Machine Translated by Google
3010
Uso de arquitecturas autoorganizadas para mitigar
los impactos de los ataques de denegación de servicio
sobre esquemas de control de voltaje
Cameron Cameron , Charalampos Patsios, Phil C. Taylor, miembro senior, IEEE,
y Zoya Pourmirza, miembro, IEEE
Resumen— Los sistemas de energía modernos son cada vez más
descentralizado, con un mayor grado de observabilidad proporcionado
a través de una red de sensores y controladores locales además
a las plataformas centralizadas de control de supervisión y adquisición de datos
existentes. Sin embargo, la interconectividad entre sensores
y los controladores crean vulnerabilidades potenciales que pueden ser
explotado por un ciberataque. La mayoría de los componentes instalados.
en la red fueron diseñados con poca o ninguna consideración por
aspectos de la ciberseguridad y, por tanto, dejando la red en riesgo
de pérdidas económicas, daños a los activos o apagones generalizados. Presente
investigación sobre eventos de ciberataques y resiliencia de la red eléctrica, a menudo
los trata de forma aislada. Además, la infraestructura TIC en
Las redes eléctricas modernas no se prueban tan rigurosamente en términos
de confiabilidad y seguridad como los activos físicos. Por lo tanto, un
Se necesita un enfoque integrado para el análisis de las ciberamenazas.
contra los sistemas de poder, vinculando los mecanismos de ataque en las TIC
capa y los impactos físicos en la capa eléctrica. Este papel
introduce un método de arquitecturas de comunicación autoorganizadas que por
primera vez se ha aplicado al problema de
mitigar los impactos negativos de los ciberataques de denegación de servicio
en la red inteligente y demuestra sus beneficios en una novela
Entorno integrado que conecta el modelado de sistemas de energía y
Simulación de la capa de comunicación. Este artículo demuestra y
cuantifica las ventajas de la autoorganización en términos de carga computacional y
control de voltaje en una red de distribución
experimentando múltiples formatos de ataque y un número cada vez mayor de
atacantes.
Términos del índice : redes inteligentes, sistemas autoorganizados, agentes múltiples
sistemas, ciberseguridad, control de tensión.
I. INTRODUCCIÓN
I
Es ampliamente aceptado que las redes energéticas modernas son
gravitando hacia una mayor integración de tecnologías más inteligentes.
Estas tecnologías están destinadas a ofrecer una mayor
observabilidad y control distribuido a efectos de
implementar redes inteligentes más avanzadas. Esta evolución es
impulsado por numerosos factores, incluida la generación distribuida,
Manuscrito recibido el 16 de enero de 2017; revisado el 15 de junio de 2017 y enero
12, 2018; aceptado el 8 de marzo de 2018. Fecha de publicación 3 de abril de 2018; fecha de
versión actual 19 de abril de 2019. Este trabajo fue apoyado por la Ingeniería
y el Consejo de Investigación de Ciencias Físicas, Reino Unido, como parte del proyecto de
grandes desafíos “El sistema de energía autónomo”. Papel no. TSG­00082­2017.
(Autor correspondiente: Calum Cameron.)
Los autores pertenecen a la Escuela de Electricidad y Electrónica.
Ingeniería, Universidad de Newcastle, Newcastle upon Tyne NE1 7RU,
Reino Unido (correo electrónico: calum.d.cameron@outlook.com; pctaylor@newcastle.ac.uk;
haris.patsios@newcastle.ac.uk; zoya.pourmirza@newcastle.ac.uk).
Se encuentran disponibles versiones en color de una o más de las figuras de este documento.
en línea en http://ieeexplore.ieee.org.
Identificador de objetos digitales 10.1109/TSG.2018.2817046
Este trabajo está bajo una licencia Creative Commons Attribution 3.0. Para obtener más información, consulte http://creativecommons.org/licenses/by/3.0/
TRANSACCIONES IEEE EN SMART GRID, VOL. 10, NO. 3 DE MAYO DE 2019
almacenamiento de energía y respuesta del lado de la demanda. Estos avances
se basan en un sofisticado sistema de información y comunicación.
tecnologías (TIC) que aportan más inteligencia al
red mediante la recepción de mediciones de sensores y señales de control. Sin
embargo, esta dependencia de sistemas interconectados crea
Vulnerabilidades que pueden explotarse mediante ciberataques.
Además, la ciberinterdependencia de la red inteligente crea vulnerabilidades para
la red eléctrica. Ciberred inteligente
La interdependencia existe porque el estado de la infraestructura física depende
de la información transmitida a través del
Infraestructura TIC [1]. En Estados Unidos se han producido 170 cortes de
electricidad por causas relacionadas con la cibernética [2]. Pendiente
a una mínima información específica de análisis forense digital posterior al evento
sobre el conjunto de estrategias de ataque utilizadas no está disponible, pero esto
demuestra que dañar la infraestructura de TIC puede provocar cortes físicos de
energía. Vulnerabilidades en la capa TIC
También puede desencadenarse por fallos de hardware o por intenciones
maliciosas en un ciberataque dirigido [3], [4]. El riesgo de
El ciberataque también es una consecuencia de los sistemas heredados en
funcionamiento dentro de la red eléctrica. Varios Control de Supervisión y
Inicialmente se desarrollaron sistemas de adquisición de datos (SCADA).
Sin consideraciones de ciberseguridad [5], estos inteligentes
Los sistemas de monitoreo proporcionan la infraestructura de comunicación a
través de la red eléctrica de 11 kV a 132 kV. Incluso
Los actuales sistemas de TIC carecen de los rigurosos regímenes de pruebas que se aplican.
a los activos físicos de la red [6].
La investigación actual indica que los métodos de modelado
Los ciberataques y aquellos que evalúan las vulnerabilidades del sistema
eléctrico se consideran por separado, no de manera integrada [7].
Además, la investigación sobre ciberseguridad no logra
modelar el sistema físico de potencia. En lugar de ello, centrarse en los datos de
medición de redes inteligentes y los protocolos de comunicación [8].
En primer lugar, esto limita el grado en que se pueden evaluar y cuantificar los
impactos de un ciberataque, lo que posteriormente conduce a
evaluaciones inexactas o no concluyentes sobre el valor y la priorización de los
mecanismos de defensa. En segundo lugar como evento de ataque.
puede variar en escala, duración y formato. ¿Es importante que el
sistema físico – es decir, la red eléctrica se estudia como el
se desarrolla el ataque.
En consecuencia, esto requiere una integración ciberfísica.
enfoques de modelado. Vellaithurai et al. [9] declarar explícitamente
que se requiere un análisis ciberfísico combinado para establecer los impactos
de un evento de ciberataque en el entorno físico.
sistema. Estos métodos de análisis pueden permitir el desarrollo
Machine Translated by Google
CAMERON et al.: USO DE ARQUITECTURAS AUTOORGANIZADAS PARA MITIGAR LOS IMPACTOS DE LOS ATAQUES DE DENEGACIÓN DE SERVICIO
de métodos para mitigar los impactos físicos basados en procedimientos
realizados en la capa cibernética. Métodos que son
complementario a otros mecanismos defensivos como la seguridad física, la
validación de datos y el cifrado. Reconfiguración
a través de la autoorganización se ha demostrado en varios
Dominios de investigación para una variedad de problemas, como redes de
sensores submarinos [10] y comunicaciones inalámbricas [11].
y gestión del tráfico [12]. La autoorganización también ha sido
aplicado con respecto a las aplicaciones de sistemas de energía tal como se presentan
por Zhang et al. [13] y Lin et al. [14]. Sin embargo, estos ejemplos no tienen en
cuenta la influencia de un ataque en forma
de una Denegación de Servicio (DoS). Cohen [15] indican que pocos
Existen mecanismos defensivos para contrarrestar un ataque DoS dentro
el contexto de un entorno de red inteligente.
El trabajo presentado en este artículo ilustra el valor
de una implementación novedosa de una arquitectura autoorganizada
a través de un enfoque de modelado integrado para mitigar el
impactos de una serie de ataques DoS. Donde el objetivo del ataque
es comprometer la disponibilidad del control de voltaje dentro de una red de
distribución de red inteligente de múltiples agentes. previamente indicado
El trabajo [13] y [14] no considera la mitigación de ataques en
la presencia de un problema de control activo y donde los componentes
responsables de entregar el control están bajo ataque.
Detección de ataques, recuperación y comunicación autoorganizada.
El enrutamiento es un factor importante para mantener el funcionamiento del sistema.
Mantener la controlabilidad sigue siendo igualmente imperativo y
tiene un impacto mensurable en los componentes físicos bajo
la jurisdicción de la red de TI.
La sección II de este documento analiza la ciberseguridad general.
preocupaciones de la red inteligente, las amenazas que plantean y cómo
¿Afectarían la red? Además, en esta sección se analiza la
Importancia de un ataque DoS. La Sección III describe la investigación de apoyo
y la implementación de la SOA. Sección IV
documenta el enfoque para evaluar la SOA, incluyendo
El escenario del problema, modelado de ataques y pruebas integradas.
plataforma involucrada. La Sección V ilustra los resultados de comparar SOA
con una arquitectura de red inteligente estática típica. Finalmente, la Sección VI
ofrece conclusiones y vías para
más trabajo.
II. IMPORTANCIA DEL DOMINIO DEL PROBLEMA
Actualmente, la red eléctrica adolece de falta de soluciones técnicas u
operativas para prevenir o resistir los ciberataques [16]. Las empresas de
servicios públicos podrían beneficiarse de la investigación y
identificar una serie de objetivos de ciberseguridad y sus respectivos escenarios
de ataque, utilizando técnicas de modelado para comprender
los efectos de un ataque y la capacidad de la red para resistir
a ellos.
El Instituto Nacional de Estándares y Tecnología (NIST) ha
definió tres objetivos de ciberseguridad para las Smart Grids, que son
disponibilidad, integridad y confidencialidad. Aunque la confidencialidad de los
datos tiene la mayor importancia para cualquier sistema de TI, es
No es una amenaza inmediata para la red eléctrica. La disponibilidad, seguida
de la integridad en términos de priorización, es más crítica
para redes inteligentes.
Un ataque de confidencialidad se refiere a un ataque que tiene como objetivo
obtener acceso no autorizado a clientes o mediciones confidenciales
3011
datos, un ejemplo de vector de ataque es la ingeniería social. Semejante
una estrategia de ataque no necesariamente tendría un impacto físico
en la red eléctrica, pero puede ser un paso preparatorio para una
ataque dañino. Podría usarse para robar credenciales de acceso o
derechos de los operadores. Por ejemplo, se empleó un mecanismo de ingeniería
social llamado Spear­phishing en un ciberataque a
Red eléctrica de Ucrania [17]. Esto se utilizó para robar credenciales de acceso
al sistema para facilitar la instalación de controles remotos.
herramientas de acceso, entregando el control del sistema al adversario.
Contrarrestar este ataque es difícil desde el punto de vista técnico.
punto de vista, ya que se dirige a un controlador humano, en lugar de
un controlador de máquina.
Un ataque a la Integridad se refiere a confirmar que la información en
El tránsito entre varios elementos de la red es confiable, preciso y no ha sido
manipulado ni fabricado. un falso
La inyección de datos es uno de los vectores de ataque que podría comprometer
la integridad de la Smart Grid [18]–[21]. Esta manipulación de datos puede tener
lugar en muchos formatos, desde tergiversaciones
datos de sensores para engañar a los sistemas de estimación de estado [22] o falsificar
topologías de red [23]. Los ataques de manipulación de datos pueden desencadenar
controladores tomen decisiones incorrectas que resulten en consecuencias económicas.
pérdidas y problemas operativos [24]. Los investigadores han investigado la
vulnerabilidad de la estimación estatal ante la manipulación de datos.
ataque, de modo que el estimador acepte datos falsos evitando los procesos de
filtración de datos incorrectos [22], [24] y [25]. A pesar de
Estos sistemas contienen técnicas de contingencia como el filtrado.
y/o eliminar datos incorrectos, los atacantes desarrollan continuamente
nuevas metodologías para evadir la detección de errores soluciones para inyectar
datos falsos en estimadores estatales. Este ataque afectaría la
red al reducir la conciencia de fallas de componentes y
llevando a una toma de decisiones incorrecta. Otra estrategia de ataque de
manipulación de datos implica engañar al centro de control
falsificar información de topología de red [23]. Este vector de ataque aprovecha
la falta de autenticación entre terminales y
centro de control, convenciendo así al centro de control de que
la red está funcionando bajo una topología diferente. FALSO
La inyección de datos para forjar la topología de la red afectaría la
red al ocultar la tensión de la red y evitar el control
acciones que se están iniciando para aliviar esas tensiones.
Disponibilidad se refiere a confirmar que la información está disponible de
manera oportuna. En consecuencia, este artículo se centra en
este objetivo de ciberseguridad. En las redes convencionales, las empresas de servicios públicos estiman
lecturas de medidores con información limitada. Por lo tanto, la indisponibilidad
de los datos del medidor representaba poca amenaza para el sistema. Sin embargo,
En el contexto de las redes inteligentes, se intercambian lecturas de contadores
inteligentes con información sensible y señales de control.
entre varias entidades. Por lo tanto, la disponibilidad, especialmente en
El caso de la entrega de señales de control es crucial dentro del
red inteligente.
La importancia de la disponibilidad en la red inteligente es
más evidente en redes donde la medición avanzada
Se implementa la infraestructura (AMI) y donde se carga el tráfico.
puede comprometer la disponibilidad del sistema en su conjunto. En
un sistema donde el AMI es responsable de transmitir alarmas de apagón y
gestionar la generación distribuida, la distribución
automatización u otras funciones críticas, es importante facilitar el movimiento
oportuno de datos, incluso cuando la red está
inundado de datos o bajo ataque [26].
Machine Translated by Google
3012
Fig. 1. Descripción del ataque.
Además, la disponibilidad de datos puede afectar todas las capas de la pila
de protocolos de Internet (llamada TCP/IP), lo que también define la
importancia de la disponibilidad de datos como un requisito de alta prioridad
de una red de comunicación de red inteligente. Por ejemplo, la disponibilidad
puede verse afectada por la manipulación del dispositivo en la capa física de
la pila de protocolos, por la manipulación del tráfico en la capa de enlace de
datos, por el enrutamiento falso en la capa de red y por la inundación en la
capa de transporte. La disponibilidad e integridad de los datos pueden verse
comprometidas a través de varios medios: gusanos, virus, malware, phishing
y ataques de denegación de servicio (DoS). DoS se puede llevar a cabo
inundando los nodos o recursos de una red con datos para evitar que se
procesen solicitudes genuinas. En este artículo investigamos DoS porque este
ataque se puede aplicar a todas las capas de la pila del protocolo TCP/IP, lo
que lo convierte en una amenaza importante para el sistema. Además, ha
habido crecientes informes sobre el uso de un formato de ataque DoS contra
sistemas de energía. Los dos ciberataques más notables reportados en los
últimos años son los eventos Stuxnet [27] y Ucrania [17] , donde en ambos
casos los atacantes utilizaron una estrategia de ataque DoS para perturbar la
red eléctrica. Otras investigaciones, como la presentada en [28] , también
respaldan la suposición de que DoS se encuentra entre las amenazas de
seguridad más peligrosas para la red inteligente.
Los impactos de tales ataques DoS en el sistema eléctrico tienen
consecuencias significativas para la realización del control y potencialmente
provocan daños a los componentes físicos, pérdidas financieras e
interrupciones, provocadas por la pérdida de la señal de control. Este artículo
analiza en detalle el modelado de ataques DoS y examina diferentes escenarios
de ataques DoS, en forma de formatos DoS en ráfaga, secuencial y continuo
de baja velocidad. Además, cada formato sigue un enfoque de ataque tanto
adaptativo como estático. Para ilustrar la contribución de esta investigación,
se presenta la Fig. 1, que documenta la visión global de los ciberataques en
orden de prioridad, centrándose en la disponibilidad. Debido a la influencia
generalizada de la disponibilidad de datos, todas las capas de la pila TCP/IP
pueden verse influenciadas por un evento DoS como se muestra en la Fig. 1.
Por ejemplo, los ataques DoS pueden afectar la capa de aplicación al producir
una gran cantidad de datos. de datos aparentemente legítimos. La capa de
transporte es vulnerable a la suplantación de IP y a la transmisión excesiva de
paquetes de sincronización. La capa de red puede verse influenciada por
grandes volúmenes de tráfico que pueden retrasar las respuestas de control.
Finalmente, la capa física puede verse afectada por un ataque DoS al dañar
físicamente, desconectar o apagar un activo de red. Se cree [15] que la red
ciberfísica tiene pocas opciones en enfoques defensivos ante
TRANSACCIONES IEEE EN SMART GRID, VOL. 10, NO. 3 DE MAYO DE 2019
de un ataque de denegación de servicio que no sea la compra de ancho de
banda adicional.
Este artículo describe un entorno integrado novedoso que implementa y
evalúa una arquitectura multiagente autoorganizada a través de simulación
ciberfísica. El trabajo previo de los autores presentado en [29], respaldado por
la literatura, indica la aplicabilidad de enfoques autoorganizados en relación
con la provisión de adaptabilidad a los sistemas de redes inteligentes. El
trabajo anterior evaluó un conjunto de configuraciones arquitectónicas estáticas
en relación con los objetivos de rendimiento, incluida la congestión de datos,
el rendimiento del control de voltaje y los tiempos de respuesta de las
comunicaciones.
Estos exámenes demostraron que, en diferentes tamaños de población de
agentes y topologías, ninguna configuración por sí sola ofrecía un rendimiento
óptimo. Por tanto, se demuestra la necesidad de una mayor flexibilidad en la
forma de autoorganización.
Este trabajo sirve como una extensión de la publicación anterior mediante la
cual la arquitectura implementada se aplica como mecanismo defensivo con
respecto a mitigar los impactos de un ataque de denegación de servicio (DoS).
III. UNA ARQUITECTURA AUTOORGANIZADA
La investigación anterior indicó el valor potencial de una SOA; sin embargo,
el trabajo presentado en este artículo examina la viabilidad de desarrollar
dicha arquitectura. Además, el trabajo proporciona contribuciones adicionales
en la demostración de SOA con monitoreo continuo del rendimiento, toma de
decisiones y una etapa de configuración inicial. Luego se demuestra la SOA
con respecto a una amenaza a la seguridad cibernética que ilustra un valor
adicional al sugerido en trabajos anteriores, dentro de una plataforma de
prueba integrada.
A. Arquitecturas actuales
Dado el amplio interés de la investigación en las implementaciones de
redes inteligentes, se utiliza una variedad de arquitecturas de control y
comunicación. Como se ilustra en [30]­[32], las implementaciones de
arquitectura de TI de redes inteligentes son predominantemente de naturaleza
jerárquica, lo que a su vez se correlaciona con la estructura del sistema
eléctrico bajo observación. Además, existe una tendencia a aplicar control
local a subsecciones más pequeñas de la red monitoreada, como se
documenta en [33]­[35]. Este enfoque de control local aumenta la
descentralización y elimina la amenaza que presenta un único punto de falla.
Arquitecturas presentadas
Machine Translated by Google

