So Carlos
2016
Lzaro Eduardo da Silva
So Carlos
2016
Trata-se da verso corrigida da tese. A verso original se encontra disponvel na EESC/USP que
aloja o Programa de Ps-Graduao de Engenharia Eltrica.
AUTORIZO A REPRODUO TOTAL OU PARCIAL DESTE TRABALHO,
POR QUALQUER MEIO CONVENCIONAL OU ELETRNICO, PARA FINS
DE ESTUDO E PESQUISA, DESDE QUE CITADA A FONTE.
A Deus por iluminar sempre meus passos, trazendo realizaes para minha vida e
colocar pessoas to especiais, no decorrer desta caminhada.
minha famlia, que tanto me apoia, oferecendo ajuda incondicional, acreditando no meu
esforo e estando sempre presente nas batalhas e conquistas da minha vida. Em especial
ao meu pai a quem Deus levou para mais perto de Si. Tenho certeza de que ele, no cu,
est muito feliz com esta conquista.
Ao Professor Tit. Denis Vinicius Coury, da Escola de Engenharia de So Carlos (EESC/USP),
por acreditar no meu trabalho e me acolher no programa de Doutorado, por todas as fa-
cilidades oferecidas, pela liberdade de trabalho e opinio, pelos desafios propostos, pela
orientao amiga e competente, sendo muito mais que um orientador, um exemplo de
vida acadmica.
Ao Professor Dr. Mrio Oleskovicz (EESC/USP), pela postura, dedicao e objetividade
com que trata os assuntos, promovendo o entendimento, e pelas criteriosa leitura e suges-
tes oportunas, na fase de qualificao e defesa.
Ao Professor Dr. Jos Carlos de Melo Vieira Jnior (EESC/USP), pelo convvio no labo-
ratrio e em congressos.
Ao Professor Dr. Csar Augusto Cavalheiros Marcondes (DECOM/UFSCar), pelo cor-
dial atendimento, pelas orientaes e contribuies dadas durante a fase de qualificao
e defesa deste trabalho.
Ao Professor Dr. Francisco Jos Mnaco (ICMC/USP), pelas contribuies dadas durante
a defesa deste trabalho.
Ao Professor Dr. Renato Machado Monaro (Poli/USP), pelas contribuies dadas du-
rante o desenvolvimento do trabalho, pela criteriosa leitura e sugestes realizadas na
defesa deste trabalho.
Ao amigo Juliano Colho Miranda e a toda sua famlia, por compartilharem as viagens,
madrugadas de trabalho e por toda ajuda, neste tempo de convivncia.
Ao Carlos Magno, por emprestar-me a placa ZYBO.
Ao Vincius pelas oraes.
Aos amigos Andr, Rui, Rodrigo, Marsolla, Leandro, Jeovane, Luiz, Gustavo, Rodolfo,
Jder, Athila, Monaro, Gerson, Eduardo, Carlos, Luciano, Thais, Viviane, Guacira, Aline
e a todos os que fizeram parte do LSEE, pelo compartilhamento de experincias e har-
monioso convvio.
Aos profissionais da secretaria da ps-graduao (EESC/USP), pelo atendimento cordial,
competente e respeitoso.
Aos colegas das disciplinas do programa de doutorado da EESC/USP e ICMC/USP pelos
contatos realizados e pelo compartilhamento de experincias.
Ao Centro Federal de Educao Tecnolgica de Minas Gerais (CEFET-MG) e a todos
os profissionais que participaram direta e indiretamente desta conquista, em especial aos
professores e amigos da unidade Varginha.
A Professora Helena Maria Gramiscelli Magalhes, por realizar as correes de portugus
do texto.
A todas as pessoas que estiveram e esto na minha vida nesses anos de muita dedicao,
por fazerem parte deste momento to importante.
Parafraseando Prof. Gilberto Teixeira
Que Deus abenoe a educao.
Estudar impregnar de sentido a vida.
Resumo
ID Identifier
IP Internet Protocol
LN Logical Node
MHz Megahertz
MU Merging Unit
RPROP Resilient-Propagation
SE Sistema Eltrico
SO Sistema Operacional
SV Sampled Values
TI Tecnologia da Informao
1 Introduo 31
1.1 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
1.2 Contribuies desta Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . 35
1.3 Organizao do Texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2 O Protocolo IEC-61850 39
2.1 Reviso Bibliogrfica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
2.2 Histrico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.3 Funes e Ns Lgicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.4 Caracterizao das Mensagens GOOSE . . . . . . . . . . . . . . . . . . . 45
2.5 Formao das Mensagens GOOSE . . . . . . . . . . . . . . . . . . . . . . 47
2.6 Identificao da Unidade de Dados das Mensagens GOOSE . . . . . . . . 49
2.7 Comportamento das Mensagens GOOSE . . . . . . . . . . . . . . . . . . 51
6 Concluso 153
Referncias 157
31
Captulo 1
Introduo
1. A gerao de energia eltrica realizada por usinas que podem ser hidrulicas,
elicas, trmicas ou termonucleares. Estas usinas utilizam do movimento rotatrio
de turbinas, resultado da passagem de gua, ar ou vapor, acopladas a geradores
eltricos para produzirem eletricidade.
Toda esta estrutura est disposta por quilmetros de distncia, ficando, por isso,
sujeita s intempries. Para detectar e evitar possveis falhas, o SE conta com um sistema
de proteo, cuja principal tarefa isol-las, para que o SE no entre em colapso (COURY;
OLESKOVICZ; GIOVANINI, 2007).
Com a evoluo da tecnologia digital, os equipamentos que compem o SE se tornaram
digitais, possibilitando a construo de dispositivos multi-funes denominados Intelligent
Electronic Devices (IEDs) que, entre suas funes, possuem a capacidade de interligao
por redes de comunicao.
A utilizao de tecnologia digital aliada capacidade de comunicao viabilizam o
desenvolvimento dos Sistemas de Automao de Subestao (SAS) que so utilizados
nas concessionrias de energia eltrica para controle, automatizao e superviso dos
equipamentos e processos.
Nesse cenrio, a comunicao realizada entre IEDs vem passando, nas ltimas dca-
das, por um perodo de padronizao realizada pela norma International Electrotechnical
Commission (IEC)-61850. O desenvolvimento de aplicaes utilizando este protocolo tem
evoludo constantemente, impulsionado pelo desejo de automatizao de tarefas do SE.
O sistema de proteo das subestaes tem se tornado cada vez mais robusto, pois, suas
decises so resultado da anlise de vrios IEDs interligados. Contudo, a utilizao de
tecnologias de comunicao no SE abre espao para outro perigo: os ataques cibernticos
(TEN; HONG; LIU, 2011; DZUNG et al., 2005).
A norma IEC-62351 uma tentativa de ditar padres de segurana para o ambiente
das subestaes. Porm, observa-se, na literatura pertinente, que o setor se revela inci-
piente no que tange pesquisa. Ataques cibernticos infraestrutura de comunicao
da subestao tm consequncias mais graves do que aqueles feitos s redes empresariais.
Neste contexto, a preciso das ferramentas de segurana da informao para o setor el-
trico devem ser mais apuradas, chegando a um nvel de retido no aplicado nas redes
corporativas.
O presente trabalho prope-se a investigar formas de deteco de intruso nas redes de
comunicao das subestaes, no que tange ao trfego realizado por mensagens Generic
Object Oriented Substation Event (GOOSE), na Local Area Network (LAN). Este trfego
33
restrito bays de transmisso e devem atender aos requisitos de tempo estipulado para
a entrega das mensagens, que deve ficar abaixo de 4 milissegundos (CLAVEL et al., 2015).
A implantao das SDNs nas subestaes de energia eltrica requer cautela, e este
protocolo necessita de maturidade para ser utilizado em ambientes com mensagens de
tempo crtico. O desenvolvimento do IDS atrelado s SDNs possibilita a identificao e o
bloqueio de mensagens falsas na rede de comunicao das subestaes. Cabe investigar,
se este protocolo est suficientemente apurado para sua utilizao neste ambiente que
requer alta confiabilidade e disponibilidade.
1.1 Objetivos
Geral: Desenvolver um Intrusion Detection System em conformidade com os requisitos
de segurana definidos pelo padro IEC-62351 na identificao de ataques comunicao
realizada por mensagens GOOSE do padro IEC-61850, entre equipamentos do sistema
eltrico.
Para atingir o objetivo geral foram trabalhados os seguintes objetivos especficos:
o identificao das assinaturas e situaes que podem ser utilizadas para caracteriza-
o de mensagens legtimas em detrimento aos ataques segurana;
o anlise da plataforma de tempo real que melhor se adapte para realizar a deteco
da intruso;
Captulo 2
O Protocolo IEC-61850
foi moldada uma usina virtual genrica. Este modelo demonstra que o IEC-61850 fornece
dados para o controle de recursos energticos distribudos. Yoo et al. (2011) completam
que, medida que as redes de energia so integradas formando as Smart Grids, o pro-
tocolo de comunicao desempenha um papel fundamental nas operaes bem sucedidas.
A implantao de interoperabilidade nas redes inteligentes um obstculo que precisa
ser superado. O protocolo IEC-61850 o padro para se obter a interoperabilidade em
automao na concessionria de energia. Colet-Subirachs et al. (2012) descrevem a cri-
ao de um gateway para monitoramento de uma rede de energia eltrica que pode ser
implantado para controle de recursos energticos distribudos.
2.2 Histrico
Em 1994, um grupo de trabalho de Interfaces de Controle e Proteo de Subesta-
es, do Comit Tcnico do IEC, props a padronizao da comunicao em Sistema de
Automao de Subestao (SAS). O objetivo da normalizao era desenvolver um padro
de comunicao que atendesse os requisitos funcionais e de desempenho da subestao,
apoiado na evoluo tecnolgica, alm de especificar requisitos para alcanar a intero-
perabilidade e a intercambialidade entre os IEDs de diferentes fornecedores (IEC61850,
2003a).
Em abril de 2003, foram publicadas as normas que estabeleciam um padro de comu-
nicao entre IEDs denominado IEC-61850. Este padro propunha a comunicao entre
os IEDs, atravs de uma rede de comunicao de dados que ocorria por fiao eltrica. A
estratgia utilizada para a elaborao da norma foi a mesclagem dos pontos fortes de trs
mtodos: decomposio funcional, fluxo de dados e modelagem de informaes, a saber:
Funo de
Computador
Proteo
IHM
IF1
XCBR
Dispositivo de LC1
LC2
Proteo (rel)
P.. IF4,5
Interface de
Processo
Remoto
IF1 informa que, nesta interface, existe trfego de dados de proteo entre dispositivos
dos nveis de bay e de estao. IF4 informa que, nesta interface de comunicao, trafegam
valores instantneos dos transformadores de tenso e corrente entre os nveis de processo
e de bay. IF5 informa que, nesta interface de comunicao, trafegam dados de controle
entre os nveis de processo e de bay. O significado de cada interface de comunicao do
SAS pode ser observado em IEC61850 (2003b);
Figura 5 Correspondncia das camadas do modelo OSI na mensagem GOOSE e seus servios.
o User priority: utilizado para indicar a prioridade dos pacotes. Este campo pode
assumir valores entre 1 e 7 o qual, em comunicao de dados que faam uso do
padro IEC-61850, utilizado para separar valores amostrados e mensagens GOOSE
de pacotes de baixa prioridade. Pacotes de alta prioridade devem ter valores entre
4 e 7, e de baixa prioridade devem ter prioridade de 1 a 3. O valor 1 de prioridade
48 Captulo 2. O Protocolo IEC-61850
o padro para pacotes que no pertencem a nenhuma VLAN, e o valor 0 deve ser
evitado, pois pode causar atraso ao trfego normal. O valor padro de prioridade
para mensagens GOOSE 4.
O VLAN Identifier (VID) tem 12 bits que podem assumir valores entre 1 e 4095. Se
o VID no for utilizado, seu valor deve ser definido como zero. As mensagens GOOSE,
geralmente, esto alocadas em um VID diferente do trfego da rede Local Area Network
(LAN) da subestao de energia eltrica. Assim, o trfego GOOSE fica separado do
trfego restante da rede local.
Findada a tagging da VLAN, inicia-se a caracterizao do pacote GOOSE camada
de apresentao. A Figura 7 ilustra a estrutura de cabealho do Ethernet Protocol Data
Unit (PDU).
Octets 8 7 6 5 4 3 2 1
16
Ethertype
17
18
APPID
19
20
Ether- Length
21
type
22
PDU Reserved 1
23
24
Reserved 2
25
26
... APDU
m+26
seu valor padro ser 0x0000. A fonte geradora do GOOSE deve ter um nico APPID. A
administrao do GSE deve ter o mesmo APPID emitido pelo GOOSE onde as solicitaes
de gesto GSE esto sendo emitidas. O APPID de resposta s solicitaes de gesto deve
ser o mesmo que o do pedido (IEC61850, 2004).
