IEC-61850 GOOSEネットワークにおける異常検知：教師なしおよび時系列学習によるリアルタイム侵入検知の評価

Abstract

先進的なデジタル変電所における時間制約の厳しい通信を支えるのがIEC-61850 GOOSEプロトコルであるが、ネイティブなセキュリティ機構を欠いているため、リプレイ、なりすまし、およびデータ注入攻撃に対して脆弱である。このような環境での侵入検知は、厳格なレイテンシ制約（4ms未満）と、ラベル付き攻撃データの利用可能性の制限により困難となる。本論文は、教師なしの時間的モデリングが、GOOSEネットワークに対する効果的で実運用可能な異常検知を提供し得るかどうかを評価する。ERE-NO IEC-61850データセットにおいて、5つのモデルを比較する。すなわち、教師ありRandom Forestのベースライン、フィードフォワードAutoencoder、ならびに3つの再帰型系列オートエンコーダ（RNN、LSTM、GRU）である。教師ありRandom Forestは最も高い検知性能を達成する（F1=0.9516）が、予測あたり21.8msとなりリアルタイム制約を満たせない。4つの教師なしモデルはいずれも4ms要件を満たし、その中でGRUが最良の精度とレイテンシのトレードオフを達成する（F1=0.8737、1.118ms）。独立したデータセットを用いた環境間評価では、全てのモデルが分布シフトにより低下する。しかし、再帰型モデルは教師ありベースラインよりも相対的に大幅に高い性能を維持しており、ラベル付き攻撃分布への適合よりも、時間的系列モデリングの方がより良く汎化することが示唆される。教師なしモデルの異常閾値は、テストセットのリークを避けるため、保持した検証パーティションで選択する。これらの結果は、教師なし時間的モデルが、リアルタイムなGOOSE侵入検知における実用的な選択肢となり得ることを支持している。特に、ラベル付き学習データが利用できない可能性がある場合や、複数の多様な変電所にわたる大規模展開が必要な環境では有効である。