CAMERON et al.: USO DE ARQUITECTURAS AUTOORGANIZADAS PARA MITIGAR LOS IMPACTOS DE LOS ATAQUES DE DENEGACIÓN DE SERVICIO 3013

en la literatura muestra una tendencia hacia tres niveles de componentes centrales.

El nivel más bajo contiene entidades a nivel de cliente, generalmente en forma de
medidores inteligentes y generación distribuida. La capa intermedia está compuesta
por controladores locales y componentes de recopilación de datos, mientras que el
nivel más alto contiene un servidor central para procesar datos globales y objetivos
de control.

B. Autoorganización

Un sistema autoorganizado puede definirse como aquel que puede satisfacer

Fig. 2. Diagrama de Red.
los requisitos de: escalabilidad, robustez, flexibilidad y adaptabilidad [36]. La
investigación de Serugendo et al. [37] añaden propiedades adicionales, incluida la
capacidad de formar estructuras automáticamente y la capacidad de realizar un
modelo en Matpower. Ambos elementos de la simulación están conectados a través
autocontrol.
de interacciones gestionadas por un Agente Gateway.
Las SOA se han aplicado a múltiples sectores de investigación y, en cada caso, los
La red de distribución modelada consta de 340 clientes domésticos con
impulsores de los mecanismos de reestructuración y reconfiguración se adaptan
medidores inteligentes y 4 instalaciones fotovoltaicas de 10 MW en cuatro
al dominio del problema. Esto demuestra la universalidad de una solución
alimentadores radiales de BT. La población de agentes que forma la SOA contiene
autoorganizada y, por tanto, su aplicabilidad a un escenario de red inteligente.
una variedad de clasificaciones de agentes: Los agentes de Cliente y Generación
Algunos sistemas aplican la autoorganización en términos de roles y comportamientos
(CA y GA respectivamente) son responsables de monitorear la demanda y la
de los agentes, mientras que otros aplican mecanismos para la reestructuración de
generación y realizar el monitoreo de voltaje local. Todas las CA y GA publican
conexiones dentro de la arquitectura. Dada la universalidad de los sistemas
actualizaciones en una capa de agentes de agregación (AA). Las AA agregan datos
autoorganizados, tienen numerosas aplicaciones dentro del ámbito de la
de las CA y GA a las que están conectados y responden a las solicitudes de control
investigación de redes inteligentes: Srivastava et al. [38] implementan la
de las CA. Cada una de las AA transmite la demanda y la generación agregadas a
autoorganización para aumentar la resiliencia de la red en caso de falla del agente
un Agente Observador central que crea una visión global de los datos de la red.
mediante la transferencia de roles a agentes en un nivel jerárquico diferente.
Otros agentes incluyen un Agente Arquitecto que es responsable de procesar los
datos de monitoreo del rendimiento y aloja el motor de toma de decisiones difusa.
Finalmente un Agente Gateway orquesta la conexión al modelo del sistema eléctrico
Además de tener en cuenta las fallas de las entidades físicas, la comunidad de
en Matpower, coordinando el intercambio de información entre ambos aspectos de
investigación de redes inteligentes ha aplicado la autoorganización para elementos
la plataforma integrada. La Fig. 2 presenta la estructura de la red de distribución e
adicionales de resiliencia de la red en forma de mitigación contra amenazas
ilustra la ubicación de los agentes en relación con la capa física de la simulación.
cibernéticas, como lo presentan Lin et al . [14]. El trabajo describe un mecanismo
Las conexiones no se representan entre agentes porque no están predeterminadas
de autocuración que rodea a las unidades de medición de fasores, mediante el cual
y son un factor de la etapa de inicialización.
si un nodo se ve comprometido por un ataque, se desconecta. Después de un
ataque, los datos y las comunicaciones se redirigen a través de nodos supervivientes
para mantener la observabilidad. Este trabajo difiere de la metodología propuesta
en el sentido de que los nodos bajo ataque no proporcionan una respuesta de
control y, por lo tanto, estos nodos son menos críticos porque el objetivo principal
1) Inicialización: la primera etapa de la operación SOA implica formar conexiones
es conservar la observabilidad en lugar de la controlabilidad. Otro ejemplo de
entre las CA/GA y las AA. Para determinar una conexión preferida, cada CA y GA
autoorganización en el dominio de las redes inteligentes se refiere a una red de
clasifica las conexiones potenciales en función de la rapidez con la que cada AA
comunicación que responde a la gestión de la congestión de datos y reconfigura la
responde a un mensaje de descubrimiento. Esto utiliza un método similar al
arquitectura en respuesta, como lo presentan Zhang et al. [13].
mecanismo aplicado por Ojha et al. [11].

