WO2017148559A1 - Method and analysis module for checking encoded data transfers - Google Patents

Method and analysis module for checking encoded data transfers Download PDF

Info

Publication number
WO2017148559A1
WO2017148559A1 PCT/EP2016/082535 EP2016082535W WO2017148559A1 WO 2017148559 A1 WO2017148559 A1 WO 2017148559A1 EP 2016082535 W EP2016082535 W EP 2016082535W WO 2017148559 A1 WO2017148559 A1 WO 2017148559A1
Authority
WO
WIPO (PCT)
Prior art keywords
network communication
data packet
network
analysis
security policy
Prior art date
Application number
PCT/EP2016/082535
Other languages
German (de)
French (fr)
Inventor
Hans Aschauer
Steffen Fries
Dominik Merli
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2017148559A1 publication Critical patent/WO2017148559A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Definitions

  • the invention relates to a method and an analysis module for checking encrypted data transmissions.
  • policies are defined via which interfaces which data may be transmitted in which way.
  • LAN Local Area Network
  • the object of the present invention is to provide a method and an analysis module that allow encrypted data connections to be enforced and checked.
  • the object is solved by the features specified in the independent claims.
  • advantageous developments of the invention are shown.
  • the invention relates to a method for computer-aided checking of a network communication with the following method steps: A method step for detecting a data packet of the network communication, wherein the network communication is assigned a security policy.
  • Data package can be understood in the context of patent applica ⁇ -making, for example, an Ethernet frame, Token Ring frame, an IP packet, a data block in higher protocol layers, especially at the application layer, the data of a TCP streams or TCP segment.
  • a data packet may include payload, which are preferably encrypted.
  • Connection type can be understood in the context of the patent application, for example, a direct connection via a LAN (Engl. Local Area Network) or a virtual private network connection ⁇ factory.
  • random bit sequence or a pseudo-random permutation ver ⁇ standing may be related to the patent application random or pseudo-random bit sequences distribute.
  • network communication can be understood to mean communication between users of a computer network.
  • a connection-oriented, in particular ⁇ sondere be understood to be a TCP / IP-based network communication, or Getting Connected wireless communications, in particular a UDP-based network communications.
  • the communication may be realized as a punk-to-point communication or as a group communication.
  • network communication in particular communication between the layers of a communication model, such as the OSI model or the TCP / IP model, understood to be.
  • the communication is particularly not be on individual layers of a communication model be ⁇ limits. This can be in the network communication, for example, a communication on the application ⁇ layer and / or the network layer and / or bit transmission layer and / or another layer of Kommunikati ⁇ onsmodells act.
  • a "security policy" or a directive may, for example, be understood to mean a security policy in connection with the patent application.
  • the security directional ⁇ line may indicate for example, whether a Netztechnikkommunika ⁇ tion to take place encrypted and / or on which protocol layers of a network protocol used a Ver ⁇ encryption is to be used and / or certain network protocols for communication purports. Also, the
  • a “program component” may be understood with program instructions in connection with the patent application, a software component, the method of the invention menting imple ⁇ .
  • By “on-the-fly” can be understood in the context of patent applica ⁇ -making, for example, that data packets are analyzed di ⁇ rectly during processing in a network component.
  • a network component can be, for example, a switch that forwards a data packet to the port to which a receiver of the data packet is connected.
  • a La ⁇ tenzzeit at a transmission of the data packet is not preferably increased.
  • a “network subscriber” or “subscriber” (a network communication) can be understood in connection with the patent application to be a workstation, a field device or a measuring device.
  • the network subscribers or subscriber can use, for example, a network communication over a network to communicate with other network devices, and particularly this data or data packets austau ⁇ rule.
  • a "protocol” or a "communication protocol” can be understood as a network protocol, for example the TCP / IP protocol or the IPX / SPX protocol, which can be used for network communication between network users.
  • a protocol can also be defined on higher OSI layers, such as on the application layer.
  • an "insufficient match” can be understood as meaning that, for example, data bits of encrypted data of a data packet of a network communication do not satisfy statistical properties, in particular expected or predetermined statistical properties, in a statistical analysis. These statistical properties can be predetermined, for example, by an encryption algorithm that is required by a security policy for network communication. This may mean that the data bits of the payload of the data packet should comprise, for example, a random distribution sta ⁇ tical to confirm that they are encrypted. Assign the data bits, however, a non-random statistical distribution that have this particular insufficient compliance with specified differently surrounded statistical properties. However, an inadequate agreement can also be understood as meaning that one or more requirements of a security directive are not met in network communication.
  • real time can be understood to mean that the analysis and / or the provisioning are carried out reliably within a predetermined period of time, for example in a fixed time grid. For a network communication, this may mean that the analysis and / or the provisioning takes place within a period of time before the data packet has been transmitted to its destination or, if a forwarding of the data packet from the analyzing and / or the provisioning without a notable increase in the data packet Transmission duration of the data packet takes place.
  • a "processor” may be understood in connection with the patent application, for example, a machine or electronic ⁇ specific circuit.
  • a processor can be a central processing unit (CPU), a microprocessor or a microcontroller.
  • CPU central processing unit
  • microprocessor or a microcontroller.
  • under a processor may be a virtualized processor, also referred to as a soft CPU will be understood.
  • It can also be a programmable processor, for example, which is equipped with configuration steps for carrying out the aforementioned method according to the invention or is configured with configuration steps in such a way that the programmable processor has the features according to the invention of the device, the system or parts of the system.
  • the method is particularly advantageous since it can be easily integrated, for example, and is transparent to all network users (bump-in-the-wire property), especially in many applications.
  • the method can be, for example, in software components in the network subscriber or network components integrate ren.
  • a kickback ⁇ free implementation using a data diode is conceivable whereby such a device is relatively easy to integrate in safety-critical systems.
  • Consideringskri ⁇ technology systems are in particular to safety and functional safety of the system.
  • I also does not limit the method to a single packet of data loading, but can also use multiple data packets for Ana ⁇ analysis.
  • the network communication is encrypted in accordance with the security policy, with no need for cryptographic keys for analyzing.
  • a use or ei ⁇ ne knowledge of the cryptographic keys that are used to encrypt the network communication, unnecessary for the process and their use can thus be omitted in particular in the analysis.
  • the method is for example able to inhibit Studentstra ⁇ supply of unencrypted data.
  • the procedure shall in particular no secrets, example ⁇ as secret cryptographic keys, have to assess the encryption status of the transmission.
  • the quality of the encryption can be evaluated depending on the selected statistical function by a statistical distribution of data bits of the payload of the data packet out ⁇ upgraded.
  • Encryption methods which in particular do not differ statistically from noise, can be regarded as unsafe. It is therefore also possible for example to integration errors or implementation error of a system to detect, for example, when a con ⁇ stant initialization vector is used with an encrypted network communication, which also reduces the Qua ⁇ formality of encryption.
  • the data packet is stored and analyzing is performed insbeson ⁇ particular to a definable later. This makes it possible, for example, to perform an analysis at high network load, so that, for example, excessive utilization of a processor that performs the method is prevented.
  • the method the
  • Analyzing the data packet immediately after detection wherein the analyzing is preferably done in real time.
  • the method can be adapted to different application scenarios or different network utilization situations.
  • a MAC address and / or an IP address and / or a port and / or features in the protocol header of the data packet are evaluated for the characterization.
  • TCP / IP model that is encrypted.
  • configuration information is known about the data packet.
  • the Minim ⁇ is a statistical function least a chi-squared test and / or Kolmogorov-Smirnov test and / or a G-test.
  • the statistical function is not limited to the particular ⁇ to the above statistical func ⁇ nen, but can use other ones statistical functional.
  • statistical properties of encrypted user data of the encrypted network communication data packet determined with the analysis are compared with expected statistical properties.
  • control information controls a separation of the network communication and / or a transmission of the data packet and / or a triggering of an optical or acoustic signal and / or a logging of a result of the analysis in a secure log file.
  • the analysis function in particular determines the Quali ty ⁇ encryption additionally applied an analysis function to the data packet parsing. In this way can check whether a Ver ⁇ encryption of network communication is carried out with a strong cryptographic keys, or with a weak cryptographic key, for example. This can be determined, for example, by the fact that, when using a weak cryptographic key, the payload of the data packet is present in plain text within a short time.
  • the analysis function can be a brute-force function to test downgrade attacks (export key length).
  • the invention relates to a Analy ⁇ semodul for computer-aided checking a network communication.
  • the analysis module comprises a detection device for detecting a data packet of the network communication, wherein the network communication is assigned a security policy.
  • the analysis module further comprises an Ana ⁇ lyse worn for analyzing the network communication based on the data packet using at least one statistical function, for analyzing the network communication based on the data packet and / or the security policy cha ⁇ is character-.
  • the analysis module additionally includes provisioning means for providing control information if the network communication connection has insufficient compliance with the security policy.
  • the analysis module can also include a processor and / or a memory unit in order to control the individual devices.
  • the analysis module is a dedicated network component in particular ⁇ sondere between a subscriber and other subscribers of a network that is the network communication, is maral ⁇ tet.
  • the analysis module can also be Programmkompo- component in the operating system of a participant of Netztechnikkommu ⁇ communications.
  • the analysis module can also be a program component in other network components of the network that serves the network communication, in particular a router or a switch.
  • the analysis module can also be a plug-in for a software application, in particular a browser plug-in.
  • the invention relates to a system which has an analysis mode according to the invention.
  • a computer program product with program examples is claimed for carrying out said method according to the invention.
  • a variant of the computer program product with program instructions for configuring a creation device for example a 3D printer or a similar device claimed, wherein the creation device with the program commands ⁇ is configured such that said inventive analysis module is created.
  • a provision device for storing and / or providing the computer program product is claimed .
  • the provisioning device is, for example, a data carrier which stores and / or makes available the computer program product.
  • the provisioning device is, for example, a network service, a computer system, a server system, in particular a network server. partitioned computer system, a cloud-based computer system and / or virtual computer system which comprises Computerpro ⁇ program product preferably in the form of a data stream, stores and / or provides.
  • This provision takes place, for example, as a download in the form of a program data block and / or command data block, preferably as a file, in particular as a download file, or as a data stream, in particular as a download data stream, of the complete computer program product.
  • This provision for example, but also as a partial download SUC ⁇ gen, which consists of several parts, in particular through a peer-to-peer network downloaded or is provided as a data stream.
  • Such a computer program product is read, for example, using the provision device in the form of the data carrier in a system and executes the program commands, so that the inventive method executed on a computer or the authoring device is configured such that it creates the analysis module according to the invention.
  • FIG. 1 shows a flowchart of a first exemplary embodiment of the disclosed method
  • FIG. 2 shows an implementation of a second among others;
  • FIG. 3 shows an implementation of a third among others;
  • Fig. 4 is an analysis module of a fourthheldsbei ⁇ game;
  • 5 shows a system with an analysis module.
  • FIG. 1 shows a flowchart of a first exemplary embodiment of the disclosed method.
  • the method is a network communication in a position, for example a connection-oriented or verbin ⁇ dung-free communication of one or more participants of the network communication to check.
  • the method is able to check whether the network communication per se or the network communication between subscribers corresponds to specifications of a security policy, for example whether the network communication is encrypted.
  • the method comprises a first method step for detecting 110 a data packet of the network communication, wherein the network communication is assigned a security policy.
  • the data packet can be, for example, an Ethernet frame which contains an IP packet as user data, whereby according to the security policy, for example, the IP packet or the payload of the IP packet should be encrypted.
  • the IP packet may only include certain source and / or destination addresses and / or source and / or destination address ranges. This ⁇ be limited not only to the IP packet, similar Anforde ⁇ conclusions can provide the security policy to the MAC address in the Ethernet frame.
  • the security policy can specify different parameters on different layers of the network communication alone and in combination.
  • the method includes a second method step of analyzing network communication 120 of the data packet using at least one statistical radio ⁇ tion, wherein for analyzing the network communication based on the data packet and / or the security policy is characte ized ⁇ .
