{"id":15757,"date":"2018-01-25T14:11:15","date_gmt":"2018-01-25T12:11:15","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=15757"},"modified":"2018-09-18T14:51:30","modified_gmt":"2018-09-18T12:51:30","slug":"ml-for-ad","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ml-for-ad\/15757\/","title":{"rendered":"Maschinelles Lernen im Bereich industrieller Anlagen"},"content":{"rendered":"

Die Cybersicherheit industrieller Anlagen ist darauf eingestellt, dass m\u00f6gliche Angriffe den technologischen Prozess unterbrechen k\u00f6nnen. Dies ist m\u00f6glicherweise mit katastrophalen Folgen verbunden, die nicht immer finanzieller Natur sein m\u00fcssen. Ein wirksamer Schutz solcher Einrichtungen erfordert daher eine st\u00e4ndige \u00dcberwachung, sowohl der Informationssysteme als auch der Betriebsprozesse. Kaspersky Lab hat daf\u00fcr genau das passende Tool.\"\"<\/p>\n

Ein heutiges automatisiertes industrielles Kontrollsystem (ICS) ist ein komplexes cyberphysisches System. Es umfasst sowohl Computerelemente, die Ger\u00e4te und integrale Einheiten steuern als auch physisches Equipment, wodurch die Angriffsfl\u00e4che erweitert wird und Hackern unz\u00e4hlige M\u00f6glichkeiten geboten werden, das System zu st\u00f6ren. Sie k\u00f6nnen sowohl die Informationsinfrastruktur als auch die Controller der digitalen Umgebung anpeilen oder physisch in den Produktionsprozess eingreifen. Angriffe auf ein cyberphysisches System sind in der Regel weitaus komplizierter als herk\u00f6mmliche Cyberangriffe.<\/p>\n

Ein effektiver Schutz industrieller Anlagen erfordert eine permanente \u00dcberwachung, sowohl der Informationssysteme als auch der Betriebsprozesse. Wir haben das geeignete Tool.<\/p>Tweet<\/a><\/blockquote>\n

Angriffe, die \u00fcber Informationssysteme ausge\u00fcbt werden, sind mehr oder weniger leicht zu handhaben. Es reicht aus, die Informationsfl\u00fcsse zwischen der speicherprogrammierbaren Steuerung und dem SCADA-System sorgf\u00e4ltig zu \u00fcberwachen. Aber was passiert, wenn Angreifer die Kommunikation zwischen industriellen Sensoren und Controllern mithilfe von Signalen st\u00f6ren? Was, wenn die Sensordaten ersetzt werden oder der Sensor selbst zerst\u00f6rt wird? Wir haben eine maschinelle Lerntechnologie entwickelt, die bei der Erkennung derartiger Angriffe behilflich ist.<\/p>\n

So k\u00f6nnen Betriebsprozesse gesch\u00fctzt werden<\/h2>\n

Unsere Technologie hei\u00dft Machine Learning for Anomaly Detection (MLAD). Alles, was f\u00fcr die richtige Funktionsweise dieser Technoloie ben\u00f6tigt wird, ist im Grunde genommen in den meisten Industrieanlagen bereits vorhanden. Schlie\u00dflich ist der gesamte Produktionsprozess bereits mit Sensoren ausgestattet. Das moderne automatisierte ICS empf\u00e4ngt Unmengen von Telemetriedaten; zehntausende Tags, die von unterschiedlichen Quellen stammen, werden typischerweise 10 Mal pro Sekunde aktualisiert. Dar\u00fcber hinaus werden Informationen \u00fcber den normalen Systembetrieb gesammelt und \u00fcber Jahre gespeichert; die idealen Voraussetzungen zur Anwendung von Maschinellem Lernen.<\/p>\n

