-
Die vorliegende Erfindung bezieht sich auf eine Überwachungsvorrichtung für ein Datennetzwerk und einen entsprechenden Netzwerkteilnehmer.
-
Technisches Gebiet
-
Datennetzwerke werden heute in einer Vielzahl von Anwendungen eingesetzt. Üblicherweise werden herkömmliche Datennetzwerke in Computernetzwerken zum Datenaustausch zwischen unterschiedlichen Computern genutzt. In solchen Computernetzwerken werden aufwändige Systeme zum Erkennen von Angriffen eingesetzt, sog. Intrusion Detection Systeme oder IDS, die sehr leistungsfähige Hardware voraussetzten. Mit solchen Systemen wird versucht, Angriffe auf das jeweilige Computernetzwerk basierend auf einer Analyse des Netzwerkverkehrs zu erkennen oder gar zu verhindern.
-
Datennetzwerke werden heute aber auch in einer Vielzahl von weiteren Anwendungen, wie z. B. in Automatisierungssystemen, Fahrzeugnetzwerken, Gebäudemanagementsystemen oder dergleichen eingesetzt. Üblicherweise sind solche Netzwerke aus einer Vielzahl von eingebetteten Systemen aufgebaut. In solchen Netzwerken ist die Leistungsfähigkeit der Hardware daher begrenzt. Aus Platz- und Kostengründen sind die eingebetteten Systeme üblicherweise stark optimiert und an eine bestimmte Aufgabe angepasst. Sie bieten daher wenig Spielraum für den Einbau zusätzlicher Sicherheitsmechanismen.
-
Offenbarung der Erfindung
-
Es ist daher eine Aufgabe der vorliegenden Erfindung eine verbesserte Erkennung von Angriffen auf Datennetzwerke mit eingebetteten Systemen bereitzustellen.
-
Demgemäß offenbart die vorliegende Erfindung eine Überwachungsvorrichtung mit den Merkmalen des Anspruchs 1 und einen Netzwerkteilnehmer mit den Merkmalen des Anspruchs 10.
-
Demgemäß ist vorgesehen:
Eine Überwachungsvorrichtung für ein Datennetzwerk mit zumindest einem Teilnehmer, welcher eine medienunabhängige Schnittstelle und eine mit dieser gekoppelte physikalische Schnittstelle aufweist. Die Überwachungsvorrichtung weist eine erste Kommunikationsschnittstelle, welche mit der medienunabhängigen Schnittstelle in datenkommunikativer Verbindung gekoppelt ist, und eine zweite Kommunikationsschnittstelle, welche mit der physikalischen Schnittstelle in datenkommunikativer Verbindung gekoppelt ist, auf. Ferner weist die Überwachungsvorrichtung eine Recheneinrichtung auf, welche zwischen der ersten Kommunikationsschnittstelle und der zweiten Kommunikationsschnittstelle angeordnet ist und ausgebildet ist, über die erste Kommunikationsschnittstelle und/oder die zweite Kommunikationsschnittstelle empfangene Daten auf das Auftreten von Anomalien zu überwachen und ein Warnsignal auszugeben, wenn eine Anomalie detektiert wird. Unter einer Anomalie ist dabei jede Art von Datenverkehr zu verstehen, der von einem erwarteten bzw. normalen Datenverkehr in dem jeweiligen Datennetzwerk abweicht. Die Überwachung des Auftretens von Anomalien ist dabei nicht zu verwechseln mit der anomaliebasierten Angriffserkennung in Datennetzwerken.
-
Ferner ist vorgesehen:
Ein Netzwerkteilnehmer mit einer medienunabhängigen Schnittstelle, mit einer physikalischen Schnittstelle, und mit einer erfindungsgemäßen Überwachungsvorrichtung, welche zwischen der medienunabhängigen Schnittstelle und der physikalischen Schnittstelle angeordnet ist.
-
Darstellung der Erfindung
-
Die vorliegende Erfindung basiert auf der Erkenntnis, dass es nicht möglich ist, in Datennetzwerken für eingebettete Systeme aufwändige herkömmliche Intrusion Detection Systeme zu installieren.
-
Die vorliegende Erfindung sieht daher eine Überwachungsvorrichtung vor, die in jedem beliebigen Teilnehmer des Datennetzwerks angeordnet werden kann, der über eine physikalische Schnittstelle, auch PHY, und eine mit dieser gekoppelten medienunabhängige Schnittstelle, auch MAC, verfügt. Beispielsweise kann der Teilnehmer, in welchem die Überwachungsvorrichtung angeordnet wird, ein Steuergerät für ein Werkzeug in einer Produktionsanlage sein, welches eine Ethernetschnittstelle aufweist. Die Überwachungsvorrichtung ist dann zwischen dem PHY-Baustein der Ethernetschnittstelle und dem MAC-Baustein der Ethernetschnittstelle angeordnet. Dabei besteht zwischen PHY-Baustein und MAC-Baustein lediglich die indirekte Verbindung über die Überwachungsvorrichtung.
-
Da die Überwachungsvorrichtung folglich keine eigene Netzwerkadresse besitzt, kann sie die Kommunikation in dem Datennetzwerk überwachen, ohne dass dies für die Teilnehmer des Datennetzwerks ersichtlich wird. Die Überwachungsvorrichtung kann von einem potentiellen Angreifer also nicht erkannt bzw. identifiziert werden. Damit ist es für einen solchen Angreifer auch nicht möglich die Überwachungsvorrichtung direkt anzugreifen.
