DE102020209993A1 - Verfahren und Vorrichtung zur Verarbeitung von Daten eines technischen Systems - Google Patents

Verfahren und Vorrichtung zur Verarbeitung von Daten eines technischen Systems Download PDF

Info

Publication number
DE102020209993A1
DE102020209993A1 DE102020209993.6A DE102020209993A DE102020209993A1 DE 102020209993 A1 DE102020209993 A1 DE 102020209993A1 DE 102020209993 A DE102020209993 A DE 102020209993A DE 102020209993 A1 DE102020209993 A1 DE 102020209993A1
Authority
DE
Germany
Prior art keywords
data
metadata
determining
exemplary embodiments
further exemplary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020209993.6A
Other languages
English (en)
Inventor
Paulius Duplys
Philipp Jung
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020209993.6A priority Critical patent/DE102020209993A1/de
Priority to US17/329,953 priority patent/US11706235B2/en
Priority to KR1020210101718A priority patent/KR20220018429A/ko
Priority to JP2021128008A priority patent/JP2022031215A/ja
Priority to CN202110895270.3A priority patent/CN114124746A/zh
Publication of DE102020209993A1 publication Critical patent/DE102020209993A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Verfahren, insbesondere computerimplementiertes Verfahren, zur Verarbeitung von Daten eines technischen Systems, aufweisend die folgenden Schritte: Ermitteln von ersten Informationen, die mit einem Datenverkehr des Systems assoziiert sind, Ermitteln von mit dem Datenverkehr des Systems assoziierten Metadaten basierend auf den ersten Informationen.

