[go: up one dir, main page]

DE102008059487A1 - Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage - Google Patents

Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage Download PDF

Info

Publication number
DE102008059487A1
DE102008059487A1 DE102008059487A DE102008059487A DE102008059487A1 DE 102008059487 A1 DE102008059487 A1 DE 102008059487A1 DE 102008059487 A DE102008059487 A DE 102008059487A DE 102008059487 A DE102008059487 A DE 102008059487A DE 102008059487 A1 DE102008059487 A1 DE 102008059487A1
Authority
DE
Germany
Prior art keywords
communication
automation system
data
components
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102008059487A
Other languages
English (en)
Inventor
Tomas Brandstetter
Konstantin Dr. Knorr
Christof Dr. Pastors
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to DE102008059487A priority Critical patent/DE102008059487A1/de
Publication of DE102008059487A1 publication Critical patent/DE102008059487A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23317Safe mode, secure program, environment in case of error, intrusion
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25011Domotique, I-O bus, home automation, building automation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem (6) eines Kommunikationsnetzes in einer Automatisierungsanlage (100, 200). In dem erfindungsgemäßen Verfahren werden, basierend auf Konfigurationsdaten der Automatisierungsanlage (100, 200), Kommunikationsparameter der Automatisierungsanlage ermittelt und, basierend auf den Kommunikationsparametern, werden die Parametrierungsdaten für das Kommunikations-Schutzsystem (6) erstellt. Das erfindungsgemäße Verfahren beruht auf der Erkenntnis, dass zur Inbetriebnahme von Automatisierungsanlagen Konfigurationsdaten verwendet werden, welche auch Informationen über die Kommunikation in dem Kommunikationsnetz enthalten. Diese Informationen werden erfindungsgemäß geeignet verarbeitet, um hieraus Parametrierungsdaten für ein Kommunikations-Schutzsystem abzuleiten. Das erfindungsgemäße Verfahren kann in beliebigen Automatisierungsanlagen eingesetzt werden, insbesondere im Bereich der Industrieautomatisierung, Energieautomatisierung oder Gebäudeautomatisierung.