Length o nmero de octetos incluindo o cabealho Ethernet PDU, comeando do
APPID, at o comprimento da Application Protocol Data Unit (APDU). Seu valor deve
ser de m + 8, no qual m o comprimento do APDU, e m inferior a 1492. Quadros com
campo length invlido ou inconsistente devem ser descartados (IEC61850, 2004).
Os campos Reserved1 e Reserved2 so destinados ao uso futuro de aplicaes da norma
e devem assumir o valor 0 como padro.
O APDU definido de acordo com a gramtica especificada para GOOSE e adminis-
trao do GSE definida em ASN.1 (IEC61850, 2004).
ao receptor que houve alterao no DATA-SET e o tempo da ltima mudana o qual pos-
sibilita ao dispositivo receptor o ajuste dos tempos locais de determinado evento. Para
conferir confiabilidade adicional entrega das mensagens com mudanas no DATA-SET,
so realizadas retransmisses dos dados em curtos intervalos de tempo conforme ilustra a
Figura 9, a seguir.
Tempo de Transmisso
T0 (T0) T1 T1 T2 T3 T0
Evento
Captulo 3
Segurana para a Rede de
Comunicao das Subestaes
1
Indivduos que exploram a vulnerabilidade dos sistemas computacionais, com o objetivo de compro-
meter ou afetar sua segurana (STALLINGS, 2008).
2
Programa malicioso de computador que se propaga, tornando-se parte de outros programas e arquivos
(CERT.BR; CGI.BR; NIC.BR, 2012).
3
Programas capazes de se propagar automaticamente pelas redes, enviando cpias de si para outros
computadores (CERT.BR; CGI.BR; NIC.BR, 2012)
4
Ataque atravs do qual o intruso se interpe na comunicao entre as partes, recebendo e encami-
nhando as mensagens entre o emissor e o receptor (BRAZIL; ALBUQUERQUE, 2006).
5
Captura e armazena as teclas digitadas pelo usurio no teclado do computador (CERT.BR; CGI.BR;
NIC.BR, 2012).
6
Cavalo de troia um programa que, alm de executar as funes para os quais foi projetado, executa
outras, porm, maliciosas sem o conhecimento do usurio (CERT.BR; CGI.BR; NIC.BR, 2012).
3.2. Ameaas a Rede de Comunicao das Subestaes 59
o Autenticidade um requisito para que o acesso seja legtimo. Para isso, h que se
ter um tipo de segurana que visa proteo contra ataques de roubo de identidade,
conhecidos como Phishing e caracterizado por tentativas de obter informaes con-
fidenciais. No Phishing, o transgressor se faz passar por uma pessoa, empresa, ou
um equipamento confivel.
Segundo IEC62351 (2007a), segurana pode ser classificada em quatro categorias (Fi-
gura 11). Usualmente, estas categorias precisam ter formas de alcanar a segurana, fim a
fim. Garantir a segurana de uma categoria somente no o suficiente. Estas medidas de
segurana devem ser cuidadosamente integradas para que problemas inesperados sejam
controlados.
Segurana engloba um conjunto complexo e multi-facetado de questes. No existem
mecanismos padronizados ou claramente definidos para compor o espao do problema de
segurana. Portanto, a anlise e implantao de medidas de segurana adequadas so
frequentemente percebidas como tarefas bastante complexas (IEC62351, 2007a).
Todavia, a segurana pode ser decomposta em regies menores de anlise e geren-
ciamento. Como exemplo, podem-se citar trs abordagens diferentes, dependendo dos
problemas envolvidos, a saber:
utilizam mensagens GOOSE, para o qual so exigidos tempos de resposta dentro dos 4
ms, configuraes de multicast e baixo uso da Unidade Central de Processamento (Central
Processing Unit (CPU)), o uso de criptografia no recomendado (IEC62351, 2007b). Para
oportunizar confidencialidade na troca de mensagens, realizada a seleo de caminhos
de comunicao, atravs de Virtual Local Area Network (VLANs). A fim de proteger
o trfego de mensagens GOOSE nas subestaes de energia eltrica, as ferramentas de
segurana devem implementar as seguintes medidas (IEC62351, 2007b):
a) o subscriber deve acompanhar o tempo corrente das mensagens GOOSE. A men-
sagem cujo timestamp exceder a 2 minutos no deve ser processada. A variao
do perodo configurvel e deve suportar oscilaes mximas de 10 segundos para
mais ou para menos;
b) VLAN hopping: mtodo de ataque utilizado para que o vilo tenha acesso aos
pacotes de outra VLAN. Na rede da subestao, a comunicao GOOSE estar
isolada por uma VLAN. Para que o hacker proceda a ataques esta rede, ele
dever transpor esta barreira.
d) Distributed Deny of Service (DDOS): um ataque que tem como objetivo esgotar os
recursos ou causar significativo impacto no desempenho de equipamentos, devido
3.5. Preveno e Deteco de Intruso 65
10
So programas desenvolvidos para se executarem aes e atividades danosas no computador
(CERT.BR; CGI.BR; NIC.BR, 2012).
66 Captulo 3. Segurana para a Rede de Comunicao das Subestaes
Captulo 4
Sistema de Deteco e Bloqueio de
Ataques man-in-the-middle:
Abordagem Utilizada, Tempos
Envolvidos e Lgica Implementada
O trabalho de Thomas e Ali (2010) prope uma arquitetura lgica baseada no Ether-
net para a rede de comunicao da subestao. Foi medido o tempo de trfego fim a
fim de mensagens de tempo crtico, demonstrando estar dentro do limite permitido pela
norma IEC-61850. Neste nterim, a arquitetura demonstrada recomendada para a utili-
zao em aplicaes de proteo e controle para manter a confiabilidade, disponibilidade
e continuidade no funcionamento da rede eltrica.
Grandes fabricantes esto desenvolvendo produtos para o barramento de processo das
subestaes, em conformidade com a norma IEC-61850. Para o sucesso da implementao
do IEC-61850 no barramento de processo, importante analisar o desempenho de men-
sagens de tempo crtico, tais como Generic Object Oriented Substation Event (GOOSE)
e Sampled Values (SV), para a proteo e o controle da subestao (KANABAR; SIDHU,
2011). A pesquisa mostrou, ainda, tcnicas de estimativa de valor como atitude corretiva
para os pacotes perdidos. Kanabar, Sidhu e Zadeh (2011) apresentam a implementao
de um hardware que comunique IEC-61850 baseado na rede de comunicao do barra-
mento de processo, para investigar a medida corretiva proposta para o atraso e a perda
de mensagens no barramento de processo.
Os trabalhos apresentados apontam as restries de latncia no desenvolvimento de
sistemas para o Sistema Eltrico (SE), bem como, analisam a capacidade da rede Ethernet
para troca de mensagens de alta prioridade. Neste contexto, Almas e Vanfretti (2016)
descrevem um Real Time Hardware-in-the-loop para medio da performance de diferen-
tes algoritmos de proteo do SE, utilizando o canal de comunicao, dentre eles, os
algoritmos que utilizam mensagens GOOSE do padro IEC-61850. Neste nterim, foi
observado que ferramentas especficas so necessrias para um rpido acesso aos pacotes
de rede para o desenvolvimento de aplicaes que utilizam este protocolo. A necessi-
dade de flexibilizao e processamento no hardware torna as Field-Programmable Gate
Arrays (FPGAs) e processadores Advanced RISC Machine (ARM) on-chip os melhores
candidatos implementao de dispositivos de rede em geral.
Moreira et al. (2016) investigaram o uso do protocolo Precision Time Protocol (PTP)
para o sincronismo de tempo entre os equipamentos da rede de comunicao das subes-
taes. Para tal, eles exploram as funcionalidades do PTP em uma Xilinx Zynq para
alcanar nanosegundos de sincronizao, assim como Astarloa et al. (2015). Astarloa et
al. (2013) apresentam a interligao entre uma rede anel Ethernet entre IEDs, que oferece
tolerncia a falhas no canal de comunicao, com uma rede estrela da subestao, atravs
de um gateway implementado em uma Xilinx Zynq, que integra os protocolos com baixa
latncia. A plataforma Zynq da Xilinx, possui recursos interessantes para o desenvolvi-
mento de dispositivos de rede. Sua arquitetura composta por um processador ARM
acoplado a uma FPGA Artix-7 e a uma grande quantidade de interfaces de comunicao.
Sua estrutura permite a instalao e configurao de um Sistema Operacional (SO) de
tempo real. Aliada a tecnologias de rede, esta plataforma uma ferramenta importante
4.2. Anlise de Segurana das Mensagens GOOSE 69
Interface do usurio
Deteco
Hacker
Routeador Firewall de Intruso
Rede de
longa distncia
Hacker
GOOSE GOOSE
F1 F2 F1 F2 F1 F2
Subestao
STOP STOP
PREV PREV
Emissor
Receptor
Receptor
A lgica para gerao de mensagens GOOSE foi configurada para que, durante 3
segundos, o IED publisher publicasse mensagens com valor falso, no Conjunto de Dados
(DATA-SET). Transcorrido os 3 segundos, o IED simula a ocorrncia de um evento,
atravs do envio de mensagens GOOSE, com a mudana de um estado booleano no DATA-
SET, de falso para verdadeiro. Este evento se estende por 1 segundo sinalizado por um
Led na Interface Homem Mquina (IHM) dos IEDs subscribers.
Posteriormente, o DATA-SET novamente alterado, retornando o valor booleano para
falso. Este processo se repete 494 vezes, durante 32 minutos e 56 segundos, como demons-
tra a Figura 15, a seguir.
1s 1s 1s
1
3s 3s 3s 3s
0
para zero. Observando o teste, percebeu-se que os IEDs tambm no sinalizaram, atravs
do Led na IHM, a utilizao da mensagem. Aps este teste, o campo stNum tambm foi
alterado, e recebeu o valor atual mais um. Com estas trs modificaes na mensagem, os
IEDs subscribers passaram a utilizar a mensagem GOOSE adulterada, sinalizando no Led
da IHM, conforme realizado, quando o envio do evento foi feito pelo IED publisher.
Com este teste, observou-se que os IEDs fazem o controle para uso da mensagem de
execuo de um evento, pelos campos sqNum e stNum, porm, esta anlise no suficiente
para verificar se as mensagens so falsas.
Existem outros campos pertinentes s transies e cadncias na mensagem GOOSE
que podem contribuir para a deteco de um invasor. O pentest realizado identificou
mais uma vulnerabilidade nos IEDs, fazendo com que eles utilizassem mensagens GO-
OSE adulteradas. O acesso de um hacker rede de comunicao de dados da subestao,
pode ter consequncias catastrficas. O desenvolvimento de cdigos maliciosos que re-
alizem os pentests feitos uma situao possvel de acontecer, a julgar pelos casos dos
vrus Stuxnet, Duqu e Flame que so malwares desenvolvidos para atacar sistemas de
controle industriais especficos (KUSHNER, 2013). Para mitigar tais ataques, ferramentas
de segurana particulares para este tipo de mensagem devem ser implementadas.
O IDS desenvolvido necessita de uma plataforma para execuo que seja robusta o sufi-
ciente, para realizar os processamentos necessrios em baixas latncias, possua interfaces
de comunicao que viabilizem a troca de mensagens, atravs da rede de comunicao
Ethernet, e seja flexvel para possibilitar a evoluo da pesquisa.
o memria de 512 Mega Bytes (MB) x32 Double Data Rate (DDR)3 com 1050 Megabits
por segundo (Mbps) de largura de banda e com 8 canais Direct Memory Access
(DMA);
4.3. Plataforma de Desenvolvimento do Sistema Embarcado 75
o perifricos de alta largura de banda: Ethernet 1Gigabits por segundo (Gbps); Universal
Serial Bus (USB) 2.0; Secure Digital Input Output (SDIO);
o a FPGA Z-7010 possui 4.400 slices lgicos, cada um com quatro Look Up Tables
(LUTs) de 6 entradas e 8 flip-flops, 240 KB de memria Random Access Memory
(RAM) rpida, 80 fatias Digital Signal Processor (DSP), com velocidade de clock
interno de 450Megahertz (MHz) e conversor analgico digital;
o slot MicroSD;
1. BOOT.bin que contm trs arquivos: o bitstream da FPGA, o First Stage Boot
Loader (FSBL) e o u-boot.elf ;
2. devicetree.dtb;
3. uEnv.txt;
4. uImage.
Tarefa 2 Tarefa 2
Agendada Agendada
Tarefa 2 Tarefa 2 incio Pontos de
Incio da execuo da execuo preempo
Latncia
Tarefa 1 Tarefa 2
Tarefa Tarefa Tarefa 1
Baixa Alta 1 2 continua
Prioridade Prioridade
Tempo Tempo
Tarefa 2 tempo total de execuo Tarefa 2 tempo total de execuo
Kernel no preemptivo Kernel preemptivo
Canal Controlador
Seguro
Tabela de
Fluxos
Switch OpenFlow
A comunicao entre controlador e switch OpenFlow pode ser configurada como rea-
tiva ou pr-ativa. Uma configurao reativa configura os fluxos sob demanda, o que gera
trfego de controle na rede, porm, simplifica o processo de configurao dos equipamen-
tos. Uma configurao pr-ativa consiste em realizar o registro dos fluxos no switch, no
incio da comunicao, para que o equipamento possua as aes pr-configuradas na sua
tabela de fluxo, melhorando o desempenho geral do sistema (FERNANDEZ, 2013).
