CH714535B1 - Fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system. - Google Patents

Fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system. Download PDF

Info

Publication number
CH714535B1
CH714535B1 CH00436/18A CH4362018A CH714535B1 CH 714535 B1 CH714535 B1 CH 714535B1 CH 00436/18 A CH00436/18 A CH 00436/18A CH 4362018 A CH4362018 A CH 4362018A CH 714535 B1 CH714535 B1 CH 714535B1
Authority
CH
Switzerland
Prior art keywords
module
reception time
clock shift
shift value
clock
Prior art date
Application number
CH00436/18A
Other languages
English (en)
Other versions
CH714535A2 (de
Inventor
Qin Hongmao
Zhou Yunshui
Wu Xinkai
Yu Guizhen
Wang Pengcheng
Ji Haojie
Zuo Zheng
Huang Lei
Dawel Gauhar
Wei Lei
Wang Yinghui
Wang Yunpeng
Original Assignee
Univ Beihang
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Univ Beihang filed Critical Univ Beihang
Publication of CH714535A2 publication Critical patent/CH714535A2/de
Publication of CH714535B1 publication Critical patent/CH714535B1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40078Bus configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die vorliegende Erfindung offenbart ein fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system. Das System umfasst ein Zeitgebermodul (1), ein Erfassungsmodul (4) und ein Untersuchungsmodul (3); wobei das Zeitgebermodul konfiguriert ist, um eine Systemlaufzeit an das Kommunikationsmodul (2) zu senden; wobei das Kommunikationsmodul einen Zeitstempel einer Empfangszeit eines empfangenen Pakets und die Identität eines paketsendenden Knotens entsprechend der Systemlaufzeit aufzeichnet; das Kommunikationsmodul die Identität und den Zeitstempel der Empfangszeit an das Untersuchungsmodul und an das Erfassungsmodul sendet; das Untersuchungsmodul konfiguriert ist, um einen theoretischen Taktverschiebungswert des Sendeknotens gemäss dem Zeitstempel der Empfangszeit unter normalen Netzwerkbedingungen zu bestimmen, und den theoretischen Taktverschiebungswert an die Identität des Sendeknotens zu binden; und das Erfassungsmodul konfiguriert ist, um eine Abweichung einer Taktverschiebung des Sendeknotens relativ zum theoretischen Taktverschiebungswert gemäss dem Zeitstempel der Empfangszeit während einer Intrusionserfassung zu bestimmen und daraus ableiten, ob das Netzwerk abnormal oder normal ist. Das Verfahren und das System, welche in der vorliegenden Erfindung offenbart sind, können unmittelbar in einem Kommunikationsmodul einer T-Box installiert werden, sind universell anwendbar und können die Netzwerksicherheit der meisten Fahrzeuge gewährleisten.