Description

  • Stand der Technik
  • Die Offenbarung bezieht sich auf ein Verfahren zur Verarbeitung von Daten eines technischen Systems, beispielsweise eines Sensorsystems.
  • Die Offenbarung bezieh sich ferner auf eine Vorrichtung zur Verarbeitung von Daten eines technischen Systems, beispielsweise eines Sensorsystems.
  • Offenbarung der Erfindung
  • Beispielhafte Ausführungsformen beziehen sich auf ein Verfahren, insbesondere computerimplementiertes Verfahren, zur Verarbeitung von Daten eines technischen Systems, beispielsweise eines Sensorsystems, aufweisend die folgenden Schritte: Ermitteln von ersten Informationen, die mit einem Datenverkehr des Systems assoziiert sind, Ermitteln von mit dem Datenverkehr des Systems assoziierten Metadaten basierend auf den ersten Informationen. Die Metadaten ermöglichen bei weiteren beispielhaften Ausführungsformen eine Überwachung des Kommunikationsverhaltens der Systems, beispielsweise auch auf ungewöhnliche Muster hin.
  • Bei weiteren beispielhaften Ausführungsformen weist der Datenverkehr des Systems Datenübertragungen von dem System an eine andere Einheit auf, und/oder Datenübertragungen von einer bzw. der anderen Einheit (oder wenigstens einer weiteren Einheit) an das System.
  • Bei weiteren beispielhaften Ausführungsformen ist die andere Einheit ein Gateway, das beispielsweise dazu ausgebildet ist, von dem Sensorsystem empfangene Daten an eine weitere Einheit, beispielsweise ein öffentliches Netzwerk (z.B. Internet) oder ein (virtuelles) privates Netzwerk oder ein Edge-Computing System oder ein Cloud-System, weiterzuleiten.
  • Bei weiteren beispielhaften Ausführungsformen kann der Datenverkehr drahtgebundene und/oder drahtlose Datenübertragungen aufweisen. Bei weiteren beispielhaften Ausführungsformen kann der Datenverkehr beispielsweise als Protokoll(e) TCP/IP nutzen.
  • Bei weiteren beispielhaften Ausführungsformen weist das Ermitteln der Metadaten wenigstens eines der folgenden Elemente auf: a) Ermitteln einer durchschnittlichen Frequenz, mit der Datenübertragungen des Datenverkehrs übertragen werden, beispielsweise Datenübertragungen von dem System zu einem Empfänger, z.B. dem Gateway, b) Ermitteln einer durchschnittlichen Dauer einer Datenübertragungssitzung, beispielsweise einer Transport Layer Security, TLS, -Sitzung, c) Ermitteln einer Datenmenge, die in einem, beispielsweise vorgebbaren, Zeitraum von dem System und/oder an das System übertragen worden ist, wobei beispielsweise der Zeitraum eine Stunde beträgt oder einen Tag.
  • Bei weiteren beispielhaften Ausführungsformen weist das Ermitteln der Metadaten auf: Aufzeichnen und/oder Bestimmen der Metadaten. Beispielsweise können bei weiteren beispielhaften Ausführungsformen die Metadaten einen Teil der ersten Informationen bilden, wobei das Ermitteln der Metadaten z.B. ein Separieren der Metadaten z.B. von Nutzdaten (z.B. „payload“) der ersten Informationen zum Gegenstand hat. Beispielsweise können bei weiteren beispielhaften Ausführungsformen die Metadaten aus den ersten Informationen ableitbar sein.
  • Bei weiteren beispielhaften Ausführungsformen weist das Verfahren weiter auf: Ermitteln von geschätzten Metadaten basierend auf Datenübertragungen des Systems.
  • Bei weiteren beispielhaften Ausführungsformen weist das Ermitteln der geschätzten Metadaten auf: Verwenden wenigstens eines Modells, das dazu ausgebildet ist, die geschätzten Metadaten basierend auf den Datenübertragungen des Systems zu ermitteln. Im Unterschied zu dem Ermitteln der Metadaten z.B. in Form des Aufzeichnens bzw. Bestimmens aus den ersten Informationen werden die geschätzten Metadaten demnach bei weiteren beispielhaften Ausführungsformen unter Verwendung wenigstens eines Modells basierend auf den Datenübertragungen des Systems erhalten.
  • Bei weiteren beispielhaften Ausführungsformen kann das wenigstens eine Modell ein oder mehrere Sub-Modelle aufweisen.
  • Bei weiteren beispielhaften Ausführungsformen weist das Verfahren weiter auf: Vergleichen der geschätzten Metadaten mit den Metadaten. Bei weiteren beispielhaften Ausführungsformen kann z.B. bei einer ein vorgebbares Maß überschreitenden Abweichung der Metadaten von den geschätzten Metadaten auf ein ungewöhnliches Verhalten des Systems bezüglich seines Datenverkehrs geschlossen werden, z.B. auf einen Angriff bzw. eine Manipulation.