Cada AA tiene una capacidad de conexión limitada; si todas las AA no pueden

El trabajo documenta una metodología de ruta para enrutar mensajes
dinámicamente a través de la arquitectura. Sin embargo, como en el ejemplo
anterior, no se consideran las funciones de control ni se evalúa el enfoque
autoorganizativo desde la perspectiva de una evaluación ciberfísica. La investigación
presentada por los autores de este artículo difiere en su aplicación de la
autoorganización a través de la participación de un problema de control físico y la
aplicación del análisis a través de un marco de evaluación ciberfísico integrado.
C. Implementación
La SOA propuesta se compone de tres etapas operativas: Inicialización,
Monitoreo del Desempeño y Toma de Decisiones.
La SOA está formada por una serie de agentes basados en Java a través de la
plataforma de agentes JADE conectados a una red de distribución.
aceptar más conexiones, las CA y GA restantes se declararán aisladas. Los agentes
aislados apelan al agente Arquitecto para solicitar recursos de AA adicionales, ya
sea activando AA inactivos o promoviendo CA a roles de agregación.
Otro elemento de la etapa de inicialización es la asignación de agentes sustitutos;
un agente sustituto es una CA seleccionada por una AA a la que se puede recurrir
para reemplazarlo si la AA deja de responder o falla. Los sustitutos se seleccionan
una vez que todos los CA y GA están conectados, y se basa en el concepto
presentado por Climent et al. [10]. Un AA seleccionará un agente sustituto eligiendo
la CA conectada con el menor volumen de tráfico de comunicación. Las CA se
desarrollan inicialmente con las funciones internas y estructuras de datos para
asumir responsabilidades de AA.
Dichas funciones están deshabilitadas a menos que se activen mediante una
instrucción del agente Architect.
Machine Translated by Google
3014
TABLA I
UMBRALES DE MÉTRICAS DE RENDIMIENTO
Es posible que una etapa de inicialización no se ejecute correctamente o
tarde demasiado en completarse. el yo
El sistema organizativo tiene algunas contingencias incorporadas que
mitigar este riesgo. Una de las causas por las que no se inicializa el sistema
podría ser la falta de suficiente capacidad de agregación.
capacidad. Si esto ocurre, los agentes aislados contactan al GA y
solicitar un aumento de la capacidad de agregación. La figura 4 proporciona
una indicación de cómo la escala de la arquitectura multiagente, el número de
CA, afecta la capacidad del sistema para
inicializarse exitosamente en un período de tiempo apropiado. El
El esquema de control de voltaje espera 180 segundos después de un voltaje.
excursión antes para garantizar que el problema se mantenga antes
tomando acción. Por lo tanto, se pueden tomar 180 segundos como
límite superior del tiempo permitido para la inicialización. Puede
Se puede ver en la Fig. 4 que cuando la población de agentes del cliente
llega a 2300 existe el riesgo de que la inicialización demore más
de lo que sería aceptable. Por lo tanto un área de red con
Más de 2300 clientes participantes tendrían que ser controlados por múltiples
clústeres MAS con inicialización distinta.
agrupaciones.
2) Monitoreo del desempeño: Después de completar la inicialización, SOA
ingresa a una etapa de monitoreo del desempeño. Cada
El agente mide un conjunto de parámetros locales, incluido el control.
rendimiento, congestión de mensajes, flujo de datos, falta de respuesta y
tiempos de respuesta. Cada parámetro va acompañado de
un valor umbral para determinar si el agente está experimentando
degradación del rendimiento; Estos umbrales están documentados en
Tabla I. Todos los umbrales se determinaron mediante una combinación de
resultados experimentales, conocimiento experto y medidor inteligente.
datos de especificación. Si un agente observa una métrica de desempeño
operando fuera del umbral, se envía un informe de error al Agente Arquitecto.
Cada informe de error contiene la
ubicación de la infracción, su gravedad con respecto al umbral, junto con más
detalles que documenten la naturaleza de la infracción.
error. El agente Arquitecto es responsable de recopilar todos los
informes de errores y cálculo del indicador de carga computacional. La carga
computacional se calcula utilizando las ecuaciones 1­3.
Donde la suma de las gravedades de error para cada agregado (1−n) es
dividido por el número de agregados, se aplica el mismo proceso
para agente cliente (c1 − cn). Este es el proceso se aplica para todos.
tipos de error (et1 −etn) para definir una carga general en todo el sistema
indicador.
TRANSACCIONES IEEE EN SMART GRID, VOL. 10, NO. 3 DE MAYO DE 2019
Como el indicador de carga es una combinación de varios
métricas de desempeño, por lo tanto, se representa como una cantidad sin
dimensiones. La tasa de cambio del indicador de carga también es
calculado como un método para evaluar si el estado de error es
mejorando o empeorando. Si el indicador de carga determina
que el estado de error de la red es significativo y que la tasa de
El cambio indica que es un evento persistente, la toma de decisiones
se activa el motor.
Agg1
(Gravedad del error)
Agg
BAgregado = (1)
Número de agregados
C1
(Gravedad del error)
cn
CargaCust = (2)
Número de Clientes et1
etn Bcust + BAgregado .
BOverall = (3)
Número de tipos de errores 3)
Motor de toma de decisiones: Toma de decisiones en el
SOA se centra en un motor de toma de decisiones basado en datos difusos.
apoyado en un análisis de árbol de decisión. Se ha creado un sistema difuso.
implementado debido a su aplicabilidad en sistemas no lineales
de alta incertidumbre, como en el caso de un ciberataque
Evento que involucra a un adversario humano que puede comportarse de
manera impredecible. Además, la ambigüedad presente en el cálculo
de un indicador de carga computacional a través de múltiples métricas
con múltiples unidades y umbrales es más aplicable a un enfoque difuso
aplicación centrada.
El elemento difuso del motor de toma de decisiones calcula
una recomendación para una transición arquitectónica basada en la
siguientes etapas:
Etapa 1 (equilibrio de conexiones): una transición de etapa 1 reequilibra las
conexiones, las AA con una gran cantidad de conexiones son
Se le pidió transferir conexiones a aquellos con menos conexiones.
El objetivo de la transición es distribuir uniformemente la comunicación.
entre las AA.
Etapa 2 (Sustitución de agente): Cada AA selecciona un sustituto
durante la etapa de inicialización.
Una transición a la etapa 2 es un evento predominantemente localizado,
donde un AA objetivo es reemplazado por su sustitución designada. Si el
estado de error no está localizado, el arquitecto activará
una única AA inactiva o promover una CA a una agregación
role.
Etapa 3 (agentes inactivos): un número finito de agentes inactivos
Los AA se incluyen en la arquitectura al inicio. Estos AA
no tiene un papel activo en la arquitectura, pero escucha los mensajes de
activación. En la etapa 3, todos los agentes latentes disponibles son
activado.
Etapa 4 (Promoción de agente): una transición a la etapa 4 implica
creando un segundo nivel AA, una serie de AA en el original
nivel son promovidos a un nivel AA superior, aquellos AA ascendidos
Luego son reemplazados por CA promocionadas.
Se discernieron tres niveles de carga computacional basados en
sobre la fecha experimental y el conocimiento experto del sistema,
Se aplicó un enfoque similar a la tasa de cambio de la carga. Las funciones de
membresía se detallan mediante el uso.
de la ecuación (4), donde x1 se refiere a la función de pertenencia a la carga
computacional y x2 se relaciona con la tasa de cambio
equivalente. F se refiere a los conjuntos difusos con parámetros ad como
documentada en la Tabla II, la ecuación también se aplica a conjuntos con
Machine Translated by Google

CAMERON et al.: USO DE ARQUITECTURAS AUTOORGANIZADAS PARA MITIGAR LOS IMPACTOS DE LOS ATAQUES DE DENEGACIÓN DE SERVICIO 3015

