DE102014213293A1 - Method, monitoring device and system for detecting a manipulation of a data stream - Google Patents

Method, monitoring device and system for detecting a manipulation of a data stream Download PDF

Info

Publication number
DE102014213293A1
DE102014213293A1 DE102014213293.2A DE102014213293A DE102014213293A1 DE 102014213293 A1 DE102014213293 A1 DE 102014213293A1 DE 102014213293 A DE102014213293 A DE 102014213293A DE 102014213293 A1 DE102014213293 A1 DE 102014213293A1
Authority
DE
Germany
Prior art keywords
data stream
data
comparison
time window
data values
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102014213293.2A
Other languages
German (de)
Inventor
Jens-Uwe Busser
Jorge Cuellar
Michael Munzert
Heiko Patzlaff
Jan Stijohann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102014213293.2A priority Critical patent/DE102014213293A1/en
Publication of DE102014213293A1 publication Critical patent/DE102014213293A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Das erfindungsgemäße Verfahren zur Erkennung einer Manipulation eines Datenstroms (B), der von einem ersten (11.1, .., 11.i) Gerät an ein zweites Gerät (12) übermittelt wird und die Datenwerte eine signifikante mittlere Schwankung aufweisen, umfasst als ersten Verfahrensschritt das Bereitstellen eines manipulationssicheren Vergleichsdatenstroms (A) von in der Vergangenheit übermittelten Datenwerten, ein Duplizieren eines aktuellen Datenstroms (B.1, .., B.i), der zwischen dem ersten (11.1, .., 11.i) Gerät und dem zweiten Gerät (12) übermittelt wird, ein Unterteilen des aktuell duplizierten Datenstroms in Datensequenzen der Breite eines vorgegebenen Zeitfensters (tF), dem Vergleichen der Abfolge der Datenwerte des aktuellen duplizierten Datenstroms (B.1, .., B.i) mit jeweils aufeinanderfolgenden Abfolgen der Datenwerte des Vergleichsdatenstroms (A) der Länge des vorgegebenen Zeitfensters (tF), und das Erzeugen einer Warnmeldung (C), wenn die Abfolge der Datenwerte des aktuell duplizierten Datenstroms (B.1, .., B.i) und mindestens eine der Abfolgen der Datenwerte des Vergleichsdatenstroms (A) exakt übereinstimmen. Das erfindungsgemäße System (10) umfasst mindestens ein ersten Gerät (11.1, .., 11.i), ein zweites Gerät (12) sowie eine Überwachungsvorrichtung (18)The inventive method for detecting a manipulation of a data stream (B), which is transmitted from a first (11.1, .., 11.i) device to a second device (12) and the data values have a significant mean variation, comprises as a first method step providing a tamper-resistant comparison data stream (A) of data values transmitted in the past, duplicating a current data stream (B.1, .., Bi) between the first (11.1, .., 11.i) device and the second device (12), dividing the currently duplicated data stream into data sequences of the width of a predetermined time window (tF), comparing the sequence of data values of the current duplicated data stream (B.1, .., Bi) with respectively successive sequences of the data values of Comparative data stream (A) the length of the predetermined time window (tF), and generating a warning message (C) when the sequence of data values of the current d uplizierten data stream (B.1, .., B.i) and at least one of the sequences of data values of the comparison data stream (A) exactly match. The system (10) according to the invention comprises at least a first device (11.1, .., 11.i), a second device (12) and a monitoring device (18).

Description

Die Erfindung betrifft ein Verfahren, eine Überwachungsvorrichtung sowie ein System zur Erkennung einer Manipulation eines Datenstroms, der von einem ersten Gerät an ein zweites Gerät übermittelt wird und dessen Datenwerte eine mittlere Schwankung aufweisen. The invention relates to a method, a monitoring device and a system for detecting a manipulation of a data stream, which is transmitted from a first device to a second device and whose data values have a medium variation.

In Steuerungssystemen der Industrieautomatisierung, Energieerzeugung und -verteilung, Gebäudeautomatisierung, usw. werden die relevanten physikalischen Prozessparameter kontinuierlich durch Sensoren gemessen. Diese gemessenen Werte werden automatischen Regelmechanismen zur Überwachung und Prozesssteuerung bereitgestellt. Außerdem werden sie üblicherweise über eine Mensch-Maschine-Schnittstelle, auch Human Machine Interface HMI genannt, in einer übergeordneten Kontrollstation angezeigt und können somit von einem menschlichen Operator überwacht werden. In control systems of industrial automation, power generation and distribution, building automation, etc., the relevant physical process parameters are continuously measured by sensors. These measured values are provided to automatic control mechanisms for monitoring and process control. In addition, they are usually displayed via a man-machine interface, also called Human Machine Interface HMI, in a higher-level control station and can thus be monitored by a human operator.

Ein Angreifer, der eine Manipulation eines gesteuerten Prozesses einer solchen Anlage beabsichtigt, kann dies beispielsweise durch Manipulation der Prozessparameter erreichen. In einem Industriesteuerungssystem können beispielsweise manipulierte Steuerungsbefehle, beispielsweise zum Öffnen von Ventilen, in das Steuerungsnetz eingeschleust werden. Eine solche Manipulation führt jedoch im Allgemeinen zu Änderungen von Prozessgrößen, wie beispielsweise dem Druck, der Durchflussmenge oder der Temperatur eines bearbeiteten Mediums. An attacker who intends to manipulate a controlled process of such an installation, for example, by manipulating the process parameters. In an industrial control system, for example, manipulated control commands, for example for opening valves, can be introduced into the control network. However, such manipulation generally results in changes in process variables such as pressure, flow rate or temperature of a machined medium.

Eine solche Manipulation kann somit – ebenso wie andere Veränderungen im Prozessablauf – durch den Operator oder auch eine automatische Analysekomponente erkannt werden. Dabei überwachen Analysekomponenten insbesondere, dass die beobachteten Prozessgrößen vorgegebene Maximal- oder Minimalwerte nicht über- bzw. unterschreiten. Ein Angreifer kann eine Manipulation von Steuergrößen aber beispielsweise dadurch verschleiern, dass er für einen gewissen Zeitraum vor der Manipulation die Prozessgrößen aufzeichnet und während der Manipulation anstelle von echten, aktuell gemessenen Werten die aufgezeichneten Werte an automatische Regelmechanismen und die Mensch-Maschine-Schnittstelle überträgt. Da die Eingabedaten für die Regelmechanismen zur Prozesskontrolle fehlen, werden Abweichungen vom gewünschten Prozessablauf unter Umständen nicht mehr automatisch korrigiert. Veränderungen im physikalischen Prozess sind dann weder durch automatische Überwachungssysteme noch durch einen menschlichen Bediener feststellbar, und werden auch nicht aufgezeichnet. Such manipulation can thus - as well as other changes in the process flow - be detected by the operator or an automatic analysis component. In particular, analysis components monitor that the observed process variables do not exceed or fall short of predetermined maximum or minimum values. However, an attacker may disguise a manipulation of control variables by, for example, recording the process variables for a period of time prior to manipulation and transferring the recorded values to automatic control mechanisms and the man-machine interface during manipulation rather than actual actual measured values. Since the input data for the process control control mechanisms are missing, deviations from the desired process sequence may no longer be corrected automatically. Changes in the physical process are then neither detected by automatic monitoring systems nor by a human operator, nor are they recorded.

