Оцінка здатності моделей машинного навчання виявляти невідомі кібератаки на цифрові підстанції

А.В. Ковилін

doi:10.18372/2073-4751.86.21276

Автор(и)

А.В. Ковилін https://orcid.org/0009-0001-6844-8931

DOI:

https://doi.org/10.18372/2073-4751.86.21276

Ключові слова:

цифрова підстанція, кібербезпека, критична інфраструктура, система виявлення вторгнень, машинне навчання, невідомі атаки, SANDI-2024, МЕК 104

Анотація

У статті розглянуто задачу оцінювання здатності моделей машинного навчання до виявлення невідомих кібератак у мережевому трафіку цифрових підстанцій. Актуальність дослідження зумовлена тим, що цифрові підстанції є складовою критичної інфраструктури, а їх функціонування залежить від захищеної мережевої взаємодії між пристроями автоматизації, системами моніторингу та промисловими протоколами. Для експериментального дослідження використано попередньо оброблену МЕК 104 частину набору даних SANDI-2024, призначену для навчання та оцінювання систем виявлення вторгнень в електричних підстанціях. Реалізовано сценарій leave-one-attack-out, у межах якого один тип атаки повністю вилучається з навчальної вибірки та використовується лише на етапі тестування. Проведено порівняння моделей машинного навчання з учителем та моделей виявлення аномалій. Результати показали, що у стандартному сценарії виявлення відомих атак моделі досягають майже ідеальних метрик, однак у сценарії невідомих атак їхня ефективність залежить від типу атаки та порогу прийняття рішення. Найкращий середній результат серед моделей машинного навчання з учителем показала модель Extra Trees, а серед моделей виявлення аномалій – Local Outlier Factor. Отримані результати підтверджують доцільність використання сценаріїв виявлення невідомих атак для реалістичного оцінювання систем виявлення вторгнень у цифрових підстанціях.

Посилання

A dataset to train intrusion detection systems based on machine learning models for electrical substations / E. D. G. Mlot et al. Data in brief. 2024. P. 111153. URL: https:// doi.org/10.1016/j.dib.2024.111153 (date of access: 10.05.2026).

Dataset to train intrusion detection systems based on machine learning models for electrical substations / G. M. E. Damian et al. Zenodo. URL: https://zenodo.org/records/ 15487636 (date of access: 10.05.2026).

GitHub – esguti / cybersecurity-datasets: tools to process network captures in PCAP format from IEC61850 or IEC60870-5-104 (also known as IEC104). GitHub. URL: https://github.com/esguti/cybersecurity-datasets (date of access: 10.05.2026).

Machine learning-based intrusion detection for smart grid computing: a survey / N. Sahani et al. ACM transactions on cyber-physical systems. 2023. URL: https://doi.org/ 10.1145/3578366 (date of access: 10.05.2026).

Zero-day attack detection in digital substations using in-context learning / F. Manzoor et al. 2024 IEEE International Conference on Communications, Control, and Computing Technologies for Smart Grids (SmartGridComm). 2024. P. 220-225. URL: https://doi.org/10.1109/SmartGridComm60555.2024.10738025 (date of access: 10.05.2026).

Detecting zero-day attacks in digital substations via in-context learning. arXiv.org. URL: https://arxiv.org/abs/2501.16453 (date of access: 10.05.2026).

Machine-Learning-Based anomaly detection for GOOSE in digital substations / H. Nhung-Nguyen et al. Energies. 2024. Vol. 17, no. 15. P. 3745. URL: https://doi.org/ 10.3390/en17153745 (date of access: 10.05.2026).

GOOSE secure: A comprehensive dataset for in-depth analysis of GOOSE spoofing attacks in digital substations / O. A. Tobar-Rosero et al. Energies. 2024. Vol. 17, no. 23. P. 6098. URL: https://doi.org/10.3390/ en17236098 (date of access: 10.05.2026).

Alves de Oliveira J. A., Pereira dos Santos A. F. P., Salles R. M. RNN for intrusion detection in digital substations based on the IEC 61850. Journal of information security and applications. 2025. Vol. 94. P. 104197. URL: https://doi.org/10.1016/j.jisa.2025.104197 (date of access: 10.05.2026).

Hamdi N. A hybrid learning technique for intrusion detection system for smart grid. Sustainable computing: informatics and systems. 2025. P. 101102. URL: https:// doi.org/10.1016/j.suscom.2025.101102 (date of access: 10.05.2026).

Intrusion detection in smart grСВВ using artificial intelligence-based ensemble modelling / A. Alsirhani et al. Cluster computing. 2025. Vol. 28, no. 4. URL: https://doi.org/10.1007/s10586-024-04964-9 (date of access: 10.05.2026).

Research on intrusion detection of IEC 61850 protocol based on feature selection and triadic concept analysis / H.-M. Wang et al. Cybersecurity. 2025. Vol. 8, no. 1. URL: https://doi.org/10.1186/s42400-025-00463-5 (date of access: 10.05.2026).

Anomaly detection in IEC-61850 GOOSE networks: evaluating unsupervised and temporal learning for real-time intrusion detection. arXiv.org. URL: https://arxiv.org/ abs/2604.14233 (date of access: 10.05.2026).

Explainable autoencoder-based anomaly detection in IEC 61850 GOOSE networks. arXiv.org. URL: https://arxiv.org/ abs/2601.09287 (date of access: 10.05.2026).

ERENO: A framework for generating realistic IEC-61850 intrusion detection datasets for smart grСВВ / S. E. Quincozes et al. IEEE transactions on dependable and secure computing. 2023. P. 1-15. URL: https:// doi.org/10.1109/tdsc.2023.3336857 (date of access: 10.05.2026).

Оцінка здатності моделей машинного навчання виявляти невідомі кібератаки на цифрові підстанції

Автор(и)

DOI:

Ключові слова:

Анотація

Посилання

##submission.downloads##

Опубліковано

Як цитувати

Номер

Розділ

Ліцензія

##plugins.block.developedBy.blockTitle##

Мова

Інформація

Подати статтю

Logo