تحدد معظم طرق الكشف القائمة على الانحراف السلوكي وغير الطبيعي للشبكة الكهربائية، وذلك عن طريق فحص كل حزمة شبكة دون أي ارتباط، بحيث لا تستطيع هذه الأساليب التقليدية الكشف بشكل فعال عن الهجمات “الخفية” التي تقوم بتعديل الرسائل المشروعة بشكل طفيف أثناء تقليد أنماط السلوكيات المعتادة.

 

أهمية كشف مشاكل الأجهزة وأتمتة المحطات الكهربائية الفرعية

 

في العقود الأخيرة، أصبحت قضايا الأمن السيبراني في أنظمة أتمتة المحطات الفرعية (SAS) المتوافقة مع (IEC 61850) مصدر قلق متزايد، بحيث طور العديد من الباحثين استراتيجيات مختلفة لاكتشاف السلوكيات الخبيثة لأنظمة (SAS)، وذلك أثناء مرحلة تشغيل النظام، كما ركز بعضها على الاكتشاف القائم على المعرفة من خلال تحديد القواعد الشرعية والظروف غير الطبيعية بناءً على الخبرة .

 

ومع ذلك؛ فإن هذه الأساليب القائمة على المعرفة يمكنها فقط اكتشاف الهجمات المعروفة، بحيث استهدف آخرون الاكتشاف القائم على الشذوذ من خلال تطبيق خوارزميات التعلم الآلي لتعلم السلوكيات المنهجية، كما تحدد معظم طرق الكشف القائمة على الانحراف السلوك غير الطبيعي عن طريق فحص كل حزمة شبكة دون أي ارتباط بينها.

 

كما تعتبر هذه الأساليب التقليدية لا تستطيع بشكل فعال الكشف عن الهجمات “الخفية” التي تعدل الرسائل المشروعة بشكل طفيف أثناء تقليد أنماط السلوكيات، وعلى سبيل المثال ونظراً للطبيعة الخاصة لعملية المحطة الفرعية؛ فإن الهجمات الخفية التي تغير فقط إشارات التحكم المنطقية من “فتح قواطع الدائرة” إلى “إغلاق قواطع الدائرة” عند حدوث حدث ماس كهربائي، بحيث لا يزال من الممكن أن يكون لها عواقب وخيمة.

 

أيضاً لا تستطيع الأساليب التقليدية اكتشاف مثل هذه الهجمات بدقة لأن هذه الهجمات قد يتم تصنيفها بشكل خاطئ على أنها سلوكيات حميدة، وبالتالي هناك حاجة إلى نموذج كشف مفصل قائم على الشذوذ لاكتشاف مثل هذه الهجمات السيبرانية.

 

أثر التقدم التكنولوجي على عمل المحطات الكهربائية الفرعية

 

مع التقدم السريع في تكنولوجيا المعلومات والاتصالات، شهدت شبكات الطاقة الحديثة عملية رقمنة خلال العقود الأخيرة، بحيث تعد أنظمة أتمتة المحطات الفرعية (SASs)، والتي تسمى أيضاً المحطة الثانوية من خلال مكونات مهمة في شبكات الطاقة، والتي تراقب أيضاً وتحمي المحطة الأولية (على سبيل المثال، المحولات) في المحطات الفرعية.

 

كما تضمنت (SASs) القديمة العديد من المكونات الكهروميكانيكية مع أسلاك صلبة معقدة في طوبولوجيا مركزية، مما زاد بشكل كبير من التعقيد التشغيلي وتكاليف التكوين والصيانة ومخاطر السلامة المحتملة، لذلك ووفقاً للمعيار الدولي (IEC 61850)؛ فقد تم تطوير أنظمة (SAS) الجديدة باستمرار لتلبية المتطلبات المعاصرة عالية المستوى فيما يتعلق بقابلية التشغيل البيني وقابلية الصيانة.

 

ومع ذلك؛ فإن أنظمة (SAS) المتوافقة مع (IEC 61850) معرضة للخطر لأسباب مختلفة، أولاً عندما تم تقديم معيار (IEC 61850) لأول مرة، لم تكن مشكلات الأمن السيبراني هي الاهتمامات الرئيسية، حيث تم تناول هذه المشكلات لاحقاً في معيار آخر، ومع ذلك؛ فإن العديد من أجهزة التحكم من بائعين مختلفين لا تدعم (IEC 62351).

 

ثانياً وكميزة جديدة ملائمة لمسؤولي النظام، يزيد الوصول والتحكم عن بُعد أيضاً من مخاطر اختراق الأنظمة، ونظراً لإدخال بوابات وصول إضافية، أما ثالثاً تدعم (SAS) المتوافقة مع (IEC 61850) بروتوكولات الاتصال المختلفة، بما في ذلك البروتوكولات القديمة (DNP3 ، Modbus) والبروتوكولات الجديدة (MMS ، GOOSE SV)، ومع ذلك؛ فإن كلا من البروتوكولات القديمة والجديدة غير آمنة بسبب المصادقة غير الصحيحة.

