteknologi for bedre at beskytte det elektriske elnet har vakt interesse fra amerikanske forsyningsselskaber, elselskaber og embedsmænd.

Lanceret i 2015, det treårige projekt bevæger sig nu ind i teknologioverførselsfasen, ifølge projektleder Sean Peisert, en datalog i Berkeley Labs Computational Research Division og en cybersikkerhedsekspert. Ud over at modtage støtte fra Department of Energy's Cybersecurity for Energy Delivery Systems (CEDS) program i Office of Electricity Delivery and Energy Reliability, teamet har arbejdet tæt sammen med vigtige industripartnere, inklusive EnerNex, EPRI, Riverside Public Utilities og Southern Company.

"Dette projekt har, fra starten, designet med teknologioverførsel i tankerne, " sagde Peisert. som også er chef cybersikkerhedsstrateg for CENIC og associeret adjungeret professor i datalogi ved University of California, Davis. "Vi har søgt input fra udstyrsleverandører og strømforsyninger for at sikre, at de udviklede teknikker er funderet i virkeligheden og er mere tilbøjelige til at blive implementeret og brugt i praksis."

Forbedring af nettets modstandsdygtighed

Et mere moderniseret elnet vil resultere i bedre pålidelighed og modstandsdygtighed og hurtigere genoprettelse af service, når der opstår forstyrrelser. At skabe innovative værktøjer og teknologier for at reducere risikoen for, at energiforsyningen kan blive forstyrret af en cyberhændelse, er afgørende for at gøre landets elnet modstandsdygtigt over for cybertrusler.

Eldistributionsnettet blev udviklet med nøje overvejelse for at sikre sikker og pålidelig drift; efterhånden som nettet er moderniseret for yderligere at fremme pålideligheden, nye funktioner skal designes til cyberresiliens for at forhindre cyberangreb via IP-netværk. Mens it-sikkerhedstilgange, der er udviklet til forretningssystemer til at håndtere malware og andre cyberangreb, omfatter traditionelle systemer til registrering af indtrængen, firewalls og kryptering, disse teknikker kan efterlade et hul i sikkerhed og beskyttelse, når de anvendes på cyberfysiske enheder, fordi de ikke betragter fysiske oplysninger som kendt om den enhed, de beskytter.

For at imødegå denne sårbarhed, starter i 2014 Peisert og hans samarbejdspartnere - som omfatter Ciaran Roberts (Berkeley Lab), Anna Scaglione (Arizona State University), Alex McEachren (Power Standards Laboratory), Chuck McParland (pensionist fra Berkeley Lab), og Emma Stewart (nu sammen med Lawrence Livermore National Laboratory) - gik i gang med en række projekter, der tager en unik tilgang til netsikkerhed ved at integrere traditionel computersikkerhed og sikkerhedstekniske teknikker. Deres ultimative mål var at udvikle en sikkerhedsovervågnings- og analyseramme, der forbedrer netsystemets modstandsdygtighed.

"Jo mere vi kiggede på dette, jo mere vi indså, at de personer, der er ansvarlige for computersikkerhed, og de personer, der er ansvarlige for sikkerhedsteknik, ofte ikke er i de samme dele af organisationen og meget ofte ikke taler med hinanden, " sagde Peisert. "Så vi begyndte at spekulere på, om der var en måde, vi kunne bygge bro mellem den fysiske verden og cyberverdenen, og sikkerhedsingeniørverdenen og cybersikkerhedsverdenen, og skab et enkelt system, hvor cybersikkerhedssystemet tager højde for enhedens fysik og den pågældende enheds fysiske begrænsninger."

Til dette formål, deres nuværende projekt har fokuseret på at designe og implementere en arkitektur, der kan detektere cyberfysiske angreb på strømdistributionssystemets netværk. For at gøre dette bruger de mikrofasemåleenheder (μPMU'er) til at fange information om den fysiske tilstand af eldistributionsnettet. De kombinerer derefter disse data med SCADA (supervisory control and data acquisition, almindeligt anvendt i elnetovervågning) information for at give feedback i realtid om systemets ydeevne.

"Ideen er, hvis vi kunne udnytte den fysiske adfærd af komponenter i det elektriske net, vi kunne have bedre indsigt i forhold til, om der var et cyberangreb, der forsøgte at manipulere disse komponenter, " Peisert forklarede. "Disse enheder giver et redundant sæt målinger, der giver os en high-fidelity måde at spore, hvad der foregår i strømforsyningsnettet, og enten ved at se på disse målinger alene eller ved at sammenligne disse målinger med, hvad udstyret selv rapporterede og se efter uoverensstemmelser, vi kan have en indikation af visse former for angreb mod komponenter i eldistributionsnettet."

