Benchmarking Dataset for Presence-Only Passive Reconnaissance in Wireless Smart-Grid Communications

Questo articolo presenta un generatore di dataset di riferimento ispirato agli standard IEEE per la valutazione della ricognizione passiva nelle comunicazioni delle smart grid, che simula osservatori ostili privi di trasmissione ma capaci di alterare la propagazione del segnale attraverso effetti di ombreggiatura e multipath, fornendo così dati realistici per testare rilevatori federati basati su grafi temporali.

L'essenziale

Ecco una spiegazione semplice e creativa di questo documento, pensata per chiunque, anche senza un background tecnico.

🏠 Il "Furto Silenzioso" nella Rete Elettrica Intelligente

Immagina la Rete Elettrica Intelligente (Smart Grid) come una gigantesca città moderna. In questa città, ogni casa ha un contatore intelligente, ogni palo della luce parla con il centro di controllo e le centrali energetiche inviano dati in tempo reale. Tutto questo avviene attraverso un sistema nervoso fatto di cavi, onde radio e segnali digitali.

Il problema? Come in una città affollata, c'è sempre qualcuno che potrebbe spiare.

🕵️‍♂️ Il Nemico: Il "Fantasma" che non parla

La maggior parte delle ricerche sulla sicurezza si concentra sui "ladri urlanti": quelli che entrano nel sistema, rubano dati, bloccano il traffico o inviano ordini falsi (come dire alla luce di spegnersi quando invece deve restare accesa).

Questo articolo parla di un tipo di ladro molto più subdolo: l'osservatore passivo.
Immagina un fantasma che si nasconde dietro un muro, vicino a un cavo Wi-Fi o a un contatore.

• Cosa NON fa: Non ruba nulla, non modifica i messaggi, non blocca il traffico. È completamente silenzioso.
• Cosa FA: È solo lì. La sua semplice presenza fisica (il suo corpo, i suoi vestiti, gli oggetti che porta) disturba le onde radio che passano accanto a lui, proprio come un sasso gettato in uno stagno disturba l'acqua, anche se il sasso non parla.

Questo "disturbo" cambia leggermente la qualità del segnale. È un cambiamento così piccolo che sembra normale, ma per un esperto è come vedere un'ombra diversa su un muro: rivela che c'è qualcuno nascosto lì.

🧪 La Sfida: Creare un "Campo di Addestramento"

Il problema per i difensori (gli ingegneri di sicurezza) è che è difficile studiare questi ladri silenziosi. Non puoi andare in una vera città e dire: "Ehi, nasconditi qui e disturba le onde radio per favore, così possiamo allenarci a trovarti". È troppo rischioso e costoso.

Gli autori di questo articolo hanno risolto il problema creando un simulatore virtuale (un "videogioco" molto sofisticato) che genera dati realistici.

Ecco come funziona il loro "gioco":

1. La Città Virtuale (Topologia): Hanno costruito una mappa digitale di 12 nodi che rappresentano la rete elettrica reale:

   • HAN (Casa): I contatori intelligenti nelle case (che usano ZigBee o Wi-Fi).
   • NAN (Quartiere): I trasformatori e i relè di quartiere (che usano LoRa o PLC, ovvero segnali che viaggiano sui cavi dell'elettricità).
   • WAN (Città/Regione): I grandi centri di controllo (che usano fibre ottiche o LTE).
   • Nota: Hanno escluso le fibre ottiche dal "pericolo", perché se il cavo è dentro un tubo di vetro, un fantasma che passa accanto non può disturbarlo. Il pericolo è solo dove le onde viaggiano nell'aria o sui cavi elettrici.

2. La Fisica del "Fantasma" (Il Modello):
   Invece di inventare numeri a caso, hanno usato le leggi della fisica. Quando il "fantasma" si avvicina:

   • Le onde radio si indeboliscono un po' (come se qualcuno avesse messo una mano davanti a una torcia).
   • Il segnale diventa un po' più "confuso" (perde coerenza).
   • Questo fa sì che i pacchetti di dati arrivino con un po' più di errori o con un leggero ritardo.
   • Il sistema calcola tutto questo in catena: Segnale debole ➔ Più errori ➔ Più ritardi. Tutto collegato logicamente, senza trucchi.

3. L'Allenamento (Dataset):
   Hanno generato milioni di minuti di dati. In alcuni momenti, il "fantasma" è presente (attacco), in altri no (normale).

   • La regola d'oro: I dati sono divisi in tre scatole chiuse (Addestramento, Validazione, Test). Chi impara a riconoscere il fantasma non può "barare" guardando la scatola del Test. È come un esame a sorpresa.