TABLA II
CONJUNTO DE DATOS DE ENTRADA Y SALIDA BORROSOS una transición a la etapa 2 y el Arquitecto determina que el problema está
más extendido. Reemplazar un AA sería ineficaz.
Por lo tanto, se activará un único agente inactivo o se promoverá una
única CA si no hay AA inactivos disponibles. Cada decisión de transición
es independiente de su predecesora y no necesariamente tiene que
completarse en secuencia. Por ejemplo, una transición de etapa cuatro
puede ir seguida de una transición de etapa inferior dependiendo del
impacto que tuvo la decisión anterior en el indicador de carga
computacional. Del mismo modo, una transición a la cuarta etapa puede
ser la primera recomendación del motor de toma de decisiones en función
de la gravedad del ataque. Cabe señalar que un evento de transición es
una respuesta a un estado emergente dentro de la SOA y, por lo tanto,
no pretende producir una configuración óptima. El objetivo es mantener
la funcionalidad del sistema y reaccionar a las decisiones tomadas por
TABLA III un atacante que no pueden ser predeterminadas. Por ejemplo, la
CONJUNTO DE REGLAS DEL MOTOR DE TOMA DE DECISIONES configuración creada después de una transición de la etapa cuatro
incluye múltiples agentes que desempeñan funciones más allá de sus
responsabilidades iniciales, es decir, CA que actúan como AA. Por lo
tanto, estos experimentarán una carga computacional adicional y la
posibilidad de fallar los componentes.
En consecuencia, lanzar SOA de forma preventiva en una configuración
posterior a la cuarta etapa para funcionamiento persistente puede ser
más perjudicial. Después de una transición completa, el Arquitecto entra
en un período de espera dentro del cual no se activan más transiciones.
Las transiciones de etapas inferiores dan como resultado tiempos de
espera más cortos, mientras que las transiciones de etapas superiores
reciben un período más largo. El propósito del tiempo de espera es
la notación G. Los documentos de la ecuación (5) ilustran la activación de reducir la posibilidad de que el atacante explote las propiedades de SOA.
reglas, la ecuación (6) define el proceso de agregación donde yT se Por ejemplo, un ataque de Reducción de Calidad (RoQ) [41] tiene como
refiere a la recomendación de transición. Finalmente la ecuación (7) objetivo desencadenar acciones de reestructuración continua que
define la etapa de defusificación. La Tabla III presenta el conjunto de alterarían los objetivos de recopilación y control de datos de la SOA.
reglas para el motor de toma de decisiones. Los informes de errores aún se recopilan durante el período de espera,
xi−aFi,l pero no se realizarán más transiciones arquitectónicas. El arquitecto
−cFi,l 1 si aFi,l < xi < bFi,l bFi,l también borra los informes de errores vencidos para evitar que se tengan
si bFi,l ≤ xi < cFi,l dFi,l en cuenta en decisiones futuras.
µFi,l (xi) = (4)
−xi si
−cFi,l 0cFi,B ≤ xi < dFi,l dFi, l
en caso contrario IV. MÉTODO DE EVALUACIÓN
pag
Para evaluar la efectividad de SOA, era relevante comparar su
fl(x) = µFi,l (algunos) (5) resistencia a un evento de ataque en comparación con una arquitectura
yo=1 estática. La arquitectura estática seleccionada representa los enfoques
norte norte
de diseño típicos presentes en la literatura, una estructura de tres niveles
µB(yT ) = máx. µG1 yj , f9(x) µG9 yj j=1 j=1 (6) con clientes/agentes de generación en el nivel inferior, controladores
f1(x) locales asignados a uno por alimentador en el nivel central y un centro de
control local responsable de la red. bajo observación. El objetivo de la
yTμB(yT )
nortej =1
yc(x) = (7) evaluación era doble: en primer lugar, examinar la capacidad de la SOA
nortej =1 µB(yT ) para realizar el objetivo de control bajo la presión de un ataque de
denegación de servicio. En segundo lugar, reducir el impacto computacional
Como se indicó anteriormente, los valores de la Tabla II se lograron
del ataque e ilustrar la aplicabilidad más amplia de SOA.
mediante experimentación combinada con conocimientos expertos
derivados de trabajos previos en el desarrollo de MAS. Por lo tanto, esto
no se considera una implementación difusa optimizada y se podrían
A. Condiciones de la red
lograr mejoras adicionales mediante técnicas de optimización y ajuste de
funciones. El arquitecto tiene el poder de anular una recomendación La red de distribución, como se presenta en la Fig. 2 , está muy
hecha por el motor de toma de decisiones si no es factible en función de cargada con generación local disponible limitada, por lo que es vulnerable
la ubicación y/o la distribución de los informes de errores. En cuyo caso a estados de subtensión. El control se proporciona a través de la respuesta
el Arquitecto realizará una transición alternativa. Por ejemplo, si el motor del lado de la demanda en forma de deslastre de carga del cliente.
de toma de decisiones recomendaba Aproximadamente el 25% de la demanda total es controlable.
Al observar una desviación de voltaje persistente superior a 180 s,
Machine Translated by Google
3016
Fig. 3. Estructura de la Plataforma de Pruebas Integrada.
una CA se comunicaría con su AA asociada con una solicitud de control.
En respuesta, la AA se comunicaría con agentes en el mismo alimentador que la
desviación con la que está asociada y emitiría una señal de control. Las CA que
realizan deslastre de carga preguntan periódicamente a su AA si ese proceso de
deslastre es necesario. Si no se recibe respuesta dentro de los 30 segundos, la CA
asume que no se requiere control y cancela todas las operaciones de eliminación.
Para evaluar la gravedad de la desviación de voltaje durante un ataque, la diferencia
entre el voltaje medido y el límite nominal de 0,94 pu se multiplicó por el período de
tiempo durante el cual la medición fue válida. Se repite para cada medición de voltaje
por debajo del valor umbral representado por la ecuación (8). Donde td representa
la marca de tiempo de una medición durante la desviación, Vn es el voltaje mínimo
nominal y Va es el voltaje real medido.
td1
(Vn − Va)(tt+1 − td) (8)
tdn
La desviación máxima hace referencia a un caso en el que no se realizan acciones
de control para el control de voltaje, y cada evento de desviación registrado durante
una simulación se determina como un porcentaje del evento de desviación máxima.
B. Plataforma Integrada Una
contribución adicional de la investigación fue el desarrollo de una plataforma de
prueba que conectaba la SOA representada en JADE con un modelo eléctrico en
Matpower como se ilustra en la Fig. 3. Se suministra un archivo de modelo inicial
tanto a Matpower como a SOA que detalla la El estado inicial de la red y los voltajes
iniciales se escriben en un archivo de resultados. Durante una simulación, el agente
de puerta de enlace (GWA) recibe datos de demanda y generación de la población
de agentes. La GWA mantiene una copia del archivo del modelo Matpower inicial y
lo actualiza con datos recuperados de los agentes. Periódicamente, GWA activa un
flujo de carga de Matpower utilizando el archivo del modelo actualizado a través de
un script de línea de comando.
Un script de MATLAB crea un archivo de resultados que contiene un conjunto
actualizado de voltajes de bus, que se vuelve a leer en SOA a través de GWA. Este
proceso iterativo crea una simulación ciberfísica de la red y los agentes involucrados
en la operación de SOA.
C. Modelado de ataques
El ataque DoS se implementó utilizando CA comprometidas como atacantes que
involucraban entre el 6% y el 24% de la población de CA.
TRANSACCIONES IEEE EN SMART GRID, VOL. 10, NO. 3 DE MAYO DE 2019
Fig. 4. Tiempos estimados de finalización de la etapa de inicialización.
Como atacante, la CA transmitiría un volumen de tráfico de ataque a su AA con el
objetivo de interrumpir las señales de control. Debido a que las CA requieren una
interacción continua entre ellas y las AA para mantener el control, el ataque tiene
como objetivo dañar esa conexión y provocar un deterioro del control. El ataque DoS
difiere de un problema de congestión genérico o un evento de desactivación de red
similar a los indicados en [13] y [14] ; es un evento específicamente dirigido.
Además, la congestión de la red debido al tráfico legítimo se puede pronosticar en
puntos de carga máxima, mientras que un evento DoS no es predecible debido a
la intención del atacante. Los ataques examinados se basaron en los enfoques DoS
descritos por Luo et al. [42] y Kuzmanovic y Knightly [43]. Las CA reciben
instrucciones de lanzar el ataque durante el evento de baja tensión para apuntar
específicamente al proceso de control.
Los formatos de ataque examinados son los siguientes:
Ataque de ráfaga: un ataque de baja velocidad actúa como un ataque DoS en el
que el atacante no mantiene el tráfico del ataque. En este formato, el ataque se
mantiene durante 250 segundos y está programado para que tenga lugar mientras
los controladores actúan para resolver la desviación de voltaje.
Ataque secuencial: una secuencia de cada uno de ellos con el objetivo de
interrumpir las solicitudes de acción de control iniciales y las posteriores verificaciones
periódicas de reducción de carga realizadas por las CA.
Ataque continuo de baja velocidad: este formato de ataque presenta un flujo
continuo de tráfico de ataque, el flujo se activa en el punto de realizar el control de
voltaje y dura hasta el final de la simulación.
Ataque estático: cada uno de los formatos de ataque enumerados anteriormente
se implementó primero en forma de ataque estático. Donde el ataque DoS realizado
por un adversario no reacciona a las reconfiguraciones provocadas por el arquitecto.
Un atacante de CA transmitirá el tráfico de ataque a su objetivo original
independientemente de cualquier acción de reconfiguración.
Ataque adaptativo: a diferencia del ataque estático, el ataque adaptativo implica
que el atacante seleccione un objetivo alternativo si se impone una transición
arquitectónica. El atacante escucha cualquier cambio en la ruta de comunicación
del tráfico legítimo y redirige el tráfico del ataque en consecuencia. El desempeño
de la SOA se evalúa con respecto al desempeño del control y la carga computacional,
para ilustrar que la SOA puede prevenir el deterioro del control que estaría presente
bajo una arquitectura estática.
V. RESULTADOS
Se han evaluado varios elementos del desempeño del sistema en respuesta a
los objetivos centrales de una organización autoorganizada.
Machine Translated by Google