Description

  • Die Erfindung betrifft ein Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage sowie ein Verfahren zum Überwachen eines Kommunikationsnetzes einer Automatisierungsanlage und eine Automatisierungsanlage.
  • Neue Kommunikationsnetze in Automatisierungsanlagen basieren heutzutage in der Regel auf bekannten Kommunikationstechnologien, wie TCP/IP und Ethernet. Solche Kommunikationsnetze sind Sicherheitsbedrohungen durch Angriffe, wie Hacking, Malware und dergleichen, ausgesetzt. Zum Erkennen bzw. Vermeiden von solchen Angriffen werden Kommunikations-Schutzsysteme verwendet. Aus dem Stand der Technik sind insbesondere Intrusion-Detection-Systeme bekannt, welche jeglichen Netzverkehr in einem Kommunikationsnetz abhören und bei schädlich eingestuftem Netzverkehr Alarmmeldungen generieren. Zur Beurteilung der Schädlichkeit von Netzverkehr benötigt ein Kommunikations-Schutzsystem Parametrierungsdaten.
  • Für die Generierung entsprechender Parametrierungsdaten sind aus dem Stand der Technik signaturbasierte und lernende Verfahren bekannt. signaturbasierte Verfahren suchen nach bekannten Angriffsmustern und haben daher den Nachteil, dass nur bekannte Bedrohungen erfasst werden können. Darüber hinaus sind die Angriffsmuster generisch und typischerweise nicht auf Automatisierungsnetze zugeschnitten. Lernende Verfahren untersuchen in einer initialen Lernphase den Kommunikationsverkehr im Netzwerk und versuchen daraus sinnvolle Parametrisierungsdaten abzuleiten. Lernende Verfahren können somit auch unbekannte Bedrohungen erkennen. Diese Verfahren haben jedoch den Nachteil, dass die initiale Lernphase oftmals sehr aufwändig ist, da während der Inbetriebnahme des Kommunikationsnetzes über einen längeren Zeitraum Daten erfasst werden müssen. Darüber hinaus besteht das Risiko, dass eine anfänglich bestehende Kompromittierung eines Systems, d. h. ein bereits bei der Initialisierung des Systems enthaltendes Angriffsmuster, durch die Lernphase als valides Verhalten klassifiziert wird. Daher sind auf lernenden Verfahren basierende Kommunikations-Schutzsysteme für Automatisierungsanlagen zwar anwendbar, aber nicht praktikabel.
  • Aufgabe der Erfindung ist es, auf einfache Weise zuverlässige Parametrisierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage zu generieren.
  • Diese Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 oder das Verfahren gemäß Patentanspruch 13 oder die Automatisierungsanlage gemäß Patentanspruch 14 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.
  • In dem erfindungsgemäßen Verfahren werden basierend auf Konfigurationsdaten der Automatisierungsanlage Kommunikationsparameter der Automatisierungsanlage ermittelt. Basierend auf diesen Kommunikationsparametern werden dann die Parametrierungsdaten für das Kommunikations-Schutzsystem erstellt. Das erfindungsgemäße Verfahren beruht auf der Erkenntnis, dass in einer Automatisierungsanlage in einer initialen Planungsphase eine Konfiguration der Anlage erfolgt, wobei diese Konfiguration in Konfigurationsdaten festgelegt ist. Diese Konfigurationsdaten sind dabei im Regelfall sog. Engineeringdaten, die bei der Inbetriebnahme der Automatisierungsanlage deren Konfiguration festlegen. Die Konfigurationsdaten enthalten dabei auch Informationen über Konfigurationsparameter, wie z. B. vorhandene Komponenten im Kommunikationsnetz und deren Adressen und deren verwendete Kommunikationsprotokolle. Diese Informationen werden erfindungsgemäß zur Erstellung von geeigneten Parametrierungsdaten für ein Kommunikations-Schutz-System verwendet.
  • Die Erfindung hat den Vorteil, dass die individuelle Konfiguration einer Automatisierungsanlage zur Parametrierung eines Kommunikations-Schutzsystems verwendet wird, und nicht auf generische Signaturen zurückgegriffen werden muss. Darüber hinaus benötigt das Verfahren keine initiale Lernphase, wie dies bei lernenden Intrusion-Detection-Systemen der Fall ist.
  • Das erfindungsgemäße Verfahren generiert vorzugsweise Parametrierungsdaten für ein Intrusion-Detection-System oder ein Intrusion-Prevention-System. In einem Intrusion-Prevention-System werden übertragene Daten verworfen bzw. Kommunikationsverbindungen unterbrochen, wenn ein Angriff auf das Kommunikationsnetz festgestellt wird.
  • Das erfindungsgemäße Verfahren kann für beliebige Automatisierungsanlagen eingesetzt werden. Bevorzugte Anwendungsbereiche sind Industrieautomatisierungsanlagen, wie z. B. Produktionsanlagen und Fertigungsstraßen, Energieautomatisierungsanlagen, wie z. B. Energieverteilsysteme, Umspannwerke und dergleichen, und Gebäudeautomatisierungsanlagen.
  • In einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens sind die ermittelten Kommunikationsparameter die in dem Kommunikationsnetz enthaltenen Komponenten und die zwischen den Komponenten verwendeten Kommunikationsverbindungen, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems einen Regelsatz spezifizieren, der basierend auf den Komponenten und den Kommunikationsverbindungen festlegt, unter welchen Bedingungen im Betrieb des Kommunikationsnetzes ein Angriff auf das Kommunikationsnetz festgestellt wird. Die Komponenten sind dabei beispielsweise ein oder mehrere Feldgeräte, wie z. B. sog. IEDs (IED = Intelligent Electronic Device), welche vorbestimmte Aufgaben in der Automatisierungsanlage ausführen. Die Komponenten umfassen vorzugsweise ferner eine oder mehrere Steuerungseinrichtungen, wie z. B. sog. Substation-Controller, zur Steuerung der Feldgeräte und zumindest ein übergeordnetes Leitsystem.
  • In einer besonders bevorzugten Ausführungsform erfolgt die Überprüfung von Angriffen in dem Kommunikationsnetz auf besonders einfache Weise durch Whitelists. Dabei spezifizieren die Kommunikationsparameter eine oder mehrere Listen von zulässigen Kommunikationsverbindungen zwischen Komponenten des Kommunikationsnetzes und durch einen entsprechenden Regelsatz des Kommunikations-Schutzsystems wird festgelegt, dass ein Angriff im Betrieb des Kommunikationsnetzes dann festgestellt wird, wenn eine nicht in der oder den Listen enthaltene Kommunikationsverbindung auftritt.
  • In einer weiteren, besonders bevorzugten Ausführungsform der Erfindung wird das Verfahren in einem Kommunikationsnetz einer Automatisierungsanlage eingesetzt, welches bekannte Kommunikationsprotokolle verwendet. In diesem Fall spezifizieren die Kommunikationsparameter die Kommunikationsverbindungen durch das oder die für die jeweilige Kommunikationsverbindung verwendeten Protokolle aus den Schichten des OSI-Referenzmodells, wobei die Protokolle insbesondere das Ethernet-Protokoll und/oder das TCP/UDP-Protokoll und/oder das IP-Protokoll und/oder das Protokoll gemäß dem Standard IEC 61850 umfassen. Diese Protokolle sind alle hinlänglich aus dem Stand der Technik bekannt. Das zuletzt genannte Protokoll nach dem Standard IEC 61850 ist dabei ein spezielles Übertragungsprotokoll für die Schutz- und Leittechnik in Energieautomatisierungsanlagen.
  • In einer besonders bevorzugten Ausführungsform legen die Kommunikationsparameter für die Kommunikationsverbindungen zwischen Komponenten des Kommunikationsnetzes fest, über welche Spezifikationswerte die Komponenten in den einzelnen Protokollen angesprochen werden. Die Spezifikationswerte sind dabei insbesondere IP-Adressen und/oder Ports, insbesondere TCP/UDP-Ports.
  • In der Ausführungsform der Erfindung, bei welcher ein Regelsatz des Kommunikations-Schutzsystems auf eine oder mehreren Listen von zulässigen Kommunikationsverbindungen beruht, werden die zulässigen Kommunikationsverbindungen in der oder den Listen vorzugsweise zumindest teilweise durch eine Quell-IP-Adresse und einen Quell-Port sowie eine Ziel-IP-Adresse und einen Ziel-Port spezifiziert.
  • In einer weiteren, besonders bevorzugten Ausführungsform werden in dem erfindungsgemäßen Verfahren Konfigurationsdaten in der Form von sog. XML-Daten verarbeitet. Ferner werden die Parametrierungsdaten als sog. SNORT-Regelsatz generiert. SNORT ist dabei ein hinlänglich aus dem Stand der Technik bekanntes Intrusion-Prevention- und Intrusion-Detection-System, welches eine regelbasierte Beschreibungssprache verwendet. Das Verfahren wird dabei vorzugsweise als ein Konverter (z. B. als Softwarekonverter) und/oder als ein Parser realisiert, der aus den XML-Daten einen SNORT-Regelsatz generiert.
  • Neben dem oben beschriebenen Verfahren zur Generierung von Parametrierungsdaten umfasst die Erfindung ferner ein Verfahren zum Überwachen eines Kommunikationsnetzes einer Automatisierungsanlage, bei dem die Kommunikationsverbindungen im Betrieb der Automatisierungsanlage basierend auf einem Kommunikations-Schutzsystem überwacht werden, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems mit dem im Vorangegangenen beschriebenen erfindungsgemäßen Verfahren generiert sind.
  • Darüber hinaus betrifft die Erfindung eine Automatisierungsanlage, umfassend ein Kommunikationsnetz, welches derart ausgestaltet ist, dass im Betrieb der Automatisierungsanlage das Kommunikationsnetz mit dem oben genannten Überwachungsverfahren überwacht wird.
  • Ausführungsbeispiele der Erfindung werden nachfolgend anhand der beigefügten 1 und 2 beschrieben.
  • Es zeigen:
  • 1 eine schematische Darstellung eines Kommunikationsnetzes einer Automatisierungsanlage, welches basierend auf einer erfindungsgemäß erzeugten Parametrierung eines Intrusion-Detection-Systems überwacht wird; und
  • 2 die Darstellung eines Regelsatzes für ein Intrusion-Detection-Systems in der Form einer Tabelle für die Anlage der 1.
  • 1 zeigt schematisiert ein Kommunikationsnetz einer Energieautomatisierungsanlage 200 mit einem Leitsystem 1, welches ein Umspannwerk 100 als Teil der Automatisierungsanlage überwacht. Die Automatisierungsanlage basiert dabei auf dem hinlänglich aus dem Stand der Technik bekannten SCADA-Konzept (SCADA = Supervisory Control And Data Aquisition). Die Automatisierungsanlage kann anstatt einer Energieautomatisierungsanlage eine Industrieautomatisierungsanlage oder eine Gebäudeautomatisierungsanlage sein. Im Folgenden wird das Verfahren am Beispiel einer Energieautomatisierungsanlage erläutert.
  • Die Kommunikationsbeziehungen in der Automatisierungsanlage 200 sind hierarchisch aufgebaut. In der höchsten Hierarchieebene ist das Leitsystem 1 vorgesehen, dem eine IP-Adresse IP1 zugeordnet ist. Im Leitsystem befindet sich ein menschlicher Operator, der über eine HMI-Schnittstelle u. a. die Vorgänge in dem Umspannwerk 100 überwacht und kontrolliert. Das Leitsystem 1 kommuniziert mit einer oder mehreren Steuervorrichtungen in der Form sog. Substation-Controllern, wobei in dem Beispiel der 1 ein einzelner Substation-Controller 2 mit entsprechender IP-Adresse IP2 gezeigt ist. Der Substation-Controller 2 kommuniziert wiederum unter Zwischenschaltung eines Switches 7 mit in der darunter liegenden Hierarchieebene befindlichen Feldgeräten 3, 4 und 5 mit entsprechenden IP-Adressen IP3, IP4 und IP5. Die Feldgeräte 3 bis 5 können ferner auch untereinander kommunizieren. Die Kommunikationsbeziehungen sind in 1 dabei durch Doppelpfeile angedeutet.
  • Die Feldgeräte stellen sog. IEDs (IED = Intelligent Electronic Device) dar und erfüllen Aufgaben im Umspannwerk. Sie sind Automatisierungskomponenten des Umspannwerks und umfassen beispielsweise Strommesser, Schutzschalter und dergleichen. In dem Substation-Controller 2 erfolgt dabei die Konsolidierung der Daten der Feldgeräte 3 bis 5.
  • In dem Umspannwerk 100 kommunizieren die einzelnen Komponenten 1 bis 5 über verschiedene Protokolle des OSI-Referenzmodells. Insbesondere wird auf der L2-Schicht über das Ethernet-Protokoll kommuniziert und auf den darüber liegenden Schichten mit TCP/IP. Als Applikationsprotokoll wird das Protokoll gemäß dem Standard IEC 61850 verwendet, welches ein Übertragungsprotokoll für die Schutz- und Leittechnik in elektrischen Schaltanlagen der Mittel- und Hochspannungstechnik ist. In dem System der 1 ist ein Intrusion-Detection-System 6 (auch als IDS-System bezeichnet) implementiert, welches an dem Switch 7 den Netzverkehr überwacht und gegebenenfalls Warnmeldungen ausgibt, sofern basierend auf der Parametrierung des IDS-Systems ein Angriff von außen erfolgt.
  • Die IDS-Regelspezifikation wurde dabei z. B. aus den Enigneeringdaten einer IEC 61850 Substation-Parametrierung abgeleitet. Die Engineeringdaten stellen entsprechende Konfigurationsdaten der Automatisierungsanlage dar, welche die Konfiguration der Anlage bei deren Inbetriebnahme festlegen. Diese Engineeringdaten werden erfindungsgemäß zur Erzeugung der Spezifikation eines IDS-Systems verwendet. In dem Beispiel der 1 ist gemäß den Engineeringdaten eine Kommunikation der Feldgeräte 3, 4 und 5 untereinander basierend auf Ethernet über die MAC-Adressen der Feldgeräte mit darauf aufgesetzten IEC 61850-Protokoll ohne Zwischenschaltung von TCP/IP erlaubt. Demgegenüber kommunizieren die Feldgeräte mit dem Substation-Controller 2 und dieser mit dem Leitsystem 1 basierend auf TCP/IP mit entsprechenden IP-Adressen und Ports untereinander. Ferner sind in den Engineeringdaten die IP- Adressen, MAC-Adressen und Ports der einzelnen Geräte 1 bis 5 festgelegt.
  • In dem hier beschriebenen Ausführungsbeispiel kann der Substation-Controller 2 nur über TCP-Quellports größer 1024 mit den Feldgeräte 3, 4 und 5 mit einem einzigen TCP-Zielport 102 kommunizieren. Aus dieser, aus den Engineeringdaten stammenden Information wird in der hier beschriebenen Ausführungsform der Erfindung nunmehr eine sog. Whitelist generiert. Ein Beispiel einer solchen Whitelist ist in 2 gezeigt. Die Whitelist enthält in der ersten Spalte mögliche Quell-IP-Adressen SIP, in der zweiten Spalte mögliche Quell-Ports SP, in der dritten Spalte mögliche Ziel-IP-Adressen DIP und in der vierten Spalte mögliche Ziel-Ports DP. In jeder Zeile werden die zulässigen Kommunikationspartner mit entsprechenden IP-Adressen und zulässigen Ports angegeben.
