Process-Aware Intrusion Detection for Securing SCADA Systems in Smarter Grids
Verena Menzel is a PhD student in the department Mathematics of Operations Research. (Co)Promotors are prof.dr. J.L. Hurink and dr. A.K.I. Remke from the faculty of Electrical Engineering Mathematics and Computer Science.
T
he power grid, often called the largest interconnected machine in the world, is the backbone of modern civilization, powering billions of devices and connecting entire continents. However, it was originally designed in an era when cybersecurity was not a primary concern. The grid was designed with centralized control in mind, focusing primarily on top-down power generation in huge power plants and its respective distribution to large and small-scale consumers. However, as the grid evolves toward decentralization and increased integration of Distributed Energy Resources (DERs) and Internet of Things (IoT) devices, the complexity of grid management escalates. This transformation, essential for meeting increasing global energy demands and addressing climate change, also increases the need for reliable, real-time data and robust cybersecurity measures. Consequently, securing the power grid against cyberattacks is no longer optional, but it has become a fundamental necessity within the energy transition. To address this challenge, holistic security approaches are required, that do not only consider the legacy systems of the grid but also incorporate new, bottom-up strategies that focus on resilience and robustness at the device level.
One vulnerability in modern power grids lies in the Supervisory Control and Data Acquisition (SCADA) system, which monitors and controls critical grid operations. From a cybersecurity perspective the SCADA system is often outdated and an increased exploitation of vulnerabilities has been witnessed recently. They operate under the specific conditions of critical infrastructure (e.g. real time constraints or lower computational capabilities), and therefore traditional IT security solutions cannot be applied directly. Instead, specifically tailored security approaches for the increasingly complex power grid operation are needed.
This thesis develops such a process-aware Intrusion Detection System (IDS) tailored to the operational realities of modern power distribution systems. The primary objective is to design and implement a distributed IDS that incorporates both local sensor data and topological knowledge of the grid to improve attack detection accuracy and system resilience. Building on a previously proposed framework by Chromik et al., we extend and implement an approach that goes beyond local monitoring and enables distributed and decentralized intrusion detection across multiple field stations.
The research presented in this thesis, is structured in three major parts:
» Advancing Distributed Process-Aware Intrusion Detection
The first part of the thesis addresses the extension of a localized, process aware IDS to incorporate broader system knowledge. We introduce a refined grid model that captures the physical and logical interconnections between neighbouring field stations and develop a distributed algorithm for correlating state information across these scopes. Further, we integrate power flow analysis into the detection process, allowing for more complex consistency checks and reducing the likelihood of not detecting manipulated data. By combining sensor data across multiple nodes through the power flow analysis, the IDS can identify coordinated attacks that target multiple parts of the grid at the same time. The extended system is validated through a series of test scenarios, demonstrating an improved detection rate and robustness compared to the local approach.
» Implementing a Secure and Scalable IDS
The second part focuses on the practical realization of the proposed IDS. We present a modular, container-based implementation that supports virtual distribution and facilitates scalable deployment across diverse test and grid environments. Recognizing that introducing new components into critical infrastructure can create additional vulnerabilities, we design the IDS architecture to be resilient and secure by design. As part of the security by design approach, we integrate a rumour-spreading algorithm to achieve decentralized, robust communication without single points of failure. Three supporting tools for visualization, controlled testing, and benchmarking are introduced to aid future research and integration efforts.
» The Road to Practice: Deploying and Validating the IDS
The third and final part transitions from conceptual design to practical application and validation. We deploy the IDS on a physically distributed Raspberry Pi cluster, assessing hardware requirements and system constraints in a near-realistic setting. This physical deployment highlights the feasibility of the IDS and identifies critical engineering considerations for field-ready prototypes. Furthermore, the proposed approach is validated within a different energy domain, namely a multi-energy system context using the Decentralized Energy Management toolKit (DEMKit). Finally, we discuss the IDS in the context of two real-world case studies: one using five days of SCADA data from a distribution system operator, and another based on six months of rural grid operation data. These studies demonstrate practical detection performance of the IDS, feasibility of threshold tuning, and the benefits of tailoring requirement sets to specific grid topologies. The results show that the IDS can effectively monitor real-world systems, opening a path toward live deployment and operational integration.
Samenvatting
Het elektriciteitsnet, dat vaak de grootste onderling verbonden machine ter wereld wordt genoemd, vormt de ruggengraat van de moderne beschaving: het voorziet miljarden apparaten van stroom en verbindt hele continenten met elkaar. Echter werd het oorspronkelijk ontworpen in een tijdperk waarin cyberbeveiliging (cybersecurity) geen primaire zorg was. Het elektriciteitsnet is ontworpen met als uitgangspunt gecentraliseerde controle. Het richtte zich voornamelijk op top-down stroomopwekking in enorme energiecentrales en de bijbehorende distributie naar grote en kleine verbruikers. Naarmate het elektriciteitsnet evolueert in de richting van decentralisatie en een toenemende integratie van gedistribueerde energiebronnen (DER’s) en Internet of Things (IoT)-apparaten, neemt de complexiteit van het netbeheer toe. Deze transformatie, die essentieel is om aan de toenemende wereldwijde vraag naar energie te voldoen en om klimaatverandering aan te pakken, vergroot ook de behoefte aan betrouwbare, real-time gegevens en robuuste cyberbeveiligingsmaatregelen. Daarom is het beveiligen van het elektriciteitsnet tegen cyberaanvallen niet langer optioneel, maar een fundamentele noodzaak binnen de energietransitie. Om deze uitdaging aan te gaan, zijn holistische beveiligingsbenaderingen nodig, die niet alleen rekening houden met de bestaande systemen van het elektriciteitsnet, maar ook nieuwe, bottom-up strategieën bevatten die zich richten op veerkracht en robuustheid op apparaatniveau.