  • the statistical function By means of the statistical function the statistical properties during Ana ⁇ lysing can be evaluated examples play as. For example, can using a chi-square test, a statistical function entschie ⁇ be the whether encryption is still intact or whether it was deliberate or accidental fourth deactivated by manipulation.
  • a control information is provided 130.
  • this control information is provided if the network ⁇ communication inadequate compliance with the security policy having.
  • the method analyzes to determine whether a network communication is encrypted, the payload of the pa ⁇ kets. For this purpose, for example, a statistical distribution of the data bits of the user data is evaluated by means of the statistical function. If the user data is encrypted, the statistical distribution of the data bits should preferably be uniformly distributed - ie the data bits of the user data should correspond to a statistical distribution of a random bit sequence .
  • the method can avoid the use of cryptographic keys. As a result, the method can be used flexibly and ensures high security of the encrypted network communication , since only the subscribers of the encrypted network communication must have the cryptographic keys.
  • Encryption algorithms that do not have these properties are considered broken.
  • the statistical function analyzes these statistical property accordingly, examples play by means of a chi-square tests to ⁇ by deciding depending as whether encryption is still intact or has been disabled by intentional or accidental manipulation. If the method is particularly notice a significant difference in the statistics, with On the other reindeer words, the network communication is insufficient in accordance with the security policy to, in such a case a predefined action could run ⁇ to where the action is, for example, with the Steuerinformati ⁇ on can be controlled.
  • the control information or the pre-seen action for example, the transfer interrup ⁇ chen.
  • the access to the data traffic through the process can take place within the communication path of the network communication within a network, for example by the imple mentation of the process as a separate ⁇ analysis module.
  • the method can be realized, for example, by extending existing components.
  • An example would be a router or switch that analyzes the data stream or packets on-the-fly. It is not necessarily important, the analysis in real time or in very much 1 b
  • the method is characterized to preferably the compound and the corresponding de ⁇ security policy of the network communication.
  • connection type of Netztechnikkom ⁇ munication can be identified by the following features depending on the communication path:
  • a control information which controls a defined Ak ⁇ tion for example, triggering a termination of the compound or an alarm message can be provided.
  • the method can be realized in particular in different ways as an analysis module.
  • the analysis module can be used, for example, as
  • the network station FGD be lome, for example in the Linux kernel
  • a program component of a network device to be implemen ⁇ advantage for example in a router or a switch, or
  • a plugin for software application implemented, for example as a browser plugin. It is also conceivable, for example, for an existing network component to be expanded by the analysis module by means of a program component. This can be done for example by means of a firmware update.
  • the analysis module may include its own processor and / or memory for carrying out the method, or the processor and / or memory of the network device may be used to perform the method. If the method is implemented as a program component in the operating system or as a plug-in, the processor and / or memory used by the operating system or the plug-in can be used to execute the method.
  • the step of analyzing or the analysis module ⁇ can observe, for example, different protocols or communications pro ⁇ layers of network communication. Depending on the application, different layers and / or protocol parts can be monitored for their encryption. For this example, the transport layer are lysed at ⁇ play, when TLS protocol, and / or the application ⁇ layer, for example, the HTTPS protocol, and / or the network layer, for example when IPsec protocol ana ⁇ .
  • the verification of the statistical properties by means of the statistical function relates in particular to the encrypted part or the encrypted user data of the data packet which is transmitted with a specific protocol.
  • a statistical function For example, several algorithms are available as a statistical function to preferably calculate a continuous statistic of transmitted data packets to determine if a network communication and thus the data packets and their payload are encrypted.
  • the chi-square test can be used as a statistical function, which checks whether existing data ⁇ bits of the payload of the data packet are distributed in a certain way.
  • the Kolmogorov-Smirnov test it is also possible to use the Kolmogorov-Smirnov test as a statistical function, which is based on
  • Sampling checks whether a random variable follows in the form of the data ⁇ bits of the payload of the data packet to a probability distribution previously adopted.
  • G-test a statistical function, which checks whether occurrence frequencies of data bits of the user data of the data packet have come about by chance.
  • Security guideline pretends to encrypt these ver ⁇ send, different actions can be controlled by a control information.
  • a multiplicity of reactions is conceivable which can be controlled individually or in combination by the control information.
  • the connection between participants of the network communication can be disconnected, a visual and / or acoustic signal can be triggered and / or the change and / or the illegal match can be stored in a secure (protected) log file.
  • FIG. 2 shows an implementation of a second embodiment of the disclosed method.
  • FIG. 2 shows an analysis module 201 that plemented the above method in ⁇ .
  • the analysis module 201 is above ⁇ preferably as a separate network component removable ⁇ det in this embodiment, but may be in a network component, beispielswei ⁇ se a router or a switch as hardware or program component to be integrated.
  • the analysis module 201 is a computer-aided in a position before ⁇ preferably using a processor and / or SpeI ⁇ Chers to check a network communication and possibly with- means of a control information to enforce a security policy in the situation.
  • the analysis module 201 comprises a capture device 210, an analysis device 220, a delivery device 230 and a security policy storage device 240.
  • the detection device 210 detects a data packet of the network communication, wherein the network communication is assigned the security policy.
  • detection device 210 is communicatively connected to a network by means of a first data line 205.
  • the data packet is subsequently transmitted to the analysis device 220.
  • the analysis means 220 analyzes the Netzwerkkommunika ⁇ tion on the basis of the data package using at least one statistical ⁇ tables function, for analyzing the network communication based on the data packet and / or the security directional ⁇ line, which is stored in the security policy storage device 240 and through the first bus 207 to the Analysis ⁇ means 220 communicatively connected, is characterized.
  • the security policy can be transmitted via a second data line 206. line to be considered by the analyzer 220.
  • the result of the analysis is provided via the first bus 207 of the providing device 230.
  • the providing means 230 provides the basis of the analysis result ⁇ control information available in case the network ⁇ network communication has insufficient accordance with the security policy.
  • the control information may be enthusiastsge ⁇ represents, for example via a third data line 255th
  • the analysis module 201 can decide if the data packet of the Netztechnikkommu ⁇ munication is passed, if the network communication and the data packet network communication has sufficient accordance with the security policy on ⁇ after analysis. For this purpose, the data packet is inserted, for example, via a fourth data line 256 back into the communication path of the network communication.
  • the data packet network communication a unzurei ⁇ -reaching compliance with the security policy, so it is also conceivable that the data packet is filtered out and transfer to subscribers of the network communication is inhibited.
  • This filter function can also take over the direction Metellungsein- 230 or is provided an additional compo ⁇ nent this.
  • the analysis module 201 is integrated into another or existing network component, for example a router, a switch or an access point.
  • a data packet reception unit of the network ⁇ component to the functionality of the detector 210 is extended to the data packet to the analysis means 220 can be transmitted.
  • the functionality of the Ready ⁇ provision means 230 and possibly the filter function can for example be integrated into a data packet transmission unit of the network ⁇ component.
  • analyzing the data packets i. checking the network communication continuously, at predetermined times or at predetermined times for a predetermined time interval. If an analysis is carried out, then preferably all the data packets of the network communication are analyzed.
  • the analysis module 201 is thus to check the network communication network capable by means of the Analy ⁇ Sierens of the data packet or multiple data packets, such as whether an encryption according to the security policy is before ⁇ hands.
  • FIG. 3 shows an implementation of a third embodiment of the disclosed method.
  • FIG. 3 shows an analysis module 301, the plemented the above method in ⁇ .
  • the analysis module 301 is proposed in this embodiment preferably in a network component, such as a router or a switch, integrated as hardware or Programmkompo ⁇ component, but may also be configured as an independent network ⁇ component.
  • the analysis module 301 is able, computer-aided, before ⁇ preferably using a processor and / or Spei ⁇ chers to check a network communication and possibly with ⁇ means of control information in a position to enforce a security policy.
  • the analysis module 301 comprises a detection device 210, an analysis device 220, a provisioning device 230 and a security policy storage device 240.
  • the operation of the detecting means 210, Analy ⁇ se healed 220, the deployment device 230 and the security policy storage device 240 corresponds to the remarks and explanations of the second exemplary embodiment of FIG. 2 and the variations indicated.
  • the analysis module to a Auslei ⁇ processing device 310th This discharge device 310 is activated by the analysis device 220 in order to analyze data packets only on a random basis. This random extraction of data packets can also be carried out, for example, via a statistical function and / or randomly. If an inadequate compliance with the security policy is identified, the
  • Provisioning device 230 provided control information and / or a filter function is turned on to filter out the corresponding data packet.
  • the analysis module 301 is thus able to check by means of Ana ⁇ lysing of the data packet or multiple data packets, the network communication random sampling, for example, whether an encryption according to Secure ⁇ uniform policy is still present.
  • FIG. 4 shows an implementation of a fourth embodiment of the disclosed method.
  • FIG. 4 shows an analysis module 401, which plemented the above method in ⁇ .
  • the analysis module 401 is in this embodiment, before ⁇ preferably an intrinsically stands network component, but may also be in a network component, such as a router or a switch as hardware or program component be inte- grated.
  • the analysis module 401 is capable, with computer assistance, before ⁇ preferably using a processor and / or storage chers, to check a network communication and is possibly by means of a control information in a position to enforce a security policy.
  • the analysis module 401 comprises a detection device 210, an analysis device 220, a supply device 230 and an interface 410, which communicatively communicate with each other via a second bus 480.
  • Security policy can be placed in memory or in a security policy storage device.
  • the detector 210 is capable of over
  • Interface 410 to capture a data packet of the network communication, wherein the network communication is associated with the security policy.
  • the data packet is then carry to the analysis device 220 via ⁇ .
  • the analysis means 220 analyzes the network communication based on the data packet using at least one statistical tables ⁇ function, wherein the network communication for analyzing be taken into account on the basis of the data packet and / or the security ⁇ directional line.
  • the result of the analysis is provided via the second bus 480 of the providing device 230.
  • the providing means 230 provides the basis of the analysis result ⁇ control information available in case the network ⁇ network communication has insufficient accordance with the security policy.
  • the control information can, for example, via the interface 410 a device in ⁇ example, a packet filter of a firewall or a
  • the analysis module 401 is thus able to check the network communication by means of the analysis of the data packet or of several data packets, for example if a Encryption still exists according to the security policy.
  • the analysis module 401 can also be part of a system beispiels- example of a network 510 be such as is provided in Fig. 5 ⁇ . 5 shows the network 510, for example an Ethernet network, an analysis module 401 which is connected to the network 510 via the interface 410, a first user of a network communication 530, a second user of the network communication 540, a third user of the network communication 550 and a network component 590, such as a switch.
  • a network component 590 such as a switch.
  • the first participant of a network communication 530, the second participant of a network communication 540, the third participant of a network communication 550, the analysis module 401 and the network component are communicatively connected via the network 510.
  • the first subscriber is for example a workstation, for example an IBM compatible computer system, comprising a display device 532, for example a screen and several input devices, for example a computer mouse 533 and a keyboard 530.
  • the second subscriber or third participant may also be a workstation act.
  • the system may for example be part of a communication ⁇ infrastructure of a power plant and the participants field devices or meters of the power plant.
  • Is Netzwerkkommunika ⁇ tion, for example, an unencrypted
  • the Be ⁇ riding provision device 230 may provide control information over the interface 410 of the network component 590th
  • the network component 590 can then, for example, prevent the network ⁇ factory communication between the participants to prevent data from being exchanged unencrypted between network communication subscribers.
  • analysis module can also be designed as in the preceding exemplary embodiments and thus also integrated into the network component 590.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a method for computer-aided checking of a network communication. The method comprises a method step for detecting (110) a data packet of the network communication, wherein the network communication is assigned a security policy. The method comprises a further method step for analysing (120) the network communication based on the data packet by means of at least one statistical function, wherein, for the analysis, the network communication is characterised based on the data packet and/or the security policy. The method comprises a further method step for providing (130) control information, in the event that the network communication has insufficient conformity with the security policy.

