Implementação e avaliação de um mecanismo de detecção de anomalias em uma ferramenta smart grid

Abstract

Smart grids combinam redes de comunicação baseadas em ICT e redes elétricas com o objetivo de fornecer uma distribuição de energia mais eficiente e automatizada, além de permitir a introdução de fontes de produção de energia distribuídas, incluindo fontes renováveis. Sistemas SCADA, responsáveis pelo controle de dispositivos e coleta de informações ao longo de todo o smart grid, permitem o monitoramento em tempo real das informações de produção e consumo de energia. Todavia, esses sistemas estão vulneráveis a ataques cibernéticos, entre outras ameaças. Neste trabalho, apresentamos um Sistema de Detecção de Intrusão, baseado na detecção de anomalias no tráfego de rede, desenvolvido para a ferramenta ASTORIA, que permite a simulação de ambientes smart grid e a definição de ataques. A detecção de anomalias no tráfego é realizada através do algoritmo OCSVM, escolhido por permitir a classificação em classe única, com conhecimento apenas do tráfego normal da rede. Através dos experimentos realizados, com simulações de cenários de ataques DoS e anomalias no tamanho dos pacotes medidos, verificamos que o sistema proposto é capaz de identificar anomalias no tráfego da rede com uma acurácia superior a 97%, classificando corretamente todas as ocorrências de tráfego anômalo e apresentando uma taxa de até 3% de alarmes falsos.

Smart grids combine ICT based communication networks and electric grids with the goal of providing a more efficient and automatized energy distribution, besides allowing the introduction of distributed energy production sources, including renewable sources. SCADA systems, responsible for controlling devices and collecting information in the smart grid, allow real time monitoring of the energy production and consumption information. However, these systems are vulnerable to cyber attacks, among other threats. In this work, we present an Intrusion Detection System, based on network traffic anomaly detection, developed for the ASTORIA toolset, which allows the simulation of smart grid environments and the definition of attacks. The anomaly detection in the network traffic is performed by the OCSVM algorithm, which was chosen because it allows one class classification, only with knowledge of normal network traffic data. Through experiments we performed, using simulation scenarios containing DoS attacks and anomalies in the size of the measured packets, we verified that the proposed system is capable of identifying anomalies in the network traffic with an accuracy greater than 97%, correctly classifying all the occurrences of anomalous traffic and presenting a false alarm rate of up to 3%.