Description

Beschreibung [0001] Die vorliegende Anmeldung beansprucht Prioritätsrechte aus der Chinesischen Anmeldung Nr. 2017 11 385 344.9, welche am 20. Dezember2017 unterder Bezeichnung FAHRZEUGINTERNES NETZWERKINTRUSIONSERFASSUNGSVERFAHREN UND -SYSTEM angemeldet worden ist. Die oben genannte Patentanmeldung wird hierin bezugnehmend in ihrer Gesamtheit übernommen.
Technisches Gebiet [0002] Die vorliegende Erfindung bezieht sich auf das Gebiet der Automobilnetzwerksicherheit, und insbesondere auf ein fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system.
Stand der Technik [0003] Moderne Automobile werden allmählich im Sinne eines Ausbaus von Netzwerken und Intelligenz entwickelt, wobei die Anzahl von elektronischen Steuereinheiten (ECU, Electronic Control Unit) in jedem Automobil sehr schnell wächst, und wobei diese Anzahl zurzeit fast 100 erreicht hat. Um den Benutzern immer vorteilhaftere Funktionen und Dienste anzubieten, müssen die elektronischen und elektrischen Systeme der Fahrzeuge immer komplizierter werden, wobei diese auch mit Schnittstellen zur Kommunikation mit der Aussenwelt versehen werden müssen, wie zum Beispiel WLAN, Bluetooth, 3G/4G-Kommunikation und USB-Schnittstellen. Im Falle eines intelligenten vernetzten Fahrzeugs handelt es sich bei einem entfernten Informationenprozessor (T-Box, Telematics Box) um eine Gateway-Vorrichtung, welche das fahrzeuginterne Netzwerk mit einem externen Netzwerk verbindet und externe Kommunikationsfunktionen für das Fahrzeug bereitstellt, um eine Vernetzung mit der Aussenwelt zu ermöglichen, einschliesslich der Kommunikationssysteme wie V2I und V2V. Die Fahrzeugvernetzung kann viele Vorteile für den Benutzer mit sich bringen, kann aber auch das Fahrzeugsystem durch das Internet einer grösseren Wahrscheinlichkeit von Hacker-Angriffen aussetzen.
[0004] Um die Gefahr von Hacker-Attacken zu reduzieren, ist es notwendig, ein gründliches Verteidigungsschichtensystem für Fahrzeuge so zu entwickeln, dass die Sicherheit der Fahrzeuge verbessert wird. In einem gründlichen Verteidigungsschichtensystem ist eine sichere Kommunikation in einem fahrzeuginternen Netz eine entscheidende Charakteristik für die gesamte Struktur des Sicherheitsverteidigungssystems, wobei nur wenn eine sichere Kommunikation in einem fahrzeuginternen Netz implementiert ist, kann ein sicheres elektronisches und elektrisches System für Fahrzeuge erstellt werden. Zurzeit basieren jedoch die meisten Fahrzeugkommunikationsnetze hauptsächlich auf einem Controller-Area-Netz-Bus (CAN, Controller Area Network).
[0005] Das Ziel bei der Entwicklung eines CAN-Netzwerkprotokolls ist es, seine Anwendung in einer geschlossenen Fahrzeugumgebung ohne Netzwerksicherheitsprobleme zu ermöglichen. Daher gibt es viele Vulnerabilitäten gegenüber Informationssicherheitsrisiko. Wenn diese Vulnerabilitäten von Hackern benutzt werden, können einige schädliche Operationen, wie der Diebstahl von Benutzerprivatdaten und Ähnliches durchgeführt werden, wodurch Probleme wie Eigentumsverlust, Privacy-Offenbarungen und Probleme für die persönliche Sicherheit des Fahrzeugbenutzers verursacht werden. Zum Beispiel, ein auf dem CAN 2.0 Standard basiertes Paket enthält keine Identitätsinformationen bezüglich des Senders oder Informationen bezüglich der Sendezeit, aber die Informationen in einem Datenfeld werden nicht verschlüsselt. In diesem Falle können Hacker einfach die gesendeten Daten überwachen.
[0006] Um die Anforderungen bezüglich der Informationssicherheit von Fahrzeugen zu erfüllen, wird als eine der kritischsten Technologien die fahrzeuginterne Netzwerkintrusionserfassung und Abwehr angesehen. Die fahrzeuginterne Netzwerkintrusionserfassung und Abwehr kann externe Angriffe rechtzeitig identifizieren, wobei durch geeignete Verteidigungsmassnahmen die negativen Auswirkungen von schädlichen Angriffen reduziert oder eliminiert werden können, wodurch ein normaler und sicherer Betrieb eines elektronischen und elektrischen Fahrzeugsystems gewährleistet wird.