Description

Beschreibung description
Verfahren und Analysemodul zur Überprüfung von verschlüssel¬ ten Datenübertragungen Procedures and analysis module for checking verschlüssel ¬ th data transfers
Die Erfindung bezieht sich auf ein Verfahren und ein Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen. The invention relates to a method and an analysis module for checking encrypted data transmissions.
Netzwerke, egal ob im Büro oder im industriellen Umfeld, wer- den zunehmend komplexer und bestehen aus immer mehr Komponenten von diversen Herstellern. Zugleich werden Angriffe auf Geräte in diesen Netzwerken immer häufiger. Als Administrator eines Netzwerks legt man Richtlinien, sog. Policies, fest, über welche Schnittstellen welche Daten in welcher Art und Weise übertragen werden dürfen. Eine mögliche Eigenschaft ei¬ ner Richtlinie ist, dass über eine Schnittstelle, z.B. eine Local Area Network (LAN) Schnittstelle, nur verschlüsselt kommuniziert werden darf. Kommt es jedoch zu einem Angriff oder einem Konfigurationsfehler, ist es durchaus denkbar, dass die Verschlüsselung deaktiviert wird und Daten ab diesem Zeitpunkt unverschlüsselt übertragen werden - ohne dass je¬ mand die Änderung bemerkt. Networks, whether in the office or in the industrial environment, are becoming increasingly complex and consist of more and more components from various manufacturers. At the same time, attacks on devices in these networks are becoming more common. As the administrator of a network, policies, so-called policies, are defined via which interfaces which data may be transmitted in which way. A possible property ei ¬ ner directive that a Local Area Network (LAN) interface, allows the communication must be encrypted via an interface, for example. However, if there is an attack or a configuration error, it is quite conceivable that the encryption will be disabled and data will be transmitted unencrypted from this time - without anyone noticed the change.
Aus dem Stand der Technik sind das Dokument US 8,531,247 B2, das Dokument US 8,892,616 B2, das Dokument US 8,300,811 B2, das Dokument US 9,147,088 B2, das Dokument EP 2 605 445 Bl, das Dokument EP 2 870 565 AI, das Dokument EP 2 891 102 AI und das Dokument US 8 843 761 B2 bekannt. Die Aufgabe der vorliegenden Erfindung ist es, ein Verfahren und ein Analysemodul bereitzustellen, die es erlauben, verschlüsselte Datenverbindungen durchzusetzen und zu überprüfen . Die Aufgabe wird durch die in den unabhängigen Ansprüchen angegebenen Merkmale gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt. Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum rechnergestützten Überprüfen einer Netzwerkkommunikation mit den folgenden Verfahrensschritten: Ein Verfahrensschritt zum Erfassen eines Datenpaketes der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist. The prior art documents US 8,531,247 B2, US 8,892,616 B2, US 8,300,811 B2, US 9,147,088 B2, EP 2 605 445 B1, EP 2 870 565 AI, EP 2 891,102 AI and the document US 8 843 761 B2. The object of the present invention is to provide a method and an analysis module that allow encrypted data connections to be enforced and checked. The object is solved by the features specified in the independent claims. In the dependent claims advantageous developments of the invention are shown. According to a first aspect, the invention relates to a method for computer-aided checking of a network communication with the following method steps: A method step for detecting a data packet of the network communication, wherein the network communication is assigned a security policy.
Ein weiterer Verfahrensschritt zum Analysieren der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens ei- ner statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der  A further method step for analyzing the network communication based on the data packet by means of at least one statistical function, wherein for analyzing the network communication based on the data packet and / or the
Sicherheitsrichtlinie charakterisiert wird. Security policy is characterized.
Einen weiteren Verfahrensschritt zum Bereitstellen einer Steuerinformation, falls die Netzwerkkommunikationsverbindung eine unzureichende Übereinstimmung mit der Sicherheitsricht¬ linie aufweist. A further method step for providing control information if the network communication connection has an insufficient match with the security directive line.
Unter "Datenpaket" kann im Zusammenhang mit der Patentanmel¬ dung beispielsweise ein Ethernetframe, Tokenringframe, ein IP-Paket, ein Datenblock in höheren Protokollschichten, insbesondere auf der Anwendungsschicht, die Daten eines TCP- Streams oder TCP-Segment verstanden werden. Ein Datenpaket kann Nutzdaten (engl. Payload) umfassen, die vorzugsweise verschlüsselt sind. "Data package" can be understood in the context of patent applica ¬-making, for example, an Ethernet frame, Token Ring frame, an IP packet, a data block in higher protocol layers, especially at the application layer, the data of a TCP streams or TCP segment. A data packet may include payload, which are preferably encrypted.
Unter "Verbindungstyp" kann im Zusammenhang mit der Patentanmeldung beispielsweise eine direkte Verbindung über ein LAN (engl. Local Area Network) oder eine virtuelle private Netz¬ werkverbindung verstanden werden. "Connection type" can be understood in the context of the patent application, for example, a direct connection via a LAN (Engl. Local Area Network) or a virtual private network connection ¬ factory.
Unter "Zufallsbits" einer Zufallsbitfolge oder einer Pseudo Random Permutation können im Zusammenhang mit der Patentanmeldung zufällig oder pseudozufällig verteile Bitfolgen ver¬ standen werden. By "random" a random bit sequence or a pseudo-random permutation ver ¬ standing may be related to the patent application random or pseudo-random bit sequences distribute.
Unter "Netzwerkkommunikation" kann im Zusammenhang mit der Patentanmeldung eine Kommunikation zwischen Teilnehmern eines Computernetzwerkes verstanden werden. Unter Netzwerkkommuni- kation kann insbesondere eine verbindungsorientierte, insbe¬ sondere eine TCP/IP-basierte Netzwerkkommunikation, oder eine erbindungslose Kommunikation, insbesondere eine UDP-basierte Netzwerkkommunikation, verstanden werden. Darüber hinaus kann die Kommunikation als eine Punk-zu-Punkt Kommunikation oder auch als eine Gruppenkommunikation realisiert sein. Unter „Netzwerkkommunikation" kann insbesondere auch eine Kommunikation zwischen den Schichten eines Kommunikationsmodells, beispielsweise das OSI Modell oder das TCP/IP Modell, ver- standen werden. Die Kommunikation ist somit insbesondere nicht auf einzelne Schichten eines Kommunikationsmodells be¬ schränkt. Damit kann es sich bei der Netzwerkkommunikation beispielsweise um eine Kommunikation auf der Anwendungs¬ schicht und/oder der Vermittlungsschicht und/oder Bitübertra- gungsschicht und/oder einer anderen Schicht des Kommunikati¬ onsmodells handeln. In the context of the patent application, "network communication" can be understood to mean communication between users of a computer network. Under network communication cation particular, a connection-oriented, in particular ¬ sondere be understood to be a TCP / IP-based network communication, or Getting Connected wireless communications, in particular a UDP-based network communications. In addition, the communication may be realized as a punk-to-point communication or as a group communication. Under "network communication" in particular communication between the layers of a communication model, such as the OSI model or the TCP / IP model, understood to be. The communication is particularly not be on individual layers of a communication model be ¬ limits. This can be in the network communication, for example, a communication on the application ¬ layer and / or the network layer and / or bit transmission layer and / or another layer of Kommunikati ¬ onsmodells act.
Unter einer "Sicherheitsrichtlinie" oder einer Richtlinie kann im Zusammenhang mit der Patentanmeldung beispielsweise eine Security-Policy verstanden werden. Die Sicherheitsricht¬ linie kann beispielsweise angeben, ob eine Netzwerkkommunika¬ tion verschlüsselt stattfinden soll und/oder auf welchen Protokollebenen eines verwendeten Netzwerkprotokolls eine Ver¬ schlüsselung verwendet werden soll und/oder bestimmte Netz- werkprotokolle zur Kommunikation vorgibt. Auch kann die A "security policy" or a directive may, for example, be understood to mean a security policy in connection with the patent application. The security directional ¬ line may indicate for example, whether a Netzwerkkommunika ¬ tion to take place encrypted and / or on which protocol layers of a network protocol used a Ver ¬ encryption is to be used and / or certain network protocols for communication purports. Also, the
Sicherheitsrichtlinie beispielsweise bestimmte Sendeadressen und/oder bestimmte Sendeadressbereiche und/oder Empfangsad¬ ressen und/oder Empfangsadressbereiche vorgeben. Unter einer "Schicht" oder "Schichten" einer Netzwerkkommunikation kann im Zusammenhang mit der Patenanmeldung eine Security policy, for example, certain send addresses and / or certain send address ranges and / or Empfangsad ¬ resses and / or receive address ranges pretend. Under a "layer" or "layers" of a network communication in connection with the patent application a
Schicht nach dem OSI Modell, dem TCP/IP Modell oder einem an¬ deren Kommunikationsmodell verstanden werden. Unter einer "Programmkomponente" kann im Zusammenhang mit der Patentanmeldung eine Softwarekomponente mit Programmbefehlen verstanden werden, die das erfindungsgemäße Verfahren imple¬ mentieren . Unter "on-the-fly" kann im Zusammenhang mit der Patentanmel¬ dung verstanden werden, dass beispielsweise Datenpakete di¬ rekt während einer Verarbeitung in einer Netzwerkkomponente analysiert werden. Eine Netzwerkkomponente kann beispielswei¬ se ein Switch sein, der ein Datenpaket an den Port leitet mit dem ein Empfänger des Datenpaketes verbunden ist. Eine La¬ tenzzeit bei einer Übermittlung des Datenpakets wird dabei vorzugsweise nicht erhöht. Layer according to the OSI model, the TCP / IP model or a ¬ on their communication model are understood. A "program component" may be understood with program instructions in connection with the patent application, a software component, the method of the invention menting imple ¬. By "on-the-fly" can be understood in the context of patent applica ¬-making, for example, that data packets are analyzed di ¬ rectly during processing in a network component. A network component can be, for example, a switch that forwards a data packet to the port to which a receiver of the data packet is connected. A La ¬ tenzzeit at a transmission of the data packet is not preferably increased.
Unter einem "Netzwerkteilnehmer" oder "Teilnehmer" (einer Netzwerkkommunikation) kann im Zusammenhang mit der Patentanmeldung eine Workstation, ein Feldgerät oder Messgerät verstanden werden. Der Netzwerkteilnehmer oder Teilnehmer kann beispielsweise eine Netzwerkkommunikation über ein Netzwerk verwenden, um mit anderen Netzwerkteilnehmern zu kommunizieren und insbesondere dabei Daten oder Datenpakete austau¬ schen . Unter einem "Protokoll" oder einem "Kommunikationsprotokoll" kann im Rahmen der Patentanmeldung ein Netzwerkprotokoll, beispielsweise das TCP/IP-Protokoll oder das IPX/SPX-Proto- koll verstanden werden, das für eine Netzwerkkommunikation zwischen Netzwerkteilnehmern verwendbar ist. Ein Protokoll kann aber auch auf höheren OSI Schichten, wie z.B. auf der Anwendungsschicht, definiert sein. A "network subscriber" or "subscriber" (a network communication) can be understood in connection with the patent application to be a workstation, a field device or a measuring device. The network subscribers or subscriber can use, for example, a network communication over a network to communicate with other network devices, and particularly this data or data packets austau ¬ rule. In the context of the patent application, a "protocol" or a "communication protocol" can be understood as a network protocol, for example the TCP / IP protocol or the IPX / SPX protocol, which can be used for network communication between network users. However, a protocol can also be defined on higher OSI layers, such as on the application layer.
Unter einer "Datendiode" kann im Rahmen der Patentanmeldung ein unidirektionales Sicherheitsgateway oder ein unidirektio- nales Netzwerk oder eine unidirektionale Netzwerkkommunikati¬ on verstanden werden. Die Datendiode kann beispielsweise da¬ für sorgen, dass damit Daten nur in eine Richtung gesendet werden. Dies kann beispielsweise bedeuten, dass beispielswei¬ se von einem Sender zu einem bestimmten Netzwerkteilnehmer Daten (pakete) gesendet werden, aber insbesondere durch dieCan be understood under a "data Diode", a unidirectional security gateway as part of the patent application or a unidirectional network or a unidirectional Netzwerkkommunikati ¬ on. The data diode, for example, as care for ¬ that this data is sent in one direction only. This may for example mean that beispielswei ¬ se are sent from a transmitter to a particular network subscriber data (packets), but especially by the
Datendiode ein Senden von Daten vom Netzwerkteilnehmer zurück an den Sender unterbunden wird. Unter einer "unzureichenden Übereinstimmung" kann im Zusammenhang mit der Patentanmeldung verstanden werden, dass beispielsweise Datenbits von verschlüsselten Daten eines Datenpakets einer Netzwerkkommunikation bei einer statistischen Analyse statistischen Eigenschaften, insbesondere erwarteten oder vorgegebenen statistischen Eigenschaften, nicht genügt. Diese statistischen Eigenschaften können beispielsweise durch einen Verschlüsselungsalgorithmus vorgegeben werden, der durch eine Sicherheitsrichtlinie für die Netzwerkkommunikati- on gefordert wird. Dies kann bedeuten, dass die Datenbits der Nutzdaten des Datenpaketes beispielsweise eine zufällige sta¬ tistische Verteilung aufweisen sollen, um zu bestätigen, dass diese verschlüsselt sind. Weisen die Datenbits hingegen eine nicht-zufällige statistische Verteilung auf, weisen diese insbesondere eine unzureichende Übereinstimmung mit vorgege¬ benen statistischen Eigenschaften auf. Unter einer unzureichenden Übereinstimmung kann aber auch verstanden werden, dass eine oder mehrere Anforderungen einer Sicherheitsricht¬ linie an eine Netzwerkkommunikation nicht erfüllt sind. Data diode is prevented from sending data from the network participant back to the sender. In the context of the patent application, an "insufficient match" can be understood as meaning that, for example, data bits of encrypted data of a data packet of a network communication do not satisfy statistical properties, in particular expected or predetermined statistical properties, in a statistical analysis. These statistical properties can be predetermined, for example, by an encryption algorithm that is required by a security policy for network communication. This may mean that the data bits of the payload of the data packet should comprise, for example, a random distribution sta ¬ tical to confirm that they are encrypted. Assign the data bits, however, a non-random statistical distribution that have this particular insufficient compliance with specified differently surrounded statistical properties. However, an inadequate agreement can also be understood as meaning that one or more requirements of a security directive are not met in network communication.
Unter "Echtzeit" kann im Zusammenhang mit der Patentanmeldung verstanden werden, dass das Analysieren und/oder das Bereitstellen zuverlässig innerhalb einer vorbestimmten Zeitspanne, beispielsweise in einem festen Zeitraster, durchgeführt wird. Dies kann für eine Netzwerkkommunikation bedeuten, dass das Analysieren und/oder das Bereitstellen innerhalb einer Zeitspanne erfolgt, bevor das Datenpaket an sein Ziel übertragen wurde oder - falls eine Weiterleitung des Datenpakets von dem Analysieren und/oder dem Bereitstellen ohne eine nennenswer- te Erhöhung der Übertragungsdauer des Datenpaketes erfolgt. In the context of the patent application, "real time" can be understood to mean that the analysis and / or the provisioning are carried out reliably within a predetermined period of time, for example in a fixed time grid. For a network communication, this may mean that the analysis and / or the provisioning takes place within a period of time before the data packet has been transmitted to its destination or, if a forwarding of the data packet from the analyzing and / or the provisioning without a notable increase in the data packet Transmission duration of the data packet takes place.