🤖 L'Allenamento degli AI (Federated Learning)

Per testare se questo simulatore funziona, gli autori hanno fatto "allenare" delle Intelligenze Artificiali (AI) su questi dati.
Hanno usato un metodo chiamato Federated Learning. Immagina che ogni casa (ogni nodo della rete) abbia il suo piccolo cervello AI. Invece di inviare tutti i dati a un centro unico (che sarebbe lento e rischioso per la privacy), ogni cervello impara da solo i segnali locali e poi condivide solo le "regole" apprese con gli altri.

Il risultato?
Hanno scoperto che è difficile trovare questi fantasmi.

• Se guardi solo un singolo istante, l'AI spesso si confonde (pensa che sia normale).
• Per essere sicuri, l'AI deve guardare la storia (cosa è successo prima?) e la posizione (cosa stanno facendo i vicini?).
• È come se per capire se qualcuno ti sta spiando, non bastasse guardare il tuo telefono, ma dovessi anche guardare cosa fanno i tuoi vicini e come è cambiato il comportamento del telefono nel tempo.

💡 Perché è importante?

Questo articolo non è solo teoria. È un manuale di istruzioni e un campo di allenamento gratuito per tutti gli scienziati del mondo.

• Prima: Ognuno studiava i ladri rumorosi (attacchi attivi).
• Ora: Grazie a questo "gioco" realistico, chiunque può allenare i propri sistemi di sicurezza a riconoscere i ladri silenziosi che si nascondono solo stando vicini ai cavi.

In sintesi: hanno creato un laboratorio virtuale sicuro dove possiamo simulare l'effetto di una persona che si nasconde vicino a un cavo elettrico, per insegnare alle nostre difese a dire: "Ehi, quel segnale è cambiato leggermente. Qualcuno è passato di lì, anche se non ha detto una parola!".

Sommario tecnico

Ecco una sintesi tecnica dettagliata del documento in italiano, strutturata secondo le sezioni richieste.

Titolo: Dataset di Benchmark per la Ricognizione Passiva "Solo Presenza" nelle Comunicazioni delle Smart Grid Wireless

1. Il Problema

La sicurezza informatica delle Smart Grid è stata ampiamente studiata per quanto riguarda gli attacchi attivi (iniezione di dati falsi, replay, jamming, manipolazione del routing). Tuttavia, le minacce di ricognizione passiva "solo presenza" (presence-only) rimangono sottostimate.
In questo scenario, un avversario è puramente ricettivo (receive-only): non inietta pacchetti, non modifica il traffico e non disturba attivamente il segnale. La sua presenza fisica nelle vicinanze di un collegamento wireless o di un endpoint altera l'ambiente di propagazione (attraverso ombreggiatura aggiuntiva e variazioni del multipath), modificando statisticamente i parametri del canale (come CSI e RSSI) senza toccare il livello del protocollo.
Il problema principale identificato dagli autori è la mancanza di dataset pubblici che permettano una valutazione riproducibile di questi attacchi. I dataset esistenti si concentrano su attacchi attivi o su livelli superiori (protocollo/traffico), trascurando le osservabili fisiche di propagazione (CSI, attenuazione, coerenza) in topologie gerarchiche (HAN/NAN/WAN) con collegamenti eterogenei.

2. Metodologia

Gli autori hanno sviluppato un generatore di dataset sintetici ispirato agli standard IEEE (in particolare IEEE 2030 e 2030.5) e ancorato alla letteratura scientifica sulla propagazione radio.

• Topologia di Rete: Il sistema simula un grafo di comunicazione a 12 nodi strutturato su tre livelli:

  • HAN (Home Area Network): Smart meter e gateway (tecnologie ZigBee, Wi-Fi).
  • NAN (Neighborhood Area Network): Risorse energetiche distribuite (DER), relay e controller (LoRa, PLC, LTE).
  • WAN (Wide Area Network): Unità di misura fasoriali (PMU), SCADA e gateway di sottostazione (Fibra ottica, LTE, PLC).
  • Nota: I collegamenti in fibra ottica sono considerati "non attaccabili" in questo modello, poiché immuni alle perturbazioni di prossimità.

• Modellazione del Canale e Fisica:

  • Viene utilizzata una catena causale deterministica: CSI (Ampiezza/Phase) $\rightarrow$ SNR $\rightarrow$ PER (Packet Error Rate) $\rightarrow$ Latenza.
  • Il canale è modellato come un processo di fading complesso Gauss-Markov (AR(1)) con ombreggiatura log-normale (basata su 3GPP TR 38.901) e rumore impulsivo (per il PLC).
  • Gli indicatori di collegamento (SNR, PER, Latenza) non sono inseriti manualmente, ma ricalcolati coerentemente dalle perturbazioni del canale fisico.