CAMERON et al.: USO DE ARQUITECTURAS AUTOORGANIZADAS PARA MITIGAR LOS IMPACTOS DE LOS ATAQUES DE DENEGACIÓN DE SERVICIO 3017

Figura 6. Toma de decisiones durante un ataque continuo con 24% de participación

de CA.
Fig. 5. Severidad de la desviación bajo fuerzas de ataque crecientes.

arquitectura. La primera consideración es con respecto a la

escalabilidad. Si bien la escalabilidad puede verse notablemente
influenciada por la evolución de un ataque, las evaluaciones se han
realizado en el contexto de la etapa de evaluación de la operación.
La Fig. 4 documenta los tiempos de finalización estimados de la etapa
de inicialización extrapolados a partir de datos medidos hasta 340 agentes de clientes.
Las cifras están escaladas según las poblaciones de clientes
examinadas en el trabajo anterior, como se menciona en [26]. Los
Fig. 7. Severidad de la desviación durante ataques secuenciales.
datos indican que un elemento fundamental de SOA, no experimenta
un crecimiento exponencial en el tiempo computacional con una
población en aumento y por lo tanto el sistema propuesto puede
considerarse escalable. Estos resultados también se alinean con las
evaluaciones de desempeño realizadas en la misma plataforma MAS por Cortese et al. [44].
Un segundo elemento de los criterios de rendimiento se refiere a la
resiliencia frente a escenarios de ataques de denegación de servicio
y la eficacia en comparación con un sistema multiagente con una
arquitectura de comunicación rígida. Esta se considera una arquitectura
estática. Una serie de ataques continuos alojados
por un número cada vez mayor de agentes de CA se realizó con y sin Fig. 8. Datos de congestión durante un ataque secuencial adaptativo con una participación
la presencia de la SOA. Las sensibilidades de desviación de voltaje de CA del 24 %.

durante estos ataques se presentan en la Fig. 5.

