Die zunehmende Digitalisierung und Vernetzung industrieller Steuerungssysteme mit dem Internet macht diese anfällig für Cyberangriffe. Ein zentraler Forschungsbereich konzentriert sich daher auf die Entwicklung reaktiver Sicherheitsmechanismen in Form industrieller Intrusion-Detection-Systeme (IIDS), die darauf ausgelegt sind, Anomalien im normalen Systembetrieb zu erkennen. Eine entscheidende Voraussetzung hierfür ist die Identifizierung typischer Verkehrsmuster, die ausschließlich für das normale Verhalten industrieller Steuerungssysteme charakteristisch sind. Im Gegensatz zu früheren Arbeiten, die sich auf komplexe und protokollabhängige Modelle zur Charakterisierung des Netzwerkverkehrs industrieller Steuerungssysteme konzentrierten, schlagen wir in dieser Arbeit einfache, leicht umsetzbare und effektive Regeln vor, um zu ermitteln, ob der Netzwerkverkehr in Industrieanlagen – im Gegensatz zu herkömmlichen IT-Netzwerken – über einen längeren Zeitraum stabil bleibt. Anhand der Analyse mehrerer Datensätze aus nachgebildeten und realen industriellen Steuerungssystemen mit unterschiedlichen industriellen Netzwerkprotokollen zeigen wir, dass aufbauend auf diesen Regeln bereits nach kurzer Beobachtungszeit hinreichend prägnante Muster extrahiert werden können, mit deren Hilfe es möglich ist, gängige Verkehrsveränderungen durch Netzverkehrsangriffe zu erkennen. Dieser Ansatz steht im Gegensatz zu herkömmlichen Machine-Learning-IIDS, die häufig einen beträchtlichen zeitlichen Aufwand für den Trainingsprozess erfordern. Somit stellen wir auch die Frage auf, inwieweit komplexe IIDS für den praktischen Betrieb tatsächlich unabdingbar sind.
Mitseva et al. (Thu,) studied this question.