Automatisierte Angriffsanalyse aufgrund verteilter Logdaten

Art der Arbeit: Masterarbeit (Bachelorarbeit mit reduziertem Umfang)

Fachlicher Hintergrund:

Feldbusse werden in industriellen und Gebäudeautomatisierungssystemen eingesetzt, um Sensoren, Aktoren mit den Controller-Bausteinen zu verbinden. Sie werden bei der IT-Sicherheit sträflich missachtet und stellen ein willkommenes Einfallstor in weitere Teile der sonstigen IT-Infrastruktur dar.

Ein besonders interessanter Ansatzpunkt in KNX-Netzwerken stellen Linienkoppler (Verbindungselemente zwischen zwei Netzsegmenten, ähnlich einem Router) dar. An diesen Geräten fließen alle Daten vorbei, was eine engmaschige Überwachung des Netzwerkverkehrs erlaubt. Um ein bestehendes Netzwerk nachträglich mit Sicherheitsfeatures auszustatten stehen meist keine anderen Kommunikationskanäle zur Übermittlung der Logdaten zur Verfügung. Eine Übertragung innerhalb des KNX-Netzes ist besonders wünschenswert, allerdings beträgt die Datenrate bei Twisted Pair lediglich 9,6 kBit/s. Dies schafft gewisse Schwierigkeiten. Log-Daten müssten zu einer zentralen Instanz übertragen werden, ohne den regulären Betrieb zu stören, um eine Auswertung über das gesamte Netzwerk durchführen zu können. Daher besteht die Idee darin die Logs im Netz bei den Linienkopplern verteilt zu halten und nur bei erkannten Angriffen entsprechend Nachforschung in den einzelnen Logs durchzuführen.

In der Arbeit soll untersucht werden, inwiefern ein Angriff automatisch analysiert werden kann. Dazu sollen an verschiedenen Stellen im Netzwerk Logs angelegt werden, die dann durch entsprechende Anfragen im Nachhinein ausgewertet werden können. Damit soll es möglich sein die Ausbreitung eines Angriffs und eventuelle Ziele des Angreifers zu identifizieren.

Aufgabenbeschreibung:

Es sollen unter anderem die folgenden Fragestellungen beantwortet werden:

  • Ist eine automatische Analyse von Angriffen möglich?
  • Wie können Angriffe generell kategorisiert werden um diese im Nachgang automatisch zu beschreiben?
  • Welche Informationen können automatisiert gewonnen werden, und wo ist Handarbeit nötig?

Mögliche Arbeitsschritte:

  • Betrachtung der zu untersuchenden Protokolle auf der Feldebene (konkret KNX)
  • Betrachtung der vorhandenen Metadaten über das Feldbus-System
  • Stand der Technik bei automatisierter Angriffserkennung/Angriffsbewertung
  • Konzeption eines Systems zur automatischen Analyse von Angriffen
  • Umsetzung
  • Erprobung
  • Bewertung

Die genaue Festlegung des Themas erfolgt in Abstimmung mit den Betreuern unter Berücksichtigung eventuell schon an andere Studenten vergebener Themengebiete. Eine gemeinsame Bearbeitung verschiedener Teilthemen durch mehrere Studenten ist unter Umständen möglich. 

Literatur und Ressourcen:

  • Aschendorf, Bernd. "Funktionen der Gebäudeautomation." Energiemanagement durch Gebäudeautomation. Springer Fachmedien Wiesbaden (2014).
  • Sokollik, Frank; Helm, Peter; Seela Ralph. "KNX für die Gebäudesystemtechnik in Wohn- und Zweckbau" Berlin: VDE-Verlag (2017).
  • van Heerden, Renier; Leenen Louise; Irwin, Barry. "Automated Classification of Computer Network Attacks" International Conference on Adaptive Science and Technology: IEEE (2013).

Betreuer: Johannes Goltz (johannes.goltzuni-rostockde)

Voraussetzungen: Keine besonderen, Programmierkenntnisse in einer höheren Programmiersprache und Kenntnisse in der Simulation sind von Vorteil. Ein grundlegendes Verständnis der elektrischen Eigenschaften von Netzwerken ist hilfreich.