La figura ilustra que para un número menor de medidores inteligentes
comprometidos, la fuerza del ataque no es lo suficientemente
significativa como para exacerbar la desviación de voltaje. Sin
embargo, con ataques más fuertes, la capacidad de control se ve
cada vez más comprometida: con el 24% de las CA transmitiendo
tráfico de ataque, la desviación de voltaje alcanza el 96% de la
gravedad en ausencia total de control. Por lo tanto, indica que el
ataque desactiva efectivamente las capacidades de control de voltaje
del MAS. En comparación, SOA no experimenta la misma degradación
del control con la misma fuerza de ataque en presencia de un ataque
DoS estático o dinámico. Para examinar el papel de la SOA a la hora
de minimizar el alcance de la desviación de tensión, es importante
considerar las acciones del mecanismo de toma de decisiones.
La Fig. 6 presenta los eventos de transición desencadenados por
el agente arquitecto durante el transcurso de la simulación mapeados
con los datos del tiempo de respuesta del mensaje para cada
alimentador. Sin SOA, los tiempos de respuesta entre los alimentadores de datos presente durante el ataque secuencial más grave.
1 y 2 y su población de CA aumentan a más de 8 segundos a los 4
minutos de la simulación, lo que demuestra el impacto del ataque sin
intervención de SOA. Esta ruptura de la comunicación entre el
controlador y el cliente es la fuente de la pérdida de control
identificada en la figura anterior. Por el contrario, la SOA inicialmente entre ráfagas permite que cada controlador borre su cola de mensajes
llevó a cabo una acción de reequilibrio, seguida de
desplegar la población AA inactiva y finalmente una promoción
escalonada de la Etapa 4. Demostrar que SOA puede adaptarse
continuamente a la situación de ataque mediante la recopilación de
información de monitoreo del rendimiento y la toma de decisiones.
Como resultado, los tiempos de respuesta se gestionaron mediante
una reducción de la carga computacional. Un segundo ejemplo
consideró un conjunto de ataques secuenciales presentados en la
Fig. 7; en contraste con los ataques continuos, la gravedad de la
desviación entre la misma población de ataques es menos
significativa. Por lo tanto, las posibles mejoras en el rendimiento del
control a través de SOA se reducen, lo que indica que la relevancia
de SOA depende de la gravedad del ataque y su potencial disruptivo.
Los ataques con menos del 15% de participación de CA utilizando
una estrategia secuencial no influyen significativamente en el potencial
de control del MAS y, por lo tanto, realizar eventos de transición
puede ser una reacción exagerada. La figura 8 ilustra la congestión
Esto indica el origen tanto de las mejoras realizadas por SOA como
de las diferentes consecuencias de un ataque secuencial en
comparación con un evento continuo. Cada pico en la figura representa
una de las ráfagas de tráfico de ataque durante el ataque, el tiempo
y por lo tanto entregue mensajes de control al
Machine Translated by Google
3018
Población de CA. SOA es capaz de reducir la congestión máxima en
más de 3500 mensajes, reduciendo el índice de carga computacional en
un 64%. Un análisis final de ataques en ráfagas individuales también
encontró que fueron significativamente menos perjudiciales para el
objetivo de control. Además de evitar la pérdida de control y, por tanto,
minimizar la gravedad de la condición de subtensión, la SOA también
fue capaz de reducir la carga computacional. En promedio, en todas
las fortalezas y estrategias de ataques DoS examinadas, la carga
computacional se redujo en un 86,49 %. En consecuencia, indica que
SOA puede tener más aplicaciones dentro de la gestión de redes
inteligentes.
VI. CONCLUSIÓN Y TRABAJO ADICIONAL
Este artículo presenta una SOA como una solución para mitigar una
serie de ataques DoS, que si no se atienden pueden comprometer la
disponibilidad de los datos y, por extensión, provocar una degradación
del control y una pérdida total del control. Dado que un ataque DoS
puede considerarse una de las amenazas más peligrosas para un
sistema eléctrico y una estrategia que puede influir en cada capa de la
pila del protocolo TCP/IP, el mecanismo SOA representa una contribución valiosa.red de malla inalámbrica consciente de la congestión”, en Proc. América del Norte. Power
La SOA desarrollada pudo reducir la degradación del control creada
por los ataques DoS en eventos que involucraban hasta al 24% de la
población de clientes. El uso de SOA mejoró los tiempos de respuesta
entre las capas AA y CA hasta en 8,2 segundos y redujo la congestión
en hasta 16.000 mensajes almacenados. Por lo tanto, SOA pudo reducir
el indicador general de carga computacional en un 89,6% en promedio.
Con base en los resultados obtenidos se puede concluir que el SOA
desarrollado y su motor de toma de decisiones fueron funcionales y
efectivos siendo capaces de mantener la capacidad de control durante
un evento de ataque DoS. Los resultados demostraron que SOA pudo
reducir la carga computacional y revelaron correlaciones importantes
entre la corrección de problemas dentro de la capa de comunicación y
los impactos positivos resultantes en el desempeño del control. La
reducción de la carga en la capa de control evitó el deterioro del control
experimentado por la arquitectura estática e ilustró otras aplicaciones
potenciales para SOA.
El enfoque adoptado deja espacio para futuras investigaciones,
especialmente con respecto al procesamiento de ciberamenazas
adicionales, que sigue siendo un tema de investigación interesante y en
expansión y donde SOA podría ser una de las herramientas defensivas
utilizadas. El trabajo futuro también examinará estrategias de ataque
adicionales, algoritmos de control y escenarios de red. Los resultados
actuales podrían mejorarse aún más mediante la aplicación del
aprendizaje automático y el autoajuste del motor de toma de decisiones.
REFERENCIAS
[1] R. Ebrahimy y Z. Pourmirza, “Ciberinterdependencia en sistemas energéticos inteligentes”, en
Proc. 3° Int. Conf. inf. Sistema. Seguridad Privacidad, vol. 1, 2017, págs. 529–537.
[2] J. Vijayan. (26 de julio de 2010). Mundo de la informática. Consultado: 30 de junio de 2016. [En
línea]. Disponible: http://www.computerworld.com/article/2519574/security0/stuxnet­renews­
power­grid­security­concerns.html [3] A. Giani et al., “Ataques de integridad de datos de
redes inteligentes”, IEEE Trans. Red inteligente, vol. 4, núm. 3, págs. 1244­1253, septiembre de
2013.
[4] O. Kosut, L. Jia, RJ Thomas y L. Tong, “Ataques de datos maliciosos en la red inteligente”, IEEE
Trans. Red inteligente, vol. 2, núm. 4, págs. 645–658, diciembre de 2011.
TRANSACCIONES IEEE EN SMART GRID, VOL. 10, NO. 3 DE MAYO DE 2019
[5] G. Cisotto y L. Badia, “Ciberseguridad de redes inteligentes modeladas a través de modelos
epidémicos en autómatas celulares”, en Proc. IEEE 17° Int.
Síntoma. Red mundial multimedia móvil inalámbrica. (WoWMoM), Coimbra, Portugal, 2016,
págs. 1–6.
[6] KR Davis et al., “Un marco de evaluación y modelado ciberfísico para infraestructuras de redes
eléctricas”, IEEE Trans. Red inteligente, vol. 6, núm. 5, págs. 2464–2475, septiembre de 2015.
[7] R. Liu, C. Vellaithurai, SS Biswas, TT Gamage y AK Srivastava, "Análisis del impacto ciberfísico
de los eventos cibernéticos en la red eléctrica",
Traducción IEEE. Red inteligente, vol. 6, núm. 5, págs. 2444–2453, septiembre de 2015.
[8] Y. Mo et al., "Cyber: seguridad física de una infraestructura de red inteligente",
Proc. IEEE, vol. 100, no. 1, págs. 195–209, enero de 2012.
[9] C. Vellaithurai, A. Srivastava, S. Zonouz y R. Berthier, "CPIndex: Evaluación de vulnerabilidad
ciberfísica para infraestructuras de redes eléctricas",
Traducción IEEE. Red inteligente, vol. 6, núm. 2, págs. 566–575, marzo de 2015.
[10] S. Climent, JV Capella, N. Meratnia y JJ Serrano, "Redes de sensores submarinos: una nueva
arquitectura robusta y energéticamente eficiente".
Sensores, vol. 12, núm. 1, págs. 704–731, 2012.
[11] T. Ojha, M. Khatua y S. Misra, “Tic­Tac­Toe­Arch: una arquitectura virtual autoorganizada para
redes de sensores submarinos”, IET Wireless Sensor Syst., vol. 3, núm. 4, págs. 307–316,
diciembre de 2013.
[12] W. Narzt, U. Wilflingseder, G. Pomberger, D. Kolb y H. Hortner, “Estrategias de evasión de
congestión autoorganizadas utilizando feromonas basadas en hormigas”, IET Intell. Transp.
Sistema, vol. 4, núm. 1, págs. 93­102, marzo de 2010.
[13] Y. Zhang et al., “Una arquitectura de comunicación multinivel de red inteligente basada en una
Symp., Boston, MA, EE. UU., 2011, págs.
[14] H. Lin et al., “Red PMU autorreparable y resistente a ataques para el funcionamiento del sistema
de energía”, IEEE Trans. Red inteligente, vol. 9, núm. 3, págs. 1551­1565, mayo de 2018.
[15] F. Cohen, “La red inteligente”, IEEE Security Privacy, vol. 8, núm. 1, págs. 60–63, enero/febrero.
2010.
[16] Mejora de las oportunidades de resiliencia de la distribución para la aplicación de tecnologías
innovadoras, electo. Res. de potencia. Inst., Palo Alto, CA, EE. UU., 2013.
[17] Análisis del ciberataque a la red eléctrica de Ucrania, Electricity Inf.
Compartiendo Anal. Center, Washington, DC, EE. UU., 2016. [En línea]. Disponible: https://
ics.sans.org/media/E­ISAC_SANS_Ukraine_DUC_5.pdf [18] B. Li, R. Lu, W. Wang
y K.­KR Choo, “Detección colaborativa basada en host distribuido para falsos ataques de inyección
de datos en un sistema ciberfísico de red inteligente”, J. Parallel Distrib. Computación, vol.
103, págs. 32 a 41, mayo de 2017.
[19] Y. Yuan, Z. Li y K. Ren, “Ataques de inyección de datos falsos en redes inteligentes”, en Wiley
Encyclopedia of Electrical and Electronics Engineering. Hoboken, Nueva Jersey, EE.UU.:
Wiley, 2012.
[20] DB Rawat y C. Bajracharya, “Detección de ataques de inyección de datos falsos en sistemas de
comunicación de redes inteligentes”, IEEE Signal Process.
Lett., vol. 22, núm. 10, págs. 1652­1656, octubre de 2015.
[21] P.­Y. Chen, S. Yang, JA McCann, J. Lin y X. Yang, “Detección de ataques de inyección de datos
falsos en sistemas de redes inteligentes”, IEEE Commun.
Mag., vol. 53, no. 2, pp. 206–213, Feb. 2015.
[22] Y. Liu, P. Ning y MK Reiter, “Ataques de inyección de datos falsos contra la estimación del estado
en las redes de energía eléctrica”, en Proc. 16ª Conferencia ACM.
Computadora. Comunitario. Seguridad, Chicago, IL, EE. UU., 2009, págs. 21–32.
[23] J. Kim y L. Tong, “Sobre el ataque topológico de una red inteligente: ataques y contramedidas
indetectables”, IEEE J. Sel. Áreas Comunitarias, vol. 31, núm. 7, págs. 1294­1305, julio de
2013.
[24] X. Liu y Z. Li, "Ataques de datos falsos contra la estimación del estado de CA con información de
red incompleta", IEEE Trans. Red inteligente, vol. 8, núm. 5, págs. 2239–2248, septiembre de
2017.
[25] O. Kosut, L. Jia, RJ Thomas y L. Tong, “Limitación de ataques de datos falsos en la estimación
del estado del sistema eléctrico”, en Proc. 44º año. Conf. inf. Ciencia.
Sistema. (CISS), Princeton, Nueva Jersey, EE. UU., 2010, págs. 1–6.
[26] FM Cleveland, “Problemas de seguridad cibernética para infraestructuras de medición avanzada
(AMI)”, en Proc. IEEE Power Energy Soc. Reunión general Convers. Del. Electo. Energía del
siglo XXI, Pittsburgh, PA, EE. UU., 2008, págs.
[27] D. Kushner, “La verdadera historia de stuxnet”, IEEE Spectr., vol. 50, núm. 3, págs. 48–53, marzo
de 2013. [En línea]. Disponible: http://spectrum.ieee.org/telecom/security/the­real­story­of­
stuxnet
[28] S. Xu, Y. Qian y RQ Hu, “Sobre la confiabilidad de las redes de área de vecindario de redes
inteligentes”, IEEE Access, vol. 3, págs. 2352–2365, 2015.
[29] CD Cameron, C. Patsios y PC Taylor, “Sobre los beneficios del uso de arquitecturas multiagente
autoorganizadas en la gestión de redes”, en Proc . En t. Síntoma. Elegido inteligente. Distribuir.
Sistema. Tecnología. (EDST), Viena, Austria, 2015, págs. 335–340.
Machine Translated by Google

