Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD FOR DETECTING ANOMALIES IN A CONTROL NETWORK
Document Type and Number:
WIPO Patent Application WO/2011/032789
Kind Code:
A1
Abstract:
According to the invention, in order to detect anomalies in a control network, for example for monitoring and controlling, industrial or building automation, a technology of an intrusion detection system (IDS) is adapted to analyze a time sequence and time intervals of correct messages in the network traffic and to use said messages for training an anomaly detection system. Detecting a time sequence and a rhythm of correct messages allows for the detection of malfunctions or manipulations of devices and attacks that are carried out using regular monitoring or control stations that have been taken over by attackers or that are defect, and that cannot be detected using content-based methods (by means of signatures or byte-sequence analysis) or by a considerable increase of data traffic. Therefore, an additional security barrier is provided that can continue monitoring and protecting (if necessary by alarming security personnel) a technical unit from possible acts of sabotage, even if the control network of said technical unit has already been corrupted.

Inventors:
BUSSER JENS-UWE (DE)
KAESTNER JAN (DE)
MUNZERT MICHAEL (DE)
STOERMANN CHRISTOF (DE)
Application Number:
PCT/EP2010/061786
Publication Date:
March 24, 2011
Filing Date:
August 12, 2010
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS AG (DE)
BUSSER JENS-UWE (DE)
KAESTNER JAN (DE)
MUNZERT MICHAEL (DE)
STOERMANN CHRISTOF (DE)
International Classes:
H04L29/06; G06F21/00; G06N20/00
Domestic Patent References:
WO2008067442A22008-06-05
Foreign References:
EP1879350A12008-01-16
US20070074272A12007-03-29
US20050249214A12005-11-10
EP1708414A12006-10-04
Other References:
GE, X.; SMYTH, P: "Deformable Markov model templates for time-series pattern matching", PROCEEDINGS OF THE 6TH ACM SIGKDD INTERNATIONAL CONFERENCE ON KNOWLEDGE DISCOVERY AND DATA MINING, August 2000 (2000-08-01), pages 81 - 90
SCHLÜSSLER, T.; GOGLIN, S.; JOHNSON, E.: "Is a bot at the Controls? Detecting Input Data Attacks", PROCEEDINGS OF THE 6TH ACM SIGCOMM NETGAMES, September 2007 (2007-09-01)
Attorney, Agent or Firm:
SIEMENS AKTIENGESELLSCHAFT (DE)
Download PDF:
Claims:
Patentansprüche

1. Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk (10), bei dem ein Mikroprozessor programmiert ist, um - in einem ersten Schritt (1) Kommunikationsdaten in dem

Kontrollnetzwerk (10) zu ermitteln,

in einem zweiten Schritt (2) eine zeitliche Reihenfolge und/oder zeitliche Abstände von ordnungsgemäßen Nachrichten in den Kommunikationsdaten zu ermitteln und in Trai- ningsdaten (30) abzulegen,

in einem dritten Schritt (3) ein Anomalie-Erkennungssystem (50) mit den Trainingsdaten (30) zu trainieren,

in einem vierten Schritt (4) aktuelle Kommunikationsdaten (40) in dem Kontrollnetzwerk zu ermitteln, und

- mit dem Anomalie-Erkennungssystem (50) in einem fünften

Schritt (5) die zeitliche Reihenfolge und/oder die zeitli¬ chen Abstände der ordnungsgemäßen Nachrichten in den aktuellen Kommunikationsdaten (40) auf eine Abweichung von den Trainingsdaten (30) zu prüfen.

2. Verfahren nach Anspruch 1,

bei dem das Anomalie-Erkennungssystem (50) im fünften Schritt (5) eine Abweichung erkennt, wenn eine Einheit (20) im Kontrollnetzwerk (50), insbesondere eine Beobach- tungs- oder Kontrollstation, eine Fehlfunktion aufweist, von einem Angreifer übernommen oder von einem Benutzer unzulässig verändert wurde.

3. Verfahren nach Anspruch 1,

- bei dem das Anomalie-Erkennungssystem (50) als netzwerkbasiertes Einbruchs-Erkennungssystem implementiert ist und die Kommunikationsdaten sowie die aktuellen Kommunikationsdaten (40) Netzwerkverkehrsdaten sind, oder

bei dem das Anomalie-Erkennungssystem (50) als geräteba- siertes Einbruchs-Erkennungssystem implementiert ist und die Kommunikationsdaten sowie die aktuellen Kommunikationsdaten (40) ein Kommunikationsverhalten eines Geräts, insbesondere eines Servers, beschreiben.

