Towards an Intrusion Detection System for Smart Grids: A Federated Approach

Abstract

O surgimento do 5G e da Internet das Coisas levou nações em todo o mundo a desenvolver redes elétricas inteligentes, uma infraestrutura de rede elétrica avançada capaz de produzir e transportar energia de maneira mais confiável, sustentável e eficiente. Além disso, as redes inteligentes permitem monitorizar em tempo real a produção, o consumo e a distribuição de energia com medidores inteligentes. A grande quantidade de dados da rede permite o gestão inteligente do fluxo de energia para os consumidores finais. Com fontes de energia renováveis, como solar e eólica, essa gestão é crucial para equilibrar a oferta e a demanda de eletricidade de forma eficiente, evitando a perda de energia. No entanto, as redes inteligentes enfrentam vários desafios, como custos para atualizar as infraestruturas atuais, interoperabilidade com as redes de energia tradicionais ou riscos de privacidade e cibersegurança devido ao grande número de dispositivos distribuídos que fornecem dados à rede. Este trabalho concentra-se nos riscos de cibersegurança e, mais especificamente, na deteção de anomalias. A solução proposta nos permite detetar ciberataques em tempo real na rede inteligente através do tráfego de rede entre dispositivos. A deteção de anomalias é realizada através de classificadores de séries temporais e atendendo a problemas reais e frequentes, como desequilíbrio de dados e causalidade, usando conjuntos de dados de tráfego de rede do mundo real. Para tornar nosso contexto simulado mais realista, decidimos simular uma rede inteligente com um ambiente de aprendizagem federada por meio da framework Flower. Semelhante a uma rede inteligente convencional, o sistema é composto por vários nós distribuídos que comunicam entre eles. Duas abordagens são testadas no sistema distribuído. A primeira abordagem, como uma linha de base, treina apenas um classificador de séries temporais. A segunda abordagem usa um método de processamento de dados, que efetua uma sobre-amostragem dos exemplos de classes minoritárias, aumenta a causalidade dos dados e, em seguida, treina o classificador de séries temporais. Como resultado, a abordagem proposta apresenta um desempenho de classificação significativo em comparação com a linha de base sobre datasets como IEC61850-Security, NSL-KDD, BOT-IoT, e UNSW-NB15. Em comparação com a revisão da literatura, a abordagem distribuída com o tratamento dos dados proposto apresentam melhor desempenho.

The emergence of 5G and the Internet of Things has prompted nations across the globe to develop smart grids, an advanced electrical grid infrastructure capable of producing and transporting energy in a more reliable, sustainable, and efficient way. In addition, smart grids allow monitoring in real-time the energy production, consumption, and distribution with smart meters. The grid's large amount of data enables intelligent energy flow management to end-point consumers. With renewable energy sources such as solar and wind, this management is crucial to balance electricity supply and demand efficiently, avoiding energy loss. However, smart grids face several challenges, such as costs for upgrading current infrastructures, interoperability with the traditional energy grids, or privacy and cybersecurity risks due to the large number of distributed devices providing data to the grid. This work will focus on cybersecurity risks and, more specifically, anomaly detection. The proposed solution enables us to detect real-time cyberattacks in the smart grid through the network traffic between devices. Anomaly detection is performed through time-series classifiers and by attending to real and frequent problems, such as data imbalance and causality, using real-world network traffic datasets. To turn our simulated context more realistic, we decided to simulate a smart grid with a federated learning environment through the Flower framework. Similar to a conventional smart grid, the system comprises several distributed nodes communicating between them. Two approaches are tested in the federated system. The first approach, as a baseline, only trains a time-series classifier. The second approach uses a data processing method, which oversamples minority class examples, increases data causality, and then trains the time-series classifier. As a result, the proposed approach method presents significant classification performance in comparison to the baseline over datasets such as IEC61850-Security, NSL-KDD, BOT-IoT, and UNSW-NB15 datasets. Compared to the reviewed literature, the simulation method and methodology perform better.