DE102020102860A1 - Verfahren und Instrusionserkennungseinheit zum Verifizieren eines Nachrichtenverhaltens - Google Patents

Verfahren und Instrusionserkennungseinheit zum Verifizieren eines Nachrichtenverhaltens Download PDF

Info

Publication number
DE102020102860A1
DE102020102860A1 DE102020102860.1A DE102020102860A DE102020102860A1 DE 102020102860 A1 DE102020102860 A1 DE 102020102860A1 DE 102020102860 A DE102020102860 A DE 102020102860A DE 102020102860 A1 DE102020102860 A1 DE 102020102860A1
Authority
DE
Germany
Prior art keywords
message
component
control unit
verification
components
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020102860.1A
Other languages
English (en)
Inventor
Dominic Kraus
Lucian Bezler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Festo SE and Co KG
Original Assignee
Festo SE and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Festo SE and Co KG filed Critical Festo SE and Co KG
Priority to DE102020102860.1A priority Critical patent/DE102020102860A1/de
Priority to CN202011405547.1A priority patent/CN113219908A/zh
Priority to US17/113,037 priority patent/US20210243202A1/en
Publication of DE102020102860A1 publication Critical patent/DE102020102860A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41875Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by quality surveillance of production
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2642Domotique, domestic, home control, automation, smart house
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/32Operator till task planning
    • G05B2219/32252Scheduling production, machining, job shop
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Programmable Controllers (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Verifizieren eines Nachrichtenverhaltens einer Steuereinheit (40) für eine Automatisierungsanlage (50), mit einer Vielzahl von Komponenten (30), wobei die Steuereinheit mit den Komponenten und die Komponenten untereinander über ein Kommunikationsnetzwerk kommunizieren, mit den Schritten, die auf zumindest einer Komponente ausgeführt werden:- Empfangen von wenigstens einer Nachricht über das Kommunikationsnetzwerk, wobei die wenigstens eine Nachricht von der Steuereinheit (40) bereitgestellt wird;- Analysieren der wenigstens einen empfangen Nachricht entsprechend einer charakteristischen Nachrichtenbeschreibung; und- Bereitstellen einer Verifikationsnachricht umfassend eine Verifikation des Nachrichtenverhaltens der Steuereinheit (40) als zulässig, falls die analysierte Nachricht der charakteristischen Nachrichtenbeschreibung entspricht.