4. Verfahren nach Anspruch 1,

bei dem im zweiten Schritt (2) die zeitliche Reihenfolge und/oder zeitlichen Abstände der ordnungsgemäßen Nachrichten in den Kommunikationsdaten mithilfe eines Episode Rule Mining, insbesondere einem Algorithmus nach Mannila, oder mithilfe eines probabilistischen Verfahrens, insbesondere einem Verfahren mit erweiterten Markov-Modellen, ermittelt werden .

5. Verfahren nach Anspruch 1,

bei dem das Anomalie-Erkennungssystem (50) zumindest tei weise aus einem neuronalen Netz (60) oder einer Support- Vektor-Maschine besteht.

6. Verfahren nach Anspruch 1,

bei dem das Kontrollnetzwerk ein Netzwerk für Überwachung und Steuerung, Industrie- oder Gebäudeautomatisierung ist.

7. Verfahren nach Anspruch 1,

bei dem die Einheit eine Beobachtungs- oder Kontrollstati¬ on ist.

8. Computerlesbarer Datenträger,

auf dem ein Computerprogramm gespeichert ist, welches das Verfahren nach einem der vorangegangenen Ansprüche ausführt, wenn es in einem Computer abgearbeitet wird.

9. Computerprogramm,

welches in einem Computer abgearbeitet wird und dabei das Verfahren nach einem der Ansprüche 1 bis 7 ausführt.

Description:
Beschreibung

Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk Die Vernetzung vieler Computer und lokaler Netzwerke zu einem weltweiten Netzwerk (dem Internet) während der letzten Jahrzehnte hat die Effektivität und Anwenderfreundlichkeit zahl ¬ reicher Prozesse im geschäftlichen, staatlichen und privaten Bereich stark erhöht. Unglücklicherweise stieg mit zunehmen- der Komplexität der Anwendungen auch die Anzahl inhärenter

Fehler und Schwachstellen stark an, die übelgesinnten Dritten einen Missbrauch dieser Systeme zu eigenen Zwecken ermöglichen. Obwohl Hersteller zunehmend versuchen, solche Schwachstellen bereits bei der Software-Entwicklung durch geeignete Programmiertechniken und Qualitätssicherungsprozesse zu redu ¬ zieren sowie diese nach Bekanntwerden baldmöglichst zu besei ¬ tigen, wächst die Anzahl der jährlich bekanntwerdenden

Schwachstellen in IT-Systemen weiter an. IT-basierte Überwachungs- und Steuersysteme (übliche engli ¬ sche Bezeichnungen solcher Systeme sind "Supervisory Control and Data Acquisition" bzw. SCADA, "Distributed Control Sys ¬ tem" bzw. DCS, "Energy Management System" bzw. EMS, etc.) sind mittlerweile auch in vielen technischen Anlagen wie In- dustrieanlagen, Fabriken und Kraftwerken, bei der Strom-,

Wasser- und Gasverteilung sowie bei Öl- und Gaspipelines im Einsatz. Diese unterschieden sich bisher von herkömmlichen IT-Systemen dadurch, dass sie vollkommen abgeschottet in physikalisch geschützten Bereichen betrieben wurden, und oft be- sondere, im IT-Umfeld nicht gebräuchliche Kommunikationspro ¬ tokolle verwendet haben. Höchste Priorität hat hier hohe Zu ¬ verlässigkeit. Schnelle Antwortzeiten bis in den Millisekun ¬ denbereich sind Voraussetzung für die Kommunikation von Feldgeräten untereinander (z.B. zur Realisierung von Schutzfunk- tionen bei Energietransport und -Verteilung) . Informationssi ¬ cherheit war im Gegensatz zum IT-Umfeld nachrangig, da solche Automatisierungsnetzwerke bereits intrinsisch sicher oder nicht mit unsicheren Netzwerken verbunden waren. Diese Systeme werden nun zunehmend auch mit anderen Netzwerken zu einem übergreifenden Kontrollnetzwerk verbunden, um weitere Effizienzsteigerungen zu erzielen. So wird etwa ein System zum direkten Steuern der Anlage ( "Manufacturing

