Deep Packet Inspection für Feldbusse

Art der Arbeit: Masterarbeit (Bachelorarbeit mit reduziertem Umfang)

Fachlicher Hintergrund:

Feldbusse werden in industriellen und Gebäudeautomatisierungssystemen eingesetzt, um Sensoren, Aktoren mit den Controller-Bausteinen zu verbinden. Sie werden bei der IT-Sicherheit sträflich missachtet und stellen ein willkommenes Einfallstor in weitere Teile der sonstigen IT-Infrastruktur dar.

Wir erforschen neue Ansätze zur Absicherung der Feldbus-Ebene in Automatisierungssystemen. In dieser Arbeit möchten wir erforschen, ob und wie eine sogenannte Deep Packet Inspection auf Feldbussen funktioniert. Dabei geht es darum, Filter (ähnlich wie Firewalls) zu entwickeln, die nicht nur nach Adressen filtern, sondern den Inhalt der Pakete berücksichtigen.

Gelegentlich ist bekannt, welche Positionen in der Topologie und welche Funktionen die Busteilnehmer in einem Feldbus-Netzwerk haben. Daraus lässt sich ableiten, welche Teilnehmer miteinander kommunizieren müssen und welche Nachrichtentypen zu erwarten sind. Wir wollen aus diesen Daten die Filterregeln gewinnen. Wir haben dazu einen Demonstrator für KNX Feldbusse gebaut. Dieser soll als Experimentierumgebung dienen.

Aufgabenbeschreibung:

Es sollen unter anderem die folgenden Fragestellungen beantwortet werden:

  • Liegen alle notwendigen Informationen vor, um alle legitimen Datenpakete bestimmen zu können und nur diese durch Filter zu lassen?
  • Welche Arten von Angriffen können dadurch erkannt oder verhindert werden?
  • Wo liegen die Schwachstellen?

Mögliche Arbeitsschritte:

  • Betrachtung der zu untersuchenden Protokolle auf der Feldebene (konkret KNX).
  • Betrachtung der vorhandenen Metadaten über das Feldbus-System.
  • Betrachtung des Standes der Technik bei Deep Packet Inspection und ähnlichen Netzwerk-Filtern.
  • Konzipierung eines Verfahrens zur maximalen Restriktion von Filtern.
  • Umsetzung
  • Erprobung
  • Bewertung

Die genaue Festlegung des Themas erfolgt in Abstimmung mit den Betreuern unter Berücksichtigung eventuell schon an andere Studenten vergebener Themengebiete. Eine gemeinsame Bearbeitung verschiedener Teilthemen durch mehrere Studenten ist unter Umständen möglich. 

Literatur und Ressourcen:

  • Amrein, A., et al. "Security intelligence for industrial control systems." IBM Journal of Research and Development 60.4 (2016): 13-1.
  • Aschendorf, Bernd. "Funktionen der Gebäudeautomation." Energiemanagement durch Gebäudeautomation. Springer Fachmedien Wiesbaden, 2014.
  • Merz, Hermann, Thomas Hansemann, and Christof Hübner. "Gebäudeautomation." München: Carl-Hanser-Verlag (2010).
  • Sokollik, Frank; Helm, Peter; Seela Ralph. "KNX für die Gebäudesystemtechnik in Wohn- und Zweckbau" Berlin: VDE-Verlag (2017).

Betreuer: Dr. Thomas Mundt (thomas.mundt@uni-rostock.de)

Voraussetzungen: Keine besonderen, Programmierkenntnisse in einer höheren Programmiersprache und Kenntnisse in der Simulation sind von Vorteil. Ein grundlegendes Verständnis der elektrischen Eigenschaften von Netzwerken ist hilfreich.