Clear Sky Science
הסברים מבוססי ראיות, עם מעט ז'רגון

Clear Sky Science · he

זיהוי הפרעות והתקפות סייבר ברשתות חכמות באמצעות למידת מכונה ניתנת להסבר

· חזרה לאינדקס

מדוע שמירה על האור עוברת היום דרך נתונים

רשתות החשמל כבר אינן רק מגדלי מתכת וטורבינות מסתובבות. הן מערכות דיגיטליות עמוקות, מלאות חיישנים ומחשבים שמסייעים לזרימת חשמל חלקה. מערכת העצבים הדיגיטלית הזו גם פותחת דלתות חדשות לפורצים, בעוד סופות, תקלות ציוד ושגיאות אנוש עדיין מאיימות על הרשת הפיזית. מאמר זה בוחן כיצד מסגרת למידת מכונה אחת — שניתן להסבירה — מסוגלת לפקח על הרשת, לזהות בעיות טבעיות והתקפות סייבר, ולהסביר למפעילים בצורה ברורה מדוע היא משמיעה את האזהרה.

Figure 1
Figure 1.

מערכת עצבים אחת, סוגים רבים של בעיות

"רשתות חכמות" מודרניות משלבות טכנולוגיה תפעולית שמניעה אלקטרונים עם טכנולוגיית מידע שמניעה נתונים. חיישנים לאורך קווי מתח גבוה מודדים מתחים, זרמים ותדירויות עשרות פעמים בשנייה. לוחות בקרה רושמים פעולות מתגים ומערכות ניטור רשת מסמנות תעבורה חשודה. במציאות, קצר בקו לקרקע והונאת נתונים מתוחכמת יכולים להיראות דומים במקורות אלה. מערכות מיגון מסורתיות מטפלות ברוב המקרים בתקלות חומרה ובאירועי סייבר כבעיות נפרדות, לעתים באמצעות מודלים קופסא-שחורה שקשה לפרשם. המחברים טוענים שמה שמפעילים צריכים בפועל הוא תמונה מאוחדת שיכולה להבחין בזמן אמת בין פעולה רגילה, הפרעה טבעית והתנהגות זדונית — ולהסביר את הסקה שלה.

להשכיר למכונות לזהות "סיפורי" הרשת

המחקר נשען על מאגר נתונים ציבורי עשיר מתוך סביבת בדיקה מדויקת שנוצרה על ידי מעבדת אורק רידג' ושותפים. מערכת הבדיקה מדמה רשת הולכה תחת 37 תרחישים מפורטים, כולל קצרי קו, תחזוקה, תנאים נורמליים וכמה סגנונות התקפות סייבר כגון הזרקת נתונים שגויים, השמעת יומני ריליי מוקלטים ושליחת פקודות ניתוק מרחוק. כל אירוע מוקלט קיבץ יחד 128 מדידות מסונכרנות ממקורות שונים: קריאות חיישנים מהירות, יומני ריליי, התראות חדירות לרשת ופעולות בקרה. החוקרים מתייחסים לכל אירוע כסוג של סיפור קצר המסופר בזמן — כיצד מתחים, זרמים ויומנים מתפתחים יחד כאשר משהו משתבש.

מאותות גולמיים להחלטות ברורות

כדי להפוך את הסיפורים הללו לאזהרות אמינות, המסגרת פועלת לפי תהליך מדורג בקפידה. ראשית, היא מנקה את הנתונים על ידי מילוי ערכים חסרים, ריסון ערכי קיצון וקנה מידה של מדידות כך שלא תהיה תכונה אחת שתדחק יתר על המידה בשל יחידותיה. אחר כך היא מצמצמת עודף באמצעות מספר אסטרטגיות בחירת תכונות, כולל חשיבות ביער אקראי, ניתוח רכיבים עיקריים, הסרה רקורסיבית ומידע הדדי. שלב זה שואף לשמור רק מדידות שעוזרות באמת להבחין בין סוגי אירועים, מה שמאיץ את הלמידה ויכול לשפר דיוק. הנתונים הממוינים מזינים אחר כך משפחה של מודלי למידת מכונה — כגון יערות אקראיים, גרדיאנט בוסטינג, מכונות וקטור תומך ורשתות עצביות — שהגדרותיהם מוזנות אוטומטית על ידי כלי אופטימיזציה בשם Optuna כדי להשיג את האיזון הטוב ביותר בין מהירות לדיוק.