-
Da die Schnittstelle zwischen der physikalischen Schnittstelle und der medienunabhängigen Schnittstelle üblicherweise eine Standardschnittstelle, wie z. B. eine MII oder eine GMII Schnittstelle oder dergleichen ist, kann die Überwachungsvorrichtung ohne Hardwareanpassungen für eine Vielzahl von unterschiedlichen Netzwerkprotokollen, wie z. B. Ethernet, EtherCat, Profinet, Sercos, AVB oder anderen Serviceprotokollen, eingesetzt werden.
-
Die Überwachungsvorrichtung kann z. B. als ASIC, FPGA, XMOS Baustein oder dergleichen ausgebildet sein. Dies ermöglicht eine einfache Integration in eingebettete Systeme, wie z. B. Steuergeräte in Feldbussystemen. Ferner können damit die Leistungsaufnahme, die Größe und die Kosten der Überwachungsvorrichtung gering gehalten werden.
-
Der Netzwerkteilnehmer kann jeder beliebige Netzwerkteilnehmer in dem Datennetzwerk sein. Beispielsweise kann ein solcher Netzwerkteilnehmer eine Steuereinrichtung eines Aktors sein, welche über das Datennetzwerk Steuerbefehle erhält. In solch einem Netzwerkteilnehmer kann die Überwachungsvorrichtung zwischen dem Controller der Steuereinrichtung und dem PHY-Baustein des Netzwerkteilnehmers angeordnet werden und die Kommunikation zwischen dem Datennetzwerk und dem Netzwerkteilnehmer überwachen. Wird in jedem der Netzwerkteilnehmer in dem Datennetzwerk eine erfindungsgemäße Überwachungsvorrichtung eingesetzt, kann jede der Überwachungsvorrichtungen den Datenverkehr zu dem jeweiligen Netzwerkteilnehmer überwachen. Es ist aber auch möglich, dass eine Überwachungsvorrichtung den Datenverkehr des gesamten Netzwerks überwacht. Dazu ist es lediglich notwendig, dass der gesamte Datenverkehr auch zu dem Netzwerkteilnehmer geleitet wird, in welchem die Überwachungsvorrichtung angeordnet ist. Diejenigen Daten, welche nicht für den Netzwerkteilnehmer bestimmt sind, kann dieser dann verwerfen.
-
Die Überwachungsvorrichtung kann aber auch in einem Netzwerkteilnehmer eingesetzt werden, der keine Steueraufgabe wahrnimmt. Eine Steuereinrichtung kann in solch einem Netzwerkteilnehmer z. B. lediglich dazu dienen, über eine Schnittstelle eintreffende Datenpakete unverändert über eine weitere Schnittstelle auszugeben. Ein solcher Netzwerkteilnehmer kann folglich als autarker bzw. eigenständiger Sicherheitssensor in dem Datennetzwerk dienen, der lediglich die Sicherheit des jeweiligen Datennetzwerks überwacht.
-
Vorteilhafte Ausführungsformen und Weiterbildungen ergeben sich aus den Unteransprüchen sowie aus der Beschreibung unter Bezugnahme auf die Figuren.
-
In einer Ausführungsform kann die Recheneinrichtung einen Datenspeicher, insbesondere mit einer Mehrzahl von Datenausgängen, zum Speichern der empfangenen Daten aufweisen. Ferner kann die Recheneinrichtung dazu ausgebildet sein, in dem Speicher gespeicherte Daten an diejenige Kommunikationsschnittstelle auszugeben, an welcher die jeweils gespeicherten Daten nicht empfangen wurden. Bei dem Datenspeicher kann es sich insbesondere um einen sog. „multiport memory” handeln. D. h. der Datenspeicher hat einen Dateneingang, über welchen Daten in den Speicher geschrieben werden können, und mehrere Datenausgänge, über welche gleichzeitig Daten aus dem Speicher gelesen werden können. Dadurch wird das Erfassen und Speichern der Daten für die spätere Verarbeitung ermöglicht, während gleichzeitig eine schnelle Weiterleitung der Daten an den jeweiligen Empfänger möglich ist. Dies minimiert die Verzögerung der einzelnen Datenpakete in dem Datennetzwerk bei der Datenübertragung.
-
In einer Ausführungsform kann die Recheneinrichtung eine Angriffserkennungseinrichtung aufweisen, die dazu ausgebildet ist, basierend auf den gespeicherten Daten zu erkennen, ob ein Angriff auf das Datennetzwerk durchgeführt wird. Die Angriffserkennungseinrichtung, auch Intrusion Detection System oder IDS genannt, kann dazu den Datenverkehr in dem Netzwerk analysieren. Durch das Speichern der Daten wird eine Betrachtung der Historie des Datenverkehrs möglich und es können z. B. bestimmte Angriffsmuster in den gespeicherten Daten gesucht oder identifiziert werden. Die Angriffserkennungseinrichtung kann dazu eine regelbasierte Angriffserkennungseinrichtung, eine anomaliebasierte Angriffserkennungseinrichtung oder eine Kombination davon aufweisen.
-
Die regelbasierte Angriffserkennungseinrichtung weist dazu einen Satz von Regeln, Mustern oder Signaturen auf, die an das entsprechende Netzwerkprotokoll angepasst sind und spezifische Angriffsmuster beschreiben. Die anomaliebasierte Angriffserkennungseinrichtung untersucht z. B. anhand vorgegebener statistischer Werte für den Datenverkehr in dem Datennetzwerk die eintreffenden Daten auf mögliche Angriffsversuche.