Control System" bzw. MCS) mit einem System zur Qualitätsüberwachung und Produktionsplanung ( "Manufacturing Execution System" bzw. MES) verbunden, und dieses - oder beide - wiederum mit einem System zur Planung von Unternehmensressourcen ("En- terprise Resource Planning" bzw. ERP), welches eine der Büro- Software-Anwendungen des Unternehmens ist. Technische Anlagen an unterschiedlichen Standorten kommunizieren über gemietete Leitungen oder gar vollkommen öffentliche Netzwerke miteinander. Zugänge für die Fernwartung von Anlagen werden einge- richtet. Sogar Informationen aus öffentlichen Netzwerken (Zeit, Wettervorhersage, Rohstoffpreise des Lieferanten, etc.) können in den Betrieb einer technischen Anlage einfließen . Durch die zunehmende Vernetzung entstehen nun Kontrollnetzwerke, welche leichter angreifbar sind, da der intrinsische Schutz durch die Abschottung der einzelnen Systeme immer mehr entfällt. Dadurch entsteht - wie im klassischen IT-Umfeld - zunehmend die Notwendigkeit, Anlagenteile auf den sicher- heitstechnisch aktuellen Stand zu bringen und dort zu halten. Dies ist jedoch oft nicht möglich, da entsprechende Korrektu ¬ ren (engl. "Patch") - sofern überhaupt verfügbar - nicht im laufenden Betrieb eingespielt werden können, wenn sie einen Neustart der jeweiligen Systeme erfordern. Auch Wartungspau- sen reichen hierfür oft nicht aus, da in diesen ggf. andere Arbeiten durchgeführt werden müssen.

Dies kann dazu führen, dass auch bekannte Sicherheitsschwachstellen in Kontrollnetzwerken über viele Jahre nicht behoben werden. Auch ein Einsatz von Virenscannern ist problematisch, da er sowohl durch Performanzeinbußen der scannenden Geräte als auch durch Blockieren von (ggf. fälschlicherweise) als schädlich erkannten Dateien und Programmen die Anlagensteuerung ernsthaft beeinträchtigen kann.

Eine möglichst genaue Überwachung eines Kontrollnetzwerks ei- ner technischen Anlage, insbesondere bezüglich netzwerkba ¬ sierter Angriffe, ist daher essenziell, um frühzeitig geeig ¬ nete Gegenmaßnahmen ergreifen zu können und einen Ausfall der technischen Anlage mit unter Umständen schwerwiegenden Konsequenzen für Mensch, Material und Umwelt zu vermeiden.

Ein Kontrollnetzwerk dient - je nachdem, um welche technische Anlage es sich handelt - der Steuerung und Überwachung in der Industrie- oder Gebäudeautomatisierung. In der Industrieautomatisierung steuern Kontrollnetzwerke unter anderem Fabriken oder Kraftwerke sowie Strom-, Wasser- oder Gasverteilung, sie kommen aber auch bei Öl- und Gaspipelines zum Einsatz.

Bisher findet eine sicherheitstechnische Überwachung von Kon ¬ trollnetzwerken eher selten statt; man verlässt sich weitest- gehend noch auf die (vermeintliche) Abschottung des Kontroll ¬ netzwerkes zur Produktionssteuerung sowie auf mangelnde

Kenntnis über entsprechende Protokolle und Geräte der zumeist aus dem traditionellen IT-Umfeld stammenden potenziellen Angreifer. Mit zunehmender Verbindung der Netzwerke, zunehmen- der Erfahrung der Angreifer sowie deren steigender Motivation und Kommerzialisierung wird diese Strategie aber immer weniger erfolgreich sein.

Einbrüche in ein Kontrollnetzwerk können mit einem aus dem Stand der Technik bekannten Einbruchs-Erkennungssystem (engl. Bezeichnung "Intrusion Detection System" bzw. IDS) entdeckt werden, solange der Angriff bzw. die Störung noch andauert.