  • Bei weiteren beispielhaften Ausführungsformen können die Metadaten beispielsweise einer Einheit übermittelt werden, die das Vergleichen der geschätzten Metadaten mit den Metadaten ausführt.
  • Bei weiteren beispielhaften Ausführungsformen kann beispielsweise eine erste Funktionalität vorgesehen sein, die z.B. einem Gateway zugeordnet bzw. durch das Gateway implementiert ist, an das das System zur Datenkommunikation angebunden ist. Bei weiteren beispielhaften Ausführungsformen kann die erste Funktionalität die Metadaten Erfassen bzw. Sammeln.
  • Bei weiteren beispielhaften Ausführungsformen kann beispielsweise eine zweite Funktionalität vorgesehen sein, die z.B. einem Edge-Server bzw. Cloud-Server bzw. generell einem Netzwerk zugeordnet bzw. hierdurch implementiert ist, mit dem das System, z.B. über das Gateway, in Datenverbindung treten kann. Bei weiteren beispielhaften Ausführungsformen kann die zweite Funktionalität die geschätzten Metadaten ermitteln und/oder die geschätzten Metadaten mit den z.B. durch die erste Funktionalität erfassten bzw. gesammelten Metadaten vergleichen. Bei weiteren beispielhaften Ausführungsformen kann beispielsweise die erste Funktionalität die durch sie gesammelten Metadaten an die zweite Funktionalität senden.
  • Bei weiteren beispielhaften Ausführungsformen weist das Verfahren weiter auf: a) Beeinflussen eines Betriebs des Systems basierend auf dem Vergleich, und/oder b) Einleiten einer Fehlerreaktion basierend auf dem Vergleich.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf eine Vorrichtung zur Ausführung des Verfahrens gemäß den Ausführungsformen.
  • Bei weiteren beispielhaften Ausführungsformen weist die Vorrichtung auf: eine Recheneinrichtung, eine der Recheneinrichtung zugeordnete Speichereinrichtung zur zumindest zeitweisen Speicherung wenigstens eines der folgenden Elemente: a) Daten, b) Computerprogramm, beispielsweise zur Ausführung des Verfahrens gemäß den Ausführungsformen oder wenigstens eines oder mancher Schritte des Verfahrens gemäß den Ausführungsformen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium (z.B. magnetisch und/oder optisch und/oder Halbleiterspeicher), umfassend Befehle, die bei der Ausführung durch einen Computer (z.B. die vorstehend genannte Recheneinrichtung) diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Datenträgersignal, das das Computerprogramm gemäß den Ausführungsformen charakterisiert und/oder überträgt.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf eine Verwendung des Verfahrens gemäß den Ausführungsformen und/oder der Vorrichtung gemäß den Ausführungsformen und/oder des Computerprogramms gemäß den Ausführungsformen und/oder des Datenträgersignals gemäß den Ausführungsformen für wenigstens eines der folgenden Elemente: a) Auswerten von Daten des technischen Systems, b) Erkennen von Angriffsversuchen, beispielsweise Ausführen eines Verfahrens zur Angriffserkennung, beispielsweise eines Intrusion Detection Verfahrens, c) Ausführen eines Cloud-basierten Intrusion-Detection-Verfahrens, beispielsweise für ein wenigstens einen Sensor bzw. wenigstens eine Sensoreinrichtung aufweisendes System.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf einen Cloud-Server oder Edge-Computing-Server mit wenigstens einer Vorrichtung bzw. wenigstens einem Teil der Funktionalität der Vorrichtung gemäß den Ausführungsformen. Hierdurch ist eine besonders effiziente Überwachung von ein oder mehreren technischen Systemen, z.B. auf Angriffe Dritter hin, ermöglicht, wodurch z.B. ein IDS, insbesondere z.B. für eine Mehrzahl von Systemen, z.B. Sensorsystemen bzw. loT-Systemen, bereitgestellt werden kann.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Gateway oder ein sonstiges Element zur Netzwerkkopplung mit wenigstens einer Vorrichtung bzw. wenigstens einem Teil der Funktionalität der Vorrichtung gemäß den Ausführungsformen.
  • Das Prinzip gemäß beispielhaften Ausführungsformen kann - auch außerhalb von Edge- und/oder Cloud-Computing-Systemen - vorteilhaft zur effizienten Bereitstellung eines Systems zur Erkennung von Angriffen (englisch: intrusion detection system, IDS) verwendet werden, beispielsweise zur Bereitstellung eines IDS für loT-Systeme und/oder Industrie 4.0-Systeme.
  • Weitere vorteilhafte Ausführungen ergeben sich aus der folgenden Beschreibung und der Zeichnung. In der Zeichnung zeigt:
