Во многих странах кража электроэнергии ежегодно оценивается в миллиарды долларов. Чтобы снизить объёмы кражи электроэнергии, электростанции общего пользования оптимизируют данные, полученные новой Развитой Инфраструктурой Измерений (РИИ), и используют их анализ для установления отклоняющихся нормы показателей потребления и возможного мошенничества. В данном исследовании мы предлагаем первоочерёдные стратегии использования анализа сведений для установления случаев воровства электроэнергии и новые принципы измерения, которые помогут оптимизировать эти стратегии для оценки и сравнения аномальных показателей. Мы используем реально существующие сведения системы РИИ для обоснования нашей методологии.
Интеллектуальной сетью называется модернизация инфраструктуры энергосистемы при помощи новых технологий, что позволяет автоматической системе демонстрировать большую эффективность, надёжность и безопасность, обеспечивая в то же время большую прозрачность и возможность выбора для потребителей. Одна из ключевых активно задействованных по всему миру технологий является технология Развитой Инфраструктуры Измерений (РИИ).
РИИ является модернизированной системой измерения, где старые механические приборы заменены новыми “умными” счётчиками. Такие приборы являются вновь введёнными устройствами, обеспечивающими двустороннюю связь между энергетическими компаниями и потребителями, в следствие чего исчезает необходимость отправлять сотрудника службы для снятия показателей, и появляются новые возможности, такие как возможность более детально следить за объёмом потребления электроэнергии, быстрее обнаруживать сбои – с аналоговыми приборами энергокомпании узнавали о сбоях в основном через жалобы потребителей – автоматически восстанавливать энергоснабжение, осуществлять удалённое разъединение и посылать потребителям информацию (например, о динамике изменения цен или возобновляемых источниках электроэнергии), предоставлять потребителям больше доступной информации об их энергопотреблении.
“Умные” счётчики представляют собой миллиарды устройств широкого потребления с эксплуатационным ресурсом в несколько десятилетий и действующих в физически небезопасных местах[16]. Усложнение этих устройств при помощи добавления процессоров и защищённой памяти может увеличить цену умных счётчиков на несколько долларов, и поскольку энергетические компании вынуждены задействовать миллионы устройств, реальность рынка такова, что на практике они оказываются неэкономичными и не рекомендованы в качестве необходимых[21].
Поэтому были разработаны некоторые меры безопасности (печати контроля вскрытия, безопасные соединения), которых в то же время оказалось недостаточно для предотвращения вторжений в период срока эксплуатации счётчика. В дополнение к уязвимым местам, установленным специалистами по безопасности[17,9] – случалось, что мошенники осуществляли обновления встроенных программ [20] – взломанные счётчики позволяли воровать электроэнергию, что обошлось одной американской энергокомпании в сотни миллионов долларов ежегодно, как сообщает сводка киберразведки ФБР[14]. Сообщение ФБР предупреждает, что сотрудники компании и отдельные лица с минимальным уровнем пользователя ПК вполне способны вскрыть и перепрограммировать счётчик при помощи недорогих инструментов и программ, легко доступных в интернете. В сообщении ФБР также с большой долей уверенности утверждается, что поскольку использование интеллектуальных сетей становится в стране всё более распространённым, то и случаев подобного мошенничества будет становится больше из-за легкости доступа к системе и финансовой выгоды как для взломщика, так и для потребителя электроэнергии.
Обнаружения воровства электроэнергии всегда происходило при помощи осмотра печатей контроля вскрытия или балансомеров[10]. Несмотря на всю пользу, этих способов недостаточно. Печати контроля вскрытия могут легко сниматься[5], а балансомеры могут показать, что кто-то из пользователей неправильно использует электроэнергию, но не могут показать, кто именно. Несмотря на некоторые уязвимые места умных счётчиков, данные с высоким разрешением, которые они собирают, представляются многообещающей технологией обнаружения кражи электроэнергии.
В целом энергетические компании собирают больше сведений с большого количества устройств для оптимизации анализа большого объёма данных [15] с целью лучшей осведомлённости о состоянии их системы. Одна из ключевых услуг, предоставляемых Управлением Данными Измерений (MDM), предназначена для трансформации большого объёма данных в имеющую практическую ценность информацию и называется гарантированием доходов. Данная услуга подразумевает следующее: энергетические компании используют программное обеспечение для анализа данных на конкретных данных о показаниях счётчиков, чтобы обнаружить возможные случаи кражи электроэнергии и показаний, отклоняющихся от нормы [13]. Таким образом, анализ большого объёма данных становится новым экономичным способом дополнения показаний балансомеров (что становится необходимым, так как мошенники получают доступ непосредственно к электроэнергетическим распределительным линиям, а не взламывают счётчик) и непосредственного вмешательства сотрудника компании, проверяющего целостность печати контроля вскрытия.
