DE202015004439U1 - Überwachungsvorrichtung und Netzwerkteilnehmer - Google Patents

Überwachungsvorrichtung und Netzwerkteilnehmer Download PDF

Info

Publication number
DE202015004439U1
DE202015004439U1 DE202015004439.5U DE202015004439U DE202015004439U1 DE 202015004439 U1 DE202015004439 U1 DE 202015004439U1 DE 202015004439 U DE202015004439 U DE 202015004439U DE 202015004439 U1 DE202015004439 U1 DE 202015004439U1
Authority
DE
Germany
Prior art keywords
data
interface
monitoring device
network
attack detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202015004439.5U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Reslogica De GmbH
Original Assignee
EMBAS IND ELEKTRONIK & CO KG GmbH
EMBAS INDUSTRIE ELEKTRONIK & CO KG GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by EMBAS IND ELEKTRONIK & CO KG GmbH, EMBAS INDUSTRIE ELEKTRONIK & CO KG GmbH filed Critical EMBAS IND ELEKTRONIK & CO KG GmbH
Priority to DE202015004439.5U priority Critical patent/DE202015004439U1/de
Publication of DE202015004439U1 publication Critical patent/DE202015004439U1/de
Expired - Lifetime legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Abstract

Überwachungsvorrichtung (1-1 bis 1-4) für ein Datennetzwerk (2-1, 2-2) mit zumindest einem Netzwerkteilnehmer (3-1, 3-2), welcher eine medienunabhängige Schnittstelle (4-1 bis 4-3) und eine mit dieser gekoppelte physikalische Schnittstelle (5-1 bis 5-3) aufweist, mit einer ersten Kommunikationsschnittstelle (6-1 bis 6-4), welche mit der medienunabhängigen Schnittstelle (4-1 bis 4-3) in datenkommunikativer Verbindung gekoppelt ist, mit einer zweiten Kommunikationsschnittstelle (7-1 bis 7-4), welche mit der physikalischen Schnittstelle (5-1 bis 5-3) in datenkommunikativer Verbindung gekoppelt ist, und mit einer Recheneinrichtung (8-1 bis 8-5), welche zwischen der ersten Kommunikationsschnittstelle (6-1 bis 6-4) und der zweiten Kommunikationsschnittstelle (7-1 bis 7-4) angeordnet ist und ausgebildet ist, über die erste Kommunikationsschnittstelle (6-1 bis 6-4) und/oder die zweite Kommunikationsschnittstelle (7-1 bis 7-4) empfangene Daten (9) auf das Auftreten von Anomalien zu überwachen und ein Warnsignal (10) auszugeben, wenn eine Anomalie detektiert wird.

