Benchmarking Dataset for Presence-Only Passive Reconnaissance in Wireless Smart-Grid Communications

Este artículo presenta un generador de conjuntos de datos de referencia inspirado en el IEEE para la evaluación de reconocimiento pasivo en comunicaciones de redes eléctricas inteligentes, el cual simula observadores receptores que alteran la propagación del canal mediante un mapeo físico consistente en redes jerárquicas para permitir la comparación estandarizada de detectores federados y de grafos temporales.

Lo esencial

Imagina que la red eléctrica inteligente (el "Smart Grid") es como una gigantesca ciudad digital donde los medidores de luz, los paneles solares y las subestaciones se comunican entre sí para mantener la energía fluyendo suavemente. Para que esto funcione, estos dispositivos hablan constantemente, enviando mensajes por el aire (como Wi-Fi o ZigBee) o por los cables de electricidad.

Hasta ahora, los expertos en seguridad se preocupaban principalmente por los "ladrones" que entraban a la ciudad, hackeaban los mensajes, cambiaban los números o apagaban las luces (ataques activos).

Pero, ¿qué pasa si hay un espía que no hace nada?

Este paper presenta una nueva herramienta para estudiar a un tipo de espía muy peculiar: el espía fantasma.

1. El Espía Fantasma (La Amenaza)

Imagina que un espía se sienta en un banco cerca de una antena de comunicación. No envía mensajes, no roba datos y no rompe nada. Solo está ahí.

Sin embargo, su mera presencia altera el entorno. Al igual que cuando pasas frente a una fuente de luz y tu sombra cambia la iluminación, o cuando alguien camina por una habitación y el eco de tu voz cambia ligeramente, el cuerpo del espía perturba las ondas de radio.

• El problema: Estas perturbaciones son muy sutiles. Cambian ligeramente la calidad de la señal, hacen que los mensajes lleguen un poquito más tarde o con más errores, pero no son obvios.
• El reto: Detectar a alguien que no hace nada, solo "está", es como intentar notar si alguien ha entrado en una habitación solo por el cambio en el eco de tu voz.

2. El Laboratorio de Pruebas (El Dataset)

Como es muy difícil y peligroso poner a espías reales en una red eléctrica de verdad, los autores crearon un simulador digital (un "mundo de juguete" muy realista).

• La Ciudad de 12 Vecinos: Crearon una red pequeña pero completa con 12 nodos (medidores, puertas de enlace, controladores) que se comunican en tres niveles:
  • HAN (Hogar): Como tus medidores inteligentes.
  • NAN (Barrio): Como los transformadores de la calle.
  • WAN (Ciudad): Como las grandes subestaciones.
• El Motor de Física: No es un videojuego cualquiera. El simulador usa leyes de la física reales. Si el "espía" se acerca, el simulador calcula matemáticamente cómo la señal se debilita, cómo aumenta el ruido y cómo eso hace que los paquetes de datos se pierdan o lleguen tarde. Es como un simulador de vuelo para ciberseguridad: si el piloto (el espía) hace algo, el avión (la red) reacciona de forma realista.

3. ¿Por qué es importante este "Juego"?

Antes, los investigadores tenían que inventar sus propios escenarios o usar datos de ataques reales (que a veces son demasiado obvios). Con esta herramienta, pueden:

• Entrenar a detectives digitales: Crear algoritmos de Inteligencia Artificial que aprendan a detectar esas "sombras" sutiles.
• Probar sin riesgo: Pueden simular miles de ataques sin poner en peligro la red eléctrica real.
• Trabajo en equipo (Federado): El simulador está diseñado para que diferentes ciudades (o nodos) entrenen a sus propios detectores y luego compartan lo aprendido sin revelar sus datos privados, como un equipo de detectives que comparte pistas sin mostrar sus cuadernos de notas.

4. La Analogía Final: El Detective de Sombras

Imagina que eres un detective en una fiesta ruidosa.