Description

  • Die Erfindung betrifft ein Verfahren zum Verifizieren eines Nachrichtenverhaltens einer Steuereinheit (z.B. einer speicherprogrammierbaren Steuerung, SPS) für eine Automatisierungsanlage, mit einer Vielzahl von Komponenten, wobei die Steuereinheit mit der Vielzahl an Komponenten und die Komponenten untereinander über ein Kommunikationsnetzwerk in Datenverbindung stehen. Ferner betrifft die Erfindung eine Intrusionserkennungseinheit (IDS) in einer Komponente einer Automatisierungsanlage.
  • In den Zeiten des Internets der Dinge (loT - Internet of things) werden Maschinen nicht mehr in einer komplett gekapselten Automatisierungsanlage betrieben, sondern sie verfügen über Kommunikationsverbindungen nach außen (außerhalb der Automatisierungsanlage). Diese Kommunikationsverbindungen können, soweit unzureichend gesichert, als ein sogenanntes Einfallstor zu der Maschine dienen, da eine 100 %ige Sicherheit meistens nicht gewährleistet werden kann. Zugriffe auf die Maschine werden über freigeschaltete Netzwerk-Ports und gängige Netzwerkprotokolle ermöglicht. Die Netzwerkprotokolle entsprechen hierbei den gängigen Standards und dem aktuellen Stand der IT Sicherheit.
  • Ein unzureichend gesichertes Netzwerk kann dazu führen, dass sich unbefugte Dritte Zugang auf einen Maschinenleitrechner oder eine speicherprogrammierbare Steuerung, beispielsweise der Automatisierungsanlage verschaffen. Über diesen Zugang können ohne Kenntnis des Anlagenbetreibers unbemerkt Maschinendaten ausgelesen und/oder manipuliert werden, so dass einzelne Maschinen - oder im schlimmsten Fall die gesamte Automatisierungsanlage - ausfällt. Ein Beispiel für einen unberechtigten Zugriff, welcher zu einer Manipulation eines Systems zur Überwachung und Steuerung führte, ist der Computerwurm „Stuxnet“. Mittels dieses Computerwurms wurden unter Ausnutzung verschiedener Schwachstellen, Maschinen von Industrieanlagen infiziert und in ihrer Funktion gestört bzw. es wurden zum Zwecke der Schädigung unberechtigt Daten über die Maschinen gesammelt und entwendet.
  • Der hierbei in Rede stehende Angriff, insbesondere das Kompromittieren der Automatisierungsanlage im Fall des Computerwurms „Stuxnet“ war dahingehend aus Sicht der Angreifer erfolgreich, da keine geeigneten Mittel zum Erkennen des Computerwurms und/oder der mit dem Computerprogramm kompromittierten Maschinen und/oder der Automatisierungsanlage zur Verfügung standen. Insbesondere war es im Stand der Technik nicht möglich, die Kommunikation und somit das Nachrichtenverhalten der Maschinen und/oder der kompromittierten Maschinen auf Korrektheit zu verifizieren.
  • Von der Firma Rockwell Automation ist der Ansatz Factory Talk® Analytics für ein Überwachen bzw. „Monitoren“ der entstehenden Prozessdaten in einer SPS Umgebung bekannt. Im Ergebnis können Betriebs- und Wartungsprobleme ermittelt und reduziert werden. Das Ermitteln der Soll-Werte und der Kommandos, die über eine speicherprogrammierbare Steuerung (SPS) bereitgestellt werden, sowie eine Verifikation der Ist-Werte mit einer erwarteten charakteristischen Nachrichtenbeschreibung kann jedoch nicht durchgeführt werden. Ob eine Manipulation der bereitgestellten Soll-Werte vorliegt, kann somit nicht festgestellt werden.
  • Aus der WO 2015/104691 A2 ist ein Anomalie-Erfassungssystem zum Erfassen einer Anomalie in einer industriellen Prozessanlage bekannt. Das der Prozessanlage übergeordnete Anomalie-Erfassungssystem umfasst ein Datenverarbeitungsmodul mit einem Trainingsmodul und Analysemodul. Das Analysemodul kann über Trainingsdaten und/oder über die Analyse des Trainingsmoduls angelernt werden. Das Anomalie-Erfassungssystem kann über eine initiale Trainingsphase basierend auf einer sicheren industriellen Prozessanlage angelernt werden. Das Training umfasst ein Klassifizieren von Abweichung, so dass das Anomalie-Erfassungssystem interpretieren kann, welche Abweichungen von den korrekten Daten akzeptierbar sind und welche nicht akzeptierbar sind.
  • Aus der JP 2013/246531 A ist ein Steuergerät mit einer Fehlererkennungseinheit bekannt. Die Fehlererkennungseinheit umfasst ein Modell. Das Modell wird in einem ersten Modus der Fehlererkennungseinheit angelernt. Es werden Daten über den Normalbetrieb ermittelt und angelernt. In einem Diagnosemodus kann festgestellt werden, ob während der Ausführung des Steuerprogramms, die Daten den angelernten Daten entsprechen.
  • Aus der WO 2018/166688 A2 ist das Platzieren und Ausführen eines maschinell angelernten Modells in Feldgeräten, insbesondere in einer speicherprogrammierbaren Steuerung bekannt. Das Modell kann hierbei in einem Modellanlernumgebung angelernt werden.
  • Diese Lösungen sehen die Kontrolle und das Erfassen von Anomalien durch eine separate Einheit vor. Dahingehend kann allerdings keine Berücksichtigung einer Manipulation dieser Einheit selbst erfolgen bzw. es ist nicht möglich, eine Manipulation von innen aus der entsprechenden Einheit heraus zu ermitteln. Somit können auch die Kontrolle und das Erfassen von Anomalien kompromittiert sein, was zu Störungen in dem zu überwachenden System führen kann. Dies ist insbesondere dann der Fall, wenn bereits ein Zugriff von unbekannten Dritten auf diese Einheit erfolgen kann.
  • Es besteht daher der Bedarf an einem Mechanismus zum autarken und internen Verifizieren eines Nachrichtenverhaltens einer Steuereinheit für eine Automatisierungsanlage. Ausgehend vom angezeigten Stand der Technik und dem sich daraus ergebenden Bedarf, hat sich die vorliegende Erfindung zur Aufgabe gestellt, eine Lösung zu schaffen, die die im Stand der Technik bekannten Nachteile zu mindestens teilweise überwindet.
  • Diese Aufgabe wird durch die nebengeordneten beiliegenden Patentansprüche gelöst, insbesondere durch ein Verfahren und eine Intrusionserkennungseinheit.
  • Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum Verifizieren eines Nachrichtenverhaltens einer Steuereinheit für eine Automatisierungsanlage. Die Automatisierungsanlage umfasst eine Vielzahl von Komponenten. Das Nachrichtenverhalten umfasst Steuerbefehle, insbesondere Kommandos der Steuereinheit an die Vielzahl von Komponenten. Das Nachrichtenverhalten kann neben den ausgetauschten Nachrichten (z.B. Befehlen, Steuerbefehlen für die Komponenten und/oder deren Antwortnachrichten darauf) auch deren zeitliche Abfolgen und/oder Muster und/oder eine Nachrichtenstruktur umfassen. Der Begriff „Nachrichtenstruktur“ meint hier Metadaten der Nachricht oder der Nachrichtenfolge, wie z.B. deren Länge, deren Wiederholung, deren Format, Typ etc. So kann es bestimmte typische Nachrichtemuster geben. Insbesondere umfasst das Nachrichtenverhalten die jeweiligen Steuerbefehle für eine Operation einer entsprechenden Komponente der Automatisierungsanlage. Weiterhin kann das Nachrichtenverhalten die entsprechenden Zugriffe der Steuereinheit auf die Komponenten umfassen. Die Zugriffe umfassen hierbei einen operationsbedingten und/oder einen zeitlich-bedingten Zugriff. Die Steuerbefehle werden als eine Bitfolge bereitgestellt. Die Steuereinheit kann eine speicherprogrammierbare Steuerung als Einzelgerät (Baugruppe) umfassen. Die Steuereinheit kann weiterhin als eine PC-Einsteckkarte in einem Personal-Computer oder Industrie-PC, der mit der Automatisierungsanlage verbunden ist, und/oder als eine Softwareemulation (Soft-SPS) realisiert werden. Die Steuereinheit kommuniziert mit den Komponenten und die Komponenten kommunizieren untereinander über ein Kommunikationsnetzwerk. Die Kommunikation beinhaltet einen Datenaustauch zwischen den einzelnen Komponenten zueinander und zwischen den Komponenten und der Steuereinheit. Das Verfahren umfasst folgende Schritte, die auf zumindest einer Komponente ausgeführt werden:
    • - Empfangen von wenigstens einer Nachricht über das Kommunikationsnetzwerk, wobei die wenigstens eine Nachricht von der Steuereinheit bereitgestellt wird;
    • - Analysieren der wenigstens einen empfangen Nachricht entsprechend einer charakteristischen Nachrichtenbeschreibung; und
    • - Bereitstellen einer Verifikationsnachricht, umfassend eine Verifikation des Nachrichtenverhaltens der Steuereinheit als zulässig, falls die analysierte Nachricht der charakteristischen Nachrichtenbeschreibung entspricht. Mit anderen Worten beinhaltet die Verifikationsnachricht das Ergebnis der Verifkation.
  • In Sinne der vorliegenden Erfindung ist unter einer Komponente ein Aktuator oder ein Messaufnehmer (Sensor) zu verstehen, der in einer Automatisierungsanlage eingesetzt werden kann. Eine Automatisierungsanlage kann in unterschiedlichen Bereichen verwendet werden, so zum Beispiel im Automotive-, Messtechnik- oder Biolabor-Bereich. Eine Automatisierungsanlage stellt eine Anlage dar, in der komplexe und/oder einfache Maschinen und/oder technische Komponenten und Anlagen ohne den menschlichen Eingriff automatisch, nach vorgegebenen Anweisungen Tätigkeiten, beispielsweise Transport, Herstellung und/oder Messaufgaben, durchführen. Dafür erfolgt eine Signalerfassung über Messaufnehmer und eine Ansteuerung von Aktuatoren.
  • In vorteilhafter Weise wird durch die vorliegende Erfindung die eigentliche Kommunikation der Steuereinheit über das Kommunikationsnetzwerk und somit die gesendeten Nachrichten von wenigstens einer Komponente der Automatisierungsanlage überwacht und ausgewertet. Die gesendeten Nachrichten umfassen Kommandos für die über die Kommunikationsverbindung verbunden Komponenten. Diese Kommandos stellen eine deterministische Bitfolge dar, welche bei einer nicht manipulierten Steuereinheit, für ein Kommando immer gleich aufgebaut ist. Auch ist eine Abfolge an Kommandos entsprechend der jeweiligen Operation (Steueraufgabe) immer gleich. Sowohl die durch eine Komponente empfangene Bitfolge, als auch eine Kommandoabfolge können überwacht werden. Dies ermöglicht, eine kompromittierte Steuereinheit zu erkennen und somit empfangene Kommandos der kompromittierten Steuereinheit zu verwerfen. Ferner kann eine verteilte Überwachung und Auswertung der Steuereinheit über eine Vielzahl von Komponenten der Automatisierungsanlage erfolgen.
  • Gemäß einer Ausführungsform der Erfindung wird die Verifikationsnachricht an die Steuereinheit bereitgestellt. Die Verifikationsnachricht umfasst das Ergebnis der Verifikation. Weiterhin kann die Verifikationsnachricht die Adresse und/oder Bezeichnung der Komponente umfassen, welche die Verifikationsnachricht bereitgestellt hat. In vorteilhafter Weise kann auf Basis der empfangenen Nachricht und einem Ergebnis der Verifikation die Verifikationsnachricht (z.B. aufgrund von hinterlegten Ausnahmeregelungen) verworfen werden. Alternativ kann die Komponente, welche die Verifikationsnachricht bereitgestellt hat, zu einer Blacklist zugewiesen werden. Die Blacklist umfasst eine Auflistung der Komponenten, welche nicht als vertrauenswürdig eingestuft sind und zukünftig abgelehnt werden können.
  • Gemäß einer Ausführungsform der Erfindung wird die Verifikationsnachricht an eine weitere Komponente in dem Kommunikationsnetzwerk bereitgestellt. Eine Komponente der Automatisierungsanlage, welche nicht selbst die Funktionalität zum Verifizieren eines Nachrichtenverhaltens ausbildet, kann somit durch die Verifikationsnachricht über die Zulässigkeit des Nachrichtenverhaltens der Steuereinheit benachrichtigt werden. In vorteilhafter Weise kann diese Komponente weitere empfangene Nachrichten der Steuereinheit verwerfen. Die technische und funktionelle Sicherheit der Komponente und der Automatisierungsanlage wird im Falle einer kompromittierten Steuereinheit erhöht.
  • Vorzugsweise wird die Analyse des Nachrichtenverhaltens auf Kompromitierung lokal und direkt auf der Komponente ausgeführt.