Unter einem "Prozessor" kann im Zusammenhang mit der Patentanmeldung beispielsweise eine Maschine oder eine elektroni¬ sche Schaltung verstanden werden. Bei einem Prozessor kann es sich insbesondere um einen Hauptprozessor (engl. Central Processing Unit, CPU) , einen Mikroprozessor oder einen Mikro- kontroller handeln. Auch kann unter einem Prozessor ein virtualisierter Prozessor, der auch als Soft-CPU bezeichnet wird, verstanden werden. Es kann sich beispielsweise auch um einen programmierbaren Prozessor handeln, der mit Konfigurationsschritten zur Ausführung des genannten erfindungsgemäßen Verfahrens ausgerüstet wird oder mit Konfigurationsschritten derart konfiguriert ist, dass der programmierbare Prozessor die erfindungsgemäßen Merkmale des Gerätes, des Systems oder Teile des Systems aufweist. A "processor" may be understood in connection with the patent application, for example, a machine or electronic ¬ specific circuit. In particular, a processor can be a central processing unit (CPU), a microprocessor or a microcontroller. Also, under a processor may be a virtualized processor, also referred to as a soft CPU will be understood. It can also be a programmable processor, for example, which is equipped with configuration steps for carrying out the aforementioned method according to the invention or is configured with configuration steps in such a way that the programmable processor has the features according to the invention of the device, the system or parts of the system.
Das Verfahren ist insbesondere vorteilhaft, da es sich bei- spielsweise leicht integrieren lässt und ist insbesondere in vielen Anwendungsfällen transparent für alle Netzwerkteilnehmer (Bump-in-the-wire-Eigenschaft ) . Darüber hinaus lässt sich das Verfahren beispielsweise in Softwarekomponenten beim Netzwerk-Teilnehmer oder auf Netzwerk-Komponenten integrie- ren. Alternativ ist auch möglich, das Verfahren beispielsweise als Gerät zu implementieren, das passiv die Netzwerkkommu¬ nikation mithört. Insbesondere ist auch eine rückwirkungs¬ freie Implementierung mithilfe einer Datendiode denkbar, wodurch sich ein solches Gerät relativ einfach auch in sicher- heitskritische Systeme integrieren lässt. Bei sicherheitskri¬ tischen Systemen handelt es sich insbesondere um Safety bzw. eine funktionale Sicherheit des Systems. The method is particularly advantageous since it can be easily integrated, for example, and is transparent to all network users (bump-in-the-wire property), especially in many applications. In addition, the method can be, for example, in software components in the network subscriber or network components integrate ren. Alternatively, it is also possible to implement the method, for example, as a device that passively listens in the Netzwerkkommu ¬ communications. In particular, a kickback ¬ free implementation using a data diode is conceivable whereby such a device is relatively easy to integrate in safety-critical systems. In sicherheitskri ¬ technology systems are in particular to safety and functional safety of the system.
Auch ich das Verfahren nicht auf ein einzelnes Datenpaket be- schränkt, sondern kann auch mehrere Datenpakete für eine Ana¬ lyse verwenden. I also does not limit the method to a single packet of data loading, but can also use multiple data packets for Ana ¬ analysis.
Bei einer ersten Ausführungsform des Verfahrens ist die Netzwerkkommunikation entsprechend der Sicherheitsrichtlinie ver- schlüsselt, wobei für das Analysieren insbesondere auf kryp- tographische Schlüssel verzichtet wird. In a first embodiment of the method, the network communication is encrypted in accordance with the security policy, with no need for cryptographic keys for analyzing.
Für das Verfahren ist beispielsweise eine Verwendung oder ei¬ ne Kenntnis der kryptographischen Schlüssel, die zur Ver- Schlüsselung der Netzwerkkommunikation verwendet werden, unnötig und auf deren Verwendung kann somit insbesondere bei der Analyse verzichtet werden. Das Verfahren ist beispielsweise in der Lage, eine Übertra¬ gung von unverschlüsselten Daten zu unterbinden. Das Verfahren muss insbesondere über keinerlei Geheimnisse, beispiels¬ weise geheime kryptographische Schlüssel, verfügen, um den Verschlüsselungs-Zustand der Übertragung zu beurteilen. Auch kann je nach gewählter statistischer Funktion die Qualität der Verschlüsselung bewertet werden, indem eine statistische Verteilung von Datenbits der Nutzdaten des Datenpakets ausge¬ wertet wird. For example, a use or ei ¬ ne knowledge of the cryptographic keys that are used to encrypt the network communication, unnecessary for the process and their use can thus be omitted in particular in the analysis. The method is for example able to inhibit Übertra ¬ supply of unencrypted data. The procedure shall in particular no secrets, example ¬ as secret cryptographic keys, have to assess the encryption status of the transmission. The quality of the encryption can be evaluated depending on the selected statistical function by a statistical distribution of data bits of the payload of the data packet out ¬ upgraded.
Es kann also damit festgestellt werden, ob überhaupt ver¬ schlüsselt wird. Verschlüsselungsverfahren, die sich insbesondere statistisch nicht von Rauschen unterscheiden, können als unsicher betrachtet werden. Es ist damit beispielsweise auch möglich so Integrationsfehler oder Implementierungsfehler eines Systems zu erkennen, beispielsweise wenn ein kon¬ stanter Initialisierungsvektor bei einer verschlüsselten Netzwerkkommunikation eingesetzt wird, was ebenfalls die Qua¬ lität der Verschlüsselung reduziert. It can be stated thus so if at all ver ¬ is encrypted. Encryption methods, which in particular do not differ statistically from noise, can be regarded as unsafe. It is therefore also possible for example to integration errors or implementation error of a system to detect, for example, when a con ¬ stant initialization vector is used with an encrypted network communication, which also reduces the Qua ¬ formality of encryption.
Bei weiteren Ausführungsformen des Verfahrens wird das Datenpaket zwischengespeichert und das Analysieren wird insbeson¬ dere zu einem festlegbaren späteren Zeitpunkt durchgeführt. Hierdurch wird beispielsweise ermöglicht, auch eine Analyse bei hoher Netzwerklast durchzuführen, damit beispielsweise eine zu hohe Auslastung eines Prozessors, der das Verfahren ausführt, verhindert wird. Bei weiteren Ausführungsformen des Verfahrens erfolgt dasIn further embodiments of the method the data packet is stored and analyzing is performed insbeson ¬ particular to a definable later. This makes it possible, for example, to perform an analysis at high network load, so that, for example, excessive utilization of a processor that performs the method is prevented. In further embodiments of the method, the
Analysieren des Datenpakets direkt nach dem Erfassen, wobei das Analysieren vorzugsweise in Echtzeit erfolgt. Analyzing the data packet immediately after detection, wherein the analyzing is preferably done in real time.
Hierdurch wird beispielsweise ermöglicht, ein Datenpaket di- rekt während der Übertragung in einem Netzwerk zu beurteilen. Falls eine unzureichende Übereinstimmung mit der Sicherheits¬ richtlinie festgestellt wurde, kann beispielsweise ein Ver¬ senden des Datenpakets an einen Empfänger unterbunden werden. Bei weiteren Ausführungsformen des Verfahrens wird konfigu¬ riert, ob das Datenpaket für eine spätere Analyse zwischenge¬ speichert wird oder die Analyse direkt erfolgt. This makes it possible, for example, to judge a data packet directly during transmission in a network. If an inadequate compliance with the security policy ¬ has been found, for example, a ¬ Ver send the data packet can be suppressed to a receiver. In further embodiments, the method is confi ¬ riert, whether the data packet for later analysis zwischenge ¬ is stored or is analyzed directly.
Hierdurch lässt sich beispielsweise das Verfahren an unterschiedliche Anwendungsszenarien oder unterschiedliche Netzauslastungssituationen anpassen. Bei weiteren Ausführungsformen des Verfahrens werden für das Charakterisieren eine MAC-Adresse und/oder eine IP-Adresse und/oder ein Port und/oder Merkmale im Protokollheader des Datenpaketes ausgewertet. As a result, for example, the method can be adapted to different application scenarios or different network utilization situations. In further embodiments of the method, a MAC address and / or an IP address and / or a port and / or features in the protocol header of the data packet are evaluated for the characterization.
Hierdurch ist es beispielsweise möglich, schnell zu beurtei¬ len, ob ein Datenpaket oder die Nutzdaten eines Datenpakets auf der durch die Sicherheitsrichtlinie vorgegebenen Schicht, beispielsweise eine Schicht nach dem OSI Model oder dem In this way it is for example possible to quickly beurtei ¬ len, whether a data packet or the payload of a data packet to the specified by the security policy layer, for example a layer according to the OSI Model or
TCP/IP Model, verschlüsselt ist. TCP / IP model that is encrypted.
Bei weiteren Ausführungsformen des Verfahrens ist über das Datenpaket eine Konfigurationsinformation bekannt. In further embodiments of the method, configuration information is known about the data packet.
Ist über das Datenpaket eine Konfigurationsinformation, bei- spielsweise das Kommunikationsprotokoll oder eine Datenstruk¬ tur des Datenpaketes, apriori bekannt, kann dies insbesondere bei Kommunikationsnetzwerken oder selbstentwickelten Kommunikationsnetzwerken, die typischerweise im Automatisierungsbe¬ reich eingesetzt werden, ausgenutzt werden. Damit kann die Analyse der Nutzdaten wesentlich effizienter durchgeführt werden, da der zu untersuchende Teil des Datenpaketes nicht erst ermittelt werden muss, sondern durch die Kenntnis des Anwendungsprotokolls bekannt ist. Damit kann insbesondere bei einer Analyse der Nutzdaten, die in Echtzeit durchgeführt werden sollen, die einzuhaltende Zeitdauer für die Analyse verbessert werden. Bei weiteren Ausführungsformen des Verfahrens ist die mindes¬ tens eine statistische Funktion ein Chi-Quadrat-Test und/oder Kolmogorow-Smirnow-Test und/oder ein G-Test. Hierdurch kann beispielsweise auf einfache Weise festgestellt werden, ob die Nutzdaten des Datenpakets verschlüsselt sind. Hierdurch wird beispielsweise mittels der statistischen Funktion untersucht, ob die verschlüsselten Nutzdaten einem zufälligen Bitmuster entsprechen. Hat das Bitmuster beispiels- weise eine breite Streuung (zufälliges Bitmuster), so kann dies als ein Indikator für eine verschlüsselte Netzwerkverbindung aufgefasst werden. Die statistische Funktion ist ins¬ besondere nicht auf die oben genannten statistischen Funktio¬ nen beschränkt, sondern kann auch andere statistische Funkti- onen nutzen. Is on the data packet configuration information, game as examples known communication protocol or a data structural ¬ structure of the data packet, a priori, this can be exploited particularly in communication networks or self-developed communication networks, which are typically used in Automatisierungsbe ¬ rich. Thus, the analysis of the user data can be carried out much more efficiently, since the part of the data packet to be examined does not first have to be determined, but is known by the knowledge of the application protocol. This can be improved in particular in an analysis of the payload, which should be performed in real time, the time to be observed for the analysis. In further embodiments of the method, the Minim ¬ is a statistical function least a chi-squared test and / or Kolmogorov-Smirnov test and / or a G-test. In this way, for example, it can be determined in a simple manner whether the user data of the data packet is encrypted. As a result, it is examined, for example by means of the statistical function, whether the encrypted user data corresponds to a random bit pattern. For example, if the bit pattern has a wide spread (random bit pattern), this can be construed as an indicator of an encrypted network connection. The statistical function is not limited to the particular ¬ to the above statistical func ¬ nen, but can use other ones statistical functional.
Bei weiteren Ausführungsformen des Verfahrens werden für das Analysieren ermittelte statistische Eigenschaften von verschlüsselten Nutzdaten des Datenpaketes der verschlüsselten Netzwerkkommunikation mit erwarteten statistischen Eigenschaften verglichen. In further embodiments of the method, statistical properties of encrypted user data of the encrypted network communication data packet determined with the analysis are compared with expected statistical properties.
Hierdurch ist es beispielsweise möglich, die Sicherheit des Analyseverfahrens zu erhöhen. Dies kann beispielsweise da- durch geschehen, dass statistische Eigenschaften der Zufallsverteilung der Bits eines verschlüsselten Datenpaketes genauer untersucht werden und diese ermittelten Eigenschaften mit erwarteten statistischen Eigenschaften verglichen werden. Bei weiteren Ausführungsformen des Verfahrens steuert die Steuerinformation eine Trennung der Netzwerkkommunikation und/oder eine Übermittlung des Datenpaketes und/oder ein Auslösen eines optischen oder akustischen Signals und/oder ein Protokollieren eines Ergebnisses des Analysierens in einer sicheren Protokoll-Datei. This makes it possible, for example, to increase the security of the analysis method. This can be done, for example, by examining in more detail statistical properties of the random distribution of the bits of an encrypted data packet and by comparing these determined properties with expected statistical properties. In further embodiments of the method, the control information controls a separation of the network communication and / or a transmission of the data packet and / or a triggering of an optical or acoustic signal and / or a logging of a result of the analysis in a secure log file.
Hierdurch ist es möglich, beispielsweise beim Erkennen einer fälschlicherweise unverschlüsselten Netzwerkkommunikation die Übertragung der Datenpakete zu unterbinden und damit eine mögliche Sicherheitslücke oder ein Versenden kryptographisch ungeschützter Daten zu verhindern. Bei weiteren Ausführungsformen des Verfahrens wird beim Analysieren zusätzlich eine Analysefunktion auf das Datenpaket angewendet, wobei die Analysefunktion insbesondere die Quali¬ tät einer Verschlüsselung bestimmt. Hierdurch lässt sich beispielsweise prüfen, ob eine Ver¬ schlüsselung der Netzwerkkommunikation mit einem starken kryptographischen Schlüssel oder mit einem schwachen kryptog- raphischen Schlüssel erfolgt ist. Dies kann beispielsweise dadurch festgestellt werden, dass bei einer Verwendung eines schwachen kryptographischen Schlüssels innerhalb einer kurzen Zeit die Nutzdaten des Datenpaketes als Klartext vorliegen. Bei der Analysefunktion kann es sich beispielsweise um eine Brute-Force-Funktion zum Test auf Downgrade-Angriffe (Export- Schlüssellänge) handeln. This makes it possible, for example, when detecting a falsely unencrypted network communication the Transmission of data packets to prevent and thus prevent a possible security hole or sending cryptographically unprotected data. In further embodiments of the method, wherein the analysis function in particular determines the Quali ty ¬ encryption additionally applied an analysis function to the data packet parsing. In this way can check whether a Ver ¬ encryption of network communication is carried out with a strong cryptographic keys, or with a weak cryptographic key, for example. This can be determined, for example, by the fact that, when using a weak cryptographic key, the payload of the data packet is present in plain text within a short time. For example, the analysis function can be a brute-force function to test downgrade attacks (export key length).