Es ist somit die Aufgabe der vorliegenden Erfindung, eine derartige Manipulation eines Datenstroms, der auch als Replay-Angriff bezeichnet wird, frühzeitig zu erkennen und zu melden. It is therefore the object of the present invention to detect and report such a manipulation of a data stream, which is also referred to as a replay attack, at an early stage.

Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt. The object is achieved by the measures described in the independent claims. In the dependent claims advantageous developments of the invention are shown.

Die erfindungsgemäße Überwachungsvorrichtung zur Erkennung einer Manipulation eines Datenstroms, der von einem ersten Gerät an ein zweites Gerät übermittelt wird und dessen Datenwerte eine mittlere Schwankung aufweisen, umfasst eine Speichereinheit, eine Kopiereinheit sowie eine Vergleichseinheit. Die Speichereinheit ist derart ausgebildet, einen Vergleichsdatenstrom von in der Vergangenheit übermittelten Datenwerten manipulationssicher bereitzustellen. Die Kopiereinheit ist derart ausgebildet, einen aktuellen Datenstrom zu duplizieren. Die Vergleichseinheit ist derart ausgebildet, den aktuell duplizierten Datenstrom in Datensequenzen der Breite eines vorgegebenen Zeitfensters zu unterteilen und jede der daraus entstandenen Datensequenzen mit jeweils aufeinander folgenden Datensequenzen des Vergleichsdatenstroms (A) der Länge des vorgegebenen Zeitfensters (tF) zu vergleichen, und bei einer Übereinstimmung der Abfolge der Datenwerte des aktuell duplizierten Datenstroms mit mindestens einer der Abfolgen der Datenwerte des Vergleichsdatenstroms eine Warnmeldung zu erzeugen. The monitoring device according to the invention for detecting a manipulation of a data stream, which is transmitted from a first device to a second device and whose data values have a mean fluctuation, comprises a memory unit, a copy unit and a comparison unit. The memory unit is designed to provide a comparison data stream of data values transmitted in the past in a tamper-proof manner. The copy unit is designed to duplicate a current data stream. The comparison unit is designed to divide the currently duplicated data stream into data sequences of the width of a predetermined time window and to compare each of the resulting data sequences with successive data sequences of the comparison data stream (A) to the length of the predefined time window (tF), and to a match to generate a warning message to the sequence of data values of the currently duplicated data stream with at least one of the sequences of the data values of the comparison data stream.

Dies hat den Vorteil, dass automatisiert der aktuell übertragene Datenstrom daraufhin überprüft wird, ob dieser mit bereits vorher auftretenden Datensequenzen des Vergleichsdatenstroms exakt übereinstimmt. Der Vergleichsdatenstrom umfasst dabei die zeitlich vor dem aktuellen Zeitfenster zwischen dem ersten und zweiten Gerät übermittelten Datenwerte. Die zeitliche Länge des Vergleichsdatenstroms in die Vergangenheit kann dabei vorzugsweise eingestellt werden. Somit kann zeitnah eine Überprüfung des Systems auf einen Replay-Angriff angestoßen werden. This has the advantage that the currently transmitted data stream is automatically checked to see whether it exactly matches previously occurring data sequences of the comparison data stream. The comparison data stream comprises the data values transmitted temporally before the current time window between the first and second devices. The time length of the comparison data stream into the past can preferably be set. Thus a timely check of the system for a replay attack can be triggered.

Da typische Prozessdaten natürlichen Schwankungen unterliegen, ist eine exakte numerische Übereinstimmung mit vergangenen Datenabfolgen äußerst unwahrscheinlich. Wird eine exakte Übereinstimmung, beispielsweise eines Temperaturverlaufs, zwischen zwei Abfolgen zu unterschiedlichen Zeiten festgestellt, kann auf einen Replay-Angriff geschlossen werden. Besonders vorteilhaft ist eine Auswertung im laufenden Betrieb durch die erfindungsgemäße Überwachungseinheit; eine nachträgliche Analyse aufgezeichneter Datenströme ist ebenfalls möglich. Since typical process data are subject to natural fluctuations, exact numerical correspondence with past data sequences is highly unlikely. If an exact match, for example a temperature profile, between two sequences at different times is detected, a replay attack can be concluded. Particularly advantageous is an evaluation during operation by the monitoring unit according to the invention; a subsequent analysis of recorded data streams is also possible.

In einer vorteilhaften Variante sind die Kopiereinheit und die Vergleichseinheit derart ausgebildet, dass die Breite des Zeitfensters, abhängig von der mittleren zeitlichen Änderung, der Datenwerte des Datenstroms einstellbar ist. In an advantageous variant, the copying unit and the comparison unit are designed such that the width of the time window can be set as a function of the mean time change of the data values of the data stream.

Die Einstellung der Breite des Zeitfensters, also die Dauer des aktuell aufgenommenen Datenstroms, ist essenziell für die Erkennung einer Wiederholung der Datenwerte. Ist das Zeitfenster zu lang, wird eine Übereinstimmung mit einem Vergleichsdatenstrom über die gleiche Zeitdauer, wie die Breite des Zeitfensters, unwahrscheinlich und erfordert eine hohe Speicherkapazitäten zur Speicherung des jeweils aktuellen Datenstroms sowie eine lange Auswertungszeit zum Vergleichen der Abfolge des aktuellen Datenstroms mit jeweils aufeinanderfolgende Abfolgen der gleichen Dauer im Vergleichsdatenstrom. Ist die Breite des Zeitfensters zu gering, ist die Wahrscheinlichkeit hoch, eine ähnliche Abfolge als natürliche Schwankung im Vergleichsdatenstrom wiederzufinden. Ändern sich beispielsweise die Datenwerte des Datenstroms zeitlich nur sehr gering, so muss das Zeitfenster über eine relativ lange Zeit den Datenstrom duplizieren und dann vergleichen. Ändern sich die Datenwerte dagegen zeitlich sehr schnell, ist ein kürzeres Zeitfenster ausreichend. The setting of the width of the time window, ie the duration of the currently recorded data stream, is essential for the recognition of a repetition of the data values. If the time window is too long, a match with a comparison data stream over the same period of time, such as the width of the time window, unlikely and requires high storage capacity for storing the current data stream and a long evaluation time to compare the sequence of the current data stream with each successive sequences the same duration in the comparison data stream. If the width of the time window is too small, the probability of finding a similar sequence as a natural variation in the comparison data stream is high. If, for example, the data values of the data stream change very little over time, then the time window must duplicate the data stream over a relatively long time and then compare it. On the other hand, if the data values change very quickly over time, a shorter time window is sufficient.