  • Gemäß einer Ausführungsform der Erfindung wird die Verifikationsnachricht an ein weiteres System bereitgestellt. Das weitere System kann als eine Leitebene zur Überwachung der Automatisierungsanlage ausgebildet sein. Dabei ist zu beachten, dass die Leitebene nicht zur Analyse bzw. zum Verifizieren des Nachrichtenverhaltens ausgebildet ist, sondern nur eine weitere Verarbeitung des Verhaltensergebnisses ausführen kann.
  • Die Verifikationsnachricht kann weiterhin für eine Überprüfung und/oder Abschaltung der Steuereinheit verwendet werden. Auf Basis der Verifikationsnachricht kann durch die Leitebene beispielsweise festgestellt werden, welche Komponente durch die Steuereinheit manipuliert werden sollte. Zudem kann das weitere System eine weitere Automatisierungsanlage umfassen, welche technisch und/oder funktionell zusammenhängen. Beispielsweise kann eine Automatisierungsanlage zur Herstellung einer Einzelkomponente mit einer übergeordneten Automatisierungsanlage zusammenhängen, welche aus der Einzelkomponente und weiterer Einzelkomponenten ein Endprodukt herstellt.
  • Gemäß einer weiteren Ausführungsform der Erfindung erfolgt das Bereitstellen der Verifikationsnachricht über einen azyklischen Kanal. Der azyklische Kanal kann in vorteilhafter Weise als ein zusätzlicher oder zweiter Kanal verwendet werden, für den Fall, dass die zyklischen Daten (Kommandos) der Steuereinheit kompromittiert erscheinen. Über den azyklischen Kanal können alle nicht echtzeit-relevanten Daten gesendet werden. Insbesondere auch detaillierte Fehlermeldungen. Diese detaillierten Fehlermeldungen können dokumentiert bzw. mit einem Zeitstempel versehen werden. Der azyklische Kanal kann zudem verwendet werden, falls keine selbständige Aktion von der Komponente gewünscht ist und getriggert werden soll, sondern dies aktiv vom Nutzer in einer Leitebene bestätigt werden soll.
  • Gemäß einer weiteren Ausführungsform der Erfindung umfasst das Bereitstellen der Verifikationsnachricht ein Bereitstellen eines Steuersignals an die Steuereinheit. Das Steuersignal kann ein Signal zum Umschalten des Betriebszustandes der Steuereinheit in einen Stopp-Zustand umfassen. Somit kann eine weitere Verbreitung der Manipulation in der Automatisierungsanlage über das Kommunikationsnetzwerk effizient gestoppt werden. Zudem kann die Steuereinheit in einen gesicherten Zustand versetzt werden, in dem die Manipulation detektiert und bereinigt werden kann. Alternativ kann die Steuereinheit in einen Reset-Zustand versetzt werden, bei der die Firmware der Steuereinheit und/oder das Steuerprogramm der Automatisierungsanlage in einen letzten bekannten und sicheren Stand der Firmware und des Steuerprogramms zurück gesetzt wird.
  • Gemäß einer weiteren Ausführungsform der Erfindung umfasst das Bereitstellen der Verifikationsnachricht ein Bereitstellen eines Steuersignals an eine weitere Komponente. Über das Steuersignal kann eine weitere Komponente, welche nicht selbst die Funktionalität zum Verifizieren eines Nachrichtenverhaltens ausbildet, so angesteuert werden, dass diese keine weiteren Nachrichten der Steuereinheit akzeptiert und/oder diese verwirft, wenn das Nachrichtenverhalten in Bezug auf die weitere Komponente von einer anderen Komponente mit Verifikationsfunktionalität als „kompromittiert“ ausgewertet ist. Das Kompromittieren und/oder die Beschädigung der weiteren Komponente durch falsche und/oder fehlerbehaftete Kommandos der Steuereinheit wird vermieden (Fremdschutz).
  • Gemäß einer weiteren Ausführungsform der Erfindung umfasst das Bereitstellen der Verifikationsnachricht ein Bereitstellen eines Steuersignals an ein weiteres System. Über das Steuersignal kann das weitere System so angesteuert werden, dass dieses beispielsweise die Kommunikation zu der Automatisierungsanlage mit der kompromittierten Steuereinheit minimiert oder einstellt, um ein Übergreifen der Schädigung zu vermeiden.
  • Gemäß einer weiteren Ausführungsform der Erfindung umfasst das Steuersignal ein Einschränken oder Abschalten einer Funktionalität der Komponente. Die Funktionalität der Komponente kann eingeschränkt werden, so dass beispielsweise keine sicherheitsrelevanten Funktionen ausgeführt werden. Alternativ können Funktionen der Komponente abgeschaltet bzw. solange das Steuersignal anliegt, deaktiviert werden.
  • Gemäß einer weiteren Ausführungsform der Erfindung umfasst das Steuersignal ein Einschränken oder Abschalten einer Funktionalität der Steuereinheit. In vorteilhafter Weise kann somit ein Ausbreiten und Übergreifen der Manipulation auf weitere Komponenten der Automatisierungsanlage begrenzt bzw. unterbunden werden. Zudem kann in diesem Zustand durch die Leitebene die korrekte Funktion der Komponente überprüft werden.
  • Gemäß einer weiteren Ausführungsform der Erfindung umfasst das Steuersignal ein Einschränken oder Abschalten einer Funktionalität des weiteren Systems. In vorteilhafter Weise können somit ein Ausbreiten und Übergreifen der Manipulation auf das weitere System bzw. eine Beschädigung unterbunden werden.
  • Gemäß einer weiteren Ausführungsform der Erfindung erfolgt das Bereitstellen der Verifikationsnachricht, falls eine Vielzahl der Komponenten des Kommunikationsnetzwerkes das Nachrichtenverhalten der Steuereinheit als nicht zulässig verifizieren. In vorteilhafter Weise können somit Einschränkungen in der Funktion und/oder ein Deaktivieren der Automatisierungsanlage und/oder einer weiteren Komponente aufgrund eines fehlerbehafteten Verifikationsergebnisses als kompromittiert (Falsch-Positiv) vermieden werden. Insbesondere kann die Verifikationsnachricht unberücksichtigt bleiben, wenn nicht eine vorgeschriebene und/oder festgelegte Anzahl an Komponenten der Automatisierungsanlage diese Verifikationsnachricht bereitstellen (Mehrheitsentscheid). In einer weiteren Ausführungsform kann die Verifikationsnachricht unberücksichtigt bleiben, wenn nicht eine vorgeschriebene und/oder festgelegte Kombination an Komponenten der Automatisierungsanlage die gleiche Verifikationsnachricht bereitstellen. Insbesondere kann zwischen kritischen und unkritischen Komponenten der Automatisierungsanlage unterschieden werden. Dies kann über einen Wertigkeitsfaktor festgelegt werden. So kann beispielsweise die Verifikationsnachricht einer kritischen Komponente der Automatisierungsanlage zum vollständigen Bereitstellen derselben führen, jedoch Einschränkungen für die weiteren Komponenten der Automatisierungsanlage, das weitere System und/oder für die Steuereinheit beinhalten.
  • Gemäß einer weiteren Ausführungsform der Erfindung erfolgt das Bereitstellen der Verifikationsnachricht, falls 25% der Vielzahl der Komponenten, bevorzugt 51% der Vielzahl der Komponenten, besonders bevorzugt 75% der Vielzahl der Komponenten des Kommunikationsnetzwerkes bzw. der Automatisierungsanlage das Nachrichtenverhalten der Steuereinheit als nicht zulässig verifizieren. In vorteilhafter Weise wird die Verifikationsnachricht erst an die Steuereinheit und/oder weitere Systeme und/oder Komponenten der Automatisierungsanlage bereitgestellt, wenn eine entsprechende Anzahl an Komponenten ebenfalls das Nachrichtenverhalten der Steuereinheit als nicht zulässig verifizieren. Umso höher die Anzahl der Komponenten ist, die die Verifikationsnachricht bereitstellen, umso höher ist der Grad der korrekten Verifikation. Somit kann die Rate der Falschmeldungen minimiert werden. Eine Falschmeldung ist beispielsweise eine Meldung bei einer geringfügigen Anomalie im Nachrichtenverhalten.
  • In einer weiteren Ausführungsform der Erfindung erfolgt das Bereitstellen der Verifikationsnachricht durch einen vom Nutzer selbst definierten Schwellwert und/oder Warnungen. Dies ist abhängig von der Anzahl an Komponenten in der Automatisierungsanlage, die diese Funktion unterstützen. In den meisten Fällen kann ein Angriff gezielt auf eine einzelne kritische Komponente erfolgen. Dieser Angriff kann in vorteilhafter Weise von den weiteren Komponenten der Automatisierungsanlage detektiert werden.
  • Gemäß einer weiteren Ausführungsform der Erfindung umfasst die charakteristische Nachrichtenbeschreibung ein fehlerfreies und/oder vertrauenswürdiges Nachrichtenverhalten zwischen der Steuereinheit und der Komponente. Das fehlerfreie und/oder vertrauenswürdige Nachrichtenverhalten kann quasi als Referenz-Nachrichtenverhalten in einer gesicherten Umgebung ermittelt werden. Weiterhin kann das fehlerfreie und/oder vertrauenswürdige Nachrichtenverhalten in einer aktiven Automatisierungsanlage, in welcher mit hoher Wahrscheinlichkeit kein Kompromittieren vorliegt, ermittelt werden. Das fehlerfreie und/oder vertrauenswürdige Nachrichtenverhalten kann die korrekten Nachrichten (Kommandos) der Steuereinheit zum Ansteuern der Komponenten umfassen. Unter einer korrekten Nachricht ist das korrekte Kommando in der entsprechender Bitfolge, eine korrekte Abfolge von aufeinanderfolgenden Kommandos und/oder ein korrekter zeitlicher Abstand zwischen aufeinanderfolgenden Kommandos zu verstehen. Zudem kann das vertrauenswürdige Nachrichtenverhalten auch die Antwort der Komponente auf die empfangene Nachricht umfassen. Eine falsche und/oder nicht erwartete Antwort kann ein fehlerbehaftetes bzw. nicht vertrauenswürdiges Nachrichtenverhalten beinhalten.
  • Gemäß einer weiteren Ausführungsform der Erfindung umfasst das Verfahren den Schritt des Bereitstellens von wenigstens einer Antwortnachricht durch die wenigstens eine Komponente für die Steuereinheit als Ergebnis auf die wenigstens eine empfangene Nachricht. Die Antwortnachricht entspricht einem Feedback und/oder der Reaktion der Komponente auf die empfangene Nachricht. Die Reaktion kann die Operation bzw. den Betrieb der Komponente umfassen.
  • Gemäß einer weiteren Ausführungsform der Erfindung umfasst die charakteristische Nachrichtenbeschreibung eine Zeitdauer, welche die Zeit zwischen dem Empfang der Nachricht auf der Komponente und dem Bereitstellen der Antwortnachricht und/oder einem Umsetzen (bzw. Ausführen) eines in der Nachricht enthaltenen Kommandos auf der Komponente umfasst. In vorteilhafter Weise kann die notwendige Zeit zur Nachrichtenverarbeitung und/oder Ausführung der in der Nachricht enthaltenen Befehle ermittelt werden. Das Ausführen einer Operation und somit das Bereitstellen der Antwortnachricht auf Basis einer Nachricht der Steuereinheit ist deterministisch und erfolgt nach dem gleichen Muster. Durch die Kenntnis über die notwendige Zeit können Abweichungen detektiert und analysiert werden. Diese Abweichungen können Manipulationen der Kommandos und/oder Zugriffe der Steuereinheit beinhalten.
  • Gemäß einer weiteren Ausführungsform der Erfindung wird die charakteristische Nachrichtenbeschreibung in einem Modell trainiert. In einem Programm für die Steuereinheit, insbesondere eine speicherprogrammierbare Steuerung ist die Abfolge der Kommandos für die jeweiligen Komponenten deterministisch programmiert. Die Abfolge der Kommandos wird als eine Bitfolge über die Kommunikationsverbindung, beispielsweise einen Feldbus, gesendet. Eine Komponente, die Steuereinheit und/oder ein weiteres System können diese Bitfolge aufgreifen und daraus einen Entscheidungsbaum oder ein neuronales Netz aufbauen. Hierdurch ergeben sich Wahrscheinlichkeiten für die „normalen“ Bitfolgen. Die „normale“ Bitfolge beschreibt die Bitfolge, welche von einer nicht kompromittierten Steuereinheit gesendet wird. Wenn eine Komponente nun einen Befehl (per Nachricht in einer Bitfolge) bekommt, weiß sie durch die Wahrscheinlichkeiten im Entscheidungsbaum oder dem neuronalen Netz, wie die anderen Bits in der Befehlskette sein sollten. Kommt es hier nun zu Abweichungen („Unwahrscheinliches/ Unerwartetes Ereignis“) und/oder Unregelmäßigkeiten während der Übertragung, können diese detektiert und eine entsprechende Verifikationsnachricht „Anomalie detektiert“ kann bereitgestellt werden.