• Modello di Minaccia (Attacco Passivo):

  • L'avversario è posizionato vicino a nodi selezionati durante finestre temporali specifiche.
  • L'attacco si manifesta come:
    1. Ombreggiatura aggiuntiva (Shadow-loss): Aumento dell'attenuazione del segnale.
    2. Degradazione della coerenza: Riduzione della correlazione temporale del canale e aumento dell'innovazione (scattering).
  • Le perturbazioni sono applicate solo durante gli epoch in cui c'è traffico attivo (activity-gated) e vengono introdotte gradualmente (ramp-up) per simulare un'azione realistica.

• Integrità dei Dati (Leak-Safe):

  • Il dataset è generato con realizzazioni indipendenti per training, validazione e test (nessuna condivisione di stati latenti).
  • Le normalizzazioni sono calcolate solo sul training set e applicate agli altri set con parametri salvati, prevenendo la "data leakage".
  • Le variabili diagnostiche interne (es. shadow_db, interf_db) sono fornite per la verifica ma escluse dalle feature di apprendimento automatico.

3. Contributi Chiave

1. Benchmark Topology-Aware: Un dataset strutturato su un grafo HAN-NAN-WAN con vincoli di connettività realistici (nessun collegamento diretto HAN-WAN) e tecnologie eterogenee.
2. Perturbazioni Strettamente Passive: Modelli di attacco che alterano solo la fisica della propagazione, senza manipolazione dei pacchetti, costringendo i modelli di rilevamento a basarsi su deviazioni sottili nei parametri del canale.
3. Coerenza Fisica: Una mappatura causale rigorosa dai dati del canale (CSI) alle metriche di livello collegamento (SNR, PER, Latenza), garantendo che le anomalie siano fisicamente plausibili.
4. Feature per Apprendimento Federato: Il dataset include aggregati dei vicini pesati dall'adiacenza e descrittori temporali causali, pronti per pipeline di apprendimento federato e graph-temporal.
5. Riproducibilità: Generazione indipendente degli split, rimozione del "burn-in" e metadati completi per la normalizzazione.

4. Risultati

Gli autori hanno condotto esperimenti di baseline utilizzando rilevatori federati (Federated Learning) su un subset di feature sicuro (escludendo le variabili diagnostiche interne).

• Modelli Testati: Regressione Logistica (Fed-LR), Ensemble di Alberi (Fed-XGB), LSTM e GRNN con finestra temporale ridotta.
• Performance: I risultati mostrano un compromesso (trade-off) significativo tra Precisione e Recall.
  • I modelli lineari ottengono alta Recall ma bassa Precisione (molti falsi positivi).
  • I modelli basati su alberi e reti ricorrenti migliorano la precisione, ma faticano a rilevare attacchi in regimi più sottili o su tecnologie specifiche (es. LoRa).
• Implicazione: Le perturbazioni "solo presenza" sono così sottili e dipendenti dalla tecnologia che le decisioni basate su singoli istanti temporali (row-wise) non sono sufficienti. È necessario un approccio che integri coerenza temporale e contesto spaziale (vicinanza topologica) per un rilevamento efficace.

5. Significato e Impatto

Questo lavoro colma una lacuna critica nella ricerca sulla sicurezza delle Smart Grid fornendo il primo benchmark specifico per la ricognizione passiva basata sulla presenza.

• Standardizzazione: Permette un confronto equo e riproducibile tra diversi algoritmi di rilevamento delle anomalie (centralizzati, locali o federati).
• Realismo Fisico: Sposta il focus dalla semplice analisi del traffico di rete alla fisica della propagazione, riconoscendo che la presenza umana o di oggetti può essere rilevata (e sfruttata per la ricognizione) attraverso le variazioni del canale RF.
• Sicurezza Federata: La struttura del dataset supporta direttamente lo sviluppo di sistemi di difesa distribuiti, cruciali per le infrastrutture critiche dove i dati non possono essere centralizzati.
• Disponibilità: Il generatore e gli script sono open-source, permettendo alla comunità di espandere il dataset a topologie più grandi o scenari diversi.

In sintesi, il paper dimostra che la difesa contro gli avversari passivi richiede modelli che comprendano non solo i dati, ma anche la fisica sottostante della comunicazione wireless e la topologia della rete.