Benchmarking Dataset for Presence-Only Passive Reconnaissance in Wireless Smart-Grid Communications

Este artigo apresenta um gerador de conjunto de dados de referência baseado em padrões IEEE para o reconhecimento passivo em comunicações de redes inteligentes, simulando observadores que alteram a propagação do sinal sem transmitir, o que permite a avaliação padronizada de detectores federados e baseados em grafos para ameaças de inteligência passiva em redes domésticas, de bairro e de área ampla.

O essencial

Imagine que a rede elétrica inteligente (Smart Grid) é como uma grande cidade onde a energia flui através de tubos e fios, mas o "tráfego" de informações que controla tudo isso viaja pelo ar (Wi-Fi, rádio) e por alguns fios especiais.

Este artigo apresenta uma nova ferramenta para treinar guardiões digitais a detectar um tipo muito específico e silencioso de espião.

Aqui está a explicação, usando analogias do dia a dia:

1. O Problema: O Espião que Só "Ouve"

Na segurança cibernética, a maioria dos ataques é como um ladrão que arromba a porta, rouba coisas ou deixa um bilhete falso. Isso é fácil de detectar.

Mas este artigo foca em um espião fantasma.

• A Analogia: Imagine que você está conversando com um amigo em um parque. De repente, uma pessoa se aproxima e fica parada ao lado de vocês. Ela não fala nada, não grita e não toca em vocês. Ela apenas está lá.
• O Efeito: A presença dessa pessoa muda ligeiramente como o som viaja entre vocês (o som fica um pouco abafado ou ecoa diferente).
• No Mundo Real: Na rede elétrica, um espião se aproxima de um medidor inteligente. Ele não envia vírus nem bloqueia sinais. Ele apenas fica perto. O corpo dele e os objetos ao redor mudam a forma como as ondas de rádio viajam. Isso faz com que a conexão fique um pouco mais fraca ou "confusa" por um momento.

O desafio é: Como saber que alguém está lá, se nada foi "quebrado" ou "hackeado" no software?

2. A Solução: Um "Simulador de Cidade" (O Dataset)

Os pesquisadores criaram um gerador de dados sintéticos. Pense nisso como um simulador de voo para segurança de redes elétricas.

• Por que precisamos disso? Não é fácil pegar espiões reais em redes elétricas reais sem causar problemas. Então, eles criaram uma "cidade virtual" perfeita para treinar os sistemas de defesa.
• A Estrutura da Cidade: O simulador tem três níveis, como uma cidade real:
  1. HAN (Casa): Medidores inteligentes nas casas (como seus relógios de energia).
  2. NAN (Bairro): Controladores que agrupam várias casas.
  3. WAN (Cidade): O centro de comando que vê tudo.
• A Tecnologia: Eles misturam diferentes "estradas" para os dados: Wi-Fi, ZigBee (como o Bluetooth de baixa energia), PLC (dados que viajam pelos fios de energia) e Fibra Óptica.

3. Como Funciona o Treinamento (A Física do Simulador)

A parte mais genial é que o simulador não "inventa" erros aleatórios. Ele segue as leis da física.

• A Cadeia de Efeitos:
  1. O espião aparece perto de um medidor.
  2. Isso cria uma "sombra" no sinal de rádio (como uma nuvem bloqueando o sol).
  3. O simulador calcula automaticamente: "Se o sinal ficou mais fraco, a qualidade da conexão cai."
  4. "Se a qualidade cai, mais pacotes de dados se perdem."
  5. "Se mais dados se perdem, o sistema precisa reenviá-los, o que aumenta o atraso (latência)."
• O Resultado: O sistema de defesa vê um atraso estranho e uma qualidade de sinal oscilante. O simulador diz: "Isso não foi um erro de software. Foi porque alguém passou perto e bloqueou o sinal."

4. O Teste: Detectando o Invisível

Os pesquisadores testaram vários "detetives" (algoritmos de Inteligência Artificial) usando esses dados.