Die am weitesten verbreiteten Einbruchs-Erkennungssysteme (z.B. SNORT) arbeiten überwiegend signatur-basiert . Diese

Signaturen müssen zur Erkennung einzelner Angriffe aufwändig erzeugt werden. Bei der Konfiguration eines installierten Einbruchs-Erkennungssystems müssen die Muster der relevanten Angriffe dann ausgewählt und beispielsweise in Form einer Konfigurationsdatei dem Einbruchs-Erkennungssystem bekannt gemacht werden. Sobald neue Schwachstellen bekannt werden oder Angriffe auf bereits bekannte Schwachstellen modifiziert werden, sind neue Signaturen zu erzeugen und die Einbruchs- Erkennungssystem-Konfigurationsdatei entsprechend zu erwei ¬ tern .

Andere bekannte Ansätze der Verkehrsanalyse erkennen Scan- ning- und Flooding-Angriffe anhand deren stark veränderten Verkehrsaufkommens bereits in der TCP/ IP-Schicht .

Alle oben genannten und weiteren Maßnahmen (wie Firewalls, Application Gateways, DMZ, Sicherheitszellen) sind geeignet, das Kontrollnetzwerk zu schützen. Allerdings gibt es nur wenig Schutz der eigentlichen technischen Anlage, falls das Kontrollnetzwerk bereits - wie auch immer - korrumpiert und übernommen wurde. Dann können mit regulären Kommandos detaillierte Information über Anlagenabläufe gesammelt werden. Wei- terhin lässt sich die technische Anlage in diesem Fall durch ein Verstellen von Aktuatoren außer Kontrolle bringen.

Es stellt sich somit die Aufgabe, ein Verfahren zur Anomalie- Erkennung in einem Kontrollnetzwerk anzugeben, mit welchem Anomalien erkannt werden können, welche mit den aus dem Stand der Technik bekannten Maßnahmen nicht ermittelbar sind.

Diese Aufgabe wird erfindungsgemäß dadurch gelöst, dass zur Anomalie-Erkennung in einem Kontrollnetzwerk ein Mikroprozes- sor programmiert ist, um fünf Schritte durchzuführen. Im ers ¬ ten Schritt werden Kommunikationsdaten in dem Kontrollnetzwerk ermittelt. Im zweiten Schritt werden eine zeitliche Rei ¬ henfolge und/oder zeitliche Abstände von ordnungsgemäßen Nachrichten in den Kommunikationsdaten ermittelt und in Trai- ningsdaten abgelegt. Im dritten Schritt wird ein Anomalie- Erkennungssystem mit den Trainingsdaten trainiert. Im vierten Schritt werden aktuelle Kommunikationsdaten in dem Kontrollnetzwerk ermittelt. Abschließend werden im fünften Schritt mit dem Anomalie-Erkennungssystem die zeitliche Reihenfolge und/oder die zeitlichen Abstände der ordnungsgemäßen Nachrichten in den aktuellen Kommunikationsdaten auf eine Abweichung von den Trainingsdaten geprüft.

Ferner umfasst die Erfindung ein Computerprogramm, welches in einem Computer abgearbeitet wird und dabei das Verfahren mit den zuvor beschriebenen Schritten ausführt. Das Computerprogramm kann hierbei auch auf einem computerlesbaren Datenträ- ger gespeichert sein.

Weitere vorteilhafte Ausführungsformen der Erfindung sind durch die Merkmale der Unteransprüche gekennzeichnet.

Gemäß dem Verfahren werden eine zeitliche Reihenfolge

und/oder zeitliche Abstände von ordnungsgemäßen Nachrichten in den Kommunikationsdaten ermittelt, in Trainingsdaten abgelegt und für das Training des Anomalie-Erkennungssystems (und damit für die spätere Erkennung von Abweichungen) herangezogen .

Durch diese Ermittlung einer zeitlichen Abfolge und eines "Rhythmus" von ordnungsgemäßen Nachrichten wird es möglich, Angriffe zu erkennen, die unter Verwendung von regulären, aber von Angreifern übernommenen Beobachtungs- oder Kontroll- Stationen durchgeführt werden, und die weder mit inhaltsba ¬ sierten Methoden (mittels Signaturen oder Byte-Sequenz- Analyse) noch durch eine deutliche Zunahme des Datenverkehrs zu erkennen sind. Ferner lassen sich auch Angriffe erkennen, die z.B. durch

Übernahme eines regulären und autorisierten Gerätes möglich sind, bei dem ein Angreifer in den Besitz von vertraulichen kryptografischen Schlüsseln gerät. Es können somit Angriffe entdeckt werden, die sich weder durch den Inhalt ihrer Nach- richten (Verwendung anderer Protokolle, ungewöhnliche Anfra ¬ gen, falsche HMACs oder Signaturen, ...) noch durch deren Weg (falscher Absender oder Empfänger) von normalem Verhalten un- terscheiden und somit von Byte-Muster-detektierenden Verfahren nicht erkannt werden können.