Captulo 4. Sistema de Deteco e Bloqueio de Ataques man-in-the-middle: Abordagem Utilizada,
82 Tempos Envolvidos e Lgica Implementada
3. o protocolo OpenFlow que fornece um padro aberto, atravs do qual podem ser
definidas entradas, na tabela de fluxo.
a) Encaminhar pacote
b) Enviar para o controlador
c) Descartar pacotes
d) Pipeline normal
L2 L3 L4
Porta MAC MAC Ether VLAN VLAN IP IP IP IP TCP/UDP TCP/UDP
switch src dst type ID priority src dst proto tos src port dst port
Cada fluxo de entrada tem uma ao associada que pode ser (MCKEOWN et al., 2008):
a) encaminhar pacotes deste fluxo para uma determinada porta;
b) encapsular e encaminhar pacotes deste fluxo para um controlador. Normalmente
utilizado para o primeiro pacote de um novo fluxo, de modo que o controlador
4
A maioria das switches e roteadores Ethernet possuem tabelas de encaminhamento construdas a
partir de Ternary Content Addressable Memories (TCAMs) que so utilizadas para a instalao das
tabelas de fluxo (JIANG, 2013).
4.5. Switch OpenFlow 83
3. estatsticas que mantm o controle do nmero de pacotes e bytes para cada fluxo e
o tempo decorrido, desde o ltimo pacote deste fluxo, para ajudar na remoo de
fluxos inativos.
Um fluxo pode ser especificado por todos os campos da tabela de fluxos dependendo
do protocolo em uso. Cada campo do cabealho pode ter um valor polivalente para
permitir a agregao dos fluxos ou mesmo, um fluxo pode ser definido por apenas um
valor, por exemplo, a VLAN ID, sendo o mesmo aplicado a todo o trfego em uma VLAN
particular. O processamento das mensagens no switch OpenFlow verso 1.0 do protocolo,
ocorre, conforme ilustra a Figura 23.
No
Encontrou
uxo correspondente
na tabela N Sim
No
Envia
para o
controlador
2004). Caso o switch implemente esta funcionalidade, fica obrigatria a verificao deste
protocolo, antes de iniciar a decodificao dos campos. O processo de decodificao do
cabealho dos campos depende do tipo do pacote. Na verso 1.0 do OpenFlow, os valores
dos doze campos da tabela de fluxo, de acordo com o cabealho da mensagem, podem ser
extrados do pacote para identificao na tabela de fluxos.
O passo seguinte corresponde comparao da informao extrada do cabealho da
mensagem, com as regras dos fluxos cadastrados. Caso a mensagem se enquadre em
algum dos fluxos presentes na tabela de encaminhamento, as aes associadas ao referido
fluxo so executadas. Caso contrrio, a mensagem enviada ao controlador, para que ele
decida a ao a ser tomada com a mensagem.
4.5.1 Controlador
O controlador uma plataforma para o desenvolvimento de aplicaes que ir moni-
torar e tomar decises quanto ao funcionamento do switch. Segundo (MCKEOWN et al.,
2008) o controlador OpenFlow atua como um SO de rede, oferecendo uma interface de
alto nvel para o desenvolvimento de aplicaes que utilizam o hardware de rede, em uma
analogia ao SO dos computadores. Diversos controladores OpenFlow esto disponveis
para a implementao de aplicaes, dentre os quais incluem-se:
Ferramentas Descrio
Protocolos implementados OpenFlow 1.4, 1.3.x, 1.0, Ovsdb
em baixo nvel
Multi verso Suporta diferentes verses simultaneamente
Taxa de download do fluxo 10,5 Milhes/segundo
FlexPlug Oferece a flexibilidade de inserir ou remover qualquer
aplicao
FirmFlow Coerncia de fluxos entre reinicializaes de aplicao,
controlador e switch
SSL Suporte a TLS 1.2
Learning Module Mdulo L2 learning com IGMP snooping
OpenFlow multi modo Pode operar com switches heterogneos
Descoberta de Topologia Descoberta automtica de topologia
APIs Conjunto rico de APIs, RESTful, Python e C
Estatsticas Coleta de estatsticas do OpenFlow
Hot standby HA O controlador disponvel para atenuar quedas
Deteco de Loop Deteco rpida de loops baseado no protocolo xSTP
Proteo de espao de ende- O controlador executa completamente independente de
reos todas as demais aplicaes
Suporte utilizando linha de Utilizando o padro industrial, possui uma interface de
comando gerenciamento em linha de comando.
6
Representational State Transfer uma aplicao que fornece acesso a um servio qualquer baseado
na arquitetura da Web, utilizando as mensagens do protocolo HTTP.
Captulo 4. Sistema de Deteco e Bloqueio de Ataques man-in-the-middle: Abordagem Utilizada,
86 Tempos Envolvidos e Lgica Implementada
o desabilitar o spanning-tree;
O switch DATACOM possui uma porta de gerncia que, geralmente, utilizada para
a realizao de configuraes no equipamento, podendo ser aproveitada para a conexo
com o controlador. Neste trabalho, esta porta no foi utilizada para este fim, pois sua
velocidade de conexo 100 Mbps. Como a interface de rede da plataforma ZYBO possui
capacidade de comunicao a 1 Gbps, aproveitou-se a oportunidade para criar um link
entre controlador e switch nesta velocidade, sendo que o switch possui 24 portas Ethernet
de 1 Gbps, possibilitando maior largura de banda nesta comunicao. A porta utilizada
para conexo com o controlador no deve estar configurada como OpenFlow, ou seja, ela
deve estar fora da VLAN utilizada para este fim. Para configurar a interface do switch
para gerncia e conexo com o controlador, foi criada uma VLAN especfica, em que o
IP de conexo foi configurado e o protocolo OpenFlow desabilitado. Para realizar a cone-
xo entre switch e controlador, foi configurada uma rede lgica independente, utilizando
conexo TCP na porta 6653. Esta porta, tornou-se padro para o OpenFlow a partir da
verso 1.4 do protocolo. Feitas as configuraes, ao inicializar a aplicao OpenMul, a
conexo entre switch e controlador realizada, possibilitando a execuo das lgicas de
segurana implementadas.
do fluxo de dados no switch OpenFlow, foi projetado um software, para ser executado no
controlador OpenMul, que identifica a mensagem GOOSE, realiza verificaes de segu-
rana e autoriza ou bloqueia o seu envio aos IEDs subscriber. Ao estabelecer uma conexo
entre controlador e switch, o controlador, proativamente, cadastra na tabela de fluxos do
switch uma entrada, especificando que o switch deve encaminhar todas as mensagens do
tipo 0x88b8 GOOSE para o controlador. Neste caso, quando mensagens deste tipo che-
garem no switch, elas sero encapsuladas em um pacote OpenFlow Packet-in e enviadas
ao controlador. A aplicao l2switch do OpenMul foi modificada para identificar o tipo
de mensagem GOOSE e executar as funes de verificao de segurana implementadas.
A identificao das mensagens falsas na rede de comunicao foi realizada, atravs
dos campos que compem o goosePdu. O goosePdu definido pela Abstract Syntax Nota-
tion (ASN).1 Basic Encoding Rules (BER) como um padro para a descrio de protocolos
abertos. A ASN.1 fornece uma notao para definir a forma das mensagens, juntamente
com regras de codificao que especificam os bits na comunicao, para qualquer mensa-
gem que for definida utilizando uma sequncia Type Length Value (TLV) (DUBUISSON,
2001). A Figura 24 apresenta um trecho da especificao ASN.1 BER para mensagens
GOOSE (IEC61850 (2011)).
nho que delimita o comprimento do valor, e, em seguida, o valor em uma codificao que
determina a informao a ser enviada. Este padro, prev extensibilidade, utilizando uma
abordagem generalizada descrita na ASN.1 BER, para cobrir grupos de grupos a qualquer
profundidade, conforme ilustrado pela Figura 25.
Para o desenvolvimento de uma aplicao que faz a leitura dos campos que compem
o goosePdu, foi utilizada a biblioteca de cdigo fonte aberto ASN1C implementada por
Walkin (2003). A biblioteca gera cdigo em linguagem C, atendendo as especificaes do
cdigo ASN.1. A partir do cdigo C gerado pela biblioteca, foram implementadas funes
no controlador OpenMul, para identificar as mensagens GOOSE, decodificar os campos
desta mensagem, realizar verificaes de segurana e classific-las como verdadeira ou
falsa. As mensagens verdadeiras so encaminhadas para os IEDs subscribers, as mensagens
falsas so descartadas no controlador.
O controlador OpenMul possui uma aplicao chamada l2switch, que aprende os ende-
reos MAC dos dispositivos que se comunicam, atravs do switch controlado, e preenche
sua tabela de fluxos, relacionando o endereo MAC de destino com a porta de destino dos
pacotes, para que os novos pacotes sejam encaminhados diretamente para o referido dis-
positivo. Esta aplicao foi modificada para identificar a mensagem GOOSE, atravs do
tipo 0x88b8 e executar a funo de verificao de segurana, enviando como parmetros:
o pacote de rede, sem o cabealho Packet-in do OpenFlow, o tamanho deste pacote e um
identificador do switch.
O cdigo C com as funes de verificao de segurana e o gerado pela biblioteca
ASN1C foram includos na biblioteca do OpenMul, de forma que, pela incluso do cabe-
alho na aplicao l2switch, foi possvel sua execuo. Inicialmente, a funo decodifica
os campos fixos da mensagem GOOSE, desde o endereo MAC de destino, at o campo
Reserved 2 ; posteriormente, utiliza-se a funo ber_decode do cdigo gerado pela biblio-
teca ASN1C, para decodificar o goosePdu. Com todos os campos identificados, iniciou-se
a verificao de segurana.
Para a realizao de uma anlise temporal das mensagens GOOSE na rede, foi cri-
Captulo 4. Sistema de Deteco e Bloqueio de Ataques man-in-the-middle: Abordagem Utilizada,
90 Tempos Envolvidos e Lgica Implementada
ado um buffer circular que armazena os dados da mensagem e uma estampa de tempo,
para cada switch conectado ao controlador e para cada IED publisher conectado na rede
Figura 26.
Descarte
GOOSE
ID VLAN Priority ID VLAN Priority
ab 408 ab 408
APPID Length APPID 86 Length
86 02 (ID)87 TAMANHO
TIPO 01 02 (ID)87 TAMANHO
TIPO 01
80 sqNum
23 81
VALORtest
02 80 sqNum
23 81
VALORtest
02
gocbRef
88 timeAllowed
01 (ID)
TIPO 89 TAMANHO
01 gocbRef
88 timeAllowed
01 (ID)
TIPO 89 TAMANHO
01
82 confRev
29 83VALOR
ndsCom
07 82 confRev
29 83VALOR
ndsCom
07
datSet goID
allData
8a 01 datSet goID
allData
8a 01
84 numDatSetEntries
08 85 01 84 numDatSetEntries
08 85 01
t stNum t stNum
goosePdu goosePdu
timeStamp timeStamp
Quando um IED est configurado para enviar mensagens GOOSE utilizando o proto-
colo IEC-61850, so enviadas, periodicamente, mensagens rede de comunicao com o
DATA-SET em estado inicial, informando que o SE est em estado normal de operao. A
norma IEC-61850 e os testes realizados demonstraram que, na composio da mensagem
GOOSE, existem campos que seguem uma cadncia e outros que assumem valores que
no devem ser alterados, que so uma situao tpica deste estado de execuo do SE.
Quando ocorre algum evento, juntamente com o dado que enviado no DATA-SET,
alguns campos so alterados, caracterizando a mudana realizada na mensagem, infor-
mando que decises devem ser tomadas, diante da referida ocorrncia. Neste caso, atravs
4.6. Deteco de Mensagem Falsa por Anlise dos Valores Esperados nos Campos da Mensagem
GOOSE 91
dos valores esperados nestes campos, a situao de evento caracterizada. Para ambas
as situaes, outros campos no devem ser alterados, tendo em vista que so campos
que caracterizam o emissor, a VLAN atravs da qual est ocorrendo a comunicao, a
formao do DATA-SET e as configuraes que a mensagem recebeu. Neste caso, uma
nova verificao realizada, para analisar se no existem mensagens na rede com valores
diferentes do esperado.
Para que estes valores alterem, a comunicao deve ser interrompida, caracterizando
outra situao pertinente de verificao que analisada em paralelo s situaes supra-
citadas. Cabe ressaltar que esta situao de incio da comunicao, ou de parada para
realizao de configuraes deve ocorrer e, logo em seguida, a mensagem posterior deve
ser enquadrada em situao normal de operao ou de evento no SE.
