Art der Arbeit: Masterarbeit

Fachlicher Hintergrund:

Wir forschen in mehreren Projekten für die Sicherheit von Feldbussen. Oftmals werden dabei Methoden des Maschinellen Lernens (ML) angewendet, um Aussagen über die Sicherheit des Netzwerkes treffen zu können. Dazu gehören:

• Abschätzung des Risikos anhand von Informationen über die Topologie von Feldbus-Netzwerken und von Zugriffsmöglichkeiten des Angreifers.
• Intrusion Detection Systems (IDS) und Firewalling auf Feldbussen.

Neuerdings werden bei IDS Methoden des maschinellen Lernens eingesetzt  (Data Driven Security). Dabei werden aus dem Datenstrom bestimmte Features extrahiert. Anhand dieser Features findet eine Klassifikation statt. Besonders bei unbekannten Protokollen in der Automatisierungstechnik (Feldbusse) ist diese Klassifikation schwierig, da die Auswahl an Features stark eingeschränkt ist, wenn man nicht weiß, wo die Grenzen zwischen Feldern im Protokoll liegen und welche Bedeutung die einzelnen Felder haben.

Aufgabenbeschreibung:

In dieser Arbeit sollen Möglichkeiten zum Reverse-Engineering von unbekannten Protokollen erforscht werden. Dabei sind beispielsweise Feldgrenzen und deren Bedeutung mittels statistischer Verfahren aus Langzeit-Aufzeichnungen von Datenverkehr zu ermitteln. Die gefundenen Felder sollen anschließend als Basis für die Feature-Extraktion für die Klassifikation in Intrusion Detection Systemen verwendet werden.

Dann sollen folgende Fragen beantwortet werden:

• Welche Methoden können zum Reverse Engineering verwendet werden?
• Wie zuverlässig funktionieren diese Methoden?
• Sind die Methoden für beliebige Protokolle einsetzbar? Funktionieren sie für Feldbus-Protokolle in der Gebäudeautomation?
• Wie gut funktioniert ein IDS auf dieser Basis?

Dazu soll ein Prototyp entwickelt werden.

Mögliche Arbeitsschritte:

• Betrachtung der existierenden Verfahren für Protokoll Reverse Engineering
• Betrachtung der zu untersuchenden Protokolle
• Betrachtung der Verfahren von Intrusion Detection Systemen
• Konzeption eines Verfahrens für die Extraktion von Datenfeldern aus Feldbus-Protokollen
• Prototyp
• Evaluation

Die genaue Festlegung des Themas erfolgt in Abstimmung mit dem Betreuer.

Literatur und Ressourcen:

• Narayan, John, Sandeep K. Shukla, and T. Charles Clancy. "A survey of automatic protocol reverse engineering tools." ACM Computing Surveys (CSUR) 48.3 (2015): 1-26.
• Sija, Baraka D., et al. "Survey on network protocol reverse engineering approaches, methods and tools." 2017 19th Asia-Pacific Network Operations and Management Symposium (APNOMS). IEEE, 2017.
• Duchene, Julien, et al. "State of the art of network protocol reverse engineering tools." Journal of Computer Virology and Hacking Techniques 14.1 (2018): 53-68.
• Peters, M., Goltz, J., Wiedenmann, S., & Mundt, T. "Using Machine Learning to Find Anomalies in Field Bus Network Traffic." International Conference on Security, Privacy and Anonymity in Computation, Communication and Storage. Springer, Cham, 2019.

Betreuer: Dr. Thomas Mundt (thomas.mundt@uni-rostock.de)

Voraussetzungen: Grundfertigkeiten auf dem Bereich Netzwerksicherheit sind von Vorteil.