Ett innovativt FoU-projekt ledd av Berkeley Lab-forskare som kombinerar cybersäkerhet, maskininlärningsalgoritmer och kommersiellt tillgänglig kraftsystemsensorteknik för att bättre skydda elnätet har väckt intresse från amerikanska elbolag, kraftbolag och statliga tjänstemän.

Lanserades 2015, det treåriga projektet går nu in i tekniköverföringsstadiet, enligt projektledaren Sean Peisert, en datavetare vid Berkeley Labs Computational Research Division och en cybersäkerhetsexpert. Förutom att få finansieringsstöd från Department of Energy's Cybersecurity for Energy Delivery Systems (CEDS)-program i Office of Electricity Delivery and Energy Reliability, teamet har arbetat nära med viktiga industripartners, inklusive EnerNex, EPRI, Riverside Public Utilities och Southern Company.

"Detta projekt har, från början, designats med tekniköverföring i åtanke, " sa Peisert. som också är chefsstrateg för cybersäkerhet för CENIC och docent adjungerad professor i datavetenskap vid University of California, Davis. "Vi har sökt input från utrustningsleverantörer och kraftbolag för att säkerställa att de tekniker som utvecklats är verklighetsförankrade och är mer sannolikt att implementeras och användas i praktiken."

Förbättra Grid Resiliency

Ett mer moderniserat elnät kommer att resultera i bättre tillförlitlighet och motståndskraft och snabbare återställande av service vid störningar. Att skapa innovativa verktyg och teknologier för att minska risken för att energileveransen kan störas av en cyberincident är avgörande för att göra landets elnät motståndskraftigt mot cyberhot.

Eldistributionsnätet utvecklades med noggrant övervägande för att säkerställa säker och tillförlitlig drift; eftersom nätet moderniseras för att ytterligare förbättra tillförlitligheten, nya funktioner måste utformas för cyberresiliens för att förhindra cyberattacker via IP-nätverk. Medan IT-säkerhetsmetoder som utvecklats för affärssystem för att hantera skadlig programvara och andra cyberattacker inkluderar traditionella system för intrångsdetektering, brandväggar och kryptering, dessa tekniker kan lämna en lucka i säkerhet och skydd när de tillämpas på cyberfysiska enheter eftersom de inte anser att fysisk information är känd om enheten de skyddar.

För att åtgärda denna sårbarhet, med start 2014 Peisert och hans medarbetare – som inkluderar Ciaran Roberts (Berkeley Lab), Anna Scaglione (Arizona State University), Alex McEachren (Power Standards Laboratory), Chuck McParland (pensionär från Berkeley Lab), och Emma Stewart (nu med Lawrence Livermore National Laboratory) – inledde en serie projekt som tar ett unikt tillvägagångssätt för nätsäkerhet genom att integrera traditionell datorsäkerhet och säkerhetsteknik. Deras slutmål var att utveckla ett ramverk för säkerhetsövervakning och analys som förbättrar nätsystemets motståndskraft.

"Ju mer vi tittade på det här, ju mer vi insåg att de personer som ansvarar för datasäkerhet och de ansvariga för säkerhetsteknik ofta inte är i samma delar av organisationen och mycket ofta inte pratar med varandra, " sa Peisert. "Så vi började undra om det fanns ett sätt att överbrygga klyftan mellan den fysiska världen och cybervärlden, och säkerhetsteknikvärlden och cybersäkerhetsvärlden, och skapa ett enda system där cybersäkerhetssystemet tar hänsyn till enhetens fysik och de fysiska begränsningarna för den enheten."

Mot detta mål, deras nuvarande projekt har fokuserat på att designa och implementera en arkitektur som kan upptäcka cyberfysiska attacker på eldistributionssystemets nätverk. För att göra detta använder de mikrofasmätenheter (μPMUs) för att fånga information om det fysiska tillståndet för eldistributionsnätet. De kombinerar sedan dessa data med SCADA (övervakningskontroll och datainsamling, används ofta i elnätsövervakning) information för att ge realtidsfeedback om systemets prestanda.

"Tanken är om vi kunde utnyttja det fysiska beteendet hos komponenter inom elnätet, vi skulle kunna få bättre insikt om huruvida det fanns en cyberattack som försökte manipulera dessa komponenter, " Peisert förklarade. "Dessa enheter ger en redundant uppsättning mätningar som ger oss ett högtroget sätt att spåra vad som händer i eldistributionsnätet, och antingen genom att titta på dessa mätningar ensamma eller genom att jämföra dessa mätningar med vad utrustningen själv rapporterade och leta efter avvikelser, vi kan ha en indikation på vissa typer av attacker mot komponenter i elnätet."