-
In einer Ausführungsform ist die Recheneinrichtung dazu ausgebildet, in den empfangenen Daten Konfigurationsdatenpakete zu erkennen und aus den Konfigurationsdatenpaketen Konfigurationsdaten zu extrahieren. Die Konfigurationsdatenpakete können dabei in den normalen Datenverkehr des Datennetzwerks integriert werden. Beispielsweise können diese an den Teilnehmer adressiert sein, in welchem die Überwachungsvorrichtung angeordnet ist. Sowohl der Teilnehmer als auch die Überwachungsvorrichtung, und im Idealfall nur diese, kennen eine vorgegebene Kennzeichnung der Konfigurationsdatenpakete. Für andere Teilnehmer des Netzwerks sehen diese folglich aus, wie normale Datenpakete, deren Inhalt für den entsprechenden Teilnehmer bestimmt ist. Die Kennzeichnung kann z. B. ein vorgegebener Inhalt eines Datenpakets oder dergleichen sein. In diesem ersten gekennzeichneten Datenpaket kann z. B. auch angegeben werden, wie viele der folgenden Datenpakete Konfigurationsdaten enthalten.
-
Die Konfigurationsdatenpakete können ferner kryptographisch gesichert sein. Beispielsweise können die Inhalte der Konfigurationsdatenpakete verschlüsselt oder mit Signaturen, Hashwerten oder dergleichen gesichert sein. Die Überwachungsvorrichtung kann auf diese Weise sicherstellen, dass die Konfigurationsdatenpakete nicht verfälscht wurden.
-
Stellt die Überwachungsvorrichtung fest, dass ein Konfigurationsdatenpaket dennoch manipuliert wurde, kann sie das Konfigurationsdatenpaket verwerfen. Zusätzlich kann die Überwachungsvorrichtung ein Alarmsignal ausgeben, wenn sie manipulierte Konfigurationsdatenpakete erkennt.
-
In einer Ausführungsform können die Konfigurationsdatenpakete Konfigurationsdaten für die Angriffserkennungseinrichtung aufweisen und die Recheneinrichtung kann ausgebildet sein, die Angriffserkennungseinrichtung basierend auf den entsprechenden Konfigurationsdaten zu konfigurieren. Die Konfigurationsdaten können z. B. neue Muster oder Signaturen für eine regelbasierte Angriffserkennungseinrichtung oder Konfigurationsdaten, wie z. B. Heuristiken, für eine anomaliebasierte Angriffserkennungseinrichtung sein.
-
Die Konfigurationsdaten können zusätzlich oder alternativ auch allgemeine Konfigurationsdaten für die Überwachungsvorrichtung aufweisen. Beispielsweise können die Konfigurationsdaten Informationen über das in dem Datennetzwerk verwendete Übertragungsprotokoll, über die von dem Netzwerkteilnehmer ausgeführte Aufgabe, z. B. einen von dem Netzwerkteilnehmer angesteuerten Aktor und dessen Bewegungsmöglichkeiten, und dergleichen sein.
-
In einer Ausführungsform kann die Angriffserkennungseinrichtung eine regelbasierte Angriffserkennungseinrichtung und eine Übersetzungseinrichtung aufweisen. Die Übersetzungseinrichtung kann ausgebildet sein, Regeln für die regelbasierte Angriffserkennungseinrichtung in einen durch die Recheneinrichtung ausführbaren Programmcode oder einen Zwischencode zu übersetzen, welcher durch die regelbasierte Angriffserkennungseinrichtung interpretierbar ist. Durch das Übersetzen der Regeln in Programmcode bzw. Zwischencode wird eine sehr effiziente und schnelle Abarbeitung der einzelnen Regeln mit geringem Ressourcenaufwand möglich.
-
In einer Ausführungsform weist die Überwachungsvorrichtung eine Sensorschnittstelle auf. Die Recheneinrichtung kann ferner ausgebildet sein, aus den empfangenen Daten einen Messwert für die Sicherheit des Datennetzwerks zu berechnen und über die Sensorschnittstelle auszugeben. Der Messwert kann z. B. ein binärer Wert sein, der einen sicheren und einen unsicheren Zustand des Datennetzwerks kennzeichnet. Der Messwert kann aber auch ein diskreter Wert oder eine reeller Wert sein, der einen vorgegebenen Wertebereich aufweist. Beispielsweise kann der maximale Wert kennzeichnen, dass ein Angriff auf das Datennetzwerk stattfindet und der minimale Wert kann kennzeichnen, dass keinerlei Anomalie in dem Datennetzwerk erkannt wurde. Werte zwischen dem maximalen und dem minimalen Wert kennzeichnen Gefährdungsstufen. Beispielsweise können in den empfangenen Daten Hinweise auf einen potentiellen Angriff auf das Datennetzwerk vorhanden sein, die aber noch nicht ausreichen, einen Angriff mit absoluter Sicherheit festzustellen. Je nach Stärke der Hinweise kann sich der Messwert daher dem maximalen Wert annähern.
-
Die Sensorschnittstelle kann als jede Art von Schnittstelle ausgebildet sein, die es der Recheneinrichtung ermöglicht, den Messwert z. B. an eine übergeordnete Steuerung oder einen Teilnehmer des Datennetzwerks auszugeben. Beispielsweise kann die Sensorschnittstelle eine analoge Schnittstelle oder eine digitale Schnittstelle, insbesondere eine serielle Schnittstelle, sein.