Een kwetsbaarheid in moderne elektriciteitsnetten ligt in het Supervisory Control and Data Acquisition (SCADA) systeem, dat kritieke netwerkactiviteiten bewaakt en controleert. Vanuit het perspectief van cyberbeveiliging is het SCADA systeem vaak verouderd, en recentelijk is er een toegenomen uitbuiting van kwetsbaarheden waargenomen. Deze kwetsbaarheden werken onder de specifieke omstandigheden van kritieke infrastructuur (bijv. real-time beperkingen of lagere rekencapaciteiten) en daarom kunnen traditionele IT-beveiligingsoplossingen niet direct worden toegepast. In plaats daarvan zijn beveiligingsmethodes nodig die specifiek zijn afgestemd op de steeds complexer wordende werking van energienetwerken.
Dit proefschrift ontwikkelt een procesbewust Intrusion Detection System (IDS) afgestemd op de operationele realiteit van moderne stroomdistributiesystemen. Het primaire doel is het ontwerpen en implementeren van een gedistribueerd IDS, dat zowel lokale sensorgegevens als topologische kennis van het elektriciteitsnet integreert, om de nauwkeurigheid van aanvalsdetectie en de veerkracht van het systeem te verbeteren. Voortbouwend op een eerder voorgesteld framex work door Chromik et al., ontwikkelen en implementeren we een uitgebreidere methode, die verder gaat dan lokale monitoring en die gedistribueerde en gedecentraliseerde inbraakdetectie over meerdere veldstations mogelijk maakt.
Het onderzoek dat in dit proefschrijft wordt gepresenteerd bestaat uit drie hoofdonderdelen:
» Bevordering van gedistribueerde procesbewuste inbraakdetectie
Het eerste deel van het proefschrift behandelt de uitbreiding van een lokaal, procesbewust IDS om bredere systeemkennis te integreren. We introduceren een verfijnd elektriciteitsnetmodel dat de fysieke en logische verbindingen tussen naburige veldstations vastlegt, en ontwikkelen een gedistribueerd algoritme voor het correleren van statusinformatie over deze toepassingsgebieden. Verder integreren we stroomanalyse in het detectieproces, waardoor complexere consistentiecontroles mogelijk worden en de kans afneemt dat gemanipuleerde gegevens niet worden gedetecteerd. Door sensorgegevens van meerdere knooppunten te combineren via de vermogensstroomanalyse kan het IDS gecoördineerde aanvallen identificeren die gericht zijn op meerdere delen van het elektriciteitsnet op hetzelfde moment. Het uitgebreide systeem wordt gevalideerd door een reeks testscenario’s en toont een verbeterde detectiesnelheid en robuustheid in vergelijking met de lokale aanpak.
» Een veilig en schaalbaar IDS implementeren
Het tweede deel richt zich op de praktische realisatie van het voorgestelde IDS. We presenteren een modulaire, containergebaseerde implementatie die virtuele distributie ondersteunt en schaalbare inzet mogelijk maakt in diverse test- en netwerkomgevingen. We erkennen dat het introduceren van nieuwe componenten in kritieke infrastructuren extra kwetsbaarheden kan creëren, en daarom ontwerpen we de IDS-architectuur met ingebouwde veerkracht en beveiliging. Als onderdeel van de security by design-benadering integreren we een algoritme voor het verspreiden van geruchten, om gedecentraliseerde, robuuste communicatie te bereiken zonder single points of failure. Drie ondersteunende tools voor visualisatie, gecontroleerd testen, en benchmarking worden geïntroduceerd om toekomstig onderzoek en integratie-inspanningen te ondersteunen.
» De weg naar de praktijk: Het IDS implementeren en valideren
Het derde en laatste deel vormt de overgang van conceptueel ontwerp naar praktische toepassing en validatie. We implementeren het IDS op een fysiek gedistribueerd Raspberry Pi-cluster en beoordelen de hardwarevereisten en systeembeperkingen in een nagenoeg realistische omgeving. Deze fysieke inzet benadrukt de haalbaarheid van het IDS en identificeert kritische technische overwegingen voor veldklare prototypes. Verder wordt de voorgestelde aanpak gevalideerd in een ander energiedomein, namelijk een multi-energiesysteem met behulp van Decentralized Energy Management toolKit (DEMKit). Tot slot bespreken we het IDS in de context van twee praktijkcasestudy’s: één met behulp van vijf dagen SCADA-gegevens van een distributienetbeheerder, en een andere op basis van zes maanden aan operationele gegevens van een elektriciteitsnet in een plattelandsgebied. Deze onderzoeken tonen de praktische detectieprestaties van het IDS, de haalbaarheid van drempelinstellingen en de voordelen van het aanpassen van vereisten aan specifieke netwerktopologieën. De resultaten tonen aan dat het IDS, systemen in de echte wereld effectief kan bewaken, waarmee de weg wordt geopend naar live-implementatie en operationele integratie.