In einer weiteren vorteilhaften Ausbildung sind die Kopiereinheit und die Vergleichseinheit derart ausgebildet, dass die Breite des Zeitfensters abhängig von der mittleren Schwankung des Betrags der Datenwerte einstellbar ist. In a further advantageous embodiment, the copying unit and the comparison unit are designed such that the width of the time window can be set as a function of the average fluctuation of the magnitude of the data values.

Ist die mittlere Schwankung des Betrags der Datenwerte beispielsweise hoch, so kann ein Zeitfenster von kurzer Dauer gewählt werden, da eine gleiche Abfolge der Datenwerte bei einer hohen mittleren Schwankung des Betrags der Datenwerte unwahrscheinlich ist. For example, if the mean variation in the magnitude of the data values is high, then a short-term window of time may be chosen because an equal sequence of data values is unlikely at a high mean variation in the magnitude of the data values.

In einer weiteren Variante der erfindungsgemäßen Überwachungsvorrichtung sind die Kopiereinheit und die Vergleichseinheit derart ausgebildet, dass die Breite des Zeitfensters abhängig von der Messgenauigkeit und/oder der Änderung der Datenwerte des Datenstroms durch Rauschen einstellbar ist. In a further variant of the monitoring device according to the invention, the copying unit and the comparison unit are designed such that the width of the time window can be set by noise as a function of the measuring accuracy and / or the change in the data values of the data stream.

Dies hat den Vorteil, dass beispielsweise bei Detektion eines Datenstroms mit geringer mittlerer Schwankung des Betrags der Datenwerte, aber einer sehr hohen Messgenauigkeit der Sensoren, sodass auch kleine Änderungen der Datenwerte registriert werden, kann die Breite des Zeitfensters gering gewählt werden ohne die Wahrscheinlichkeit zu senken, exakt gleiche Abfolgen von Datenwerten zu detektieren. In gleicher Weise kann die Breite des Zeitfensters gering eingestellt werden, wenn die Änderung der Datenwerte durch Rauschen sehr hoch ist. Da das Rauschen eine statistische Variation der Datenwerte erzeugt, ist eine genau gleiche Abfolge von Datenwerten bei hohem Rauschpegel auch in einem kleinen Zeitfenster sehr unwahrscheinlich. Somit kann bei einer Übereinstimmung bereits einer kurzen Abfolge von Datenwerten ein Replay von Daten angenommen werden. This has the advantage that, for example, when detecting a data stream with a low average fluctuation of the magnitude of the data values but a very high measurement accuracy of the sensors, so that even small changes in the data values are registered, the width of the time window can be chosen small without reducing the probability to detect exactly the same sequences of data values. Likewise, the width of the time window can be set low if the change in data values due to noise is very high. Since the noise generates a statistical variation of the data values, an exactly same sequence of data values with a high noise level is very unlikely even in a small time window. Thus, if there is already a match of a short sequence of data values, a replay of data can be accepted.

In einer vorteilhaften Ausführungsform der Überwachungsvorrichtung besteht der Datenstrom aus gemessenen Prozessgrößen einer Steuerungsanlage. In an advantageous embodiment of the monitoring device, the data stream consists of measured process variables of a control system.

Insbesondere in Steuerungsanlagen beispielsweise für eine Fertigungsanlage oder eine Energieerzeugungs- oder Energie-Verteilungsanlage sind der Verlauf von Prozessgrößen und somit der Verlauf der Datenwerte eines Datenstroms gut vorhersehbar und unterliegen dennoch einer natürlichen Schwankung. In particular, in control systems, for example, for a manufacturing plant or a power generation or energy distribution system, the course of process variables and thus the course of the data values of a data stream are well predictable and yet subject to a natural fluctuation.

In einer vorteilhaften Ausführungsform ist die Speichereinheit der Überwachungsvorrichtung derart ausgebildet, den Vergleichsdatenstrom von einem zentralen Historien-Server zu empfangen. Alternativ kann der aktuell erhaltene Datenstrom lokal gespeichert und später als Vergleichsdatenstrom verwendet werden. In an advantageous embodiment, the storage unit of the monitoring device is designed to receive the comparison data stream from a central history server. Alternatively, the currently obtained data stream can be stored locally and used later as a comparison data stream.

Typischerweise werden in einer Steuerungsanlage Prozessgrößen in einem zentralen Historien-Server gespeichert. Durch die Verwendung des Vergleichsdatenstroms aus dem zentralen Historien-Server sind auch weit in der Vergangenheit liegende Datenströme zum Vergleichen mit den aktuell aufgenommenen Datenströmen verfügbar. Durch die lokale Verfügbarkeit dieser Historiendaten in der Speichereinheit der Überwachungsvorrichtung wird eine Manipulation der Historiendaten erschwert. Dies ist insbesondere dann der Fall, wenn die Überwachungseinheit als integraler Bestandteils eines zweiten Gerätes ausgebildet ist. Typically, process variables are stored in a control system in a central history server. By using the comparison data stream from the central history server, data streams lying far in the past are also available for comparison with the currently recorded data streams. The local availability of this history data in the storage unit of the monitoring device makes it difficult to manipulate the history data. This is particularly the case when the monitoring unit is formed as an integral part of a second device.

In einer weiteren vorteilhaften Ausführungsform umfasst die Vergleichseinheit eine Korrelationsfunktion zum Vergleichen des aktuell duplizierten Datenstroms mit dem Vergleichsdatenstrom. In a further advantageous embodiment, the comparison unit comprises a correlation function for comparing the currently duplicated data stream with the comparison data stream.

Korrelationsfunktionen sind beispielsweise in der Signalverarbeitung häufig verwendete Funktionen, um bestimmte Signalmuster in einem Datenstrom zu erkennen. Entsprechende Algorithmen sind bereits vorhanden und können einfach in die Überwachungseinheit implementiert werden. Des Weiteren arbeiten Korrelationsfunktionen schnell und können hardware-nah implementiert werden, sodass zusätzlich eine kostengünstige Implementierung möglich ist. Correlation functions are, for example, functions frequently used in signal processing in order to detect specific signal patterns in a data stream. Corresponding algorithms already exist and can easily be implemented in the monitoring unit. Furthermore, correlation functions work quickly and can be implemented hardware-near, so that in addition a cost-effective implementation is possible.