• Ataque activo: Alguien grita "¡Fuego!" y rompe un plato. Es fácil de detectar.
• Ataque pasivo (lo que estudia este paper): Alguien se para detrás de ti y susurra. No grita, pero su presencia hace que tu voz suene un poco diferente al rebotar en las paredes.

La mayoría de los sistemas de seguridad actuales son como guardias que solo buscan gritos y platos rotos. Este paper ofrece un manual de entrenamiento para enseñarles a los guardias a escuchar esos cambios sutiles en el eco de la voz, para saber que hay un intruso cerca, aunque no haya hecho nada más que respirar.

En resumen: Los autores han creado un campo de entrenamiento virtual donde los expertos pueden practicar la detección de espías que se esconden en la "sombra" de las señales de radio, usando física real para asegurar que lo que aprenden funcione en el mundo real.

Resumen técnico

Aquí presento un resumen técnico detallado del artículo en español, estructurado según los puntos solicitados:

Título del Artículo

Conjunto de Datos de Referencia para el Reconocimiento Pasivo de Presencia Única en Comunicaciones de Redes Inteligentes (Smart-Grid)

1. El Problema

La ciberseguridad de las redes eléctricas inteligentes (Smart-Grids) se ha centrado históricamente en ataques activos (inyección de datos falsos, denegación de servicio, manipulación de rutas). Sin embargo, existe una brecha significativa en la investigación sobre ataques de reconocimiento pasivo de "presencia única".

• Naturaleza de la amenaza: Un adversario que es estrictamente "solo receptor" (receive-only). No inyecta, retransmite, bloquea ni modifica paquetes. Su única acción es situarse físicamente cerca de un enlace inalámbrico o un punto final.
• Mecanismo de impacto: La mera presencia física (humanos u objetos) altera el entorno de propagación, causando sombras adicionales (shadowing) y variaciones en el multitrayecto (multipath). Esto modifica estadísticas de la capa física como la Intensidad de la Señal Recibida (RSS) y la Información del Estado del Canal (CSI), sin tocar la capa de protocolo.
• Limitación actual: Los conjuntos de datos públicos existentes se centran en capas de protocolo o mediciones activas y carecen de observables impulsados por la propagación en topologías jerárquicas (HAN, NAN, WAN) con contextos de federación, lo que dificulta la evaluación reproducible de detectores bajo modelos de amenazas estrictamente pasivos.

2. Metodología

El artículo presenta un generador de conjuntos de datos sintéticos diseñado para ser físicamente consistente y seguro contra fugas de información (leak-safe).

• Topología Jerárquica: Se modela una red de 12 nodos distribuidos en tres capas alineadas con estándares IEEE (2030/2030.5):

  • HAN (Red de Área Doméstica): Medidores inteligentes y gateways (ZigBee, Wi-Fi).
  • NAN (Red de Área de Vecindad): Recursos energéticos distribuidos (DER), relés y controladores (LoRa, PLC, LTE).
  • WAN (Red de Área Amplia): Centros de control y subestaciones (Fibra óptica, LTE, PLC).
  • Nota: Los enlaces de fibra óptica se consideran inmunes a este tipo de ataques y se mantienen como "normales".

• Modelado del Canal y Semántica de Tráfico:

  • Se utiliza un proceso de desvanecimiento complejo Gauss-Markov (AR(1)) condicionado por la tecnología.
  • Se implementa una cadena de mapeo causal y determinista: Amplitud CSI (C) → SNR → Tasa de Error de Paquete (PER) → Latencia (L).
  • Los ataques no se inyectan como banderas de eventos, sino que se modelan como perturbaciones en los latentes de propagación (pérdida de sombra adicional y degradación de la coherencia temporal), lo que obliga a que los indicadores de enlace (SNR, PER, latencia) se recalculen consistentemente a partir de estos cambios físicos.

