DE102008059487A1 - Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system - Google Patents

Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system Download PDF

Info

Publication number
DE102008059487A1
DE102008059487A1 DE102008059487A DE102008059487A DE102008059487A1 DE 102008059487 A1 DE102008059487 A1 DE 102008059487A1 DE 102008059487 A DE102008059487 A DE 102008059487A DE 102008059487 A DE102008059487 A DE 102008059487A DE 102008059487 A1 DE102008059487 A1 DE 102008059487A1
Authority
DE
Germany
Prior art keywords
communication
automation system
data
components
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102008059487A
Other languages
German (de)
Inventor
Tomas Brandstetter
Konstantin Dr. Knorr
Christof Dr. Pastors
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102008059487A priority Critical patent/DE102008059487A1/en
Publication of DE102008059487A1 publication Critical patent/DE102008059487A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23317Safe mode, secure program, environment in case of error, intrusion
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25011Domotique, I-O bus, home automation, building automation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

The method involves determining communication parameters of automation system (200) based on configuration data of the automation system. The communication parameters for parameterization data of communication protection system are constructed. An independent claim is also included for an automation system.

Description

Die Erfindung betrifft ein Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage sowie ein Verfahren zum Überwachen eines Kommunikationsnetzes einer Automatisierungsanlage und eine Automatisierungsanlage.The The invention relates to a method for generating parameterization data for a communication protection system of a communication network in an automation system and a method for monitoring a communication network of an automation system and a Automation system.

Neue Kommunikationsnetze in Automatisierungsanlagen basieren heutzutage in der Regel auf bekannten Kommunikationstechnologien, wie TCP/IP und Ethernet. Solche Kommunikationsnetze sind Sicherheitsbedrohungen durch Angriffe, wie Hacking, Malware und dergleichen, ausgesetzt. Zum Erkennen bzw. Vermeiden von solchen Angriffen werden Kommunikations-Schutzsysteme verwendet. Aus dem Stand der Technik sind insbesondere Intrusion-Detection-Systeme bekannt, welche jeglichen Netzverkehr in einem Kommunikationsnetz abhören und bei schädlich eingestuftem Netzverkehr Alarmmeldungen generieren. Zur Beurteilung der Schädlichkeit von Netzverkehr benötigt ein Kommunikations-Schutzsystem Parametrierungsdaten.New Communication networks in automation systems are based today usually on known communication technologies, such as TCP / IP and Ethernet. Such communication networks are security threats through attacks such as hacking, malware and the like. To detect or avoid such attacks are communication protection systems used. In particular, intrusion detection systems are known from the prior art known which any network traffic in a communication network intercept and malicious classified network traffic Generate alarm messages. To assess the harmfulness Network traffic requires a communication protection system Parameterization.

Für die Generierung entsprechender Parametrierungsdaten sind aus dem Stand der Technik signaturbasierte und lernende Verfahren bekannt. signaturbasierte Verfahren suchen nach bekannten Angriffsmustern und haben daher den Nachteil, dass nur bekannte Bedrohungen erfasst werden können. Darüber hinaus sind die Angriffsmuster generisch und typischerweise nicht auf Automatisierungsnetze zugeschnitten. Lernende Verfahren untersuchen in einer initialen Lernphase den Kommunikationsverkehr im Netzwerk und versuchen daraus sinnvolle Parametrisierungsdaten abzuleiten. Lernende Verfahren können somit auch unbekannte Bedrohungen erkennen. Diese Verfahren haben jedoch den Nachteil, dass die initiale Lernphase oftmals sehr aufwändig ist, da während der Inbetriebnahme des Kommunikationsnetzes über einen längeren Zeitraum Daten erfasst werden müssen. Darüber hinaus besteht das Risiko, dass eine anfänglich bestehende Kompromittierung eines Systems, d. h. ein bereits bei der Initialisierung des Systems enthaltendes Angriffsmuster, durch die Lernphase als valides Verhalten klassifiziert wird. Daher sind auf lernenden Verfahren basierende Kommunikations-Schutzsysteme für Automatisierungsanlagen zwar anwendbar, aber nicht praktikabel.For the generation of corresponding parameterization data are from the Prior art signature-based and learning methods known. signature-based methods look for known attack patterns and therefore have the disadvantage that only known threats detected can be. In addition, the attack patterns generic and typically not tailored to automation networks. Learning methods investigate the initial learning phase Communication traffic in the network and try meaningful parameterization data derive. Learning methods can thus also unknown Detect threats. However, these methods have the disadvantage that the initial learning phase is often very time-consuming, since during commissioning of the communication network via a longer period of time data must be recorded. In addition, there is a risk that an initial existing compromise of a system, d. H. already at the initialization of the system containing attack pattern, by the learning phase is classified as a valid behavior. Therefore are learning-based communication protection systems Although applicable for automation systems, but not practical.

Aufgabe der Erfindung ist es, auf einfache Weise zuverlässige Parametrisierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage zu generieren.task The invention is to provide reliable parameterization data in a simple manner for a communication protection system of a communication network to generate in an automation system.

Diese Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 oder das Verfahren gemäß Patentanspruch 13 oder die Automatisierungsanlage gemäß Patentanspruch 14 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.These Task is by the method according to claim 1 or the method according to claim 13 or the automation system according to claim 14 solved. Further developments of the invention are in the dependent Claims defined.

In dem erfindungsgemäßen Verfahren werden basierend auf Konfigurationsdaten der Automatisierungsanlage Kommunikationsparameter der Automatisierungsanlage ermittelt. Basierend auf diesen Kommunikationsparametern werden dann die Parametrierungsdaten für das Kommunikations-Schutzsystem erstellt. Das erfindungsgemäße Verfahren beruht auf der Erkenntnis, dass in einer Automatisierungsanlage in einer initialen Planungsphase eine Konfiguration der Anlage erfolgt, wobei diese Konfiguration in Konfigurationsdaten festgelegt ist. Diese Konfigurationsdaten sind dabei im Regelfall sog. Engineeringdaten, die bei der Inbetriebnahme der Automatisierungsanlage deren Konfiguration festlegen. Die Konfigurationsdaten enthalten dabei auch Informationen über Konfigurationsparameter, wie z. B. vorhandene Komponenten im Kommunikationsnetz und deren Adressen und deren verwendete Kommunikationsprotokolle. Diese Informationen werden erfindungsgemäß zur Erstellung von geeigneten Parametrierungsdaten für ein Kommunikations-Schutz-System verwendet.In the method according to the invention are based on configuration data of the automation system communication parameters the automation system determined. Based on these communication parameters then the parameterization data for the communication protection system created. The inventive method is based on the realization that in an automation system in one initial planning phase is a configuration of the plant, where this configuration is set in configuration data. This configuration data As a rule, these are so-called engineering data that are used during commissioning the automation system to define their configuration. The configuration data also contain information about configuration parameters, such as B. existing components in the communication network and their Addresses and their communication protocols used. This information are used in the preparation of suitable Parameterization data for a communication protection system used.

Die Erfindung hat den Vorteil, dass die individuelle Konfiguration einer Automatisierungsanlage zur Parametrierung eines Kommunikations-Schutzsystems verwendet wird, und nicht auf generische Signaturen zurückgegriffen werden muss. Darüber hinaus benötigt das Verfahren keine initiale Lernphase, wie dies bei lernenden Intrusion-Detection-Systemen der Fall ist.The Invention has the advantage that the individual configuration of a Automation system for parameterizing a communication protection system is used, and does not rely on generic signatures must become. In addition, the process needed no initial learning phase, as is the case with learning intrusion detection systems Case is.

Das erfindungsgemäße Verfahren generiert vorzugsweise Parametrierungsdaten für ein Intrusion-Detection-System oder ein Intrusion-Prevention-System. In einem Intrusion-Prevention-System werden übertragene Daten verworfen bzw. Kommunikationsverbindungen unterbrochen, wenn ein Angriff auf das Kommunikationsnetz festgestellt wird.The Inventive method preferably generates Parameterization data for an intrusion detection system or an intrusion prevention system. In an intrusion prevention system are transmitted Data discarded or communication connections interrupted when an attack on the communications network is detected.

Das erfindungsgemäße Verfahren kann für beliebige Automatisierungsanlagen eingesetzt werden. Bevorzugte Anwendungsbereiche sind Industrieautomatisierungsanlagen, wie z. B. Produktionsanlagen und Fertigungsstraßen, Energieautomatisierungsanlagen, wie z. B. Energieverteilsysteme, Umspannwerke und dergleichen, und Gebäudeautomatisierungsanlagen.The inventive method can for any Automation systems are used. Preferred applications are industrial automation systems, such. B. production facilities and production lines, energy automation systems, such as As energy distribution systems, substations and the like, and Building automation systems.

In einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens sind die ermittelten Kommunikationsparameter die in dem Kommunikationsnetz enthaltenen Komponenten und die zwischen den Komponenten verwendeten Kommunikationsverbindungen, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems einen Regelsatz spezifizieren, der basierend auf den Komponenten und den Kommunikationsverbindungen festlegt, unter welchen Bedingungen im Betrieb des Kommunikationsnetzes ein Angriff auf das Kommunikationsnetz festgestellt wird. Die Komponenten sind dabei beispielsweise ein oder mehrere Feldgeräte, wie z. B. sog. IEDs (IED = Intelligent Electronic Device), welche vorbestimmte Aufgaben in der Automatisierungsanlage ausführen. Die Komponenten umfassen vorzugsweise ferner eine oder mehrere Steuerungseinrichtungen, wie z. B. sog. Substation-Controller, zur Steuerung der Feldgeräte und zumindest ein übergeordnetes Leitsystem.In a particularly preferred embodiment of the method according to the invention, the communication parameters determined are the components contained in the communication network and the component used between the components communication connections, wherein the parameterization data of the communication protection system specify a set of rules that determines based on the components and the communication connections, under which conditions during the operation of the communication network an attack on the communication network is detected. The components are, for example, one or more field devices, such. B. so-called. IEDs (IED = Intelligent Electronic Device), which perform predetermined tasks in the automation system. The components preferably further comprise one or more control devices, such. B. so-called. Substation controller, for controlling the field devices and at least one higher-level control system.

In einer besonders bevorzugten Ausführungsform erfolgt die Überprüfung von Angriffen in dem Kommunikationsnetz auf besonders einfache Weise durch Whitelists. Dabei spezifizieren die Kommunikationsparameter eine oder mehrere Listen von zulässigen Kommunikationsverbindungen zwischen Komponenten des Kommunikationsnetzes und durch einen entsprechenden Regelsatz des Kommunikations-Schutzsystems wird festgelegt, dass ein Angriff im Betrieb des Kommunikationsnetzes dann festgestellt wird, wenn eine nicht in der oder den Listen enthaltene Kommunikationsverbindung auftritt.In In a particularly preferred embodiment, the check is carried out of attacks in the communication network in a particularly simple manner through whitelists. The communication parameters specify one or more lists of allowed communication links between components of the communications network and by a corresponding Rule set of the communication protection system is set to an attack in the operation of the communication network then detected if there is a communication connection not contained in the list or lists occurs.

In einer weiteren, besonders bevorzugten Ausführungsform der Erfindung wird das Verfahren in einem Kommunikationsnetz einer Automatisierungsanlage eingesetzt, welches bekannte Kommunikationsprotokolle verwendet. In diesem Fall spezifizieren die Kommunikationsparameter die Kommunikationsverbindungen durch das oder die für die jeweilige Kommunikationsverbindung verwendeten Protokolle aus den Schichten des OSI-Referenzmodells, wobei die Protokolle insbesondere das Ethernet-Protokoll und/oder das TCP/UDP-Protokoll und/oder das IP-Protokoll und/oder das Protokoll gemäß dem Standard IEC 61850 umfassen. Diese Protokolle sind alle hinlänglich aus dem Stand der Technik bekannt. Das zuletzt genannte Protokoll nach dem Standard IEC 61850 ist dabei ein spezielles Übertragungsprotokoll für die Schutz- und Leittechnik in Energieautomatisierungsanlagen.In a further, particularly preferred embodiment of the invention, the method is used in a communication network of an automation system which uses known communication protocols. In this case, the communication parameters specify the communication connections by the protocol or protocols used for the respective communication connection from the layers of the OSI reference model, the protocols in particular the Ethernet protocol and / or the TCP / UDP protocol and / or the IP protocol and / or the protocol according to the standard IEC 61850 include. These protocols are all well known in the art. The latter protocol according to the standard IEC 61850 is a special transmission protocol for the protection and control technology in energy automation systems.

In einer besonders bevorzugten Ausführungsform legen die Kommunikationsparameter für die Kommunikationsverbindungen zwischen Komponenten des Kommunikationsnetzes fest, über welche Spezifikationswerte die Komponenten in den einzelnen Protokollen angesprochen werden. Die Spezifikationswerte sind dabei insbesondere IP-Adressen und/oder Ports, insbesondere TCP/UDP-Ports.In In a particularly preferred embodiment, the communication parameters for the communication links between components the communication network, over which specification values the components in the individual protocols are addressed. The specification values are in particular IP addresses and / or Ports, especially TCP / UDP ports.

In der Ausführungsform der Erfindung, bei welcher ein Regelsatz des Kommunikations-Schutzsystems auf eine oder mehreren Listen von zulässigen Kommunikationsverbindungen beruht, werden die zulässigen Kommunikationsverbindungen in der oder den Listen vorzugsweise zumindest teilweise durch eine Quell-IP-Adresse und einen Quell-Port sowie eine Ziel-IP-Adresse und einen Ziel-Port spezifiziert.In the embodiment of the invention, in which a rule set of the communication protection system on one or more lists of permissible communication links, the permissible communication connections in the list or lists preferably at least partially by a source IP address and a source port as well as a destination IP address and a destination port specified.

In einer weiteren, besonders bevorzugten Ausführungsform werden in dem erfindungsgemäßen Verfahren Konfigurationsdaten in der Form von sog. XML-Daten verarbeitet. Ferner werden die Parametrierungsdaten als sog. SNORT-Regelsatz generiert. SNORT ist dabei ein hinlänglich aus dem Stand der Technik bekanntes Intrusion-Prevention- und Intrusion-Detection-System, welches eine regelbasierte Beschreibungssprache verwendet. Das Verfahren wird dabei vorzugsweise als ein Konverter (z. B. als Softwarekonverter) und/oder als ein Parser realisiert, der aus den XML-Daten einen SNORT-Regelsatz generiert.In a further, particularly preferred embodiment in the method according to the invention configuration data processed in the form of so-called XML data. Furthermore, the parameterization data generated as a so-called SNORT rule set. SNORT is a good enough one prior art intrusion prevention and intrusion detection system, which uses a rule-based description language. The procedure will preferably as a converter (eg as software converter) and / or realized as a parser that uses the XML data SNORT rule set generated.

Neben dem oben beschriebenen Verfahren zur Generierung von Parametrierungsdaten umfasst die Erfindung ferner ein Verfahren zum Überwachen eines Kommunikationsnetzes einer Automatisierungsanlage, bei dem die Kommunikationsverbindungen im Betrieb der Automatisierungsanlage basierend auf einem Kommunikations-Schutzsystem überwacht werden, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems mit dem im Vorangegangenen beschriebenen erfindungsgemäßen Verfahren generiert sind.Next the method for generating parameterization data described above The invention further comprises a method for monitoring a Communication network of an automation system, in which the communication links monitored during operation of the automation system based on a communication protection system with the parameterization data of the communication protection system with the method according to the invention described above are generated.

Darüber hinaus betrifft die Erfindung eine Automatisierungsanlage, umfassend ein Kommunikationsnetz, welches derart ausgestaltet ist, dass im Betrieb der Automatisierungsanlage das Kommunikationsnetz mit dem oben genannten Überwachungsverfahren überwacht wird.About that In addition, the invention relates to an automation system comprising a communication network, which is designed such that in Operation of the automation system the communication network with the supervised monitoring procedures becomes.

Ausführungsbeispiele der Erfindung werden nachfolgend anhand der beigefügten 1 und 2 beschrieben.Embodiments of the invention are described below with reference to the attached 1 and 2 described.

Es zeigen:It demonstrate:

1 eine schematische Darstellung eines Kommunikationsnetzes einer Automatisierungsanlage, welches basierend auf einer erfindungsgemäß erzeugten Parametrierung eines Intrusion-Detection-Systems überwacht wird; und 1 a schematic representation of a communication network of an automation system, which is monitored based on an inventively generated parameterization of an intrusion detection system; and

2 die Darstellung eines Regelsatzes für ein Intrusion-Detection-Systems in der Form einer Tabelle für die Anlage der 1. 2 the representation of a rule set for an intrusion detection system in the form of a table for the installation of 1 ,

1 zeigt schematisiert ein Kommunikationsnetz einer Energieautomatisierungsanlage 200 mit einem Leitsystem 1, welches ein Umspannwerk 100 als Teil der Automatisierungsanlage überwacht. Die Automatisierungsanlage basiert dabei auf dem hinlänglich aus dem Stand der Technik bekannten SCADA-Konzept (SCADA = Supervisory Control And Data Aquisition). Die Automatisierungsanlage kann anstatt einer Energieautomatisierungsanlage eine Industrieautomatisierungsanlage oder eine Gebäudeautomatisierungsanlage sein. Im Folgenden wird das Verfahren am Beispiel einer Energieautomatisierungsanlage erläutert. 1 schematically shows a communication network of an energy automation system 200 with a control system 1 , which is a substation 100 monitored as part of the automation system. The automation system is based on the well-known from the prior art SCADA concept (SCADA = Supervisory Control And Data Acquisition). The automation system can be an industrial automation system or a building automation system instead of an energy automation system. The method is explained below using the example of an energy automation system.

Die Kommunikationsbeziehungen in der Automatisierungsanlage 200 sind hierarchisch aufgebaut. In der höchsten Hierarchieebene ist das Leitsystem 1 vorgesehen, dem eine IP-Adresse IP1 zugeordnet ist. Im Leitsystem befindet sich ein menschlicher Operator, der über eine HMI-Schnittstelle u. a. die Vorgänge in dem Umspannwerk 100 überwacht und kontrolliert. Das Leitsystem 1 kommuniziert mit einer oder mehreren Steuervorrichtungen in der Form sog. Substation-Controllern, wobei in dem Beispiel der 1 ein einzelner Substation-Controller 2 mit entsprechender IP-Adresse IP2 gezeigt ist. Der Substation-Controller 2 kommuniziert wiederum unter Zwischenschaltung eines Switches 7 mit in der darunter liegenden Hierarchieebene befindlichen Feldgeräten 3, 4 und 5 mit entsprechenden IP-Adressen IP3, IP4 und IP5. Die Feldgeräte 3 bis 5 können ferner auch untereinander kommunizieren. Die Kommunikationsbeziehungen sind in 1 dabei durch Doppelpfeile angedeutet.The communication relationships in the automation system 200 are hierarchically structured. At the highest hierarchical level is the control system 1 provided, which is assigned an IP address IP1. The control system contains a human operator who uses an HMI interface to monitor, among other things, the processes in the substation 100 monitored and controlled. The control system 1 communicates with one or more control devices in the form of so-called substation controllers, in the example of 1 a single substation controller 2 with corresponding IP address IP2 is shown. The Substation Controller 2 in turn communicates with the interposition of a switch 7 with field devices located in the hierarchical level below 3 . 4 and 5 with corresponding IP addresses IP3, IP4 and IP5. The field devices 3 to 5 can also communicate with each other. The communication relationships are in 1 indicated by double arrows.

Die Feldgeräte stellen sog. IEDs (IED = Intelligent Electronic Device) dar und erfüllen Aufgaben im Umspannwerk. Sie sind Automatisierungskomponenten des Umspannwerks und umfassen beispielsweise Strommesser, Schutzschalter und dergleichen. In dem Substation-Controller 2 erfolgt dabei die Konsolidierung der Daten der Feldgeräte 3 bis 5.The field devices represent so-called IEDs (Intelligent Electronic Device IEDs) and fulfill tasks in the substation. They are automation components of the substation and include, for example, ammeters, circuit breakers and the like. In the substation controller 2 The consolidation of the data of the field devices takes place 3 to 5 ,

In dem Umspannwerk 100 kommunizieren die einzelnen Komponenten 1 bis 5 über verschiedene Protokolle des OSI-Referenzmodells. Insbesondere wird auf der L2-Schicht über das Ethernet-Protokoll kommuniziert und auf den darüber liegenden Schichten mit TCP/IP. Als Applikationsprotokoll wird das Protokoll gemäß dem Standard IEC 61850 verwendet, welches ein Übertragungsprotokoll für die Schutz- und Leittechnik in elektrischen Schaltanlagen der Mittel- und Hochspannungstechnik ist. In dem System der 1 ist ein Intrusion-Detection-System 6 (auch als IDS-System bezeichnet) implementiert, welches an dem Switch 7 den Netzverkehr überwacht und gegebenenfalls Warnmeldungen ausgibt, sofern basierend auf der Parametrierung des IDS-Systems ein Angriff von außen erfolgt.In the substation 100 communicate the individual components 1 to 5 through various protocols of the OSI reference model. In particular, it is communicated on the L2 layer via the Ethernet protocol and on the overlying layers with TCP / IP. As an application protocol, the protocol according to the standard IEC 61850 used, which is a transmission protocol for the protection and control technology in electrical switchgear of medium and high voltage engineering. In the system of 1 is an intrusion detection system 6 (also called IDS system) implemented on the switch 7 monitors the network traffic and, if necessary, issues warning messages if an external attack occurs based on the parameterization of the IDS system.

Die IDS-Regelspezifikation wurde dabei z. B. aus den Enigneeringdaten einer IEC 61850 Substation-Parametrierung abgeleitet. Die Engineeringdaten stellen entsprechende Konfigurationsdaten der Automatisierungsanlage dar, welche die Konfiguration der Anlage bei deren Inbetriebnahme festlegen. Diese Engineeringdaten werden erfindungsgemäß zur Erzeugung der Spezifikation eines IDS-Systems verwendet. In dem Beispiel der 1 ist gemäß den Engineeringdaten eine Kommunikation der Feldgeräte 3, 4 und 5 untereinander basierend auf Ethernet über die MAC-Adressen der Feldgeräte mit darauf aufgesetzten IEC 61850-Protokoll ohne Zwischenschaltung von TCP/IP erlaubt. Demgegenüber kommunizieren die Feldgeräte mit dem Substation-Controller 2 und dieser mit dem Leitsystem 1 basierend auf TCP/IP mit entsprechenden IP-Adressen und Ports untereinander. Ferner sind in den Engineeringdaten die IP- Adressen, MAC-Adressen und Ports der einzelnen Geräte 1 bis 5 festgelegt.The IDS rule specification was z. B. from the Enigneeringdaten a IEC 61850 Substation parameterization derived. The engineering data represent corresponding configuration data of the automation system, which determine the configuration of the plant during its commissioning. This engineering data is used according to the invention for generating the specification of an IDS system. In the example of 1 is a communication of the field devices according to the engineering data 3 . 4 and 5 mutually based on Ethernet via the MAC addresses of the field devices with attached thereto IEC 61850 protocol without interposing of TCP / IP allowed. In contrast, the field devices communicate with the Substation Controller 2 and this with the control system 1 based on TCP / IP with corresponding IP addresses and ports among each other. Furthermore, the engineering data contains the IP addresses, MAC addresses and ports of the individual devices 1 to 5 established.

In dem hier beschriebenen Ausführungsbeispiel kann der Substation-Controller 2 nur über TCP-Quellports größer 1024 mit den Feldgeräte 3, 4 und 5 mit einem einzigen TCP-Zielport 102 kommunizieren. Aus dieser, aus den Engineeringdaten stammenden Information wird in der hier beschriebenen Ausführungsform der Erfindung nunmehr eine sog. Whitelist generiert. Ein Beispiel einer solchen Whitelist ist in 2 gezeigt. Die Whitelist enthält in der ersten Spalte mögliche Quell-IP-Adressen SIP, in der zweiten Spalte mögliche Quell-Ports SP, in der dritten Spalte mögliche Ziel-IP-Adressen DIP und in der vierten Spalte mögliche Ziel-Ports DP. In jeder Zeile werden die zulässigen Kommunikationspartner mit entsprechenden IP-Adressen und zulässigen Ports angegeben.In the embodiment described here, the Substation Controller 2 only via TCP source ports greater than 1024 with the field devices 3 . 4 and 5 communicate with a single TCP destination port 102. From this information originating from the engineering data, a so-called whitelist is now generated in the embodiment of the invention described here. An example of such a whitelist is in 2 shown. The whitelist contains possible source IP addresses SIP in the first column, possible source ports SP in the second column, possible destination IP addresses DIP in the third column and possible destination ports DP in the fourth column. In each line, the permitted communication partners are specified with the corresponding IP addresses and permissible ports.

Beispielhaft sind dabei in 2 die möglichen Kommunikationsbeziehungen zwischen dem jeweiligen Feldgerät 3 bzw. 4 bzw. 5 und dem Substation-Controller 2 wiedergegeben. Man erkennt, dass jedes Feldgerät 3 bis 5 über seine entsprechende IP-Adresse IP3, IP4 und IP5 mit der IP-Adresse IP2 des Substation-Controllers 2 kommunizieren kann. Dabei muss der Quell-Port des Substation-Controllers jedoch immer größer als 1024 sein und es kann nur der Ziel-Port 102 angesprochen werden. Es wird nunmehr durch das Intrusion-Detection-System 6 die auftretenden Kommunikationen über einen Monitoring-Port am Switch 7 überwacht und mit der Whitelist verglichen. Tritt eine Kommunikationsverbindung auf, welche keiner Zeile in der Whitelist entspricht, wird daraus geschlossen, dass ein unerlaubter Angriff von außen vorliegt, woraufhin ein entsprechender Alarm ausgegeben wird.Exemplary are in 2 the possible communication relationships between the respective field device 3 respectively. 4 respectively. 5 and the substation controller 2 played. It can be seen that every field device 3 to 5 via its corresponding IP address IP3, IP4 and IP5 with the IP address IP2 of the substation controller 2 can communicate. However, the source port of the substation controller must always be greater than 1024 and only the destination port 102 can be addressed. It is now through the intrusion detection system 6 the communications that occur via a monitoring port on the switch 7 monitored and compared with the whitelist. If a communication connection occurs which does not correspond to any line in the whitelist, it is concluded that there is an unauthorized attack from the outside, whereupon a corresponding alarm is issued.

Wie sich aus den obigen Ausführungen ergibt, kann basierend auf den Engineeringdaten einer Automatisierungsanlage in geeigneter Weise eine Regelspezifikation für ein IDS-System generiert werden. Durch die Engineeringdaten liegen bereits Informationen über das Kommunikationsverhalten der Automatisie rungsanlage vor, da die Engineeringdaten bei Inbetriebnahme die Anlage auf Automatisierungsebene konfigurieren. Die Engineeringdaten enthalten dabei insbesondere die Information, welche Komponenten, beispielsweise hinterlegt mit IP-Adressen, über welche Automatisierungsprotokolle, beispielsweise hinterlegt durch das TCP/UDP-Protokoll und relevante Port-Nummern, miteinander kommunizieren. Basierend darauf wird in einer bevorzugten Variante der Erfindung ein entsprechender Konverter verwendet, der das in den Engineeringdaten vorliegende Informationsmodell ausliest und daraus die Spezifikation eines IDS-Systems generiert. Wie anhand der in Bezug auf 1 und 2 beschriebenen Ausführungsform deutlich wurde, stellt diese Spezifikation beispielsweise eine Kommunikationsmatrix bzw. Kommunikationstabelle dar, welche unter anderem wiedergibt, welche IP-Adresse über welche Ports mit anderen IP-Adressen spricht.As can be seen from the above explanations, a rule specification for an IDS system can be generated in a suitable manner based on the engineering data of an automation system. Due to the engineering data, information about the communication behavior of the automation system is already available, since the engineering da During commissioning, configure the system at the automation level. The engineering data contain in particular the information which components, for example deposited with IP addresses, via which automation protocols, for example, stored by the TCP / UDP protocol and relevant port numbers communicate with each other. Based on this, in a preferred variant of the invention, a corresponding converter is used which reads out the information model present in the engineering data and generates therefrom the specification of an IDS system. As related to in terms of 1 and 2 For example, this specification represents a communication matrix or communication table which, among other things, represents which IP address is talking via which ports with other IP addresses.

Die im Vorangegangenen beschriebene Ausführungsform des erfindungsgemäßen Verfahrens hat den Vorteil, dass für die Generierung der IDS-Parametrisierungsspezifikation keine Signaturdaten verwendet werden müssen und auch kein aufwändiger Lernprozess zum Erkennen von Angriffen durchlaufen werden muss. Stattdessen können bestehende Informationen aus den Engineeringdaten der Automatisierungsanlage genutzt werden, um daraus eine auf die Automatisierungsanlage maßgeschneiderte Spezifikation für die Parametrierung eines Intrusion-Detection-Systems zu erstellen. Die IDS-Konfiguration repräsentiert dabei sehr genau das Kommunikationsverhalten der Anlage. Damit werden analog wie bei selbstlernenden Verfahren auch neue, unbekannte Angriffe detektiert, welche nicht dem Kommunikationsverhalten entsprechen. Hierfür ist jedoch kein Lernprozess erforderlich. Darüber hinaus kann mit den bestehenden Engineeringdaten einem Kunden, für den eine Automatisierungsanlage konfiguriert wird, ein qualitativ ausreichend gut vorab parametrisiertes IDS-System bereitgestellt werden, ohne dass das Inbetriebsetzungspersonal der Automatisierungsanlage spezielles Wissen über das IDS-System benötigt.The in the foregoing described embodiment of the invention Procedure has the advantage that for generating the IDS parameterization specification uses no signature data and no time-consuming learning process must be traversed to detect attacks. Instead can be existing information from the engineering data The automation system can be used to turn it into one Automation system customized specification for to create the parameterization of an intrusion detection system. The IDS configuration represents exactly that Communication behavior of the system. This will be analogous to self-learning procedures also detected new, unknown attacks, which do not correspond to the communication behavior. Therefor however, no learning process is required. Furthermore can with the existing engineering data a customer, for an automation system is configured, a qualitative sufficiently well pre-parameterized IDS system are provided, without the commissioning staff of the automation system special knowledge about the IDS system needed.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list The documents listed by the applicant have been automated generated and is solely for better information recorded by the reader. The list is not part of the German Patent or utility model application. The DPMA takes over no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • - IEC 61850 [0012] - IEC 61850 [0012]
  • - IEC 61850 [0012] - IEC 61850 [0012]
  • - IEC 61850 [0025] - IEC 61850 [0025]
  • - IEC 61850 [0026] - IEC 61850 [0026]
  • - IEC 61850-Protokoll [0026] - IEC 61850 protocol [0026]

Claims (14)

Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem (6) eines Kommunikationsnetzes in einer Automatisierungsanlage (100, 200), bei dem: – basierend auf Konfigurationsdaten der Automatisierungsanlage (100, 200) Kommunikationsparameter der Automatisierungsanlage ermittelt werden; – basierend auf den Kommunikationsparametern die Parametrierungsdaten für das Kommunikations-Schutzsystem (6) erstellt werden.Method for generating parameterization data for a communication protection system ( 6 ) of a communication network in an automation system ( 100 . 200 ), in which: - based on configuration data of the automation system ( 100 . 200 ) Communication parameters of the automation system are determined; Based on the communication parameters, the parameterization data for the communication protection system ( 6 ) to be created. Verfahren nach Anspruch 1, bei dem das Kommunikations-Schutzsystem (6) ein Intrusion-Detection-System und/oder ein Intrusion-Prevention-System ist und/oder die Konfigurationsdaten Engineeringdaten sind.Method according to Claim 1, in which the communications protection system ( 6 ) is an intrusion detection system and / or an intrusion prevention system and / or the configuration data is engineering data. Verfahren nach Anspruch 1 oder 2, bei dem die Parametrierungsdaten für eine Industrieautomatisierungsanlage und/oder eine Energieautomatisierungsanlage und/oder eine Gebäudeautomatisierungsanlage erstellt werden.Method according to Claim 1 or 2, in which the parameterization data for an industrial automation system and / or a Energy automation system and / or a building automation system to be created. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Kommunikationsparameter die in dem Kommunikationsnetz vorhandenen Komponenten (1, ..., 5) und die zwischen den Komponenten (1, ..., 5) verwendeten Kommunikationsverbindungen enthalten, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems (6) einen Regelsatz spezifizieren, der basierend auf den Komponenten und den Kommunikationsverbindungen festlegt, unter welche Bedingungen im Betrieb des Kommunikationsnetzes ein Angriff auf das Kommunikationsnetz festgestellt wird.Method according to one of the preceding claims, in which the communication parameters include the components present in the communication network ( 1 , ..., 5 ) and between the components ( 1 , ..., 5 ), the parameterization data of the communication protection system ( 6 ) specify a rule set that determines, based on the components and the communication links, under what conditions during operation of the communication network an attack on the communication network is detected. Verfahren nach Anspruch 4, bei dem die Komponenten ein oder mehrere Feldgeräte (3, 4, 5) und ferner vorzugsweise eine oder mehrere Steuerungseinrichtungen (2) zur Steuerung der Feldgeräte (3, 4, 5) und ferner vorzugsweise zumindest ein Leitsystem (1) umfassen.Method according to Claim 4, in which the components comprise one or more field devices ( 3 . 4 . 5 ) and further preferably one or more control devices ( 2 ) for controlling the field devices ( 3 . 4 . 5 ) and furthermore preferably at least one control system ( 1 ). Verfahren nach Anspruch 4 oder 5, bei dem die Kommunikationsparameter zumindest teilweise eine oder mehrere Listen von zulässigen Kommunikationsverbindungen zwischen Komponenten (1, ..., 5) des Kommunikationsnetzes spezifizieren und durch den Regelsatz des Kommunikations-Schutzsystems festgelegt wird, dass ein Angriff im Betrieb des Kommunikationsnetzes dann festgestellt wird, wenn eine nicht in der oder den Listen enthaltene Kommunikationsverbindung auftritt.Method according to Claim 4 or 5, in which the communication parameters at least partially comprise one or more lists of permissible communication connections between components ( 1 , ..., 5 ) of the communication network and specified by the rule set of the communication protection system that an attack in the operation of the communication network is detected when a non-contained in the list or the communication connection occurs. Verfahren nach einem der Ansprüche 4 bis 6, bei dem die Kommunikationsparameter die Kommunikationsverbindungen durch das oder die für die jeweilige Kommunikationsverbindung verwendeten Protokolle aus den Schichten des OSI-Referenzmodells spezifizieren, wobei die Protokolle insbesondere das Ethernet-Protokoll und/oder das TCP/UDP-Protokoll und/oder das IP-Protokoll und/oder das Protokoll gemäß dem Standard IEC 61850 umfassen.Method according to one of claims 4 to 6, in which the communication parameters are the communication links by the one or the other for the respective communication connection used protocols from the layers of the OSI reference model Specify the protocols, in particular the Ethernet protocol and / or the TCP / UDP protocol and / or the IP protocol and / or include the protocol according to the IEC 61850 standard. Verfahren nach Anspruch 7, bei dem die Kommunikationsparameter für die Kommunikationsverbindung zwischen Komponenten (1, ..., 5) des Kommunikationsnetzes festlegen, über welche Spezifikationswerte die Komponenten in den einzelnen Protokollen angesprochen werden.Method according to Claim 7, in which the communication parameters for the communication connection between components ( 1 , ..., 5 ) of the communications network, via which specification values the components in the individual protocols are addressed. Verfahren nach Anspruch 8, bei dem die Spezifikationswerte der Komponenten IP-Adressen (IP1, ..., IP5) und/oder Ports, insbesondere TCP/UDP-Ports, umfassen.The method of claim 8, wherein the specification values components IP addresses (IP1, ..., IP5) and / or ports, especially TCP / UDP ports, include. Verfahren nach Anspruch 9, wenn abhängig von Anspruch 6, bei dem die zulässigen Kommunikationsverbindungen in der oder den Listen zumindest teilweise durch eine Quell-IP-Adresse (SIP) und einen Quell-Port (SP) sowie eine Ziel-IP-Adresse (DIP) und einen Ziel-Port (DP) spezifiziert werden.Method according to claim 9, when dependent on Claim 6, wherein the permissible communication links in the list or lists at least partially by a source IP address (SIP) and a source port (SP) and a destination IP address (DIP) and a destination port (DP) are specified. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Konfigurationsdaten als XML-Daten vorliegen und/oder die Parametrierungsdaten als SNORT-Regelsatz generiert werden.Method according to one of the preceding claims, where the configuration data is available as XML data and / or the Parameterization data can be generated as a SNORT rule set. Verfahren nach Anspruch 11, bei dem die Generierung der Parametrierungsdaten mit Hilfe eines Konverters und/oder Parsers erfolgt, der aus den XML-Daten einen SNORT-Regelsatz erzeugt.The method of claim 11, wherein the generation the parameterization data with the help of a converter and / or parser which generates a SNORT rule set from the XML data. Verfahren zum Überwachen eines Kommunikationsnetzes einer Automatisierungsanlage (100, 200), bei dem die Kommunikationsverbindungen im Betrieb der Automatisierungsanlage (100, 200) basierend auf einem Kommunikations-Schutzsystem (6) überwacht werden, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems (6) mit einem Verfahren nach einem der vorhergehenden Ansprüche generiert sind.Method for monitoring a communication network of an automation system ( 100 . 200 ), in which the communication connections during operation of the automation system ( 100 . 200 ) based on a communication protection system ( 6 ), whereby the parameterization data of the communication protection system ( 6 ) are generated by a method according to one of the preceding claims. Automatisierungsanlage (100, 200), umfassend ein Kommunikationsnetz, welches derart ausgestaltet ist, dass im Betrieb der Automatisierungsanlage (100, 200) das Kommunikationsnetz mit dem Verfahren nach Anspruch 13 überwacht wird.Automation system ( 100 . 200 ), comprising a communication network, which is designed such that during operation of the automation system ( 100 . 200 ) the communication network is monitored by the method according to claim 13.
DE102008059487A 2008-11-28 2008-11-28 Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system Ceased DE102008059487A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102008059487A DE102008059487A1 (en) 2008-11-28 2008-11-28 Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102008059487A DE102008059487A1 (en) 2008-11-28 2008-11-28 Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system

Publications (1)

Publication Number Publication Date
DE102008059487A1 true DE102008059487A1 (en) 2010-06-24

Family

ID=42193959

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102008059487A Ceased DE102008059487A1 (en) 2008-11-28 2008-11-28 Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system

Country Status (1)

Country Link
DE (1) DE102008059487A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012174391A3 (en) * 2011-06-15 2013-03-14 Cisco Technology, Inc. Security measures for the smart grid
DE102016107647A1 (en) 2016-03-08 2017-09-14 Viktor Mraz Method, storage medium and system for securing / monitoring a network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6167052A (en) * 1998-04-27 2000-12-26 Vpnx.Com, Inc. Establishing connectivity in networks
US20040117478A1 (en) * 2000-09-13 2004-06-17 Triulzi Arrigo G.B. Monitoring network activity
US20040153171A1 (en) * 2002-10-21 2004-08-05 Brandt David D. System and methodology providing automation security architecture in an industrial controller environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6167052A (en) * 1998-04-27 2000-12-26 Vpnx.Com, Inc. Establishing connectivity in networks
US20040117478A1 (en) * 2000-09-13 2004-06-17 Triulzi Arrigo G.B. Monitoring network activity
US20040153171A1 (en) * 2002-10-21 2004-08-05 Brandt David D. System and methodology providing automation security architecture in an industrial controller environment

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IEC 61850-Protokoll

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012174391A3 (en) * 2011-06-15 2013-03-14 Cisco Technology, Inc. Security measures for the smart grid
US8893216B2 (en) 2011-06-15 2014-11-18 Cisco Technology, Inc. Security measures for the smart grid
DE102016107647A1 (en) 2016-03-08 2017-09-14 Viktor Mraz Method, storage medium and system for securing / monitoring a network
DE102016107647B4 (en) 2016-03-08 2018-08-30 Viktor Mraz Method and storage medium for securing / monitoring a network

Similar Documents

Publication Publication Date Title
EP3129888B2 (en) Transmission of data out of a secured storage
EP2908195B1 (en) Method for monitoring security in an automation network, and automation network
EP1398937A2 (en) System for monitoring and indicating device's security status
EP0007579B1 (en) Circuit arrangement for monitoring the state of signalling systems, especially traffic light signalling systems
DE102018209407A1 (en) Method and device for handling an anomaly in a communication network
EP3177973A1 (en) Method for operating security control and automation network having such security control
EP3079028A1 (en) Planning and engineering method, software tool, and simulation tool for an automation solution
EP3414632B1 (en) Method and device for monitoring data processing and transmission in a security chain of a security system
EP3100121B1 (en) Method and apparatus for safely disconnecting an electrical load
EP3051779A1 (en) Method for functionally secure connection identification and communication system
EP3122016A1 (en) Automation network and method of surveillance for security of the transmission of data packets
DE102008059487A1 (en) Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system
DE102012112875A1 (en) Method for remote control of a field device of automation technology
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
DE102014117282A1 (en) Automation system and method for its operation
EP3470937B1 (en) Method and devices for monitoring the response time of a security function provided by a security system
EP1496664A2 (en) System, method and security module for securing the access of a user to at least one automation component of an automation system
EP3699705A1 (en) Method for monitoring an industrial communication network, security system, industrial communication network, computer program and computer readable medium
WO2015062812A1 (en) Safety-related system having a supervisor
DE102016119744A1 (en) Method and system for preventing unwanted access to a field device
EP2500788A1 (en) Method for processing messages in a communication network of an industrial automation assembly
DE102009014620A1 (en) Safety-relevant input slave e.g. intelligent safety sensor, has non-volatile storage storing multiple network addresses of actuator sensor-interface safety at work network, where code sequences are fixedly assigned to network addresses
DE202015004439U1 (en) Monitoring device and network participants
DE102022125355A1 (en) Procedure for testing an automation field device
EP2618522A1 (en) Method for computer-based design of an automation system

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R002 Refusal decision in examination/registration proceedings
R006 Appeal filed
R008 Case pending at federal patent court
R003 Refusal decision now final
R011 All appeals rejected, refused or otherwise settled