-
In einer Ausführungsform kann die Überwachungsvorrichtung eine Datenvorverarbeitungseinrichtung aufweisen, welche die empfangenden Daten vor der Analyse durch die Angriffserkennungseinrichtung auf das Auftreten von Anomalien verarbeiten kann. Die Datenvorverarbeitungseinrichtung kann dazu ausgebildet sein, den Zustand eines in dem Datennetzwerk verwendeten Datenübertragungsprotokolls und dessen Historie zu überwachen. Ferner kann die Datenvorverarbeitungseinrichtung z. B. anhand vordefinierter Protokollmuster ein verwendetes Protokoll erkennen und entsprechende Regeln für die Verarbeitung der empfangenen Daten auswählen. Die Datenvorverarbeitungseinrichtung kann auch Beschreibungen der einzelnen Datenpakete bzw. der Inhalte der Datenpakete erstellen. Die Beschreibung der Datenpakete kann z. B. deren Größe, einen Zeitstempel für das jeweilige Datenpaket oder dergleichen aufweisen. Die Beschreibung der Datenpakete kann aber auch eine funktionale Beschreibung der Inhalte der Datenpakete aufweisen. Also z. B. eine durch einen Stellbefehl hervorgerufenen Reaktion. Diese kann dann z. B. mit vorgegebenen Grenzwerten abgeglichen werden. Ferner kann z. B. auch basierend auf der Historie der gespeicherten Daten überprüft werden, ob ein empfangener Stellbefehl in der momentanen Situation erlaubt ist oder nicht. Wird durch das Datenpaket beispielsweise ein Stellbefehl für einen Motor übermittelt, kann die Datenvorverarbeitungseinrichtung beispielsweise die daraus resultierende Bewegung des Motors berechnen und der nachgelagerten Angriffserkennungseinrichtung bereitstellen. Diese kann dann bestimmen, ob sich die Bewegung des Motors z. B. innerhalb vorgegebener Grenzen befindet.
-
In einer Ausführungsform kann die Überwachungsvorrichtung eine Datenübertragungsschnittstelle in der Recheneinrichtung aufweisen, welche ausgebildet ist, die empfangenen Daten an weitere Recheneinrichtungen zu übermitteln und Analysedaten von diesen zu empfangen. Die Analysedaten beschreiben dabei die Ergebnisse der Analyse der empfangenen Daten, welche in den weiteren Überwachungsvorrichtungen berechnet wurden. Die Arbeit der Datenanalyse kann so auf eine Mehrzahl von Überwachungsvorrichtungen verteilt werden. Je nach Anwendungsfall kann jede der Überwachungsvorrichtungen bestimmte Überwachungsaufgaben übernehmen. Beispielsweise kann eine der Überwachungsvorrichtungen eine anomaliebasierte Angriffserkennungseinrichtung aufweisen, während eine weitere Überwachungsvorrichtung eine regelbasierte Angriffserkennungseinrichtung aufweisen kann. Die Ergebnisse der unterschiedlichen Angriffserkennungseinrichtungen können daraufhin in einer der Überwachungsvorrichtungen zusammengefasst und ausgewertet werden.
-
In einer Ausführungsform sind in der Recheneinrichtung die regelbasierte Angriffserkennungseinrichtung und/oder die anomaliebasierte Angriffserkennungseinrichtung und/oder der Datenspeicher und/oder die Übersetzungseinrichtung und/oder die Datenvorverarbeitungseinrichtung und weitere Komponenten der Überwachungsvorrichtung als unabhängige parallel arbeitende Komponenten ausgebildet. Dabei kann jede der Komponenten eine eigene Ablaufsteuerung aufweisen.
-
Die obigen Ausgestaltungen und Weiterbildungen lassen sich, sofern sinnvoll, beliebig miteinander kombinieren. Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmalen der Erfindung. Insbesondere wird dabei der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der vorliegenden Erfindung hinzufügen.
-
Kurze Beschreibung der Zeichnungen
-
Die vorliegende Erfindung wird nachfolgend anhand der in den schematischen Figuren der Zeichnungen angegebenen Ausführungsbeispiele näher erläutert. Es zeigen dabei:
-
1 ein Blockschaltbild einer Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung;
-
2 ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung;
-
3 ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung;
-
4 ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung; und
-
5 ein Ablaufdiagramm eines Verfahrens, welches mit der erfindungsgemäßen Überwachungsvorrichtung ausgeführt werden kann.
-
In allen Figuren sind gleiche bzw. funktionsgleiche Elemente und Vorrichtungen – sofern nichts Anderes angegeben ist – mit denselben Bezugszeichen versehen worden.
-
Ausführungsformen der Erfindung
-
1 zeigt ein Blockschaltbild einer Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung 1-1, die in einem Netzwerkteilnehmer 3-1 des Netzwerks 2-1 angeordnet ist.
-
Der Netzwerkteilnehmer 3-1 weist eine Steuereinrichtung 24-1 auf, die eine medienunabhängige Schnittstelle 4-1 zur Datenkommunikation aufweist. Die Steuereinrichtung 24-1 kann über die medienunabhängige Schnittstelle 4-1 z. B. Steuerdaten für einen von der Steuereinrichtung 24-1 angesteuerten Aktor empfangen und Mess- oder Statuswerte über die medienunabhängige Schnittstelle 4-1 ausgeben.
-
Der Netzwerkteilnehmer 3-1 weist ferner eine physikalische Schnittstelle 5-1 auf, die direkt mit dem Netzwerk 2-1 gekoppelt ist. Allerdings ist bei dem Netzwerkteilnehmer 3-1 im Gegensatz zu üblichen Netzwerkteilnehmern, die physikalische Schnittstelle nicht direkt mit der medienunabhängigen Schnittstelle gekoppelt. Vielmehr ist zwischen der medienunabhängigen Schnittstelle 4-1 und der physikalischen Schnittstelle 5-1 die Überwachungsvorrichtung 1-1 angeordnet.
-
Die Überwachungsvorrichtung 1-1 weist eine erste Kommunikationsschnittstelle 6-1 auf, die mit der medienunabhängigen Schnittstelle 4-1 gekoppelt ist. Eine zweite Kommunikationsschnittstelle 7-1 der Überwachungsvorrichtung 1-1 ist mit der physikalischen Schnittstelle 5-1 gekoppelt. In der Überwachungsvorrichtung 1-1 ist die Recheneinrichtung 8-1 mit der ersten Kommunikationsschnittstelle 6-1 und der zweiten Kommunikationsschnittstelle 7-1 gekoppelt.