  • Gemäß einer weiteren Ausführungsform der Erfindung wird das Modell über einen grafischen Entscheidungsbaum angelernt. Hierbei kann der Entscheidungsbaum ein geordneter und/oder gerichteter Baum sein, mit dessen Hilfe Entscheidungsregeln dargestellt werden können. Über den grafisch darstellbaren Baum können hierarchisch aufeinanderfolgende Entscheidungen definiert werden.
  • Gemäß einer weiteren Ausführungsform der Erfindung wird das Modell über ein neuronales Netzwerk angelernt. Das neuronale Netzwerk ist derart ausgebildet, dass neues Wissen aus bereits gesammelten Erfahrungen generiert werden kann. Dabei wird das neuronale Netzwerk aus einem gesammelten Nachrichtenverhalten angelernt, um das Nachrichtenverhalten nach Beendigung einer Lernphase zu verallgemeinern. Das neuronale Netzwerk beruht somit auf den gesammelten Erfahrungen als Trainingsdaten. Somit werden Muster und Gesetzmäßigkeiten in den Trainingsdaten erkannt. Das neuronale Netzwerk wird über das Nachrichtenverhalten zwischen einer Komponente und der Steuereinheit trainiert. Das Nachrichtenverhalten kann auch entsprechende Antwortnachrichten umfassen. Ein neuronales Netzwerk ist ein Netz bestehend aus künstlichen Neuronen, welche untereinander vernetzt sind. Die Architektur und Topologie des neuronalen Netzwerkes hängen von der vorgesehen Aufgabe ab. Über die Vernetzung werden Nachrichten zwischen den jeweiligen Knoten ausgetauscht. Die Verbindungen weisen nummerische Gewichtungen auf, welche basierend auf Erfahrungen angepasst werden können und somit das neuronale Netzwerk anpassbar an die Eingaben und fähig zum Lernen machen. Das neuronale Netzwerk kann über das Entwickeln von neuen Verbindungen zwischen den Neuronen, das Löschen von bereits existierenden Verbindungen zwischen den Neuronen, eine Änderung der Gewichtung von Neuron zu Neuron, durch ein Hinzufügen bzw. Löschen von Neuronen und eventuell ein Anpassen der Schwellwerte der Neuronen angelernt werden. Über das neuronale Netzwerk werden häufig wiederkehrende Muster in dem Nachrichtenverhalten identifiziert. Es können weiterhin die Bitfolge der Kommandos in dem Nachrichtenverhalten, sowie die Dauer der Übertragung identifiziert werden. In einer vorteilhaften Ausführungsform, kann das neuronale Netzwerk mit dem Nachrichtenverhalten zwischen einer benachbarten Komponente und der Steuereinheit angelernt werden. In vorteilhafter Weise können somit die von einer Steuereinheit an eine Komponente und/oder benachbarte Komponente bereitgestellten Nachrichten, beispielsweise Kommandos auf Korrektheit verifiziert werden.
  • Das neuronale Netzwerk kann als ein Deep Neural Network ausgebildet sein und insbesondere ein Convolutional Neural Network und/oder ein Deep Feed Forward Network umfassen. Ein Deep Neural Network ist ein neuronales Netzwerk mit einer gewissen Komplexität, das wenigstens aus zwei Schichten, vorzugsweise aus mehr als zwei Schichten besteht. Deep Neural Network's verwenden ein mathematisches Modell, um Daten auf komplexe Weise zu verarbeiten. Deep neural Network's sind für eine bestimmte technische Aufgabe trainiert, wie insbesondere z.B. die Mustererkennung von Anomalien im Nachrichtenverhalten. Ein Convolutional Neural Network (CNN) ist eine mehrschichtige Verarbeitungseinheit, die Faltungs-, Pooling- und gleichgerichtete Lineareinheiten (ReLU-Schichten) umfasst. Diese Schichten können in beliebiger Reihenfolge angeordnet werden, solange sie den Kriterien der Eingabegröße und der Ausgabegröße entsprechen.
  • Gemäß einer weiteren Ausführungsform der Erfindung erfolgt das Anlernen des Modells auf der Komponente. Gemäß einer weiteren Ausführungsform der Erfindung erfolgt das Anlernen des Modells auf der Steuereinheit. Gemäß einer weiteren Ausführungsform der Erfindung erfolgt das Anlernen des Modells auf einer separaten Einheit. Das Modell kann von jeder elektronischen Einheit der Automatisierungsanlage, deren Ressourcen für das Anlernen eines Modells ausgebildet sind und die auf das Kommunikationsnetzwerk zugreifen kann, angelernt werden. Somit ist für das Anlernen keine zusätzliche Hardware und/oder Software notwendig. Der Zugriff auf das Kommunikationsnetzwerk kann über eine LAN-Verbindung, eine serielle Verbindung und/oder eine kabellose Verbindung erfolgen.
  • Gemäß einer weiteren Ausführungsform der Erfindung wird das Modell lokal in der Komponente oder in ausgemähten Komponenten gespeichert. Die Komponente kann einen oder mehrere Prozessoren und einen Speicher aufweisen, welche ausgebildet sind das Verfahren gemäß der Erfindung auszuführen. Weiterhin kann eine Intrusionserkennungseinheit in der Komponente ausgebildet sein. Insbesondere kann die Komponente verschiedene Typen von Speicher, beispielsweise einen flüchtigen und/oder einen nicht-flüchtigen Speicher aufweisen. In dem Speicher der Komponente wird das Modell zur Verifikation des Nachrichtenverhaltens gespeichert. In dem Modell ist die charakteristische Nachrichtenbeschreibung angelernt. Durch die dezentrale Speicherung des Modells und der daraus folgenden Überwachung über mehrere Komponenten hinweg, kann eine unautorisierte Manipulation der Steuereinheit auf sichere Weise erkannt und gemeldet werden (Abgleich der Verifkationsergebnisse mehrerer Komponenten).
  • Gemäß einer weiteren Ausführungsform der Erfindung ist das Modell auf das Nachrichtenverhalten der Komponente angelernt sein, in der das Modell gespeichert wird. Alternativ oder kumulativ kann das Modell auf das Nachrichtenverhalten einer Komponente angelernt, welche benachbart zu der Komponente platziert ist, die das Modell speichert. Gemäß einer weiteren Ausführungsform der Erfindung wird das Verifikationsverfahren kommissarisch für eine benachbarte Komponente und deren Nachrichten ausgeführt. In vorteilhafter Weise werden die von der Steuereinheit an eine Komponente über das Kommunikationsnetzwerk gesendeten Nachrichten von allen Komponenten der Automatisierungsanlage empfangen und/oder mitgelesen. Da die Adressen der jeweiligen vorher und nachher im Adressbereich liegenden Komponenten für eine jeweilige Komponente bekannt sind, können auch die zu empfangenden Nachrichten (Kommandos) in dem Modell angelernt und das Nachrichtenverhalten verifiziert werden. Dies ist insbesondere dann von Vorteil, wenn Komponenten nicht die notwendigen Hardware- und/oder Softwareressourcen aufweisen, um das Modell und das Verifizieren des Nachrichtenverhaltens auszuführen. Somit kann auch gerade für diese (schlanken) Komponenten ein Schutz gegen nicht normales Befehlsverhalten und/oder abnormale Zugriffe der Steuereinheit bereitgestellt werden.
  • Gemäß einem zweiten Aspekt betrifft die Erfindung eine Intrusionserkennungseinheit in einer Komponente einer Automatisierungsanlage, wobei die Komponenten der Automatisierungsanlage über ein Kommunikationsnetzwerk untereinander und mit einer Steuereinheit kommunizieren, und wobei die Intrusionserkennungseinheit zum lokalen Verifizieren eines Nachrichtenverhaltens der Steuereinheit ausgebildet ist, mit:
    • - einer Empfangseinheit, die zum Empfangen wenigstens einer Nachricht von der Steuereinheit über das Kommunikationsnetzwerk zum Zwecke der Steuerung der Komponente ausgebildet ist;
    • - eine Analyseschnittstelle zu einer Analyseeinheit, die ausgebildet ist, die wenigstens eine empfangene Nachricht entsprechend einer charakteristischen Nachrichtenbeschreibung, die in einem Komponentenspeicher gespeichert ist, zu analysieren; und mit
    • - einer Verifikationsschnittstelle zu einer Verifikationseinheit, die ausgebildet ist, das Nachrichtenverhalten der Steuereinheit als zulässig zu verifizieren, falls die Analysenachricht der charakteristischen Nachrichtenbeschreibung entspricht.
  • Die Intrusionserkennungseinheit kann als eine separate Einheit in der Komponente implementiert sein. In einer weiteren Ausgestaltung kann die Intrusionseinheit in einem bestehenden Mikrocontroller der Komponente implementiert werden. Zudem kann die Intrusionserkennungseinheit auf einem integrierten Schaltkreis (IC) in Hardware umgesetzt werden. Die Funktionen der Analyseeinheit und der Verifikationseinheit können in einer gemeinsamen Einheit mit einer Schnittstelle zusammengefasst sein, falls beispielsweise nur eine Komponente mit der Intrusionserkennungsfunktionalität ausgestaltet ist. Die Ausgestaltung der Analyseeinheit und der Verifikationseinheit in zwei separate Einheiten hat diesbezüglich den Vorteil, falls eine Komponente der Automatisierungsanlage nur die Rechenressourcen zum vollständigen Auswerten eines Entscheidungsbaum hat, so können die weiteren Komponenten der Automatisierungsanlage das Auswerten der Befehlskette oder Teile des Entscheidungsbaumes übernehmen. Somit können die Analyse und Verifikation entsprechend verfügbarer Ressourcen verteilt ausgeführt werden.
  • Gemäß einer Ausführungsform des zweiten Aspekts der Erfindung weist die Intrusionserkennungseinheit eine Sendeeinheit auf, die zum Bereitstellen von wenigstens einer Antwortnachricht als Ergebnis auf die wenigstens eine empfangene Nachricht ausgebildet ist.
  • Gemäß einer weiteren Ausführungsform des zweiten Aspekts der Erfindung weist die Intrusionserkennungseinheit eine Ausgabeeinheit auf, die zum Ausgeben einer Verifikationsnachricht, die durch die Verifikationseinheit bereitgestellt wird, ausgebildet ist. Die Antwortnachricht entspricht einem Feedback und/oder der Reaktion der Komponente auf die empfangene Nachricht. Die Reaktion kann die Operation der Komponente umfassen.
  • Gemäß einer weiteren Ausführungsform des zweiten Aspekts der Erfindung weist die Intrusionserkennungseinheit eine Eingabeeinheit auf, die zum Empfangen eines Steuersignals zum Abschalten der Verifikation des Nachrichtenverhaltens der Steuereinheit ausgebildet ist. In vorteilhafter Weise kann in einem Wartungsfall der Automatisierungsanlage und/oder der Steuereinheit, was ein abnormales Verhalten darstellen kann, die Verifikation des Nachrichtenverhaltens deaktiviert werden. Dies kann beispielsweise durch einen Nutzer mittels einer Passwort-Eingabe über ein Bedienterminal oder über eine Schaltereinheit der Automatisierungsanlage oder der Steuereinheit erfolgen.
  • Gemäß einem dritten Aspekt betrifft die Erfindung eine Automatisierungsanlage mit einer Vielzahl an Komponenten, die von einer Steuereinheit angesteuert werden und mit dieser über ein Kommunikationsnetzwerk kommunizieren, wobei alle oder ausgewählte Komponenten eine Intrusionserkennungseinheit umfassen nach einem der vorstehenden auf die Intrusionserkennungseinheit bezogenen Ansprüche.
  • Die vorstehend beschriebenen, erfindungsgemäßen Ausführungsformen des Verfahrens zum Verifizieren eines Nachrichtenverhaltens können auch als Computerprogramm ausgebildet sein, wobei eine Komponente zur Durchführung des oben beschriebenen, erfindungsgemäßen Verfahrens veranlasst wird, wenn das Computerprogramm auf der Komponente bzw. auf einem Prozessor oder Mikrocontroller der Komponente ausgeführt wird. Das Computerprogramm kann per Download bereitgestellt oder in einer Speichereinheit der Komponente mit darin enthaltenem computerlesbarem Programmcode gespeichert werden, um die Intrusionserkennungseinheit zur Ausführung von Anweisungen gemäß dem oben genannten Verfahren zu veranlassen.
  • Es liegt im Rahmen der Erfindung, dass nicht alle Schritte des Verfahrens zwangsläufig auf ein und derselben Komponente ausgeführt werden müssen, sondern sie können auch auf unterschiedlichen Komponenten ausgeführt werden.
  • Darüber hinaus ist es möglich, dass ein einzelner Abschnitt des vorstehend beschriebenen Verfahrens in einer verkaufsfähigen Einheit und die restlichen Abschnitte in einer anderen verkaufsfähigen Einheit - sozusagen als verteiltes System - ausgeführt werden können. So ist es insbesondere möglich, den Verfahrensschritt des Empfangens einer Nachricht in einer ersten Komponente und das Analysieren der Nachricht und Bereitstellen einer Verifikationsnachricht in einer zweiten und/oder weiteren Komponente auszuführen.