 

الأعمال ذات الصلة بالمحطات الكهربائية الفرعية

 

يحتوي هذا القسم على مراجعة شاملة للدراسات، ونظراً لأن (GOOSE) هو بروتوكول الاتصال الأكثر أهمية داخل (SASs)؛ فإنه يتم وصف أولاً العديد من ميزات الشبكة لرسائل (GOOSE، وبعد ذلك يتم تقديم ميزات مادية من بيانات المستشعر ومراجعة إمكانية الجمع بين الميزات المادية وميزات الشبكة لاكتشاف الحالات الشاذة داخل (SASs).

 

وبعد ذلك تصبح مسألة تعزيز استخدام مجموعات البيانات المحدودة في المشكلات العامة والمنهجية وتوفير طرق استخراج الميزات المحتملة للتغلب على هذه المشكلات، وأخيراً تمت مراجعة أربع خوارزميات نموذجية للتعلم الآلي لاكتشاف العيوب، بحيث يتم تلخيص أيضاً الأعمال ذات الصلة بتطبيق خوارزميات النافذة المنزلقة لتحسين دقة تصنيف التعلم الآلي في التطبيقات المختلفة.

 

  • ميزات شبكة (Goose): هناك نوعان من ميزات الملكية الخاصة بـ (GOOSE)، وهي الميزات الديناميكية والميزات الثابتة، بحيث تُحسب الميزات الديناميكية عادةً بناءً على الاتجاهات الإحصائية لحجم المرور وتكرار المرور، كما حددت ثلاث سمات خاصة تتعلق برسائل (GOOSE) بناءً على تحليل (RFM) في أبحاث الأعمال والتسويق.

 

  • الميزات المادية من بيانات الاستشعار: من منظور الهندسة الكهربائية، وبناءً على قوانين كيرشوف للتيار والجهد الكهربائي؛ تستخدم بيانات المستشعر، مثل التيار والجهد، وذلك لتصنيف ثلاث حالات متميزة تتوافق مع التشغيل العادي والخطأ غير الخبيث وحقن القياس الخاطئ في (SASs)، ومع ذلك فإن النهج يقتصر على اكتشاف الهجمات على رسائل (SV) والدقة غير مرضية.

 

  • الجمع بين كل من الشبكة والميزات المادية: في العمل السابق، تم تحديد ميزة ديناميكية واحدة (GOOSE heartbeat) وتسع ميزات ثابتة، على سبيل المثال، (MAC ،APPID ،gocbRef ،allData) ونوعين من الميزات المادية (القيم المادية للدائرة وحالة قاطع الدائرة)، ومن خلال تضمين ميزتين إضافيتين، وهما بيانات التحكم المنطقية من حقل “allData” وميزات مادية مختلفة ؛ فقد حسنت الطريقة دقة اكتشاف الهجمات التخفي عن طريق تقليل معدل السالب من (25٪) إلى (5٪) تقريباً.

 

  • ميزة الاستخراج: اقترح بعض الباحثين عدة طرق لاستخراج الميزات، وقد تكون هذه الأساليب مفيدة للتغلب على المشكلة المذكورة أعلاه، كما قدم طريقة استخراج ميزة التسلسل الزمني الهرمي للكشف عن الحالات الشاذة في استهلاك الطاقة، لذلك لقد حددوا أربعة أنواع من الميزات من قراءات استهلاك الطاقة اليومية وميزات الملخص وميزات التغيير وميزات التحويل وميزات (decom-pose).

 

  • خوارزميات تعلم الآلة النموذجية لاكتشاف الشذوذ: بشكل عام، وعند تطبيق خوارزميات التعلم الآلي لاكتشاف الخطأ؛ فإن هناك نوعان رئيسيان، وهما التعلم الخاضع للإشراف والتعلم غير الخاضع للإشراف، وعلى الرغم من أن خوارزميات التجميع غير الخاضعة للإشراف؛ فإنها لا تتطلب جهداً مقدماً لتسمية مجموعات البيانات بشكل مناسب، ولها دقة اكتشافها عادة ما تكون أقل من خوارزميات التصنيف الخاضعة للإشراف.

 

في هذا البحث، تم تقديم نموذجاً لاكتشاف الشذوذ لاكتشاف الهجمات الداخلية التي يتم إطلاقها من أجهزة تحكم غير موثوقة داخل أنظمة دعم (SAS)، كما يجمع هذا النموذج بين طرق اختيار الميزات والاستخراج وخوارزميات التصنيف المتسلسل وخوارزميات النافذة المنزلقة، ومن خلال اختيار واستخراج ست ميزات أساسية للشبكة وسبع ميزات مادية ملخصة.

 

كذلك يمكن لنموذجنا الكشف بشكل فعال عن الهجمات الداخلية، وعلى الرغم من تعلم السلوكيات الضارة من طريقة نموذجية واحدة فقط، وبالمقارنة مع طرق تصنيف العينات الفردية التقليدية؛ فقد جمع هذا الأسلوب بين (BiLSTM) وخوارزميات النوافذ المنزلقة القائمة على الكمية وتحسن دقة الكشف عن طريق تقليل (FNR) من (30.261٪ – 0.372٪).