Een innovatief R&D-project onder leiding van Berkeley Lab-onderzoekers dat cyberbeveiliging, algoritmen voor machinaal leren en commercieel beschikbare sensortechnologie voor het elektriciteitssysteem om het elektriciteitsnet beter te beschermen, hebben de belangstelling gewekt van Amerikaanse nutsbedrijven, energiebedrijven en overheidsfunctionarissen.

Gelanceerd in 2015, het driejarige project gaat nu naar de fase van technologieoverdracht, volgens projectleider Sean Peisert, een computerwetenschapper in de Computational Research Division van Berkeley Lab en een cyberbeveiligingsexpert. Naast het ontvangen van financieringssteun van het Cybersecurity for Energy Delivery Systems (CEDS) -programma van het Department of Energy in het Office of Electricity Delivery and Energy Reliability, het team heeft nauw samengewerkt met belangrijke industriële partners, inclusief EnerNex, EPRI, Riverside openbare nutsbedrijven en Southern Company.

"Dit project heeft vanaf het begin, ontworpen met het oog op technologieoverdracht, " zei Peisert. die ook hoofd cyberbeveiligingsstrateeg is voor CENIC en universitair hoofddocent computerwetenschappen aan de Universiteit van Californië, Davy. "We hebben input gevraagd van leveranciers van apparatuur en energiebedrijven om ervoor te zorgen dat de ontwikkelde technieken gegrond zijn in de realiteit en meer kans hebben om in de praktijk te worden geïmplementeerd en gebruikt."

De veerkracht van het net verbeteren

Een meer gemoderniseerd elektriciteitsnet zal resulteren in een betere betrouwbaarheid en veerkracht en een sneller herstel van de dienstverlening bij storingen. Het creëren van innovatieve tools en technologieën om het risico te verkleinen dat de energielevering door een cyberincident wordt verstoord, is van vitaal belang om het elektriciteitsnet van het land weerbaar te maken tegen cyberdreigingen.

Het stroomdistributienet is ontwikkeld met zorgvuldige afweging om een ​​veilige en betrouwbare werking te garanderen; aangezien het net wordt gemoderniseerd om de betrouwbaarheid verder te vergroten, nieuwe functies moeten worden ontworpen voor cyberweerbaarheid om cyberaanvallen via IP-netwerken te voorkomen. Terwijl IT-beveiligingsbenaderingen die zijn ontwikkeld voor bedrijfssystemen om malware en andere cyberaanvallen aan te pakken, traditionele inbraakdetectiesystemen omvatten, firewalls en encryptie, deze technieken kunnen een hiaat in veiligheid en bescherming achterlaten wanneer ze worden toegepast op cyber-fysieke apparaten, omdat ze geen rekening houden met fysieke informatie die bekend is over het apparaat dat ze beschermen.

Om deze kwetsbaarheid aan te pakken, vanaf 2014 Peisert en zijn medewerkers, waaronder Ciaran Roberts (Berkeley Lab), Anna Scaglione (Arizona State University), Alex McEachren (Power Standards Laboratory), Chuck McParland (gepensioneerde van Berkeley Lab), en Emma Stewart (nu met Lawrence Livermore National Laboratory) - begonnen aan een reeks projecten die een unieke benadering van netwerkbeveiliging hanteren door traditionele computerbeveiliging en veiligheidstechnische technieken te integreren. Hun uiteindelijke doel was om een ​​raamwerk voor beveiligingsmonitoring en -analyse te ontwikkelen dat de veerkracht van het netwerksysteem verbetert.

"Hoe meer we hiernaar keken, hoe meer we ons realiseerden dat de mensen die verantwoordelijk zijn voor computerbeveiliging en de mensen die verantwoordelijk zijn voor veiligheidstechniek zich vaak niet in dezelfde delen van de organisatie bevinden en heel vaak niet met elkaar praten, Peisert zei. "Dus we begonnen ons af te vragen of er een manier was om de kloof tussen de fysieke wereld en de cyberwereld te overbruggen, en de wereld van veiligheidstechniek en de wereld van cyberbeveiliging, en één systeem creëren waarin het cyberbeveiligingssysteem rekening houdt met de fysica van het apparaat en de fysieke beperkingen van dat apparaat."

Tegen dit doel, hun huidige project was gericht op het ontwerpen en implementeren van een architectuur die cyber-fysieke aanvallen op het netwerk van het stroomdistributiesysteem kan detecteren. Hiervoor gebruiken ze micro-phasor-meeteenheden (μPMU's) om informatie vast te leggen over de fysieke toestand van het elektriciteitsdistributienet. Vervolgens combineren ze deze gegevens met SCADA (supervisory control en data-acquisitie, vaak gebruikt bij het bewaken van het elektriciteitsnet) informatie om realtime feedback te geven over de systeemprestaties.

"Het idee is dat als we het fysieke gedrag van componenten binnen het elektriciteitsnet kunnen benutten, we zouden beter inzicht kunnen krijgen in de vraag of er een cyberaanval is geweest die deze componenten probeerde te manipuleren, " legde Peisert uit. "Deze apparaten bieden een redundante reeks metingen die ons een zeer betrouwbare manier geven om te volgen wat er in het elektriciteitsdistributienet gebeurt, en ofwel door alleen naar die metingen te kijken of door die metingen te vergelijken met wat de apparatuur zelf rapporteerde en te zoeken naar discrepanties, we hebben misschien een indicatie van bepaalde soorten aanvallen op componenten in het stroomdistributienet."

μPMU's versus PMU's

Phasor-meeteenheden (PMU's) worden gebruikt om de elektrische toestand van het elektriciteitsnet te meten en om de transmissiesysteembeheerders op de hoogte te houden van de situatie. Meestal geïnstalleerd op hoogspanningsstations, PMU's worden beschouwd als een belangrijk meetinstrument in energiesystemen, het leveren van snapshots van het stroomnetwerk met een veel hogere snelheid dan SCADA door spannings- en stroomfasors te berekenen en te rapporteren (een complex getal dat de grootte en fasehoek vertegenwoordigt van de sinusoïdale golven die kenmerkend zijn voor elektrische AC-netwerken).

Echter, PMU's hebben een aantal kenmerken, namelijk omvang en kosten, die hun inzet op distributienetniveau beperken. Dit is waar μPMU's van pas komen. Ontwikkeld bij Power Standards Lab in het kader van een project onder leiding van UC Berkeley en gefinancierd door het ARPA-E-programma van het Department of Energy, μPMU's zijn ontworpen om het situationeel bewustzijn op distributieniveau te vergroten. Omdat ze veel kleiner en mogelijk goedkoper zijn, meerdere μPMU's kunnen worden ingezet op punten langs het distributienet, het leveren van een veel hogere resolutie (120 metingen/sec) van het net en het in realtime waarschuwen van operators voor mogelijke aanvallen op dat net.

"Onze aanpak, die in feite slechts een klein aantal sensoren gebruikt, maakt gebruik van zowel SCADA- als μPMU-metingen, en het is ongelooflijk waardevol om tussen de twee te kunnen controleren op discrepanties, Peisert zei. "Individueel kan het voor een aanvaller mogelijk zijn om te manipuleren wat wordt weergegeven door een enkele sensor of bron van informatie, die tot schade aan het elektriciteitsnet kunnen leiden. Deze aanpak zorgt voor de redundantie en dus veerkracht in de visie die beschikbaar is voor netbeheerders.”

Detectie van machine learning-hulpmiddelen

Om dit te laten gebeuren, het onderzoeksteam gebruikte een aangepaste versie van het Cumulative Sum (CUSUM) algoritme, voor het eerst geïntroduceerd in 1954, voor sequentiële analyse van de gegevens en geautomatiseerde anomaliedetectie. Het resultaat is, in essentie, een vorm van machine learning.

"Het algoritme stelt de software in staat om adaptief het normale gedrag van de gemeten grootheden te leren, en leer door dat proces abnormaal en normaal gedrag te identificeren door snelle veranderingen in de fysieke omgeving te detecteren, zoals stroomsterkte en actief en reactief vermogen, " zei Roberts van Berkeley Lab, een energiesysteemingenieur op het gebied van energietechnologieën. "Al het computergebruik gebeurt in realtime tijdens de fysieke gegevensverzamelingen, en de algoritmen zijn ontworpen om in realtime te werken."

Op dit moment worden gegevens verzameld van μPMU's die op meerdere locaties in Berkeley Lab zijn geplaatst (dat een eigen stroomdistributiestation heeft) en geanalyseerd met behulp van een rekencluster en een aanwezigheid op het web (powerdata.lbl.gov) die het team speciaal voor dit project heeft opgezet.

"We moesten onze eigen infrastructuur bouwen om alle sensorgegevens op één plek te verzamelen en de algoritmen erover te laten lopen om te bepalen of er een interessant evenement was. "Zei Peisert. "En we hebben grafische front-ends voor dat systeem die ook door de bredere onderzoeksgemeenschap kunnen worden gebruikt."

Nu de R&D-component van dit project afloopt, het team bereidt zijn eindrapport voor en ontmoet actief hun industriële partners en andere nutsbedrijven en energiebedrijven in de VS om hen kennis te laten maken met dit unieke raamwerk voor netwerkbeveiliging. Ze delen hun bevindingen ook via presentaties op evenementen zoals de EPRI Power Delivery &Utilization Winter 2018 Program Advisory &Sector Council Meeting, gehouden in februari in San Diego, en de OSIsoft PI World Users Conference in april.

"Met behulp van sensoren met hoge resolutie in het elektriciteitsdistributienet en een reeks machine learning-algoritmen die we hebben ontwikkeld, in combinatie met slechts een eenvoudig model van het distributienet, ons werk kan worden ingezet door nutsbedrijven in hun distributienetwerk om cyberaanvallen en andere soorten storingen in het netwerk te detecteren, "Zei Peisert. "Dat is een nieuwe prestatie waarvan we denken dat die nog niet eerder is gedaan."