В данной работе мы сконцентрируемся на проблеме анализа данных системы MDM для обнаружения случаев незаконного использования электроэнергии. Несмотря на то, что некоторые поставщики MDM предлагают данную услугу, их методы и алгоритмы действия не имеют публичного доступа, поэтому оценить эффективность этих методов не представляется возможным. К тому же те немногие доступные исследования по данной теме имеют свои недостатки[18,19,11,6]: 1) Они не принимают во внимание так называемую модель угроз, и поэтому непонятно, как алгоритм обнаружения кражи будет справляться с более изощрёнными мошенниками, 2) их сведения имеют низкое разрешение, следовательно они обращаются к непараметрической статистике, 3) они признают, что набор данных о примерах мошенничества проверяет точность классификаторов, и поэтому оценка данных будет предвзятой, так как она будет зависеть от того, насколько легко было установить случаи мошенничества, располагая доступными данными, а незафиксированные случаи не позволят объективно оценить эффективность классификатора.
В данной работе мы утверждаем следующие положения: 1) Мы представляем потенциального взломщика системы МDM. В предыдущих работах никогда не принималась во внимание возможность существования “продвинутого” взломщика. Данная модель угрозы особенно важна для цифровых счётчиков, так как взломщик, имеющий доступ к вскрытому счётчику, может отправлять произвольно выбранный мелкомодульный сигнал с точностью, которая была невозможна при механическом взломе (например, с использованием сильного магнита). 2) Мы предлагаем новую систему измерения точности классификации отклоняющихся от нормы показателей. Эта новая метрическая система принимает во внимание некоторые основные проблемы обнаружения аномальных показателей в свете вопроса безопасности: (a) тот факт, что случаи взлома, зафиксированные в наборе данных, могут не быть характерными для будущих взломов (следовательно классификатор, способный зафиксировать эти случаи, может не распознать новые более “продвинутые” технологии взлома), (b) во многих случаях представляется достаточно сложным получить данные о взломах для академических исследований – это особенно справедливо для сведений Комплексной автоматизированной системы диспетчерского управления (КАС ДУ) и сведений датчика и исполнительного устройства в промышленных и энергетических системах – поэтому мы утверждаем, что нам необходимо отказаться от анализа и оценки классификаторов с несбалансированным и нерелевантным набором данных. (3) Используя реально существующие РИИ (данные по пятнадцатиминутным интервалам, собранные за 6 месяцев у 108 пользователей), предоставленные энергокомпанией, мы оцениваем способы обнаружения воровства электроэнергии, включая новый датчик ARMA-GRL, созданный с целью фиксации характерных случаев незаконного использования электроэнергии (снижение счетов за электричество)в формальной модели сложной гипотезы.
Оценка классификаторов в опасной среде
В данном разделе мы опишем новые общие способы оценки работы классификаторов в опасной среде. Поскольку данная концепция может использоваться для решения других проблем, мы предлагаем модель в рамках общей классификации. Наше внимание будет главным образом обращено к двум темам: (1) классификация опасных условий или как оценить эффективность классификатора, в случае когда взломщик осуществляет необнаруживаемый взлом, и (2) изучение опасных ситуаций или как помешать взломщику вводить неверные данные.
Классификация опасных условий.
В самообучающихся машинах классификаторы традиционно оцениваются на основе тестовых данных, содержащих показатели отрицательные (норма) и положительные (вмешательство, взлом). Однако в опасных условиях существует множество ситуаций, когда невозможно заранее получить примеры случаев взлома. Здесь можно выделить две причины: (1) мы по определению не можем получить данные взломах в “нулевые дни”, (2) использование примеров взломов, зафиксированных отдельно от классификатора, подразумевает, что взломщик не приспосабливается к существующим условиям и не попытается избежать обнаружения нашим механизмом.
В данном исследовании мы утверждаем, что вместо использования ряда примеров взлома с целью оценки работы классификатора нам следует установить наихудший из возможных вариантов взлома для каждого классификатора и оценить его, принимая во внимание финансовый ущерб от подобного варианта взлома.
Модели и допущения:
Мы смоделируем проблему оценки классификаторов, представив наихудшие варианты взлома следующим образом:
1. Случайный процесс порождает наблюдение x ∈ X. Эти наблюдения являются реализацией случайного вектора X с распределением P0.
2. Предположим, что x может быть обнаружен только при помощи сенсорного датчика (то есть умного счётчика), а сенсорный датчик отправляет y на классификатор. Таким образом в то время как всем известен P0, конкретный пример x известен только сенсорному датчику.
3. Сенсорный датчик может находиться в двух состояниях (1) нормальном и (2) аномальном. Если датчик находится в нормальном состоянии, то y=x. Если в аномальном, то y= h(x), где h: X → X такая функция, при которой допустимое распределение P1 для Y удовлетворяет Отношению (намерения взломщика): g(X) R g(Y ) (то есть E[Y ] < E[X] где E[X] обозначает ожидаемую переменную величину X).
4. Классификатор f: X → {n, p} выводит решение: отрицательный n при выводе, что y является примером P0 и положительный p, если y принадлежит P1.