-
Die Recheneinrichtung 8-1 leitet Daten 9, welche sie über eine der Kommunikationsschnittstellen 6-1, 7-1 empfängt an die jeweils andere Kommunikationsschnittstelle 6-1, 7-1 weiter. Daten 9, welche sie über die erste Kommunikationsschnittstelle 6-1 empfängt, werden folglich über die zweite Kommunikationsschnittstelle 7-1 ausgebeben und umgekehrt.
-
Die medienunabhängige Schnittstelle 4-1 und die physikalische Schnittstelle 5-1 kommunizieren über das sog. MII-Protokoll, Media Independent Interface. Folglich sind die erste und die zweite Kommunikationsschnittstelle 6-1, 7-1 ebenfalls kompatibel zu dem MII-Protokoll. Das MII-Protokoll wird dabei in 1 lediglich beispielhaft als eines unter vielen Möglichen Protokollen genutzt. Weitere mögliche Protokolle sind z. B. das GMII-Protokoll, das RMII-Protokoll oder andere Protokolle zur Kommunikation zwischen medienunabhängigen Schnittstellen und die physikalischen Schnittstellen.
-
Durch die Anordnung der Überwachungsvorrichtung 1-1 zwischen der medienunabhängigen Schnittstelle 4-1 und der physikalischen Schnittstelle 5-1 kann die Überwachungsvorrichtung 1-1 die Daten 9 unabhängig von dem verwendeten Übertragungsmechanismus des Datennetzwerks 2-1 empfangen. Es ist also egal, ob das Datennetzwerk 2-1 ein kabelgebundenes Datennetzwerk 2-1, ein optisches Datennetzwerk 2-1 oder ein drahtloses Datennetzwerk 2-1 ist.
-
Die Recheneinrichtung 8-1 analysiert die empfangenen Daten 9 und überwacht bzw. untersucht diese auf das Auftreten von Anomalien. Unter Anomalien sind hierbei alle Abweichungen von dem üblicherweise in dem Datennetzwerk 2-1 erwarteten Datenverkehr zu verstehen, die z. B. auf einen Angriff auf das Datennetzwerk 2-1 oder den Netzwerkteilnehmer 3-1 hindeuten können. Üblicherweise ist der relevante Datenstrom dabei der Datenstrom von dem Datennetzwerk 2-1 zu der Steuereinrichtung 24-1 hin. Die Überwachungsvorrichtung 1-1 kann also insbesondere Angriffe auf die Steuereinrichtung 24-1 bzw. Datenpakete, welche an die Steuereinrichtung 24-1 gerichtet sind, analysieren.
-
Die Recheneinrichtung 8-1 kann aber auch die von der Steuereinrichtung 24-1 ausgegebenen Daten 9 auf das Auftreten von Anomalien hin analysieren. Beispielsweise könnte auf die Steuereinrichtung 24-1 bei einem Softwareupdate eine kompromittierte Steuersoftware aufgespielt worden sein und Angriffe auf das Datennetzwerk 2-1 von der Steuereinrichtung 24-1 ausgehen. Die Überwachungsvorrichtung 1-1 könnte eine solche kompromittierte Steuersoftware nicht erkennen, da der eigentliche Vorgang der Softwareaktualisierung über das Datennetzwerk 2-1 ein normaler Vorgang in dem Datennetzwerk 2-1 wäre. Durch die Analyse der Daten 9, welche von der Steuereinrichtung 24-1 an das Datennetzwerk 2-1 gesendet werden, könnte die Überwachungsvorrichtung 1-1 einen solchen Angriff dennoch erkennen.
-
Da die Überwachungseinrichtung 1-1 bzw. die Recheneinrichtung 8-1 direkt die Datenkommunikation der Steuereinrichtung 24-1 erfassen kann, benötigt diese keine eigene Netzwerkadresse in dem Datennetzwerk 2-1 und kann daher auch nicht direkt angegriffen werden. Ein Abschalten oder gezieltes Blockieren der Überwachungsvorrichtung 1-1 durch einen Angreifer ist also nicht möglich.
-
Erkennt die Recheneinrichtung 8-1 Anomalien in den Daten 9, die auf einen Angriff auf das Datennetzwerk 2-1 hindeuten, kann die Recheneinrichtung 8-1 ein Warnsignal 10 ausgeben. In 1 ist dargestellt, dass das Warnsignal 10 an die Steuereinrichtung 24-1 ausgegeben wird. Selbstverständlich kann das Warnsignal 10 auch an eine übergeordnete Instanz in dem Datennetzwerk 2-1 übertragen werden.
-
Die Überwachungsvorrichtung 1-1 der 1 ist als einzelner integrierter Baustein der XMOS-Technologie ausgebildet. Dieser integrierte Baustein kann sehr einfach bei der Herstellung des Netzwerkteilnehmers 3-1 z. B. auf einer Platine des Netzwerkteilnehmers 3-1 aufgebracht und mit den weiteren Bausteinen des Netzwerkteilnehmers 3-1 verbunden werden. In weiteren Ausführungsformen kann die Überwachungsvorrichtung 1-1 aber auch in einem FPGA, CPLD oder Mikrocontroller implementiert sein.
-
Dadurch, dass die Überwachungsvorrichtung 1-1 als einzelner integrierter Baustein, auch IC bzw. Chip genannt, ausgebildet ist, weist diese einen sehr geringen Leistungsbedarf im Vergleich zu herkömmlichen IDS auf. Die geringe Leistungsaufnahme und die geringe Baugröße eines integrierten Bausteins ermöglichen eine sehr einfache Integration der Überwachungsvorrichtung 1-1 in eingebettete Systeme.
-
2 zeigt ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung 1-2, welche in einem Netzwerkteilnehmer 3-2 angeordnet ist.
-
Der Netzwerkteilnehmer 3-2 basiert auf dem Netzwerkteilnehmer 3-1 der 1 und unterscheidet sich von diesem dahingehend, dass die Steuereinrichtung 24-2 eine zweite medienunabhängige Schnittstelle 4-3 aufweist und der Netzwerkteilnehmer 3-1 eine zweite mit dieser gekoppelte physikalische Schnittstelle 5-3 aufweist. Die Überwachungsvorrichtung 1-2 ist analog zu 1 zwischen der ersten medienunabhängigen Schnittstelle 4-2 und der ersten physikalischen Schnittstelle 5-2 angeordnet.
-
Der Netzwerkteilnehmer 3-2 weist folglich zwei Schnittstellen zu dem Datennetzwerk 2-2 auf und kann die Daten 9, welche über das Datennetzwerk 2-2 übertragen werden, zwischen den physikalischen Schnittstellen 5-2 und 5-3 weiterleiten. Die Steuereinrichtung 24-2 benötigt für die reine Weiterleitung der Daten 9 keine große Rechenleistung und kann dementsprechend mit sehr wenigen Ressourcen ausgestattet sein. Insbesondere kann die Steuereinrichtung 24-2 in einer Ausführungsform auch in die Überwachungsvorrichtung 1-2 integriert sein. Die Überwachungsvorrichtung 1-2 selbst kann also direkt mit ersten und der zweiten physikalischen Schnittstelle 5-2, 5-3 gekoppelt sein und die Daten 9 weiterleiten.
-
Die Überwachungsvorrichtung 1-2 der 2 basiert auf der Überwachungsvorrichtung 1-1 der 1 und unterscheidet sich von dieser dahingehend, dass eine Sensorschnittstelle 18-1 vorgesehen ist, über welche die Recheneinrichtung 8-2 einen Messwert 19-1 oder alternativ das Warnsignal 10 ausgeben kann.
-
Die Recheneinrichtung 8-2 weist ferner eine Datenübertragungsschnittstelle 21 auf, über welche die Recheneinrichtung 8-2 mit weiteren Recheneinrichtungen 8-3, 8-4 gekoppelt werden kann. Die Recheneinrichtungen 8-3 und 8-4 sind lediglich beispielhaft dargestellt und die Anzahl der miteinander gekoppelten Recheneinrichtungen kann je nach Anwendungsfall variieren. Beispielsweise können je nach Datenaufkommen in dem Datennetzwerk 2-2 mehr oder weniger Recheneinrichtungen in der Überwachungsvorrichtung 8-2 eingesetzt werden.
-
Die Recheneinrichtung 8-2 kann z. B. eine Vorverarbeitung aller empfangenen Daten 9 durchführen und die derart aufbereiteten Daten 9 an die Recheneinrichtungen 8-3 und 8-4 weiterleiten. Die Recheneinrichtung 8-3 kann z. B. eine regelbasierte Angriffserkennung durchführen, während die Recheneinrichtung 8-4 z. B. eine anomaliebasierte Angriffserkennung durchführen kann. Die Recheneinrichtungen 8-3 und 8-4 können dann die Analysedaten 22 mit den Ergebnissen der jeweiligen Analyse der Recheneinrichtung 8-2 bereitstellen.
-
In 2 wurden die Sensorschnittstelle 18-1 und die Datenübertragungsschnittstelle 21 lediglich beispielhaft gemeinsam in einem Ausführungsbeispiel dargestellt. Es versteht sich, dass diese auch jeweils einzeln in einer erfindungsgemäßen Überwachungsvorrichtung eingesetzt werden können.
-
Die Überwachungsvorrichtung 1-3 der 3 weist eine erste Kommunikationsschnittstelle 6-3 und eine zweite Kommunikationsschnittstelle 7-3 auf, welche jeweils mit einem Datenspeicher 11-1 gekoppelt sind, der als ein oben bereits erwähnter „multiport memory” ausgebildet ist. Die Recheneinrichtung 8-5 kann also gleichzeitig die gespeicherten Daten 9 wieder ausgeben und eine Verarbeitung der gespeicherten Daten 9 durchführen. Gemeinsam mit dem Datenspeicher 11-1 ist in der Recheneinrichtung 8-5 ein Zeiger 26-1 angeordnet, der diejenige Adresse im Datenspeicher 11-1 kennzeichnet, an welcher das jeweils nächste eintreffende Datenpaket gespeichert werden soll.
-
Der Datenspeicher 11-1 ist ferner mit einer Datenvorverarbeitungseinrichtung 20-1 gekoppelt, die die in dem Datenspeicher 11-1 gespeicherten Daten 9 verarbeitet, bevor diese der Angriffserkennungseinrichtung 12-1 bereitgestellt werden.
-
Die Datenvorverarbeitungseinrichtung 20-1 ist in der Lage, die eintreffenden Daten 9 zu analysieren und z. B. festzustellen, ob es sich bei den eintreffenden Daten 9 um Konfigurationsdaten 13 für die Überwachungsvorrichtung 8-5 handelt.