Dank der physikalischen Gesetze sind alle Prozesssignale im System miteinander verbunden. Wenn der Sensor eines Ventils beispielsweise auf eine Blockade hinweist, sollten die Sensoren an einer anderen Stelle eine entsprechende \u00c4nderung des Drucks, des Volumens oder der Temperatur anzeigen. All diese Indikatoren h\u00e4ngen miteinander zusammen. Die geringste Ver\u00e4nderung im Produktionsprozess f\u00fchrt bei vielen Sensoren zu unterschiedlichen Ablesungen. Das maschinelle Lernsystem \u2013 geschult auf Daten, die unter normalen Betriebsbedingungen gesammelt werden \u2013 kann diese Zusammenh\u00e4nge untersuchen. Zus\u00e4tzlich kann die MLAD-Engine in einem Selbstlernmodus arbeiten, falls neue Daten, die zuvor nicht in Betracht gezogen wurden, zur Verf\u00fcgung gestellt werden. Das Ergebnis? Anomalien im Produktionsprozess k\u00f6nnen erkannt werden.<\/p>\n

So funktioniert\u2019s in der Praxis<\/h2>\n

Unsere Kaspersky Industrial CyberSecurity-L\u00f6sung \u00fcberwacht den Prozessverkehr \u00fcber die Deep Packet Inspection (DPI) und hat somit Zugriff auf Sensor- und Befehlsdaten. Diese Informationen werden in Echtzeit vom MLAD-System (das auf Daten geschult wurde, die unter normalen Betriebsbedingungen gesammelt wurden) analysiert, um vorherzusagen, welcher der normale Systemstatus auf kurzer Sicht sein sollte (der genaue Zeitpunkt der Prognose kann angepasst werden).<\/p>\n

Nat\u00fcrlich kann und wird sich die Prognose von der Realit\u00e4t unterscheiden. Die Frage ist, wie gro\u00df dieser Unterschied ist. W\u00e4hrend des Lernprozesses berechnet das System Grenzwerte des Prognosefehlers; Abweichungen werden in diesem Fall als Anomalie betrachtet.<\/p>\n

Andrey Lavrentyev presenting \"Detecting ICS Attacks Using Recurrent Neural Networks\" at S4x18 conference<\/a>MLAD ist auf der Protokollebene auf Kaspersky Industrial CyberSecurity abgestimmt und fordert Telemetriedaten, die zwar von Kaspersky Industrial CyberSecurity bereitgestellt werden, aber theoretisch auch jederzeit auf den Gebrauch technologischer Daten unserer anderen L\u00f6sungen umgestellt werden k\u00f6nnen.<\/p>\n

Vorteile unserer Methode<\/h2>\n

Im Gegensatz zu einem Expertensystem, das nach einer Reihe streng definierter Regeln arbeitet, weist eine auf maschinellen Lernalgorithmen basierende Sicherheitsl\u00f6sung mehr Flexibilit\u00e4t auf. Damit ein Expertensystem unter verschiedenen Betriebsbedingungen funktionieren kann, werden seine Regeln oftmals generalisiert, was die Gefahrenabwehr verz\u00f6gern kann. Ein System, das auf maschinellem Lernen basiert, weist dieses Manko nicht auf.<\/p>\n

Flexibilit\u00e4t ist auch dann besonders wichtig, wenn das Unternehmen den Produktionsprozess anpassen muss. Mit einem maschinellen Lernsystem ist es nicht notwendig, das Sicherheitssystem zu ver\u00e4ndern \u2013 es gen\u00fcgt, MLAD einfach umzuschulen. Zudem arbeitet Kaspersky Industrial CyberSecurity mit doppeltem Datenverkehr, was bedeutet, dass die L\u00f6sung den Produktionsprozess nicht direkt beeinflusst.<\/p>\n

Demo der Funktionsweise<\/h2>\n

Ein detailliertes mathematisches Modell des chemischen Industrieprozesses von Tennessee Eastman kursiert seit einiger Zeit bereits im Internet. Es wird oft zu Pr\u00e4sentationszwecken und der Feineinstellung von Regelmodellen verwendet. Wir haben es als Grundlage genutzt, um die Funktionsweise des MLAD-Moduls bei einem Unternehmensangriff, bei dem unter anderem Sensordaten, Befehle und logische Parameter ersetzt wurden, nachzustellen. Sehen Sie selbst:<\/p>\n