• O Desafio: O espião é muito sutil. Se o detetive olhar apenas para um único segundo de dados, ele pode achar que é apenas uma flutuação normal (como uma rajada de vento).
• A Descoberta: Os detetives que olhavam apenas para um ponto no tempo falhavam. Mas os detetives que olhavam para:
  1. O Tempo: "Isso está acontecendo há 5 segundos seguidos?"
  2. A Vizinhança: "O medidor da casa ao lado também está com problemas?"
     ...conseguiram detectar o espião com muito mais precisão.

Resumo em Uma Frase

Este artigo criou um laboratório virtual onde os pesquisadores podem simular espiões que se escondem perto de medidores inteligentes para ver como eles perturbam o sinal, permitindo que os sistemas de segurança aprendam a detectar essa "sombra invisível" antes que ela cause problemas reais na rede elétrica.

Por que isso importa?
À medida que nossas casas e cidades ficam mais conectadas, precisamos de guardiões que não apenas vejam quem arromba a porta, mas que também percebam quando alguém está espiando pela janela, mesmo que não faça barulho.

Resumo técnico

Resumo Técnico: Dataset de Benchmark para Reconhecimento Passivo "Apenas Presença" em Comunicações de Rede Inteligente (Smart Grid)

1. O Problema

A segurança cibernética das redes inteligentes (Smart Grids) tem sido amplamente estudada no contexto de ataques ativos (injeção de dados falsos, spoofing, negação de serviço). No entanto, as ameaças de reconhecimento passivo permanecem subexploradas. Especificamente, este trabalho foca no modelo de ameaça "apenas presença" (presence-only): um adversário que é apenas receptor (receive-only), não transmitindo, injetando pacotes ou manipulando protocolos.

O desafio central é que, embora o adversário não transmita, sua proximidade física com os nós da rede altera o ambiente de propagação (através de sombreamento e variações de multipath). Essas alterações perturbam estatísticas de camada física, como a Intensidade do Sinal Recebido (RSS) e as Informações do Estado do Canal (CSI), criando anomalias sutis e temporais.

• Limitação Atual: Existem poucos conjuntos de dados públicos que capturem essas perturbações de propagação induzidas por proximidade em topologias hierárquicas (HAN/NAN/WAN) com divisões de dados prontas para aprendizado federado. A maioria dos datasets existentes foca em ataques de camadas superiores ou não possui a consistência física necessária para avaliar modelos de detecção passiva de forma reprodutível.

2. Metodologia

Os autores desenvolveram um gerador de dataset sintético inspirado em padrões IEEE e ancorado na literatura de propagação de rádio, projetado para simular um adversário passivo em uma rede inteligente heterogênea.

• Topologia da Rede: O dataset simula um grafo de comunicação de 12 nós dividido em três camadas:

  • HAN (Home Area Network): Medidores inteligentes e gateways (ZigBee, Wi-Fi).
  • NAN (Neighborhood Area Network): Recursos de energia distribuída (DER), relés e controladores (LoRa, PLC, LTE).
  • WAN (Wide Area Network): Centros de controle e subestações (Fibra óptica, LTE, PLC).
  • Restrição: Nós de fibra óptica são considerados invulneráveis a este tipo de ataque de propagação e mantidos como "normais".

• Modelo de Ameaça (Perturbação Passiva):

  • O adversário não altera pacotes. A perturbação é modelada como uma mudança no ambiente de propagação:
    1. Perda de Sombreamento Adicional: Atenuação extra no sinal.
    2. Degradação de Coerência: Redução da correlação temporal do canal e aumento da inovação (espalhamento).
  • Esses efeitos são aplicados apenas em janelas de tempo específicas e apenas quando há tráfego ativo (gateamento por atividade).

• Pipeline de Geração de Dados (Consistência Física):

  • O gerador segue uma cadeia causal determinística: CSI (Amplitude/Phase) $\rightarrow$ SNR $\rightarrow$ Taxa de Erro de Pacote (PER) $\rightarrow$ Latência.
  • As perturbações no canal físico (sombreamento e coerência) alteram a CSI, o que por sua vez recalcula o SNR, aumenta o PER e, consequentemente, aumenta a latência devido a retransmissões (ARQ).
  • Isso garante que as anomalias não sejam "flags" injetadas artificialmente, mas sim consequências físicas observáveis.

• Segurança contra Vazamento (Leak-Safe):

  • Os conjuntos de treino, validação e teste são realizações independentes (sementes aleatórias diferentes), evitando que o modelo aprenda padrões de ruído específicos de uma simulação.
  • A normalização é ajustada apenas nos dados de treino e aplicada aos outros conjuntos usando parâmetros armazenados.
  • Recursos temporais são estritamente causais (sem olhar para o futuro).

3. Principais Contribuições

1. Benchmark Topologia-Consciente: Um dataset com um grafo de 12 nós (HAN-NAN-WAN) que respeita restrições de conectividade realistas (ex: sem links diretos HAN-WAN) e tecnologias heterogêneas.
2. Perturbações Estritamente Passivas: Modelagem de ataques que alteram apenas a propagação, forçando a detecção a basear-se em desvios sutis de CSI, SNR, PER e latência, sem manipulação de pacotes.
3. Construção "Leak-Safe": Garante a reprodutibilidade e a validade da avaliação de ML através de realizações independentes, remoção de "burn-in" e normalização estrita.
4. Suporte a Aprendizado Federado: O dataset é fornecido com partições por nó (train/val/test) e metadados de normalização, permitindo a avaliação de pipelines de detecção centralizados, locais e federados.
5. Contexto Temporal e de Vizinhança: Inclui agregados ponderados por adjacência e características de vizinhança para permitir aprendizado baseado em grafos temporais.

4. Resultados e Avaliação

Os autores realizaram experimentos de linha de base usando detectores federados leves para validar a utilidade do dataset:

• Dificuldade de Detecção: Os resultados mostram que as perturbações "apenas presença" são sutis e dependem da tecnologia (ex: LoRa vs. ZigBee).
• Desempenho dos Modelos:
  • Modelos lineares (Fed-LR) tiveram alta recall (detectaram muitos ataques) mas baixa precisão (muitos falsos positivos), indicando que decisões por amostra única são insuficientes.
  • Modelos baseados em árvores (Fed-XGB) e redes recorrentes (Fed-LSTM/GRNN) melhoraram o equilíbrio, mas ainda enfrentaram desafios em regimes de ataque mais sutis.
• Conclusão dos Resultados: A detecção eficaz requer a combinação de consistência temporal (através de múltiplos instantes) e contexto espacial (informação de nós vizinhos), validando a necessidade de pipelines de grafos temporais para este cenário.

5. Significância

Este trabalho preenche uma lacuna crítica na pesquisa de segurança de Smart Grids:

• Padronização: Oferece um benchmark padronizado e reprodutível para avaliar detectores de reconhecimento passivo, algo que antes era difícil devido à falta de dados públicos com essa especificidade.
• Realismo Físico: Ao vincular as anomalias de segurança a modelos de propagação de rádio (3GPP, modelos de ruído PLC), o dataset evita "atalhos" de aprendizado de máquina e força os modelos a aprenderem as verdadeiras assinaturas físicas de um intruso.
• Preparação para o Futuro: A estrutura federada e a consideração de topologias complexas preparam a comunidade para desenvolver sistemas de detecção distribuída, essenciais para a escalabilidade e privacidade das futuras redes inteligentes.

Em resumo, o artigo fornece uma ferramenta fundamental para estudar como a mera presença física de um adversário pode comprometer a segurança de redes inteligentes através de alterações no canal de comunicação, permitindo o desenvolvimento de defesas mais robustas e realistas.