Das erfindungsgemäße Verfahren zur Erkennung einer Manipulation eines Datenstroms, der von einem ersten Gerät an ein zweites Gerät übermittelt wird und die Datenwerte eine signifikante mittlere Schwankung aufweisen, umfasst als Verfahrensschritte das Bereitstellen eines manipulationssicheren Vergleichsdatenstroms von in der Vergangenheit übermittelten Datenwerten, ein Duplizieren eines aktuellen Datenstroms, der zwischen dem ersten und dem zweiten Gerät übermittelt wird, ein Unterteilen des aktuell duplizierten Datenstroms in Datensequenzen der Breite eines vorgegebenen Zeitfensters (tF), ein Vergleichen der Abfolge der Datenwerte des aktuellen duplizierten Datenstroms mit jeweils aufeinanderfolgenden Abfolgen der Datenwerte des Vergleichsdatenstroms der Länge des vorgegebenen Zeitfensters, und das Erzeugen einer Warnmeldung, wenn die Abfolge der Datenwerte des aktuell duplizierten Datenstroms und mindestens eine der Abfolgen der Datenwerte des Vergleichsdatenstroms exakt übereinstimmen. The inventive method for detecting a manipulation of a data stream, from a first device to a second device and the data values have a significant mean variation, comprises, as method steps, providing a tamper-resistant comparison data stream of data values transmitted in the past, duplicating a current data stream transmitted between the first and the second device, dividing the currently duplicated data stream into Data sequences of the width of a predetermined time window (tF), comparing the sequence of data values of the current duplicated data stream with each successive sequences of data values of the comparison data stream of the length of the predetermined time window, and generating a warning message when the sequence of data values of the currently duplicated data stream and at least one of the sequences of data values of the comparison data stream exactly match.

In einer vorteilhaften Variante wird die Breite des Zeitfensters abhängig von der mittleren zeitlichen Änderung der Datenwerte des Datenstroms eingestellt. In an advantageous variant, the width of the time window is set as a function of the mean time change of the data values of the data stream.

Bei einer geringen mittleren zeitlichen Änderung der Datenwerte des Datenstroms muss das Zeitfenster über eine lange Zeitdauer den aktuellen Datenstrom kopieren, bei einer starken zeitlichen Änderung der Datenwerte ist lediglich ein Zeitfenster von kurzer Dauer erforderlich. With a small mean time change of the data values of the data stream, the time window has to copy the current data stream over a long period of time, with a strong temporal change of the data values only a time window of short duration is required.

In einer vorteilhaften Variante wird die Breite des Zeitfensters abhängig von der mittleren Schwankung des Betrags der Datenwerte eingestellt. In an advantageous variant, the width of the time window is set as a function of the average fluctuation of the magnitude of the data values.

Ist die mittlere Schwankung des Betrags der Datenwerte gering, so muss das Zeitfenster länger sein, also für eine längere Zeitdauer Daten kopiert werden. Bei einer hohen mittleren Schwankung des Betrags der Datenwerte kann das Zeitfenster kurz eingestellt werden. Eine Kombination der genannten Bedingungen zur Einstellung des Zeitfensters ist ebenso möglich. If the mean variation in the amount of data values is small, then the time window must be longer, that is, data is to be copied for a longer period of time. With a high mean fluctuation of the amount of the data values, the time window can be set short. A combination of the above conditions for setting the time window is also possible.

In einer vorteilhaften Ausführungsform wird die Breite des Zeitfensters abhängig von der Messgenauigkeit und/oder der Änderung der Datenwerte des Datenstroms durch Rauschen eingestellt. Eine Kombination der genannten Bedingungen zur Einstellung des Zeitfensters ist ebenso möglich. In an advantageous embodiment, the width of the time window is set by noise as a function of the measurement accuracy and / or the change in the data values of the data stream. A combination of the above conditions for setting the time window is also possible.

In einer Variante des erfindungsgemäßen Verfahrens besteht der Datenstrom aus Prozessgrößen einer Steuerungsanlage. Insbesondere sind als Prozessgrößen alle gemessenen physikalischen Parameter, wie beispielsweise Druck, Temperatur, Durchflussmenge, elektrischer Strom, elektrische Spannung, Zeitabstände zwischen wiederkehrenden Ereignissen, usw. geeignet. In a variant of the method according to the invention, the data stream consists of process variables of a control system. In particular, all measured physical parameters such as pressure, temperature, flow rate, electric current, electrical voltage, time intervals between recurring events, etc. are suitable as process variables.

In einer vorteilhaften Ausführungsform wird der Vergleichsdatenstrom von einem zentralen Historien-Server bereitgestellt. In an advantageous embodiment, the comparison data stream is provided by a central history server.

Der zentrale Historien-Server zeichnet üblicherweise alle an eine übergeordnete Steuerungseinheit gelieferten Daten bereit. Üblicherweise ist ein solcher zentraler Server gegen Manipulation und äußeren Zugriff geschützt, sodass davon ausgegangen werden kann, echte, also unverfälschte, Historiendaten von dort zu erhalten. The central history server usually records all data supplied to a higher-level control unit. Usually, such a central server is protected against manipulation and external access, so that it can be assumed that genuine, that is unadulterated, history data is obtained from there.

In einer vorteilhaften Ausführungsform wird eine Korrelationsfunktion zum Vergleich des Vergleichsdatenstroms mit der Abfolge des aktuell duplizierten Datenstroms verwendet. In an advantageous embodiment, a correlation function is used to compare the comparison data stream with the sequence of the currently duplicated data stream.

Des Weiteren wird ein System zur Steuerung einer Industrieanlage umfassend eine Vielzahl von ersten Geräten und mindestens einem zweiten Gerät sowie eine Überwachungsvorrichtung mit mindestens einem der vorgenannten Merkmale beansprucht. Furthermore, a system for controlling an industrial plant comprising a multiplicity of first devices and at least one second device as well as a monitoring device with at least one of the aforementioned features is claimed.

Ebenso wird ein Computerprogrammprodukt mit Programmbefehlen zur Durchführung des erfindungsgemäßen Verfahrens beansprucht. Likewise, a computer program product with program instructions for carrying out the method according to the invention is claimed.