μPMUs kontra PMUs

Phasor measurement units (PMUs) används för att mäta elnätets elektriska tillstånd och för att ge överföringssystemoperatörer situationsmedvetenhet. Vanligtvis installerad vid högspänningsstationer, PMU:er anses vara en viktig mätanordning i kraftsystem, tillhandahålla ögonblicksbilder av kraftnätet i en mycket högre hastighet än SCADA genom att beräkna och rapportera spännings- och strömfasorer (ett komplext tal som representerar storleken och fasvinkeln för de sinusformade vågor som kännetecknar AC-elektriska nätverk).

Dock, PMU har vissa egenskaper – nämligen storlek och kostnad – som begränsar deras utbyggnad på distributionsnätsnivå. Det är här μPMU kommer in. Utvecklad vid Power Standards Lab under ett projekt som leds av UC Berkeley och finansieras av Department of Energys ARPA-E-program, μPMUs är utformade för att öka situationsmedvetenheten på distributionsnivå. Eftersom de är mycket mindre och potentiellt billigare, flera μPMU:er kan distribueras vid punkter längs distributionsnätet, ger en mycket högre upplösning (120 mätningar/sek) av nätet och varnar operatörer för potentiella attacker på det nätet i realtid.

"Vår metod – som faktiskt bara använder ett litet antal sensorer – använder både SCADA- och μPMU-mätningar, och det finns ett otroligt värde i att kunna krysschecka mellan de två för att leta efter avvikelser, "Peisert sa. "Individuellt kan det vara möjligt för en angripare att manipulera vad som representeras av en enskild sensor eller informationskälla, vilket kan leda till skador på elnätet. Detta tillvägagångssätt ger redundansen och därför motståndskraften i synen som är tillgänglig för nätoperatörer."

Detektering av maskininlärningshjälpmedel

För att få detta att hända, forskargruppen använde en modifierad version av Cumulative Sum (CUSUM) algoritmen, introducerades först 1954, för sekventiell analys av data och automatisk avvikelsedetektering. Resultatet är, i huvudsak, en form av maskininlärning.

"Algorithmen gör det möjligt för programvaran att adaptivt lära sig det normala beteendet för de mängder som mäts, och genom den processen lära sig att identifiera onormalt och normalt beteende genom att upptäcka snabba förändringar i den fysiska miljön, såsom strömstyrka och aktiv och reaktiv effekt, " sa Berkeley Labs Roberts, en energisystemingenjör inom energiteknikområdet. "All beräkning sker i realtid under den fysiska datainsamlingen, och algoritmerna är designade för att köras i realtid."

För närvarande samlas data in från μPMUs placerade på flera platser runt Berkeley Lab (som har sin egen kraftdistributionsstation) och analyseras med hjälp av ett beräkningskluster och en webbnärvaro (powerdata.lbl.gov) som teamet satt upp specifikt för detta projekt.

"Vi var tvungna att bygga vår egen infrastruktur för att samla in all sensordata på en enda plats och köra algoritmerna över den för att avgöra om det fanns en händelse av intresse, ", sa Peisert. "Och vi har grafiska front-ends till det systemet som också kan användas av det bredare forskarsamhället."

När FoU-komponenten i detta projekt avvecklas, teamet förbereder sin slutrapport och träffar aktivt sina branschpartners och andra kraftbolag över hela USA för att introducera dem till detta unika ramverk för nätsäkerhet. De delar också med sig av sina resultat genom presentationer vid evenemang som EPRI Power Delivery &Utilization Winter 2018 Program Advisory &Sector Council Meeting, hölls i februari i San Diego, och OSIsoft PI World Users Conference i april.

"Med hjälp av högupplösta sensorer i kraftdistributionsnätet och en uppsättning maskininlärningsalgoritmer som vi har utvecklat, i samband med endast en enkel modell av distributionsnätet, vårt arbete kan distribueras av verktyg i deras distributionsnät för att upptäcka cyberattacker och andra typer av fel i nätet, " sa Peisert. "Det är en ny prestation som vi inte tror har gjorts tidigare."