Management and processing of network performance information

Bashir, Omar

January 1998

Intrusive monitoring systems monitor the performance of data communication networks by transmitting and receiving test packets on the network being monitored. Even relatively small periods of monitoring can generate significantly large amounts of data. Primitive network performance data are details of test packets that are transmitted and received over the network under test. Network performance information is then derived by significantly processing the primitive performance data. This information may need to be correlated with information regarding the configuration and status of various network elements and the test stations. This thesis suggests that efficient processing of the collected data may be achieved by reusing and recycling the derived information in the data warehouses and information systems. This can be accomplished by pre-processing the primitive performance data to generate Intermediate Information. In addition to being able to efficiently fulfil multiple information requirements, different Intermediate Information elements at finer levels of granularity may be recycled to generate Intermediate Information elements at coarser levels of granularity. The application of these concepts in processing packet delay information from the primitive performance data has been studied. Different Intermediate Information structures possess different characteristics. Information systems can exploit these characteristics to efficiently re-cycle elements of these structures to derive the required information elements. Information systems can also dynamically select appropriate Intermediate Information structures on the basis of queries posted to the information system as well as the number of suitable Intermediate Information elements available to efficiently answer these queries. Packet loss and duplication summaries derived for different analysis windows also provide information regarding the network performance characteristics. Due to their additive nature, suitable finer granularity packet loss and duplication summaries can be added to provide coarser granularity packet loss and duplication summaries.

621.382

Data communication network

Sistema embarcado inteligente para detecção de intrusão em subestações de energia elétrica utilizando o Protocolo OpenFlow / Embedded intelligent system for intrusion detection in electric power substations using the OpenFlow protocol

