Vous êtes ici : GIPSA-lab > Formation > Thèses soutenues
Chargement
KABIR-QUERREC Maelle

Cyber Sécurité des systèmes de contrôle du smart grid : détection d'intrusion dans les réseaux de communication IEC 61850

 

Directeur de thèse :     Jean-Marc THIRIET

École doctorale : Electronique, electrotechnique, automatique, traitement du signal (eeats)

Spécialité : Automatique et productique

Structure de rattachement : Autre

Établissement d'origine : INPG - ENSE3

Financement(s) : CIFRE

 

Date d'entrée en thèse : 01/10/2013

Date de soutenance : 28/06/2017

 

Composition du jury :
Mme Mireille BAYART, Professeur, Université de Lille - Rapporteur
M. Jérémie GUIOCHET, Maître de Conférences, Université Toulouse III - Rapporteur
M. Eric GNAEDINGER, Maître de Conférences, Université de Lorraine - Examinateur
Mme Marie-Laure POTET, Professeur, Université Grenoble Alpes - Examinateur
M. Jean-Marc THIRIET, Professeur, Université Grenoble Alpes - Directeur de thèse
M. Stéphane MOCANU, Maître de Conférences, Grenoble-INP - Co-encadrant de thèse
M. Eric SAVARY, Encadrant entreprise, Euro-System - Invité

 

Résumé : RÉSUMÉ DE THÈSE (***** English version below *****)

Le standard IEC 61850 est clé pour le développement du smart grid ou réseau électrique intelligent. Il a pour objectif de rendre l’interopérabilité possible dans les ”Réseaux et systèmes de communication pour l’automatisation des systèmes électriques”. Bien que le cyber risque dans les systèmes de contrôle industriels fasse aujourd’hui consensus, la norme IEC 61850 ne traite pas de la cyber sécurité. Ces travaux de thèse proposent de répondre à cette problématique de cyber sécurité à travers la détection d’intrusion réseau dans les systèmes IEC 61850, plus précisément dans les communication temps-réel GOOSE, impliquées dans la protection électrique. Nous nous sommes tout d’abord attachés à identifier et comprendre les risques de cyber sécurité auxquels les postes IEC 61850 sont exposés. Les protocoles de communication de la pile IEC 61850 se révèlent vulnérables, en particulier GOOSE. Une preuve de faisabilité d’injection de fausses données dans les communications GOOSE a été faite. En guise de première réponse, nous explorons une mesure passive de sécurité : la détection d’intrusion. Nous proposons ainsi une extension au modèle d’information IEC 61850 dédiée à la détection d’intrusion dans les systèmes d’automatisation des services de distribution électrique. Nous proposons ensuite une approche de détection d’intrusion, de type comportementale, dont les règles de détection sont produites à partir des spécifications du protocole et de la configuration du système. Un analyseur syntaxique pour le protocole GOOSE a été intégré à l’analyseur de trafic réseau open source Bro. L’intégration de notre algorithme de détection à cet outil a permis de produire des résultats de performance préliminaires. Enfin, afin de tendre vers une solution globale de sécurité, nous avons imaginé une architecture du système de contrôle qui soit résiliente aux attaques GOOSE basées sur ce module de détection pour sécuriser activement les communications dans les environnements d’automatisation IEC 61850.

***** English version *****

THESIS ABSTRACT Information and Communication Technologies have been pervading Industrial Automation and Control Systems (IACS) for a few decades now. Initially, IACS ran proprietary protocols on closed networks, thus ensuring some level of security through obscurity and isolation. Technologies and usages have evolved and today this intrinsic security does not exist any longer, though. This transition is in progress in the electricity domain, the power infrastructure turning into the ”smart grid”. The IEC 61850 standard is key to the smart grid development. It is aimed at making interoperability possible in ”Communication networks and systems for power utility automation”. Although the cyber risk in IACS is now widely acknowledged, IEC 61850 does not address cyber security. This work tackles the question of cyber security through network intrusion detection in IEC 61850 systems, and more specifically in real-time GOOSE communications. The idea is to get the most out of the protocol specifications and system configuration while developing a tailored NIDS. This enables detection accuracy. The main contributions of this work are: (i) an analysis of the cyber risk hanging over a generic substation example and how it may impact the system dependability attributes, (ii) a proposition of an extension to the IEC 61850 data object model to handle intrusion detection, (iii) a proof of feasibility of intrusions in GOOSE communications, (iv) a deterministic anomaly-based approach of network intrusion detection leveraging system configuration files for detection rules definition, (v) implementation of a GOOSE parser into the open-source network traffic analyzer Bro, (vi) preliminary performance results of an integration of a sample detection algorithm into Bro, (vii) and a proposition of an IACS architecture resilient to attacks targeting GOOSE communication.


GIPSA-lab, 11 rue des Mathématiques, Grenoble Campus BP46, F-38402 SAINT MARTIN D'HERES CEDEX - 33 (0)4 76 82 71 31