Ausführungsbeispiele des erfindungsgemäßen Systems und des erfindungsgemäßen Verfahrens sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen: Embodiments of the system according to the invention and of the method according to the invention are illustrated by way of example in the drawings and will be explained in more detail with reference to the following description. Show it:

1 ein Ausführungsbeispiel eines erfindungsgemäßen Systems mit einem Ausführungsbeispiel einer erfindungsgemäßen Überwachungsvorrichtung in schematischer Darstellung; 1 an embodiment of a system according to the invention with an embodiment of a monitoring device according to the invention in a schematic representation;

2 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens dargestellt als Flussdiagramm; und 2 an embodiment of the method according to the invention shown as a flowchart; and

3 beispielhafte Datenströme, dargestellt durch ein Diagramm in dem ihre Datenwerte über die Zeit aufgetragen sind und die für diese Datenströme verwendeten Zeitfenster. 3 exemplary data streams represented by a graph in which their data values are plotted over time and the time windows used for these data streams.

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen. Dabei werden die Ausdrücke „Abfolge von Datenwerten“ und „Datensequenz“ als Synonyme verwendet und haben die gleiche Bedeutung. Corresponding parts are provided in all figures with the same reference numerals. The terms "sequence of data values" and "data sequence" are used as synonyms and have the same meaning.

1 zeigt ein beispielhaftes System 10, in dem ein erstes Gerät 11.1 einen Datenstrom B.1 an ein zweites Gerät 12 übermittelt. Das zweite Gerät 12 kann beispielsweise eine zentrale Kontrolleinheit sein. Ist das System 10 beispielsweise eine Industrieanlage, können eine Vielzahl von ersten Geräten 11.1, .., 11.i vorhanden sein, die in gleicher Weise einen Datenstrom B.1, .., B.i an das zweite Gerät 12 liefern. Die Datenströme werden kontinuierlich im zweiten Gerät in einem Historien-Server 17 abgelegt und archiviert. 1 shows an exemplary system 10 in which a first device 11.1 a data stream B.1 to a second device 12 transmitted. The second device 12 may for example be a central control unit. Is the system 10 For example, an industrial plant, a variety of first devices 11.1 , .., 11.i be present, in the same way a data stream B.1, .., Bi to the second device 12 deliver. The data streams are continuously in the second device in a history server 17 filed and archived.

Um eine Replay-Attacke zu erkennen, bei der in der Vergangenheit an das zweite Gerät übertragene Datenströme aufgezeichnet, zwischengespeichert und zu einem späteren Zeitpunkt wieder an das zweite Gerät übertragen werden, wird nun eine Überwachungsvorrichtung 18 eingesetzt. Die Überwachungsvorrichtung 18 umfasst eine Speichereinheit 13, eine Kopiereinheit 14 sowie eine Vergleichseinheit 15. Die Speichereinheit 13 ist dabei derart ausgebildet, den Vergleichsdatenstrom von in der Vergangenheit an das zweite Gerät 12 übermittelten Datenströmen bereitzustellen. Die Speichereinheit 13 kann dabei vorteilhafterweise lediglich lesenden Zugriff erlauben, sodass eine Manipulation des Vergleichsdatenstroms A verhindert wird.Die Speichereinheit 13 kann beispielsweise über eine sichere Leitung mit dem Historien-Server 17 verbunden sein und in regelmäßen Abständen eine Kopie der Historiendaten erhalten. Alternativ kann der aktuell kopierte Datenstrom kontinuierlich in der Speichereinheit 13 gespeichert und später als Vergleichsdatenstrom verwendet werden. In order to detect a replay attack in which data streams transmitted in the past to the second device are recorded, buffered and then transferred back to the second device at a later time, a monitoring device now becomes 18 used. The monitoring device 18 includes a storage unit 13 , a copy unit 14 and a comparison unit 15 , The storage unit 13 is designed in this way, the comparison data stream from in the past to the second device 12 provide transmitted data streams. The storage unit 13 may advantageously allow only read access, so that manipulation of the comparison data stream A is prevented. The storage unit 13 can, for example, via a secure line with the history server 17 be connected and receive a copy of the history data at regular intervals. Alternatively, the currently copied data stream may be continuously stored in the storage unit 13 stored and used later as comparison data stream.

Die Kopiereinheit 14 greift auf den Datenstrom B.i zwischen einem ersten Gerät 11.i und dem zweiten Gerät 12 zu, kopiert den Datenstrom und stellt diesen einer Vergleichseinheit 15 in der Überwachungsvorrichtung 18 bereit. In einer Industrieanlage wird dabei jeder Datenstrom B.1, .., B.i von allen ersten Geräten 11.1, .., 11.i durch eine Kopiereinheit 14 der Überwachungsvorrichtung 18 überwacht. Der ursprüngliche Datenstrom B.1, .., B.i wird unverändert nach der Abgreifstelle an das zweite Gerät 12 weitergegeben. The copy unit 14 accesses the data stream Bi between a first device 11.i and the second device 12 to, copies the data stream and presents it to a comparison unit 15 in the monitoring device 18 ready. In an industrial plant, every data stream B.1, .., Bi is taken from all the first devices 11.1 , .., 11.i through a copy unit 14 the monitoring device 18 supervised. The original data stream B.1, .., Bi is unchanged after the tapping point to the second device 12 passed.

In der Vergleichseinheit 15 wird nun die Abfolge der Datenwerte des aktuell duplizierten Datenstroms B.i in Datensequenzen mit der zeitlichen Dauer eines vorgegebenen Zeitfensters unterteilt und jede daraus entstandene Datensequenz mit jeweils aufeinanderfolgenden Datensequenzen des Vergleichsdatenstroms A der Länge des vorgegebenen Zeitfensters verglichen. Es wird somit der Vergleichsdatenstrom in seinem zeitlichen Verlauf nach einer überstimmenden Datensequenz der Breite des Zeitfensters abgescannt. Wird eine exakte Übereinstimmung der Datensequenz des aktuell duplizierten Datenstroms B.i mit mindestens einer der Datensequenz des Historienstroms A ermittelt, so wird eine Warnmeldung C erzeugt. Diese wird vorteilhafterweise an eine Anzeigevorrichtung 16 im zweiten Gerät 12 übermittelt, insbesondere wenn es sich dabei um ein zentrales Kontrollzentrum handelt. In the comparison unit 15 The sequence of data values of the currently duplicated data stream Bi is then subdivided into data sequences with the time duration of a predetermined time window, and each data sequence resulting therefrom is compared with successive data sequences of the comparison data stream A of the length of the predefined time window. Thus, the comparison data stream is scanned in its time course after an over-tuning data sequence of the width of the time window. If an exact match of the data sequence of the currently duplicated data stream Bi with at least one of the data sequence of the history stream A is determined, then a warning message C is generated. This is advantageously to a display device 16 in the second device 12 especially if it is a central control center.