Gemäß einem weiteren Aspekt betrifft die Erfindung ein Analy¬ semodul zum rechnergestützten Überprüfen einer Netzwerkkommunikation. Das Analysemodul umfasst eine Erfassungseinrichtung zum Erfassen eines Datenpaketes der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist. Das Analysemodul umfasst zusätzlich eine Ana¬ lyseeinrichtung zum Analysieren der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation an- hand des Datenpaketes und/oder der Sicherheitsrichtlinie cha¬ rakterisiert wird. Das Analysemodul umfasst zusätzlich eine Bereitstellungseinrichtung zum Bereitstellen einer Steuerinformation, falls die Netzwerkkommunikationsverbindung eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist. Das Analysemodul kann beispielsweise auch einen Prozessor und/oder eine Speichereinheit umfassen, um die einzelnen Einrichtungen anzusteuern. Bei einer ersten Ausführungsform des Analysemoduls ist das Analysemodul eine dedizierte Netzwerkkomponente, die insbe¬ sondere zwischen einem Teilnehmer und anderen Teilnehmern eines Netzwerkes, das der Netzwerkkommunikation dient, geschal¬ tet ist. Das Analysemodul kann aber auch eine Programmkompo- nente im Betriebssystem eines Teilnehmers der Netzwerkkommu¬ nikation sein. Das Analysemodul kann aber auch eine Programmkomponente in anderen Netzwerkkomponenten des Netzwerkes, das der Netzwerkkommunikation dient, sein, insbesondere einem Router oder einem Switch. Das Analysemodul kann aber auch ein Plugin für eine Software Applikation sein, insbesondere einem Browser-Plugin . According to a further aspect, the invention relates to a Analy ¬ semodul for computer-aided checking a network communication. The analysis module comprises a detection device for detecting a data packet of the network communication, wherein the network communication is assigned a security policy. The analysis module further comprises an Ana ¬ lyseeinrichtung for analyzing the network communication based on the data packet using at least one statistical function, for analyzing the network communication based on the data packet and / or the security policy cha ¬ is character-. The analysis module additionally includes provisioning means for providing control information if the network communication connection has insufficient compliance with the security policy. By way of example, the analysis module can also include a processor and / or a memory unit in order to control the individual devices. In a first embodiment of the analysis module, the analysis module is a dedicated network component in particular ¬ sondere between a subscriber and other subscribers of a network that is the network communication, is geschal ¬ tet. But the analysis module can also be Programmkompo- component in the operating system of a participant of Netzwerkkommu ¬ communications. However, the analysis module can also be a program component in other network components of the network that serves the network communication, in particular a router or a switch. The analysis module can also be a plug-in for a software application, in particular a browser plug-in.
Gemäß einem weiteren Aspekt betrifft die Erfindung ein Sys¬ tem, das einen erfindungsgemäßen Analysemodus aufweist. According to a further aspect, the invention relates to a system which has an analysis mode according to the invention.
Des Weiteren wird ein Computerprogrammprodukt mit Programmbe¬ fehlen zur Durchführung des genannten erfindungsgemäßen Verfahrens beansprucht. Zusätzlich wird eine Variante des Computerprogrammproduktes mit Programmbefehlen zur Konfiguration eines Erstellungsgeräts, beispielsweise eines 3D-Druckers oder eines ähnlichen Geräts, beansprucht, wobei das Erstellungsgerät mit den Pro¬ grammbefehlen derart konfiguriert wird, dass das genannte er- findungsgemäße Analysemodul erstellt wird. Furthermore, a computer program product with program examples is claimed for carrying out said method according to the invention. In addition, a variant of the computer program product with program instructions for configuring a creation device, for example a 3D printer or a similar device claimed, wherein the creation device with the program commands ¬ is configured such that said inventive analysis module is created.
Darüber hinaus wird eine Bereitstellungsvorrichtung zum Speichern und/oder Bereitstellen des Computerprogrammprodukts be¬ ansprucht. Die Bereitstellungsvorrichtung ist beispielsweise ein Datenträger, der das Computerprogrammprodukt speichert und/oder bereitstellt. Alternativ und/oder zusätzlich ist die Bereitstellungsvorrichtung beispielsweise ein Netzwerkdienst, ein Computersystem, ein Serversystem, insbesondere ein ver- teiltes Computersystem, ein cloudbasiertes Rechnersystem und/oder virtuelles Rechnersystem, welches das Computerpro¬ grammprodukt vorzugsweise in Form eines Datenstroms speichert und/oder bereitstellt. In addition, a provision device for storing and / or providing the computer program product is claimed . The provisioning device is, for example, a data carrier which stores and / or makes available the computer program product. Alternatively and / or additionally, the provisioning device is, for example, a network service, a computer system, a server system, in particular a network server. partitioned computer system, a cloud-based computer system and / or virtual computer system which comprises Computerpro ¬ program product preferably in the form of a data stream, stores and / or provides.
Diese Bereitstellung erfolgt beispielsweise als Download in Form eines Programmdatenblocks und/oder Befehlsdatenblocks, vorzugsweise als Datei, insbesondere als Downloaddatei, oder als Datenstrom, insbesondere als Downloaddatenstrom, des vollständigen Computerprogrammprodukts. Diese Bereitstellung kann beispielsweise aber auch als partieller Download erfol¬ gen, der aus mehreren Teilen besteht und insbesondere über ein Peer-to-Peer Netzwerk heruntergeladen oder als Datenstrom bereitgestellt wird. Ein solches Computerprogrammprodukt wird beispielsweise unter Verwendung der Bereitstellungsvorrichtung in Form des Datenträgers in ein System eingelesen und führt die Programmbefehle aus, sodass das erfindungsgemäße Verfahren auf einem Computer zur Ausführung gebracht oder das Erstellungsgerät derart konfiguriert wird, dass dieses das erfindungsgemäße Analysemodul erstellt. This provision takes place, for example, as a download in the form of a program data block and / or command data block, preferably as a file, in particular as a download file, or as a data stream, in particular as a download data stream, of the complete computer program product. This provision, for example, but also as a partial download SUC ¬ gen, which consists of several parts, in particular through a peer-to-peer network downloaded or is provided as a data stream. Such a computer program product is read, for example, using the provision device in the form of the data carrier in a system and executes the program commands, so that the inventive method executed on a computer or the authoring device is configured such that it creates the analysis module according to the invention.
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusam- menhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Figuren näher erläutert werden. Dabei zeigen in schematischer Darstellung: The above-described characteristics, features, and advantages of this invention, as well as the manner in which they will be achieved, will become clearer and more clearly understood in connection with the following description of the embodiments which will be described in connection with the figures. This show in a schematic representation:
Fig. 1 ein Ablaufdiagramm eines ersten Ausführungsbei- spiels des offenbarten Verfahrens; 1 shows a flowchart of a first exemplary embodiment of the disclosed method;
Fig. 2 eine Implementierung eines zweites Ausführungsbei¬ spiel des offenbarten Verfahrens; Fig. 3 eine Implementierung eines dritten Ausführungsbei¬ spiel des offenbarten Verfahrens; Fig. 4 ein Analysemodul eines vierten Ausführungsbei¬ spiels; und FIG. 2 shows an implementation of a second Ausführungsbei ¬ play of the disclosed method; FIG. 3 shows an implementation of a third Ausführungsbei ¬ play of the disclosed method; Fig. 4 is an analysis module of a fourth Ausführungsbei ¬ game; and
Fig. 5 ein System mit einem Analysemodul. 5 shows a system with an analysis module.
In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist. In the figures, functionally identical elements are provided with the same reference numerals, unless stated otherwise.
Fig. 1 zeigt ein Ablaufdiagramm eines ersten Ausführungsbei- spiels des offenbarten Verfahrens. 1 shows a flowchart of a first exemplary embodiment of the disclosed method.
Das Verfahren ist in der Lage eine Netzwerkkommunikation, beispielsweise eine verbindungsorientierte oder eine verbin¬ dungslose Kommunikation von einem oder mehreren Teilnehmern der Netzwerkkommunikation zu überprüfen. Insbesondere ist das Verfahren in der Lage zu überprüfen, ob die Netzwerkkommunikation an sich oder die Netzwerkkommunikation zwischen Teilnehmern Vorgaben einer Sicherheitsrichtlinie, beispielsweise ob die Netzwerkkommunikation verschlüsselt ist, entspricht. The method is a network communication in a position, for example a connection-oriented or verbin ¬ dung-free communication of one or more participants of the network communication to check. In particular, the method is able to check whether the network communication per se or the network communication between subscribers corresponds to specifications of a security policy, for example whether the network communication is encrypted.
Hierzu umfasst das Verfahren einen ersten Verfahrensschritt zum Erfassen 110 eines Datenpakets der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist. Bei dem Datenpaket kann es sich beispielswei- se um einen Ethernetframe handeln, der als Nutzdaten ein IP- Paket enthält, wobei entsprechend der Sicherheitsrichtlinie beispielsweise das IP-Paket oder die Nutzdaten des IP-Pakets verschlüsselt sein sollen. Es ist aber auch denkbar, dass das IP-Paket nur bestimmte Quell- und/oder Zieladressen und/oder Quell- und/oder Zieladressbereiche umfassen darf. Dies be¬ schränkt sich nicht nur auf das IP-Paket, ähnliche Anforde¬ rungen kann die Sicherheitsrichtlinie an die MAC-Adressen im Ethernetframe stellen. Die Sicherheitsrichtlinie kann dabei unterschiedliche Parameter auf unterschiedlichen Schichten der Netzwerkkommunikation alleine und in Kombination angeben. For this purpose, the method comprises a first method step for detecting 110 a data packet of the network communication, wherein the network communication is assigned a security policy. The data packet can be, for example, an Ethernet frame which contains an IP packet as user data, whereby according to the security policy, for example, the IP packet or the payload of the IP packet should be encrypted. However, it is also conceivable that the IP packet may only include certain source and / or destination addresses and / or source and / or destination address ranges. This ¬ be limited not only to the IP packet, similar Anforde ¬ conclusions can provide the security policy to the MAC address in the Ethernet frame. The security policy can specify different parameters on different layers of the network communication alone and in combination.
Zusätzlich umfasst das Verfahren einen zweiten Verfahrensschritt zum Analysieren 120 der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funk¬ tion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie charakte¬ risiert wird. Mittels der statistischen Funktion können bei- spielsweise die statistischen Eigenschaften während des Ana¬ lysierens ausgewertet werden. Beispielsweise kann mit Hilfe eines Chi-Quadrat-Testes als statistische Funktion entschie¬ den werden, ob eine Verschlüsselung noch intakt ist oder ob sie durch absichtliche oder zufällige Manipulation deakti- viert wurde. Additionally, the method includes a second method step of analyzing network communication 120 of the data packet using at least one statistical radio ¬ tion, wherein for analyzing the network communication based on the data packet and / or the security policy is characte ized ¬. By means of the statistical function the statistical properties during Ana ¬ lysing can be evaluated examples play as. For example, can using a chi-square test, a statistical function entschie ¬ be the whether encryption is still intact or whether it was deliberate or accidental fourth deactivated by manipulation.
Wurde beispielsweise festgestellt, dass eine vorgegebene Ver¬ schlüsselung nicht mehr aktiv ist, also Daten im Klartext übertragen werden, so wird in einem dritten Verfahrensschritt eine Steuerinformation bereitgestellt 130. Insbesondere wird diese Steuerinformation bereitgestellt, falls die Netzwerk¬ kommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist. Das Verfahren analysiert zum Feststellen, ob eine Netzwerkkommunikation verschlüsselt ist, die Nutzdaten des Datenpa¬ kets. Hierzu wird beispielsweise eine statistische Verteilung der Datenbits der Nutzdaten mittels der statistischen Funktion ausgewertet. Sind die Nutzdaten verschlüsselt, so sollte die statistische Verteilung der Datenbits vorzugsweise gleichverteilt sein - d.h. die Datenbits der Nutzdaten soll¬ ten einer statistischen Verteilung einer Zufallsbitfolge entsprechen. Durch diese statistische Auswertung kann das Verfahren auf die Nutzung von kryptographischen Schlüsseln ver- ziehten. Dadurch ist das Verfahren flexibel einsetzbar und eine hohe Sicherheit der verschlüsselten Netzwerkkommunikati¬ on gewährleistet, da nur die Teilnehmer der verschlüsselten Netzwerkkommunikation über die kryptographischen Schlüssel verfügen müssen. Was found for example that a predetermined Ver ¬ encryption is no longer active, so data is transmitted in clear text, in a third method step, a control information is provided 130. In particular, this control information is provided if the network ¬ communication inadequate compliance with the security policy having. The method analyzes to determine whether a network communication is encrypted, the payload of the Datenpa ¬ kets. For this purpose, for example, a statistical distribution of the data bits of the user data is evaluated by means of the statistical function. If the user data is encrypted, the statistical distribution of the data bits should preferably be uniformly distributed - ie the data bits of the user data should correspond to a statistical distribution of a random bit sequence . Through this statistical analysis, the method can avoid the use of cryptographic keys. As a result, the method can be used flexibly and ensures high security of the encrypted network communication , since only the subscribers of the encrypted network communication must have the cryptographic keys.
Mit anderen Worten bedeutet dies, dass die Netzwerkkommunika¬ tion insbesondere auf eine intakte Verschlüsselung überprüft werden kann, da eine wichtige Eigenschaft von starken Ver- Schlüsselungsverfahren ist, dass Datenpakete, die aus dieser Verschlüsselung resultieren, auf einen Dritten, nicht beteiligten Betrachter wie eine Zufallsbitfolge wirken. Dies folgt unmittelbar aus Eigenschaften von starken kryptographischen Algorithmen, insbesondere sollen sich Blockciphers ohne In other words, this means that the Netzwerkkommunika ¬ tion can be particularly checked for an intact encryption because an important characteristic of strong encryption The key method is that data packets resulting from this encryption act as a random bit string on a third party, uninvolved viewers. This follows directly from properties of strong cryptographic algorithms, in particular, blockciphers should be without
Kenntnis des Schlüssels nicht von einer Pseudo Random Permu¬ tation unterscheiden lassen, so dass durch Anwendung eines geeigneten Betriebsmodus (CBC, GCM, ...) das Resultat der Ver¬ schlüsselung sich in der Praxis nicht von einer Zufallsfolge unterscheiden lässt. Knowledge of the key can not be distinguished from a pseudo-random permu ¬ tation so that by applying a suitable operating mode (CBC, GCM, ...) the result of the Ver ¬ encryption can not be distinguished from a random sequence in practice.
Verschlüsselungsalgorithmen, die diese Eigenschaften nicht besitzen, gelten als gebrochen. Die statistische Funktion analysiert entsprechend diese statistische Eigenschaft, bei- spielsweise mittels eines Chi-Quadrat-Tests , um abhängig da¬ von zu entscheiden, ob eine Verschlüsselung noch intakt ist oder ob sie durch absichtliche oder zufällige Manipulation deaktiviert wurde. Sollte das Verfahren insbesondere eine deutliche Abweichung in der Statistik feststellen, mit ande- ren Worten die Netzwerkkommunikation weist eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie auf, könnte in einem solchen Fall eine vordefinierte Aktion ausgeführt wer¬ den, wobei die Aktion beispielsweise mit der Steuerinformati¬ on gesteuert werden kann. Die Steuerinformation oder die vor- gesehene Aktion kann beispielsweise die Übertragung unterbre¬ chen . Encryption algorithms that do not have these properties are considered broken. The statistical function analyzes these statistical property accordingly, examples play by means of a chi-square tests to ¬ by deciding depending as whether encryption is still intact or has been disabled by intentional or accidental manipulation. If the method is particularly notice a significant difference in the statistics, with On the other reindeer words, the network communication is insufficient in accordance with the security policy to, in such a case a predefined action could run ¬ to where the action is, for example, with the Steuerinformati ¬ on can be controlled. The control information or the pre-seen action, for example, the transfer interrup ¬ chen.
Der Zugriff auf den Datenverkehr durch das Verfahren kann innerhalb des Kommunikationspfades der Netzwerkkommunikation innerhalb eines Netzwerkes, beispielsweise durch die Imple¬ mentierung des Verfahrens als eigenständiges Analysemodul, erfolgen . The access to the data traffic through the process can take place within the communication path of the network communication within a network, for example by the imple mentation of the process as a separate ¬ analysis module.
Alternativ kann das Verfahren beispielsweise durch eine Er- Weiterung von existierenden Komponenten realisiert werden.Alternatively, the method can be realized, for example, by extending existing components.
Ein Beispiel wäre ein Router oder Switch, der den Datenstrom bzw. die Datenpakete on-the-fly analysiert. Dabei ist es nicht unbedingt wichtig, die Analyse in Echtzeit bzw. in sehr 1 b An example would be a router or switch that analyzes the data stream or packets on-the-fly. It is not necessarily important, the analysis in real time or in very much 1 b
kurzer Zeit durchzuführen. Vielmehr kann ein Datenpaket (Frame) kopiert und analysiert werden. Das Verfahren charakterisiert dazu vorzugsweise die Verbindung sowie die entsprechen¬ de Sicherheitsrichtlinie der Netzwerkkommunikation. to carry out a short time. Rather, a data packet (frame) can be copied and analyzed. The method is characterized to preferably the compound and the corresponding de ¬ security policy of the network communication.
Dabei kann beispielsweise der Verbindungstyp der Netzwerkkom¬ munikation abhängig vom Kommunikationspfad anhand der nachfolgenden Merkmale identifiziert werden: In this example, the connection type of Netzwerkkom ¬ munication can be identified by the following features depending on the communication path:
MAC-Adresse  MAC address
- IP-Adresse - IP address
IP-Adresse und Port  IP address and port
Merkmale im Protokoll-Header (falls dieser unverschlüs¬ selt ist), beispielsweise ein Identifizierer (engl. Features in the protocol header (if it is rare unverschlüs ¬), for example, an identifier (engl.
Identifier) .  Identifier).
Wird eine Abweichung von der Sicherheitsrichtlinie festge¬ stellt, kann eine Steuerinformation, die eine definierte Ak¬ tion steuert, beispielsweise das Auslösen eines Abbruchs der Verbindung oder einer Alarmmeldung, bereitgestellt werden. If a deviation of the security policy Festge ¬ represents, a control information which controls a defined Ak ¬ tion, for example, triggering a termination of the compound or an alarm message can be provided.
Das Verfahren lässt sich insbesondere auf unterschiedliche Weise als Analysemodul realisieren. Das Analysemodul kann beispielsweise als The method can be realized in particular in different ways as an analysis module. The analysis module can be used, for example, as
eine dedizierte Netzwerkkomponente (d.h. als ein eigen- ständiges Analysemodul) implementiert werden, die per a dedicated network component (i.e., as a standalone analysis module) implemented per
LAN Kabel zwischen einen Netzwerkteilnehmer und dasLAN cable between a network participant and the
Netzwerk geschaltet wird, Network is switched,
eine Programmkomponente im Betriebssystem, beispielswei¬ se eine Linuxdistribution, des Netzwerkteilnehmers rea- lisiert sein, beispielsweise im Linux Kernel der a program component in the operating system, beispielswei ¬ se a Linux distribution, the network station FGD be lisiert, for example in the Linux kernel
Linuxdistribution,  Linux distribution,
eine Programmkomponente eines Netzwerkgerätes implemen¬ tiert werden, beispielsweise in einem Router oder einem Switch, oder a program component of a network device to be implemen ¬ advantage, for example in a router or a switch, or
- ein Plugin für Software Anwendung implementiert sein, beispielsweise als Browser-Plugin. Es ist beispielsweise auch denkbar, dass eine bestehende Netzwerkkomponente mittels einer Programmkomponente um das Analysemodul erweitert wird. Dies kann beispielsweise mittels eines Firmware-Updates geschehen. - a plugin for software application implemented, for example as a browser plugin. It is also conceivable, for example, for an existing network component to be expanded by the analysis module by means of a program component. This can be done for example by means of a firmware update.
Je nach gewählter Implementierung kann das Analysemodul einen eigenen Prozessor und/oder Speicher zum Ausführen des Verfahrens umfassen oder es wird der Prozessor und/oder Speicher des Netzwerkgerätes zum Ausführen des Verfahrens benutzt. Wird das Verfahren als Programmkomponente im Betriebssystem oder als Plugin realisiert, so kann zum Ausführen des Verfahrens der Prozessor und/oder Speicher verwendet werden, den das Betriebssystem oder das Plugin verwendet. Der Verfahrensschritt des Analysierens oder auch das Analyse¬ modul kann beispielsweise unterschiedliche Kommunikationspro¬ tokolle oder Schichten der Netzwerkkommunikation beobachten. Je nach Anwendungsfall können verschiedene Schichten und/oder Protokollteile auf deren Verschlüsselung hin beobachtet wer- den. Hierzu kann beispielsweise die Transportschicht, bei¬ spielsweise beim TLS-Protokoll , und/oder die Applikations¬ schicht, beispielsweise beim HTTPS-Protokoll , und/oder die Vermittlungsschicht, beispielsweise beim IPsec-Protokoll ana¬ lysiert werden. Depending on the implementation chosen, the analysis module may include its own processor and / or memory for carrying out the method, or the processor and / or memory of the network device may be used to perform the method. If the method is implemented as a program component in the operating system or as a plug-in, the processor and / or memory used by the operating system or the plug-in can be used to execute the method. The step of analyzing or the analysis module ¬ can observe, for example, different protocols or communications pro ¬ layers of network communication. Depending on the application, different layers and / or protocol parts can be monitored for their encryption. For this example, the transport layer are lysed at ¬ play, when TLS protocol, and / or the application ¬ layer, for example, the HTTPS protocol, and / or the network layer, for example when IPsec protocol ana ¬.
Die Überprüfung der statistischen Eigenschaften mittels der statistischen Funktion bezieht sich insbesondere auf den verschlüsselten Teil oder die verschlüsselten Nutzdaten des Datenpaketes, das mit einem bestimmten Protokoll übertragen wird. The verification of the statistical properties by means of the statistical function relates in particular to the encrypted part or the encrypted user data of the data packet which is transmitted with a specific protocol.
Es stehen beispielsweise mehrere Algorithmen als statistische Funktion zur Verfügung, um vorzugsweise eine kontinuierliche Statistik von übertragenen Datenpaketen zu berechnen, um festzustellen, ob eine Netzwerkkommunikation und somit die Datenpakete und deren Nutzdaten verschlüsselt sind. Beispielsweise kann der Chi-Quadrat-Test als statistische Funktion verwendet werden, der prüft, ob vorliegende Daten¬ bits der Nutzdaten des Datenpakets auf eine bestimmte Weise verteilt sind. Es kann aber auch der Kolmogorow-Smirnow-Test als statistische Funktion verwendet werden, der anhand vonFor example, several algorithms are available as a statistical function to preferably calculate a continuous statistic of transmitted data packets to determine if a network communication and thus the data packets and their payload are encrypted. For example, the chi-square test can be used as a statistical function, which checks whether existing data ¬ bits of the payload of the data packet are distributed in a certain way. However, it is also possible to use the Kolmogorov-Smirnov test as a statistical function, which is based on
Stichproben prüft, ob eine Zufallsvariable in Form der Daten¬ bits der Nutzdaten des Datenpakets einer zuvor angenommenen Wahrscheinlichkeitsverteilung folgt. Es kann aber auch der G- Test als statistische Funktion verwendet werden, der prüft, ob Auftritts-Häufigkeiten von Datenbits der Nutzdaten des Datenpakets durch Zufall zustande gekommen sind. Sampling checks whether a random variable follows in the form of the data ¬ bits of the payload of the data packet to a probability distribution previously adopted. However, it is also possible to use the G-test as a statistical function, which checks whether occurrence frequencies of data bits of the user data of the data packet have come about by chance.
Es können beispielsweise auch mehrere statistische Funktionen in Kombination eingesetzt werden. For example, several statistical functions can also be used in combination.
Wird beim Analysieren festgestellt, dass die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist, also beispielsweise Nutzdaten eines Datenpaketes als Klartext verschickt werden, obwohl die Is found during the analysis that the network communication has an insufficient compliance with the security policy, so for example payload data of a data packet are sent as plain text, although the
Sicherheitsrichtlinie vorgibt, diese verschlüsselt zu ver¬ schicken, können unterschiedliche Aktionen durch eine Steuerinformation gesteuert werden. Security guideline pretends to encrypt these ver ¬ send, different actions can be controlled by a control information.
Sollte also eine unverschlüsselte Daten-Übertragung detek- tiert werden, ist eine Vielzahl Reaktionen denkbar, die einzeln oder in Kombination durch die Steuerinformation gesteuert werden können. Beispielsweise kann die Verbindung zwischen Teilnehmern der Netzwerkkommunikation getrennt werden, ein optisches und/oder akustisches Signal ausgelöst werden und/oder die Änderung und/oder die unzulässige Übereinstimmung in einer sicheren (geschützten) Protokoll-Datei gespeichert werden. If therefore an unencrypted data transmission is detected, a multiplicity of reactions is conceivable which can be controlled individually or in combination by the control information. For example, the connection between participants of the network communication can be disconnected, a visual and / or acoustic signal can be triggered and / or the change and / or the illegal match can be stored in a secure (protected) log file.
Mit der Steuerinformation kann beispielsweise die Sicher- heitsrichtlinie durchgesetzt werden und bei einem Nicht¬ Einhalten der Sicherheitsrichtlinie die Netzwerkkommunikation unterbunden werden. Fig. 2 zeigt eine Implementierung eines zweiten Ausführungsbeispiels des offenbarten Verfahrens. Im Einzelnen zeigt Fig. 2 ein Analysemodul 201, das das oben genannte Verfahren im¬ plementiert . With the control information, for example, the security policy can be enforced and the network communication can be suppressed in a non ¬ compliance with the security policy. Fig. 2 shows an implementation of a second embodiment of the disclosed method. In detail, FIG. 2 shows an analysis module 201 that plemented the above method in ¬.
Das Analysemodul 201 ist in diesem Ausführungsbeispiel vor¬ zugsweise als eine eigenständige Netzwerkkomponente ausgebil¬ det, kann aber auch in eine Netzwerkkomponente, beispielswei¬ se einen Router oder einen Switch, als Hardware- oder Pro- grammkomponente integriert werden. The analysis module 201 is above ¬ preferably as a separate network component ausgebil ¬ det in this embodiment, but may be in a network component, beispielswei ¬ se a router or a switch as hardware or program component to be integrated.
Das Analysemodul 201 ist in der Lage rechnergestützt, vor¬ zugsweise unter Verwendung eines Prozessors und/oder Spei¬ chers, eine Netzwerkkommunikation zu überprüfen und ggf. mit- tels einer Steuerinformation in der Lage eine Sicherheitsrichtlinie durchzusetzen. The analysis module 201 is a computer-aided in a position before ¬ preferably using a processor and / or SpeI ¬ Chers to check a network communication and possibly with- means of a control information to enforce a security policy in the situation.
Das Analysemodul 201 umfasst eine Erfassungseinrichtung 210, eine Analyseeinrichtung 220, eine Bereitstellungseinrichtung 230 und eine Sicherheitsrichtlinienspeichereinrichtung 240. The analysis module 201 comprises a capture device 210, an analysis device 220, a delivery device 230 and a security policy storage device 240.
Die Erfassungseinrichtung 210 erfasst ein Datenpaket der Netzwerkkommunikation, wobei der Netzwerkkommunikation die Sicherheitsrichtlinie zugeordnet ist. Hierzu ist Erfassungs- einrichtung 210 mittels einer ersten Datenleitung 205 mit einem Netzwerk kommunikativ verbunden. Über einen ersten Bus 207 wird das Datenpaket anschließend an die Analyseeinrich¬ tung 220 übertragen. Die Analyseeinrichtung 220 analysiert die Netzwerkkommunika¬ tion anhand des Datenpaketes mittels mindestens einer statis¬ tischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsricht¬ linie, die in der Sicherheitsrichtlinienspeichereinrichtung 240 abgelegt ist und über den ersten Bus 207 mit der Analyse¬ einrichtung 220 kommunikativ verbunden ist, charakterisiert wird. In der Sicherheitsrichtlinienspeichereinrichtung 240 kann über eine zweite Datenleitung 206 die Sicherheitsricht- linie gespeichert werden, die von der Analyseeinrichtung 220 berücksichtig werden soll. Das Ergebnis des Analysierens wird über den ersten Bus 207 der Bereitstellungseinrichtung 230 bereitgestellt . The detection device 210 detects a data packet of the network communication, wherein the network communication is assigned the security policy. For this purpose, detection device 210 is communicatively connected to a network by means of a first data line 205. Via a first bus 207, the data packet is subsequently transmitted to the analysis device 220. The analysis means 220 analyzes the Netzwerkkommunika ¬ tion on the basis of the data package using at least one statistical ¬ tables function, for analyzing the network communication based on the data packet and / or the security directional ¬ line, which is stored in the security policy storage device 240 and through the first bus 207 to the Analysis ¬ means 220 communicatively connected, is characterized. In the security policy storage device 240, the security policy can be transmitted via a second data line 206. line to be considered by the analyzer 220. The result of the analysis is provided via the first bus 207 of the providing device 230.
Die Bereitstellungseinrichtung 230 stellt anhand des Analyse¬ ergebnisses eine Steuerinformation bereit, falls die Netz¬ werkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist. Die Steuerinformation kann beispielsweise über eine dritte Datenleitung 255 bereitge¬ stellt werden. The providing means 230 provides the basis of the analysis result ¬ control information available in case the network ¬ network communication has insufficient accordance with the security policy. The control information may be bereitge ¬ represents, for example via a third data line 255th