Es können sowohl Technologien netzwerkbasierter Einbruchs- Erkennungssysteme (NIDS) als auch gerätebasierter Einbruchs- Erkennungssysteme (HIDS) verwendet werden. Vorteilhaft ist eine Installation des Anomalie-Erkennungssystems auf einem oder mehreren Servern. Ein Vorteil des Verfahrens liegt in der Analyse eines zeitli ¬ chen Verhaltens (Abfolge, Rhythmus) von ordnungsgemäßen Nach ¬ richten zwischen regulären autorisierten Geräten als weiteres, neues Kriterium zur Sicherheitsüberwachung des Kontrollnetzwerks .

Das Verfahren schafft eine weitere Sicherheitsbarriere, die eine technische Anlage, deren Kontrollnetzwerk bereits kor ¬ rumpiert wurde, immer noch überwachen und (durch Alarmierung von Sicherheitspersonal) vor möglichen Sabotageakten schützen kann.

Im Folgenden werden Ausführungsbeispiele der Erfindung anhand von Figuren näher erläutert. Es zeigen: Figur 1 ein Kontrollnetzwerk mit Geräten, welche ggf. von einem Angreifer übernommen werden können,

Figur 2 ein Ablaufdiagramm des Verfahrens, Figur 3 eine schematische Darstellung des Verfahrens und der beteiligten Systeme.

Figur 1 zeigt ein Kontrollnetzwerk 10. Dieses besteht aus ei ¬ ner Anzahl miteinander verknüpfter Netzwerke, darunter ein Unternehmenskontroll-Netzwerk 100 (beispielsweise im Rahmen eines ERP- oder MES-Systems) , ein Prozesskontroll-Netzwerk 200 und ein Kontrollsystem-Netzwerk 300. Weiterhin enthält das Kontrollnetzwerk 10 mehrere autorisierte Beobachtungs- oder Kontrollstationen, darunter ein Client 11, ein Web- Client 12 sowie eine Support-Station 13 für einen Fernwar- tungszugang. Als Sicherheitsvorkehrung sind mehrere Firewalls 70 in dem Kontrollnetzwerk 10 vorgesehen. Figur 1 zeigt nun den Fall, dass ein Angreifer bereits erfolgreich eine autorisierte Beobachtungs- oder Kontrollstation übernommen hat, beispielweise

den Client 11 oder einen Server im Prozesskontroll- Netzwerk 200,

- den Web-Client 12 im Unternehmenskontroll-Netzwerk 100, oder

die Support-Station 13.

Der Angreifer kann nun diejenigen Teile der technischen Anla- ge ausspähen oder sogar manipulieren, für die die von ihm übernommene autorisierte Beobachtungs- oder Kontrollstation zuständig ist. Der Angriff richtet sich dabei nicht gegen das Kontrollnetzwerk 10, sondern - unter Verwendung bzw. Missbrauch des Kontrollnetzwerks 10 - gegen die technische Anlage selbst. Der Angriff beschränkt sich dabei auf reguläre Befeh ¬ le und Kommunikationsnachrichten. Kryptographische Prüfsummen und Signaturen können von der übernommenen autorisierten Beobachtungs- oder Kontrollstation korrekt berechnet werden. Die Kommunikationswege werden - wie in der Projektierung festge- legt - ordnungsgemäß eingehalten. Sowohl signatur-basierte Einbruchs-Erkennungssysteme als auch selbstlernende Ein- bruchs-Erkennungssysteme basierend auf Byte-Sequenzen können einen solchen Angriff daher praktisch nicht feststellen. Die Beobachtungs- und Kontrollstationen müssen deshalb besonders geschützt werden, vor allem wenn sie sich außerhalb des physikalisch und informationstechnisch relativ gut geschützten Kontrollnetzwerkes 10 befinden. Im Folgenden wird ein erstes Ausführungsbeispiel beschrieben.