  • Die obigen Ausgestaltungen und Weiterbildungen lassen sich, sofern sinnvoll, beliebig miteinander kombinieren. Insbesondere können die Merkmale der Verfahrensansprüche als strukturelle Merkmale in der Intrusionserkennungseinheit realisiert werden. Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmalen der Erfindung. Insbesondere wird dabei der Fachmann auch Einzelaspekte als Verbesserung oder Ergänzungen zu der jeweiligen Grundform der vorliegenden Erfindung hinzufügen.
  • In der folgenden detaillierten Figurenbeschreibung werden nicht einschränkend zu verstehende Ausführungsbeispiele mit deren Merkmalen und weiteren Vorteilen anhand der Zeichnung besprochen.
  • Figurenliste
    • 1 zeigt eine schematische Ansicht gemäß einer Ausführungsform der erfindungsgemäßen Autom atisieru ngsanlage;
    • 2 zeigt eine schematische Ansicht gemäß einer weiteren Ausführungsform der erfindungsgemäßen Automatisierungsanlage;
    • 3 zeigt ein Ablaufdiagramm gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens;
    • 4 zeigt eine schematische Ansicht gemäß einer Ausführungsform der erfindungsgemäßen Komponente;
    • 5 zeigt eine schematische Ansicht gemäß einer weiteren Ausführungsform der erfindungsgemäßen Komponente;
    • 6 zeigt eine schematische Ansicht zum Aufbau eines grafischen Entscheidungsbaums gemäß der vorliegenden Erfindung, und
    • 7 zeigt eine schematische Ansicht zum Anlernen eines neuronalen Netzwerkes gemäß der vorliegenden Erfindung.
  • Detaillierte Beschreibung der Erfindung
  • In 1 ist eine schematische Ansicht gemäß einer Ausführungsform der erfindungsgemäßen Automatisierungsanlage dargestellt. In der 1 bezeichnet Bezugszeichen 50 eine Automatisierungsanlage. Die Automatisierungsanlage 50 umfasst eine Vielzahl an Komponenten 30-1 bis 30-i. Die Komponenten 30-1 bis 30-i der Automatisierungsanlage 50 kommunizieren untereinander über ein Kommunikationsnetzwerk 20 und/oder über das Kommunikationsnetzwerk 20 mit einer Steuereinheit 40. Die Komponenten 30-i sind elektronische Geräte, beispielsweise ein Aktuator oder ein Sensor. Die Komponenten 30-i weisen eine Kommunikationsschnittstelle zum Verbinden mit dem Kommunikationsnetzwerk 20 auf. Das Kommunikationsnetzwerk 20 der 1 umfasst eine Bustopologie. In der BusTopologie sind alle Komponenten 30-1 bis 30-i an einem gemeinsamen Übertragungsmedium angeschlossen. Das Kommunikationsnetzwerk 20 kann als ein LAN-Netzwerk ausgebildet sein. Weiterhin kann eine Verbindung durch entsprechende Gateways über eine serielle Verbindung oder über eine WLAN-Verbindung erfolgen. Jede der Komponenten 30-1 bis 30-i kann mit jeder anderen Komponente 30-1 bis 30i frei kommunizieren. In vorteilhafter Weise ist keine Master-Station notwendig, welche die Kommunikation in dem Kommunikationsnetzwerk 20 steuert. Die Nachrichten, die über das Kommunikationsnetzwerk mit einer Bustopologie von der Steuereinheit zu den Komponenten 30-1 bis 30-i übertragen werden, werden von allen an dem Kommunikationsnetzwerk 20 angeschlossenen Komponenten 30-1 bis 30-i empfangen. Somit können beispielsweise von einer Komponente 30-2 auch die für die Komponente 30-1 und/oder Komponente 30-2 bestimmten Nachrichten - sozusagen kommissarisch - empfangen werden. Diese nicht für die Komponente 30-1 bestimmten Daten können analysiert werden, müssen aber nicht unbedingt für die Umsetzung in der Komponente 30-1 ausgewertet werden. Hierzu wird ein Broadcast angewendet, in dem alle Datenpakete von der Steuereinheit 40 an alle Komponenten 30-1 bis 30-i der Automatisierungsanlage 50 übertragen werden. Ein Broadcast-Paket erreicht alle Komponenten 30-1 bis 30-i des Kommunikationsnetzwerk 20, ohne dass sie explizit als Empfänger angegeben sind. Jede Komponente 30-1 bis 30-i eines Broadcasts entscheidet selbst, ob sie im Falle einer Zuständigkeit die erhaltene Nachricht entweder verarbeitet oder andernfalls stillschweigend verwirft.
  • In 1 umfasst die Komponente 30-2 eine Intrusionserkennungseinheit 10 zum lokalen Verifizieren eines Nachrichtenverhaltens der Steuereinheit 40. Die Intrusionserkennungseinheit 10 umfasst eine Empfangseinheit 11 (vgl. 4). Die Empfangseinheit 11 ist ausgebildet wenigstens einer Nachricht von der Steuereinheit 40 über das Kommunikationsnetzwerk 20 zum Zwecke der Steuerung der Komponente 30 zu empfangen. Weiterhin umfasst die Intrusionserkennungseinheit 10 eine Analyseschnittstelle 12 zu einer Analyseeinheit 13. Die Analyseeinheit 13 ist ausgebildet, die wenigstens eine empfangene Nachricht entsprechend einer charakteristischen Nachrichtenbeschreibung, die in einem Komponentenspeicher gespeichert ist, zu analysieren. Die charakteristische Nachrichtenbeschreibung wird in einem Modell angelernt. Zudem umfasst die Intrusionserkennungseinheit 10 eine Verifikationsschnittstelle 14 zu einer Verifikationseinheit 15. Die Verifikationseinheit 15 ist ausgebildet, das Nachrichtenverhalten der Steuereinheit 40 als zulässig zu verifizieren, falls die Analysenachricht der charakteristischen Nachrichtenbeschreibung entspricht.
  • Die Komponenten 30-1 bis 30-i können das angelernte Modell lokal speichern oder darauf zugreifen. Das angelernte Modell kann über einen grafischen Entscheidungsbaum und/oder ein neuronales Netzwerk trainiert werden. Über den grafischen Entscheidungsbaum und/oder das neuronale Netzwerk kann der wiederkehrende Programmablauf der Steuereinheit 40 mit den deterministischen Nachrichten an die Komponenten 30-1 bis 30-i angelernt werden. Auch kann der Adressbereich derjenigen Komponenten angelernt werden, welcher für die eigentliche Komponente nicht von Relevanz ist. Das Anlernen der charakteristischen Nachrichtenbeschreibung in einem Modell kann auf der Steuereinheit 40, auf einem weiteren System 60, beispielsweise einem Industrie-PC oder Server, die mit dem Kommunikationsnetzwerk 20 kommunizieren und/oder auf der Komponente 30-1 bis 30-i erfolgen. Die Anwendung des trainierten Modells und somit die Verifikation des Nachrichtenverhaltens erfolgt auf wenigstens einer Komponente der Vielzahl an Komponenten 30-1 bis 30-i der Automatisierungsanlage 50.
  • Das Nachrichtenverhalten beschreibt die Nachrichten, welche von einer Steuereinheit 40 über das Kommunikationsnetzwerk 40 an die Komponenten 30-1 bis 30-i gesendet werden. Die Nachrichten können durch ein Kompromittieren der Steuereinheit beschädigt und/oder manipuliert werden, wodurch auch die Komponente 30-1 bis 30-i eine nicht erwartete Reaktion ausführen kann und/oder beschädigt wird und/oder die Automatisierungsanlage 50 beschädigt bzw. diese in ihrer Funktion einschränkt. Ein vertrauenswürdiges Nachrichtenverhalten, welches durch eine der Komponenten 30-1 bis 30-i als zulässig verifiziert ist, umfasst Nachrichten bzw. Kommandos der Steuereinheit 40, welche in der entsprechenden Bit-Folge, eine korrekte Abfolge von aufeinanderfolgenden Kommandos und/oder einen korrekten zeitlichen Abstand zwischen aufeinanderfolgenden Kommandos aufweist. Zudem kann das vertrauenswürde Nachrichtenverhalten auch die Antwort der Komponente auf die empfangene Nachricht umfassen.
  • Da in vorteilhafter Weise die Komponenten 30-1 bis 30-i prinzipiell alle Nachrichten, die über das Kommunikationsnetzwerk 20 versendet werden, empfangen, kann beispielsweise die Komponente 30-2 auch das Nachrichtenverhalten bzw. die Kommandos für die benachbarte Komponente 30-1 und/oder die benachbarte Komponente 30-3 in einem lokal zu speichernden Modell angelernt werden. Die Auswahl der Komponente 30-3 erfolgt hierbei nur beispielhaft und stellt keine Einschränkung für die Erfindung dar. Vielmehr kann die Automatisierungsanlage 50 noch weitere Komponenten 30-i umfassen, welche ein Modell speichern, das auf ein Nachrichtenverhalten für andere Komponenten 30-i angelernt ist. Auch stellt die in 1 dargestellt Anordnung der Komponenten 30-1 bis 30-i und die Benennung als benachbarter und/oder vorheriger und/oder nachherigen Komponente 30-i eine beispielhafte Anordnung da. Eine benachbarte Komponente 30-i kann auch einen benachbarten Adressbereich umfassen, in der Automatisierungsanlage 50 aber örtlich entfernt platziert sein. In einer Ausführungsform werden die Komponenten 30-1 bis 30-i über eine feste Adressbezeichnung durch die Steuereinheit 40, beispielsweise durch eine speicherprogrammierbare Steuerung, angesteuert.
  • In der Ausführungsform gemäß der 1 kann das Nachrichtenverhalten der Komponente 30-1 und der Komponente 30-3 in dem Modell der Komponente 30-2 angelernt werden. Dies ist dann vorteilhaft, wenn die Komponente 30-1 und die Komponente 30-3 nicht die entsprechenden Ressourcen (Rechenleistung, Speicherkapazität, Energie, usw.) zur Verfügung haben, um das Programm zum Verifizieren eines Nachrichtenverhaltens und/oder die Einheiten der Intrusionserkennungseinheit 10 zu implementieren. In vorteilhafter Weise werden die von der Steuereinheit 40 an die Komponente 30-1 und die Komponente 30-3 über die Komponente 30-2 auf Zulässigkeit verifiziert. Somit werden die Komponenten gegen eine Manipulation und/oder Beschädigung durch von einer kompromittierten Steuereinheit 40 versendete Nachrichten geschützt. Weiterhin vorteilhaft ist, dass somit jede Komponente 30-i gegen Angriffe geschützt werden kann. Falls Angriffe auf einzelne Komponenten eingeleitet werden, wird dies durch eine kompromittierte Steuereinheit 40 erkannt und Maßnahmen können ergriffen werden. Jede Komponente 30-i kann somit aktiv oder passiv (als ausgewähltes Ziel der Manipulation) abnormales Befehlsverhalten und/oder abnormale Zugriffe der Steuereinheit erkennen. Eine Maßnahme kann eine Rückmeldung an einen Nutzer und/oder an eine Leitebene vorsehen. Dies kann über einen azyklischen Kanal erfolgen. Weiterhin kann die Verifikationsnachricht umfassend die Verifikation ein Steuersignal bereitstellen, ein Einschränken und/oder Abschalten einer Funktionalität einer Komponente 30-1 bis 30-i und/oder der Steuereinheit 40 und/oder eines weiteren Systems 60 bewirken.
  • Um die Rate an Falschmeldungen, insbesondere um eine Störung und/oder Stillstand der Automatisierungsanlage aufgrund von Falschmeldungen zu minimieren, kann ein sogenannter Mehrheitsentscheid der Komponenten 30-1 bis 30-i implementiert sein. Der Mehrheitsentscheid kann eine definierte Anzahl an Komponenten 30-1 bis 30-i der Automatisierungsanlage 50 umfassen. In einer Ausführungsform wird die Verifikationsnachricht, umfassend ein Steuersignal bereitgestellt, falls 25% der Komponenten 30-i, bevorzugt 51% der Komponenten 30-i, besonders bevorzugt 75% der Komponenten 30-i des Kommunikationsnetzwerkes 20 bzw. der Automatisierungsanlage 50 das Nachrichtenverhalten der Steuereinheit 40 als nicht zulässig verifizieren. Die Rate an Falschmeldungen wird umso mehr minimiert, je mehr Komponenten 30-i für die Verifikation des Nachrichtenverhaltens berücksichtigt werden.
  • In einer weiteren Ausführungsform können nur vorkonfigurierte Komponenten mit der Intrusionserkennungseinheit 10 ausgebildet sein. Die Auswahl der Komponenten 30-i erfolgt abhängig von der Wichtigkeit für die Funktion der Automatisierungsanlage 50 bzw. vom Level. Beispielsweise kann bei einer kritischen Komponente 30-1, 30-2, 30-3 eine Intrusionserkennungseinheit 10 bereitgestellt werden, während bei einer anderen Komponente 30-i die Beeinträchtigung für Funktionen dieser Komponente und/oder der gesamten Automatisierungsanlage 50 zu vernachlässigen wären. Auf diese Weise können die Funktionen der Komponenten und/oder der Automatisierungsanlage bis zum Erreichen eines kritischen Niveaus aufrechterhalten werden.
