Processing

Please wait...

Settings

Settings

Goto Application

1. WO2020221533 - ATTACK DETECTION ON COMPUTER SYSTEMS

Publication Number WO/2020/221533
Publication Date 05.11.2020
International Application No. PCT/EP2020/059021
International Filing Date 31.03.2020
IPC
H04L 29/06 2006.01
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
29Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/-H04L27/136
02Communication control; Communication processing
06characterised by a protocol
G06F 21/55 2013.01
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
H04L 12/26 2006.01
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
12Data switching networks
02Details
26Monitoring arrangements; Testing arrangements
CPC
G06F 21/552
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
552involving long-term monitoring or reporting
H04L 43/0852
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
43Arrangements for monitoring or testing packet switching networks
08Monitoring based on specific metrics
0852Delays
H04L 63/1425
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1408by monitoring network traffic
1425Traffic logging, e.g. anomaly detection
H04L 63/1441
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1441Countermeasures against malicious traffic
Applicants
  • SIEMENS AKTIENGESELLSCHAFT [DE]/[DE]
Inventors
  • FALK, Rainer
  • FISCHER, Kai
  • FRIES, Steffen
  • FURCH, Andreas
  • HEINTEL, Markus
  • PAPAGUDI SUBRAHMANYAM, Niranjana
  • SEL, Tolga
Priority Data
19171861.830.04.2019EP
Publication Language German (DE)
Filing Language German (DE)
Designated States
Title
(DE) ANGRIFFSERKENNUNG AUF COMPUTERSYSTEME
(EN) ATTACK DETECTION ON COMPUTER SYSTEMS
(FR) DÉTECTION D’ATTAQUE SUR DES SYSTÈMES INFORMATIQUES
Abstract
(DE)
Die Erfindung gibt ein Verfahren zur Erkennung einer Anomalie und eines Angriffs auf eine über ein vorgegebenes Kommunikationsprotokoll synchronisierte erste Kommunikationseinheit (S) eines industriellen Netzwerks mit den Schritten: - Übertragen von mindestens einem ersten Paket (DQ) von einer zweiten Kommunikationseinheit (M) zu der ersten Kommunikationseinheit (S), - Übertragen von mindestens einem zweiten Paket (DR) von der ersten Kommunikationseinheit (S) an die zweite Kommunikationseinheit (M) als Antwort auf das erste Paket (DQ), - Ermittlung einer Laufzeit (D), wobei die Laufzeit (D) die Differenz des Absendezeitpunkts (t3) des zweiten Pakets (DR) von der ersten Kommunikationseinheit (S) und des Ankunftszeitpunkts (t2) des ersten Pakets (DQ) bei der ersten Kommunikationseinheit (S) ist, und/oder wobei die Laufzeit (D) die Differenz des Absendezeitpunkts (t3) des zweiten Pakets (DR) von der ersten Kommunikationseinheit (S) und des Absendezeitpunkts (t3b) eines weiteren zweiten Pakets (DR) bei der ersten Kommunikationseinheit (S) ist, und/ oder wobei die Laufzeit (D) die Differenz des Ankunftszeitpunkts (t4) des zweiten Pakets (DR) in der zweiten Kommunikationseinheit (M) und des Ankunftszeitpunkts (t4b) eines weiteren zweiten Pakets (DR) in der zweiten Kommunikationseinheit (M) ist, - Ermittlung einer Abweichung der Laufzeit (D) von einem vor- gegebenen Laufzeitkorridor, - Ausgabe eines Warnsignals als Hinweis auf eine Anomalie und eines Angriffs, wenn die Laufzeit (D) außerhalb des Laufzeitkorridors liegt. Außerdem gibt die Erfindung ein industrielles Netzwerk.
(EN)
The invention provides a method for detecting an anomaly and an attack on a first communication unit (S) of an industrial network, which communication unit is synchronized by means of a predefined communication protocol, having the steps of: - transmitting at least one first packet (DQ) from a second communication unit (M) to the first communication unit (S), - transmitting at least one second packet (DR) from the first communication unit (S) to the second communication unit (M) as a response to the first packet (DQ), - ascertaining a delay (D), wherein the delay (D) is the difference between the time of sending (t3) of the second packet (DR) from the first communication unit (S) and the time of arrival (t2) of the first packet (DQ) at the first communication unit (S), and/or wherein the delay (D) is the difference between the time of sending (t3) of the second packet (DR) from the first communication unit (S) and the time of sending (t3b) of a further second packet (DR) at the first communication unit (S), and/or wherein the delay (D) is the difference between the time of arrival (t4) of the second packet (DR) in the second communication unit (M) and the time of arrival (t4b) of a further second packet (DR) in the second communication unit (M), - ascertaining a divergence of the delay (D) from a predefined delay corridor, - outputting a warning signal as advice of an anomaly and of an attack if the delay (D) is outside the delay corridor. The invention moreover provides an industrial network.
(FR)
L’invention concerne un procédé permettant de détecter une anomalie et une attaque sur une première unité de communication (S) d’un réseau industriel synchronisée par l’intermédiaire d’un protocole de communication prédéfini, ledit procédé comprenant les étapes suivantes : transmettre au moins un premier paquet (DQ) d’une seconde unité de communication (M) à la première unité de communication (S), transmettre au moins un deuxième paquet (DR) de la première unité de communication (S) à la seconde unité de communication (M), comme réponse au premier paquet (DQ), déterminer une durée d’exécution (D), la durée d’exécution (D) étant la différence entre le moment d’expédition (t3) du deuxième paquet (DR) à partir la première unité de communication (S) et le moment d’arrivée (t2) du premier paquet (DQ) auprès de l’unité de communication (S), et/ou la durée d’exécution (D) étant la différence entre le moment d’expédition (t3) du deuxième paquet (DR) à partir de la première unité de communication (S) et le moment d’expédition (t3b) d’un autre deuxième paquet (DR) au niveau de la première unité de communication (S), et/ou la durée d’exécution (D) étant la différence entre le moment d’arrivée (t4) du deuxième paquet (DR) dans la seconde unité de communication (M) et le moment d’arrivée (t4b) d’un autre deuxième paquet (DR) dans la seconde unité de communication (M), déterminer un écart de la durée d’exécution (D) par rapport à une plage de durées d’exécution prédéfinie, émettre un signal d’avertissement comme indication d’une anomalie et d’une attaque, si la durée d’exécution (D) se situe en dehors de la plage de durées d’exécution. L’invention concerne en outre un réseau industriel.
Latest bibliographic data on file with the International Bureau