Intrusion detection for power utility automation networks

Abstract

Energiebetreiber setzen zunehmend Ethernet-basierte Netzwerke in kritischen Automatisierungs- und Steuerungssystemen ein. Durch die Einführung von Smart Grid Technologien werden die Systeme der Energieversorgung immer mehr vernetzt, wodurch die Angriffsfläche für Cyber-Angriffe kontinuierlich vergrößert wird. Mehrere Schichten von Sicherheitsmechanismen sind notwendig, um diese Systeme zu schützen.<br />Kryptografische Methoden bieten sichere Kommunikationskanäle, jedoch können Attacken, die auf eine Unterbrechung der Verfügbarkeit eines Systems abzielen, damit nicht verhindert werden. Auch Firewalls und "Air Gaps" können beispielsweise durch Wartungscomputer umgangen werden, die temporär an die Geräte und Netzwerke angeschlossen werden. Daher werden Mechanismen benötigt, die unerlaubte Aktivitäten erkennen und eine schnelle Reaktionszeit ermöglichen.<br />Zu diesem Zweck sind Intrusion Detection Systeme (IDS) in klassischen IT Netzwerken schon seit einigen Jahren in Verwendung. Diese IDS sind jedoch nicht geeignet für energietechnische Anlagen, wo Geräte mit begrenzten Ressourcen, Echtzeitkommunikation und Redundanzmechanismen im Einsatz sind. IDS für IT Netzwerke sind üblicherweise signaturbasiert.<br />Dies hat den Vorteil, nur wenige falsche Alarme auszulösen, aber auch den Nachteil, dass nur bekannte Attacken detektiert werden können. Es sind aber bisher nur wenige Attacken auf solche Netzwerke bekannt und bereits das erste Auftreten einer bisher unbekannten Attacke kann ernsthafte Konsequenzen mit sich bringen.<br />In dieser Arbeit werden zunächst die Anforderungen an die Hardware, Software und an die Erkennungsgenauigkeit eines IDS in energietechnischen Automatisierungsnetzwerken dargestellt. Auf dieser Grundlage wird ein neuer Ansatz für ein IDS vorgestellt, der diese Anforderungen erfüllen und auch unbekannte Attacken erkennen kann. Dies wird durch die Evaluierung eines Prototypen in einem Testnetzwerk bestätigt.<br />

Electrical power utilities increasingly use Ethernet networks in critical automation and control systems. With the transition to Smart Grid technologies, these automation networks become more interconnected, which further opens the surface for attacks. Multiple layers are necessary to ensure the security of these systems. Cryptographic techniques allow to provide a secure communication channel, but attacks that interrupt a service can not be prevented by these measures.<br />Therefore, mechanisms are needed to detect attacks in power utility automation systems to enable quick response times and to minimize attack consequences.<br />However, IDSs designed for classical IT networks are not suitable for power utility automation networks. IDSs for classical IT networks are usually signature-based, which has the advantage of less false alarms, but the disadvantage that only known attacks can be detected. There is only a low number of attacks known for utility automation devices and networks, and even the first occurrence of a new attack could have severe consequences.<br />This work establishes hardware, software, and detection accuracy requirements for intrusion detection in power utility automation networks, and presents a new approach for an IDS that can achieve these requirements, including the ability to detect unknown attacks. The presented approach is a hybrid system, consisting of a newly designed specification-based detection component inspecting deterministic automation protocols, and an existing signature-based component, used to detect known attacks on classical IT protocols. In order to get detailed behavior specifications for detection, a method is presented to automatically generate specifications from the IEC 61850 SCL configuration files of the power utility automation system. To prove the developed theoretical concepts, a prototype implementation of the IDS was evaluated on a hardware platform suitable for power utility automation networks.