Detecting false data injection attacks against smart grid wide area monitoring systems

Abstract

Wide area monitoring systems (WAMSs) are used to measure synchrophasor data at different locations and give operators a near-real-time picture of what is happening in the system. Since power grids are critical infrastructures, WAMSs are tempting targets for all kinds of attackers, including well-organized and motivated adversaries such as terrorist groups or adversarial nation states. Attacks on WAMSs can trigger wrong decisions and severely impact grid stability, overall power supply, and physical devices.We aim to improve power system security by detecting false data injection (FDI) attacks against WAMSs. Through adoption of adequate statistical methods, we aim to enhance anomaly detection performance and at the same time mitigate the effects of attacks on state estimation (SE). We first analyze smart grid threats with the use of attack trees and formulate a model to express different FDI attacks. Then we investigate different anomaly detection methods with regard to their ability to detect FDIs. In order to investigate how such attacks can be detected, we first look into SE and bad data (BD) detection methods. We then investigate the suitability of a static SE method based on weighted least squares (WLS) and a recursive SE method based on Kalman filters (KFs), and analyse the suitability of using residuals from WLS and DKF for detecting bad measurements. Three methods, i.e., plain pre-fit residuals, L2-norm and normalized residuals based methods are used for detecting bad measurements. We then investigate the suitability of different lightweight statistical anomaly detection methods median absolute deviation (MAD), Kullback-leibler divergence (KLD) and cumulative sum (CUSUM). The data used in the different experiments come from phasor measurement units (PMUs) installed in a real power grid. Further, we investigate improving anomaly detection performance with a combination of methods based on weighted voting. Finally, an analysis of mitigating the effects of attacks on SE by replacing detected BD is conducted.The impacts of this research are manifold: smart grid monitoring and control can benefit from the threat analysis conducted as part of our research. Additionally, all the different statistical methods investigated and utilised in the experiments can help in the identification of the proper analytical tool for anomaly detection. Last but not least, our research suggests that a combination of different methods are needed for a trustworthy anomaly detection in smart grids.

Wide Area Monitoring Systems (WAMS) werden verwendet, um Synchrophasordaten an verschiedenen Standorten zu messen und den Betreibern ein nahezu Echtzeitbild des Geschehens im System zu geben. Da Stromnetze kritische Infrastrukturen sind, sind WAMS verlockende Ziele für alle Arten von Angreifern, einschließlich gut organisierter und motivierter Gegner wie Terroristengruppen oder verfeindete Staaten. Wir möchten die Sicherheit des Stromversorgungssystems verbessern, indem wir FDI-Angriffe (False Data Injection) gegen WAMS erkennen. Durch die Einführung geeigneter statistischer Methoden wollen wir die Leistungsfähigkeit bei der Erkennung von Anomalien verbessern und gleichzeitig die Auswirkungen von Angriffen auf die Zustandsschätzung (State Estimation - SE) abschwächen. Wir analysieren zunächst Smart-Grid-Bedrohungen mit Hilfe von Angriffsbäumen und formulieren ein Modell, um verschiedene FDI-Angriffe darstellen zu können. Dann untersuchen wir verschiedene Anomalieerkennungsmethoden hinsichtlich ihrer Fähigkeit, FDIs zu erkennen. Um zu untersuchen, wie solche Angriffe erkannt werden können, verwenden wir Methoden zur Erkennung von Zustandsschätzungen (SE) und fehlerhaften Daten (Bad Data - BD). Danach untersuchen wir die Eignung einer statischen SE-Methode für gewichtete kleinste Quadrate (Weighted Least Squares - WLS) und einer rekursiven SE-Methode für Kalman Filter (KFs). Anschließend untersuchen wir die Eignung von Residuen aus WLS und DKF zur Erkennung fehlerhafter Messungen. Drei Verfahren, einfache Pre-fit Residuen, L2-Norm- und normalisierte Residuen-basierte Verfahren, werden zum Erfassen von fehlerhaften Messungen verwendet. Dann untersuchen wir die Eignung verschiedener einfacher statistischer Methoden zur Erkennung von Anomalien, mittlere absolute Abweichung vom Median (MAD), Kullback-Leibler-Divergenz (KLD) und kumulative Summe (CUSUM). Die in den verschiedenen Experimenten verwendeten Daten stammen von Phasor Measurement Units (PMUs) aus einem realen Stromnetz. Desweiteren untersuchen wir die Verbesserung der Anomalieerkennung durch eine Kombination von Methoden mit einer gewichteten Abstimmung. Schließlich wird eine Analyse der Minderung der Auswirkungen von Angriffen auf die Zustandsschätzung durch Ersetzen der detektierten fehlerhaften Daten durchgeführt. Die Anwendungen für die Forschungsergebnisse sind vielfältig: Die Überwachung und Steuerung von Smart Grids kann von der im Rahmen unserer Forschung durchgeführten Bedrohungsanalyse profitieren. Darüber hinaus können die verschiedenen statistischen Methoden, die in den Experimenten untersucht und verwendet wurden, bei der Identifizierung des geeigneten Analysewerkzeugs für die Erkennung von Anomalien helfen. Unsere Untersuchungen zeigen, dass für einen vertrauenswürdigen Mechanismus zur Erkennung von Anomalien eine Kombination verschiedener Methoden erforderlich ist.