Um eine zeitnahe Aussage über eine Übereinstimmung zu erhalten, wird das Zeitfenster abhängig von der mittleren zeitlichen Änderung der Datenwerte des Datenstroms und/oder der mittleren Schwankung des Betrags der Datenwerte des Datenstroms und/oder abhängig von der Messgenauigkeit und/oder der Änderung der Datenwerte des Datenstroms durch Rauschen eingestellt. In order to obtain a timely statement about a match, the time window is dependent on the mean time change of the data values of the data stream and / or the mean fluctuation of the magnitude of the data values of the data stream and / or depending on the measurement accuracy and / or the change of the data values of the data stream Data stream set by noise.

In 3 sind zwei beispielhafte Ausschnitte von Datenströmen 31, 32 dargestellt. Der Datenstrom 31 weist eine hohe mittlere zeitliche Änderung der Datenwerte auf. Der Datenstrom 32 weist dagegen lediglich eine sehr geringe zeitliche Änderung der Datenwerte auf. Um feststellen zu können, ob eine aktuell duplizierte Abfolge von Datenwerten B.i in einem Vergleichsdatenstrom A schon einmal exakt gleich enthalten ist, muss das Zeitfenster tF1 hier nur von kurzer Dauer sein, da große Änderungen beziehungsweise Schwankungen der Datenwerte zu erwarten sind. Im Gegensatz dazu muss das Zeitfenster tF2 breiter sein, das heißt eine längere Zeitdauer umfassen, um sicher eine signifikante Abfolge des Datenstroms zu erhalten. In ähnlicher Weise wie für Datenstrom 31 kann das Zeitfenster kurz gewählt werden, wenn die Änderung der Datenwerte des Datenstroms durch Rauschen hoch ist, beziehungsweise wenn die Messgenauigkeit eines ersten Gerätes hoch ist und somit eine starke Änderung der Datenwerte des Datenstroms sehr wahrscheinlich ist. In 3 are two exemplary excerpts of data streams 31 . 32 shown. The data stream 31 has a high mean time change of the data values. The data stream 32 On the other hand, it only shows a very slight change over time in the data values. In order to be able to determine whether a currently duplicated sequence of data values Bi is already contained exactly the same in a comparison data stream A, the time window tF1 here only has to be of short duration since large changes or fluctuations of the data values are to be expected. In contrast, the time window tF2 must be wider, that is, include a longer period of time to safely obtain a significant stream of data. In a similar way as for data stream 31 For example, if the change in the data values of the data stream due to noise is high, or if the measurement accuracy of a first device is high and thus a large change in the data values of the data stream is very probable, the time window can be selected short.

2 zeigt die einzelnen Verfahrensschritte eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zur Erkennung einer Manipulation eines Datenstroms. Ausgehend von einem Anfangszustand 20, in dem kontinuierlich ein Datenstrom zwischen einem ersten Gerät 11 und einem zweiten Gerät 12 übertragen wird, wird im ersten Verfahrensschritt 21 ein Vergleichsdatenstrom A von in der Vergangenheit übermittelten Datenwerten eines Datenstroms zwischen dem ersten Gerät 11.1, ..11.i und dem zweiten Gerät 12 manipulationssicher der Überwachungsvorrichtung 18 bereitgestellt. 2 shows the individual process steps of an embodiment of the method according to the invention for detecting a manipulation of a data stream. Starting from an initial state 20 in which there is a stream of data between a first device continuously 11 and a second device 12 is transmitted in the first step 21 a comparison data stream A of data values of a data stream transmitted in the past between the first device 11.1 , .. 11.i and the second device 12 tamper-proof of the monitoring device 18 provided.

Im Verfahrensschritt 22 wird nun ein zwischen dem ersten 11 und dem zweiten Gerät 12 übermittelter aktueller Datenstrom B.1, .., B.1 dupliziert und an die Überwachungseinheit 18 bereitgestellt. Im Verfahrensschritt 23 wird nun der aktuell duplizierte Datenstrom B.1, .., B.i aus 1 in Datensequenzen der Breite eines vorgegebenen Zeitfensters tF unterteilt und jede der daraus entstandenen Datensequenzen mit jeweils aufeinanderfolgende Abfolgen der Datenwerte des Vergleichsdatenstroms A der Länge des vorgegebenen Zeitfensters, beispielsweise tF1, verglichen. Dabei wird der Vergleichsdatenstrom A kontinuierlich zeitfensterweise gescannt und beispielsweise über eine Korrelationsfunktion mit den aktuell duplizierten Datensequenzen des Datenstroms B.1, .., B.i verglichen. In the process step 22 now becomes one between the first 11 and the second device 12 transmitted current data stream B.1, .., B.1 and duplicated to the monitoring unit 18 provided. In the process step 23 Now the currently duplicated data stream B.1, .., Bi is off 1 is subdivided into data sequences of the width of a predetermined time window tF and each of the resulting data sequences is compared with successive sequences of the data values of the comparison data stream A of the length of the predefined time window, for example tF1. In this case, the comparison data stream A is scanned continuously time-by-window and, for example, compared via a correlation function with the currently duplicated data sequences of the data stream B.1,..., Bi.

Tritt bei diesem Vergleich eine exakte Übereinstimmung zwischen einer Abfolge der Datenwerte des aktuell duplizierten Datenstroms B.1, .., B.i und einer der Abfolgen der Datenwerte des Historienstroms A auf, wird eine Warnmeldung C erzeugt. Diese wird beispielsweise als optisches Signal in einer Anzeigeeinheit 16 des zweiten Gerätes 12 dargestellt, sodass ein menschlicher Operator die Warnung erkennt und weitere Maßnahmen ergreifen kann, siehe Endzustand 25. If, in this comparison, an exact match occurs between a sequence of the data values of the currently duplicated data stream B.1,..., Bi and one of the sequences of the data values of the history stream A, a warning message C is generated. This becomes, for example, an optical signal in a display unit 16 of the second device 12 so that a human operator can recognize the alert and take further action, see Final State 25 ,

Wird keine exakte Übereinstimmung der Abfolge des aktuell duplizierten Datenstroms B.1, .., B.i mit einer Abfolge des Vergleichsdatenstroms A festgestellt, wird das Verfahren mit Schritt 21 bis 24 fortlaufend weitergeführt. If no exact match of the sequence of the currently duplicated data stream B.1, .., Bi is determined with a sequence of the comparison data stream A, the method in step 21 to 24 continuously continued.

Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt. So kann die Überwachungseinheit wie dargestellt als eine Komponente ausgebildet sein, die einzelnen Funktionalen Einheiten, 14, 15, 16 können aber auch in unterschiedlichen physikalischen Komponenten integriert sein. All described and / or drawn features can be advantageously combined with each other within the scope of the invention. The invention is not limited to the described embodiments. Thus, the monitoring unit can be designed as a component, as shown, the individual functional units, 14 . 15 . 16 But they can also be integrated in different physical components.

