Forschungsgruppe Network Security
(Prof. Dr. Heer)
Zurück zur Liste

Intrusion Detection für zeitkritische industrielle Anwendungen

Masterarbeit
In Bearbeitung
Durchgeführt bei Hirschmann Automation and Control GmbH

In heutigen industriellen Netzwerken findet die Kommunikation zwischen einer Steuerung und den dazugehörigen Sensoren und Aktoren über proprietäre Ethernet-basierte Feldbusse statt. Da die Kommunikation oft zeitkritisch ist, und jede Verzögerung von Ethernetp-Paketen potentiell eine Maschine zum Anhalten bringt, sind diese Steuerungsnetzwerke meist isoliert und vom eigentlichen Zugriffsnetzwerk abgeschirmt.

Mit neuen Ethernet- und IP-Technologien, wie TSN und DetNet werden bisher nicht echtzeitfähige Netzwerke für zeitkritische Anwendungen geöffnet. Das funktioniert, weil Mechanismen wie DetNet und TSN nun zwischen zeitkritischen Anforderungen besser unterscheiden kann. Mit Mechanismen zur zeitgesteuerten Weiterleitung können kritische Pakete exklusiv durch das Netzwerk gehen, während alle anderen pausieren müssen. Für Standard-Netzwerkverkehr, wie die Daten einer Videoüberwachung bedeutet das leichte Verzögerung, aber im Bereich von unter einer Millisekunde und daher nicht störend. Allerdings erfordern die Netwerke mit TSN und DetNet eine Zeitsynchronisation zwischen allen Teilnehmern mit PTP (IEEE 1588) oder IEEE 802.1AS.

Diese zeitliche Trennung zwischen kritischem und nicht kritischem Verkehr auf dem gleichen Kabel ermöglicht auch ganz neue Angriffsmuster. Zum Besipiel sind Delay-Attacken viel schneller erfolgreich oder redundante Übertragungen können durch "fake" Duplikate gestört werden. Bisher war das nur bedingt möglich, denn ein Angreifer kam oft erst gar nicht in die entsprechenden Netzwerksegmente hinein. Ebenso kann ein Angreifer nun durch eine Störung der Zeitsynchroniation einige Konfigurationen im Netzwerk aus dem Tritt bringen.

Bisherige Intrusion Detection und Prevention Systeme haben solche Angriffe nicht auf dem Schirm. In dieser Arbeit sollen bisherige IDS Systeme auf die Fähigkeit der Erkennung dieser neuen Angriffe analysiert werden. Zum einen gehört dazu ein Testsetup aufzubauen, aber zum anderen auch die Entwicklung der entsprechenden Angriffs-Signaturen. Natürlich gehört auch eine konkrete Analyse und Entwicklung der Angriffszenarien dazu!

Aufgabe und Fragestellungen

  • Einarbeitung in TSN und industrielle Automatisierung
  • Einarbeitung in Zeitsynchronisationsmechanismen wie PTP
  • Erarbeitung von neuen Angreifermodellen auf industrielle Applikationen
  • Ausarbeitung von neuen IDS Signaturen zur Erkennung neuer Angriffe
  • Evaluation durch eine eigene Implementierung und Benchmarking

Anforderungen

  • Kenntnisse in Netzwerktechnik
  • Interesse für IT Security
  • Programmiererfahrung in Python und C

Bearbeitet von

  • Lukas Popperl

Kontakt