A Figura 27 ilustra o fluxo de execuo do algoritmo implementado.
Incio ou
parada da
comunicao
Sim Mensagem
GOOSE
Mensagem Verdadeira
Incio GOOSE Fim
Capturada Situao Mensagem
normal de GOOSE
No Falsa
operao
Vericaes
comuns para ambas
as situaes
Situao de
evento no Sistema
Eltrico
Tabela 3 Relao dos valores esperados nos campos da mensagem GOOSE com a situao de funcio-
namento do SE.
Dois dos campos da mensagem GOOSE que caracterizam uma situao de incio ou
interrupo da comunicao, para a realizao de configuraes ou manuteno nos equi-
pamentos so o stNum e o sqNum. Estes campos iniciam com o valor 1, toda vez que
a comunicao interrompida. Outro campo que caracteriza o incio ou a parada da
comunicao o timeAllowedtoLive. Este campo define o tempo de espera, at a prxima
mensagem. Para este caso, a diferena entre o tempo atual e o tempo de chegada da
ltima mensagem deve ser maior que o seu valor, indicando que o tempo de espera para
a prxima replicao foi expirado, necessitando de um novo reinicio. Para o caso de rea-
lizao de configuraes no equipamento, o campo confRev deve possuir um valor maior
que o anterior, caso contrrio, seu valor deve permanecer o mesmo.
Para que a mensagem seja classificada como situao de incio ou parada da comunica-
o para configurao, todos os testes supracitados devem ter verdadeiro como resposta.
Emissor
Receptor
RTDS
Real-Time Digital Simulator
Receptor
RTLinux
No primeiro cenrio, um IED foi configurado como publisher e os outros dois como
subscribers da comunicao. A lgica de gerao de pulsos foi colocada em execuo, onde
foi possvel acompanhar o andamento do teste, observando o led dos IEDs subscribers. O
controlador foi configurado para gravar, no arquivo de log do SO, a classificao realizada
para cada uma das mensagens. Para verificar a qualificao dada pelo controlador s
mensagens, foi examinado o arquivo de log. Aps o fim da execuo da lgica de gerao de
pulsos, as mensagens capturadas no microcomputador foram replicadas na rede, utilizando
o software TCPreplay, conforme teste realizado na Subseo 4.2.1.
Neste teste, o invasor simula ser o IED publisher da comunicao que informa as
transies realizadas na lgica de gerao de pulsos, porm, existe um IED publisher com
as mesmas configuraes, mas em uma cadncia de envio diferente, que informa situao
normal de operao.
Para realizar outro teste de validao da aplicao, desenvolveu-se um programa em
linguagem C para capturar as mensagens, ao fim da lgica de gerao de pulsos, alterar
o DATA-SET para verdadeiro, incrementar o stNum, atribuir o valor 0 (zero) ao sqNum
e replicar a mensagem na rede. Neste caso, o invasor simula ser um IED publisher que
7
RTDS um simulador digital de SE em tempo real, com passo de integrao de 50 (MAGUIRE;
GIESBRECHT, 2005).
4.6. Deteco de Mensagem Falsa por Anlise dos Valores Esperados nos Campos da Mensagem
GOOSE 97
informa um evento, porm, existe outro IED publisher com as mesmas configuraes, que
informa situao normal de operao. Os trs casos de teste foram repetidos, configurando
o RTDS como publisher e os IEDs como subscribers. A Tabela 4 apresenta os testes e a
resposta do controlador para os cenrios configurados.
De acordo com (IEC61850, 2003a), uma grande subestao de transmisso possui mais
que 10 elementos, e uma grande subestao de distribuio possui 20 elementos ou mais.
Considerando cada elemento como sendo um IED subscriber, um novo teste para validao
da operao do controlador, em grandes subestaes, foi realizado. Para simular o trfego
de mensagens GOOSE em uma grande subestao, foi instalado, em um computador com
duas placas de rede, o emulador de redes Mininet8 e o software switch OpenvSwitch 9 .
Executando-se o script do emulador, foi configurada uma rede com 30 computadores
conectados a 3 switches (10 em cada switch) (Figura 29).
A plataforma ZYBO com o controlador em execuo foi interligada ao computador
com a Mininet, atravs da placa de rede. O computador responsvel pela realizao dos
8
Mininet, um sistema para prottipo rpido de grandes redes. Ela possibilita a implementao de
SDNs sobre os recursos de um nico computador (LANTZ; HELLER; MCKEOWN, 2010).
9
OpenvSwitch um switch virtual multicamadas projetado para permitir a automatizao de rede,
atravs de uma extenso programvel, apoiando interfaces de gerenciamento padro e protocolos
(OPENVSWITCH, 2014).
Captulo 4. Sistema de Deteco e Bloqueio de Ataques man-in-the-middle: Abordagem Utilizada,
98 Tempos Envolvidos e Lgica Implementada
Mininet
ataques tambm foi conectado ao que hospeda a rede emulada, atravs da outra interface
de rede.
Para possibilitar a comunicao entre os computadores e a ZYBO, foi utilizado o
OpenvSwitch, software que permite configurar os switchs emulados, o que possibilitou a
incluso das interfaces de rede do computador ao primeiro switch emulado. Realizadas
as interligaes fsicas e lgicas entre os dispositivos, os switchs OpenFlow emulados se
conectaram ao controlador de rede OpenMul, ao que possibilitou analisar a segurana
das mensagens GOOSE atravs da aplicao desenvolvida. Cada computador foi utilizado
como um IED publisher. Usando a biblioteca libiec61850 (ZILLGITH, 2016), foram geradas
mensagens GOOSE em cada IED, seguindo a lgica de gerao de pulsos descrita na
Seo 4.2, durante 30 minutos. Transcorrido este tempo, os IEDs passam a enviar a
mensagem GOOSE com o valor booleano do DATA-SET com valor falso, indefinidamente.
Utilizando o computador interligado rede emulada, as mensagens do teste com a
lgica de gerao de pulsos foram capturadas. Aps finalizar a sequncia de eventos do
referido teste, a captura foi interrompida e as mensagens capturadas foram salvas no
computador e reenviadas na rede, utilizando o software TCPreplay conforme se procedeu
na Subseo 4.2.1.
Para realizar o terceiro pentest foi utilizado o programa em linguagem C desenvolvido
para capturar as mensagens ao fim da lgica de gerao de pulsos, alterar o DATA-SET
para verdadeiro, incrementar o stNum, atribuir o valor 0 (zero) ao sqNum e replicar a
mensagem na rede, conforme descrito na Subseo 4.2.2. A Tabela 5 apresenta os testes
e a resposta do controlador para os cenrios configurados.
Cabe ressaltar que a implementao descrita no ir resolver, totalmente, os proble-
mas de falsificao de mensagens GOOSE na rede de comunicao. Um intruso com
conhecimento do protocolo, analisando os valores das mensagens GOOSE temporalmente
na rede, pode gerar uma mensagem com valor correto para os campos. importante
destacar que, ao detectar uma mensagem falsa, o alerta inserido no log seja investigado,
pois em algum momento, o intruso pode criar uma mensagem que esteja com os valores
dos campos corretos para a execuo da informao contida na mensagem adulterada.
4.7. Ferramenta de Medio 99
Figura 30 NetFPGA
SDRAM tem capacidade total de 64 MB. Usando extremos 200 MHz do clock, a memria
fica com uma largura de banda de 12.800 Mbps (Figura 31).
User
Data
Input Arbiter
Path
Output Port
Lookup
Output Queues
A primeira fase do pipeline composta por filas de recepo Rx que recebem paco-
tes das portas Ethernet e PCI sobre DMA, proporcionando uma interface unificada de
recepo dos pacotes para os demais mdulos. Estas filas so conectadas em um inv-
lucro chamado User Data Path que contm as etapas de processamento. No User Data
4.7. Ferramenta de Medio 103
Path, o pacote atravessa o primeiro mdulo Input Arbiter que decide qual fila de entrada
ser encaminhada para o mdulo seguinte, isto , o Output Port Lookup responsvel por
decidir a porta de sada do pacote. Aps realizar esta deciso, o pacote entregue ao
mdulo Output Queues que armazena o pacote, na fila de sada correspondente porta
de sada, at que a fila de transmisso Tx esteja pronta para transmiti-lo. As filas Tx
so anlogas s filas Rx, porm, estas so utilizadas para envio dos pacotes. As filas Tx
enviam os pacotes no somente para as portas Ethernet, mas, tambm, para as filas PCI
DMA. Para cada um destes mdulos existe um conjunto de registros com informaes
sobre o estado e os sinais de controle de acesso ao mdulo (STANFORD, 2006).
RTDS
Real-Time Digital Simulator
packet generator para injetar e medir o trfego. O switch OpenFlow recebe as mensa-
gens, encaminha-as para o controlador, recebe o retorno do controlador e encaminha a
mensagem para a NetFPGA, em uma interface diferente.
Packet Generator
RTLinux
Configurao Valor
Modo proative
Rate-limit 10.000.000
kbit/s
Prioridade dos filtros OpenFlow 4
Strip-fcs disabled
Max Pending Requests 1024
Minimum Idle Timeout 10
Idle Timeout Mode reject
CPU Protocol Priority enable
CPU Protocol Priority OpenFlow 7
o o parmetro rate-limit foi configurado para o maior valor que o mesmo pode receber.
Como este parmetro limita a taxa das mensagens Packet-in, optou-se por deix-lo
com este valor alto, para que ele no limite a troca de mensagens entre switch e
controlador. Caso na realizao dos testes se descubra algum gargalo, deseja-se que
este no seja causado por um parmetro do switch, mas, sim, pelos recursos de
hardware ou de rede utilizados;
o a prioridade dos filtros OpenFlow foi configurada para o seu valor mximo, ou seja,
o switch ir dar preferncia para o processamento das filas do OpenFlow;
o o parmetro strip-fcs foi desabilitado, com o intuito de remover mais este proces-
samento do switch. Como o Frame Check Sequence no influencia o funcionamento
da aplicao, sua presena, ou ausncia, no Packet-in no ser notada;
o o Max Pending Requests foi configurado para o seu valor mximo, por recomendao
do fabricante. Este parmetro ter grande importncia em uma rede que possui
constantes modificaes na tabela de fluxos, o que no o caso da presente aplicao;
o o parmetro Minimum Idle Timeout foi configurado para 10 segundos, por ser o
valor padro mnimo para este parmetro;
o o Idle Timeout Mode foi configurado para reject com o intuito de que no onerar o
switch com mais este processamento;
o por fim, o CPU Protocol Priority OpenFlow foi configurado para o seu maior valor.
lues (CSV). Com as informaes em uma planilha eletrnica, o tempo dos pacotes so
subtrados e o maior valor, o menor, a mdia, a moda e o desvio padro so calculados.
Aps o clculo das 10 repeties, os dados so agrupados em uma nica planilha onde foi
construdo um histograma. Para a construo do histograma, necessria uma classifica-
o dos dados por distribuio de frequncias. Para a realizao desta seriao, deve-se
dividir a amplitude dos dados em intervalos de classe de tamanho igual, de forma a possi-
bilitar uma informao visual dos valores que mais se repetem, bem como, a disperso dos
tempos e o tamanho das classes, para que se classifique o tempo gasto pela implementao
de segurana realizada via switch OpenFlow. Hines et al. (2006) sugerem que a escolha do
nmero de intervalos de uma classe deva ser menor ou igual raiz quadrada do nmero
de observaes.
Atendendo a esta especificao e analisando o conforto visual do grfico apresentado,
foram definidas 50 classes de mesmo tamanho. Os valores foram categorizados e contados
de forma a quantizar o nmero de valores que pertencem a cada uma das classes. Alm
do histograma, foi apresentada no grfico a porcentagem da frequncia acumulada dos
dados (Figura 36).
Frequncia Acumulado%
800 120%
700
100%
600
Porcentagem Acumulada
80%
500
Quantidade
400 60%
300
40%
200
20%
100
0 0%
0,005
0,121
0,237
0,353
0,469
0,585
0,701
0,817
0,933
1,049
1,165
1,281
1,397
1,513
1,629
1,745
1,861
1,977
2,093
2,209
2,325
2,441
2,557
2,673
2,789
2,905
3,021
3,137
3,253
3,369
3,486
Mais
Tempo em (s)
Figura 36 Histograma do tempo de trfego para verificar a segurana das mensagens GOOSE utilizando
OpenFlow.
Tabela 7 Resultado estatstico do tempo de trfego para verificar a segurana das mensagens GOOSE
utilizando OpenFlow.
Clculo Valor
Maior 3,602 s
Menor 0,005 s
Mdia 1,357 s
Moda 0,026 s
Desvio Padro 0,905 s
Mdia + Desvio Padro 2,262 s
Mdia - Desvio Padro 0,451 s
3,5
2,5
Tempo em (s)
1,5
0,5
0
0 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Mensagem
Figura 37 Tempo de trfego para verificar a segurana das mensagens GOOSE utilizando OpenFlow.