    • 1 schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß beispielhaften Ausführungsformen,
    • 2 schematisch ein vereinfachtes Flussdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 3 schematisch ein vereinfachtes Flussdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 4 schematisch ein vereinfachtes Flussdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 5 schematisch ein vereinfachtes Blockdiagramm einer Vorrichtung gemäß weiteren beispielhaften Ausführungsformen,
    • 6 schematisch Aspekte von Verwendungen gemäß weiteren beispielhaften Ausführungsformen, und
    • 7 schematisch ein vereinfachtes Blockdiagramm einer Vorrichtung gemäß weiteren beispielhaften Ausführungsformen.
  • 1 zeigt schematisch ein vereinfachtes Flussdiagramm eines Verfahrens, insbesondere eines computerimplementierten Verfahrens, zur Verarbeitung von Daten eines technischen Systems 200, beispielsweise eines Sensorsystems 200, wie es beispielhaft in 5 abgebildet ist. Das Sensorsystem 200 weist beispielsweise wenigstens eine Sensoreinrichtung 202 auf, die z.B. Sensordaten vorliegend beispielhaft drahtlos an einen Sensordatenempfänger 204 sendet, vgl. die drahtlose Datenübertragungsstrecke 206. Bei weiteren beispielhaften Ausführungsformen sendet der Sensordatenempfänger 204 die empfangenen Sensordaten, vorliegend z.B. unter Verwendung einer TCP/IP-basierten Datenübertragung a1 an eine andere Einheit, vorliegend z.B. ein Gateway GW.
  • Das Verfahren, vgl. 1, weist die folgenden Schritte auf: Ermitteln 100 von ersten Informationen 11, die mit einem Datenverkehr a1 (5) des Systems 200 assoziiert sind, Ermitteln 102 (1) von mit dem Datenverkehr a1 des Systems 200 assoziierten Metadaten MD basierend auf den ersten Informationen 11. Die Metadaten MD ermöglichen bei weiteren beispielhaften Ausführungsformen eine Überwachung des Kommunikationsverhaltens der Systems 200, beispielsweise auch auf ungewöhnliche Muster hin, was z.B. durch den optionalen Block 104 symbolisiert ist.
  • Bei weiteren beispielhaften Ausführungsformen weist der Datenverkehr a1 ( 5) des Systems 200 Datenübertragungen von dem System 200 an eine andere Einheit GW, R1 auf, und/oder Datenübertragungen von einer bzw. der anderen Einheit GW, R1 (oder wenigstens einer weiteren Einheit) an das System 200.
  • Bei weiteren beispielhaften Ausführungsformen ist die andere Einheit ein Gateway GW, das beispielsweise dazu ausgebildet ist, von dem Sensorsystem 200 empfangene Daten a1 an eine weitere Einheit R1, beispielsweise ein öffentliches Netzwerk (z.B. Internet) oder ein (virtuelles) privates Netzwerk oder ein Edge-Computing System oder ein Cloud-System, weiterzuleiten.
  • Bei weiteren beispielhaften Ausführungsformen kann der Datenverkehr a1, a2 drahtgebundene und/oder drahtlose Datenübertragungen aufweisen. Bei weiteren beispielhaften Ausführungsformen kann der Datenverkehr a1, a2 beispielsweise als Protokoll(e) TCP/IP nutzen.
  • Bei weiteren beispielhaften Ausführungsformen weist das Ermitteln 102 (1) der Metadaten MD wenigstens eines der folgenden Elemente auf, vgl. 2: a) Ermitteln 102a einer durchschnittlichen Frequenz dF, mit der Datenübertragungen des Datenverkehrs a1, a2 übertragen werden, beispielsweise Datenübertragungen a1 von dem System 200 zu einem Empfänger GW, z.B. dem Gateway GW, b) Ermitteln 102b einer durchschnittlichen Dauer dD einer Datenübertragungssitzung, beispielsweise einer Transport Layer Security, TLS, -Sitzung (z.B. zwischen dem System 200 und einem nicht abgebildeten Kommunikationspartner, der in Datenverbindung mit dem Netzwerk R1 steht), c) Ermitteln 102c einer Datenmenge DM, die in einem, beispielsweise vorgebbaren, Zeitraum von dem System 200 und/oder an das System 200 übertragen worden ist, wobei beispielsweise der Zeitraum eine Stunde beträgt oder einen Tag.
  • Bei weiteren beispielhaften Ausführungsformen weist das Ermitteln 102 (1) der Metadaten auf, vgl. 2: Aufzeichnen 102d und/oder Bestimmen 102e der Metadaten MD. Beispielsweise können bei weiteren beispielhaften Ausführungsformen die Metadaten MD einen Teil der ersten Informationen 11 bilden, wobei das Ermitteln 102 der Metadaten MD z.B. ein Separieren der Metadaten MD z.B. von Nutzdaten (z.B. „payload“) der ersten Informationen 11 zum Gegenstand hat. Beispielsweise können bei weiteren beispielhaften Ausführungsformen die Metadaten MD aus den ersten Informationen ableitbar sein.
  • Bei weiteren beispielhaften Ausführungsformen, vgl. 3, weist das Verfahren weiter auf: Ermitteln 110 von geschätzten Metadaten MD' basierend auf Datenübertragungen a1, a2 des Systems 200.
  • Bei weiteren beispielhaften Ausführungsformen weist das Ermitteln 110 der geschätzten Metadaten MD' auf: Verwenden wenigstens eines Modells (z.B. in Block 330 aus 5 implementiert), das dazu ausgebildet ist, die geschätzten Metadaten MD' basierend auf den Datenübertragungen des Systems zu ermitteln. Im Unterschied zu dem Ermitteln 102 (1) der Metadaten MD z.B. in Form des Aufzeichnens bzw. Bestimmens aus den ersten Informationen l1 werden die geschätzten Metadaten MD' demnach bei weiteren beispielhaften Ausführungsformen unter Verwendung wenigstens eines Modells basierend auf den Datenübertragungen a1, a2 des Systems erhalten.
  • Bei weiteren beispielhaften Ausführungsformen weist das Verfahren weiter auf: Vergleichen 120 der geschätzten Metadaten MD' mit den Metadaten MD. Bei weiteren beispielhaften Ausführungsformen kann z.B. bei einer ein vorgebbares Maß überschreitenden Abweichung der Metadaten MD von den geschätzten Metadaten MD' auf ein ungewöhnliches Verhalten des Systems 200 bezüglich seines Datenverkehrs geschlossen werden, z.B. auf einen Angriff bzw. eine Manipulation. Das Schließen auf die Manipulation kann z.B. in dem optionalen Schritt 122 erfolgen.
  • Bei weiteren beispielhaften Ausführungsformen können die Metadaten MD beispielsweise einer Einheit 320 (5) übermittelt werden, die das Vergleichen der geschätzten Metadaten mit den Metadaten ausführt.
  • Bei weiteren beispielhaften Ausführungsformen kann beispielsweise eine erste Funktionalität 310 (5) vorgesehen sein, die bei weiteren beispielhaften Ausführungsformen z.B. als „Monitor“ bezeichnet werden kann, und die z.B. einem bzw. dem Gateway GW (5) zugeordnet bzw. durch das Gateway GW implementiert ist, an das das System 200 zur Datenkommunikation angebunden ist, vgl. den Pfeil a1. Bei weiteren beispielhaften Ausführungsformen kann die erste Funktionalität die Metadaten MD Erfassen bzw. Sammeln.
  • Bei weiteren beispielhaften Ausführungsformen kann beispielsweise eine zweite Funktionalität 320, 330 vorgesehen sein, die z.B. einem Edge-Server bzw. Cloud-Server bzw. generell einem Netzwerk R1 zugeordnet bzw. hierdurch implementiert ist, mit dem das System 200, z.B. über das Gateway GW, in Datenverbindung a2 treten kann. Bei weiteren beispielhaften Ausführungsformen kann die zweite Funktionalität 320, 330 bzw. ein Teil 330 hiervon die geschätzten Metadaten MD' ermitteln und/oder die geschätzten Metadaten MD' mit den z.B. durch die erste Funktionalität erfassten bzw. gesammelten Metadaten vergleichen (Block 320). Bei weiteren beispielhaften Ausführungsformen kann beispielsweise die erste Funktionalität die durch sie gesammelten Metadaten an die zweite Funktionalität senden.
  • Bei weiteren beispielhaften Ausführungsformen kann der Block 330 auch als digitaler Zwilling („digital twin“) des Systems 200 aufgefasst werden, weil er z.B. die geschätzten Metadaten MD' ermittelt.
  • Bei weiteren beispielhaften Ausführungsformen kann der Block 320 z.B. auch als (Teil eines) Intrusion Detection Systems aufgefasst werden.
  • Der Pfeil a3 symbolisiert eine Datenverbindung zwischen dem Gateway GW und der Monitor-Funktionalität 310 gemäß weiteren beispielhaften Ausführungsformen. Der Pfeil a4 symbolisiert eine Datenverbindung zwischen der Monitor-Funktionalität 310 und dem Block 320 gemäß weiteren beispielhaften Ausführungsformen. Der Pfeil a5 symbolisiert eine Datenverbindung zwischen dem Block 320 und dem Block 330 gemäß weiteren beispielhaften Ausführungsformen.
  • Bei weiteren beispielhaften Ausführungsformen kann eine Datenbank DB, z.B. in dem Netzwerk R1, vorgesehen sein, die z.B. zumindest teilweise einen Datenverkehr a1, a2 des Sensorsystems 200 aufzeichnet.
  • Bei weiteren beispielhaften Ausführungsformen, vgl. 4, weist das Verfahren weiter auf: a) Beeinflussen 122a eines Betriebs des Systems 200 basierend auf dem Vergleich 120 (3), und/oder b) Einleiten 122b (4) einer Fehlerreaktion basierend auf dem Vergleich.
  • Weitere beispielhafte Ausführungsformen, vgl. 7, beziehen sich auf eine Vorrichtung 300 zur Ausführung des Verfahrens gemäß den Ausführungsformen.
  • Bei weiteren beispielhaften Ausführungsformen weist die Vorrichtung 300 auf: eine wenigstens einen Rechenkern 302a aufweisende Recheneinrichtung 302, eine der Recheneinrichtung 302 zugeordnete Speichereinrichtung 304 zur zumindest zeitweisen Speicherung wenigstens eines der folgenden Elemente: a) Daten DAT (z.B. Datenverkehr des Systems 200 und/oder Metadaten MD bzw. geschätzte Metadaten MD'), b) Computerprogramm PRG, beispielsweise zur Ausführung des Verfahrens gemäß den Ausführungsformen oder wenigstens eines oder mancher Schritte des Verfahrens gemäß den Ausführungsformen.
  • Bei weiteren beispielhaften Ausführungsformen weist die Recheneinrichtung 302 wenigstens eines der folgenden Elemente auf: einen Mikroprozessor, einen Mikrocontroller, einen digitalen Signalprozessor (DSP), einen programmierbaren Logikbaustein (z.B. FPGA, field programmable gate array), einen ASIC (anwendungsspezifischen integrierten Schaltkreis), einen Grafikprozessor (GPU), einen Tensorprozessor, eine Hardwareschaltung. Kombinationen hieraus sind bei weiteren beispielhaften Ausführungsformen auch denkbar, ebenso wie eine verteilte Anordnung zumindest mancher Komponenten, z.B. auf verschiedene Elemente des Netzwerks R1 (5).
  • Die Speichereinrichtung 304 kann beispielhaft über einen flüchtigen Speicher 304a (z.B. RAM (Arbeitsspeicher)) und/oder über einen nichtflüchtigen Speicher 304b (z.B. Flash-EEPROM) verfügen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium SM (z.B. magnetisch und/oder optisch und/oder Halbleiterspeicher), umfassend Befehle PRG', die bei der Ausführung durch einen Computer 302 diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Computerprogramm PRG, umfassend Befehle, die bei der Ausführung des Programms PRG durch einen Computer 302 diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen. Weitere beispielhafte Ausführungsformen beziehen sich auf ein Datenträgersignal DCS, das das Computerprogramm PRG gemäß den Ausführungsformen charakterisiert und/oder überträgt. Beispielsweise kann die Vorrichtung 300 eine optionale Datenschnittstelle DCS zur Übertragung z.B. des Datenträgersignals DCS aufweisen, und/oder zur Übertragungen anderer Informationen 11, MD, MD'.
  • Bei weiteren beispielhaften Ausführungsformen kann beispielsweise wenigstens einer der Blöcke 310, 320, 330 aus 5 die in 7 beispielhaft angegebene oder zumindest eine ähnliche Konfiguration aufweisen.
  • Weitere beispielhafte Ausführungsformen, vgl. 6, beziehen sich auf eine Verwendung 400 des Verfahrens gemäß den Ausführungsformen und/oder der Vorrichtung gemäß den Ausführungsformen und/oder des Computerprogramms gemäß den Ausführungsformen und/oder des Datenträgersignals gemäß den Ausführungsformen für wenigstens eines der folgenden Elemente: a) Auswerten 402 von Daten des technischen Systems, b) Erkennen 404 von Angriffsversuchen, beispielsweise Ausführen eines Verfahrens zur Angriffserkennung, beispielsweise eines Intrusion Detection Verfahrens, c) Ausführen 406 eines Cloud-basierten Intrusion-Detection-Verfahrens, beispielsweise für ein wenigstens einen Sensor bzw. wenigstens eine Sensoreinrichtung 202 aufweisendes System 200.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf einen Cloud-Server oder Edge-Computing-Server mit wenigstens einer Vorrichtung 300 bzw. wenigstens einem Teil 310, 320, 330 der Funktionalität der Vorrichtung gemäß den Ausführungsformen. Hierdurch ist eine besonders effiziente Überwachung von ein oder mehreren technischen Systemen 200, z.B. auf Angriffe Dritter hin, ermöglicht, wodurch z.B. ein IDS, insbesondere z.B. für eine Mehrzahl von Systemen, z.B. Sensorsystemen bzw. loT-Systemen, bereitgestellt werden kann.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Gateway GW oder ein sonstiges Element zur Netzwerkkopplung mit wenigstens einer Vorrichtung bzw. wenigstens einem Teil der Funktionalität der Vorrichtung gemäß den Ausführungsformen.
  • Das Prinzip gemäß beispielhaften Ausführungsformen kann - auch außerhalb von Edge- und/oder Cloud-Computing-Systemen - vorteilhaft zur effizienten Bereitstellung eines Systems zur Erkennung von Angriffen (englisch: intrusion detection system, IDS) verwendet werden, beispielsweise zur Bereitstellung eines IDS für loT-Systeme und/oder Industrie 4.0-Systeme.

Claims (13)

  1. Verfahren, insbesondere computerimplementiertes Verfahren, zur Verarbeitung von Daten eines technischen Systems (200), aufweisend die folgenden Schritte: Ermitteln (100) von ersten Informationen (l1), die mit einem Datenverkehr des Systems (200) assoziiert sind, Ermitteln (102) von mit dem Datenverkehr des Systems (200) assoziierten Metadaten (MD) basierend auf den ersten Informationen (l1).
  2. Verfahren nach Anspruch 1, wobei das Ermitteln (102) der Metadaten (MD) wenigstens eines der folgenden Elemente aufweist: a) Ermitteln (102a) einer durchschnittlichen Frequenz (dF), mit der Datenübertragungen des Datenverkehrs übertragen werden, beispielsweise Datenübertragungen von dem System (200) zu einem Empfänger, b) Ermitteln (102b) einer durchschnittlichen Dauer (dD) einer Datenübertragungssitzung, beispielsweise einer Transport Layer Security, TLS, -Sitzung, c) Ermitteln (102c) einer Datenmenge (DM), die in einem, beispielsweise vorgebbaren, Zeitraum von dem System (200) und/oder an das System (200) übertragen worden ist, wobei beispielsweise der Zeitraum eine Stunde beträgt oder einen Tag.
  3. Verfahren nach wenigstens einem der vorstehenden Ansprüche, wobei das Ermitteln (102) der Metadaten (MD) aufweist: Aufzeichnen (102d) und/oder Bestimmen (102e) der Metadaten (MD).
  4. Verfahren nach wenigstens einem der vorstehenden Ansprüche, weiter aufweisend: Ermitteln (110) von geschätzten Metadaten (MD') basierend auf Datenübertragungen des Systems (200).
  5. Verfahren nach Anspruch 4, wobei das Ermitteln (110) der geschätzten Metadaten (MD') aufweist: Verwenden wenigstens eines Modells (330), das dazu ausgebildet ist, die geschätzten Metadaten (MD') basierend auf den Datenübertragungen des Systems (200) zu ermitteln.
  6. Verfahren nach wenigstens einem der Ansprüche 4 bis 5, weiter aufweisend: Vergleichen (120) der geschätzten Metadaten (MD') mit den Metadaten (MD).
  7. Verfahren nach Anspruch 6, weiter aufweisend: a) Beeinflussen (122a) eines Betriebs des Systems (200) basierend auf dem Vergleich (120), und/oder b) Einleiten (122b) einer Fehlerreaktion basierend auf dem Vergleich (120).
  8. Vorrichtung (300) zur Ausführung des Verfahrens gemäß wenigstens einem der Ansprüche 1 bis 7.
  9. Vorrichtung (300) nach Anspruch 8, wobei die Vorrichtung (300) aufweist: eine Recheneinrichtung (302), eine der Recheneinrichtung (302) zugeordnete Speichereinrichtung (304) zur zumindest zeitweisen Speicherung wenigstens eines der folgenden Elemente: a) Daten (DAT), b) Computerprogramm (PRG), beispielsweise zur Ausführung des Verfahrens gemäß wenigstens einem der Ansprüche 1 bis 7.
  10. Computerlesbares Speichermedium (SM), umfassend Befehle (PRG'), die bei der Ausführung durch einen Computer (302) diesen veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 7 auszuführen.
  11. Computerprogramm (PRG, PRG'), umfassend Befehle, die bei der Ausführung des Programms durch einen Computer (302) diesen veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 7 auszuführen.
  12. Datenträgersignal (DCS), das das Computerprogramm (PRG, PRG') nach Anspruch 11 charakterisiert und/oder überträgt.
  13. Verwendung (400) des Verfahrens nach wenigstens einem der Ansprüche 1 bis 7 und/oder der Vorrichtung (300) nach wenigstens einem der Ansprüche 8 bis 9 und/oder des Computerprogramms (PRG, PRG') nach Anspruch 11 und/oder des Datenträgersignals (DCS) nach Anspruch 12 für wenigstens eines der folgenden Elemente: a) Auswerten (402) von Daten des technischen Systems (200), b) Erkennen (404) von Angriffsversuchen, beispielsweise Ausführen eines Verfahrens zur Angriffserkennung, beispielsweise eines Intrusion Detection Verfahrens, c) Ausführen (406) eines Cloud-basierten Intrusion-Detection-Verfahrens, beispielsweise für ein wenigstens einen Sensor bzw. wenigstens eine Sensoreinrichtung aufweisendes System (200).
DE102020209993.6A 2020-08-06 2020-08-06 Verfahren und Vorrichtung zur Verarbeitung von Daten eines technischen Systems Pending DE102020209993A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102020209993.6A DE102020209993A1 (de) 2020-08-06 2020-08-06 Verfahren und Vorrichtung zur Verarbeitung von Daten eines technischen Systems
US17/329,953 US11706235B2 (en) 2020-08-06 2021-05-25 Method and device for processing data of a technical system
KR1020210101718A KR20220018429A (ko) 2020-08-06 2021-08-03 기술 시스템의 데이터를 처리하기 위한 방법 및 장치
JP2021128008A JP2022031215A (ja) 2020-08-06 2021-08-04 技術システムのデータを処理するための方法および装置
CN202110895270.3A CN114124746A (zh) 2020-08-06 2021-08-05 用于处理技术系统的数据的方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020209993.6A DE102020209993A1 (de) 2020-08-06 2020-08-06 Verfahren und Vorrichtung zur Verarbeitung von Daten eines technischen Systems

Publications (1)

Publication Number Publication Date
DE102020209993A1 true DE102020209993A1 (de) 2022-02-10

Family

ID=79686225

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020209993.6A Pending DE102020209993A1 (de) 2020-08-06 2020-08-06 Verfahren und Vorrichtung zur Verarbeitung von Daten eines technischen Systems

Country Status (5)

Country Link
US (1) US11706235B2 (de)
JP (1) JP2022031215A (de)
KR (1) KR20220018429A (de)
CN (1) CN114124746A (de)
DE (1) DE102020209993A1 (de)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8909926B2 (en) * 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
CN101282340B (zh) * 2008-05-09 2010-09-22 成都市华为赛门铁克科技有限公司 网络攻击处理方法及处理装置
US9300679B1 (en) * 2013-12-16 2016-03-29 8X8, Inc. System and method for monitoring computing servers for possible unauthorized access
US10511505B2 (en) * 2015-12-09 2019-12-17 Keysight Technologies Singapore (Sales) Pte. Ltd. Systems and methods to recreate real world application level test packets for network testing
US10896261B2 (en) * 2018-11-29 2021-01-19 Battelle Energy Alliance, Llc Systems and methods for control system security
US11343261B2 (en) * 2019-04-05 2022-05-24 Cisco Technology, Inc. Technologies for proving packet transit through uncompromised nodes
US20210194851A1 (en) * 2019-12-20 2021-06-24 Cisco Technology, Inc. Intent-based security for industrial iot devices
US20210303984A1 (en) * 2020-03-24 2021-09-30 Fortinet, Inc. Machine-learning based approach for classification of encrypted network traffic

Also Published As

Publication number Publication date
KR20220018429A (ko) 2022-02-15
CN114124746A (zh) 2022-03-01
US20220046041A1 (en) 2022-02-10
US11706235B2 (en) 2023-07-18
JP2022031215A (ja) 2022-02-18

Similar Documents

Publication Publication Date Title
DE112012004776T5 (de) Erzeugen einer Produktionsserver-Lastaktivität für einen Testserver
DE102018115266A1 (de) Malware-detektionssystem zur angriffsverhinderung
DE102013108393A1 (de) Vorrichtung und Verfahren zum Fernlöschen kritischer Informationen
DE112015000343T5 (de) Erstellen einer Wiederherstellungskopie von einer Quelldaten-Kopie in einem Repository, das Quelldaten an verschiedenen Zeitpunkten aufweist
DE102010028884A1 (de) Ursachenanalyse für Verarbeitung komplexer Ereignisse
DE112008003075T5 (de) Systeme und Verfahren zum Aktualisieren von Einrichtung- bzw Geräte-Software
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
DE102011003444A1 (de) Diagnoseinformationssammelvorrichtung
DE102012223167A1 (de) Gemeinsame Nutzung von Artefakten zwischen kollaborativen Systemen
DE112021005651B4 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Programm
DE112018001489T5 (de) Fahrzeuggebundene Kommunikationsvorrichtung, Computerprogramm und Nachrichtenermittlungsverfahren
DE102020208245A1 (de) Datenspeicherungsvorrichtung und Datenspeicherungsprogramm
EP3811261B1 (de) Kryptografiemodul und betriebsverfahren hierfür
DE102020209993A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Daten eines technischen Systems
DE102022201663A1 (de) Erzeugen synthetischer Prüffälle zur Fuzz-Prüfung
DE102021124809A1 (de) Systeme und verfahren zur remote-speicherung von einem distributed-ledger-netzwerk zugeordneten informationen
DE102020121540A1 (de) Bestimmungseinrichtung, Bestimmungssystem, Speichermedium, das ein Programm speichert, und Bestimmungsverfahren
DE102017212249A1 (de) Verfahren und Vorrichtungen für Teilnehmer übergreifende Kommunikation
DE102016207144A1 (de) Auswertungssystem
DE112012000780T5 (de) Verarbeiten von Berechtigungsprüfungsdaten
DE102018217964A1 (de) Verfahren und Vorrichtung zur Überwachung einer Datenkommunikation
DE102019131038B4 (de) Detektion von Ereignisstürmen
DE102009038248A1 (de) Verfahren zum Entfernen modularer Software
EP3339994A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung
DE112019004692T5 (de) Datenverarbeitungsvorrichtung und managementvorrichtung

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000