Intelligent Detection and Prevention of Cyberattacks Targeting Smart Grid Communication Protocols
Date
2024-09-20Publisher
Πανεπιστήμιο Κύπρου, Πολυτεχνική Σχολή / University of Cyprus, Faculty of EngineeringPlace of publication
CyprusGoogle Scholar check
Keyword(s):
Metadata
Show full item recordAbstract
The sustainable development of smart grids requires the integration of information and communication technology into power systems to monitor and control their operations. This integration ensures the efficient, stable and proper operation of power systems. However, it introduces new cybersecurity challenges and increases the attack surface for the power systems and their operation. Consequently, attackers can threaten the smart grid functionalities and its services by exploiting intrinsic vulnerabilities of the standard communication protocols (i.e., IEC 61850 standard and Modbus TCP/IP protocol), which are widely utilized for communication between industrial equipment used in the smart grid domain.
The main objective of this dissertation is to provide new cybersecurity solutions to detect and prevent cyber-attacks that target different smart grid application areas. In this context, a hybrid network intrusion detection system approach is proposed, where anomaly- and signature-based methods are combined, for the private area network of the smart grid. The proposed hybrid approach detects and classifies Man-In-The-Middle (MITM) attacks without violating users' privacy. The ability to detect unknown MITM attack techniques, identify affected packets, and determine the victim device(s) are the major contributions of this approach. For securing the Substation Communication Network (SCN), a rule-based Network Intrusion Detection System (NIDS) is proposed to detect a wide range of cyber-attacks that target the Generic Object-Oriented Substation Events (GOOSE) protocol in power system protection applications. The main contributions of the proposed NIDS approach are the robustness to network faults and the low attack detection time. Moreover, an integrated, realistic, and flexible model of an overcurrent protective relay compatible with the IEC 61850 communication standard is proposed. This model emulates the behavioural interactions between the protective relays and their physical, communication and cybersecurity operations in a digital substation. Hence, this model is used to develop a Host-based Intrusion Detection and Prevention System (HIDPS) which depends on the state transition diagram of the overcurrent protective relay in the digital substation. Consequently, a hybrid Intrusion Detection and Prevention System (IDPS), which integrates the HIDPS and Network-based Intrusion Detection and Prevention System (NIDPS), is proposed to detect and prevent masquerade attacks in SCN. Furthermore, effective and light-weight encryption and message integration mechanisms are proposed for the GOOSE messages in the SCN. The proposed authentication and encryption mechanisms address the crucial challenge of meeting the strict time constraints imposed by IEC 61850/62351 standards. The primary contributions of the proposed mechanisms are their applicability to GOOSE messages of any length and their effectiveness in digital substations without requiring the use or addition of specific hardware components.
The effectiveness of the proposed approaches has been validated using extensive experimental and simulation testbeds based on real-life smart grid applications, demonstrating the correctness, effectiveness and applicability of the proposed solutions. Overall, the proposed methodologies allow the secure and effective operation of the smart grid and reduce the risk of damaging the energy infrastructure due to cyberattacks. Η βιώσιμη ανάπτυξη των έξυπνων δικτύων απαιτεί την ενσωμάτωση της τεχνολογίας πληροφοριών και επικοινωνιών στα συστήματα ηλεκτρικής ενέργειας για την παρακολούθηση και τον έλεγχο των λειτουργιών τους. Αυτή η ενσωμάτωση αυξάνει την αποδοτικότητα, σταθερότητα και εύρυθμη λειτουργία των συστημάτων ενέργειας. Ωστόσο, εισάγει νέες προκλήσεις σχετικές με την κυβερνοασφάλεια αυτών των συστημάτων και των λειτουργιών τους, καθώς αυξάνει το εύρως και τις ευκαιρίες για κυβερνοεπιθέσεις. Συνεπώς, οι εισβολείς μπορούν να απειλήσουν τη λειτουργικότητα των έξυπνων δικτύων και τις υπηρεσίες τους, εκμεταλλευόμενοι τα τρωτά και ευάλωτα σημεία των τυπικών πρωτοκόλλων επικοινωνίας (π.χ. το πρότυπο IEC 61850 και το πρωτόκολλο Modbus TCP/IP), που χρησιμοποιούνται ευρέως για την επικοινώνια με το βιομηχανικό εξοπλισμό των έξυπνων δικτύων.
Ο κύριος στόχος αυτής της διατριβής είναι να παρέχει νέες λύσεις κυβερνοασφάλειας για την ανίχνευση και την πρόληψη κυβερνοεπιθέσεων που στοχεύουν διαφορετικές περιοχές των έξυπνων δικτύων. Σε αυτό το πλαίσιο, προτείνεται μια υβριδική προσέγγιση Συστήματος Ανίχνευσης Δικτυακών Εισβολών κατάλληλη για εφαρμογές έξυπνων δικτύων στο επίπεδο του ιδιωτικού δικτύου επικοινωνίας, όπου συνδυάζονται μέθοδοι ανίχνευσης ανωμαλιών και αναγνώρισης αποτυπώματος/υπογραφής. Η προτεινόμενη προσέγγιση ανιχνεύει και ταξινομεί τις επιθέσεις Man-In-The-Middle (MITM) χωρίς να παραβιάζει την ιδιωτικότητα του χρήστη. Η δυνατότητα ανίχνευσης άγνωστων τεχνικών επίθεσης MITM, η αναγνώριση των επηρεαζόμενων πακέτων και ο καθορισμός των συσκευών υπό επίθεση είναι τα κύρια πλεονεκτήματα αυτής της προσέγγισης. Για την ασφάλεια του Δικτύου Επικοινωνίας σε επίπεδο Υποσταθμού (ΔΕΥ), προτείνεται ένα Σύστημα Ανίχνευσης Δικτυακών Εισβολών (ΣΑΔΕ) βασισμένο σε ένα σύνολο προκαθορισμένων κανόνων για την ανίχνευση ενός ευρέος φάσματος κυβερνοεπιθέσεων που στοχεύουν το πρωτόκολλο Generic Object-Oriented Substation Events (GOOSE) στις εφαρμογές προστασίας συστημάτων ηλεκτρικής ενέργειας. Τα κύρια πλεονεκτήματα της προτεινόμενης προσέγγισης ΣΑΔΕ είναι η ανθεκτικότητα στα σφάλματα δικτύου και ο γρήγορος χρόνος ανίχνευσης επιθέσεων. Επιπλέον, προτείνεται ένα oλοκληρωμένο, ρεαλιστικό και ευέλικτο μοντέλο ηλεκτρονόμου προστασία για σφάλματα υπερέντασης συμβατό με το πρότυπο επικοινωνίας IEC 61850. Aυτό το μοντέλο χρησιμοποιείται για την ανάπτυξη ενός Ενσωματομένου Συστήματος Ανίχνευσης και Πρόληψης Εισβολών (EΣΑΠΕ), το οποίο βασίζεται στη ανάλυση του διαγράμματος κατάστασης του ηλεκτρονόμου, σύμφώνα με την λογική που χρησιμοποιείται για την προστασία υπερέντασης, και ενσωματώνεται στο μιρκοελεγκτή του ηλεκτρονόμου ανάλογα με το διάγραμμα μετάβασης καταστάσεων του προστατευτικού ρελέ υπερέντασης στον ψηφιακό υποσταθμό. Κατά συνέπεια, ένα υβριδικό σύστημα ανίχνευσης και πρόληψης εισβολής (υβριδικό EΣΑΠΕ) έχει υλοποιηθεί, το οποίο συνδιάζει το ενσωματομένο (host-based) και το δικτυακό (network-based) Συστημα Ανίχνευσης και Πρόληψης Εισβολής (EΣΑΠΕ, για τον εντοπισμό και την πρόληψη περίπλοκων επιθέσεων σε ένα ψηφιακό υποσταθμό ισχύος. Επιπλέον, προτείνονται αποτελεσματικοί και μικρής πολυποπλοκότητας μηχανισμοί κρυπτογράφησης και ενσωμάτωσης μηνυμάτων για τα μηνύματα GOOSE στο. δίκτυο ενός ψηφιακού υποσταθμού. Οι προτεινόμενοι μηχανισμοί αυθεντικοποίησης και κρυπτογράφησης αντιμετωπίζουν την κρίσιμη πρόκληση της τήρησης των αυστηρών χρονικών περιορισμών που επιβάλλονται από τα πρότυπα IEC 61850/62351.
Η αποτελεσματικότητα όλων των προτεινόμενων προσεγγίσεων έχει επικυρωθεί χρησιμοποιώντας προσομοιώσεις και πειραματικές δοκιμές σε διάφορες εφαρμογές των έξυπνων δικτύων. Ως αποτέλεσμα, οι προτεινόμενες μεθοδολογίες επιτρέπουν την ασφαλή και αποτελεσματική λειτουργία των έξυπνων δικτύων μειώνοντας σημαντικά την κίνδυνο πρόκλησης ζημιών στην υποδομή λόγων των κυβερονεπιθέσεων.
Collections
Cite as
The following license files are associated with this item: