Forschungsprojekt INDI: Mit Machine Learning Anomalien in Industrienetzen identifizieren

Forschungsprojekt INDI: Mit Machine Learning Anomalien in Industrienetzen identifizieren

Beim Forschungsprojekt "Intelligente Intrusion Detection-Systeme für Industrienetze" (INDI) befasste sich genua zusammen mit Wissenschaftlern und Experten der TU Braunschweig, der BTU Cottbus-Senftenberg und des Energieunternehmens LEAG mit der Entwicklung neuer Verfahren zur Absicherung kritischer Computersysteme. Zum Projektabschluss haben wir mit Dr. Christoph Moder gesprochen, einem maßgeblich beteiligten Forscher bei genua.

Kannst Du mit wenigen Sätzen zusammenfassen, um welche Fragestellungen es beim Forschungsprojekt INDI ging?

Christoph Moder: Das Projekt beschäftigte sich damit, wie man ungewöhnliches Verhalten in einem Industrienetz erkennen kann, ohne dieses zu modifizieren und ohne dessen Betrieb zu beeinflussen. Dazu haben wir den Datenverkehr rein passiv analysiert und mit Hilfe von maschinellem Lernen anomales Verhalten erkannt sowie Kommunikationsbeziehungen im Netzwerk ermittelt.

Intrusion Detection-Systeme sind inzwischen als Teil der IT-Sicherheitsinfrastruktur weit verbreitet. Welche Besonderheiten sind beim Einsatz in Industrienetzen zu beachten?

Christoph Moder: Man hat es dort mit ganz anderen Geräten und Protokollen zu tun. Eine Anlagensteuerung kommt meist von einem der wenigen großen Hersteller, d. h. sämtliche Geräte kommen aus einer Hand. Obwohl die Kommunikation meist auf der Basis von TCP/IP über Ethernet erfolgt, kommen in den höheren Schichten oft proprietäre Protokolle zum Einsatz. Außerdem ist ein ungestörter Dauerbetrieb sehr wichtig. Ein Produktionsausfall kann schnell enorme finanzielle Verluste verursachen. Entsprechend selten gibt es Änderungen oder Updates. Ein IDS muss diesen hohen Anforderungen genügen und darf keinerlei Einfluss auf den Betrieb haben.

Mit Machine Learning Anomalien erkennen

Welche wesentlichen Ergebnisse und Erkenntnisse lassen sich aus Eurer Arbeit ableiten?

Christoph Moder: Als Ergebnis zeigt sich, dass die von uns verwendeten Verfahren des überwachten maschinellen Lernens – sowohl mit als auch ohne Kenntnis des Protokolls – recht gut funktionieren. Hier hilft natürlich, dass der Datenverkehr in einem Kraftwerk sehr gleichförmig ist.

Außerdem ist den Betreibern die Zuverlässigkeit und absolute Rückwirkungsfreiheit wichtig – und damit eine saubere Netztrennung unabdingbar. Und nicht zuletzt ist eine gute Visualisierung hilfreich, um die Quelle von Anomalien zu identifizieren.

Welche Ergebnisse sind aus Deiner Sicht für genua z. B. in Bezug auf die aktuelle oder zukünftige Produktentwicklung besonders interessant?

Christoph Moder: Der Bereich der Industriesteuerungen hat noch Nachholbedarf bei der Netzwerksicherheit – vor allem wegen der langen Lebenszyklen. Es sind noch viele alte Anlagen in Betrieb. Hier kann man nicht warten, bis diese alle ersetzt sind. Während die Steuerungsnetze grundsätzlich meist gut abgesichert sind, gibt es keine zweite Rückfallebene wie ein IDS. Wenn ein Angreifer einmal drin ist, wird es schwer, ihn zu entdecken.

Hier gibt es also Handlungsbedarf und gerade im Bereich der kritischen Infrastrukturen (KRITIS) kann genua mit großem Know-How zur hochsicheren L4-Plattform und den darauf aufbauenden Datendioden die notwendige Rückwirkungsfreiheit garantieren. Da sich die Randbedingungen bei verschiedenen Kunden unterscheiden, wäre es denkbar, eine generische sichere Plattform zur Netzanbindung zu entwickeln, auf der dann kundenspezifische Software integriert werden kann – in der Art, wie das bereits bei unserem Industrial Gateway GS.Gate umgesetzt wird. So wäre es beispielsweise möglich, kundenspezifische Überwachungslösungen in bestehenden Anlagen nachzurüsten.

Danke für das Gespräch!

Das Forschungsprojekt "Intelligente Intrusion Detection-Systeme für Industrienetze" wurde vom Bundesministerium für Bildung und Forschung gefördert.

Zur Projektseite: www.indi-project.org

 

Bildquelle: © pinkeyes - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.

Um für Sie unsere Webseite zu optimieren, verwenden wir Cookies.
Klicken Sie auf "Cookies zulassen", falls Sie der Nutzung von diesen Cookies zustimmen.
Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung, in der Sie auch jederzeit Ihre Cookie-Einstellungen einsehen und anpassen können.
Datenschutz Cookies akzeptieren