Description

  • Die vorliegende Erfindung bezieht sich auf eine Überwachungsvorrichtung für ein Datennetzwerk und einen entsprechenden Netzwerkteilnehmer.
  • Technisches Gebiet
  • Datennetzwerke werden heute in einer Vielzahl von Anwendungen eingesetzt. Üblicherweise werden herkömmliche Datennetzwerke in Computernetzwerken zum Datenaustausch zwischen unterschiedlichen Computern genutzt. In solchen Computernetzwerken werden aufwändige Systeme zum Erkennen von Angriffen eingesetzt, sog. Intrusion Detection Systeme oder IDS, die sehr leistungsfähige Hardware voraussetzten. Mit solchen Systemen wird versucht, Angriffe auf das jeweilige Computernetzwerk basierend auf einer Analyse des Netzwerkverkehrs zu erkennen oder gar zu verhindern.
  • Datennetzwerke werden heute aber auch in einer Vielzahl von weiteren Anwendungen, wie z. B. in Automatisierungssystemen, Fahrzeugnetzwerken, Gebäudemanagementsystemen oder dergleichen eingesetzt. Üblicherweise sind solche Netzwerke aus einer Vielzahl von eingebetteten Systemen aufgebaut. In solchen Netzwerken ist die Leistungsfähigkeit der Hardware daher begrenzt. Aus Platz- und Kostengründen sind die eingebetteten Systeme üblicherweise stark optimiert und an eine bestimmte Aufgabe angepasst. Sie bieten daher wenig Spielraum für den Einbau zusätzlicher Sicherheitsmechanismen.
  • Offenbarung der Erfindung
  • Es ist daher eine Aufgabe der vorliegenden Erfindung eine verbesserte Erkennung von Angriffen auf Datennetzwerke mit eingebetteten Systemen bereitzustellen.
  • Demgemäß offenbart die vorliegende Erfindung eine Überwachungsvorrichtung mit den Merkmalen des Anspruchs 1 und einen Netzwerkteilnehmer mit den Merkmalen des Anspruchs 10.
  • Demgemäß ist vorgesehen:
    Eine Überwachungsvorrichtung für ein Datennetzwerk mit zumindest einem Teilnehmer, welcher eine medienunabhängige Schnittstelle und eine mit dieser gekoppelte physikalische Schnittstelle aufweist. Die Überwachungsvorrichtung weist eine erste Kommunikationsschnittstelle, welche mit der medienunabhängigen Schnittstelle in datenkommunikativer Verbindung gekoppelt ist, und eine zweite Kommunikationsschnittstelle, welche mit der physikalischen Schnittstelle in datenkommunikativer Verbindung gekoppelt ist, auf. Ferner weist die Überwachungsvorrichtung eine Recheneinrichtung auf, welche zwischen der ersten Kommunikationsschnittstelle und der zweiten Kommunikationsschnittstelle angeordnet ist und ausgebildet ist, über die erste Kommunikationsschnittstelle und/oder die zweite Kommunikationsschnittstelle empfangene Daten auf das Auftreten von Anomalien zu überwachen und ein Warnsignal auszugeben, wenn eine Anomalie detektiert wird. Unter einer Anomalie ist dabei jede Art von Datenverkehr zu verstehen, der von einem erwarteten bzw. normalen Datenverkehr in dem jeweiligen Datennetzwerk abweicht. Die Überwachung des Auftretens von Anomalien ist dabei nicht zu verwechseln mit der anomaliebasierten Angriffserkennung in Datennetzwerken.
  • Ferner ist vorgesehen:
    Ein Netzwerkteilnehmer mit einer medienunabhängigen Schnittstelle, mit einer physikalischen Schnittstelle, und mit einer erfindungsgemäßen Überwachungsvorrichtung, welche zwischen der medienunabhängigen Schnittstelle und der physikalischen Schnittstelle angeordnet ist.
  • Darstellung der Erfindung
  • Die vorliegende Erfindung basiert auf der Erkenntnis, dass es nicht möglich ist, in Datennetzwerken für eingebettete Systeme aufwändige herkömmliche Intrusion Detection Systeme zu installieren.
  • Die vorliegende Erfindung sieht daher eine Überwachungsvorrichtung vor, die in jedem beliebigen Teilnehmer des Datennetzwerks angeordnet werden kann, der über eine physikalische Schnittstelle, auch PHY, und eine mit dieser gekoppelten medienunabhängige Schnittstelle, auch MAC, verfügt. Beispielsweise kann der Teilnehmer, in welchem die Überwachungsvorrichtung angeordnet wird, ein Steuergerät für ein Werkzeug in einer Produktionsanlage sein, welches eine Ethernetschnittstelle aufweist. Die Überwachungsvorrichtung ist dann zwischen dem PHY-Baustein der Ethernetschnittstelle und dem MAC-Baustein der Ethernetschnittstelle angeordnet. Dabei besteht zwischen PHY-Baustein und MAC-Baustein lediglich die indirekte Verbindung über die Überwachungsvorrichtung.
  • Da die Überwachungsvorrichtung folglich keine eigene Netzwerkadresse besitzt, kann sie die Kommunikation in dem Datennetzwerk überwachen, ohne dass dies für die Teilnehmer des Datennetzwerks ersichtlich wird. Die Überwachungsvorrichtung kann von einem potentiellen Angreifer also nicht erkannt bzw. identifiziert werden. Damit ist es für einen solchen Angreifer auch nicht möglich die Überwachungsvorrichtung direkt anzugreifen.
  • Da die Schnittstelle zwischen der physikalischen Schnittstelle und der medienunabhängigen Schnittstelle üblicherweise eine Standardschnittstelle, wie z. B. eine MII oder eine GMII Schnittstelle oder dergleichen ist, kann die Überwachungsvorrichtung ohne Hardwareanpassungen für eine Vielzahl von unterschiedlichen Netzwerkprotokollen, wie z. B. Ethernet, EtherCat, Profinet, Sercos, AVB oder anderen Serviceprotokollen, eingesetzt werden.
  • Die Überwachungsvorrichtung kann z. B. als ASIC, FPGA, XMOS Baustein oder dergleichen ausgebildet sein. Dies ermöglicht eine einfache Integration in eingebettete Systeme, wie z. B. Steuergeräte in Feldbussystemen. Ferner können damit die Leistungsaufnahme, die Größe und die Kosten der Überwachungsvorrichtung gering gehalten werden.
  • Der Netzwerkteilnehmer kann jeder beliebige Netzwerkteilnehmer in dem Datennetzwerk sein. Beispielsweise kann ein solcher Netzwerkteilnehmer eine Steuereinrichtung eines Aktors sein, welche über das Datennetzwerk Steuerbefehle erhält. In solch einem Netzwerkteilnehmer kann die Überwachungsvorrichtung zwischen dem Controller der Steuereinrichtung und dem PHY-Baustein des Netzwerkteilnehmers angeordnet werden und die Kommunikation zwischen dem Datennetzwerk und dem Netzwerkteilnehmer überwachen. Wird in jedem der Netzwerkteilnehmer in dem Datennetzwerk eine erfindungsgemäße Überwachungsvorrichtung eingesetzt, kann jede der Überwachungsvorrichtungen den Datenverkehr zu dem jeweiligen Netzwerkteilnehmer überwachen. Es ist aber auch möglich, dass eine Überwachungsvorrichtung den Datenverkehr des gesamten Netzwerks überwacht. Dazu ist es lediglich notwendig, dass der gesamte Datenverkehr auch zu dem Netzwerkteilnehmer geleitet wird, in welchem die Überwachungsvorrichtung angeordnet ist. Diejenigen Daten, welche nicht für den Netzwerkteilnehmer bestimmt sind, kann dieser dann verwerfen.
  • Die Überwachungsvorrichtung kann aber auch in einem Netzwerkteilnehmer eingesetzt werden, der keine Steueraufgabe wahrnimmt. Eine Steuereinrichtung kann in solch einem Netzwerkteilnehmer z. B. lediglich dazu dienen, über eine Schnittstelle eintreffende Datenpakete unverändert über eine weitere Schnittstelle auszugeben. Ein solcher Netzwerkteilnehmer kann folglich als autarker bzw. eigenständiger Sicherheitssensor in dem Datennetzwerk dienen, der lediglich die Sicherheit des jeweiligen Datennetzwerks überwacht.
  • Vorteilhafte Ausführungsformen und Weiterbildungen ergeben sich aus den Unteransprüchen sowie aus der Beschreibung unter Bezugnahme auf die Figuren.
  • In einer Ausführungsform kann die Recheneinrichtung einen Datenspeicher, insbesondere mit einer Mehrzahl von Datenausgängen, zum Speichern der empfangenen Daten aufweisen. Ferner kann die Recheneinrichtung dazu ausgebildet sein, in dem Speicher gespeicherte Daten an diejenige Kommunikationsschnittstelle auszugeben, an welcher die jeweils gespeicherten Daten nicht empfangen wurden. Bei dem Datenspeicher kann es sich insbesondere um einen sog. „multiport memory” handeln. D. h. der Datenspeicher hat einen Dateneingang, über welchen Daten in den Speicher geschrieben werden können, und mehrere Datenausgänge, über welche gleichzeitig Daten aus dem Speicher gelesen werden können. Dadurch wird das Erfassen und Speichern der Daten für die spätere Verarbeitung ermöglicht, während gleichzeitig eine schnelle Weiterleitung der Daten an den jeweiligen Empfänger möglich ist. Dies minimiert die Verzögerung der einzelnen Datenpakete in dem Datennetzwerk bei der Datenübertragung.
  • In einer Ausführungsform kann die Recheneinrichtung eine Angriffserkennungseinrichtung aufweisen, die dazu ausgebildet ist, basierend auf den gespeicherten Daten zu erkennen, ob ein Angriff auf das Datennetzwerk durchgeführt wird. Die Angriffserkennungseinrichtung, auch Intrusion Detection System oder IDS genannt, kann dazu den Datenverkehr in dem Netzwerk analysieren. Durch das Speichern der Daten wird eine Betrachtung der Historie des Datenverkehrs möglich und es können z. B. bestimmte Angriffsmuster in den gespeicherten Daten gesucht oder identifiziert werden. Die Angriffserkennungseinrichtung kann dazu eine regelbasierte Angriffserkennungseinrichtung, eine anomaliebasierte Angriffserkennungseinrichtung oder eine Kombination davon aufweisen.
  • Die regelbasierte Angriffserkennungseinrichtung weist dazu einen Satz von Regeln, Mustern oder Signaturen auf, die an das entsprechende Netzwerkprotokoll angepasst sind und spezifische Angriffsmuster beschreiben. Die anomaliebasierte Angriffserkennungseinrichtung untersucht z. B. anhand vorgegebener statistischer Werte für den Datenverkehr in dem Datennetzwerk die eintreffenden Daten auf mögliche Angriffsversuche.
  • In einer Ausführungsform ist die Recheneinrichtung dazu ausgebildet, in den empfangenen Daten Konfigurationsdatenpakete zu erkennen und aus den Konfigurationsdatenpaketen Konfigurationsdaten zu extrahieren. Die Konfigurationsdatenpakete können dabei in den normalen Datenverkehr des Datennetzwerks integriert werden. Beispielsweise können diese an den Teilnehmer adressiert sein, in welchem die Überwachungsvorrichtung angeordnet ist. Sowohl der Teilnehmer als auch die Überwachungsvorrichtung, und im Idealfall nur diese, kennen eine vorgegebene Kennzeichnung der Konfigurationsdatenpakete. Für andere Teilnehmer des Netzwerks sehen diese folglich aus, wie normale Datenpakete, deren Inhalt für den entsprechenden Teilnehmer bestimmt ist. Die Kennzeichnung kann z. B. ein vorgegebener Inhalt eines Datenpakets oder dergleichen sein. In diesem ersten gekennzeichneten Datenpaket kann z. B. auch angegeben werden, wie viele der folgenden Datenpakete Konfigurationsdaten enthalten.
  • Die Konfigurationsdatenpakete können ferner kryptographisch gesichert sein. Beispielsweise können die Inhalte der Konfigurationsdatenpakete verschlüsselt oder mit Signaturen, Hashwerten oder dergleichen gesichert sein. Die Überwachungsvorrichtung kann auf diese Weise sicherstellen, dass die Konfigurationsdatenpakete nicht verfälscht wurden.
  • Stellt die Überwachungsvorrichtung fest, dass ein Konfigurationsdatenpaket dennoch manipuliert wurde, kann sie das Konfigurationsdatenpaket verwerfen. Zusätzlich kann die Überwachungsvorrichtung ein Alarmsignal ausgeben, wenn sie manipulierte Konfigurationsdatenpakete erkennt.
  • In einer Ausführungsform können die Konfigurationsdatenpakete Konfigurationsdaten für die Angriffserkennungseinrichtung aufweisen und die Recheneinrichtung kann ausgebildet sein, die Angriffserkennungseinrichtung basierend auf den entsprechenden Konfigurationsdaten zu konfigurieren. Die Konfigurationsdaten können z. B. neue Muster oder Signaturen für eine regelbasierte Angriffserkennungseinrichtung oder Konfigurationsdaten, wie z. B. Heuristiken, für eine anomaliebasierte Angriffserkennungseinrichtung sein.
  • Die Konfigurationsdaten können zusätzlich oder alternativ auch allgemeine Konfigurationsdaten für die Überwachungsvorrichtung aufweisen. Beispielsweise können die Konfigurationsdaten Informationen über das in dem Datennetzwerk verwendete Übertragungsprotokoll, über die von dem Netzwerkteilnehmer ausgeführte Aufgabe, z. B. einen von dem Netzwerkteilnehmer angesteuerten Aktor und dessen Bewegungsmöglichkeiten, und dergleichen sein.
  • In einer Ausführungsform kann die Angriffserkennungseinrichtung eine regelbasierte Angriffserkennungseinrichtung und eine Übersetzungseinrichtung aufweisen. Die Übersetzungseinrichtung kann ausgebildet sein, Regeln für die regelbasierte Angriffserkennungseinrichtung in einen durch die Recheneinrichtung ausführbaren Programmcode oder einen Zwischencode zu übersetzen, welcher durch die regelbasierte Angriffserkennungseinrichtung interpretierbar ist. Durch das Übersetzen der Regeln in Programmcode bzw. Zwischencode wird eine sehr effiziente und schnelle Abarbeitung der einzelnen Regeln mit geringem Ressourcenaufwand möglich.
  • In einer Ausführungsform weist die Überwachungsvorrichtung eine Sensorschnittstelle auf. Die Recheneinrichtung kann ferner ausgebildet sein, aus den empfangenen Daten einen Messwert für die Sicherheit des Datennetzwerks zu berechnen und über die Sensorschnittstelle auszugeben. Der Messwert kann z. B. ein binärer Wert sein, der einen sicheren und einen unsicheren Zustand des Datennetzwerks kennzeichnet. Der Messwert kann aber auch ein diskreter Wert oder eine reeller Wert sein, der einen vorgegebenen Wertebereich aufweist. Beispielsweise kann der maximale Wert kennzeichnen, dass ein Angriff auf das Datennetzwerk stattfindet und der minimale Wert kann kennzeichnen, dass keinerlei Anomalie in dem Datennetzwerk erkannt wurde. Werte zwischen dem maximalen und dem minimalen Wert kennzeichnen Gefährdungsstufen. Beispielsweise können in den empfangenen Daten Hinweise auf einen potentiellen Angriff auf das Datennetzwerk vorhanden sein, die aber noch nicht ausreichen, einen Angriff mit absoluter Sicherheit festzustellen. Je nach Stärke der Hinweise kann sich der Messwert daher dem maximalen Wert annähern.
  • Die Sensorschnittstelle kann als jede Art von Schnittstelle ausgebildet sein, die es der Recheneinrichtung ermöglicht, den Messwert z. B. an eine übergeordnete Steuerung oder einen Teilnehmer des Datennetzwerks auszugeben. Beispielsweise kann die Sensorschnittstelle eine analoge Schnittstelle oder eine digitale Schnittstelle, insbesondere eine serielle Schnittstelle, sein.
  • In einer Ausführungsform kann die Überwachungsvorrichtung eine Datenvorverarbeitungseinrichtung aufweisen, welche die empfangenden Daten vor der Analyse durch die Angriffserkennungseinrichtung auf das Auftreten von Anomalien verarbeiten kann. Die Datenvorverarbeitungseinrichtung kann dazu ausgebildet sein, den Zustand eines in dem Datennetzwerk verwendeten Datenübertragungsprotokolls und dessen Historie zu überwachen. Ferner kann die Datenvorverarbeitungseinrichtung z. B. anhand vordefinierter Protokollmuster ein verwendetes Protokoll erkennen und entsprechende Regeln für die Verarbeitung der empfangenen Daten auswählen. Die Datenvorverarbeitungseinrichtung kann auch Beschreibungen der einzelnen Datenpakete bzw. der Inhalte der Datenpakete erstellen. Die Beschreibung der Datenpakete kann z. B. deren Größe, einen Zeitstempel für das jeweilige Datenpaket oder dergleichen aufweisen. Die Beschreibung der Datenpakete kann aber auch eine funktionale Beschreibung der Inhalte der Datenpakete aufweisen. Also z. B. eine durch einen Stellbefehl hervorgerufenen Reaktion. Diese kann dann z. B. mit vorgegebenen Grenzwerten abgeglichen werden. Ferner kann z. B. auch basierend auf der Historie der gespeicherten Daten überprüft werden, ob ein empfangener Stellbefehl in der momentanen Situation erlaubt ist oder nicht. Wird durch das Datenpaket beispielsweise ein Stellbefehl für einen Motor übermittelt, kann die Datenvorverarbeitungseinrichtung beispielsweise die daraus resultierende Bewegung des Motors berechnen und der nachgelagerten Angriffserkennungseinrichtung bereitstellen. Diese kann dann bestimmen, ob sich die Bewegung des Motors z. B. innerhalb vorgegebener Grenzen befindet.
  • In einer Ausführungsform kann die Überwachungsvorrichtung eine Datenübertragungsschnittstelle in der Recheneinrichtung aufweisen, welche ausgebildet ist, die empfangenen Daten an weitere Recheneinrichtungen zu übermitteln und Analysedaten von diesen zu empfangen. Die Analysedaten beschreiben dabei die Ergebnisse der Analyse der empfangenen Daten, welche in den weiteren Überwachungsvorrichtungen berechnet wurden. Die Arbeit der Datenanalyse kann so auf eine Mehrzahl von Überwachungsvorrichtungen verteilt werden. Je nach Anwendungsfall kann jede der Überwachungsvorrichtungen bestimmte Überwachungsaufgaben übernehmen. Beispielsweise kann eine der Überwachungsvorrichtungen eine anomaliebasierte Angriffserkennungseinrichtung aufweisen, während eine weitere Überwachungsvorrichtung eine regelbasierte Angriffserkennungseinrichtung aufweisen kann. Die Ergebnisse der unterschiedlichen Angriffserkennungseinrichtungen können daraufhin in einer der Überwachungsvorrichtungen zusammengefasst und ausgewertet werden.
  • In einer Ausführungsform sind in der Recheneinrichtung die regelbasierte Angriffserkennungseinrichtung und/oder die anomaliebasierte Angriffserkennungseinrichtung und/oder der Datenspeicher und/oder die Übersetzungseinrichtung und/oder die Datenvorverarbeitungseinrichtung und weitere Komponenten der Überwachungsvorrichtung als unabhängige parallel arbeitende Komponenten ausgebildet. Dabei kann jede der Komponenten eine eigene Ablaufsteuerung aufweisen.
  • Die obigen Ausgestaltungen und Weiterbildungen lassen sich, sofern sinnvoll, beliebig miteinander kombinieren. Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmalen der Erfindung. Insbesondere wird dabei der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der vorliegenden Erfindung hinzufügen.
  • Kurze Beschreibung der Zeichnungen
  • Die vorliegende Erfindung wird nachfolgend anhand der in den schematischen Figuren der Zeichnungen angegebenen Ausführungsbeispiele näher erläutert. Es zeigen dabei:
  • 1 ein Blockschaltbild einer Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung;
  • 2 ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung;
  • 3 ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung;
  • 4 ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung; und
  • 5 ein Ablaufdiagramm eines Verfahrens, welches mit der erfindungsgemäßen Überwachungsvorrichtung ausgeführt werden kann.
  • In allen Figuren sind gleiche bzw. funktionsgleiche Elemente und Vorrichtungen – sofern nichts Anderes angegeben ist – mit denselben Bezugszeichen versehen worden.
  • Ausführungsformen der Erfindung
  • 1 zeigt ein Blockschaltbild einer Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung 1-1, die in einem Netzwerkteilnehmer 3-1 des Netzwerks 2-1 angeordnet ist.
  • Der Netzwerkteilnehmer 3-1 weist eine Steuereinrichtung 24-1 auf, die eine medienunabhängige Schnittstelle 4-1 zur Datenkommunikation aufweist. Die Steuereinrichtung 24-1 kann über die medienunabhängige Schnittstelle 4-1 z. B. Steuerdaten für einen von der Steuereinrichtung 24-1 angesteuerten Aktor empfangen und Mess- oder Statuswerte über die medienunabhängige Schnittstelle 4-1 ausgeben.
  • Der Netzwerkteilnehmer 3-1 weist ferner eine physikalische Schnittstelle 5-1 auf, die direkt mit dem Netzwerk 2-1 gekoppelt ist. Allerdings ist bei dem Netzwerkteilnehmer 3-1 im Gegensatz zu üblichen Netzwerkteilnehmern, die physikalische Schnittstelle nicht direkt mit der medienunabhängigen Schnittstelle gekoppelt. Vielmehr ist zwischen der medienunabhängigen Schnittstelle 4-1 und der physikalischen Schnittstelle 5-1 die Überwachungsvorrichtung 1-1 angeordnet.
  • Die Überwachungsvorrichtung 1-1 weist eine erste Kommunikationsschnittstelle 6-1 auf, die mit der medienunabhängigen Schnittstelle 4-1 gekoppelt ist. Eine zweite Kommunikationsschnittstelle 7-1 der Überwachungsvorrichtung 1-1 ist mit der physikalischen Schnittstelle 5-1 gekoppelt. In der Überwachungsvorrichtung 1-1 ist die Recheneinrichtung 8-1 mit der ersten Kommunikationsschnittstelle 6-1 und der zweiten Kommunikationsschnittstelle 7-1 gekoppelt.
  • Die Recheneinrichtung 8-1 leitet Daten 9, welche sie über eine der Kommunikationsschnittstellen 6-1, 7-1 empfängt an die jeweils andere Kommunikationsschnittstelle 6-1, 7-1 weiter. Daten 9, welche sie über die erste Kommunikationsschnittstelle 6-1 empfängt, werden folglich über die zweite Kommunikationsschnittstelle 7-1 ausgebeben und umgekehrt.
  • Die medienunabhängige Schnittstelle 4-1 und die physikalische Schnittstelle 5-1 kommunizieren über das sog. MII-Protokoll, Media Independent Interface. Folglich sind die erste und die zweite Kommunikationsschnittstelle 6-1, 7-1 ebenfalls kompatibel zu dem MII-Protokoll. Das MII-Protokoll wird dabei in 1 lediglich beispielhaft als eines unter vielen Möglichen Protokollen genutzt. Weitere mögliche Protokolle sind z. B. das GMII-Protokoll, das RMII-Protokoll oder andere Protokolle zur Kommunikation zwischen medienunabhängigen Schnittstellen und die physikalischen Schnittstellen.
  • Durch die Anordnung der Überwachungsvorrichtung 1-1 zwischen der medienunabhängigen Schnittstelle 4-1 und der physikalischen Schnittstelle 5-1 kann die Überwachungsvorrichtung 1-1 die Daten 9 unabhängig von dem verwendeten Übertragungsmechanismus des Datennetzwerks 2-1 empfangen. Es ist also egal, ob das Datennetzwerk 2-1 ein kabelgebundenes Datennetzwerk 2-1, ein optisches Datennetzwerk 2-1 oder ein drahtloses Datennetzwerk 2-1 ist.
  • Die Recheneinrichtung 8-1 analysiert die empfangenen Daten 9 und überwacht bzw. untersucht diese auf das Auftreten von Anomalien. Unter Anomalien sind hierbei alle Abweichungen von dem üblicherweise in dem Datennetzwerk 2-1 erwarteten Datenverkehr zu verstehen, die z. B. auf einen Angriff auf das Datennetzwerk 2-1 oder den Netzwerkteilnehmer 3-1 hindeuten können. Üblicherweise ist der relevante Datenstrom dabei der Datenstrom von dem Datennetzwerk 2-1 zu der Steuereinrichtung 24-1 hin. Die Überwachungsvorrichtung 1-1 kann also insbesondere Angriffe auf die Steuereinrichtung 24-1 bzw. Datenpakete, welche an die Steuereinrichtung 24-1 gerichtet sind, analysieren.
  • Die Recheneinrichtung 8-1 kann aber auch die von der Steuereinrichtung 24-1 ausgegebenen Daten 9 auf das Auftreten von Anomalien hin analysieren. Beispielsweise könnte auf die Steuereinrichtung 24-1 bei einem Softwareupdate eine kompromittierte Steuersoftware aufgespielt worden sein und Angriffe auf das Datennetzwerk 2-1 von der Steuereinrichtung 24-1 ausgehen. Die Überwachungsvorrichtung 1-1 könnte eine solche kompromittierte Steuersoftware nicht erkennen, da der eigentliche Vorgang der Softwareaktualisierung über das Datennetzwerk 2-1 ein normaler Vorgang in dem Datennetzwerk 2-1 wäre. Durch die Analyse der Daten 9, welche von der Steuereinrichtung 24-1 an das Datennetzwerk 2-1 gesendet werden, könnte die Überwachungsvorrichtung 1-1 einen solchen Angriff dennoch erkennen.
  • Da die Überwachungseinrichtung 1-1 bzw. die Recheneinrichtung 8-1 direkt die Datenkommunikation der Steuereinrichtung 24-1 erfassen kann, benötigt diese keine eigene Netzwerkadresse in dem Datennetzwerk 2-1 und kann daher auch nicht direkt angegriffen werden. Ein Abschalten oder gezieltes Blockieren der Überwachungsvorrichtung 1-1 durch einen Angreifer ist also nicht möglich.
  • Erkennt die Recheneinrichtung 8-1 Anomalien in den Daten 9, die auf einen Angriff auf das Datennetzwerk 2-1 hindeuten, kann die Recheneinrichtung 8-1 ein Warnsignal 10 ausgeben. In 1 ist dargestellt, dass das Warnsignal 10 an die Steuereinrichtung 24-1 ausgegeben wird. Selbstverständlich kann das Warnsignal 10 auch an eine übergeordnete Instanz in dem Datennetzwerk 2-1 übertragen werden.
  • Die Überwachungsvorrichtung 1-1 der 1 ist als einzelner integrierter Baustein der XMOS-Technologie ausgebildet. Dieser integrierte Baustein kann sehr einfach bei der Herstellung des Netzwerkteilnehmers 3-1 z. B. auf einer Platine des Netzwerkteilnehmers 3-1 aufgebracht und mit den weiteren Bausteinen des Netzwerkteilnehmers 3-1 verbunden werden. In weiteren Ausführungsformen kann die Überwachungsvorrichtung 1-1 aber auch in einem FPGA, CPLD oder Mikrocontroller implementiert sein.
  • Dadurch, dass die Überwachungsvorrichtung 1-1 als einzelner integrierter Baustein, auch IC bzw. Chip genannt, ausgebildet ist, weist diese einen sehr geringen Leistungsbedarf im Vergleich zu herkömmlichen IDS auf. Die geringe Leistungsaufnahme und die geringe Baugröße eines integrierten Bausteins ermöglichen eine sehr einfache Integration der Überwachungsvorrichtung 1-1 in eingebettete Systeme.
  • 2 zeigt ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung 1-2, welche in einem Netzwerkteilnehmer 3-2 angeordnet ist.
  • Der Netzwerkteilnehmer 3-2 basiert auf dem Netzwerkteilnehmer 3-1 der 1 und unterscheidet sich von diesem dahingehend, dass die Steuereinrichtung 24-2 eine zweite medienunabhängige Schnittstelle 4-3 aufweist und der Netzwerkteilnehmer 3-1 eine zweite mit dieser gekoppelte physikalische Schnittstelle 5-3 aufweist. Die Überwachungsvorrichtung 1-2 ist analog zu 1 zwischen der ersten medienunabhängigen Schnittstelle 4-2 und der ersten physikalischen Schnittstelle 5-2 angeordnet.
  • Der Netzwerkteilnehmer 3-2 weist folglich zwei Schnittstellen zu dem Datennetzwerk 2-2 auf und kann die Daten 9, welche über das Datennetzwerk 2-2 übertragen werden, zwischen den physikalischen Schnittstellen 5-2 und 5-3 weiterleiten. Die Steuereinrichtung 24-2 benötigt für die reine Weiterleitung der Daten 9 keine große Rechenleistung und kann dementsprechend mit sehr wenigen Ressourcen ausgestattet sein. Insbesondere kann die Steuereinrichtung 24-2 in einer Ausführungsform auch in die Überwachungsvorrichtung 1-2 integriert sein. Die Überwachungsvorrichtung 1-2 selbst kann also direkt mit ersten und der zweiten physikalischen Schnittstelle 5-2, 5-3 gekoppelt sein und die Daten 9 weiterleiten.
  • Die Überwachungsvorrichtung 1-2 der 2 basiert auf der Überwachungsvorrichtung 1-1 der 1 und unterscheidet sich von dieser dahingehend, dass eine Sensorschnittstelle 18-1 vorgesehen ist, über welche die Recheneinrichtung 8-2 einen Messwert 19-1 oder alternativ das Warnsignal 10 ausgeben kann.
  • Die Recheneinrichtung 8-2 weist ferner eine Datenübertragungsschnittstelle 21 auf, über welche die Recheneinrichtung 8-2 mit weiteren Recheneinrichtungen 8-3, 8-4 gekoppelt werden kann. Die Recheneinrichtungen 8-3 und 8-4 sind lediglich beispielhaft dargestellt und die Anzahl der miteinander gekoppelten Recheneinrichtungen kann je nach Anwendungsfall variieren. Beispielsweise können je nach Datenaufkommen in dem Datennetzwerk 2-2 mehr oder weniger Recheneinrichtungen in der Überwachungsvorrichtung 8-2 eingesetzt werden.
  • Die Recheneinrichtung 8-2 kann z. B. eine Vorverarbeitung aller empfangenen Daten 9 durchführen und die derart aufbereiteten Daten 9 an die Recheneinrichtungen 8-3 und 8-4 weiterleiten. Die Recheneinrichtung 8-3 kann z. B. eine regelbasierte Angriffserkennung durchführen, während die Recheneinrichtung 8-4 z. B. eine anomaliebasierte Angriffserkennung durchführen kann. Die Recheneinrichtungen 8-3 und 8-4 können dann die Analysedaten 22 mit den Ergebnissen der jeweiligen Analyse der Recheneinrichtung 8-2 bereitstellen.
  • In 2 wurden die Sensorschnittstelle 18-1 und die Datenübertragungsschnittstelle 21 lediglich beispielhaft gemeinsam in einem Ausführungsbeispiel dargestellt. Es versteht sich, dass diese auch jeweils einzeln in einer erfindungsgemäßen Überwachungsvorrichtung eingesetzt werden können.
  • Die Überwachungsvorrichtung 1-3 der 3 weist eine erste Kommunikationsschnittstelle 6-3 und eine zweite Kommunikationsschnittstelle 7-3 auf, welche jeweils mit einem Datenspeicher 11-1 gekoppelt sind, der als ein oben bereits erwähnter „multiport memory” ausgebildet ist. Die Recheneinrichtung 8-5 kann also gleichzeitig die gespeicherten Daten 9 wieder ausgeben und eine Verarbeitung der gespeicherten Daten 9 durchführen. Gemeinsam mit dem Datenspeicher 11-1 ist in der Recheneinrichtung 8-5 ein Zeiger 26-1 angeordnet, der diejenige Adresse im Datenspeicher 11-1 kennzeichnet, an welcher das jeweils nächste eintreffende Datenpaket gespeichert werden soll.
  • Der Datenspeicher 11-1 ist ferner mit einer Datenvorverarbeitungseinrichtung 20-1 gekoppelt, die die in dem Datenspeicher 11-1 gespeicherten Daten 9 verarbeitet, bevor diese der Angriffserkennungseinrichtung 12-1 bereitgestellt werden.
  • Die Datenvorverarbeitungseinrichtung 20-1 ist in der Lage, die eintreffenden Daten 9 zu analysieren und z. B. festzustellen, ob es sich bei den eintreffenden Daten 9 um Konfigurationsdaten 13 für die Überwachungsvorrichtung 8-5 handelt.
  • Dazu können die Daten 9 entsprechend markiert sein. Beispielsweise können die Daten 9 einen vorgegebenen Stellbefehl für eine Steuereinrichtung eines Netzwerkteilnehmers aufweisen, in dem die Recheneinrichtung 8-5 angeordnet ist. Der Steuereinrichtung ist dabei bekannt, dass dieser Stellbefehl lediglich die Markierung der Konfigurationsdaten 13 darstellt. Folglich ignoriert die Steuereinrichtung diesen Stellbefehl und eine entsprechende Menge darauf folgender Daten 9. In einer Ausführungsform kann die Überwachungsvorrichtung 1-3 das Paket mit den Konfigurationsdaten 13 von der Weitergabe an den Netzwerkteilnehmer ausschließen, also blockieren. Die Konfigurationsdaten 13 gelangen also nicht zu dem Netzwerkteilnehmer und dieser muss diese auch nicht erkennen. Die Datenvorverarbeitungseinrichtung 20-1 dagegen extrahiert aus den Daten 9 die Konfigurationsdaten 13 und leitet diese an eine Konfigurationsschnittstelle 27 der Recheneinrichtung 8-5 weiter.
  • Die Konfigurationsdaten 13 können dabei ferner kryptographisch gesichert bzw. verschlüsselt werden. Beispielsweise können die Konfigurationsdaten 13 basierend auf einem vorgegebenen Schlüssel mit einem symmetrischen Verschlüsselungsverfahren verschlüsselt werden. Selbstverständlich kann aber auch ein asymmetrisches Verschlüsselungsverfahren genutzt werden. Die Konfigurationsdaten 13 können auch mit einer digitalen Signatur versehen sein, über welche sich die Authentizität der Konfigurationsdaten 13 sicherstellen lässt.
  • Weitere Funktionalitäten der Datenvorverarbeitungseinrichtung 20-1 werden in Verbindung mit 4 im Detail erläutert.
  • Die Datenvorverarbeitungseinrichtung 20-1 ist ferner mit der Angriffserkennungseinrichtung 12-1 gekoppelt, welche eine protokollspezifische regelbasierte Angriffserkennungseinrichtung 12-2, eine anomaliespezifische regelbasierte Angriffserkennungseinrichtung 12-3 sowie eine anomaliebasierte Angriffserkennungseinrichtung 12-4 aufweist. Jede der genannten Angriffserkennungseinrichtungen 12-2, 12-3 und 12-4 sind dabei als parallel ablaufende Komponenten bzw. Einheiten ausgebildet. D. h. die vorverarbeiteten Daten 9 werden parallel in jeder der Angriffserkennungseinrichtungen 12-3, 12-3 und 12-4 gleichzeitig verarbeitet und auf Hinweise untersucht, die auf einen Angriff auf das entsprechende Datennetzwerk bzw. den jeweilige Netzwerkteilnehmer hinweisen.
  • Die Angriffserkennungseinrichtung 12-1 verarbeitet die Informationen der Angriffserkennungseinrichtungen 12-2, 12-3 und 12-4 und leitet über die Sensorschnittstelle 18-2 einen entsprechenden Messwert 19-2 an eine übergeordnete Instanz in dem jeweiligen Datennetzwerk weiter. Diese übergeordnete Instanz kann z. B. eine zentrale Steuerung des jeweiligen Datennetzwerks oder der Netzwerkteilnehmer selbst sein.
  • Die Angriffserkennungseinrichtung 12-1 kann in einer Ausführungsform ferner eine Sperreinrichtung 25 ansteuern, die dazu ausgebildet ist, das Weiterleiten von Daten durch die Kommunikationsschnittstellen 6-3 und 7-3 zu unterbinden. Auf diese Art und Weise kann verhindert werden, dass schädliche Daten 9 ihr Ziel erreichen, wenn die Angriffserkennungseinrichtung 12-1 einen Angriff auf das entsprechende Datennetzwerk festgestellt hat.
  • Die oben bereits erwähnte Konfigurationsschnittstelle 27 interpretiert und verteilt die Konfigurationsdaten 13, welche von der Datenvorverarbeitungseinrichtung 20-1 geliefert werden. Sind die Daten für die regelbasierten Angriffserkennungseinrichtungen 12-2, 12-3 bestimmt, werden diese einer Übersetzungseinrichtung 17 bereitgestellt. Diese übersetzt die Regeln für die regelbasierten Angriffserkennungseinrichtungen 12-2, 12-3 in einen Zwischencode, auch Bytecode genannt, der von den regelbasierten Angriffserkennungseinrichtungen 12-2, 12-3 effizient abgearbeitet und auf die Daten 9 angewendet werden kann. Sind die Konfigurationsdaten 13 für die anomaliebasierte Angriffserkennungseinrichtung 12-4 bestimmt, werden diese einer Konfigurationseinrichtung 28 bereitgestellt, welche die Konfigurationsdaten aufbereitet, sodass die anomaliebasierte Angriffserkennungseinrichtung 12-4 diese aufnehmen bzw. verarbeiten kann.
  • 4 zeigt ein Blockschaltbild einer weiteren Ausführungsform einer erfindungsgemäßen Überwachungsvorrichtung 1-4.
  • Die Überwachungsvorrichtung 1-4 weist eine erste und eine zweite Kommunikationsschnittstelle 6-4, 7-4 auf, die mit einem Datenspeicher 11-2 gekoppelt sind. Der Datenspeicher 11-2 ist mit der Datenvorverarbeitungseinrichtung 20-2 gekoppelt.
  • Die Datenvorverarbeitungseinrichtung 20-2 weist parallel arbeitende Elemente auf. Diese bestehen aus einer Zustandsanalyseeinrichtung 29, einem Protokollanalysator 30, einer Mustererkennungseinrichtung 31, einer Rohdatenverarbeitungseinrichtung 32 und einer Beschreibungseinrichtung 33.
  • Der Protokollanalysator 30 untersucht die Daten 9 und identifiziert Protokolle, welchen die Daten entsprechen. Dabei identifiziert der Protokollanalysator 30 nicht nur das dem jeweiligen Datennetzwerk zugrundliegende Protokoll, z. B. EtherCat, Profinet, Sercos oder dergleichen. Vielmehr identifiziert der Protokollanalysator 30 auch Anwendungsprotokolle, die in dem Datennetzwerk genutzt werden, um einzelne Funktionen in den Netzwerkteilnehmern anzusprechen. Die Mustererkennungseinrichtung 31 übernimmt dabei für den Protokollanalysator 30 die Erkennung von Mustern, die einzelne Protokolle kennzeichnen. Die Zustandsanalyseeinrichtung 29, überwacht jeweils den Zustand der erkannten Protokolle. Beispielsweise kann die Zustandsanalyseeinrichtung 29 festhalten, dass sich ein bestimmtes Protokoll in der Phase des Verbindungsaufbaus, der aktiven Datenkommunikation oder des Verbindungsabbruchs oder dergleichen befindet.
  • Die Rohdatenverarbeitungseinrichtung 32 behandelt die unbearbeiteten Daten einer aktiven Datenkommunikation in der Art, dass Gruppen von ähnlichen Daten gebildet werden. Die Ähnlichkeit von Daten bzw. Datenströmen ist dabei üblicherweise nicht anschaulich offensichtlich sondern kann rechnerisch ermittelt sein.
  • Die Beschreibungseinrichtung 33 erzeugt für die Daten 9 jeweils Merkmale zur Beschreibung des Datenverkehrs, die der Angriffserkennungseinrichtungen 12-1 dabei helfen, die Daten 9 zu analysieren. Dabei kann die Beschreibung der Daten z. B. die von den anderen Elementen der Datenvorverarbeitungseinrichtung 20-2 bestimmten Informationen aufweisen. Die Beschreibung der Daten kann weiterhin eine zeitliche Abfolge von Werten aufweisen, die als Eingabe in Mustererkennungseinrichtungen wie z. B. Neuronalen Netzen dienen, welche z. B. in anomaliebasierten Angriffserkennungseinrichtungen genutzt werden können. In einer solchen Einrichtung werden die Daten aus Beispieldaten, z. B. Beispielen erfolgreicher Angriffe auf das Datennetzwerk, generalisiert und können damit klassifiziert werden.
  • 5 zeigt ein Ablaufdiagramm eines Verfahrens, welches mit der erfindungsgemäßen Überwachungsvorrichtung ausgeführt werden kann.
  • Das Verfahren sieht in einem ersten Schritt S1 das Empfangen von Daten in einer Überwachungsvorrichtung vor, welche in einem Netzwerkteilnehmer angeordnet ist. Die Daten wurden dabei über eine medienunabhängige Schnittstelle oder eine physikalische Schnittstelle eines Netzwerkteilnehmers empfangen.
  • In einem zweiten Schritt S2 werden diese Daten in einem Datenspeicher gespeichert. Der dritte Schritt S3 sieht vor, dass die Daten an diejenige Schnittstelle des Netzwerkteilnehmers weitergeleitet werden, über welche sie nicht empfangen wurden.
  • In Schritt S4 werden die Daten auf das Vorhandensein von Anomalien analysiert. Wird festgestellt, dass die Daten Anomalien aufweisen, die z. B. auf einen Angriff auf das Datennetzwerk hinweisen, wird in der Verzweigung V zu Schritt S5 gesprungen, in welchem ein Warnsignal ausgegeben wird. Werden keine Anomalien festgestellt, wird von der Verzweigung V zurück zu Schritt S1 gesprungen.
  • Es versteht sich, dass zumindest die Schritte S3 und S4 parallel, also gleichzeitig ausgeführt werden können. Ferner können während der Analyse von Daten bereits neu eintreffende Daten gespeichert werden. Es können sich also gleichzeitig Daten in jedem der Verfahrensschritte befinden.
  • Obwohl die vorliegende Erfindung anhand bevorzugter Ausführungsbeispiele vorstehend beschrieben wurde, ist sie darauf nicht beschränkt, sondern auf vielfältige Art und Weise modifizierbar. Insbesondere lässt sich die Erfindung in mannigfaltiger Weise verändern oder modifizieren, ohne vom Kern der Erfindung abzuweichen.
  • Bezugszeichenliste
    • 1-1 bis 1-3
    Überwachungsvorrichtung
    2-1, 2-2
    Datennetzwerk
    3-1, 3-2
    Netzwerkteilnehmer
    4-1 bis 4-3
    medienunabhängige Schnittstelle
    5-1 bis 5-3
    physikalische Schnittstelle
    6-1 bis 6-4
    erste Kommunikationsschnittstelle
    7-1 bis 7-4
    zweite Kommunikationsschnittstelle
    8-1 bis 8-5
    Recheneinrichtung
    9
    Daten
    10
    Warnsignal
    11-1, 11-2
    Datenspeicher
    12-1 bis 12-4
    Angriffserkennungseinrichtung
    13
    Konfigurationsdaten
    17
    Übersetzungseinrichtung
    18-1, 18-2
    Sensorschnittstelle
    19-1, 19-2
    Messwert
    20-1, 20-2
    Datenvorverarbeitungseinrichtung
    21
    Datenübertragungsschnittstelle
    22
    Analysedaten
    24-1, 24-2
    Steuereinrichtung
    25
    Sperreinrichtung
    26-1
    Zeiger
    27
    Konfigurationsschnittstelle
    28
    Konfigurationseinrichtung
    29
    Zustandsanalyseeinrichtung
    30
    Protokollanalysator
    31
    Rohdatenverarbeitungseinrichtung
    32
    Beschreibungseinrichtung
    33
    Mustererkennungseinrichtung

Claims (10)

  1. Überwachungsvorrichtung (1-1 bis 1-4) für ein Datennetzwerk (2-1, 2-2) mit zumindest einem Netzwerkteilnehmer (3-1, 3-2), welcher eine medienunabhängige Schnittstelle (4-1 bis 4-3) und eine mit dieser gekoppelte physikalische Schnittstelle (5-1 bis 5-3) aufweist, mit einer ersten Kommunikationsschnittstelle (6-1 bis 6-4), welche mit der medienunabhängigen Schnittstelle (4-1 bis 4-3) in datenkommunikativer Verbindung gekoppelt ist, mit einer zweiten Kommunikationsschnittstelle (7-1 bis 7-4), welche mit der physikalischen Schnittstelle (5-1 bis 5-3) in datenkommunikativer Verbindung gekoppelt ist, und mit einer Recheneinrichtung (8-1 bis 8-5), welche zwischen der ersten Kommunikationsschnittstelle (6-1 bis 6-4) und der zweiten Kommunikationsschnittstelle (7-1 bis 7-4) angeordnet ist und ausgebildet ist, über die erste Kommunikationsschnittstelle (6-1 bis 6-4) und/oder die zweite Kommunikationsschnittstelle (7-1 bis 7-4) empfangene Daten (9) auf das Auftreten von Anomalien zu überwachen und ein Warnsignal (10) auszugeben, wenn eine Anomalie detektiert wird.
  2. Überwachungsvorrichtung (1-1 bis 1-4) nach Anspruch 1, wobei die Recheneinrichtung (8-1 bis 8-5) einen Datenspeicher (11-1, 11-2), insbesondere mit einer Mehrzahl von Datenausgängen, zum Speichern der empfangenen Daten (9) aufweist und dazu ausgebildet ist, in dem Speicher gespeicherte Daten (9) an diejenige Kommunikationsschnittstelle auszugeben, an welcher die jeweils gespeicherten Daten (9) nicht empfangen wurden.
  3. Überwachungsvorrichtung (1-1 bis 1-4) nach einem der vorherigen Ansprüche, wobei die Recheneinrichtung (8-1 bis 8-5) eine Angriffserkennungseinrichtung (12-1 bis 12-4) aufweist, die dazu ausgebildet ist, basierend auf den gespeicherten Daten (9) zu erkennen, ob ein Angriff auf das Datennetzwerk (2-1, 2-2) durchgeführt wird.
  4. Überwachungsvorrichtung (1-1 bis 1-4) nach einem der vorherigen Ansprüche, wobei die Recheneinrichtung (8-1 bis 8-5) dazu ausgebildet ist, in den empfangenen Daten (9) Konfigurationsdatenpakete zu erkennen und aus den Konfigurationsdatenpaketen Konfigurationsdaten (13) zu extrahieren.
  5. Überwachungsvorrichtung (1-1 bis 1-4) nach einem der vorherigen Ansprüche 3 und 4, wobei die die Konfigurationsdatenpakete Konfigurationsdaten (13) für die Angriffserkennungseinrichtung (12-1 bis 12-4) aufweisen und die Recheneinrichtung (8-1 bis 8-5) ausgebildet ist, die Angriffserkennungseinrichtung (12-1 bis 12-4) basierend auf den entsprechenden Konfigurationsdaten (13) zu konfigurieren.
  6. Überwachungsvorrichtung (1-1 bis 1-4) nach einem der vorherigen Ansprüche 3 bis 5, wobei die Angriffserkennungseinrichtung (12-1 bis 12-4) eine regelbasierte Angriffserkennungseinrichtung (12-1 bis 12-4) und eine Übersetzungseinrichtung (17) aufweist, welche ausgebildet ist, Regel für die regelbasierte Angriffserkennungseinrichtung (12-1 bis 12-4) in einen durch die Recheneinrichtung (8-1 bis 8-5) ausführbaren Programmcode oder einen Zwischencode zu übersetzen, welcher durch die regelbasierte Angriffserkennungseinrichtung (12-1 bis 12-4) interpretierbar ist.
  7. Überwachungsvorrichtung (1-1 bis 1-4) nach einem der vorherigen Ansprüche, mit einer Sensorschnittstelle (18-1, 18-2), wobei die Recheneinrichtung (8-1 bis 8-5) ausgebildet ist, aus den empfangenen Daten (9) einen Messwert (19-1, 19-2) für die Sicherheit des Datennetzwerks (2-1, 2-2) zu berechnen und über die Sensorschnittstelle (18-1, 18-2) auszugeben.
  8. Überwachungsvorrichtung (1-1 bis 1-4) nach einem der vorherigen Ansprüche, mit einer Datenvorverarbeitungseinrichtung (20-1, 20-2), welche ausgebildet ist, die empfangenden Daten (9) vor der Analyse auf das Auftreten von Anomalien zu verarbeiten, wobei die Datenvorverarbeitungseinrichtung (20-1, 20-2) dazu ausgebildet ist, den Zustand eines in dem Datennetzwerk (2-1, 2-2) verwendeten Datenübertragungsprotokolls und dessen Historie zu überwachen und/oder insbesondere anhand vordefinierter Protokollmuster ein verwendetes Protokoll zu erkennen und entsprechende Regeln für die Verarbeitung der empfangenen Daten (9) auszuwählen und/oder Beschreibungen der einzelnen Datenpakete und/oder der Inhalte der Datenpakete zu erstellen.
  9. Überwachungsvorrichtung (1-1 bis 1-4) nach einem der vorherigen Ansprüche, mit einer Datenübertragungsschnittstelle (21) in der Recheneinrichtung (8-1 bis 8-5), welche ausgebildet ist, die empfangenen Daten (9) an weitere Recheneinrichtungen (8-1 bis 8-5) zu übermitteln und Analysedaten (22) von diesen zu empfangen.
  10. Netzwerkteilnehmer (3-1, 3-2), mit einer medienunabhängigen Schnittstelle (4-1 bis 4-3), mit einer physikalischen Schnittstelle (5-1 bis 5-3), und mit einer Überwachungsvorrichtung (1-1 bis 1-4) nach einem der vorherigen Ansprüche, welche zwischen der medienunabhängigen Schnittstelle (4-1 bis 4-3) und der physikalischen Schnittstelle (5-1 bis 5-3) angeordnet ist.
DE202015004439.5U 2015-06-22 2015-06-22 Überwachungsvorrichtung und Netzwerkteilnehmer Expired - Lifetime DE202015004439U1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE202015004439.5U DE202015004439U1 (de) 2015-06-22 2015-06-22 Überwachungsvorrichtung und Netzwerkteilnehmer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE202015004439.5U DE202015004439U1 (de) 2015-06-22 2015-06-22 Überwachungsvorrichtung und Netzwerkteilnehmer

Publications (1)

Publication Number Publication Date
DE202015004439U1 true DE202015004439U1 (de) 2015-07-24

Family

ID=53801644

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202015004439.5U Expired - Lifetime DE202015004439U1 (de) 2015-06-22 2015-06-22 Überwachungsvorrichtung und Netzwerkteilnehmer

Country Status (1)

Country Link
DE (1) DE202015004439U1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016113322A1 (de) * 2016-07-20 2018-01-25 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Slave-Steuerung für Ethernet-Netzwerk
DE102016113324A1 (de) * 2016-07-20 2018-01-25 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Ethernet-Netzwerk

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016113322A1 (de) * 2016-07-20 2018-01-25 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Slave-Steuerung für Ethernet-Netzwerk
DE102016113324A1 (de) * 2016-07-20 2018-01-25 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Ethernet-Netzwerk

Similar Documents

Publication Publication Date Title
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP3353610B2 (de) Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems
WO2001014940A1 (de) Vorrichtung zum steuern von sicherheitskritischen prozessen
DE102012224024A1 (de) Datenübertragung unter Nutzung eines Protokollausnahmezustands
DE102018209407A1 (de) Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
EP2302472A2 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP2908195A1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP3547618A1 (de) Verfahren zum aufbau einer redundanten kommunikationsverbindung und ausfallgesicherte steuerungseinheit
EP2509265B1 (de) Zugangsschutzgerät für ein Automatisierungsnetzwerk
EP2880823B1 (de) Kommunikationsnetzwerk und verfahren zum betreiben eines kommunikationsnetzwerkes
EP2579540B1 (de) Kontrolle eines kommunikations-inputs einer speicherprogrammierbaren steuerung einer automatisierungskomponente einer technischen anlage
DE112014004208T5 (de) Integrationsverfahren und -System
EP3414632B1 (de) Verfahren und vorrichtung zum überwachen einer datenverarbeitung und -übertragung in einer sicherheitskette eines sicherheitssystems
EP3122016B1 (de) Automatisierungsnetzwerk und verfahren zur überwachung der sicherheit der übertragung von datenpaketen
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
WO2017050431A1 (de) Verfahren und vorrichtung zur überwachung von steuerungssystemen
DE102018221952A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kommunikationsnetzwerks
EP3028409B1 (de) Filtern eines datenpaketes durch eine netzwerkfiltereinrichtung
WO2009003715A2 (de) Schnelle ringredundanz eines netzwerkes
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
DE102019210224A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
EP3382478B1 (de) Verfahren, computer-programm-produkt und steuereinheit zum steuern von zugriffen auf it-systeme basierende netzwerke, insbesondere eingebettete systeme oder verteilte systeme umfassende automatisierungsnetzwerke, steuerungsnetzwerke oder kontrollnetzwerke
DE102013221955A1 (de) Sicherheitsrelevantes System
DE202012000035U1 (de) Netzwerkgerät für ein Automatisierungsnetzwerk

Legal Events

Date Code Title Description
R207 Utility model specification
R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: RESLOGICA GMBH, DE

Free format text: FORMER OWNER: EMBAS INDUSTRIE ELEKTRONIK GMBH & CO KG, 70567 STUTTGART, DE

R082 Change of representative
R150 Utility model maintained after payment of first maintenance fee after three years
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R157 Lapse of ip right after 6 years