μPMU'er versus PMU'er

Phasor measurement units (PMU'er) bruges til at måle elnettets elektriske tilstand og give transmissionssystemoperatører situationsbevidsthed. Typisk installeret på højspændingsstationer, PMU'er betragtes som en vigtig måleenhed i strømsystemer, at levere øjebliksbilleder af strømnettet med en meget højere hastighed end SCADA ved at beregne og rapportere spændings- og strømfaser (et komplekst tal, der repræsenterer størrelsen og fasevinklen af ​​de sinusformede bølger, der karakteriserer AC elektriske netværk).

Imidlertid, PMU'er har nogle karakteristika - nemlig størrelse og omkostninger - der begrænser deres udrulning på distributionsnetniveauet. Det er her, μPMU'er kommer ind i billedet. Udviklet på Power Standards Lab under et projekt ledet af UC Berkeley og finansieret af Department of Energy's ARPA-E-program, μPMU'er er designet til at øge situationsbevidstheden på distributionsniveau. Fordi de er meget mindre og potentielt billigere, flere μPMU'er kan installeres på punkter langs distributionsnettet, giver en meget højere opløsning (120 målinger/sek.) af nettet og advarer operatører om potentielle angreb på dette net i realtid.

"Vores tilgang - som faktisk kun bruger et lille antal sensorer - bruger både SCADA- og μPMU-målinger, og der er en utrolig værdi i at kunne krydstjekke mellem de to for at se efter uoverensstemmelser, "Peisert sagde. "Individuelt kan det være muligt for en angriber at manipulere, hvad der bliver repræsenteret af en enkelt sensor eller informationskilde, hvilket kan føre til beskadigelse af elnettet. Denne tilgang giver redundansen og derfor modstandsdygtigheden i den opfattelse, der er tilgængelig for netoperatører."

Detektion af maskinlæringshjælpemidler

For at få dette til at ske, forskerholdet brugte en modificeret version af Cumulative Sum (CUSUM) algoritmen, første gang introduceret i 1954, til sekventiel analyse af dataene og automatiseret anomalidetektion. Resultatet er, i det væsentlige, en form for maskinlæring.

"Algoritmen gør det muligt for softwaren adaptivt at lære den normale opførsel af de mængder, der måles, og gennem den proces lære at identificere unormal og normal adfærd ved at opdage hurtige ændringer i det fysiske miljø, såsom strømstørrelse og aktiv og reaktiv effekt, " sagde Berkeley Labs Roberts, en energisystemingeniør inden for energiteknologiområdet. "Al databehandling udføres i realtid under den fysiske dataindsamling, og algoritmerne er designet til at køre i realtid."

På nuværende tidspunkt bliver data indsamlet fra μPMU'er placeret flere steder omkring Berkeley Lab (som har sin egen strømfordelingsstation) og analyseret ved hjælp af en computerklynge og en tilstedeværelse på nettet (powerdata.lbl.gov), som teamet har oprettet specifikt til dette projekt.

"Vi var nødt til at bygge vores egen infrastruktur for at samle alle sensordata på et enkelt sted og køre algoritmerne over det for at afgøre, om der var en begivenhed af interesse, " sagde Peisert. "Og vi har grafiske front-ends til det system, som også kan bruges af det bredere forskningssamfund."

Efterhånden som R&D-komponenten i dette projekt afvikles, holdet er ved at forberede sin endelige rapport og mødes aktivt med deres industripartnere og andre forsyningsselskaber og elselskaber i hele USA for at introducere dem til denne unikke netsikkerhedsramme. De deler også deres resultater gennem præsentationer ved begivenheder såsom EPRI Power Delivery &Utilization Winter 2018 Program Advisory &Sector Council Meeting, afholdt i februar i San Diego, og OSIsoft PI World Users Conference i april.

"Ved at bruge højopløsningssensorer i strømforsyningsnettet og et sæt maskinlæringsalgoritmer, som vi har udviklet, i forbindelse med kun en simpel model af distributionsnettet, vores arbejde kan implementeres af forsyningsselskaber i deres distributionsnet for at opdage cyberangreb og andre typer fejl i nettet, " sagde Peisert. "Det er en ny præstation, som vi ikke tror er blevet gjort før."