Anomalieerkennung in Automatisierungsnetzen

Wie in vielen anderen Bereichen kommen auch bei der Steuerung und Überwachung von Prozessen in der Produktion, in Fahrzeugen, in Flugzeugen und in Kraftwerken zunehmend Technologien und Komponenten aus der klassischen Informationstechnik zum Einsatz. Dies geht einher mit steigender Vernetzung der Systeme über lokale und Weitverkehrsnetze. Ergebnis sind sensible Netze, die anfälliger sind für Angriffe als das in früheren Systemansätzen der Automatisierungstechnik mit proprietären Kommunikationslösungen der Fall war.

Große Automatisierungsnetze werden hauptsächlich mithilfe von Firewalls in Sicherheitszellen geteilt und so vor unautorisiertem Zugriff angrenzender Netze geschützt. Eine feinere Segmentierung der oft zu großen Sicherheitszellen scheitert an Echtzeit- sowie Verfügbarkeitsanforderungen und dem oftmals monolithischen Charakter der teils über Jahrzehnte gewachsenen Netze. Insbesondere der Schutz von großen Zellen via Abschottung durch klassische Firewall-Technologie als einzige technische Sicherheitsmaßnahme ist nicht mehr zeitgemäß. Firewalls schützen nicht vor Angriffen von innen bzw. vor Angriffen, die aus einem „legalen“ Zugriff heraus initiiert werden. Die Praxis zeigt, dass es viele Möglichkeiten für erfahrene Angreifer gibt, Firewalls zu unterlaufen.

Durch eine innere Überwachung der Sicherheitszelle können solche Angriffe erkannt werden. Dazu adaptiert der Lehrstuhl bewährte Verfahren der Angriffserkennung (Intrusion-Detection) auf die Gegebenheiten in Automatisierungsnetzen. Ein vielversprechender Ansatz ist dabei die Erkennung von Abweichungen (Anomalien) vom für das Netzsegment typischen Netzwerkverkehr. Kernproblem bei der Entwicklung einer praktikablen Anomalieerkennung ist die Bestimmung und Modellierung von normalem, respektive erlaubtem Netzverkehr. Ein Schwerpunkt der Untersuchungen am Lehrstuhl ist daher die Verwendung von Verfahren des maschinellen Lernens zur automatisierten Definition von normalen Netzverkehr durch Beobachtung des Automatisierungsverkehrs. Vorteile der selbstlernenden Anomalieerkennung sind der optimale Zuschnitt der Anomalieerkennung auf den für das überwachte Segment typischen Automatisierungsverkehr sowie minimaler Konfigurationsaufwand des Überwachungssystems.

Partner:

  • LEAG Lausitz Energie Kraftwerke AG
  • RWE Deutschland AG
  • Siemens AG

Offizielle Projekte:

Unsere Webseite verwendet Cookies. Diese haben zwei Funktionen: Zum einen sind sie erforderlich für die grundlegende Funktionalität unserer Website. Zum anderen können wir mit Hilfe der Cookies unsere Inhalte für Sie immer weiter verbessern. Hierzu werden pseudonymisierte Daten von Website-Besuchern gesammelt und ausgewertet. Das Einverständnis in die Verwendung der technisch nicht notwendigen Cookies können Sie jeder Zeit wiederrufen. Weitere Informationen erhalten Sie auf unseren Seiten zum Datenschutz.

Erforderlich

Diese Cookies werden für eine reibungslose Funktion unserer Website benötigt.

Statistik

Für den Zweck der Statistik betreiben wir die Plattform Matomo, auf der mittels pseudonymisierter Daten von Websitenutzern der Nutzerfluss analysiert und beurteilt werden kann. Dies gibt uns die Möglichkeit Websiteinhalte zu optimieren.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo