Anomaly-Based Attack Detection in Cyber-Physical Systems

Master-Studiengang Information Security

Dipl.-Ing. Philipp Kreimel, BSc (Jg. 2014/2016)

Betreuer: FH-Prof. Dipl.-Ing. Dr. Paul Tavolato

Ausgangslage

Die industrielle Welt war lange Zeit durch proprietäre Systeme und Protokolle sowie durch physische Abschottung dominiert. Allerdings entwickelten sich diese Systeme in den letzten Jahren durch den zunehmenden Einzug von Informations- und Kommunikationstechnologien zu offenen, vernetzten Systemen, die eine Verbindung von digitalen Netzen und physischen Prozessen ermöglichen.

Diese sogenannten cyber-physischen Systeme eröffnen weitreichende, innovative Möglichkeiten; jedoch führt die fortwährende Integration von Standard-Kommunikationstechnologien in derartige Betriebsumgebungen zu neuen Schwachstellen und größeren Angriffsflächen und erhöht damit das Risiko von Cyberangriffen. Erfolgreiche Angriffe auf cyber-physische Systeme können teilweise schwerwiegende Schäden nach sich ziehen, folglich müssen diese Systeme ausreichend vor Cyberangriffen geschützt werden.

Aufgrund der speziellen Charakteristika cyber-physischer Systeme sind Abwehrmaßnahmen der konventionellen IT-Landschaft oft nicht anwendbar und spezifische Lösungen für industrielle Betriebsumgebungen sind kaum vorhanden.

Diese Arbeit betrachtet Gefahren für cyber-physische Systeme aus der Sicht der IT Security und stellt Maßnahmen zur Erkennung von Angriffen vor.

Ziel

Das Ziel dieser Arbeit ist es, Abweichungen im Systemverhalten einer industriellen Anlage festzustellen und dadurch mögliche Cyberangriffe auf das System zu erkennen. Zur Anomalie-Erkennung muss ein Modell des Normalverhaltens der Anlage definiert werden. Dieses Modell wird mit Hilfe von Verfahren des maschinellen Lernens erstellt: Aus Daten, die während des Normal-Betriebs der Anlage erfasst werden, wird mit Hilfe eines Klassifikationsalgorithmus ein Outlier-Threshold ermittelt. Dann wird das aktuelle Systemverhalten mit diesem Modell verglichen, um Abweichungen – Anomalien – festzustellen. Um seine praktische Anwendbarkeit sicherzustellen, wurde das Verfahren an Hand einer Testanlage eines cyber-physischen Systems, bei der industrielle Hardware sowie einige Sensoren und Aktoren verwendet wurden, entwickelt.

Ergebnis

Im Zuge dieser Arbeit wurde eine Testanlage – ein einfaches Förderband mit einer Heizkammer – gebaut. Ein Modell, welches das normale Systemverhalten dieser Anlage beschreibt, wurde aus den Daten, die während des Betriebs erfasst wurden, abgeleitet. Dieses Modell wurde mit dem Verhalten des Systems während der Durchführung verschiedener Cyberangriffe verglichen. Dabei konnten die Angriffe in Echtzeit zweifelsfrei identifiziert werden.