Ansprechpartner: Andreas Paul

Innerhalb industrieller Steuerungssysteme werden zunehmend Technologien aus der klassischen IT  eingesetzt. Einhergehend mit der Anbindung dieser Systeme an öffentliche Netze sind industrielle Steuerungssysteme somit denselben IT-basierten Angriffen ausgesetzt, wie sie aus dem Bereich der klassischen IT bekannt sind. Die Entwicklung geeigneter Abwehrmechanismen erfordert zunächst eine detaillierte Analyse der zu schützenden Infrastruktur hinsichtlich enthaltener Komponenten und eingesetzter Kommunikationsprotokolle. Hierzu wurde am RNKS-Lehrstuhl ein Werkzeug entwickelt, das diese Kommunikationsbeziehungen aus passiv aufgezeichneten Netzwerkdaten extrahiert und graphisch aufbereitet (vgl. [1]). Zur Erkennung von IT-Attacken ist es ist zudem vorstellbar, aus den gesammelten Kommunikationsbeziehungen eine Signaturbasis für Netz-basierte Intrusion Detection Systeme (NIDS), die nach dem Prinzip der Signaturanalyse arbeiten, abzuleiten. Diese Systeme gleichen den beobachteten Netzwerkverkehr mit ihrer Signaturbasis ab und generieren eine Alarmmeldung, sobald der Netzwerkverkehr mit einer der Signaturen übereinstimmt.

Im Rahmen dieser Abschlussarbeit soll das am RNKS-Lehrstuhl entwickelte Werkzeug zur Sammlung von Kommunikationsbeziehungen um ein Modul zur Generierung einer Signaturbasis für das NIDS Snort [2] erweitert werden. Da nicht sämtliche Kommunikationsbeziehungen für die Generierung adäquater Signaturen geeignet sind, ist zunächst ein Konzept zu entwickeln, mit dem geeignete Kommunikationsbeziehungen identifiziert werden können. Je nach hierbei entwickelter Methodik kann es erforderlich sein, Snort um bestimmte Funktionen (z.B. zur Protokolldekodierung oder Erweiterung der Signaturbeschreibungssprache) zu erweitern. Anschließend ist ein Modul zu implementieren, mit dem aus ausgewählten/geeigneten Kommunikationsbeziehungen  Snort-Signaturen generiert werden. Die generierten Signaturen sind schließlich anhand exemplarischer Datensätze aus dem industriellen Umfeld (werden vom Betreuer zur Verfügung gestellt) zu evaluieren.

• Einarbeitung in das Themengebiet Intrusion Detection
• Einarbeitung in das IDS Snort, bzw. in die von Snort verwendete Signaturbeschreibungssprache
• Entwicklung eines Konzepts zur Auswahl geeigneter Kommunikationsbeziehungen zur Signaturgenerierung
• Implementierung eines Moduls zur Generierung von Snort-Signaturen aus den ausgewählten Kommunikationsbeziehungen
• Evaluierung der Signaturen anhand exemplarischer Netzwerkdaten aus dem industriellen Umfeld

• Der Umfang der Arbeit kann je nach Bedarf an eine Bachelor- oder Masterarbeit angepasst werden.
• Wenden Sie sich bei Interesse oder Fragen zum Thema bitte an Andreas Paul

[1] Bachelorarbeit: Analyse von Netzwerkdaten mittels Kommunikationsgraphen

[2] Snort