Anomaly detection regarding the network traffic of ICS

Bachelor-Studiengang IT Security

Detect and Respond rather than Prevent

Oliver Mann

Betreuer: FH-Prof. Prof. (h.c.) DI (FH) Thomas Brandstetter, MBA

Ausgangslage

Aktuell haben die meisten Umgebungen, die auf Industrial Control Systems (ICS) basieren, nur sehr begrenzte oder gar keine Überwachungslösungen für ihren Netzwerkverkehr. Daher gibt es meist keinen Überblick darüber, was im Netzwerk übertragen wird oder welche Geräte vorhanden sind. Darüber hinaus gibt es meist keine ausreichenden Möglichkeiten, unerwünschte oder ungesicherte Verbindungen mit externen Netzwerken zu erkennen und die einzige Möglichkeit zur Validierung, ob der programmierte Zyklus korrekt ausgeführt wird, sind die Ausgaben und Handlungen von Komponenten, die tatsächlich messbare Aufgaben ausführen.

Um festzustellen, ob das System kompromittiert wurde oder nicht, reichen diese Informationen allein nicht aus, da viele Angriffe nicht sofort die Arbeitsweise des Systems beeinflussen oder gänzlich andere Ziele verfolgen. Ein Beispiel dafür wäre der Diebstahl von Informationen über einen Produktionsprozess. Die Erkennung von Anomalien im Hinblick auf den Netzwerkverkehr von ICS- Umgebungen bietet eine ausgezeichnete Lösung zur Bewältigung der oben genannten Probleme.

Ziel

Ziel dieser Arbeit ist es, verschiedene Methoden zur Erkennung von Anomalien im Hinblick auf den Netzwerkverkehr von ICS-Umgebungen vorzustellen. Einerseits um einen Überblick darüber zu geben, was derzeit verfügbar ist und andererseits, um zu zeigen, dass die Methoden für ICS- Umgebungen einen ganz eigenen Ansatz erfordern und sehr spezifische Anforderungen haben.

Ergebnis

Im Zuge dieser Arbeit werden viele Lösungen mit zum Teil unterschiedlichen Ansätzen vorgestellt und es wird gezeigt, worauf bei der Planung der Implementierung solcher Systeme zu achten ist. Manche wissenschaftlichen Ansätze stoßen noch immer auf einige Einschränkungen und viele davon müssen erst noch unter realen Bedingungen getestet werden. Aktuell gibt es nicht viele kommerzielle Lösungen, die in der Lage sind, Anomalien im Netzwerkverkehr von ICS-Umgebungen aufzuspüren, jedoch ermöglichen sie einen tiefen Einblick in die ICS-Umgebungen und bringen einen echten Mehrwert, welcher über den Aspekt der IT-Sicherheit hinausgeht.