• Generación de Ataques (Presencia Única):

  • Ventanas de tiempo: Los ataques se aplican en intervalos específicos sobre nodos elegibles (técnicas inalámbricas o PLC).
  • Mecanismos:
    1. Pérdida de Sombra (Shadow-loss): Aumento de la atenuación (ej. 10-55 dB) simulando la obstrucción por cuerpos.
    2. Reducción de Coherencia: Disminución de la correlación temporal del canal y aumento de la innovación (scattering), simulando cambios en la estructura de multitrayecto.
  • Protección contra Fugas (Leak-Safe): Los conjuntos de entrenamiento, validación y prueba son realizaciones independientes (sin compartir estados latentes). Las características temporales son estrictamente causales y la normalización se ajusta solo con datos de entrenamiento.

3. Contribuciones Clave

1. Referencia de Topología Consciente: Un grafo de comunicación de 12 nodos con asignaciones de roles y tecnologías heterogéneas, respetando restricciones de conectividad (ej. sin enlaces directos HAN-WAN).
2. Perturbaciones Estrictamente Pasivas: Modelado de ataques que solo alteran la propagación física, forzando a los detectores a basarse en desviaciones sutiles en CSI, SNR y latencia, sin señales de capa de protocolo.
3. Construcción Segura para Evaluación: Generación de datos con realizaciones independientes entre splits, eliminación de "burn-in" (periodo de estabilización) y normalización estricta para evitar filtraciones de datos de prueba durante el entrenamiento.
4. Contexto Temporal y de Vecindad: Inclusión de descriptores temporales causales y agregados de vecinos ponderados por la topología para facilitar el aprendizaje de grafos temporales.
5. Listo para Federated Learning: El conjunto de datos se entrega con particiones por nodo y metadatos de normalización, permitiendo la evaluación de pipelines centralizados, locales y federados.

4. Resultados y Evaluación

Los autores realizaron experimentos de referencia utilizando detectores federados básicos para validar la utilidad del conjunto de datos:

• Dificultad de Detección: Los ataques de presencia única son sutiles y dependen de la tecnología. Por ejemplo, los clientes con baja prevalencia de ataques (como los nodos LoRa) son más difíciles de detectar.
• Desempeño de Modelos Basales:
  • Un modelo lineal federado (Fed-LR) logró un alto recall (0.88) pero bajo precision (0.40), indicando muchas falsas alarmas cuando se ignora la consistencia temporal.
  • Los modelos basados en árboles (Fed-XGB) y redes recurrentes (Fed-LSTM, Fed-GRNN) mejoraron el equilibrio, alcanzando un F1-score de hasta 0.72 y una precisión de 0.68.
• Implicación: Los resultados demuestran que las decisiones por muestra (sin contexto temporal ni espacial) no son robustas para detectar estas perturbaciones. Se requiere explotar la estructura de grafos temporales y el contexto de los vecinos para una detección efectiva.

5. Significado e Impacto

Este trabajo es fundamental para el avance de la ciberseguridad en redes inteligentes por varias razones:

• Cierre de Brecha de Investigación: Proporciona el primer conjunto de datos sintético público diseñado específicamente para amenazas de reconocimiento pasivo de presencia única en el contexto de Smart-Grids.
• Validación Física: A diferencia de los datos sintéticos arbitrarios, este generador se basa en estándares (3GPP TR 38.901), hojas de datos de dispositivos (CC2420, SX1276) y literatura de modelado de ruido PLC, asegurando que las estadísticas sean realistas.
• Evaluación Reproducible: Al eliminar las fugas de datos entre entrenamiento y prueba y proporcionar particiones listas para federación, permite una comparación justa y estandarizada de algoritmos de detección de anomalías.
• Habilitador de Nuevas Técnicas: Fomenta el desarrollo de detectores avanzados que integran aprendizaje temporal, aprendizaje en grafos y aprendizaje federado para identificar amenazas que antes eran indetectables mediante métodos tradicionales de capa de red.

En resumen, el artículo establece un nuevo estándar para la evaluación de defensas contra espionaje pasivo en infraestructuras críticas, demostrando que la mera presencia física de un adversario puede degradar la calidad del enlace de manera medible y detectable si se utilizan los modelos y datos adecuados.