Observa-se, neste grfico, que existem linhas de tendncia que demonstram atrasos
ocorridos durante o processamento. Nota-se que estes padres horizontais que se apre-
sentam de forma paralela so caractersticos de latncias de equipamentos que realizam
determinados processamentos em janelas de execuo variadas no tempo. Outro fator
que corrobora com os comportamentos observados so as filas dos equipamentos. Neste
contexto, cabe investigar em qual equipamento est o atraso e o que os est provocando.
Com as investigaes realizadas at o momento, conclui-se que para a situao medida, a
implementao deste sistema, em uma rede da subestao, totalmente invivel. A faixa
do tempo de resposta est muito acima dos 4 milissegundos recomendados para o trfego
das mensagens GOOSE.
Captulo 4. Sistema de Deteco e Bloqueio de Ataques man-in-the-middle: Abordagem Utilizada,
110 Tempos Envolvidos e Lgica Implementada
o 127 mensagens;
expirao dos fluxos recebidos, ele determina o tempo de atualizao dos contadores,
deixando-os visveis para consulta do controlador a cada min-idle-timeout dividido por 2,
segundos. O valor mnimo padro para este parmetro de 10 segundos. Ele foi ajustado
para 1 segundo, o valor mnimo que ele capaz de assumir, porm, o fabricante alerta que
cenrios com escalabilidade de fluxos, valores abaixo de 10 segundos no so recomenda-
dos, devido elevada carga de processamento (DATACOM, 2014). As demais configuraes
do switch foram mantidas, conforme a Tabela 6. O conjunto dos 10 testes com as mesmas
1.000 mensagens GOOSE foram repetidos. O histograma com a frequncia dos valores
medidos e a porcentagem acumulada podem ser observados na Figura 38.
Frequncia Acumulado%
450 120%
400
100%
350
Porcentagem Acumulada
300 80%
Quantidade
250
60%
200
150 40%
100
20%
50
0 0%
0,005
0,019
0,034
0,048
0,063
0,077
0,091
0,106
0,120
0,135
0,149
0,163
0,178
0,192
0,206
0,221
0,235
0,250
0,264
0,278
0,293
0,307
0,322
0,336
0,350
0,365
0,379
0,394
0,408
0,422
0,437
Mais
Tempo em (s)
Figura 38 Histograma do tempo de trfego para verificar a segurana das mensagens GOOSE com
ajustes no switch OpenFlow.
Tabela 8 Resultado estatstico do tempo de trfego para verificar a segurana das mensagens GOOSE
com ajustes no switch OpenFlow.
Clculo Valor
Maior 0,451 s
Menor 0,005 s
Mdia 0,203 s
Moda 0,026 s
Desvio Padro 0,122 s
Mdia + Desvio Padro 0,326 s
Mdia - Desvio Padro 0,080 s
Analisando os resultados deste teste, pode-se observar que a variao do tempo diminui
Captulo 4. Sistema de Deteco e Bloqueio de Ataques man-in-the-middle: Abordagem Utilizada,
112 Tempos Envolvidos e Lgica Implementada
com relao ao primeiro teste, porm, ela ainda continua alta. Para verificar se os resul-
tados esto mais homogneos, gerou-se tambm o grfico da quantidade de mensagens em
funo do tempo (Figura 39).
0,5
0,45
0,4
0,35
0,3
Tempo em (s)
0,25
0,2
0,15
0,1
0,05
0
0 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
Mensagem
Figura 39 Tempo de trfego para verificar a segurana das mensagens GOOSE utilizando configuraes
ajustadas do OpenFlow.
o 134 mensagens;
500 100%
Porcentagem Acumulada
400 80%
Quantidade
300 60%
200 40%
100 20%
0 0%
6,280
6,296
6,313
6,330
6,347
6,363
6,380
6,397
6,414
6,430
6,447
6,464
6,481
6,498
6,514
6,531
6,548
6,565
6,581
6,598
6,615
6,632
6,649
6,665
6,682
6,699
6,716
6,732
6,749
6,766
6,783
Mais
Tempo em (s)
Figura 40 Histograma do tempo de trfego para mensagens GOOSE autorizadas na tabela de fluxos do
switch OpenFlow.
Tabela 9 Resultado estatstico do tempo de trfego para mensagens GOOSE autorizadas na tabela de
fluxos do switch OpenFlow.
Clculo Valor
Maior 6,810 s
Menor 6,280 s
Mdia 6,553 s
Moda 6,384 s
Desvio Padro 0,136 s
Mdia + Desvio Padro 6,690 s
Mdia - Desvio Padro 6,417 s
Packet Generator
RTLinux
Figura 41 Ilustrao da comunicao NetFPGA plataforma ZYBO organizada para realizao dos
testes.
O conjunto dos 10 testes com as mesmas 1.000 mensagens GOOSE foram repetidos.
Porm, desta vez, a aplicao Packet Generator executada na NetFPGA para medir o
trfego, ir enviar para o software e receber do software a mensagem processada no sistema
de segurana. O histograma com a frequncia dos valores medidos neste teste, podem ser
observados na Figura 42.
Os demais valores calculados neste teste esto listados na Tabela 10.
700
100%
600
Porcentagem Acumulada
80%
500
Quantidade
400 60%
300
40%
200
20%
100
0 0%
511,00
512,81
514,61
516,42
518,23
520,03
521,84
523,65
525,45
527,26
529,07
530,87
532,68
534,48
536,29
538,10
539,90
541,71
543,52
545,32
547,13
548,94
550,74
552,55
554,36
556,16
557,97
559,77
561,58
563,39
565,19
Mais
Tempo (s)
Figura 42 Histograma do tempo de execuo da verificao de segurana das mensagens GOOSE sem
a Interferncia do Switch.
o 267 mensagens;
Observa-se, neste caso, que, mesmo submetido a alto trfego, o software capaz de
processar uma grande quantidade de mensagens dentro do tempo de 4 milissegundos defi-
nidos pela IEC-61850. O encaminhamento da mensagem realizado no switch, sem passar
pelo controlador e o processamento da aplicao de verificao da segurana, possuem
4.8. Avaliao do Tempo de Processamento da Deteco e Bloqueio de Ataques Man-in-the-middle
Utilizando o Protocolo OpenFlow 117
latncias pertinentes necessrias para trafegar mensagens GOOSE. Segundo Saikia e Ma-
lik (2014), o tempo de resposta do controlador OpenMul de 50 s por fluxo. Quando
estas trs situaes se juntam, o switch encaminha a mensagem para o controlador, o
controlador executa as verificaes de segurana e devolve a mensagem para o switch; o
atraso resultante desta medio tem apresentado latncias muito acima da soma desses
trs processos, se executados em separado. Neste nterim, props-se investigar o tempo
de resposta desta mesma aplicao, controlando um Open Virtual Switch (OVS).
o criou-se a bridge;
o o modo de falhas do OpenvSwitch foi configurado para secure, para que a comuni-
cao somente acontea, se o switch estiver conectado a um controlador OpenFlow;
e
Frequncia Acumulado%
1200 120%
1000 100%
Porcentagem Acumulada
800 80%
Quantidade
600 60%
400 40%
200 20%
0 0%
1,397
1,422
1,447
1,473
1,498
1,523
1,549
1,574
1,599
1,625
1,650
1,675
1,701
1,726
1,751
1,777
1,802
1,828
1,853
1,878
1,904
1,929
1,954
1,980
2,005
2,030
2,056
2,081
2,106
2,132
2,157
Mais
Tempo em (ms)
Figura 43 Histograma do tempo de trfego para verificar a segurana das mensagens GOOSE utilizando
OpenvSwitch.
Tabela 11 Resultado estatstico do tempo de trfego para verificar a segurana das mensagens GOOSE
utilizando OpenvSwitch.
Clculo Valor
Maior 2,183 ms
Menor 1,397 ms
Mdia 1,824 ms
Moda 1,762 ms
Desvio Padro 0,181 ms
Mdia + Desvio Padro 2,005 ms
Mdia - Desvio Padro 1,643 ms
Para analisar o throughput deste novo cenrio, repetiu-se o processo realizado ante-
riormente, para proceder a este novo ambiente configurado. A mensagem de 1500 bytes
foi enviada para passar pelo OpenvSwitch, encaminhar para o controlador na plataforma
ZYBO que analisa a segurana das mensagens e encaminha-as de volta para o OpenvSwitch
que envia a mensagem pela outra porta. As mensagens foram enviadas a uma taxa de
100 Mbps, sem atrasos entre os pacotes, para diferentes quantidades de mensagens. O
melhor caso, sem perder pacotes e para a maior quantidade de mensagens foi:
o 410 mensagens;
Observa-se, neste caso, que, mesmo submetido a alto trfego, o OpenvSwitch conec-
tado ao OpenMul, executando as verificaes de segurana no controlador, processa as
mensagens GOOSE em um tempo coerente com a norma IEC-61850.
o utilizao de mltiplas tabelas com um pipeline mais flexvel, na verso 1.0 o pipeline
OpenFlow poderia internamente ser mapeado para vrias tabelas, mas elas sempre
agiam logicamente como uma nica tabela;
o suporte ao IPv6;
Com a incluso destes recursos, o protocolo tem se tornado cada vez mais flexvel e
robusto. A atualizao do protocolo contnua, a ltima verso lanada a 1.5, trazendo
outras novidades, abrangendo, cada vez mais, dispositivos e recursos da rede de comuni-
cao. Muitos equipamentos que implementam este protocolo necessitam de uma maior
maturidade para uso, em ambiente com mensagens de tempo crtico. Pfeiffenberger e Du
(2014) mediram a latncia de switches OpenFlow e identificaram latncias em torno de
50 a 60 milissegundos que inviabilizam o uso de mensagens GOOSE.
Apesar das ressalvas levantadas, o uso do protocolo OpenFlow, nas redes de comuni-
cao das subestaes de energia eltrica, promissor. Lopes et al. (2015) por exemplo,
propem uma srie de configuraes e implementaes, explorando os recursos do proto-
colo. Neste trabalho, no foram abordadas todas as mensagens do protocolo IEC-61850,
porm, direcionando os experimentos para que se obtivesse segurana na comunicao por
mensagens GOOSE, foram utilizadas as seguintes configuraes:
o separao dos grupos multicast por VLANs, uma recomendao da norma IEC-
61850, utilizando a tag VLAN ID e o tipo da mensagem para criao dos fluxos no
switch OpenFlow.
Captulo 5
Predio do Trfego de Rede para
Deteco de Ataques DDOS
Segundo Levesque et al. (2012), um dos desafios significativos das Smart Grids a
construo de uma nova infraestrutura de comunicao para conectar a rede de distri-
buio de energia e os clientes, de maneira segura. Ataques DDOS podem degradar a
disponibilidade da rede. Os autores propem um algoritmo adaptativo para gerenciar a
confiabilidade e latncia da rede. Iminentes ataques na infraestrutura das Smart Grids
podem interromper as operaes e a disponibilidade das informaes (GUO et al., 2015). O
artigo discute ataques DDOS na rede de comunicao Advanced Metering Infrastructure
(AMI) onde so analisadas as etapas deste tipo de ataque e potenciais tecnologias de
defesa.
Wang e Lu (2013) discutem segurana ciberntica com foco nos requisitos de segu-
rana, vulnerabilidades da rede, contramedidas aos ataques e protocolos de segurana da
comunicao, nas arquiteturas das Smart Grids.
DDOS abordado sob duas vertentes: ataques camada de rede com inteno de
gerar uma exausto nos recursos, e a camada fsica com o intuito de congestionar as redes
de comunicao. Filtragem de pacotes e limitao do trfego so tcnicas de mitigao
destes ataques utilizadas, atualmente. As ameaas de ataques DDOS so iminentes nas
redes de comunicao do sistema eltrico. Cabe comunidade cientfica, desenvolver
tcnicas mais eficientes para diminuir o impacto desses ataques s redes de comunicao.
Neste contexto, a anlise do trfego utilizando ferramentas inteligentes, pode apresentar
resultados interessantes na deteco desta vertente de ataques cibernticos.
Haviluddin e Alfred (2015), em seu artigo, afirmam que a anlise de sries temporais e
o uso de ferramenta para aprendizagem do trfego da rede so importantes para garantir a
qualidade dos servios fornecidos. Nesse trabalho apresentam uma modelagem, utilizando
redes NARX para previso dos conjuntos de dados do trfego de rede.
Andrade et al. (2014) apresentam uma previso da demanda de energia eltrica em
curtssimo prazo baseada em RNAs NARX. Procedem, tambm, a uma comparao
com outras RNAs de predio, demonstrando a superioridade da rede recorrente NARX
para esta classe de problemas. Por sua vez, Abdel-Galil, El-Saadany e Salama (2003)
apresentam uma rede neural Adaline como um preditor de sinal adaptativo. Atravs de
um treinamento online, esta RNA utilizada como detector de distrbios de qualidade
de energia eltrica baseado no erro calculado no preditor.