Метрическая система для оценки классификаторов в опасной среде:
Чтобы смоделировать взлом мы вводим затратную функцию C(xi, yi), которая образовывает вектор yi, модифицируя исходное значение xi таким образом, что yi обозначает пример взлома, который придаёт максимальное значение C(xi, yi), если остаётся необнаруженным. А именно мы располагаем следующим:
1. Набор данных N = {x1,..., xm} ∈ X m где каждый xi считается примером из множества P0. Отметим, что xi ∈ X. Обычный пример X = Rd, то есть каждое наблюдение xi является вектором реально существующих значений с измерением d. При использовании умного счётчика это может означать, что I xi относится к показаниям счётчика, зафиксированным за 24 часа.
2. Значение α∈ [0, 1] представляющее собой верхнюю допустимую границу ложного аварийного сигнала находится в наборе данных N.
3. Функция стоимости C: X × X → R обозначает стоимость ущерба от ложного отрицательного показателя.
4. Набор данных одного из классификаторов F = {f0,..., fq}, где каждый классификатор имеет параметры в пределе τ используемом для принятия решения. Если хотим оставить неизвестными предел, используемый отдельным классификатором, мы используем обозначение fi,τi.
Это лишь самое начало переведенной работы.
Полный текст переведенной статьи можно скачать тут
Литература:
1. EWMA Control Charts, itl.nist.gov/div898/handbook/pmc/section3/pmc324.html
2. forecast package for R, robjhyndman.com/software/forecast/
3. RapidMiner, rapid-i.com/
4. Antmann, P.: Reducing technical and non-technical losses in the power sector. Technical report, World Bank (July 2009)
5. Appel, A.: Security seals on voting machines: A case study. ACM Transactions on Information and Systems Security 14, 1–29 (2011)
6. Bandim, C., Alves Jr., J., Pinto Jr., A., Souza, F., Loureiro, M., Magalhaes, C., Galvez-Durand, F.: Identification of energy theft and tampered meters using a central observer meter: a mathematical approach. In: 2003 IEEE PES Transmission and Distribution Conference and Exposition, vol. 1, pp. 163–168. IEEE (2003)
7. Breunig, M., Kriegel, H.-P., Ng, R.T., Sander, J.: Lof: Identifying density-based local outliers. In: Proceedings of the 2000 ACM SIGMOD International Conference on Management of Data, pp. 93–104. ACM (2000)
8. Brodsky, B., Darkhovsky, B.: Non-Parametric Methods in Change-Point Problems. Kluwer Academic Publishers (1993)
9. Davis, M.: Smartgrid device security. adventures in a new medium (July 2009), www.blackhat.com/presentations/bh-usa-09/MDAVIS/ BHUSA09-Davis-AMI-SLIDES.pdf
10. De Buda, E.: System for accurately detecting electricity theft. US Patent Applica-tion 12/351978 (January 2010)
11. Depuru, S., Wang, L., Devabhaktuni, V.: Support vector machine based data clas-sification for detection of electricity theft. In: Power Systems Conference and Ex-position (PSCE), 2011 IEEE/PES, pp. 1–8 (March 2011)
12. ECI Telecom. Fighting Electricity Theft with Advanced Metering Infrastructure (March 2011)
13. Geschickter, C.: The Emergence of Meter Data Management (MDM): A Smart Grid Information Strategy Report. GTM Research (2010)
14. Krebs, B.: FBI: smart meter hacks likely to spread (April 2012), krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/
15. Lesser, A.: When big IT goes after big data on the smart grid (March 2012), gigaom.com/cleantech/when-big-it-goes-after-big-data-on-the-smart-grid-2/
16. McLaughlin, S., Podkuiko, D., McDaniel, P.: Energy Theft in the Advanced Me-tering Infrastructure. In: Rome, E., Bloomfield, R. (eds.) CRITIS 2009. LNCS, vol. 6027, pp. 176–187. Springer, Heidelberg (2010)
17. McLaughlin, S., Podkuiko, D., Miadzvezhanka, S., Delozier, A., McDaniel, P.: Multi-vendor penetration testing in the advanced metering infrastructure. In: Pro-ceedings of the Annual Computer Security Applications Conference (ACSAC) (De-cember 2010)
18. Nagi, J., Yap, K.S., Tiong, S.K., Ahmed, S.K., Mohamad, M.: Nontechnical loss detection for metered customers in power utility using support vector machines. IEEE Transactions on Power Delivery Systems 25(2), 1162–1171 (2010)
19. Nizar, A., Dong, Z.: Identification and detection of electricity customer behaviour irregularities. In: Power Systems Conference and Exposition (PSCE), pp. 1–10 (March 2009)
20. Peterson, D.: AppSecDC in review: Real-world backdoors on industrial devices (April 2012), www.digitalbond.com/2012/04/11/appsecdc-in-review/
21. Smart Grid Interoperability Panel, editor. NISTIR 7628. Guidelines for Smart Grid Cyber Security. NIST (August 2010)
22. Sommer, R., Paxson, V.: Outside the closed world: On using machine learning for network intrusion detection. In: IEEE Symposium on Security and Privacy (2010)
Автор: Kosyura