Ist das Analysemodul 201 beispielsweise als ein Paketfilter in einem Kommunikationspfad zwischengeschaltet, kann es nach der Analyse entscheiden, ob das Datenpaket der Netzwerkkommu¬ nikation weitergeleitet wird, falls die Netzwerkkommunikation bzw. das Datenpaket der Netzwerkkommunikation eine ausreichende Übereinstimmung mit der Sicherheitsrichtlinie auf¬ weist. Hierzu wird das Datenpaket beispielsweise über eine vierte Datenleitung 256 wieder in den Kommunikationspfad der Netzwerkkommunikation eingefügt. If the analysis module 201 interposed, for example, as a packet filter in a communication path, it can decide if the data packet of the Netzwerkkommu ¬ munication is passed, if the network communication and the data packet network communication has sufficient accordance with the security policy on ¬ after analysis. For this purpose, the data packet is inserted, for example, via a fourth data line 256 back into the communication path of the network communication.
Weist das Datenpaket der Netzwerkkommunikation eine unzurei¬ chende Übereinstimmung mit der Sicherheitsrichtlinie auf, so ist es auch denkbar, dass das Datenpaket ausgefiltert wird und eine Übertragung an Teilnehmer der Netzwerkkommunikation unterbunden wird. , The data packet network communication a unzurei ¬-reaching compliance with the security policy, so it is also conceivable that the data packet is filtered out and transfer to subscribers of the network communication is inhibited.
Diese Filterfunktion kann ebenfalls die Bereitstellungsein- richtung 230 übernehmen oder es wird eine zusätzliche Kompo¬ nente hierfür vorgesehen. This filter function can also take over the direction Bereitstellungsein- 230 or is provided an additional compo ¬ nent this.
In einer Variante wird das Analysemodul 201 in eine andere oder bestehende Netzwerkkomponente, beispielsweise einen Rou- ter, einen Switch oder einen Accesspoint integriert. In die¬ ser Variante ist eine Datenpaketempfangseinheit der Netzwerk¬ komponente um die Funktionalität der Erfassungseinrichtung 210 erweitert, damit das Datenpaket an die Analyseeinrichtung 220 übermittelt werden kann. Die Funktionalität der Bereit¬ stellungseinrichtung 230 und ggf. der Filterfunktion kann beispielsweise in eine Datenpaketsendeeinheit der Netzwerk¬ komponente integriert werden. In one variant, the analysis module 201 is integrated into another or existing network component, for example a router, a switch or an access point. In the ¬ ser variant a data packet reception unit of the network ¬ component to the functionality of the detector 210 is extended to the data packet to the analysis means 220 can be transmitted. The functionality of the Ready ¬ provision means 230 and possibly the filter function can for example be integrated into a data packet transmission unit of the network ¬ component.
In einer weiteren Variante wird das Analysieren der Datenpakete, d.h. ein Überprüfen der Netzwerkkommunikation kontinuierlich, zu vorgegebenen Zeitpunkten oder zu vorgegebenen Zeitpunkten für ein vorgegebenes Zeitintervall durchgeführt. Wird eine Analyse durchgeführt, so werden vorzugsweise alle Datenpakete der Netzwerkkommunikation analysiert. In a further variant, analyzing the data packets, i. checking the network communication continuously, at predetermined times or at predetermined times for a predetermined time interval. If an analysis is carried out, then preferably all the data packets of the network communication are analyzed.
Das Analysemodul 201 ist somit in der Lage mittels des Analy¬ sierens des Datenpaketes oder mehrerer Datenpakete die Netz- werkkommunikation zu überprüfen, ob beispielsweise eine Verschlüsselung entsprechend der Sicherheitsrichtlinie noch vor¬ handen ist. The analysis module 201 is thus to check the network communication network capable by means of the Analy ¬ Sierens of the data packet or multiple data packets, such as whether an encryption according to the security policy is before ¬ hands.
Fig. 3 zeigt eine Implementierung eines dritten Ausführungs- beispiels des offenbarten Verfahrens. Im Einzelnen zeigt Fig. 3 ein Analysemodul 301, das das oben genannte Verfahren im¬ plementiert . 3 shows an implementation of a third embodiment of the disclosed method. In detail, FIG. 3 shows an analysis module 301, the plemented the above method in ¬.
Das Analysemodul 301 ist in diesem Ausführungsbeispiel vor- zugsweise in eine Netzwerkkomponente, beispielsweise einem Router oder einem Switch, als Hardware- oder Programmkompo¬ nente integriert, kann aber auch als eigenständige Netzwerk¬ komponente ausgebildet sein. Das Analysemodul 301 ist in der Lage, rechnergestützt, vor¬ zugsweise unter Verwendung eines Prozessors und/oder Spei¬ chers, eine Netzwerkkommunikation zu überprüfen und ggf. mit¬ tels einer Steuerinformation in der Lage, eine Sicherheitsrichtlinie durchzusetzen. The analysis module 301 is proposed in this embodiment preferably in a network component, such as a router or a switch, integrated as hardware or Programmkompo ¬ component, but may also be configured as an independent network ¬ component. The analysis module 301 is able, computer-aided, before ¬ preferably using a processor and / or Spei ¬ chers to check a network communication and possibly with ¬ means of control information in a position to enforce a security policy.
Das Analysemodul 301 umfasst eine Erfassungseinrichtung 210, eine Analyseeinrichtung 220, eine Bereitstellungseinrichtung 230 und eine Sicherheitsrichtlinienspeichereinrichtung 240. Die Funktionsweise der Erfassungseinrichtung 210, der Analy¬ seeinrichtung 220, der Bereitstellungseinrichtung 230 und der Sicherheitsrichtlinienspeichereinrichtung 240 entspricht den Ausführungen und Erläuterungen des zweiten Ausführungsbei- spiels von Fig. 2 und den angegebenen Varianten. The analysis module 301 comprises a detection device 210, an analysis device 220, a provisioning device 230 and a security policy storage device 240. The operation of the detecting means 210, Analy ¬ seeinrichtung 220, the deployment device 230 and the security policy storage device 240 corresponds to the remarks and explanations of the second exemplary embodiment of FIG. 2 and the variations indicated.
Zusätzlich zu den bereits aus dem zweiten Ausführungsbeispiel bekannten Einrichtungen weist das Analysemodul eine Auslei¬ tungseinrichtung 310 auf. Diese Ausleitungseinrichtung 310 wird von der Analyseeinrichtung 220 angesteuert, um Datenpakte nur stichprobenartig zu analysieren. Dieses stichprobenartige Ausleiten von Datenpaketen kann beispielsweise ebenfalls über eine statistische Funktion und/oder zufallsgesteuert durchgeführt werden. Wird eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie festgestellt, wird durch dieIn addition to the already known from the second embodiment devices, the analysis module to a Auslei ¬ processing device 310th This discharge device 310 is activated by the analysis device 220 in order to analyze data packets only on a random basis. This random extraction of data packets can also be carried out, for example, via a statistical function and / or randomly. If an inadequate compliance with the security policy is identified, the
Bereitstellungseinrichtung 230 eine Steuerinformation bereitgestellt und/oder eine Filterfunktion eingeschaltet, um das entsprechende Datenpaket auszufiltern . Das Analysemodul 301 ist somit in der Lage, mittels des Ana¬ lysierens des Datenpaketes oder mehrerer Datenpakete die Netzwerkkommunikation stichprobenartig zu überprüfen, ob beispielsweise eine Verschlüsselung entsprechend der Sicher¬ heitsrichtlinie noch vorhanden ist. Provisioning device 230 provided control information and / or a filter function is turned on to filter out the corresponding data packet. The analysis module 301 is thus able to check by means of Ana ¬ lysing of the data packet or multiple data packets, the network communication random sampling, for example, whether an encryption according to Secure ¬ uniform policy is still present.
Fig. 4 zeigt eine Implementierung eines vierten Ausführungsbeispiels des offenbarten Verfahrens. Im Einzelnen zeigt Fig. 4 ein Analysemodul 401, das das oben genannte Verfahren im¬ plementiert . Fig. 4 shows an implementation of a fourth embodiment of the disclosed method. In detail, FIG. 4 shows an analysis module 401, which plemented the above method in ¬.
Das Analysemodul 401 ist in diesem Ausführungsbeispiel vor¬ zugsweise eine eigenstände Netzwerkkomponente, kann aber auch in eine Netzwerkkomponente, beispielsweise einen Router oder einen Switch, als Hardware- oder Programmkomponente inte- griert sein. The analysis module 401 is in this embodiment, before ¬ preferably an intrinsically stands network component, but may also be in a network component, such as a router or a switch as hardware or program component be inte- grated.
Das Analysemodul 401 ist in der Lage, rechnergestützt, vor¬ zugsweise unter Verwendung eines Prozessors und/oder Spei- chers, eine Netzwerkkommunikation zu überprüfen und ist ggf. mittels einer Steuerinformation in der Lage, eine Sicherheitsrichtlinie durchzusetzen. Das Analysemodul 401 umfasst eine Erfassungseinrichtung 210, eine Analyseeinrichtung 220, eine Bereitstellungseinrichtung 230 und eine Schnittstelle 410, die über einen zweiten Bus 480 kommunikativ miteinander in Verbindung stehen. Die The analysis module 401 is capable, with computer assistance, before ¬ preferably using a processor and / or storage chers, to check a network communication and is possibly by means of a control information in a position to enforce a security policy. The analysis module 401 comprises a detection device 210, an analysis device 220, a supply device 230 and an interface 410, which communicatively communicate with each other via a second bus 480. The
Sicherheitsrichtlinie kann im Speicher oder in einer Sicher- heitsrichtlinienspeichereinrichtung abgelegt werden. Security policy can be placed in memory or in a security policy storage device.
Die Erfassungseinrichtung 210 ist in der Lage, über die The detector 210 is capable of over
Schnittstelle 410 ein Datenpaket der Netzwerkkommunikation zu erfassen, wobei der Netzwerkkommunikation die Sicherheits- richtlinie zugeordnet ist. Über den zweiten Bus 480 wird das Datenpaket anschließend an die Analyseeinrichtung 220 über¬ tragen . Interface 410 to capture a data packet of the network communication, wherein the network communication is associated with the security policy. Through the second bus 480, the data packet is then carry to the analysis device 220 via ¬.
Die Analyseeinrichtung 220 analysiert die Netzwerkkommunika- tion anhand des Datenpaketes mittels mindestens einer statis¬ tischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsricht¬ linie berücksichtigt werden. Das Ergebnis des Analysierens wird über den zweiten Bus 480 der Bereitstellungseinrichtung 230 bereitgestellt. The analysis means 220 analyzes the network communication based on the data packet using at least one statistical tables ¬ function, wherein the network communication for analyzing be taken into account on the basis of the data packet and / or the security ¬ directional line. The result of the analysis is provided via the second bus 480 of the providing device 230.
Die Bereitstellungseinrichtung 230 stellt anhand des Analyse¬ ergebnisses eine Steuerinformation bereit, falls die Netz¬ werkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist. Die Steuerinformation kann beispielsweise über die Schnittstelle 410 einem Gerät, bei¬ spielsweise einem Paketfilter einer Firewall oder einem The providing means 230 provides the basis of the analysis result ¬ control information available in case the network ¬ network communication has insufficient accordance with the security policy. The control information can, for example, via the interface 410 a device in ¬ example, a packet filter of a firewall or a
Switch oder Nutzer bereitgestellt werden. Das Analysemodul 401 ist somit in der Lage, mittels des Ana¬ lysierens des Datenpaketes oder mehrerer Datenpakete die Netzwerkkommunikation zu überprüfen, ob beispielsweise eine Verschlüsselung entsprechend der Sicherheitsrichtlinie noch vorhanden ist. Switch or user. The analysis module 401 is thus able to check the network communication by means of the analysis of the data packet or of several data packets, for example if a Encryption still exists according to the security policy.
Das Analysemodul 401 kann auch Teil eines Systems, beispiels- weise eines Netzwerkes 510, sein, so wie dies in Fig. 5 dar¬ gestellt ist. Im Einzelnen zeigt Fig. 5 das Netzwerk 510, beispielsweise ein Ethernetnetzwerk, ein Analysemodul 401, das über die Schnittstelle 410 mit dem Netzwerk 510 verbunden ist, einen ersten Teilnehmer einer Netzwerkkommunikation 530, einen zweiten Teilnehmer der Netzwerkkommunikation 540, einen dritten Teilnehmer der Netzwerkkommunikation 550 und eine Netzwerkkomponente 590, beispielsweise einen Switch. The analysis module 401 can also be part of a system beispiels- example of a network 510 be such as is provided in Fig. 5 ¬. 5 shows the network 510, for example an Ethernet network, an analysis module 401 which is connected to the network 510 via the interface 410, a first user of a network communication 530, a second user of the network communication 540, a third user of the network communication 550 and a network component 590, such as a switch.
Der erste Teilnehmer einer Netzwerkkommunikation 530, der zweite Teilnehmer einer Netzwerkkommunikation 540, der dritte Teilnehmer einer Netzwerkkommunikation 550, das Analysemodul 401 und die Netzwerkkomponente sind über das Netzwerk 510 kommunikativ miteinander verbunden. Der erste Teilnehmer ist beispielsweise eine Workstation, beispielsweise ein IBM- kompatibles Computersystem, umfassend ein Anzeigegerät 532, beispielsweise einen Bildschirm und mehrere Eingabegeräte, beispielsweise eine Computermaus 533 und eine Tastatur 530. Auch bei dem zweiten Teilnehmer oder dritten Teilnehmer kann es sich um eine Workstation handeln. The first participant of a network communication 530, the second participant of a network communication 540, the third participant of a network communication 550, the analysis module 401 and the network component are communicatively connected via the network 510. The first subscriber is for example a workstation, for example an IBM compatible computer system, comprising a display device 532, for example a screen and several input devices, for example a computer mouse 533 and a keyboard 530. The second subscriber or third participant may also be a workstation act.
Das System kann beispielsweise ein Teil einer Kommunikations¬ infrastruktur einer Kraftwerksanlage sein und die Teilnehmer Feldgeräte oder Messgeräte der Kraftwerksanlage. Wird beispielsweise durch das Analysemodul 401 beim Überprü¬ fen der Netzwerkkommunikation eine unzureichende Übereinstimmung (beispielsweise eine unverschlüsselte Netzwerkkommunika¬ tion) mit der Sicherheitsrichtlinie erkannt, so kann die Be¬ reitstellungseinrichtung 230 über die Schnittstelle 410 der Netzwerkkomponente 590 eine Steuerinformation bereitstellen. Die Netzwerkkomponente 590 kann dann beispielsweise die Netz¬ werkkommunikation zwischen den Teilnehmern unterbinden, um zu verhindern, dass Daten zwischen den Teilnehmern der Netzwerkkommunikation unverschlüsselt ausgetauscht werden. The system may for example be part of a communication ¬ infrastructure of a power plant and the participants field devices or meters of the power plant. Is (Netzwerkkommunika ¬ tion, for example, an unencrypted) detected with the security policy, for example, by the analysis module 401 when Überprü ¬ fen network communication insufficient agreement, the Be ¬ riding provision device 230 may provide control information over the interface 410 of the network component 590th The network component 590 can then, for example, prevent the network ¬ factory communication between the participants to prevent data from being exchanged unencrypted between network communication subscribers.
Das Analysemodul kann aber auch wie in den vorhergehenden Ausführungsbeispielen ausgestaltet sein und somit auch in die Netzwerkkomponente 590 integriert werden. However, the analysis module can also be designed as in the preceding exemplary embodiments and thus also integrated into the network component 590.
Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt, und an¬ dere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Although the invention in detail by the embodiments has been illustrated and described more detail, the invention is not limited by the disclosed examples, and can be derived therefrom by the skilled artisan without departing from the scope of the invention to particular ¬ variations.

Claims

Patentansprüche claims
1. Verfahren zum rechnergestützten Überprüfen einer Ne 1. Method for computer-aided checking of a Ne
werkkommunikation :  factory communication:
Erfassen (110) eines Datenpaketes der Netzwerkkommunika¬ tion, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist; Detecting (110) a data packet of Netzwerkkommunika ¬ tion, wherein the network communication is associated with a security policy;
Analysieren (120) der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikati¬ on anhand des Datenpaketes und/oder der Sicherheits¬ richtlinie charakterisiert wird; Analyzing (120) the network communication based on the data packet using at least one statistical function is being characterized for analyzing the Netzwerkkommunikati ¬ on the basis of the data packet and / or the security policy ¬;
Bereitstellen (130) einer Steuerinformation, falls die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist.  Providing (130) control information if the network communication has insufficient compliance with the security policy.
2. Verfahren nach Anspruch 1, wobei die Netzwerkkommunika¬ tion entsprechend der Sicherheitsrichtlinie verschlüsselt ist, wobei für das Analysieren (120) insbesondere auf kryp- tographische Schlüssel verzichtet wird. 2. The method of claim 1, wherein the Netzwerkkommunika ¬ tion is encrypted according to the security policy, is omitted for the analysis (120) in particular on crypto-key.
3. Verfahren nach Anspruch 1 oder 2, wobei das Datenpaket zwischengespeichert wird und das Analysieren (120) insbeson¬ dere zu einem festlegbaren späteren Zeitpunkt durchgeführt wird. 3. The method of claim 1 or 2, wherein the data packet is buffered, and analyzing (120) ¬ insbeson particular is carried out at a definable later.
4. Verfahren nach einem der Ansprüche 1 bis 3, wobei das Analysieren (120) des Datenpakets direkt nach dem Erfassen erfolgt, wobei das Analysieren (120) vorzugsweise in Echtzeit erfolgt . 4. The method of claim 1, wherein the analyzing (120) of the data packet takes place directly after the detection, wherein the analyzing (120) preferably takes place in real time.
5. Verfahren nach Anspruch 3 oder 4, wobei konfiguriert wird, ob das Datenpaket für eine spätere Analyse zwischenge¬ speichert wird oder das Analysieren (120) direkt erfolgt. 5. The method of claim 3 or 4, wherein it is configured whether the data packet for a later analysis zwischenge ¬ saves or the analysis (120) takes place directly.
6. Verfahren nach einem der vorhergehenden Ansprüche, wobei für das Charakterisieren eine MAC-Adresse und/oder eine IP- Adresse und/oder ein Port und/oder Merkmale im Protokollhea¬ der des Datenpaketes ausgewertet werden. 6. The method according to any one of the preceding claims, wherein for characterizing a MAC address and / or IP Address and / or port and / or features in the protocol header of the data packet to be evaluated.
7. Verfahren nach einem der vorhergehenden Ansprüche, wobei die mindestens eine statistische Funktion ein Chi-Quadrat-7. Method according to one of the preceding claims, wherein the at least one statistical function is a chi-square
Test und/oder ein Kolmogorow-Smirnow-Test und/oder ein G-Test ist . Test and / or a Kolmogorov-Smirnow test and / or a G-test.
8. Verfahren nach einem der vorhergehenden Ansprüche, wobei für das Analysieren (120) ermittelte statistische Eigenschaf¬ ten von verschlüsselten Nutzdaten des Datenpaketes der verschlüsselten Netzwerkkommunikation mit erwarteten statistischen Eigenschaften verglichen werden. 8. The method according to any one of the preceding claims, wherein determined for analyzing (120) statistical self sheep ¬ th are compared by encrypted payload of the data packet of the encrypted network communication with the expected statistical properties.
9. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Steuerinformation eine Trennung der Netzwerkkommunikation und/oder eine Übermittlung des Datenpaketes und/oder ein Auslösen eines optischen oder akustischen Signals und/oder ein Protokollieren eines Ergebnisses des Analysierens in einer sicheren Protokoll-Datei steuert, wobei die Steuerinformation insbesondere eine Einhaltung der Sicherheitsrichtlinie durch¬ setzt . 9. Method according to one of the preceding claims, wherein the control information controls a separation of the network communication and / or a transmission of the data packet and / or a triggering of an optical or acoustic signal and / or a logging of a result of the analysis in a secure protocol file, wherein the control information in particular a compliance with the security policy by ¬ sets.
10. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Analysieren (120) zusätzlich eine Analysefunktion auf das10. The method according to any one of the preceding claims, wherein for analyzing (120) additionally an analysis function on the
Datenpaket angewendet wird, wobei die Analysefunktion insbe¬ sondere eine Qualität einer Verschlüsselung berechnet. Data packet is applied, the analysis function in particular ¬ special calculates a quality of encryption.
11. Analysemodul (201, 301, 401) zum rechnergestützten Über- prüfen einer Netzwerkkommunikation, aufweisend: 11. Analysis module (201, 301, 401) for computer-aided checking of a network communication, comprising:
eine Erfassungseinrichtung (210) zum Erfassen eines Datenpaketes der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist ;  a detection means (210) for detecting a data packet of the network communication, wherein the network communication is associated with a security policy;
- eine Analyseeinrichtung (220) zum Analysieren der Netzwerkkommunikation anhand des Datenpaketes mittels min¬ destens einer statistischen Funktion, wobei zum Analy- sieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie charakterisiert wird; eine Bereitstellungseinrichtung (230) zum Bereitstellen einer Steuerinformation, falls die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheits¬ richtlinie aufweist. - an analysis means (220) for analyzing the network communication based on the data packet by means of a statistical function least ¬ min, wherein the analytical the network communication is characterized by the data packet and / or the security policy; providing means (230) for providing control information, if the network communication has insufficient accordance with the security policy ¬.
12. Analysemodul (201, 301, 401) nach Anspruch 11, wobei 12. analysis module (201, 301, 401) according to claim 11, wherein
das Analysemodul (201, 301, 401) eine dedizierte Netz¬ werkkomponente ist, die insbesondere zwischen einem Teilnehmer (530) und anderen Teilnehmern (540, 550) eines Netzwerkes (510), das der Netzwerkkommunikation dient, geschaltet ist; oder the analysis module (201, 301, 401) is a dedicated network ¬ network component, in particular, between a subscriber (530) and other participants (540, 550) of a network (510) serving the network communication, is connected; or
das Analysemodul (201, 301, 401) eine Programmkomponente ein Teil eines Betriebssystems eines Teilnehmers (530, 540, 550) an der Netzwerkkommunikation ist; oder  the analysis module (201, 301, 401) is a program component part of an operating system of a subscriber (530, 540, 550) at the network communication; or
das Analysemodul (201, 301, 401) als eine Programmkompo¬ nente einer anderen Netzwerkkomponenten des Netzwerkes (510) realisiert ist, das der Netzwerkkommunikation dient, insbesondere einem Router oder einem Switch; oder das Analysemodul (201, 301, 401) ein Plugin für eine Software Applikation ist, insbesondere einem Browser- Plugin . is realized, the analysis module (201, 301, 401) as a component Programmkompo ¬ other network components of the network (510) serving the communication network, in particular a router or switch; or the analysis module (201, 301, 401) is a plug-in for a software application, in particular a browser plug-in.
13. System mit einem Analysemodul (201, 301, 401) nach einem der Ansprüche 11-12. 13. System with an analysis module (201, 301, 401) according to any one of claims 11-12.
14. Computerprogrammprodukt mit Programmbefehlen zur Durchführung des Verfahrens nach einem der Ansprüche 1-10. 14. Computer program product with program instructions for carrying out the method according to one of claims 1-10.
15. Computerprogrammprodukt mit Programmbefehlen für ein Erstellungsgerät, das mittels der Programmbefehle konfigu¬ riert wird, das Analysemodul (201, 301, 401) nach einem der Ansprüche 11-12 zu erstellen. 15. A computer program product having program instructions for creating a device that is confi ¬ riert by means of the program instructions, the analysis module (201, 301, 401) to create any one of claims 11-12.
16. Bereitstellungsvorrichtung für das Computerprogrammprodukt nach Anspruch 14 oder 15, wobei die Bereitstellungsvor- richtung das Computerprogrammprodukt speichert und/oder be¬ reitstellt. 16. The computer program product deployment device of claim 14 or 15, wherein the provisioning prerequisites direction stores the computer program product and / or ¬ provides.
PCT/EP2016/082535 2016-03-03 2016-12-23 Method and analysis module for checking encoded data transfers WO2017148559A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016203534.7A DE102016203534A1 (en) 2016-03-03 2016-03-03 Method and analysis module for checking encrypted data transmissions
DE102016203534.7 2016-03-03

Publications (1)

Publication Number Publication Date
WO2017148559A1 true WO2017148559A1 (en) 2017-09-08

Family

ID=57749929

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/082535 WO2017148559A1 (en) 2016-03-03 2016-12-23 Method and analysis module for checking encoded data transfers

Country Status (2)

Country Link
DE (1) DE102016203534A1 (en)
WO (1) WO2017148559A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020069852A1 (en) * 2018-10-02 2020-04-09 Continental Automotive Gmbh Method for protecting a data packet through a switch point in a network, switch point, and motor vehicle

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040196970A1 (en) * 2003-04-01 2004-10-07 Cole Eric B. Methodology, system and computer readable medium for detecting file encryption
US20050166066A1 (en) * 2004-01-22 2005-07-28 Ratinder Paul Singh Ahuja Cryptographic policy enforcement
US20070088845A1 (en) * 2005-09-19 2007-04-19 Nasir Memon Effective policies and policy enforcement using characterization of flow content and content-independent flow information
EP2369810A1 (en) * 2010-03-16 2011-09-28 Siemens Aktiengesellschaft Method and system for protecting a communication system or network
US8300811B2 (en) 2008-12-10 2012-10-30 Siemens Aktiengesellschaft Method and device for processing data
US8531247B2 (en) 2008-04-14 2013-09-10 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
US8843761B2 (en) 2007-08-16 2014-09-23 Siemens Aktiengesellschaft Method and apparatus for protection of a program against monitoring flow manipulation and against incorrect program running
US8892616B2 (en) 2007-08-27 2014-11-18 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
EP2870565A1 (en) 2012-09-28 2015-05-13 Siemens Aktiengesellschaft Testing integrity of property data of a device using a testing device
EP2891102A1 (en) 2013-01-02 2015-07-08 Siemens Aktiengesellschaft Rfid tag and method for operating an rfid tag
US9147088B2 (en) 2011-04-18 2015-09-29 Siemens Aktiengesellschaft Method for monitoring a tamper protection and monitoring system for a field device having tamper protection
EP2605445B1 (en) 2011-12-14 2015-09-30 Siemens Aktiengesellschaft Method and apparatus for securing block ciphers against template attacks

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040196970A1 (en) * 2003-04-01 2004-10-07 Cole Eric B. Methodology, system and computer readable medium for detecting file encryption
US20050166066A1 (en) * 2004-01-22 2005-07-28 Ratinder Paul Singh Ahuja Cryptographic policy enforcement
US20070088845A1 (en) * 2005-09-19 2007-04-19 Nasir Memon Effective policies and policy enforcement using characterization of flow content and content-independent flow information
US8843761B2 (en) 2007-08-16 2014-09-23 Siemens Aktiengesellschaft Method and apparatus for protection of a program against monitoring flow manipulation and against incorrect program running
US8892616B2 (en) 2007-08-27 2014-11-18 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
US8531247B2 (en) 2008-04-14 2013-09-10 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
US8300811B2 (en) 2008-12-10 2012-10-30 Siemens Aktiengesellschaft Method and device for processing data
EP2369810A1 (en) * 2010-03-16 2011-09-28 Siemens Aktiengesellschaft Method and system for protecting a communication system or network
US9147088B2 (en) 2011-04-18 2015-09-29 Siemens Aktiengesellschaft Method for monitoring a tamper protection and monitoring system for a field device having tamper protection
EP2605445B1 (en) 2011-12-14 2015-09-30 Siemens Aktiengesellschaft Method and apparatus for securing block ciphers against template attacks
EP2870565A1 (en) 2012-09-28 2015-05-13 Siemens Aktiengesellschaft Testing integrity of property data of a device using a testing device
EP2891102A1 (en) 2013-01-02 2015-07-08 Siemens Aktiengesellschaft Rfid tag and method for operating an rfid tag

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020069852A1 (en) * 2018-10-02 2020-04-09 Continental Automotive Gmbh Method for protecting a data packet through a switch point in a network, switch point, and motor vehicle

Also Published As

Publication number Publication date
DE102016203534A1 (en) 2017-09-07

Similar Documents

Publication Publication Date Title
DE102012109212B4 (en) Methods, apparatus and products of manufacture for providing firewalls for process control systems
EP3456026A1 (en) Method for establishing secured communications connections to an industrial automation system and firewall system
EP3192226B1 (en) Device and method for controlling a communication network
DE102015002574B4 (en) Motor vehicle communication network with switch device
EP1494401B1 (en) Router and method of activating a deactivated computer
EP2448182B1 (en) Method for communicating in an automation system
EP3759958A1 (en) Method, devices and computer program product for monitoring an encrypted connection in a network
WO2017148559A1 (en) Method and analysis module for checking encoded data transfers
EP3603012A1 (en) Method and device for securing communication between at least one first communication device and at least one second communication device, in particular within a communication network of an industrial production and/or automation system
DE102014101835A1 (en) Method for communication between secure computer systems and computer network infrastructure
EP3813314B1 (en) Securing system and method for filtering data traffic
EP2186285B1 (en) Method and device for authenticating transmitted user data
DE202015004439U1 (en) Monitoring device and network participants
EP1473614A2 (en) Computer system for a vehicle and method controlling the data traffic in the computer system
WO2018177614A1 (en) Protective means, method and device containing a protective means for protecting a communication network connected to the device
EP3603011B1 (en) Apparatuses and method for operating mobile radio communication with a track-mounted apparatus
DE102022107431B3 (en) Method for retrofitting socks compatibility for at least one application in a motor vehicle and correspondingly equipped motor vehicle
WO2021197822A1 (en) Method for handling an anomaly in data, in particular in a motor vehicle
DE102015212037A1 (en) Monitoring a link section for transmission of data between two subscribers of a communication link
DE102016205126A1 (en) Security-relevant communication device
EP3823235A1 (en) Connection-specific tested data transmission via a cryptographically authenticated network connection
DE102013000147A1 (en) Chip implemented in e.g. mobile telephone, has security operating system which generates and maintains secure run-time environment setup in which firewall and filter rules are implemented under administration of secure operating system
DE102016221496A1 (en) METHOD AND DEVICE FOR OPERATING A VEHICLE NETWORK, COMPUTER PROGRAM AND COMPUTER PROGRAM PRODUCT
DE102019105698A1 (en) Method and device for monitoring the communication of a device with a global communication network and / or within a local communication network
DE102019105700A1 (en) Method and device for monitoring the communication of a device with a global communication network and / or within a local communication network

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16822681

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 16822681

Country of ref document: EP

Kind code of ref document: A1