SMIDS Intrusion Detection in einer Smart Metering Infrastruktur (Intrusion Detection bei intelligenten Messsystemen)
Ziel des Projekts war die Erforschung und Entwicklung eines Verfahrens zur laufenden automatischen Überwachung einer Smart-Meter-Infrastruktur während des Betriebs, um mögliche Angriffe erkennen und geeignete Gegenmaßnahmen ergreifen zu können. Dieses Ziel sollte durch einen White-Listing Ansatz erreicht werden, der verschiedene Ebenen der Kommunikation im Smart Meter Netzwerk umfasst. Außerdem sollte eine Proof-of-Concept Implementierung eines solchen Systems realisiert werden. Dieses Ziel konnte erreicht werden: Es wurde im Rahmen eines formalen Modells des Smart Meter Netzwerks auf zwei unterschiedlichen Ebenen Regeln des Normalverhaltens des Netzwerks ermittelt und für die Überwachung der Einhaltung dieser Regeln wurde ein Intrusion Detection System als Proof-of-Concept implementiert und im Rahmen realer Daten aus dem operativen Betrieb eines Projektpartners, der Wels Strom GmbH, überprüft. Zudem wurden die Aspekte des Datenschutzes, die im Zusammenhang mit dem Betrieb eines derartigen Systems auftreten, untersucht und liegen in Form eines Datenschutzberichts vor. Ein weiteres Ziel war die Entwicklung organisatorischer Richtlinien und Maßnahmen, die im Rahmen bestehender Sicherheitszertifizierung wie ISO 271001 durch den Betrieb von Smart Meter Netzwerken erforderlich werden.
Die Zeile bezüglich Datenschutz und organisatorischer Richtlinien und Maßnahmen konnten voll erreicht werden. Auch das Hauptziel, die Entwicklung eines Überwachungssystems samt Proof-of-Concept Implementierung konnte erreicht werden.
Eine kleine Einschränkung stellt die Beschränkung auf zwei Ebenen der Überwachung dar. Ursprünglich waren drei Ebenen geplant: Die unterste Ebene sollte Regeln auf der syntaktischen Ebene der verwendeten Protokolle erstellen und überwachen, auf der mittleren Ebene standen die Befehlsfolgen, die im Smart Meter Netzwerk übertragen werden, im Mittelpunkt und auf der obersten Ebene sollten Verbrauchsdaten auf ihre Plausibilität überprüft werden.
Die unterste Ebene – Erstellung und Überwachung von Regeln auf der syntaktischen Protokollebene – musste als nicht realisierbar zurückgestellt werden, da es nicht möglich war, die dafür unbedingt notwendigen technischen Detailinformationen über die tatsächlich verwendeten proprietären Protokolle mit verhältnismäßigem Aufwand zu beschaffen. Mit diesen Informationen wird von den Herstellerfirmen aus Sicherheitsgründen sehr restriktiv umgegangen. Auch der Hinweis auf ein Forschungsprojekt machte es nicht möglich, einfach (und vor allem ohne hohen finanziellen Aufwand) an diese Informationen zu gelangen. Das Projekt hat allerdings gezeigt, dass das keine allzu große Einschränkung darstellt. Einerseits sind diese Informationen sehr produktspezifisch und können daher kaum produktübergreifend verwendet werden (was dann wieder nicht im Sinne eines auf Allgemeingültigkeit abzielenden Forschungsprojekts ist) und andererseits sind auch die Aussagen auf dieser Ebene nur bedingt im Sinne einer Sicherheitsüberwachung auswertbar.
Das Projekt hat sich daher vor allem auf die mittlere Ebene konzentriert, auf der eine detaillierte Betrachtung der Befehlsfolgen möglich ist, die eine ausreichend detaillierte Möglichkeit zur Definition des Normalverhaltens eines Smart Meter Netzwerks bieten. Die Regeln für das Normalverhalten des Systems (der Kommunikation im Smart Meter Netzwerks auf Befehlsebene) wurden mit Hilfe von Verfahren des automatischen Lernens (Machine Learning) ermittelt und einer empirischen Prüfung unterzogen. Das hat unter anderem auch den Vorteil, dass ein eventuell geändertes Kommunikationsverhalten des Systems auf Grund geänderten Nutzerverhaltens oder auf Grund geänderter organisatorischer Rahmenbedingungen beim Netzbetreiber (Verwendung anderer Hardware- oder Software-System, andere Auslese- oder Abrechnungsintervalle und Ähnliches mehr) kein Problem mehr darstellt, da in einem solchen Fall nur die Lernphase des Systems wiederholt werden muss, um neue, auf das geänderte Kommunikationsverhalten des Systems abgestimmte Regeln zu ermitteln.