Silva, Lázaro Eduardo da

05 October 2016

O protocolo International Electrotechnical Commission (IEC)-61850 tornou possível integrar os equipamentos das subestações de energia elétrica, através de uma rede de comunicação de dados Ethernet de alta velocidade. A utilização deste protocolo tem como objetivo principal a interligação dos Intelligent Electronic Devices (IEDs) para a automatização dos processos no sistema elétrico. As contribuições deste protocolo para a integração do controle e supervisão do sistema elétrico são diversas, porém, o fato de utilizar uma rede de comunicação de dados Ethernet integrada expõe o sistema elétrico à ataques cibernéticos. A norma IEC-62351 estabelece uma série de recomendações para prover segurança à rede de comunicação do sistema elétrico, dentre elas, o gerenciamento da rede de comunicação, a análise dos campos da mensagem Generic Object Oriented Substation Event (GOOSE) e a utilização de sistemas de detecção de intrusão. O presente trabalho descreve o desenvolvimento de um Intrusion Detection System (IDS) que atende os requisitos de segurança propostos pelo protocolo IEC-62351, para a identificação de ataques à comunicação realizada por mensagens GOOSE do protocolo IEC-61850, e entre equipamentos do sistema elétrico. Para o desenvolvimento desta aplicação, foram identificados os campos que compõem as mensagens GOOSE, de forma a reconhecer os valores esperados em diferentes situações de operação do sistema elétrico. Determinaram-se padrões de comportamento a serem utilizados para discernir mensagens falsas na rede de comunicação. Instalou-se e configurou-se um sistema operacional de tempo real embarcado na plataforma de desenvolvimento Zynq Board (ZYBO), juntamente com o controlador Open-Mul, para gerenciar a rede de comunicação da subestação, através do protocolo OpenFlow, realizando otimizações para o tráfego multicast. Foi desenvolvido um sistema de detecção e bloqueio de mensagens GOOSE falsas que utiliza o protocolo OpenFlow para controle da rede de comunicação do Sistema Elétrico. Desenvolveu-se ainda um sistema inteligente, utilizando-se uma Rede Neural Artificial (RNA) Nonlinear Autoregressive Model with Exogenous Input (NARX), para predição do tráfego realizado por mensagens GOOSE e detecção de ataques Distributed Deny of Service (DDOS). Os resultados obtidos demonstraram que o protocolo OpenFlow pode ser uma ferramenta interessante para controle da rede, porém, os fabricantes necessitam amadurecer sua implementação nos switches, para que sejam utilizados em produção nas redes de comunicação das subestações. O sistema de predição do tráfego gerado por mensagens GOOSE apresentou benefícios interessantes para a segurança da rede de comunicação, demonstrando potencial para compor um sistema de detecção de ataques DDOS realizado por mensagens GOOSE, na rede de comunicação das subestações de energia elétrica. / The IEC-61850 made it possible to integrate equipments of electric power system substations to a high-speed Ethernet data communication network. Its main goal is the interconnection of IEDs for the automation of processes in an electrical system. The contributions of this protocol for the integration of the control and supervision of the electrical system are diverse, although an Ethernet network exposes the electrical system for cyber attacks. The IEC-62351 states a series of recommendations to provide security to the communication network of the electrical system, such as the communication network management, the analysis of GOOSE messages and the use of intrusion detection systems. This study describes the development of an IDS that meets the security requirements proposed by the IEC-62351 standard to identify attacks on communication between GOOSE messages exchanged by electrical equipment using IEC-61850. For the development of this application, fields of the GOOSE messages were identified, in order to recognize the expected values in different power system operating conditions. Behaviour patterns were determined to detect false messages on the communication network. A real-time embedded operating system on ZYBO was installed and configured, as well as the OpenMul controller to manage the communication network of the substation through the OpenFlow protocol, performing optimizations for multicast traffic. A detection system and block tamper GOOSE messages, using the OpenFlow protocol for control of the electrical system communication network, were developed. In addition, an intelligent system using an Artificial Neural Network (ANN) Nonlinear Autoregressive Model with Exogenous Input (NARX) for predicting of the GOOSE messages traffic and the detection of Distributed Deny of Service attack (DDOS) were also developed. The results obtained show that the OpenFlow protocol may be a valuable tool for network control, however, manufacturers should maturely carry on with its implementation in the switches, so that it be used in substation communication networks. The traffic prediction system of the GOOSE messages presented interesting benefits for the security of the communication network, demonstrating potential to built a DDOS attack detection system performed by GOOSE messages on the communication network of electric power substations.

Cyber security

Data communication network

Embedded system

IEC-61850

IEC-61850

IEC-62351

IEC-62351

Intelligent system

Intrusion detection system

Power system

Redes de comunicação de dados

Segurança cibernética

Sistema de detecção de intrusão

Sistema elétrico

Sistema embarcado

Sistema inteligente

Sistema embarcado inteligente para detecção de intrusão em subestações de energia elétrica utilizando o Protocolo OpenFlow / Embedded intelligent system for intrusion detection in electric power substations using the OpenFlow protocol