  • In 2 ist eine schematische Ansicht gemäß einer weiteren Ausführungsform der erfindungsgemäßen Automatisierungsanlage 50 dargestellt. Die Automatisierungsanlage 50 gemäß der 2 umfasst die Komponenten 30-1 bis 30-i und eine Steuereinheit 40. Die Komponenten 30-1 bis 30-i und die Steuereinheit 40 sind untereinander über ein Kommunikationsnetzwerk 20 verbunden. Das Kommunikationsnetzwerk 20 der 2 ist als eine Ringtopologie ausgebildet und stellt das gemeinsame Übertragungsmedium dar. Die Ringtopologie stellt ein geschlossenes Übertragungsmedium dar. Die im Kommunikationsnetzwerk 20 hängenden Komponenten 30-1 bis 30-i sind integraler Bestandteil des Übertragungsmediums. Jede der Komponenten 30-1 bis 30-i hat einen eindeutigen Vorgänger und einen eindeutigen Nachfolger. Die zu übertragenden Nachrichten werden von einer Komponente 30-i zu der weiteren Komponenten 30-i übertragen. Hierbei wird durch jede Komponente 30-i getestet, ob die Nachricht für sie bestimmt ist. Wenn die Nachricht nicht für diese Komponente 30-i bestimmt ist, wird die Nachricht an die nächste Komponente 30-i weitergereicht. Ist die Nachricht für diese Komponente 30-i bestimmt, wird sie von dieser Komponente 30-i verwertet, bzw. das Kommando durch die Komponente 30-i umgesetzt.
  • In 3 ist ein Ablaufdiagramm gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens dargestellt. Das Verfahren 1 umfasst bei der dargestellten Ausführungsform mehrere Schritte. In einem ersten Schritt S1 wird wenigstens einer Nachricht über das Kommunikationsnetzwerk 20 empfangen. Die wenigstens eine empfangene Nachricht wird von der Steuereinheit 40 bereitgestellt. In einem zweiten Schritt wird die wenigstens eine empfangene Nachricht entsprechend einer charakteristischen Nachrichtenbeschreibung analysiert. In einem dritten Schritt S3 wird eine Verifikationsnachricht bereitgestellt, umfassend eine Verifikation des Nachrichtenverhaltens der Steuereinheit 40 als zulässig, falls die analysierte Nachricht der charakteristischen Nachrichtenbeschreibung entspricht.
  • In 4 ist eine schematische Ansicht gemäß einer Ausführungsform der erfindungsgemäßen Komponente 30-2 dargestellt. In 4 bezeichnet Bezugszeichen 10 eine Intrusionserkennungseinheit, welche in der Komponente 30-2 einer Automatisierungsanlage 50 implementiert ist (vgl. 1). Die Intrusionserkennungseinheit 10 ist zum lokalen Verifizieren eines Nachrichtenverhaltens der Steuereinheit 40 ausgebildet. Die Intrusionserkennungseinheit 10 umfasst eine Empfangseinheit 11. Die Empfangseinheit 11 ist zum Empfangen wenigstens einer Nachricht von der Steuereinheit 40 über das Kommunikationsnetzwerk 20 zum Zwecke der Steuerung der Komponente 30-2 ausgebildet. Die Nachricht umfasst die Sollwerte der Steuereinheit 40, beispielsweise einer speicherprogrammierbaren Steuerung, welche die Kommandos zum Ansteuern und/oder zum Steuern der Komponente 30-2 umfassen. Die Nachricht wird als eine Bitfolge über das Kommunikationsnetzwerk 20 übertragen. In einem nicht kompromittierten System, wenn das Nachrichtenverhalten als zulässig verifiziert wurde, können Istwerte, sogenannte Rückmeldungen, durch die Komponente 30-2 übertragen werden. Die Intrusionserkennungseinheit 10 umfasst zudem eine Analyseschnittstelle 12 zu einer Analyseeinheit 13. Die Analyseeinheit 13 ist ausgebildet, die wenigstens eine empfangene Nachricht entsprechend einer charakteristischen Nachrichtenbeschreibung, die in einem Komponentenspeicher gespeichert ist, zu analysieren. Zudem umfasst die Intrusionserkennungseinheit 10 eine Verifikationsschnittstelle 14 zu einer Verifikationseinheit 15. Die Verifikationseinheit 15 ist ausgebildet, das Nachrichtenverhalten der Steuereinheit 40 als zulässig zu verifizieren, falls die Analysenachricht der charakteristischen Nachrichtenbeschreibung entspricht. Die Analyseeinheit 13 und die Verifikationseinheit 15 können als eine Einheit auf einer Komponente 30-2 oder als separate Einheiten auf einer Komponente 30-2 oder auf zwei unterschiedliche Komponenten 30-i implementiert werden. Das getrennte Implementieren ermöglicht das Ausführen der Verifikation, auch wenn nicht genügend Ressourcen in einer einzelnen Komponente 30-i bereitgestellt werden können.
  • In vorteilhafter Weise ist die Intrusionserkennungseinheit als ein dezentrales System in mehreren Komponenten 30-i der Automatisierungsanlage 50 implementiert. Dies erhöht die Sicherheit und den Schwierigkeitsgrad, das System zu manipulieren. Ein Kompromittieren wird erkannt und Gegenmaßnahmen können eingeleitet und weitere Manipulationen und/oder Störungen und/oder Datendiebstahl können ausgeschlossen werden. Durch die dezentrale Implementierung auf einer Vielzahl an Komponenten 30-i in einer Automatisierungsanlage 50, ist der Aufwand und/oder der Schwierigkeitsgrad sehr hoch, um alle Komponenten derart zu manipulieren, insbesondere gleichzeitig zu manipulieren, so dass ein Angriff und/oder Manipulation durch die Intrusionserkennungseinheit unbemerkt bleibt. Zudem werden Komponenten 30-i, welche sich nicht selber schützen können, über die Komponenten mit einer Intrusionserkennungseinheit geschützt. Ein Manipulationsversuch kann detektiert und entsprechend abgewehrt werden.
  • In 5 ist eine schematische Ansicht gemäß einer weiteren Ausführungsform der erfindungsgemäßen Komponente 30 dargestellt. Die Intrusionserkennungseinheit 10 gemäß der in 5 dargestellten Ausführungsform umfasst die Einheiten der Ausführungsform gemäß der 4. Zusätzlich umfasst die Intrusionserkennungseinheit 10 noch eine Ausgabeeinheit 16. Die Ausgabeeinheit 16 ist ausgebildet, die durch die Verifikationseinheit 15 bereitgestellte Verifikationsnachricht auszugeben. Weiterhin umfasst die Intrusionserkennungseinheit 10 eine Eingabeeinheit 17. Die Eingabeeinheit 19 ist ausgebildet, ein Steuersignal zum Abschalten der Verifikation des Nachrichtenverhaltens der Steuereinheit 40 zu empfangen. Das Steuersignal kann insbesondere in einem Wartungsfall, welcher ebenso ein abnormales Verhalten darstellt, die Verifikation und das Bereitstellen einer Verifikationsnachricht deaktivieren. Hierdurch kann die Anzahl an Falschmeldungen minimiert werden.
  • 6 zeigt eine schematische Ansicht zum Aufbau eines grafischen Entscheidungsbaums gemäß der vorliegenden Erfindung. Das Modell der vorliegenden Erfindung wird über einen grafischen Entscheidungsbaum angelernt. Hierbei kann der Entscheidungsbaum ein geordneter und/oder gerichteter Baum sein. Mit Hilfe des geordneten und/oder gerichteten Baumes können Entscheidungsregeln dargestellt werden. Insbesondere können über den grafisch darstellbaren Baum hierarchisch aufeinanderfolgende Entscheidungen definiert werden. In einer Ausführungsform wird nur eine Bitfolge B eines Befehlt berücksichtigt. Hierbei wird der geordnete und/oder gerichtete Baum rein aus der Bitfolge B aufgebaut. Das erste Bit beinhaltet ein logisch „0“-Bit. Über die Kanten kann die entsprechende Wahrscheinlichkeit W definiert sein, dass auf das erste Bit mit der logischen „0“ ein Bit mit logisch „0“ oder „1‟ folgt. Falls die Komponenten stets die gleiche Bitfolge B sehen, ist der geordnete und/oder gerichtete Baum deterministisch. In einer weiteren Ausführungsform können Antwortoptionen im Rückkanal berücksichtigt werden. Somit kann ein komplexerer Baum ausgebildet werden. Somit wird mit einer gewissen Wahrscheinlichkeit auf einen speziellen Befehl hin eine entsprechende Antwort erwartet, und auf eine entsprechende Antwort wird ein passender Befehl erwartet. Es kann differenziert werden, ob die Antwort auf einen Befehl nicht zur Erwartung passt. Beispielsweise, wenn lediglich eine geringfügige Verletzung des Nachrichtenverhaltens erkannt wurde, kann dies durch die direkte Umwelt beeinflusst worden sein. Wenn aber der erwartete Folgebefehl nicht auf die vorher gesendete Antwort passt, entspricht dies einer hochgradigen Verletzung und würde somit als unerwarteter neuer Befehl und damit als eine Manipulation des Normalverhaltens erkannt werden.
  • 7 zeigt eine schematische Ansicht zum Anlernen eines neuronalen Netzwerkes gemäß der vorliegenden Erfindung. Neuronale Netze können bei komplexeren Anlagen zum Einsatz kommen, in der eine Vielzahl an unbekannten Abhängigkeiten vorliegen. Für das Anlernen wird ein gelabelter Datensatz in ausreichender Größe benötigt und das neuronale Netzwerk muss auf einer leistungsstarken Recheneinheit trainiert werden. Unter ausreichender Größe ist zu verstehen, dass genügend Datensätze mit entsprechenden Labels zur Verfügung stehen, um entsprechende Beziehungen herzustellen und Entscheidungskriterien anzulernen, bzw. Alternativen abzudecken. Die Recheneinheit kann als ein Stand-alone PC, als ein Zusammenschluss einer Vielzahl an PCs in Hardware und/oder virtualisiert ausgebildet sein. Das neuronale Netzwerk kann auf einer oder einer Vielzahl an Komponenten angewendet werden. Der Datensatz zum Anlernen des neuronalen Netzwerkes N ist hierfür die Befehls- und Antwortfolge im Kommunikationskanal. Die oberen Ebenen des Netzes könnten die einzelnen Komponenten, und deren Funktionen darstellen, bzw. diese in Beziehung zu einander setzen. Dies würde den Vorteil bringen, dass eventuell nicht das gesamte neuronale Netzwerk N auf einer Komponente 30-i abgelegt werden muss, sondern nur der Teil, der für diese relevant wird. Alternativ kann das neuronale Netzwerk N vollständig oder in Teilen auf alle Komponenten 30-i, die Teile davon ausführen, verteilt werden, womit auch Komponenten 30-i ohne entsprechende Ressourcen vom Netz überwacht werden können. In 7 sind zwei unterschiedliche Bitfolgen B dargestellt. Die unterschiedlichen Bitfolgen B können beispielsweise mit einem Label L1, L2 gekennzeichnet werden. In 7 bezeichnet das Bezugszeichen N das neuronale Netzwerk, welches beispielsweise aus Bitfolgen B und entsprechende Labels L1, L2 erstellt wurde. In einer Ausführungsform kann das neuronale Netzwerk N zur Verwendung vollständig auf eine oder alle Komponenten 30-i der Automatisierungsanlage 50 verteilt werden. In einer weiteren Ausführungsform kann für eine Komponente 30-i nur ein bestimmter Netzteil N1 des neuronalen Netzwerkes N relevant sein. Auf diese Komponente 30-i wird nur der Netzteil N 1 angewendet. Für eine weitere Komponente 30-i oder weitere Komponenten 30-i ist beispielsweise der Netzteil N2 relevant. Somit kann vorgesehen werden, nur diesen Netzteil N2 auf die entsprechenden Komponenten 30-i anzuwenden.
  • Abschließend sei darauf hingewiesen, dass die Beschreibung der Erfindung und die Ausführungsbeispiele grundsätzlich nicht einschränkend in Hinblick auf eine bestimmte physikalische Realisierung der Erfindung zu verstehen sind. Alle in Verbindung mit einzelnen Ausführungsformen der Erfindung erläuterten und gezeigten Merkmale können in unterschiedlicher Kombination in dem erfindungsgemäßen Gegenstand vorgesehen sein, um gleichzeitig deren vorteilhafte Wirkungen zu realisieren.
  • Der Schutzbereich der vorliegenden Erfindung ist durch die Ansprüche gegeben und wird durch die in der Beschreibung erläuterten oder den Figuren gezeigten Merkmale nicht beschränkt.
  • Bezugszeichenliste
    • 1
    Verfahren
    10
    Intrusionserkennungseinheit
    11
    Empfangseinheit
    12
    Analyseschnittstelle
    13
    Analyseeinheit
    14
    Verifikationsschnittstelle
    15
    Verifikationseinheit
    16
    Ausgabeeinheit
    17
    Eingabeeinheit
    20
    Kommunikationsnetzwerk
    30-1, 30-2, 30-3
    Komponente
    30-i
    Vielzahl von Komponenten/Komponenten
    40
    Steuereinheit
    50
    Automatisierungsanlage
    60
    weiteres System
    B
    Bitfolge
    N
    neuronales Netzwerk
    N1, N2
    Teilnetze des neuronalen Netzwerkes
    S1-S4
    Verfahrensschritte
    W
    Wahrscheinlichkeit
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2015/104691 A2 [0006]
    • JP 2013246531 A [0007]
    • WO 2018/166688 A2 [0008]