Figur 2 zeigt ein Ablaufdiagramm des Verfahrens zur Anomalie- Erkennung im Kontrollnetzwerk 10. Abgebildet ist ein erster Schritt 1, ein zweiter Schritt 2, ein dritter Schritt 3, ein vierter Schritt 4 sowie ein fünfter Schritt 5 des Verfahrens. Bis auf den ersten Schritt 1 sind diese Schritte auch in Fi ¬ gur 3 gezeigt, welche das Verfahren sowie ein Anomalie- Erkennungssystem 50 und das Kontrollnetzwerk 10 schematisch darstellt .

Im in Figur 2 gezeigten ersten Schritt 1 werden Kommunikationsdaten in dem Kontrollnetzwerk 10, beispielsweise Netzwerk- verkehrsdaten, ermittelt.

In dem in Figur 2 und Figur 3 gezeigten zweiten Schritt 2 werden eine zeitliche Reihenfolge und/oder zeitliche Abstände von ordnungsgemäßen Nachrichten in den Kommunikationsdaten ermittelt und in Trainingsdaten 30 abgelegt.

Im dritten Schritt 3 wird ein Anomalie-Erkennungssystem 50 mit den Trainingsdaten 30 trainiert. Das Anomalie- Erkennungssystem 50 wird somit in einer anfänglichen Trai- ningsphase auf Basis eines sicheren, noch nicht durch feind ¬ liche Angriffe kontaminierten Kontrollnetzwerks 10 angelernt. Hierzu enthält das Anomalie-Erkennungssystem 50 beispielswei ¬ se ein neuronales Netz 60, welches trainiert wird. Das Anoma ¬ lie-Erkennungssystem 50 kann jedoch auch mit einer anderen Technologie, etwa einer Support-Vektor-Maschine, implemen ¬ tiert werden.

Im vierten Schritt 4 werden aktuelle Kommunikationsdaten 40 in dem Kontrollnetzwerk ermittelt.

Im fünften Schritt 5 werden mit dem Anomalie-Erkennungssystem 50 die zeitliche Reihenfolge und/oder die zeitlichen Abstände der ordnungsgemäßen Nachrichten in den aktuellen Kommunikationsdaten 40 auf eine Abweichung von den Trainingsdaten 30 ge- prüft. Eine derartige Abweichung wird erkannt, wenn eine in

Figur 3 gezeigte Einheit 20, insbesondere eine der in Figur 1 gezeigten Beobachtungs- oder Kontrollstationen, im Kontroll- netzwerk 10 von einem Angreifer übernommen oder anderweitig manipuliert wurde oder einen Defekt aufweist.

Das Kontrollnetzwerk 10 ist nicht auf die Industrieautomati- sierung (inklusive Energie- und Wasserverteilung, Pipelines, etc.) beschränkt, sondern kann auch andere Bereiche und Bran ¬ chen betreffen, z.B. Netzwerke zur Gebäudeautomatisierung, Telekommunikationsnetze, usw. Im Folgenden wird ein zweites Ausführungsbeispiel beschrie ¬ ben, welches eine Konkretisierung der bisherigen Ausführungen darstellt. Gemäß dem zweiten Ausführungsbeispiel kann sich ein Bediener am Client 11 sowohl einen Überblick über eine gesamte technische Anlage als auch detaillierte Informationen über deren Teilbereiche anzeigen lassen. Zum Überwachen wird er üblicherweise ein neu aufgerufenes Bild mindestens einige Sekunden lang betrachten, bevor er ein weiteres Bild aufruft. Fragt jedoch der Client 11 innerhalb kurzer Zeit (z.B. weni ¬ ger als eine Sekunde) mehrere Bilder ab, so lässt sich dies nicht mehr auf eine normale und sorgfältige Tätigkeit des Be- dieners zurückführen, sondern weist vielmehr darauf hin, dass z.B. ein bösartiges Programm die technische Anlage scannt und in möglichst kurzer Zeit viele Informationen sammeln will. Zur Implementierung des zweiten Ausführungsbeispiels wird ein Mikroprozessor programmiert, um Kommunikationsdaten in dem Kontrollnetzwerk 10 zu ermitteln und zeitliche Abstände von ordnungsgemäßen Nachrichten (diese sind enthalten in den Kommunikationsdaten) in den Trainingsdaten 30 abzulegen. Bei den ordnungsgemäßen Nachrichten handelt es sich hierbei um Nachrichten zum Abrufen der Bilder. Der zeitliche Abstand im Normalfall beträgt mehr als eine Sekunde. Dies wird in den Trai ¬ ningsdaten 30 hinterlegt, mit denen das Anomalie-Erkennungs ¬ system 50 trainiert wird. Sollte in einer späteren Betriebs- phase der Client 11 innerhalb kurzer Zeit mehrere Bilder ab ¬ fragen, so wird dies in den aktuellen Kommunikationsdaten 40 im Kontrollnetzwerk 10 sichtbar. Aufgrund des vorangegangenen Trainings kann das Anomalie-Erkennungssystem 50 diese Abwei- chung von dem antrainierten zeitlichen Abstand der entsprechenden Nachrichten erkennen und daraus z. B. schließen, dass der Client 11 von einem Angreifer übernommen wurde. Zur Erkennung der Abweichung nach vorangegangenem Training ist das Anomalie-Erkennungssystem 50 beispielsweise als neuronales Netz 60 oder als Support-Vektor-Maschine programmiert.

Im Folgenden wird ein drittes Ausführungsbeispiel beschrie ¬ ben, welches alternativ, aber auch ergänzend zum zweiten Aus- führungsbeispiel implementiert werden kann. Im dritten Aus ¬ führungsbeispiel fragt der Web-Client 12 regelmäßig (z.B. al ¬ le ein oder zwei Sekunden) aktuelle Werte eines Bildes, wel ¬ ches ein Bediener gerade betrachtet, von einem Server im Kommunikationsnetzwerk 10 ab. Diese Abfrage geschieht automa- tisch ohne Zutun des Bedieners, daher sind die Abstände der Nachrichten (abgesehen von einem möglichem Jitter im Netzwerk) immer genau gleich. Ein Wechsel zwischen verschiedenen Bildern wird dagegen in der Regel vom Bediener initiiert und wird daher in eher unregelmäßigen Abständen erfolgen. Erfolgt dieser Wechsel dennoch in genau gleichen Zeitabständen, so muss dies programmgesteuert sein. Dies deutet auf eine (mög ¬ licherweise unzulässige) Automatisierung des Anzeigenwechsels durch das Bedienpersonal hin, mit dem eine physikalische Ab ¬ wesenheit vom Web-Client 12 verschleiert werden soll, oder auf einen von einem Angreifer übernommenen Web-Client 12, welcher Informationen über die technische Anlage erlangen will und dazu mit niedriger Frequenz Bilder abfragt.

Bei der Implementierung des dritten Ausführungsbeispiels wird darauf geachtet, dass in den Trainingsdaten 30 die zeitlichen Abstände von Nachrichten, welche einen Wechsel zwischen verschiedenen Bildern signalisieren, etwas unregelmäßig sind, wie dies bei der Abfrage durch den Bediener zu erwarten ist. Hierdurch wird das trainierte Anomalie-Erkennungssystem 50 in die Lage versetzt, auffallend regelmäßige zeitliche Abstände zu erkennen und daraus auf einen Angriff zu schließen. Gemäß einem vierten Ausführungsbeispiel, welches wiederum al ¬ ternativ, aber auch ergänzend zu den vorangegangenen Ausführungsbeispielen implementiert werden kann, wird eine regelmä ¬ ßige oder kurzzeitige Wiederholung eines gleichen Befehls (z.B. Befehl "Ventil 123 schließen", alle 2s) durch das Anomalie-Erkennungssystem 50 als Abweichung - und damit als Hinweis auf eine Fehlfunktion eines Anlagenteils oder auf einen Angriff - erkannt. Vor dem Training des Anomalie- Erkennungssystems wird sichergestellt, dass eine solche Ab ¬ folge von Befehlen in den Trainingsdaten 30 nicht enthalten ist .

Als Grundlage wird in allen Ausführungsbeispielen ein Anomalie-Erkennungssystem 50 verwendet, welches einen Datenstrom zwischen der Beobachtungs- oder Kontrollstation (Client 11, Web-Client 12, Support-Station 13) und jeweiligen Servern im Kontrollnetzwerk 10 als Kommunikationsdaten mitschneidet und analysiert .