Lázaro Eduardo da Silva

05 October 2016

O protocolo International Electrotechnical Commission (IEC)-61850 tornou possível integrar os equipamentos das subestações de energia elétrica, através de uma rede de comunicação de dados Ethernet de alta velocidade. A utilização deste protocolo tem como objetivo principal a interligação dos Intelligent Electronic Devices (IEDs) para a automatização dos processos no sistema elétrico. As contribuições deste protocolo para a integração do controle e supervisão do sistema elétrico são diversas, porém, o fato de utilizar uma rede de comunicação de dados Ethernet integrada expõe o sistema elétrico à ataques cibernéticos. A norma IEC-62351 estabelece uma série de recomendações para prover segurança à rede de comunicação do sistema elétrico, dentre elas, o gerenciamento da rede de comunicação, a análise dos campos da mensagem Generic Object Oriented Substation Event (GOOSE) e a utilização de sistemas de detecção de intrusão. O presente trabalho descreve o desenvolvimento de um Intrusion Detection System (IDS) que atende os requisitos de segurança propostos pelo protocolo IEC-62351, para a identificação de ataques à comunicação realizada por mensagens GOOSE do protocolo IEC-61850, e entre equipamentos do sistema elétrico. Para o desenvolvimento desta aplicação, foram identificados os campos que compõem as mensagens GOOSE, de forma a reconhecer os valores esperados em diferentes situações de operação do sistema elétrico. Determinaram-se padrões de comportamento a serem utilizados para discernir mensagens falsas na rede de comunicação. Instalou-se e configurou-se um sistema operacional de tempo real embarcado na plataforma de desenvolvimento Zynq Board (ZYBO), juntamente com o controlador Open-Mul, para gerenciar a rede de comunicação da subestação, através do protocolo OpenFlow, realizando otimizações para o tráfego multicast. Foi desenvolvido um sistema de detecção e bloqueio de mensagens GOOSE falsas que utiliza o protocolo OpenFlow para controle da rede de comunicação do Sistema Elétrico. Desenvolveu-se ainda um sistema inteligente, utilizando-se uma Rede Neural Artificial (RNA) Nonlinear Autoregressive Model with Exogenous Input (NARX), para predição do tráfego realizado por mensagens GOOSE e detecção de ataques Distributed Deny of Service (DDOS). Os resultados obtidos demonstraram que o protocolo OpenFlow pode ser uma ferramenta interessante para controle da rede, porém, os fabricantes necessitam amadurecer sua implementação nos switches, para que sejam utilizados em produção nas redes de comunicação das subestações. O sistema de predição do tráfego gerado por mensagens GOOSE apresentou benefícios interessantes para a segurança da rede de comunicação, demonstrando potencial para compor um sistema de detecção de ataques DDOS realizado por mensagens GOOSE, na rede de comunicação das subestações de energia elétrica. / The IEC-61850 made it possible to integrate equipments of electric power system substations to a high-speed Ethernet data communication network. Its main goal is the interconnection of IEDs for the automation of processes in an electrical system. The contributions of this protocol for the integration of the control and supervision of the electrical system are diverse, although an Ethernet network exposes the electrical system for cyber attacks. The IEC-62351 states a series of recommendations to provide security to the communication network of the electrical system, such as the communication network management, the analysis of GOOSE messages and the use of intrusion detection systems. This study describes the development of an IDS that meets the security requirements proposed by the IEC-62351 standard to identify attacks on communication between GOOSE messages exchanged by electrical equipment using IEC-61850. For the development of this application, fields of the GOOSE messages were identified, in order to recognize the expected values in different power system operating conditions. Behaviour patterns were determined to detect false messages on the communication network. A real-time embedded operating system on ZYBO was installed and configured, as well as the OpenMul controller to manage the communication network of the substation through the OpenFlow protocol, performing optimizations for multicast traffic. A detection system and block tamper GOOSE messages, using the OpenFlow protocol for control of the electrical system communication network, were developed. In addition, an intelligent system using an Artificial Neural Network (ANN) Nonlinear Autoregressive Model with Exogenous Input (NARX) for predicting of the GOOSE messages traffic and the detection of Distributed Deny of Service attack (DDOS) were also developed. The results obtained show that the OpenFlow protocol may be a valuable tool for network control, however, manufacturers should maturely carry on with its implementation in the switches, so that it be used in substation communication networks. The traffic prediction system of the GOOSE messages presented interesting benefits for the security of the communication network, demonstrating potential to built a DDOS attack detection system performed by GOOSE messages on the communication network of electric power substations.

IEC-61850

IEC-62351

Redes de comunicação de dados

Segurança cibernética

Sistema de detecção de intrusão

Sistema elétrico

Sistema embarcado

Sistema inteligente

Cyber security

Data communication network

Embedded system

IEC-61850

IEC-62351

Intelligent system

Intrusion detection system

Power system