Marktanalyse zu Intrusion-Detection-Systemen in Industrieanlagen, Ömer Dölek

Ömer Dölek

Kurzfassung

Intrusion-Detection-Systeme werden dafür verwendet, um Angriffe frühzeitig zu erkennen und auf diese reagieren zu können. Auch können die bei der Überwachung erzeugten Logs, bei der Suche nach bereits erfolgten Angriffen, beispielsweise in der IT-Forensik, hilfreich sein. Oftmals kommen hierfür bekannte Open-Source-Systeme zum Einsatz. Bei einer Betrachtung der unterstützen Protokolle, dieser Systeme, wird jedoch recht schnell ersichtlich, dass diese den Fokus eher auf die traditionelle IT richten, als auf ICS-Umgebungen. Aus diesem Grund beschäftigt sich diese Arbeit mit Intrusion-Detection-
Systemen im industriellen Umfeld. Dabei werden sowohl kostenlose, kommerzielle als auch wissenschaftliche Systeme betrachtet und anschließend eine Diskussion über ihren Funktionsumfang durchgeführt. Es werden die Systeme Zeek und AlienVault USM Anywhere implementiert und ihre Detektionsfähigkeit untersucht. Dazu werden Angriffe wie zum Beispiel Port-Scans und Man-In-The-Middle, auf einer erst vor kurzem veröffentlichte Simulation einer chemischen Anlage, durchgeführt.

Schlagwörter: Industrieanlagen, Intrusion-Detection-System, Angriff, Operational-Technology, Netzwerksicherheit

Abstract

Intrusion detection systems are used to detect attacks at an early stage and to be able to react to them. The logs generated during monitoring can also be helpful when searching for attacks that have already occurred, for example in computer forensics. Often known open source systems are used for this. When looking at the protocol support, however, it can quickly be seen that the focus of those systems is more on traditional IT than on ICS environments. Therefore this thesis focuses on in intrusion detection systems for industrial environments. Free, commercial and scientific systems are considered and a discussion about their functional scope is then carried out. The Zeek and AlienVault USM-Anywhere systems are implemented and their detection capabilities are examined. For this purpose, attacks such as port scans and man-in-the-middle are carried out on a recently published simulation of a chemical plant.

Keywords: industrial plant, intrusion detection system, attack, operational technology, network security