Para Gu, Liu e Feng (2011), detectar ataques rede de comunicao fundamental
para proteger a informao. As RNAs tm recebido especial ateno, por fornecerem
um reconhecimento inteligente da intruso. No entanto, a taxa de deteco de intruso
, frequentemente, afetada pelos parmetros da estrutura das RNAs. Uma concepo
inadequada do modelo da RNA pode resultar em uma baixa preciso de deteco. Para
superar este problema, os autores apresentam uma abordagem de deteco de intruso
diferenciada baseada em um Perceptron multicamadas (PMC).
Observou-se, na literatura pertinente, que o uso de tcnicas inteligentes tem contri-
5.2. Redes Neurais Artificiais 125
o reconhecimento de padres;
o otimizao de sistemas.
O PMC uma RNA supervisionada composta por uma camada de entrada, uma ou
mais camadas de neurnios escondidas, e uma camada neural de sada. O algoritmo de
aprendizado utilizado no PMC denominado backpropagation. Este algoritmo consiste na
propagao dos valores de entrada para a frente, camada a camada, at que se obtenha os
valores nos neurnios da camada de sada calculados com os pesos sinpticos. Os valores
de sada so comparados com os valores desejados e, depois, calculado o erro. Atravs
deste erro, os pesos sinpticos so ajustados para trs, camada a camada, at a primeira
camada de neurnios. Findado o ajuste dos pesos, o processo se reinicia, para que novos
valores de sada sejam calculados, conforme ilustra a Figura 44.
Para o desenvolvimento do sistema inteligente descrito neste captulo foram analisados
e classificados dados do trfego da rede em situao de execuo normal, evento e ataque,
compondo um conjunto de treinamento que foi utilizado em um PMC. Uma vez treinados,
os dados da RNA foram coletados, embarcados na plataforma Zynq Board (ZYBO) e
utilizados para a classificao do trfego gerado por mensagens GOOSE.
O presente captulo descreve um sistema inteligente de previso do trfego gerado por
mensagens GOOSE, na rede de comunicao das subestaes. Esta predio do trfego
5.2. Redes Neurais Artificiais 127
1 1
2 2 1
Entradas .
do PMC .. . Sadas
. . do PMC
3 3
. . m
Camada
de entrada . . Camada
neural
. . de sada
n1 n2
a a
1 Camada 2 Camada
neural neural
escondida escondida
utilizada como referncia para a deteco de ataques do tipo DDOS que tm como obje-
tivo deixar equipamentos, e at mesmo toda a rede de comunicao, inoperantes, atravs
da gerao de uma sobrecarga de pacotes criada pelo intruso. O ataque consiste em
invadir mquinas com acesso rede a ser atacada e coorden-las para que faam, conjun-
tamente, requisies ao dispositivo alvo. Como todo equipamento tem uma capacidade
limitada para atender requisies, ele deixar de enviar e receber mensagens legtimas
que deveriam trafegar pela rede, no momento do ataque. As mquinas zumbis iro
imputar elevado trfego na rede de comunicao que ir divergir do trfego previsto pelo
sistema inteligente, tornando esta previso uma ferramenta interessante para a deteco
de ataques DDOS.
Inicialmente, vale destacar que o sistema foi desenvolvido para ser executado junta-
mente com o protocolo OpenFlow. Utilizando a configurao sugerida na Seo 4.9,
possvel obter o trfego de cada IED publisher, atravs dos fluxos cadastrados no switch
para dividir os grupos multicast. Neste nterim, foi examinado o trfego gerado pela
mensagem GOOSE, individualmente.
128 Captulo 5. Predio do Trfego de Rede para Deteco de Ataques DDOS
Packet Capture (PCAP). Utilizando o software tcpstat, que retorna estatsticas de trfego
na rede ou em arquivos PCAP, foram medidos os bits por segundo (bps) trafegados em um
determinado intervalo de tempo (HERMAN; COLOGNE, 2016). Como as mensagens foram
geradas a cada 1 segundo, este mesmo intervalo foi utilizado para obter as medies do
trfego.
Para utilizar os dados medidos como conjunto de treinamento para a RNA, criou-se
subconjuntos de 70 valores para cada variao medida. Estes valores foram utilizados
como conjunto de treinamento para o sistema de predio desenvolvido, utilizando uma
RNA NARX.
o Os valores atrasados da sada, ou seja, (), ( 1), ..., ( + 1), sobre os quais
feita a regresso da sada do modelo ( + 1) (HAYKIN, 2001).
Com isso, a rede referida como um modelo auto-regressivo no-linear com entradas
exgenas NARX. O comportamento dinmico do modelo NARX descrito pela Equa-
o 1:
u(n)
z-1
u(n - 1)
z-1
u(n) u(n - 2)
..
.
.. y(n + 1)
z-1 .
u(n - du + 1)
..
.
u(n - dy + 1)
z-1
.. z-1
.
y(n)
y(n - 1)
z-1
y(n)
2
= (2)
Janela Janela
n n+1
Tempo (s)
De posse dos dados de treinamento, foi realizada uma validao cruzada. Os dados de
teste e verificao foram gerados com novas medies do trfego, na rede para mensagens
com DATA-SET possuindo valores do tipo float-point. Toda a extenso de tamanho das
mensagens GOOSE foi novamente medida, e os valores foram re-amostrados em 70 valores
para cada variao medida, conforme realizado no conjunto de treinamento.
Foram criados 61 arquivos utilizando os dados do conjunto de teste, variando a janela
dos valores da camada de entrada de 10 a 70. As topologias foram avaliadas calculando-se
o EQM dado pela Equao 3 (SILVA; SPATTI; FLAUZINO, 2010)
132 Captulo 5. Predio do Trfego de Rede para Deteco de Ataques DDOS
1
= ( )2 (3)
=1
e o Erro Percentual Mdio Absoluto (MAPE) Equao 4 para o conjunto de teste citado
1
= 100% (4)
=1
Normalizao e formatao
-1 dos arquivos de treinamento 1
10 11 70
Leitura do trfego
gerado pela
mensagem GOOSE
...
boolean
Execuo dos treinamentos
TXT 10 TXT 11 TXT 70
5 5 5 5 5 5
...
2 2 1 2 2 1 2 2 1
.. .. ..
. 3 3
. 3 3
. 3 3
. . . . . .
. . . . . .
. . . . . .
25 25 25 25 25 25
EQM
MAPE
5 5
2 2 1
A
..
. 3 3
. .
. .
. .
25 25
Z
Leitura do trfego Teste das Classicao das
gerado pela 26.901 topologias 10 melhores
mensagem GOOSE
oat-point
5 5 5 5
EQM
..
2 2 1
..
2 2 1
MAPE
A
. 3 3
. 3 3
. . . .
. . . .
. . . .
25 25 25 25
Z
5 novos treinamentos Teste com as 50 Classicao das
para cada uma das novas RNAs 5 melhores
10 melhores topologias treinadas
o trabalhar com uma janela de entrada menor, o que denota uma maior eficincia
na predio, ou seja, necessita-se de menos medies para a previso dos passos
134 Captulo 5. Predio do Trfego de Rede para Deteco de Ataques DDOS
posteriores da rede.
0,09
0,08
0,07
Erro Quadrtico Mdio
0,06
0,05
0,04
0,03
0,02
0,01
0
1
21
41
61
81
101
121
141
161
181
201
221
241
261
281
301
321
341
361
381
401
421
441
461
481
501
521
541
561
581
601
621
641
661
681
701
721
741
pocas
Escolhida a topologia, a curva do valor de sada da rede e do valor desejado pode ser
observada na Figura 50.
sada desejado
14000
12000
10000
Bits por segundo
8000
6000
4000
2000
0
203
3654
7105
10556
14007
17458
20909
24360
27811
31262
34713
38164
41615
45066
48517
51968
55419
58870
62321
65772
69223
72674
76125
79576
83027
86478
89929
93380
96831
100282
Amostras
Figura 50 Valores desejado e obtido por meio da predio com a RNA NARX.
5.6. Predio dos Passos da RNA 135
x31
.
.
RTLinux .
x2
x1
1 1 1 2 3 ...
X1
X2 2 2 1
.. ..
. .. .
X31 .
7
15
1 1
X1
X2
X3 2 2 1
.. ..
. .. .
Y1 .
7
15
1 1
X2
X3
X4 2 2 1
.. ..
. . .
Y2
..
7
15
No processo de estimao dos dados realizado pela RNA NARX os valores antigos so
descartados e as novas predies vo compondo a entrada da rede, at que todos os passos
de previso sejam calculados. Cabe ressaltar que a cada novo valor de trfego medido, o
processo se reinicia, ou seja, a cada segundo, utilizam-se as medies presentes no banco
de dados do trfego, para dar incio a um novo processo de predio.
Para cada passo estimado, calcularam-se o EQM e o MAPE da predio realizada, at
o limite de 5% de erro (Tabela 13).
Com erro de at 5% foram realizados 62 passos de predio. Como as leituras foram
136 Captulo 5. Predio do Trfego de Rede para Deteco de Ataques DDOS
x 10-5
18
16,383
16,131
15,876
15,621
15,367
15,112
14,859
14,601
16
14,344
14,093
13,844
13,599
13,356
13,117
12,881
12,643
14
12,409
11,953
12,18
11,727
11,504
Erro Quadrtico Mdio
11,287
11,071
10,653
10,86
10,453
12
10,075
10,26
9,893
9,716
9,54
9,226
8,941
10
8,569
8,048
8,27
7,724
7,427
7,177
6,949
8
6,777
6,396
6,55
6,217
5,835
6,02
5,676
5,506
5,185
5,35
5,059
4,926
6
4,797
4,558
4,461
4,69
4,405
4,342
4,196
4,109
4,006
4,29
0
2
10
12
14
16
18
20
22
24
26
28
30
32
34
36
38
40
42
44
46
48
50
52
54
56
58
60
62
Passos de Predio
%
6
5,059
4,989
4,919
4,848
4,778
4,708
4,637
5
4,566
4,494
Erro Percentual Mdio Absoluto
4,422
4,351
4,281
4,211
4,141
3,999
4,07
3,928
3,858
3,789
3,719
3,582
4
3,65
3,514
3,447
3,379
3,313
3,247
3,183
3,121
3,059
2,996
2,907
2,817
2,646
2,73
3
2,575
2,498
2,418
2,342
2,255
2,124
2,19
2,061
1,999
1,864
1,93
1,799
1,722
1,673
1,607
2
1,548
1,503
1,454
1,407
1,354
1,252
1,208
1,29
1,175
1,142
1,095
1,046
0
2
10
12
14
16
18
20
22
24
26
28
30
32
34
36
38
40
42
44
46
48
50
52
54
56
58
60
62
Passos de Predio
sada desejado
6530
6520
6510
bits por segundo
6500
6490
6480
6470
6460
0 0 0 0 0 0 0 0 0 4 8 12 16 20 24 28 32 36 40 44 48 52 56 60
passos de predio
| |
% = 100 (5)
na qual o valor de sada estimado pela RNA e o valor desejado. A Figura 55 ilustra
o erro relativo percentual para as 200 amostras com os eventos nos tempos descritos.
O grfico apresentado possui 4 regies bem distintas separadas por medies nas quais
o erro est em torno de 1%. Essas regies onde o erro baixo, correspondem s amostras
de situao normal de operao que no foram influenciadas pelo trfego gerado pelos
eventos. As demais regies apresentam picos e variaes bruscas do erro pela interveno
do trfego dos eventos. A primeira regio que se diferencia da situao normal, inicia no
5.7. Anlise do Erro para Situao de Evento no Sistema Eltrico 139
100%
90%
Figura 55 Erro relativo percentual para amostras com eventos no sistema eltrico.
tempo 6, correspondente ao erro gerado pelo evento inserido nesta amostra. O aumento
repentino no trfego gerou um erro de 89%, valor que diminui no segundo seguinte para
34% e fica variando entre 13 e 41%, durante 31 amostras. No segundo 38, o erro retorna
para o patamar de 1% de situao normal de operao. A variao do erro durante 31
amostras, coincide com a janela de dados utilizada na camada de entrada da RNA, ou
seja, mesmo depois que o trfego retornar situao normal de operao, a predio
continuar sob influncia do trfego gerado pelo evento, por um perodo correspondente
ao tamanho da janela de entrada dos dados na RNA.
A segunda regio, em que novos picos de erro ocorrem, inicia no tempo 43 correspon-
dente ao evento realizado nesta amostra. O comportamento do erro nos passos seguintes
ao evento muito parecido com o observado no evento anterior, porm, sem transcorrerem
as 31 amostras para que o erro se estabilize, foi inserido um novo evento em 56 segundos.
Os dois eventos se misturam e a variao do erro passa para um patamar maior neste
caso. No tempo 88, so ultrapassados os 31 segundos da janela dos valores de entrada da
RNA, aps a realizao do segundo evento desta regio em anlise, e o erro se estabiliza.
A terceira regio de novos picos de erro inicia no segundo 93, resultado do evento ocor-
rido nesta amostra, e perdura por um tempo maior que a regio descrita anteriormente.
Neste caso, o evento ocorrido na amostra 106 acontece, sem que tenha transcorrido o
tempo para que o erro do evento anterior, e tambm o evento inserido no tempo 118,
se estabilizem. Portanto, so trs eventos que se misturam, apresentando oscilaes no
erro bem variadas. No segundo 150, o erro retorna a patamares de situao normal de
operao.
A quarta regio observada apresenta alta porcentagem de erros, a partir do segundo
156, sendo esta regio mais densa, com a maioria dos erros em patamares maiores que
as regies anteriores. Este comportamento resultado de trs eventos que ocorrem em
tempos muito prximos, 156, 158 e 161 segundos. O alto trfego medido em um curto
140 Captulo 5. Predio do Trfego de Rede para Deteco de Ataques DDOS
espao de tempo gerou esta assinatura para o erro. Mesmo com esta grande variao, o
erro retornou para patamares de situao normal de operao na amostra 193, quando a
janela de 31 amostras, aps o evento no segundo 161, ultrapassada.
Os resultados deste teste apontam que uma janela de valores menores para a camada
de entrada, contribui para diminuir a propagao do erro, nos passos seguintes de predio,
o que refora a deciso de escolher a topologia da RNA com menor janela de entrada.
Conclui-se, portanto, que a variao observada na Figura 55 caracteriza a assinatura dos
eventos ocorridos na rede de comunicao.
RTLinux
FANN
Hacker
Registro do trfego
da rede por uxo Clculo do erro
70%
60%
50%
40%
30%
20%
10%
0%
2
4
6
8
10
12
14
16
18
20
22
24
26
28
30
32
34
36
38
40
42
44
46
48
50
52
54
56
58
60
62
64
66
68
70
72
74
76
78
80
Amostras
Figura 57 Erro relativo percentual das amostras com ataques no sistema eltrico.
Foram apresentados 80 valores no grfico onde, na amostra 18, ocorre o ataque. Neste
142 Captulo 5. Predio do Trfego de Rede para Deteco de Ataques DDOS
ponto, o erro tem um pico e vai diminuindo at que se estabiliza em 2% na amostra 50.
Este comportamento observado para os ataques com 2, 3, 4 e 5 mensagens. O fato do
erro se estabilizar na amostra 50 se justifica pelo mesmo motivo apresentado nas situaes
de evento. A janela de 31 valores de entrada da RNA foi ultrapassada e o trfego medido
est estvel. Apesar de ser um trfego de mais de uma mensagem, seu valor est dentro
do domnio de treinamento realizado.
A partir do ataque com 6 mensagens, o valor medido do trfego fica acima do limite
superior utilizado no treinamento que foi de de 12.064 bps, gerando um grande aumento na
porcentagem de erro, quando este atinge uma estabilidade. A partir deste ponto, observa-
se, tambm, que, ao aumentar a quantidade de mensagens, o erro tende a se estabilizar,
cada vez mais rapidamente. Assim sendo, o ponto de estabilidade passa a estar antes
dos 50 segundos, ou seja, antes de ultrapassar a janela de 31 amostras da camada de
entrada. medida que os valores do trfego vo aumentando, o erro se estabiliza em
valores maiores, porm, a diferena entre os pontos de estabilidade diminui.
Constata-se, portanto, que a principal diferena entre um evento e uma situao de
ataque est no ponto de estabilizao da rede. Pode-se inferir que, a partir do momento
em que se detectou um alto erro e este erro passou a se estabilizar com valores maiores
que 10%, esta situao pode ser caracterizada como um ataque DDOS.
Para uma anlise mais detalhada do comportamento da estabilidade do erro, foi pro-
duzido um novo grfico com os valores do erro para o ponto 56 no qual todos os erros
esto estabilizados (Figura 58). Para no criar descontinuidades no grfico, os valores en-
tre 30 e 62, entre 62 e 110 e entre 110 e 901 foram calculados, utilizando uma interpolao
logartmica, atravs da funo interp1 do MATLAB.
100%
90%
80%
Erro Relativo Percentual
70%
60%
50%
40%
30%
20%
10%
0%
2
26
50
74
98
122
146
170
194
218
242
266
290
314
338
362
386
410
434
458
482
506
530
554
578
602
626
650
674
698
722
746
770
794
818
842
866
890
Amostras
Figura 58 Comportamento do erro relativo percentual para 56 segundos em funo dos ataques utili-
zando mensagens GOOSE.
14%
12%
Erro Relativo Percentual
10%
8%
6%
4%
2%
0%
1
5
9
13
17
21
25
29
33
37
41
45
49
53
57
61
65
69
73
77
81
85
89
93
97
101
105
109
113
117
121
125
129
Amostras
Figura 59 Ilustrao das diferenas entre o erro relativo percentual para 56 segundos em funo dos
ataques utilizando mensagens GOOSE.
90%
80%
Figura 60 Ilustrao do erro relativo percentual com variaes no trfego de ataque utilizando mensagens
GOOSE.
a amostra 48, na qual o trfego passa a ser de um ataque com 20 mensagens. Observa-se,
neste ponto, o aumento do erro e sua estabilizao. Posteriormente, na amostra 68, o
ataque passa a ser realizado com 10 mensagens. Seu comportamento semelhante ao
anterior, porm, h um percentual de erro menor, porque so menos mensagens. No
ponto 108, ocorre uma nova alterao no trfego para 15 mensagens; no ponto 113, outra
mudana para 30 mensagens. No ponto 118, ocorre a ltima alterao para 25 mensagens.
Analisando o comportamento exibido no grfico, observa-se que a estabilizao do erro,
durante a alterao no trfego, quase instantnea. Alguns patamares de erro retratados
no grfico, possuem descontinuaes para baixo, ou para cima. Este comportamento
resultado de pequenos assincronismos entre o intervalo da medio e a quantidade de
mensagens medidas no referido intervalo, variando em uma mensagem para cima ou para
baixo.
Conclui-se, portanto, que o alto valor do erro relativo percentual uma condio de
alerta para o operador que supervisiona a rede. Caso este erro se estabilize acima de
10%, pode-se considerar que esta rede est sob influncia de um trfego esprio que pode
comprometer seu funcionamento. Neste caso, a durao da anormalidade a principal
medida para a deteco do ataque DDOS.
Analisando o grfico da Figura 60 e equiparando-o ao apresentado na Figura 57,
observa-se que o trfego de ataque possui uma assinatura caracterstica no erro relativo
percentual da RNA. Esta propriedade permite analisar a gravidade do ataque baseado na
influncia do trfego medido na rede de comunicao. Quanto mais prximo de 100% o
erro estiver, mais a rede de comunicao est sendo degradada. O limiar para deteco do
ataque, observando o erro relativo percentual, de 10%. Caso o erro calculado a partir do
trfego de rede se estabilize acima desta fronteira, considera-se que a rede de comunicao
est sob ataque DDOS.
5.9. Desenvolvimento do Sistema de Deteco de Ataques DDOS no Sistema Eltrico 145
RTLinux
Evento
arquivo texto, os valores normalizados para a execuo com a biblioteca FANN da RNA
treinada, para predio do trfego. Ao completar 131 leituras, o script passa a salvar em
outro arquivo texto, tambm formatado para a execuo na biblioteca FANN, os valores
normalizados para que seja calculado o erro relativo percentual. A lgica de execuo do
software descrita no Algoritmo 6.
A implementao foi realizada em python, a qual se inicia com a conexo com o banco
de dados SQLite. Ao executar o comando de conexo, o arquivo do banco de dados
criado, caso ele no exista. O comando SQL para criar a tabela executado, caso
esta tabela exista. Posteriormente, so executados os comandos Hypertext Transfer Pro-
tocol (HTTP), para requisitar ao controlador a lista dos switches retornados em formato
JavaScript Object Notation (JSON). Esta lista percorrida no primeiro loop, linha 4, para
que sejam criados os arquivos para execuo, na RNA, de todos os switches. Utilizando
a informao do campo , realizada uma nova requisio ao controlador, para obter
a lista de fluxos do switch. Esta lista percorrida no segundo loop, linha 6.
Para encontrar os fluxos correspondentes mensagem GOOSE, foi includo o teste
da linha 7. Na linha 8, so solicitadas as informaes especficas dos fluxos referentes
mensagem GOOSE, para que sejam selecionados os dados estatsticos do trfego, campo
, que so: pacotes por segundo (pps), quantidade de bytes (byte_count), bits por
segundo (bps), quantidade de pacotes (pkt_count) e tempo de vida (alive). As informaes
estatsticas do trfego separado por fluxo foram inseridas na verso 1.3 do OpenFlow.
Como o controlador pode trabalhar com switches de verses anteriores, foi inserida a
condio da linha 10 do algoritmo.
Na linha 11, o comando de insero dos registros no banco de dados realizado e so
inseridos os valores Identifier (ID) do switch, ID do Fluxo e os campos com informaes
estatsticas do fluxo: , _, , _ e . Alm desses campos, o
banco de dados possui um campo ID, auto incremento e chave primria utilizado para
a indexao da tabela, sendo importante para a seleo e ordenao dos registros. O
comando seguinte, linha 12, faz a seleo do campo quando: o ID do switch e o ID
do fluxo atuais, forem iguais aos valores do banco de dados. A ordenao decrescente dos
valores foi feita, para que fossem selecionados os registros mais novos. O limite de 131
registros foi includo, porque, esta a quantidade mxima de valores utilizadas no arquivo
de testes da RNA.
Com o resultado da consulta na varivel , a quantidade de registros verificada
para que, ao chegar em 31, os dados fossem normalizados utilizando a Equao 2 e salvos
no arquivo texto para a realizao da predio. Ao chegar em 131, os dados foram
normalizados e salvos no arquivo para o clculo do erro relativo percentual. Cabe ressaltar
que os registros do banco de dados foram formatados para comporem o arquivo texto,
tanto para a predio, quanto para o clculo do erro, tendo ambos que serem invertidos,
devido ao retorno da ordenao dos registros realizados no comando SQL.
O software em python desenvolvido foi salvo na pasta do OpenMul, na qual foi criado
um shell script que cria a pasta onde os arquivos so salvos, e executa o software a cada
segundo. Foi inserida uma chamada a este script no comando de incio do OpenMul,
para que ele executasse, durante todo o tempo que o controlador estiver em execuo.
Foi inserida no comando de parada do OpenMul a finalizao da execuo do script que
148 Captulo 5. Predio do Trfego de Rede para Deteco de Ataques DDOS
modifica o nome da pasta onde os arquivos so salvos, incluindo a data e a hora de trmino
da execuo, assim, ficando registrado um conjunto de arquivos para cada execuo do
controlador. Como resultado da execuo deste script, obtm-se o arquivo do banco de
dados SQLite, com as informaes estatsticas dos fluxos correspondentes s mensagens
GOOSE e dois arquivos de teste da RNA, para cada switch e cada fluxo selecionado.
( + 1) ( 1)
= (6)
2
O algoritmo inicia abrindo o arquivo CSV para leitura e carregando os valores do erro
relativo percentual no vetor erro, linha 1. O loop na linha 2 realizado para percorrer
os 100 valores do erro, de 0 a 99. Na linha 3 verificado se o valor do erro menor que
10, caso seja, escrito situao normal de operao, linha 4, caso no seja, na linha 6
verificado se o erro atual diferente do erro anterior, se for, escreve-se situao de evento,
linha 7, se no for, escreve-se situao de ataque DDOS. Aps passar por todos os valores
do erro relativo percentual carregados, o arquivo CSV fechado na linha 13.
O software descrito executado logo aps a execuo dos demais scripts, sendo iniciado
pelo shell script inserido na inicializao do OpenMul. Ele finaliza o processo de deteco
de ataques DDOS no SE compondo a plataforma ZYBO. Com isso, obtm-se duas apli-
caes integradas ao controlador OpenFlow capaz de detectar ataques man-in-the-middle
e DDOS.
152 Captulo 5. Predio do Trfego de Rede para Deteco de Ataques DDOS
153
Captulo 6
Concluso
ZYBO, juntamente com o Sistema Operacional (SO) de tempo real configurado, habi-
litam o desenvolvimento de aplicaes no controlador OpenMul. O sistema de deteco
e bloqueio de mensagens GOOSE adulteradas apresentou-se como metodologia eficiente
para a deteco e o bloqueio de mensagens GOOSE falsas na rede de comunicao de
dados IEC-61850. Os testes realizados demonstraram que tal metodologia possui tempo
de resposta e acuracidade para ser utilizado em grandes subestaes.