Die dritte Ebene, die Ebene der Verbrauchsdaten wurde ebenfalls in Betracht gezogen und entsprechende Auswertungen und Vergleich wurden vorgenommen. Allerdings liegen in Bezug auf die Vorhersage dieser Daten (und dem Vergleich mit tatsächlich verbrauchten Werten) bereits sehr viele Forschungsergebnisse vor, die direkt umsetzbar sind. Daher wurde dieser Bereich zwar untersucht und entsprechende Modelle entwickelt, von einer Umsetzung im Rahmen der Proof-of-Concept Implementierung wurde jedoch abgesehen, da es auf Grund bereits existierender Lösungen wissenschaftlich nicht ergiebig gewesen wäre.
Als Highlights des Projekts ist die Erforschung und Entwicklung einer Methode der laufenden Überwachung eines Smart Meter Netzwerks anzusehen. Die Methode basiert auf einem White-Listing-Ansatz. Aus Netzwerkdaten eines normal operativen Netzwerks (das nicht einem Angriff ausgesetzt ist) werden mit Hilfe von Methoden des automatischen Lernens (Machine Learning) Muster abgeleitet, die das Normalverhalten des Netzwerks möglichst gut beschreiben. Diese Muster werden dann zur Überwachung des laufenden Betriebs eingesetzt. Der aktuelle Netzwerkwerkverkehr wird mit den Mustern abgeglichen. Kommt es zu einer Diskrepanz, die über einer bestimmten Schwelle liegt, wird ein Alarm ausgelöst. Zusätzlich wurden Vorgangsweisen im Rahmen des organisatorischen Sicherheitskonzepts definiert, wie mit solchen Alarmen weiter zu verfahren ist.
Ausgangssituation
Im Rahmen des Aufbaus eines Forschungsschwerpunkts „Industrial Security“ am Institut für IT Sicherheitsforschung der FH St. Pölten war die Sicherheit von Netzen der Energieverteilung ein wesentlicher Bereich. In diesem Zusammenhang wurde das Projekt gemeinsam mit den Industriepartnern E-Werke Wels AG und der Wels Strom GmbH definiert. Der Industriepartner Wels Strom GmbH stand kurz vor der Inbetriebnahme eines Pilotprojekts zur Ausrollung von Smart Metern und wollte besonderes Augenmerk auch auf den Sicherheitsaspekt legen.
Projektverlauf
Die geplanten Arbeitspakete konnten im Wesentlichen termingemäß durchgeführt werden. Als besondere Herausforderungen erwiesen sich die teilweise proprietären Protokolle, die in den eingesetzten Geräten verwendet wurden, bzw. die Schwierigkeit, entsprechende informationen zu erlangen.
"There are a thousand hacking at the branches of evil to one who is striking at the root."
– Henry David Thoreau –
Ergebnisse
Als Ergebnis des Projekts liegt Folgendes vor:
1) Ein Simulationsmodell eines Smart Meter Netzwerks, das zum Durchspielen verschiedener Szenarien eingesetzt werden kann. Damit können beispielsweise Szenarien mit unterschiedlichen Konfigurationen getestet werden und der in diesen Konfigurationen – unter Annahme bestimmter Parameter – entstehende Netzwerkverkehr kann beobachtet und analysiert werden.
2) Ein Programm, das aus gegebenen Netzwerkverkehrsdaten mit Hilfe von Algorithmen des maschinellen Lernens Muster ableitet, die das (Netzwerk-) Verhalten des Systems beschreiben.
3) Ein Programm, das aktuellen Netzwerkverkehr als Input nimmt und ihn mit diesen Mustern vergleicht; dabei wird ein Abweichungsprofil erstellt. Überschreiten die Abweichungen einen bestimmten Grenzwert (der in Abhängigkeit von der tatsächlichen Situation individuell festgelegt werden muss), wird ein Alarm ausgelöst.
4) Ein organisatorisches Rahmenmodell für Sicherheitsmaßnahmen in einem Unternehmen, das ein Smart Meter Netzwerk betreibt.
5) Ein Gutachten zu den Datenschutzaspekten, die beim Betrieb eines Smart Meter Netzwerks zu beachten sind. Das Gutachten bezieht auch die europäische Datenschutz-Grundverordnung (DSVG) mit ein und beachtet auch – so weit möglich – Anforderungen, die sich aus dem neuen europäischen Datenschutzrechtsrahmen ergeben werden, der 2018 rechtswirksam werden wird.
Downloads
Steckbrief
-
Projektnummer84385
-
KoordinatorFachhochschule St. Pölten ForschungsGmbH
-
ProjektleitungPaul Tavolato, paul.tavolato@fhstp.ac.at
-
Partner
-
SchlagwörterIntrusion Detection, Security, Smart Meter Infrastruktur
-
FörderprogrammEnergieforschung (e!MISSION)
-
Dauer01.2014 - 06.2017
-
Budget235.593 €