  • Beispielhaft sind dabei in 2 die möglichen Kommunikationsbeziehungen zwischen dem jeweiligen Feldgerät 3 bzw. 4 bzw. 5 und dem Substation-Controller 2 wiedergegeben. Man erkennt, dass jedes Feldgerät 3 bis 5 über seine entsprechende IP-Adresse IP3, IP4 und IP5 mit der IP-Adresse IP2 des Substation-Controllers 2 kommunizieren kann. Dabei muss der Quell-Port des Substation-Controllers jedoch immer größer als 1024 sein und es kann nur der Ziel-Port 102 angesprochen werden. Es wird nunmehr durch das Intrusion-Detection-System 6 die auftretenden Kommunikationen über einen Monitoring-Port am Switch 7 überwacht und mit der Whitelist verglichen. Tritt eine Kommunikationsverbindung auf, welche keiner Zeile in der Whitelist entspricht, wird daraus geschlossen, dass ein unerlaubter Angriff von außen vorliegt, woraufhin ein entsprechender Alarm ausgegeben wird.
  • Wie sich aus den obigen Ausführungen ergibt, kann basierend auf den Engineeringdaten einer Automatisierungsanlage in geeigneter Weise eine Regelspezifikation für ein IDS-System generiert werden. Durch die Engineeringdaten liegen bereits Informationen über das Kommunikationsverhalten der Automatisie rungsanlage vor, da die Engineeringdaten bei Inbetriebnahme die Anlage auf Automatisierungsebene konfigurieren. Die Engineeringdaten enthalten dabei insbesondere die Information, welche Komponenten, beispielsweise hinterlegt mit IP-Adressen, über welche Automatisierungsprotokolle, beispielsweise hinterlegt durch das TCP/UDP-Protokoll und relevante Port-Nummern, miteinander kommunizieren. Basierend darauf wird in einer bevorzugten Variante der Erfindung ein entsprechender Konverter verwendet, der das in den Engineeringdaten vorliegende Informationsmodell ausliest und daraus die Spezifikation eines IDS-Systems generiert. Wie anhand der in Bezug auf 1 und 2 beschriebenen Ausführungsform deutlich wurde, stellt diese Spezifikation beispielsweise eine Kommunikationsmatrix bzw. Kommunikationstabelle dar, welche unter anderem wiedergibt, welche IP-Adresse über welche Ports mit anderen IP-Adressen spricht.
  • Die im Vorangegangenen beschriebene Ausführungsform des erfindungsgemäßen Verfahrens hat den Vorteil, dass für die Generierung der IDS-Parametrisierungsspezifikation keine Signaturdaten verwendet werden müssen und auch kein aufwändiger Lernprozess zum Erkennen von Angriffen durchlaufen werden muss. Stattdessen können bestehende Informationen aus den Engineeringdaten der Automatisierungsanlage genutzt werden, um daraus eine auf die Automatisierungsanlage maßgeschneiderte Spezifikation für die Parametrierung eines Intrusion-Detection-Systems zu erstellen. Die IDS-Konfiguration repräsentiert dabei sehr genau das Kommunikationsverhalten der Anlage. Damit werden analog wie bei selbstlernenden Verfahren auch neue, unbekannte Angriffe detektiert, welche nicht dem Kommunikationsverhalten entsprechen. Hierfür ist jedoch kein Lernprozess erforderlich. Darüber hinaus kann mit den bestehenden Engineeringdaten einem Kunden, für den eine Automatisierungsanlage konfiguriert wird, ein qualitativ ausreichend gut vorab parametrisiertes IDS-System bereitgestellt werden, ohne dass das Inbetriebsetzungspersonal der Automatisierungsanlage spezielles Wissen über das IDS-System benötigt.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • - IEC 61850 [0012]
    • - IEC 61850 [0012]
    • - IEC 61850 [0025]
    • - IEC 61850 [0026]
    • - IEC 61850-Protokoll [0026]