A predio do trfego embarcado na plataforma ZYBO uma forma eficiente para
anlise de anomalias na rede de comunicao. A RNA NARX implementada permitiu 62
passos de previso com erro relativo percentual de at 5%. Este sistema contribui para
a deteco de trfegos esprios na rede de comunicao, uma vez que ir apontar varia-
es fora do esperado, por uma comunicao atravs de mensagens GOOSE. O sistema
contribui, tambm, para a deteco de eventos no sistema eltrico. A anlise do erro de-
monstrou que as variaes bruscas e o seu ponto de estabilidade so determinantes para
diferenciar o trfego de eventos no sistema eltrico do trfego de ataques DDOS. Os erros
em torno de 80%, sem estabilidade do erro relativo percentual, podem ser classificados
como eventos no sistema eltrico. Erros acima de 10% estabilizados, podem ser conside-
rados um ataque DDOS. As anlises dos respectivos trfegos, determinaram assinaturas
do erro relativo percentual que se tornam um parmetro eficiente para deteco destes
ataques.
Os softwares desenvolvidos, integrados ao controlador OpenFlow OpenMul, demonstra-
ram ser ferramentas robustas para comporem a rede de comunicao do Sistema Eltrico.
Com a implantao destes, obtm-se um aumento na segurana e confiabilidade da rede
da subestao atravs de sistemas que detectam ataques man-in-the-middle e DDOS.
Nesse sentido, acredita-se que os resultados obtidos na presente pesquisa encorajam
sua continuidade e vislumbram um futuro prximo de utilizao do protocolo OpenFlow,
juntamente com as ferramentas de segurana para a rede de comunicao das subestaes.
Neste nterim, podem-se elencar algumas sugestes de continuidade da pesquisa:
o analisar uma possvel perda de pacotes e criar condies para prever as mesmas
evitando uma classificao incorreta do algoritmo;
Referncias
CHIU, H. W.; WANG, S. Y. Boosting the openflow control-plane message exchange per-
formance of openvswitch. In: 2015 IEEE International Conference on Communi-
cations (ICC). [S.l.: s.n.], 2015. p. 52845289. ISSN 1550-3607.
DIXON, F.; YUNAS, M. T.; WEDELICH, V.; HOWARD, J.; BROWN, H. E.; SAUER,
S. N.; XU, Y. M.; MARKELLO, T.; SHEIKH, W. Mitigating arc flashes using iec 61850:
Examining a case at a chemical and refining facility. IEEE Industry Applications
Magazine, 2014. v. 20, n. 1, p. 6469, Jan 2014. ISSN 1077-2618.
DZUNG, D.; NAEDELE, M.; HOFF, T. von; CREVATIN, M. Security for industrial
communication systems. Proceedings of the IEEE, 2005. v. 93, n. 6, p. 11521177,
2005. ISSN 0018-9219.
ERICKSON, D. The beacon openflow controller. In: Proceedings of the Second ACM
SIGCOMM Workshop on Hot Topics in Software Defined Networking. New
York, NY, USA: ACM, 2013. (HotSDN 13), p. 1318. ISBN 978-1-4503-2178-5. Disponvel
em: <http://doi.acm.org/10.1145/2491185.2491189>.
ERICSSON, G. Information security for electric power utilities (epus) - cigre developments
on frameworks, risk assessment, and technology. Power Delivery, IEEE Transactions
on, 2009. v. 24, n. 3, p. 11741181, 2009. ISSN 0885-8977.
. Cyber security and power system communication - essential parts of a smart grid
infrastructure. Power Delivery, IEEE Transactions on, 2010. v. 25, n. 3, p. 1501
1507, 2010. ISSN 0885-8977.
FANG, X.; MISRA, S.; XUE, G.; YANG, D. Smart grid - the new and improved power
grid: A survey. Communications Surveys Tutorials, IEEE, 2012. v. 14, n. 4, p.
944980, Fourth 2012. ISSN 1553-877X.
IEEE, C. S. Standard, IEEE Standard for Local and metropolitan area networks
Media Access Control (MAC) Bridges. 2004.
KANABAR, M.; SIDHU, T. Performance of iec 61850-9-2 process bus and corrective
measure for digital relaying. Power Delivery, IEEE Transactions on, 2011. v. 26,
n. 2, p. 725735, 2011. ISSN 0885-8977.
162 Referncias
MAGUIRE, T.; GIESBRECHT, J. Small Time-step ( < 2Sec ) VSC Model for the Real
Time Digital Simulator. 2005. p. 6, 2005.
MCCAULEY, M. NOX and POX. 2014. http://www.noxrepo.org/. Online. Acessado
30/05/2016.
MCKEOWN, N.; ANDERSON, T.; BALAKRISHNAN, H.; PARULKAR, G.; PETER-
SON, L.; REXFORD, J.; SHENKER, S.; TURNER, J. Openflow: Enabling innovation
in campus networks. SIGCOMM Comput. Commun. Rev., 2008. ACM, New York,
NY, USA, v. 38, n. 2, p. 6974, mar. 2008. ISSN 0146-4833. Disponvel em: <http://doi-
.acm.org/10.1145/1355734.1355746>.
MIRANDA, J. C. IEC-61850: Interoperabilidade e Intercambialidade entre
Equipamentos de Superviso, Controle e Proteo Atravs das Redes de Co-
municao de Dados. Dissertao (Mestrado) Escola de Engenharia de So Carlos
da Universidade de So Paulo, 2009.
MOLINA, E.; JACOB, E.; MATIAS, J.; MOREIRA, N.; ASTARLOA, A. Using software
defined networking to manage and control {IEC} 61850-based systems. Computers &
Electrical Engineering, 2015. v. 43, p. 142 154, 2015. ISSN 0045-7906. Disponvel
em: <http://www.sciencedirect.com/science/article/pii/S0045790614002626>.
MOLINA, E.; MATIAS, J.; ASTARLOA, A.; JACOB, E. Managing path diversity in
layer 2 critical networks by using openflow. In: Network and Service Management
(CNSM), 2015 11th International Conference on. [S.l.: s.n.], 2015. p. 394397.
MOREIRA, N.; LZARO, J.; BIDARTE, U.; JIMENEZ, J.; ASTARLOA, A. On the
utilization of system-on-chip platforms to achieve nanosecond synchronization accuracies
in substation automation systems. IEEE Transactions on Smart Grid, 2016. PP,
n. 99, p. 111, 2016. ISSN 1949-3053.
NEMETH, E.; SNYDER, G.; HEIN, T.; BOGGS, A.; CROSBY, M.; MCCLAIN, N.
Manual Completo do Linux. 2th. ed. [S.l.]: Pearson Prentice Hall, 2007. ISBN
9788576051121.
NGO, H. D.; YANG, H. S. Latency and traffic reduction for process-level network in
smart substation based on high-availability seamless redundancy. IEEE Transactions
on Industrial Electronics, 2016. v. 63, n. 4, p. 21812189, April 2016. ISSN 0278-0046.
NISSENY, S. FANN Fast Artificial Neural Network Library. 2016. http://
leenissen.dk/fann/wp/. Online. Acessado 06/04/2016.
OPENVSWITCH. OVS Open vSwitch. 2014. http://openvswitch.org/. Online.
Acessado 06/04/2016.
OZANSOY, C. R.; ZAYEGH, A.; KALAM, A. The real-time publisher/subscriber com-
munication model for distributed substation systems. Ieee Transactions on Power
Delivery, 2007. v. 22, n. 3, p. 14111423, 2007.
. The application-view model of the international standard iec 61850. Ieee Tran-
sactions on Power Delivery, 2009. v. 24, n. 3, p. 11321139, 2009.
. Object modeling of data and datasets in the international standard iec 61850.
Ieee Transactions on Power Delivery, 2009. v. 24, n. 3, p. 11401147, 2009.
164 Referncias
PITT, D.; BAUER, R.; DAS, S.; KHARGHARIA, B.; BLAIR, C.; SASO, D.; HUNG, W.-
C. Open Networking Foundation. 2016. https://www.opennetworking.org/. On-
line. Acessado 30/05/2016.
PREMARATNE, U.; SAMARABANDU, J.; SIDHU, T.; BERESH, B.; TAN, J.-C. Evi-
dence theory based decision fusion for masquerade detection in iec61850 automated subs-
tations. In: Information and Automation for Sustainability, 2008. ICIAFS 2008.
4th International Conference on. [S.l.: s.n.], 2008. p. 194199.
PREMARATNE, U.; SAMARABANDU, J.; SIDHU, T.; BERESH, R.; TAN, J.-C. Se-
curity analysis and auditing of iec61850-based automated substations. Power Delivery,
IEEE Transactions on, 2010. v. 25, n. 4, p. 23462355, 2010. ISSN 0885-8977.
PREMARATNE, U. K.; SAMARABANDU, J.; SIDHU, T. S.; BERESH, R.; TAN, J.-C.
An intrusion detection system for iec61850 automated substations. Ieee Transactions
on Power Delivery, 2010. v. 25, n. 4, p. 23762383, 2010.
SEVOV, L.; ZHAO, T.; VOLOH, I. The power of iec 61850: Bus-transfer and load-
shedding applications. IEEE Industry Applications Magazine, 2013. v. 19, n. 1, p.
6067, Jan 2013. ISSN 1077-2618.
Referncias 165
SIDHU, T.; YIN, Y. Modelling and simulation for performance evaluation of iec61850-
based substation communication systems. Power Delivery, IEEE Transactions on,
2007. v. 22, n. 3, p. 14821489, 2007. ISSN 0885-8977.
SILVA, I. da; SPATTI, D.; FLAUZINO, R. Redes Neurais Artificiais para En-
genharia e Cincias Aplicadas - Curso Prtico. [S.l.]: ARTLIBER, 2010. ISBN
9788588098534.
SYDNEY, A.; NUTARO, J.; SCOGLIO, C.; GRUENBACHER, D.; SCHULZ, N. Si-
mulative comparison of multiprotocol label switching and openflow network technologies
for transmission operations. IEEE Transactions on Smart Grid, 2013. v. 4, n. 2, p.
763770, June 2013. ISSN 1949-3053.
TANENBAUM. Computer networks. 5th. ed. [S.l.]: Pearson Prentice Hall, 2011. ISBN
978-85-7605-924-0.
TEN, C.-W.; HONG, J.; LIU, C.-C. Anomaly detection for cybersecurity of the substa-
tions. Smart Grid, IEEE Transactions on, 2011. v. 2, n. 4, p. 865873, 2011. ISSN
1949-3053.
TEN, C.-W.; MANIMARAN, G.; LIU, C.-C. Cybersecurity for critical infrastructures:
Attack and defense modeling. Systems, Man and Cybernetics, Part A: Systems
and Humans, IEEE Transactions on, 2010. v. 40, n. 4, p. 853865, 2010. ISSN 1083-
4427.
WANG, W.; LU, Z. Cyber security in the smart grid: Survey and challenges. Computer
Networks, 2013. v. 57, n. 5, p. 1344 1371, 2013. ISSN 1389-1286. Disponvel em:
<http://www.sciencedirect.com/science/article/pii/S1389128613000042>.
WILLIAMS, A. VMware Buys Nicira For $1.26 Billion And Gives More
Clues About Cloud Strategy. 2012. http://techcrunch.com/2012/07/23/
vmware-buys-nicira-for-1-26-billion-and-gives-more-clues-about-cloud-strategy/.
Online. Acessado 08/06/2016.
WU, Y.; BIN, D.; ZHOU, X. Research on on-line interlocking of substation operation on
wide area security defense. In: Sustainable Power Generation and Supply, 2009.
SUPERGEN 09. International Conference on. [S.l.: s.n.], 2009. p. 14.
YANG, H.-S.; KIM, S.-S.; JANG, H.-S. Optimized Security Algorithm for IEC 61850
based Power Utility System. Journal of Electrical Engineering & Technology, 2012.
The Korean Institute of Electrical Engineers, 7, p. 443450, 2012. Disponvel em: <http:-
//www.dbpia.co.kr/Article/1922051>.
YOO, B.-K.; YANG, S.-H.; YANG, H.-S.; KIM, W.-Y.; JEONG, Y.-S.; HAN, B.-M.;
JANG, K.-S. Communication Architecture of the IEC 61850-based Micro Grid System.
JOURNAL OF ELECTRICAL ENGINEERING & TECHNOLOGY, 2011. 6,
n. 5, p. 605612, SEP 2011. ISSN 1975-0102.
ZADEH, M.; SIDHU, T.; KLIMEK, A. Implementation and testing of directional compa-
rison bus protection based on iec61850 process bus. Power Delivery, IEEE Transac-
tions on, 2011. v. 26, n. 3, p. 1530 1537, july 2011. ISSN 0885-8977.
Referncias 167
ZILLGITH, M. libIEC61850 open source library for IEC 61850. 2016. http://
libiec61850.com/libiec61850. Online. Acessado 06/04/2016.
ZULYADI; SEMBIRING, J. Design of ftts forecasting model using markov chain and
p2amf framework case study: Farmers terms of trade of smallholders estate crops sub-
sector in riau. In: 2015 International Conference on Information Technology
Systems and Innovation (ICITSI). [S.l.: s.n.], 2015. p. 16.