Claims (20)

  1. Verfahren (1) zum Verifizieren eines Nachrichtenverhaltens einer Steuereinheit (40) für eine Automatisierungsanlage (50), mit einer Vielzahl von Komponenten (30-1 - 30-i), wobei die Steuereinheit (40) mit den Komponenten (30) und die Komponenten (30) untereinander über ein Kommunikationsnetzwerk (20) kommunizieren, mit den Schritten, die auf zumindest einer Komponente (30-1, 30-2, 30-3) ausgeführt werden: - Empfangen (S1) von wenigstens einer Nachricht über das Kommunikationsnetzwerk (20), insbesondere von der Steuereinheit (40); - Analysieren (S2) der wenigstens einen empfangenen Nachricht entsprechend einer charakteristischen Nachrichtenbeschreibung; und - Bereitstellen einer Verifikationsnachricht umfassend eine Verifikation (S3) des Nachrichtenverhaltens als zulässig, falls die analysierte Nachricht der charakteristischen Nachrichtenbeschreibung entspricht.
  2. Verfahren nach dem unmittelbar vorherigen Anspruch, wobei die Verifikationsnachricht an die Steuereinheit (40) und/oder an eine weitere Komponente (30-i) in dem Kommunikationsnetzwerk (20) und/oder an ein weiteres System (60) bereitgestellt wird.
  3. Verfahren nach einem der vorherigen Ansprüche 1 oder 2, wobei das Bereitstellen der Verifikationsnachricht über einen azyklischen Kanal erfolgt.
  4. Verfahren nach einem der vorherigen Ansprüche 1 bis 3, wobei das Bereitstellen der Verifikationsnachricht ein Bereitstellen eines Steuersignals an die Steuereinheit (40) und/oder an eine weitere Komponente (30-i) und/oder ein weiteres System (60) umfasst.
  5. Verfahren nach Anspruch 4, wobei das Steuersignal ein Einschränken oder Abschalten einer Funktionalität der Komponente (30-1, 30-2, 30,3) und/oder der Steuereinheit (40) und/oder des weiteren Systems (60) umfasst.
  6. Verfahren nach einem der vorherigen Ansprüche, wobei das Bereitstellen der Verifikationsnachricht erfolgt, falls eine Vielzahl der Komponenten (30-i) des Kommunikationsnetzwerkes (20) das Nachrichtenverhalten der Steuereinheit (40) als nicht zulässig verifizieren.
  7. Verfahren nach einem der vorherigen Ansprüche, wobei die charakteristische Nachrichtenbeschreibung ein fehlerfreies und/oder vertrauenswürdiges Nachrichtenverhalten zwischen der Steuereinheit (40) und der Komponente (30-1, 30-2, 30-3) umfasst.
  8. Verfahren nach einem der vorherigen Ansprüche, wobei das Verfahren umfasst: - Bereitstellen (S4) von wenigstens einer Antwortnachricht durch die wenigstens eine Komponente (30-1, 30-2, 30-3) für die Steuereinheit (40) als Ergebnis auf die wenigstens eine empfangene Nachricht.
  9. Verfahren nach einem der vorherigen Ansprüche, wobei die charakteristische Nachrichtenbeschreibung eine Zeitdauer umfasst, welche die Zeit zwischen dem Empfang der Nachricht und dem Bereitstellen der Antwortnachricht auf der Komponente (30-1, 30-2, 30-3) und/oder einem Umsetzen eines in der Nachricht enthaltenen Kommandos auf der Komponente (30-1, 30-2, 30-3) umfasst.
  10. Verfahren nach einem der vorherigen Ansprüche, wobei die charakteristische Nachrichtenbeschreibung in einem Modell angelernt wird.
  11. Verfahren nach Anspruch 10, wobei das Modell über einen grafischen Entscheidungsbaum und/oder ein neuronales Netzwerk (N) angelernt wird.
  12. Verfahren nach einem der vorherigen Ansprüche 10 oder 11, wobei das Anlernen des Models auf der Komponente (30-1, 30-2, 30-3) und/oder der Steuereinheit (40) und/oder einem weiteren System (60) erfolgt.
  13. Verfahren nach einem der vorherigen Ansprüche 10 bis 12, wobei das Modell in der Komponente (30-1 - 30-i) gespeichert wird.
  14. Verfahren nach einem der vorherigen Ansprüche 10 bis 13, wobei das Modell auf das Nachrichtenverhalten der Komponente angelernt ist, in der das Modell gespeichert wird und/oder wobei das Modell auf das Nachrichtenverhalten einer Komponente angelernt ist, welche benachbart zu der Komponente platziert ist, die das Modell speichert.
  15. Verfahren nach einem der vorherigen Ansprüche, wobei das Verifikationsverfahren kommissarisch für eine benachbarte Komponente (30-1, 30-2, 30-3) und deren Nachrichten ausgeführt wird.
  16. Intrusionserkennungseinheit (10) in einer Komponente (30-1, 30-2, 30-3) einer Automatisierungsanlage (50), wobei die Komponenten (30-1 - 30-i) der Automatisierungsanlage (50) über ein Kommunikationsnetzwerk (20) untereinander und mit einer Steuereinheit (40) kommunizieren, und wobei die Intrusionserkennungseinheit (10) zum lokalen Verifizieren eines Nachrichtenverhaltens der Steuereinheit (40) ausgebildet ist mit: - einer Empfangseinheit (11), die zum Empfangen wenigstens einer Nachricht über das Kommunikationsnetzwerk (20) zum Zwecke der Steuerung der Komponente (30-1, 30-2, 30-3) ausgebildet ist; - eine Analyseschnittstelle (12) zu einer Analyseeinheit (13), die ausgebildet ist, die wenigstens eine empfangene Nachricht entsprechend einer charakteristischen Nachrichtenbeschreibung, die in einem Komponentenspeicher gespeichert ist, zu analysieren; und mit - einer Verifikationsschnittstelle (14) zu einer Verifikationseinheit (15), die ausgebildet ist, das Nachrichtenverhalten als zulässig zu verifizieren, falls die Analysenachricht der charakteristischen Nachrichtenbeschreibung entspricht.
  17. Intrusionserkennungseinheit nach Anspruch 16, wobei die Intrusionserkennungseinheit (10) eine Ausgabeeinheit (16) aufweist, die zum Ausgeben einer Verifikationsnachricht ausgebildet ist, wobei die Verifikationsnachricht durch die Verifikationseinheit (15) bereitgestellt wird.
  18. Intrusionserkennungseinheit nach einem der vorherigen Ansprüche 16 und 17, wobei die Intrusionserkennungseinheit (10) eine Eingabeeinheit (17) aufweist, die zum Empfangen eines Steuersignals zum Abschalten der Verifikation des Nachrichtenverhaltens der Steuereinheit (40) ausgebildet ist.
  19. Automatisierungsanlage (50) mit einer Vielzahl an Komponenten (30-i), die von einer Steuereinheit (40) angesteuert werden und mit dieser über ein Kommunikationsnetzwerk (20) kommunizieren, wobei alle oder ausgewählte Komponenten (30-i) eine Intrusionserkennungseinheit (10) umfassen nach einem der vorstehenden auf die Intrusionserkennungseinheit (10) bezogenen Ansprüche.
  20. Computerprogramm mit Programmcode für das Ausführen eines Verfahrens nach einem der vorherigen Verfahrensansprüche, wenn das Computerprogramm auf einer Komponente (30-1, 30-2, 30-3) ausgeführt wird.
DE102020102860.1A 2020-02-05 2020-02-05 Verfahren und Instrusionserkennungseinheit zum Verifizieren eines Nachrichtenverhaltens Pending DE102020102860A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102020102860.1A DE102020102860A1 (de) 2020-02-05 2020-02-05 Verfahren und Instrusionserkennungseinheit zum Verifizieren eines Nachrichtenverhaltens
CN202011405547.1A CN113219908A (zh) 2020-02-05 2020-12-03 用于验证消息行为的方法和入侵检测单元
US17/113,037 US20210243202A1 (en) 2020-02-05 2020-12-05 Method and intrusion detection unit for verifying message behavior