Claims (16)

Überwachungsvorrichtung zur Erkennung einer Manipulation eines Datenstroms, der von einem ersten Gerät (11) an ein zweites Gerät (12) übermittelt wird, und dessen Datenwerte eine mittlere Schwankung aufweisen, umfassend eine Speichereinheit (13), die derart ausgebildet ist, einen Vergleichsdatenstrom (A) von in der Vergangenheit zwischen dem ersten und dem zweiten Gerät übermittelten Datenwerten manipulationssicher bereitzustellen, eine Kopiereinheit (14), die derart ausgebildet ist einen aktuellen Datenstrom (B) zu duplizieren, und eine Vergleichseinheit (15), die derart ausgebildet ist, den aktuell duplizierten Datenstrom (B) in Datensequenzen der Breite eines vorgegebenen Zeitfensters (tF) zu unterteilen und jede der daraus entstandenen Datensequenzen mit jeweils aufeinander folgenden Datensequenzen des Vergleichsdatenstroms (A) der Länge des vorgegebenen Zeitfensters (tF) zu vergleichen, und bei einer exakten Übereinstimmung einer Datensequenz des aktuell duplizierten Datenstroms (B) mit mindestens einer der Datensequenz des Vergleichsdatenstroms (A) eine Warnmeldung (C) zu erzeugen. Monitoring device for detecting a manipulation of a data stream transmitted by a first device ( 11 ) to a second device ( 12 ) and whose data values have a medium variation, comprising a memory unit ( 13 ), which is designed to provide a comparison data stream (A) of data values transmitted in the past between the first and the second device in a tamper-proof manner, a copying unit ( 14 ), which is designed to duplicate a current data stream (B), and a comparison unit ( 15 ), which is designed to subdivide the currently duplicated data stream (B) into data sequences of the width of a predetermined time window (tF) and each of the resulting data sequences with successive data sequences of the comparison data stream (A) of the length of the predetermined time window (tF) and, upon an exact match of a data sequence of the currently duplicated data stream (B), with at least one of the data sequence of the comparison data stream (A) to generate a warning message (C). Überwachungsvorrichtung nach Anspruch 1, wobei die Kopiereinheit (14) und die Vergleichseinheit (15) derart ausgebildet sind, dass die Breite des Zeitfensters (tF) abhängig von der mittleren zeitlichen Änderung der Datenwerte des Datenstroms (B) einstellbar ist. Monitoring device according to claim 1, wherein the copying unit ( 14 ) and the comparison unit ( 15 ) are designed such that the width of the time window (tF) is adjustable as a function of the average change over time of the data values of the data stream (B). Überwachungsvorrichtung nach Anspruch 1 oder 2, wobei die Kopiereinheit (14) und die Vergleichseinheit (15) derart ausgebildet sind, dass die Breite des Zeitfensters (tF) abhängig von der mittleren Schwankung des Betrags der Datenwerte einstellbar ist. Monitoring device according to claim 1 or 2, wherein the copying unit ( 14 ) and the comparison unit ( 15 ) are configured such that the width of the time window (tF) is adjustable as a function of the mean fluctuation of the magnitude of the data values. Überwachungsvorrichtung nach einem der Ansprüche 1 bis 3, wobei die Kopiereinheit (14) und die Vergleichseinheit (15) derart ausgebildet sind, dass die Breite des Zeitfensters (tF) abhängig von der Messgenauigkeit und/oder der Änderung der Datenwerte des Datenstroms (B) durch Rauschen einstellbar ist. Monitoring device according to one of claims 1 to 3, wherein the copying unit ( 14 ) and the comparison unit ( 15 ) are configured such that the width of the time window (tF) is adjustable by noise as a function of the measurement accuracy and / or the change of the data values of the data stream (B). Überwachungsvorrichtung nach einem der Ansprüche 1 bis 4, wobei der Datenstrom (B) aus gemessenen Prozessgrößen einer Steuerungsanlage (10) besteht. Monitoring device according to one of claims 1 to 4, wherein the data stream (B) from measured process variables of a control system ( 10 ) consists. Überwachungsvorrichtung nach einem der Ansprüche 1 bis 5, wobei die Speichereinheit (13) derart ausgebildet ist, den Vergleichsdatenstrom (A) von einem zentralen Historien-Server (17) zu empfangen. Monitoring device according to one of claims 1 to 5, wherein the memory unit ( 13 ) is designed such that the comparison data stream (A) from a central history server ( 17 ) to recieve. Überwachungsvorrichtung nach einem der Ansprüche 1 bis 6, wobei die Vergleichseinheit (15) eine Korrelationsfunktion zum Vergleich des aktuell duplizierten Datenstroms (B) mit dem Vergleichsdatenstrom (A) umfasst. Monitoring device according to one of claims 1 to 6, wherein the comparison unit ( 15 ) comprises a correlation function for comparing the currently duplicated data stream (B) with the comparison data stream (A). Verfahren zur Erkennung einer Manipulation eines Datenstroms(B), der von einem ersten Gerät (11) an ein zweites Gerät (12) übermittelt wird, und die Datenwerte des Datenstroms eine signifikante mittlere Schwankung aufweisen, umfassend die Verfahrensschritte: – Bereitstellen (21) eines manipulationssicheren Vergleichsdatenstroms (A) von in der Vergangenheit übermittelten Datenwerten, – Duplizieren (22) eines aktuellen Datenstroms (B), der zwischen dem ersten (11) und dem zweiten Gerät (12) übermittelt wird, – Unterteilen (23) des aktuell duplizierten Datenstroms (B) in Datensequenzen der Breite eines vorgegebenen Zeitfensters (tF) und Vergleichen (24) jeder der Datensequenzen des aktuell duplizierten Datenstroms (B) mit jeweils aufeinanderfolgenden Datensequenzen des Vergleichsdatenstroms (A) der Länge des vorgegebenen Zeitfensters (tF), und – Erzeugen (25) bei einer Warnmeldung (C), wenn die Abfolge der Datenwerte des aktuell duplizierten Datenstroms (B) und eine der Abfolgen der Datenwerte des Vergleichsdatenstroms (A) übereinstimmen. Method for detecting a manipulation of a data stream (B) that is transmitted by a first device ( 11 ) to a second device ( 12 ), and the data values of the data stream have a significant mean variation, comprising the steps of: - providing ( 21 ) of a tamper-resistant comparison data stream (A) of data values transmitted in the past, - Duplicate ( 22 ) of a current data stream (B), which is between the first ( 11 ) and the second device ( 12 ), - subdivision ( 23 ) of the currently duplicated data stream (B) in data sequences of the width of a predetermined time window (tF) and comparing ( 24 ) each of the data sequences of the currently duplicated data stream (B) with respective successive data sequences of the comparison data stream (A) of the length of the predetermined time window (tF), and - generating ( 25 ) upon a warning message (C) if the sequence of data values of the currently duplicated data stream (B) and one of the sequences of the data values of the comparison data stream (A) match. Verfahren nach Anspruch 8, wobei die Breite des Zeitfensters (tF) abhängig von der mittleren zeitlichen Änderung der Datenwerte des aktuellen Datenstroms (B) eingestellt wird. Method according to Claim 8, wherein the width of the time window (tF) is set as a function of the mean time change of the data values of the current data stream (B). Verfahren nach Anspruch 8 oder 9, wobei die Breite des Zeitfensters (tF) abhängig von der mittleren Schwankung des Betrags der Datenwerte des aktuellen Datenstroms (B) eingestellt wird. Method according to Claim 8 or 9, wherein the width of the time window (tF) is set as a function of the average fluctuation of the magnitude of the data values of the current data stream (B). Verfahren nach einem der Ansprüche 8 bis 10, wobei der aktuelle Datenstrom (B) aus Prozessgrößen einer Steuerungsanlage besteht. Method according to one of claims 8 to 10, wherein the current data stream (B) consists of process variables of a control system. Verfahren nach Anspruch 11, wobei die gemessenen Prozessgrößen ein Druck, eine Temperatur, eine Durchflussmenge sind. The method of claim 11, wherein the measured process variables are a pressure, a temperature, a flow rate. Verfahren nach einem der Ansprüche 8 bis 12, wobei der Vergleichsdatenstrom (A) von einem zentralen Historien-Server (17) bereitgestellt wird. Method according to one of claims 8 to 12, wherein the comparison data stream (A) from a central history server ( 17 ) provided. Verfahren nach einem der Ansprüche 8 bis 13, wobei eine Korrelationsfunktion zum Vergleich des Vergleichsdatenstroms (A) mit dem aktuell duplizierten Datenstrom (B) verwendet wird. Method according to one of claims 8 to 13, wherein a correlation function for comparing the comparison data stream (A) with the currently duplicated data stream (B) is used. System zur Steuerung einer Industrieanlage umfassend eine Vielzahl von ersten Geräten (11) und mindestens ein zweites Gerät (12) sowie eine Überwachungsvorrichtung (18) nach einem der Ansprüche 1 bis 7. System for controlling an industrial plant comprising a multiplicity of first devices ( 11 ) and at least one second device ( 12 ) and a monitoring device ( 18 ) according to one of claims 1 to 7. Computerprogrammprodukt mit Programmbefehlen zur Durchführung des Verfahrens nach Anspruch 8 bis 14. Computer program product with program instructions for carrying out the method according to claims 8 to 14.
DE102014213293.2A 2014-07-09 2014-07-09 Method, monitoring device and system for detecting a manipulation of a data stream Withdrawn DE102014213293A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102014213293.2A DE102014213293A1 (en) 2014-07-09 2014-07-09 Method, monitoring device and system for detecting a manipulation of a data stream