Claims (14)

  1. Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem (6) eines Kommunikationsnetzes in einer Automatisierungsanlage (100, 200), bei dem: – basierend auf Konfigurationsdaten der Automatisierungsanlage (100, 200) Kommunikationsparameter der Automatisierungsanlage ermittelt werden; – basierend auf den Kommunikationsparametern die Parametrierungsdaten für das Kommunikations-Schutzsystem (6) erstellt werden.
  2. Verfahren nach Anspruch 1, bei dem das Kommunikations-Schutzsystem (6) ein Intrusion-Detection-System und/oder ein Intrusion-Prevention-System ist und/oder die Konfigurationsdaten Engineeringdaten sind.
  3. Verfahren nach Anspruch 1 oder 2, bei dem die Parametrierungsdaten für eine Industrieautomatisierungsanlage und/oder eine Energieautomatisierungsanlage und/oder eine Gebäudeautomatisierungsanlage erstellt werden.
  4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Kommunikationsparameter die in dem Kommunikationsnetz vorhandenen Komponenten (1, ..., 5) und die zwischen den Komponenten (1, ..., 5) verwendeten Kommunikationsverbindungen enthalten, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems (6) einen Regelsatz spezifizieren, der basierend auf den Komponenten und den Kommunikationsverbindungen festlegt, unter welche Bedingungen im Betrieb des Kommunikationsnetzes ein Angriff auf das Kommunikationsnetz festgestellt wird.
  5. Verfahren nach Anspruch 4, bei dem die Komponenten ein oder mehrere Feldgeräte (3, 4, 5) und ferner vorzugsweise eine oder mehrere Steuerungseinrichtungen (2) zur Steuerung der Feldgeräte (3, 4, 5) und ferner vorzugsweise zumindest ein Leitsystem (1) umfassen.
  6. Verfahren nach Anspruch 4 oder 5, bei dem die Kommunikationsparameter zumindest teilweise eine oder mehrere Listen von zulässigen Kommunikationsverbindungen zwischen Komponenten (1, ..., 5) des Kommunikationsnetzes spezifizieren und durch den Regelsatz des Kommunikations-Schutzsystems festgelegt wird, dass ein Angriff im Betrieb des Kommunikationsnetzes dann festgestellt wird, wenn eine nicht in der oder den Listen enthaltene Kommunikationsverbindung auftritt.
  7. Verfahren nach einem der Ansprüche 4 bis 6, bei dem die Kommunikationsparameter die Kommunikationsverbindungen durch das oder die für die jeweilige Kommunikationsverbindung verwendeten Protokolle aus den Schichten des OSI-Referenzmodells spezifizieren, wobei die Protokolle insbesondere das Ethernet-Protokoll und/oder das TCP/UDP-Protokoll und/oder das IP-Protokoll und/oder das Protokoll gemäß dem Standard IEC 61850 umfassen.
  8. Verfahren nach Anspruch 7, bei dem die Kommunikationsparameter für die Kommunikationsverbindung zwischen Komponenten (1, ..., 5) des Kommunikationsnetzes festlegen, über welche Spezifikationswerte die Komponenten in den einzelnen Protokollen angesprochen werden.
  9. Verfahren nach Anspruch 8, bei dem die Spezifikationswerte der Komponenten IP-Adressen (IP1, ..., IP5) und/oder Ports, insbesondere TCP/UDP-Ports, umfassen.
  10. Verfahren nach Anspruch 9, wenn abhängig von Anspruch 6, bei dem die zulässigen Kommunikationsverbindungen in der oder den Listen zumindest teilweise durch eine Quell-IP-Adresse (SIP) und einen Quell-Port (SP) sowie eine Ziel-IP-Adresse (DIP) und einen Ziel-Port (DP) spezifiziert werden.
  11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Konfigurationsdaten als XML-Daten vorliegen und/oder die Parametrierungsdaten als SNORT-Regelsatz generiert werden.
  12. Verfahren nach Anspruch 11, bei dem die Generierung der Parametrierungsdaten mit Hilfe eines Konverters und/oder Parsers erfolgt, der aus den XML-Daten einen SNORT-Regelsatz erzeugt.
  13. Verfahren zum Überwachen eines Kommunikationsnetzes einer Automatisierungsanlage (100, 200), bei dem die Kommunikationsverbindungen im Betrieb der Automatisierungsanlage (100, 200) basierend auf einem Kommunikations-Schutzsystem (6) überwacht werden, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems (6) mit einem Verfahren nach einem der vorhergehenden Ansprüche generiert sind.
  14. Automatisierungsanlage (100, 200), umfassend ein Kommunikationsnetz, welches derart ausgestaltet ist, dass im Betrieb der Automatisierungsanlage (100, 200) das Kommunikationsnetz mit dem Verfahren nach Anspruch 13 überwacht wird.
DE102008059487A 2008-11-28 2008-11-28 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage Ceased DE102008059487A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102008059487A DE102008059487A1 (de) 2008-11-28 2008-11-28 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102008059487A DE102008059487A1 (de) 2008-11-28 2008-11-28 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage

Publications (1)

Publication Number Publication Date
DE102008059487A1 true DE102008059487A1 (de) 2010-06-24

Family

ID=42193959

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102008059487A Ceased DE102008059487A1 (de) 2008-11-28 2008-11-28 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage

Country Status (1)

Country Link
DE (1) DE102008059487A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012174391A3 (en) * 2011-06-15 2013-03-14 Cisco Technology, Inc. Security measures for the smart grid
DE102016107647A1 (de) 2016-03-08 2017-09-14 Viktor Mraz Verfahren, Speichermedium und System zur Absicherung/Überwachung eines Netzwerkes

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6167052A (en) * 1998-04-27 2000-12-26 Vpnx.Com, Inc. Establishing connectivity in networks
US20040117478A1 (en) * 2000-09-13 2004-06-17 Triulzi Arrigo G.B. Monitoring network activity
US20040153171A1 (en) * 2002-10-21 2004-08-05 Brandt David D. System and methodology providing automation security architecture in an industrial controller environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6167052A (en) * 1998-04-27 2000-12-26 Vpnx.Com, Inc. Establishing connectivity in networks
US20040117478A1 (en) * 2000-09-13 2004-06-17 Triulzi Arrigo G.B. Monitoring network activity
US20040153171A1 (en) * 2002-10-21 2004-08-05 Brandt David D. System and methodology providing automation security architecture in an industrial controller environment

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IEC 61850-Protokoll

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012174391A3 (en) * 2011-06-15 2013-03-14 Cisco Technology, Inc. Security measures for the smart grid
US8893216B2 (en) 2011-06-15 2014-11-18 Cisco Technology, Inc. Security measures for the smart grid
DE102016107647A1 (de) 2016-03-08 2017-09-14 Viktor Mraz Verfahren, Speichermedium und System zur Absicherung/Überwachung eines Netzwerkes
DE102016107647B4 (de) 2016-03-08 2018-08-30 Viktor Mraz Verfahren und Speichermedium zur Absicherung/Überwachung eines Netzwerkes

Similar Documents

Publication Publication Date Title
EP3129888B2 (de) Übermittlung von daten aus einem gesicherten speicher
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP1398937A2 (de) System zur Erfassung und Anzeige eines Sicherstatus von Geräten
EP0007579B1 (de) Schaltungsanordnung zur Überwachung des Zustands von Signalanlagen, insbesondere von Strassenverkehrs-Lichtsignalanlagen
EP3414632B1 (de) Verfahren und vorrichtung zum überwachen einer datenverarbeitung und -übertragung in einer sicherheitskette eines sicherheitssystems
EP3079028A1 (de) Planungs- und engineering-verfahren, -software-tool und simulationswerkzeug für eine automatisierungslösung
EP3177973A1 (de) Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung
EP2509265B1 (de) Zugangsschutzgerät für ein Automatisierungsnetzwerk
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP3122016B1 (de) Automatisierungsnetzwerk und verfahren zur überwachung der sicherheit der übertragung von datenpaketen
DE102008059487A1 (de) Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP1496664A2 (de) Vorrichtung und Verfahren sowie Sicherheitsmodul zur Sicherung eines Datenzugriffs eines Kommunikationsteilnehmers auf mindestens eine Automatisierungskomponente eines Automatisierungssystems
DE102014117282A1 (de) Automatisierungssystem und Verfahren zu dessen Betrieb
DE102016119744A1 (de) Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät
DE102013201937A1 (de) Vorrichtung und Verfahren zur Erkennung von unbefugten Manipulationen des Systemzustandes einer Steuer- und Regeleinheit einer kerntechnischen Anlage
EP3699705A1 (de) Verfahren zur überwachung eines industriellen kommunikationsnetzwerkes, sicherheits-system, industrielles kommunikationsnetzwerk, computerprogramm und computerlesbares medium
WO2015062812A1 (de) Sicherheitsrelevantes system mit supervisor
EP4639293A1 (de) Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
EP2500788A1 (de) Verfahren zum Verarbeiten von Meldungen in einem Kommunikationsnetz einer industriellen Automatisierungsanlage
DE202008003988U1 (de) Busknoten eines Profinet-Bussystems
DE102009014620A1 (de) Adressabhängige Sicherheitscodefolgen für sichere Eingangsslaves bei AS-Interface
DE102022125355A1 (de) Verfahren zum Überprüfen eines Feldgeräts der Automatisierungstechnik
DE102020102860A1 (de) Verfahren und Instrusionserkennungseinheit zum Verifizieren eines Nachrichtenverhaltens

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R002 Refusal decision in examination/registration proceedings
R006 Appeal filed
R008 Case pending at federal patent court
R003 Refusal decision now final
R011 All appeals rejected, refused or otherwise settled