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020102860.1A DE102020102860A1 (de) 2020-02-05 2020-02-05 Verfahren und Instrusionserkennungseinheit zum Verifizieren eines Nachrichtenverhaltens

Publications (1)

Publication Number Publication Date
DE102020102860A1 true DE102020102860A1 (de) 2021-08-05

Family

ID=76853875

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020102860.1A Pending DE102020102860A1 (de) 2020-02-05 2020-02-05 Verfahren und Instrusionserkennungseinheit zum Verifizieren eines Nachrichtenverhaltens

Country Status (3)

Country Link
US (1) US20210243202A1 (de)
CN (1) CN113219908A (de)
DE (1) DE102020102860A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2299650A1 (de) 2009-09-21 2011-03-23 Siemens Aktiengesellschaft Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk
JP2013246531A (ja) 2012-05-24 2013-12-09 Hitachi Ltd 制御装置および制御方法
WO2015104691A2 (en) 2014-01-13 2015-07-16 Brightsource Industries (Israel) Ltd. Systems, methods, and devices for detecting anomalies in an industrial control system
WO2018166688A1 (en) 2017-03-15 2018-09-20 Siemens Aktiengesellschaft A method for execution of a machine learning model on memory restricted industrial device

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU4733601A (en) * 2000-03-10 2001-09-24 Cyrano Sciences Inc Control for an industrial process using one or more multidimensional variables
US9009084B2 (en) * 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
JP5731223B2 (ja) * 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
US20130212668A1 (en) * 2012-02-13 2013-08-15 International Business Machines Corporation Suspension of Processes in Industrial Control System When an Anomaly Occurs
WO2016055939A1 (en) * 2014-10-06 2016-04-14 Brightsource Ics2 Ltd. Systems and methods for enhancing control system security by detecting anomalies in descriptive characteristics of data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2299650A1 (de) 2009-09-21 2011-03-23 Siemens Aktiengesellschaft Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk
JP2013246531A (ja) 2012-05-24 2013-12-09 Hitachi Ltd 制御装置および制御方法
WO2015104691A2 (en) 2014-01-13 2015-07-16 Brightsource Industries (Israel) Ltd. Systems, methods, and devices for detecting anomalies in an industrial control system
WO2018166688A1 (en) 2017-03-15 2018-09-20 Siemens Aktiengesellschaft A method for execution of a machine learning model on memory restricted industrial device

Also Published As

Publication number Publication date
CN113219908A (zh) 2021-08-06
US20210243202A1 (en) 2021-08-05

Similar Documents

Publication Publication Date Title
EP3662639B1 (de) Verfahren und vorrichtung zum ermitteln von anomalien in einem kommunikationsnetzwerk
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP2980662B1 (de) Schutz einer automatisierungskomponente vor programmmanipulationen durch signaturabgleich
EP3079028A1 (de) Planungs- und engineering-verfahren, -software-tool und simulationswerkzeug für eine automatisierungslösung
EP3684015B1 (de) Vorrichtung und verfahren zur klassifizierung von daten insbesondere für ein controller area netzwerk oder ein automotive ethernet netzwerk
EP3098673B1 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
EP3414632B1 (de) Verfahren und vorrichtung zum überwachen einer datenverarbeitung und -übertragung in einer sicherheitskette eines sicherheitssystems
WO2016020449A1 (de) Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung
WO2015117749A1 (de) Feldbusmodul, maschinensteuerung und verfahren zur parametrierung eines, insbesondere sicherheitsgerichteten, feldbusmoduls
EP3100121B1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP2954534B1 (de) Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage
DE102020115186A1 (de) Verfahren und System zur Verarbeitung von Fahrzeugtestdaten eines Fahrzeugs
DE102020102860A1 (de) Verfahren und Instrusionserkennungseinheit zum Verifizieren eines Nachrichtenverhaltens
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
WO2021052709A1 (de) Selbstüberprüfendes system der automatisierungstechnik
WO2010149191A1 (de) Gegen manipulation geschützte datenübertragung zwischen automatisierungsgeräten
DE102019105139A1 (de) Verfahren zum Erkennen von Angriffen auf eine Netzwerkkomponente eines industriellen Netzwerks
EP4096186A1 (de) Verfahren und system zur gesicherten ausführung von steuerungsanwendungen, programmablaufsteuerungseinrichtung und überprüfungseinrichtung
DE102019211314A1 (de) Vertrauenswürdige Datenverarbeitung
WO2024132417A1 (de) Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik
EP3939227A1 (de) Verfahren und kommunikationssteuersystem zur beeinflussung von kommunikation in einem kommunikationsnetzwerk
EP3979011A1 (de) Ermitteln eines sicherheitszustands

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000