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014213293.2A DE102014213293A1 (en) 2014-07-09 2014-07-09 Method, monitoring device and system for detecting a manipulation of a data stream

Publications (1)

Publication Number Publication Date
DE102014213293A1 true DE102014213293A1 (en) 2016-01-14

Family

ID=54866870

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014213293.2A Withdrawn DE102014213293A1 (en) 2014-07-09 2014-07-09 Method, monitoring device and system for detecting a manipulation of a data stream

Country Status (1)

Country Link
DE (1) DE102014213293A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100266215A1 (en) * 2009-04-17 2010-10-21 Alcatel-Lucent Usa Inc. Variable-stride stream segmentation and multi-pattern matching
US20110206055A1 (en) * 2010-02-24 2011-08-25 Patrick Pak Tak Leong Method and packet switch appliance for performing packet deduplication
US20130127618A1 (en) * 2011-11-21 2013-05-23 Daniel Sheleheda Method and apparatus for machine to machine network security monitoring in a communications network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100266215A1 (en) * 2009-04-17 2010-10-21 Alcatel-Lucent Usa Inc. Variable-stride stream segmentation and multi-pattern matching
US20110206055A1 (en) * 2010-02-24 2011-08-25 Patrick Pak Tak Leong Method and packet switch appliance for performing packet deduplication
US20130127618A1 (en) * 2011-11-21 2013-05-23 Daniel Sheleheda Method and apparatus for machine to machine network security monitoring in a communications network

Similar Documents

Publication Publication Date Title
EP0895197B1 (en) Method for monitoring installations with mechanical components
EP2008352B1 (en) Method for monitoring the electrical energy quality in an electrical energy supply system, power quality field device and power quality system
DE102017004439A1 (en) Manufacturing cell and manufacturing cell management system
DE102018107233A1 (en) Method for automatic process monitoring and process diagnosis of a piece-based process (batch production), in particular an injection molding process and a machine performing the process or a machine park performing the process
EP1950639B1 (en) Method for operating a process plant, process plant and computer program product
EP3631593B1 (en) Monitoring device and method for monitoring a system
EP3210088B1 (en) Method and assistance system for recognising a fault in a system
WO2020216530A1 (en) Method for determining remaining useful life cycles, remaining useful life cycle determination circuit, and remaining useful life cycle determination apparatus
EP3745217B1 (en) Device for monitoring the data processing and data transmission in a safety system
DE102016001920A1 (en) Control device for reporting maintenance and inspection times of signal-controlled peripheral devices
DE10241746A1 (en) Process monitoring and control method for use with cyclical production processes employs neuronal network methods in initial system configuration and in generating training data that are used to generate quality control data
EP1277095B1 (en) System and method for the monitoring of a measurement and control device
WO2018178196A1 (en) Method for determining a degree-of-damage uncertainty of a motor vehicle
EP3712624A1 (en) Method for operating a technical device
DE102019202631A1 (en) Method for monitoring a switch in a railway track system
DE102018006035A1 (en) Method for the automated generation of setting marks and for process monitoring in cyclical production processes
DE102014213293A1 (en) Method, monitoring device and system for detecting a manipulation of a data stream
DE102017204400A1 (en) A method of operating a sensor and method and apparatus for analyzing data of a sensor
EP3454154A1 (en) Automated detection of statistical dependencies between process messages
DE102017123911A1 (en) Method and apparatus for monitoring the response time of a security function provided by a security system
EP3404430B1 (en) Method for monitoring an operation of a binary interface and related binary interface
EP3975066A1 (en) Method for checking a technical function of an electrical and / or mechanical first device of a railway system
EP2402832B1 (en) Method and display system for calibrating standardised displays of process values
DE102022134209B3 (en) Method, diagnostic device and system for monitoring operation of an internal combustion engine
EP1605324B1 (en) Method and apparatus for monitoring the operating state of at least one component of a technical installation

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee