KIRAS Sicherheitsforschung

2014

CPS-Security

Verhaltensbasierte Anomalie-Erkennung in Cyber-Physischen Systemen

Durch die fortschreitende Automatisierung in der industriellen Produktion und bei kritischenInfrastrukturen und den damit einhergehenden Einzug von Informations- und Kommunikationstechnologien(Schlagwort „Industrie 4.0“) rückt auch der IT Security Aspekt zunehmendins Zentrum des Interesses. Die Automatisierung und die Verteilung der Produktion undSteuerungen auf mehrere, auch firmenübergreifende Standorte mit Hilfe sogenannter Cyber-Physischer Produktionssysteme (CPS bzw. CPPS) haben den Datentransport als wesentlicheVoraussetzung. Dadurch müssen bislang geschlossene Systeme nach außen geöffnet werden(im Wesentlichen durch Verwendung des Internets oder technologisch ähnlicher Systeme).Diese Öffnung macht diese Systeme anfällig für sicherheitsrelevante Attacken.

Neben dem Einsatz bereits bekannter Abwehrmaßnahmen aus der konventionellen ITLandschaft(Firewalls, Intrusion Detection Systeme, Antiviren-Programme u.ä.) bedarf dieseSituation auch anwendungsspezifischer Sicherheitsmaßnahmen. Im Forschungsprojekt sollenzuerst die „neuen“ Gefahren für CPS aus der Sicht der IT-Security dargestellt undLösungsvorschläge ausgearbeitet werden. Die zentrale Idee des Forschungsantrages bestehtaber darin, auf Basis vorhandener (Mess-)Daten, die während der Produktion bzw. vonSteuerungsvorgängen kontinuierlich geliefert werden, laufend zu überprüfen, ob das Cyber-Physische Produktionssystem sich erwartungskonform verhält. Das erwartete Verhalten sollaus der Definition des Produktions-/Steuerungsprozesses (wie sie in Verhaltensmodellen desEngineering Prozesses etwa in Form von Zustandsdiagrammen vorliegen) gewonnen werden.Durch den Abgleich der Vorhersagen aus diesem Verhaltensmodelle (erwartete Werte) mitden erhobenen Daten kann auf eventuell vorliegenden Anomalien im aktuellen Verhalten derProduktions-/Steuerungsanlage geschlossen werden. Im Idealfall kann auch ein Rückschlussauf die Ursachen der Anomalie ermittelt werden.

Dazu notwendige Teilbereiche:

  • Formalisierung des Verhaltensmodells von Produktions-/Steuerungsanlagen
  • Modellierung der Beschreibung des aktuellen Verhaltens der Anlage durch laufendanfallende Daten
  • Entwicklung von Algorithmen zum Abgleich der erhobenen Daten mit den vom Modellprognostizierten Daten
  • Klassifizierung von entdeckten Abweichungen
  • Veranlassung von Maßnahmen im Fall der Erkennung einer Anomalie

Konsortialführer:
Institut für IT Sicherheitsforschung, Fachhochschule St. Pölten

ProjektpartnerInnen:
SEC Consult Unternehmensberatung GmbH
BM.I (Bundesministerium für Inneres, BVT)
2Subauftragnehmer

Kontakt:
Univ.-Doz. DI. Dr. Ernst Piller,
DI. Dr. Paul Tavolato
Institut für IT Sicherheitsforschung, FH St. Pölten

Matthias Corvinus-Straße 15,
3100 St. Pölten

Telefon +43 2742 313 228 – 636

E-Mail: ernst.piller@fhstp.ac.at paul.tavolato@fhstp.ac.at 
Web: https://ifs.fhstp.ac.at

drucken