公开(公告)号：WO2016008757A1

公开(公告)日：2016-01-21

申请号：PCT/EP2015/065371

申请日：2015-07-06

Applicant: SIEMENS AKTIENGESELLSCHAFT

Inventor： BUSSER, Jens-Uwe ,  CUELLAR, Jorge ,  MUNZERT, Michael ,  PATZLAFF, Heiko ,  STIJOHANN, Jan

IPC: G06F21/55

CPC classification number: H04L63/1425 ,  G06F21/554 ,  H04L63/1416

Abstract: Es wird eine Rechenvorrichtung (10) zum Erkennen von Angriffen auf ein technisches System (20) anhand von Ereignissen einer Ereignisfolge (4) vorgeschlagen. Die Rechenvorrichtung (10) weist eine Empfangseinheit (1) zum Empfangen der Ereignisfolge (4), die eine Mehrzahl von Ereignissen aufweist, wobei ein Angriff durch eine bestimmte Sequenz an Ereignissen in der empfangenen Ereignisfolge (4) bestimmt ist, und eine Überprüfungseinheit (2) zum Überprüfen der empfangenen Ereignisfolge (4) basierend auf einem Hauptereignis auf, das in der bestimmten Sequenz an Ereignissen enthalten ist, wobei die Überprüfungseinheit (2) dazu eingerichtet ist, eine Mustererkennung in der empfangenen Ereignisfolge (4) basierend auf der bestimmten Sequenz an Ereignissen durchzuführen, wenn das Hauptereignis aufgetreten ist. Da die Überprüfungseinheit die empfangene Ereignisfolge lediglich auf das Auftreten eines Hauptereignisses hin überprüft und die genauere Mustererkennung erst nach Auftreten des Hauptereignisses durchführt, kann der erforderliche Rechenaufwand reduziert werden. Des Weiteren werden ein Verfahren zum Erkennen von Angriffen auf ein technisches System sowie ein Computerprogrammprodukt zum Durchführen des Verfahrens vorgeschlagen.

Abstract translation: 它提出了一种计算设备（10），用于检测基于事件序列的事件技术系统（20）上的攻击（4）。 所述计算装置（10）包括：接收单元（1），用于接收事件的序列（4），其具有多个事件，其中，由（4）被确定事件的接收序列和校验单元中的事件的特定序列的攻击（2 ）（用于检查基于主事件发生时接收到的事件序列4），它是包含所确定的事件的序列中，其中所述验证单元（2）的事件的接收序列中适于模式识别4基于（）所确定的序列 当主事件的发生进行的事件。 由于检查单元检查仅在一个主要的事件后面的发生接收到的事件序列，并且仅在主事件发生之后执行的确切模式识别，可以减少所需要的计算量。 此外，提出了用于检测技术系统和用于执行该方法的计算机程序产品上的攻击的方法。

公开(公告)号：WO2015193007A1

公开(公告)日：2015-12-23

申请号：PCT/EP2015/058815

申请日：2015-04-23

Applicant: SIEMENS AKTIENGESELLSCHAFT

Inventor： BUSSER, Jens-Uwe ,  CUELLAR, Jorge ,  MUNZERT, Michael ,  PATZLAFF, Heiko ,  STIJOHANN, Jan

IPC: G06F21/55 ,  G06F11/30 ,  H04L29/06

CPC classification number: H04L63/1433 ,  G06F21/552 ,  H04L41/046 ,  H04L41/20 ,  H04L63/1408 ,  H04L63/1416 ,  H04L63/1425 ,  H04L69/04

Abstract: In dem erfindungsgemäßen System (10) zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur mit mehreren Rechenvorrichtungen (10.1,.., 10.i,.., 10.n) und mindestens einer Überwachungseinheit (12), die über ein Kommunikationsnetz miteinander verbunden sind, ist jede Rechenvorrichtung (10.1,.., 10.i,.., 10.n) ausgebildet, Sicherheitsereignisse zu detektieren und an die Überwachungseinheit (12) zu senden, und die Überwachungseinheit (12) ist derart ausgebildet, die empfangenen Sicherheitsereignisse auszuwerten und einer Gefahrenkategorie zuzuweisen, wobei bei mangelnder Information zur Zuweisung einer Gefahrenkategorie die Rechenvorrichtung (10.1,.., 10.i,.., 10.n) derart ausgebildet ist, Anweisungen zum Sammeln von zusätzlichen forensischen Daten zu empfangen und die zusätzlichen Daten über eine Analyseeinheit (13) an die Überwachungseinheit (12) zu senden. Die Überwachungseinheit (12) ist derart ausgebildet, Anweisungen zum Sammeln zusätzlicher Daten an die Rechenvorrichtung (10.1,.., 10.i,.., 10.n) zu übermitteln und nach Empfang der ausgewerteten zusätzlichen Daten diese zum erneuten Bewerten und Zuweisen einer Gefahrenkategorie zu verwenden.

Abstract translation: 在本发明的系统（10），用于在经由通信网络具有多个计算设备（10.1，...，10。我，...，10.n）和至少一个监测单元（12）的分布式计算基础设施的恢复和法医数据的分析 被连接到彼此，每个计算设备为（10.1，...，10。我，...，10.n）设计为检测安全事件，并发送至监视单元（12），并且所述监控单元（12）被设计为使得 评估所接收的安全事件，并分配一个风险类别，其中，在缺乏信息用于分配风险类别中，计算装置（10.1，...，10。我，...，10.n）适于接收用于收集附加法医数据的指令，并 发送的附加数据的分析单元（13）上，以所述监测单元（12）。 监控单元（12）被形成这样的指令，用于收集附加的数据到计算设备（10.1，...，10。我，...，10.n）要发送和接收的附加数据后，评价这些重新速率和分配 使用风险类别。

公开(公告)号：WO2022253540A1

公开(公告)日：2022-12-08

申请号：PCT/EP2022/062832

申请日：2022-05-11

Applicant: SIEMENS AKTIENGESELLSCHAFT

Inventor： BOTERO HALBLAUB, Andrés ,  KNORN, Steffi ,  OBRADOVIC, Dragan ,  PATEL, Abhi Himmatbhai ,  PATZLAFF, Heiko ,  SCHENK, Tim

IPC: H04L9/40

Abstract: In order to identify manipulations of cyber-physical-systems, in which the manipulations of the cyber-physical-systems, such as cyber-security attacks or manual attacks, can be identified in real-time in order to avoid or even prevent damages to the cyber-physical systems, it is proposed with regard to (i) a cyber-physical-system (CPS, CPS') with an embedded, distributed and complex system structure (SST) and providing sensor/actor-signal-information (SASI) depicting a behavior of the cyber-physical-system (CPS, CPS') during operation or commissioning, and (ii) a Digital-Twin-Unit (DTU), which in the course of "Model-based Digital-Twin-Representation" of the cyber-physical-system (CPS, CPS') creates and executes a digital twin (DT) replicating the behavior of the cyber-physical-system (CPS, CPS') and consequently producing replicated sensor/actor-signal-information (SASIrp) by simulating the cyber-physical-system (CPS, CPS'), and when the cyber-physical-system (CPS, CPS') and the Digital-Twin-Unit (DTU) are run in parallel, (1) to detect cyclically a deviation in the behavior of the cyber-physical-system (CPS, CPS') by comparing information by information the sensor/actor-signal-information (SASI) with the replicated sensor/actor-signal-information (SASIrp), (2) to identify a manipulation of the cyber-physical-system (CPS, CPS') if - for each detection cycle the sensor/actor-signal-information (SASI) and the replicated sensor/actor-signal-information (SASIrp) are different and consequently the deviation is detected, and - the detected deviation exceeds a threshold or tolerance value (TV).

公开(公告)号：WO2021078538A1

公开(公告)日：2021-04-29

申请号：PCT/EP2020/078433

申请日：2020-10-09

Applicant: SIEMENS AKTIENGESELLSCHAFT

Inventor： FALK, Rainer ,  OTTO, Christina ,  PATZLAFF, Heiko ,  WIMMER, Martin

IPC: H04L29/06 ,  H04L12/24

Abstract: Die Erfindung betrifft ein Sicherungssystem (100) und ein Verfahren zur Filterung eines Datenverkehrs zwischen einem ersten Netzwerk (NW1) und einem zweiten Netzwerk (NW2), wobei das Sicherungssystem (100) zwischen dem ersten und dem zweiten Netzwerk angeordnet ist. Das Sicherungssystem (100) umfasst ein Verwaltungsmodul (101), das derart eingerichtet ist, in Abhängigkeit eines Steuerungsbefehls ein zusätzliches Regelwerk (P2) für das Sicherungssystem zur Filterung des Datenverkehrs zu aktivieren und durch einen Sperrbefehl und/oder bei der Aktivierung des zusätzlichen Regelwerks ein Zurücksetzen auf ein ursprünglich aktiviertes Regelwerk (P1) des Sicherungssystems und eine Modifikation des zusätzlichen Regelwerks zu unterbinden. Außerdem umfasst das Sicherungssystem (100) ein Filtermodul (102), das derart eingerichtet ist, den Datenverkehr zwischen dem ersten Netzwerk (NW1) und dem zweiten Netzwerk (NW2) nach dem ursprünglich aktivierten Regelwerk (P1) und dem zusätzlichen Regelwerk (P2) oder lediglich nach dem zusätzlichen Regelwerk (P2) zu filtern und den entsprechend gefilterten Datenverkehr zuzulassen.

公开(公告)号：WO2016005075A1

公开(公告)日：2016-01-14

申请号：PCT/EP2015/060209

申请日：2015-05-08

Applicant: SIEMENS AKTIENGESELLSCHAFT

Inventor： BUSSER, Jens-Uwe ,  CUELLAR, Jorge ,  MUNZERT, Michael ,  PATZLAFF, Heiko ,  STIJOHANN, Jan

IPC: G06F21/64

CPC classification number: H04L9/0643 ,  G06F21/64 ,  H04L9/0861

Abstract: Verfahren zur Erkennung einer Manipulation von Datensätzen (LOG1,.., LOGn) in einem System umfassend eine Rechenvorrichtung und eine externe Sicherheitsvorrichtung, wobei die Datensätze in der Rechenvorrichtung gespeichert sind, mit den Verfahrensschritten: Zuweisen eines Geheimnisses zu einer Rechenvorrichtung, Erzeugen eines ersten kryptographischen Schlüssels (K1) durch eine Einwegfunktion (H) in Abhängigkeit von dem Geheimnis (SEC), Speichern des Geheimnisses (SEC) auf einer von der Rechenvorrichtung verschiedenen Sicherheitsvorrichtung, Verwenden des ersten kryptographischen Schlüssels (K1) zur Absicherung eines ersten Datensatzes (LOG1), und Erzeugen jeweils eines nächsten kryptographischen Schlüssels (Kn) durch die gleiche Einwegfunktion (H) in Abhängigkeit von dem jeweils vorhergehenden kryptographischen Schlüssel (Kn-1) zur Absicherung (38) eines nächsten Datensatzes (LOGn) auf der Rechenvorrichtung und gleichzeitiges Löschen oder Überschreiben des jeweils vorhergehenden kryptographischen Schlüssels (Kn-1).

Abstract translation: 分配一个秘密计算装置，产生一个第一密码：一种用于检测包括计算装置和外部的安全装置，其特征在于所述记录存储在所述计算装置，与所述方法步骤的系统中的数据集（LOG1，...，LOGN）的操作方法 密钥（K1）通过在对秘密（SEC）依赖性的单向函数（H），储存在一个方向上的秘密（SEC）从计算设备的安全装置不同，使用用于固定的第一数据集的第一密钥（K1）（LOG1）， 以及响应于所述计算设备和同时擦除或重写在相应的前述加密密钥（KN-1）用于固定（38）的下一个数据记录（logn）时间产生各自的下一个密码密钥（Kn）的通过相同的单向函数（H） 每个vorherge Henden密码密钥（KN-1）。

公开(公告)号：WO2015113836A1

公开(公告)日：2015-08-06

申请号：PCT/EP2015/050743

申请日：2015-01-16

Applicant: SIEMENS AKTIENGESELLSCHAFT

Inventor： GÖBEL, Jan Gerrit ,  PATZLAFF, Heiko ,  ROTHMAIER, Gerrit

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/145 ,  H04L63/1408 ,  H04L63/18 ,  H04L67/12

Abstract: Die Erfindung betrifft Verfahren und Vorrichtung zum Erkennen von autonomer, selbstpropagierender Software. Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit in einem ersten Netzwerk, wobei das erste Netzwerk mit einem zweiten Netzwerk über eine erste Verbindung gekoppelt ist, mit folgenden Verfahrensschritten: a) Generieren von zumindest einem ersten Indikator, welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit spezifiziert; b) Generieren von zumindest einem zweiten Indikator, welcher ein zweites Verhalten zumindest einer zweiten Recheneinheit in dem zweiten Netzwerks spezifiziert; c) Übermitteln des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators an eine Korrelationskomponente; d) Erzeugen zumindest eines Korrelationsergebnisses durch Korrelieren des zumindest einen ersten Indikators mit dem zumindest einem zweiten Indikator; e) Ausgeben eines Hinweissignals, falls bei einem Vergleich durch das Korrelationsergebnis ein festlegbarer Schwellwert überschritten wird.

Abstract translation: 本发明涉及一种方法和装置，用于检测自主的，自传播的软件。 本发明涉及一种方法和装置，用于在第一网络中，其特征在于，所述第一网络经由第一连接耦合到第二网络中的至少一个第一处理单元检测自主的，自传播恶意软件的方法，包括步骤：a）产生至少一个 具有第一行为第一指示符指定至少一个第一计算单元; b）产生至少一个规定第二网络中的第二行为至少一个第二计算单元的第二指示器; c）发送所述至少一个第一指示符和所述至少第二指示符到一个相关分量; D）通过关联所述至少一个第一指示符，所述至少一个第二指示符生成至少一个相关结果; e）如由相关结果进行比较时，当超过阈值可定义值输出警告信号。