CAMERON et al.: USO DE ARQUITECTURAS AUTOORGANIZADAS PARA MITIGAR LOS IMPACTOS DE LOS ATAQUES DE DENEGACIÓN DE SERVICIO 3019

[30] MJ Dolan et al., “Nuevas soluciones energéticas de las Islas del Norte: límites de estabilidad Charalampos (Haris) Patsios se licenció en ingeniería eléctrica
de la gestión activa de la red”, en Proc. 3er IEEE PES Int. Conf. Anexo. por la Universidad de Patras en 2005 y obtuvo el doctorado.
Innovación. Tecnología de red inteligente. (ISGT Europa), Berlín, Alemania, 2012, págs. 1– Licenciado por la Universidad Técnica Nacional de Atenas en
9. 2011. Es profesor de sistemas de energía en la Escuela de
[31] V. Rigoni, Entregable 3.7 'Caracterización de redes de BT', Univ. Manchester, Manchester, Ingeniería de la Universidad de Newcastle. Tiene una experiencia
Reino Unido, 2014. [En línea]. Disponible: http://www.enwl.co.uk/docs/default­source/future­ significativa en el diseño, modelado y control de sistemas de
low­voltage/university­of­manchester­appendix­j.pdf?sfvrsn=2 [32] Presentación energía eléctrica, incluido el almacenamiento de energía, las
completa del Fondo de redes bajas en carbono Pro Forma, red energías renovables y la electrónica de potencia. Su investigación
baja en carbono. Fund, Londres, Reino Unido, 2011. [En línea]. implica el desarrollo de modelos, interfaces de red y técnicas de
control para sistemas de almacenamiento de energía, así como el
Disponible: https://www.ofgem.gov.uk/ofgem­publications/91889/appendix7publish.pdf control descentralizado en futuras redes eléctricas, trabajando en
estrecha colaboración con la industria y el mundo académico del Reino Unido.
[33] MSE Moursi y H. Mehrjerdi, “Una estrategia de control coordinada de regulación de voltaje en
un sistema de energía basada en un sistema multiagente”, Indiana.
Eng. Manag., vol. 3, no. 2, p. 128, 2014.
[34] T. Nagata, Y. Tao, H. Sasaki y H. Fujita, “Un enfoque multiagente para la restauración del
sistema de distribución”, en Proc. IEEE Power Ing. Soc. Gen.
Reunión, Toronto, ON, Canadá, 2003, pág. 660.
[35] J. Zhou, RQ Hu e Y. Qian, “Arquitecturas de comunicación distribuida escalables para
soportar infraestructura de medición avanzada en redes inteligentes”, IEEE Trans.
Distribución paralela. Sistema, vol. 23, núm. 9, págs. 1632­1642, septiembre de 2012.

[36] L. Jun, Z. Shunyi, Z. Zailong y W. Pan, “Una nueva arquitectura de gestión de redes para
redes autoorganizadas”, en Proc . En t. Conf. Neto.
Arquitecto. Grande. (NAS), Guilin, China, 2007, págs. 101­1 146–154.
[37] GDM Serugendo, M.­P. Gleizes y A. Karageorgos, “Autoorganización en sistemas Phil C. Taylor (SM'12) recibió el título de Doctor en Ingeniería en
multiagente”, Knowl. Ing. Rev., vol. 20, núm. 2, págs. 165–189, 2005. técnicas inteligentes de gestión del lado de la demanda del
Instituto de Ciencia y Tecnología de la Universidad de Manchester,
[38] S. Srivastava, S. Suryanarayanan, P. Ribeiro, D. Cartes y M. Stcurer, “Una técnica conceptual Manchester, Reino Unido, en 2001. Se incorporó a la Universidad
de monitoreo de la calidad de la energía basada en sistemas multiagente”, en Proc . 37º de Newcastle, Newcastle upon Tyne, Reino Unido. , en 2013,
año. América del Norte. Power Symp., Ames, IA, EE. UU., 2005, págs. 358–363. donde es Director de la Escuela de Ingeniería y ocupa la Cátedra
Siemens de Sistemas Energéticos. Es profesor invitado en la
[39] Especificación del perfil de energía inteligente ZigBee, ZigBee Alliance, Davis, CA, Universidad Tecnológica de Nanyang, Singapur. Anteriormente
Estados Unidos, 2008. ocupó la Cátedra DONG Energy en Energías Renovables y fue
[40] MO Farooq y T. Kunz, “Sobre la determinación del umbral de uso de ancho de banda para Director de
soportar aplicaciones multimedia en tiempo real en redes inalámbricas de sensores
multimedia”, en Proc. 27° Int. Conf. Adv. inf. Neto. Aplica. Talleres (WAINA), Barcelona, el Instituto de Energía de Durham.
España, 2013, págs. 401–406.
[41] M. Guirguis, A. Bestavros e I. Matta, “Explotación de los transitorios de adaptación para
ataques RoQ a recursos de Internet”, en Proc. 12° IEEE Int. Conf. Neto. Protocolos (CIPE),
Berlín, Alemania, 2004, págs. 184­195.
[42] J. Luo et al., “Sobre un modelo matemático para DDoS de musaraña de baja velocidad”, IEEE
Trans. inf. Seguridad forense, vol. 9, núm. 7, págs. 1069–1083, julio de 2014.
[43] A. Kuzmanovic y EW Knightly, “Estrategias de contraataque y ataques de denegación de
servicio dirigidos a TCP de baja velocidad”, IEEE/ACM Trans. Red., vol. 14, núm. 4, págs.
683–696, agosto de 2006.
[44] E. Cortese, F. Quarta, G. Vitaglione y P. Vrba, "¿Escalabilidad y rendimiento del sistema de
transporte de mensajes JADE?" J.Anal. Idoneidad Holonic Manuf. Sistema, vol. 3, núm. 3,
págs. 52 a 65, 2002.
Zoya Pourmirza recibió su título universitario en ingeniería de
tecnología de la información de la Universidad Tecnológica de
Sharif y el doctorado. Licenciada en arquitectura de tecnologías
de la información y la comunicación (TIC) de redes inteligentes de
Calum Cameron recibió el B.Sc. Licenciatura (First Class Hons.)
la Universidad de Manchester, Reino Unido, en 2015. Luego se
en informática forense de la Universidad de Northumbria en 2010,
unió a la Universidad de Newcastle como investigadora asociada
el M.Sc. Licenciatura (con distinción) en ingeniería de software
en el Power System Group, donde es investigadora asociada. Su
avanzada de la Universidad de Durham en 2013, y el Ph.D.
investigación se centra en el diseño de una arquitectura TIC para
Licenciatura en arquitecturas multiagente autoorganizadas para
la red eléctrica inteligente con énfasis en hacer que la
ciberseguridad de redes inteligentes de la Universidad de
infraestructura TIC sea consciente de la energía. También
Newcastle en 2017.
investiga los aspectos de seguridad cibernética de la red
inteligente, centrándose en la integridad de los datos y los ataques a la disponibilidad de
información en transición en la infraestructura de TIC de los sistemas de energía inteligentes.