-
Dazu können die Daten 9 entsprechend markiert sein. Beispielsweise können die Daten 9 einen vorgegebenen Stellbefehl für eine Steuereinrichtung eines Netzwerkteilnehmers aufweisen, in dem die Recheneinrichtung 8-5 angeordnet ist. Der Steuereinrichtung ist dabei bekannt, dass dieser Stellbefehl lediglich die Markierung der Konfigurationsdaten 13 darstellt. Folglich ignoriert die Steuereinrichtung diesen Stellbefehl und eine entsprechende Menge darauf folgender Daten 9. In einer Ausführungsform kann die Überwachungsvorrichtung 1-3 das Paket mit den Konfigurationsdaten 13 von der Weitergabe an den Netzwerkteilnehmer ausschließen, also blockieren. Die Konfigurationsdaten 13 gelangen also nicht zu dem Netzwerkteilnehmer und dieser muss diese auch nicht erkennen. Die Datenvorverarbeitungseinrichtung 20-1 dagegen extrahiert aus den Daten 9 die Konfigurationsdaten 13 und leitet diese an eine Konfigurationsschnittstelle 27 der Recheneinrichtung 8-5 weiter.
-
Die Konfigurationsdaten 13 können dabei ferner kryptographisch gesichert bzw. verschlüsselt werden. Beispielsweise können die Konfigurationsdaten 13 basierend auf einem vorgegebenen Schlüssel mit einem symmetrischen Verschlüsselungsverfahren verschlüsselt werden. Selbstverständlich kann aber auch ein asymmetrisches Verschlüsselungsverfahren genutzt werden. Die Konfigurationsdaten 13 können auch mit einer digitalen Signatur versehen sein, über welche sich die Authentizität der Konfigurationsdaten 13 sicherstellen lässt.
-
Weitere Funktionalitäten der Datenvorverarbeitungseinrichtung 20-1 werden in Verbindung mit 4 im Detail erläutert.
-
Die Datenvorverarbeitungseinrichtung 20-1 ist ferner mit der Angriffserkennungseinrichtung 12-1 gekoppelt, welche eine protokollspezifische regelbasierte Angriffserkennungseinrichtung 12-2, eine anomaliespezifische regelbasierte Angriffserkennungseinrichtung 12-3 sowie eine anomaliebasierte Angriffserkennungseinrichtung 12-4 aufweist. Jede der genannten Angriffserkennungseinrichtungen 12-2, 12-3 und 12-4 sind dabei als parallel ablaufende Komponenten bzw. Einheiten ausgebildet. D. h. die vorverarbeiteten Daten 9 werden parallel in jeder der Angriffserkennungseinrichtungen 12-3, 12-3 und 12-4 gleichzeitig verarbeitet und auf Hinweise untersucht, die auf einen Angriff auf das entsprechende Datennetzwerk bzw. den jeweilige Netzwerkteilnehmer hinweisen.
-
Die Angriffserkennungseinrichtung 12-1 verarbeitet die Informationen der Angriffserkennungseinrichtungen 12-2, 12-3 und 12-4 und leitet über die Sensorschnittstelle 18-2 einen entsprechenden Messwert 19-2 an eine übergeordnete Instanz in dem jeweiligen Datennetzwerk weiter. Diese übergeordnete Instanz kann z. B. eine zentrale Steuerung des jeweiligen Datennetzwerks oder der Netzwerkteilnehmer selbst sein.
-
Die Angriffserkennungseinrichtung 12-1 kann in einer Ausführungsform ferner eine Sperreinrichtung 25 ansteuern, die dazu ausgebildet ist, das Weiterleiten von Daten durch die Kommunikationsschnittstellen 6-3 und 7-3 zu unterbinden. Auf diese Art und Weise kann verhindert werden, dass schädliche Daten 9 ihr Ziel erreichen, wenn die Angriffserkennungseinrichtung 12-1 einen Angriff auf das entsprechende Datennetzwerk festgestellt hat.
-
Die oben bereits erwähnte Konfigurationsschnittstelle 27 interpretiert und verteilt die Konfigurationsdaten 13, welche von der Datenvorverarbeitungseinrichtung 20-1 geliefert werden. Sind die Daten für die regelbasierten Angriffserkennungseinrichtungen 12-2, 12-3 bestimmt, werden diese einer Übersetzungseinrichtung 17 bereitgestellt. Diese übersetzt die Regeln für die regelbasierten Angriffserkennungseinrichtungen 12-2, 12-3 in einen Zwischencode, auch Bytecode genannt, der von den regelbasierten Angriffserkennungseinrichtungen 12-2, 12-3 effizient abgearbeitet und auf die Daten 9 angewendet werden kann. Sind die Konfigurationsdaten 13 für die anomaliebasierte Angriffserkennungseinrichtung 12-4 bestimmt, werden diese einer Konfigurationseinrichtung 28 bereitgestellt, welche die Konfigurationsdaten aufbereitet, sodass die anomaliebasierte Angriffserkennungseinrichtung 12-4 diese aufnehmen bzw. verarbeiten kann.
-
4 zeigt ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung 1-4.
-
Die Überwachungsvorrichtung 1-4 weist eine erste und eine zweite Kommunikationsschnittstelle 6-4, 7-4 auf, die mit einem Datenspeicher 11-2 gekoppelt sind. Der Datenspeicher 11-2 ist mit der Datenvorverarbeitungseinrichtung 20-2 gekoppelt.
-
Die Datenvorverarbeitungseinrichtung 20-2 weist parallel arbeitende Elemente auf. Diese bestehen aus einer Zustandsanalyseeinrichtung 29, einem Protokollanalysator 30, einer Mustererkennungseinrichtung 31, einer Rohdatenverarbeitungseinrichtung 32 und einer Beschreibungseinrichtung 33.
-
Der Protokollanalysator 30 untersucht die Daten 9 und identifiziert Protokolle, welchen die Daten entsprechen. Dabei identifiziert der Protokollanalysator 30 nicht nur das dem jeweiligen Datennetzwerk zugrundliegende Protokoll, z. B. EtherCat, Profinet, Sercos oder dergleichen. Vielmehr identifiziert der Protokollanalysator 30 auch Anwendungsprotokolle, die in dem Datennetzwerk genutzt werden, um einzelne Funktionen in den Netzwerkteilnehmern anzusprechen. Die Mustererkennungseinrichtung 31 übernimmt dabei für den Protokollanalysator 30 die Erkennung von Mustern, die einzelne Protokolle kennzeichnen. Die Zustandsanalyseeinrichtung 29, überwacht jeweils den Zustand der erkannten Protokolle. Beispielsweise kann die Zustandsanalyseeinrichtung 29 festhalten, dass sich ein bestimmtes Protokoll in der Phase des Verbindungsaufbaus, der aktiven Datenkommunikation oder des Verbindungsabbruchs oder dergleichen befindet.
-
Die Rohdatenverarbeitungseinrichtung 32 behandelt die unbearbeiteten Daten einer aktiven Datenkommunikation in der Art, dass Gruppen von ähnlichen Daten gebildet werden. Die Ähnlichkeit von Daten bzw. Datenströmen ist dabei üblicherweise nicht anschaulich offensichtlich sondern kann rechnerisch ermittelt sein.
-
Die Beschreibungseinrichtung 33 erzeugt für die Daten 9 jeweils Merkmale zur Beschreibung des Datenverkehrs, die der Angriffserkennungseinrichtungen 12-1 dabei helfen, die Daten 9 zu analysieren. Dabei kann die Beschreibung der Daten z. B. die von den anderen Elementen der Datenvorverarbeitungseinrichtung 20-2 bestimmten Informationen aufweisen. Die Beschreibung der Daten kann weiterhin eine zeitliche Abfolge von Werten aufweisen, die als Eingabe in Mustererkennungseinrichtungen wie z. B. Neuronalen Netzen dienen, welche z. B. in anomaliebasierten Angriffserkennungseinrichtungen genutzt werden können. In einer solchen Einrichtung werden die Daten aus Beispieldaten, z. B. Beispielen erfolgreicher Angriffe auf das Datennetzwerk, generalisiert und können damit klassifiziert werden.
-
5 zeigt ein Ablaufdiagramm eines Verfahrens, welches mit der erfindungsgemäßen Überwachungsvorrichtung ausgeführt werden kann.
-
Das Verfahren sieht in einem ersten Schritt S1 das Empfangen von Daten in einer Überwachungsvorrichtung vor, welche in einem Netzwerkteilnehmer angeordnet ist. Die Daten wurden dabei über eine medienunabhängige Schnittstelle oder eine physikalische Schnittstelle eines Netzwerkteilnehmers empfangen.
-
In einem zweiten Schritt S2 werden diese Daten in einem Datenspeicher gespeichert. Der dritte Schritt S3 sieht vor, dass die Daten an diejenige Schnittstelle des Netzwerkteilnehmers weitergeleitet werden, über welche sie nicht empfangen wurden.
-
In Schritt S4 werden die Daten auf das Vorhandensein von Anomalien analysiert. Wird festgestellt, dass die Daten Anomalien aufweisen, die z. B. auf einen Angriff auf das Datennetzwerk hinweisen, wird in der Verzweigung V zu Schritt S5 gesprungen, in welchem ein Warnsignal ausgegeben wird. Werden keine Anomalien festgestellt, wird von der Verzweigung V zurück zu Schritt S1 gesprungen.
-
Es versteht sich, dass zumindest die Schritte S3 und S4 parallel, also gleichzeitig ausgeführt werden können. Ferner können während der Analyse von Daten bereits neu eintreffende Daten gespeichert werden. Es können sich also gleichzeitig Daten in jedem der Verfahrensschritte befinden.
-
Obwohl die vorliegende Erfindung anhand bevorzugter Ausführungsbeispiele vorstehend beschrieben wurde, ist sie darauf nicht beschränkt, sondern auf vielfältige Art und Weise modifizierbar. Insbesondere lässt sich die Erfindung in mannigfaltiger Weise verändern oder modifizieren, ohne vom Kern der Erfindung abzuweichen.
-
Bezugszeichenliste
-
- 1-1 bis 1-3
- Überwachungsvorrichtung
- 2-1, 2-2
- Datennetzwerk
- 3-1, 3-2
- Netzwerkteilnehmer
- 4-1 bis 4-3
- medienunabhängige Schnittstelle
- 5-1 bis 5-3
- physikalische Schnittstelle
- 6-1 bis 6-4
- erste Kommunikationsschnittstelle
- 7-1 bis 7-4
- zweite Kommunikationsschnittstelle
- 8-1 bis 8-5
- Recheneinrichtung
- 9
- Daten
- 10
- Warnsignal
- 11-1, 11-2
- Datenspeicher
- 12-1 bis 12-4
- Angriffserkennungseinrichtung
- 13
- Konfigurationsdaten
- 17
- Übersetzungseinrichtung
- 18-1, 18-2
- Sensorschnittstelle
- 19-1, 19-2
- Messwert
- 20-1, 20-2
- Datenvorverarbeitungseinrichtung
- 21
- Datenübertragungsschnittstelle
- 22
- Analysedaten
- 24-1, 24-2
- Steuereinrichtung
- 25
- Sperreinrichtung
- 26-1
- Zeiger
- 27
- Konfigurationsschnittstelle
- 28
- Konfigurationseinrichtung
- 29
- Zustandsanalyseeinrichtung
- 30
- Protokollanalysator
- 31
- Rohdatenverarbeitungseinrichtung
- 32
- Beschreibungseinrichtung
- 33
- Mustererkennungseinrichtung