Figure 2
Figure 2.

להסתכל בתוך הקופסה השחורה

דיוק גבוה לבדו אינו מספיק כאשר ההחלטות משפיעות על רשת לאומית. על המפעילים לסמוך ולהבין מדוע אלגוריתם אומר "זו התקפת סייבר" במקום "זו תקלה מונעת על ידי סופה". כדי לפתוח את הקופסה השחורה הזו, המחברים משתמשים בטכניקה של בינה מלאכותית ניתנת להסבר הידועה כ‑permutation SHAP. במהותה, היא מודדת עד כמה כל תכונה — כגון זווית פאזה מסוימת של מתח או קריאת זרם מסוימת — תורמת להחלטה הסופית על ידי ערבובה ובחינת השינוי בביצועי המודל. גם במטלות ברמת ביניים (שלוש קטגוריות) וגם במטלות מדויקות (37 קטגוריות), השיטה מדגישה סט עקבי של מדידות מפתח: זוויות פאזה מסוימות של מתח, עוצמות מתח וזרמי רצף אפס ממספר מועט של חיישנים ממוקמים באופן אסטרטגי. ממצאים אלה מתיישבים היטב עם פיזיקת מערכות כוח, ונותנים למומחים אנושיים ביטחון שהמודל "מביט" בחלקים הנכונים של הרשת.

כמה טוב זה עובד בפועל

המסגרת נבחנה בשלוש הגדרות בעלות דרישות גוברות: הפרדת התקפות מאי-התקפות (בינארי), הבחנה בין התקפות, אירועים טבעיים ותקופות ללא אירוע (תלת-מעמדי) וזיהוי איזה מתוך 37 תרחישים ספציפיים מתרחש (רב-מעמדי). עבור מאגרי נתונים בודדים הממוקדים בתנאי רשת מסוימים, המודלים הטובים ביותר routinely עולים על 96% בדיוק, אחזור, מדד F1, דיוק ומיוחדות. גם כאשר רבים מהתרחישים מאוחדים יחד כדי לדמות תנאי עולם-אמיתי מגוונים יותר, הביצועים הממוצעים נשארים מעל 93%. זמן המסקנה — הזמן הנדרש לסווג אירוע חדש — הוא מתחת לעשירית שנייה לדגימה על חומרה סטנדרטית, מהיר מספיק עבור קצבי זמן טיפוסיים של שליטה ברשת. שלבים יקרים יותר כגון חיפוש היפרפרמטרים וניתוח SHAP מפורט נעשים במצב לא מקוון, כדי שלא יאטו את המוניטורינג בזמן אמת.

מה משמעות הדבר לרשתות החשמל של העתיד

ללא‑מומחים, המסקנה היא שעבודה זו מציעה מערכת אזהרה מוקדמת מעשית ושקופה עבור רשתות חכמות. על ידי מיזוג סוגים רבים של נתוני חיישנים ויומנים, המסגרת יכולה לקבוע האם הפרעה היא תקלה רגילה, שינוי תפעולי תם-לב או התקפת סייבר מתעתעת שנועדה להיראות טבעית — והיא יכולה להראות אילו מדידות הובילו להכרעה זו. בעוד המחברים מציינים אתגרים פתוחים, כגון התמודדות עם סוגי התקפות חדשים לחלוטין ושינויים בתנאי התפעול, תוצאותיהם מרמזות שלמידת מכונה ניתנת להסבר יכולה להפוך לכלי מרכזי לשמירה על אמינות ובטחון של מערכות החשמל המתקדמות והדיגיטליות של מחר.

ציטוט: Farsi, M., Alwateer, M., Alsaedi, S.A. et al. Detection of disturbances and cyber-attacks in smart grids using explainable machine learning. Sci Rep 16, 9834 (2026). https://doi.org/10.1038/s41598-026-35449-x

מילות מפתח: אבטחת רשת חכמה, התקפות סייבר-פיזיות, גילוי חדירות, בינה מלאכותית ניתנת להסבר, ניטור מערכת חשמל