Zur Implementierung des Verfahren eignen sich besonders Algorithmen, die

a) in einer Lernphase (erster Schritt 1, zweiter Schritt 2, dritter Schritt 3) Sequenzen (d.h. zeitliche Reihenfol ¬ gen) von Nachrichten inklusive ihrer zeitlichen Abstände generalisiert als Trainingsdaten 30 erfassen können, und b) in einer Betriebsphase (vierter Schritt 4, fünfter

Schritt 5) in den aktuellen Kommunikationsdaten 40 Sequenzen erkennen können, die entweder in Bezug auf die Abfolge der einzelnen Nachrichten und/oder ihre zeitlichen Abstände signifikant von den Trainingsdaten 30 ab ¬ weichen .

Ein bekannter Ansatz hierfür ist das sogenannte Episode Rule Mining, welches die Häufigkeit von aufeinander folgenden Ereignissen in zeitlichen Intervallen untersucht und sich auch zum Klassifizieren eignet. Das Episode Rule Mining ist als Algorithmus von Mannila bekannt aus Mannila, H.; Toivonen, H.; und Verkamo, A. : "Discovery of frequent episodes in event sequences", in Data Mining and Knowledge Discovery 1, Kluwer Academic Publishers, 1997, Seiten 259-298.

Der Algorithmus von Mannila findet in einem Satz von Daten häufige Episoden der Form: X,Y -> Z (s, k, w) , wobei X, Y und Z bestimmte Ereignismengen sind, die in einem Zeitfenster der Länge w in der Reihenfolge X...Y...Z auftauchen, s ist der sogenannte Support (die relative Häufigkeit von XuYuZ in der Ge ¬ samtmenge) , und k ist die Konfidenz = s (XuY) / s (XuYuZ) . Die Konfidenz k misst also die relative Häufigkeit des Vorkommens der Konklusion unter Bedingung der Prämisse (X,Y) . Interes ¬ sant sind dabei nur Episoden, die eine gewisse Mindesthäufig ¬ keit smin und Konfidenz kmin haben. Übertragen auf das zweite Ausführungsbeispiel seien X, Y und Z im Mitschnitt der Kommunikationsdaten gefundene Ereignis ¬ mengen (Mengen von Nachrichten) , die einem Informationsfluss zur Übertragung dreier Bilder Bx, By und Bz entsprechen. Werden diese Bilder für eine graphische Darstellung vom Client 11 angefordert, so geschieht dies in einem kurzen Zeitfenster w. Wird die Graphik zusätzlich immer wieder aktualisiert, ergibt sich bereits eine häufige Episode Χ,Υ, Z wie sie der Al ¬ gorithmus findet. Eine Gesamtheit gefundener Episoden in den Kommunikations ¬ daten kennzeichnet damit einen normalen Datenfluss inklusive normaler zeitlicher Intervalle im Kontrollnetzwerk 10 der technischen Anlage. Sobald in der Betriebsphase in den aktuellen Kommunikations ¬ daten 40 viel längere Episoden im gleichen Zeitfenster w beobachtet werden, deutet dies auf den im zweiten Ausführungs ¬ beispiel beschriebenen Angriff hin. Auch ganz neue Episoden, die gemessen an den Trainingsdaten 30 nicht auftreten soll- ten, können auf einen Angriff hindeuten.

Alternativ zum Algorithmus vom Mannila lässt sich das Verfahren auch durch aus dem Stand der Technik bekannte probabi- listische Ansätze wie etwa erweiterte Markov-Modelle imple ¬ mentieren (siehe z.B. Ge, X.; Smyth, P: "Deformable Markov model templates for time-series pattern matching", in Procee- dings of the 6th ACM SIGKDD International Conference on Know ¬ ledge Discovery and Data Mining, Boston, MA, August 2000, Seiten 81-90.). Diese und ähnliche Algorithmen werden bereits in anderen Domänen erfolgreich für vergleichbare Klassifikationsaufgaben eingesetzt, etwa zur Analyse von ECG und EEG- Signalen für eine Gehirn-Computer-Interaktion, zur Mustererkennung in Finanzdaten, zur Spracherkennung, zur automatischen Klassifikation von Musikstücken sowie zur Analyse eines Click-Verhaltens von Spielern in Multi-Player-Spielen, aber auch in Bezahlmodellen des Internet (siehe Schlüssler, . ; Goglin, S . ; Johnson, E.: "Is a bot at the Controls? Detecting Input Data Attacks", in Proceedings of the 6th ACM SIGCOMM NetGames, Melbourne, Australien, September 2007).