[0007] Zurzeit sind die meisten fahrzeuginternen Netzwerke des Bus-Typs, wie zum Beispiel die Systeme CAN, UN, MOST, oder Flexray Bus. Die Bandbreite dieser Busse ist relativ gering, wobei es schwierig ist, Sicherheitsschutzmassnahmen wie die Verschlüsselung und Authentifizierung zu implementieren. Ein Intrusionserfassungsverfahren ist am einfachsten anzuwenden und ist eines der effektivsten fahrzeuginternen Netzwerksicherheitsschutzverfahren. Die meisten existierenden Intrusionserfassungsverfahren zielen jedoch auf Netzwerken im IT-Gebiet und können nicht für die fahrzeuginterne Netzwerkintrusionserfassung verwendet werden.
Zusammenfassung [0008] Das Ziel der vorliegenden Erfindung besteht in der Bereitstellung eines fahrzeuginternen Netzwerkintrusionserfassungsverfahrens und -systems, welches eine Netzwerkintrusionserfassung für ein busartiges Automobilnetzwerk implementieren und die Sicherheit der Fahrer und der Passagiere gewährleisten kann.
[0009] Um dieses Ziel zu erreichen, stellt die Erfindung die folgende Lösung bereit:
[0010] Fahrzeuginternes Netzwerkintrusionserfassungsverfahren zum Überwachen eines fahrzeuginternen CAN-Netzwerkes, umfassend:
CH 714 535 B1 [0011] Jedes Mal nach dem Empfang von N Paketen in einer T-Box, Erfassen einer Identität (ID) eines Sendeknotens, einer Empfangszeit (t,) der empfangenen Pakete und eines Empfangszeitintervalls (x,) zwischen dem i-ten und dem ersten Paket (t—t-ι), wobei N eine positive Ganzzahl und 1 = 1 bis N ist;
[0012] Erfassen eines theoretischen Taktverschiebungswertes (I) des Sendeknotens, welcher an die Identität (ID) des Sendeknotens in normalen Netzwerkbedingungen gebunden ist, wobei der theoretische Taktverschiebungswert (I) durch das Untersuchen einer Taktabweichung (o,) pro Zeiteinheit der durch den Sendeknoten gesendeten Pakete in normalen Netzwerkbedingungen erhalten wird;
[0013] Berechnen eines tatsächlichen Taktverschiebungswerts (s[k]), indem ein rekursives Verfahren der kleinsten Quadrate verwendet wird, und eines Identifizierungsfehlers (e[k]) mittels der Empfangszeit (t,) und dem Empfangszeitintervall (Xi), wobei der Identifizierungsfehler (e[k]) mittels eines linearen Regressionsmodells (oa00[k]) bestimmt wird, wobei k die Anzahl der Male zum Empfangen der N Pakete ist;
[0014] Vergleichen des tatsächlichen Taktverschiebungswerts (s[k]) mit dem theoretischen Taktverschiebungswert (I) hinsichtlich abrupter Verschiebungen, um die Identität (ID) des ein Paket sendenden Sendeknotens zu bestimmen:
- Berechnen, durch Verwenden eines Kumulativsummenverfahrens, welches die Differenzen zwischen den überwachten Werten und dem theoretischen Taktverschiebungswert (I) akkumuliert, eines Mittelwerts der bestimmten Identifizierungsfehler (e[k]) und einer Varianz der bestimmten Identifizierungsfehler (e[k]), welche mehrere Male empfangen worden sind;
- Berechnen eines kumulativen Identifizierungsfehlers mittels des Mittelwertes (μ0) der Identifizierungsfehler e[k], der Varianz (σ0 2 ) der Identifizierungsfehler e[k] und des theoretischen Taktverschiebungswertes (I); und wenn der kumulative Identifizierungsfehler eine bestimmte Schwelle überschreitet, Bestimmen, dass ein fahrzeuginternes Netzwerk abnormal ist; und wenn der kumulative Identifizierungsfehler die gegebene Schwelle nicht überschreitet, Bestimmen, dass das fahrzeuginterne Netzwerk normal ist.
[0015] Optional ist ein spezifischer Vorgang zum Erhalten des theoretischen Taktverschiebungswerts durch Untersuchen der Zeitinformation der Paketsendung durch jeden Sendeknoten in normalen Netzwerkbedingungen wie folgt:
[0016] Erfassen eines Zeitstempels der Empfangszeit der N Pakete;
[0017] Berechnen einer Sendeperiode eines Pakets entsprechend dem Zeitstempel der Empfangszeit der N Pakete;
[0018] Berechnen einer kumulativen Abweichung entsprechend der Sendeperiode und dem Zeitstempel der Empfangszeit; und [0019] Berechnen der Taktverschiebung entsprechend der kumulativen Abweichung, um den theoretischen Taktverschiebungswert zu erhalten.
[0020] Optional umfasst das Berechnen eines Identifizierungsfehlers und eines tatsächlichen Taktverschiebungswerts gemäss der Empfangszeit und dem Empfangszeitintervall insbesondere:
[0021] Festlegen eines linearen Regressionsmodells O„„[£] = 5’[7c]*/[A]+e[A], wobei k die Anzahl der Male zum Empfangen der N Pakete ist; Oaoo[k] eine kumulative Taktabweichung ist, welche durch Analysieren der N Pakete zum k-ten Mal erhalten wird; S[k] den tatsächlichen Taktverschiebungswert bezeichnet; t[k] die Systemlaufzeit ist; und e[k] der Identifizierungsfehler ist; und [0022] Berechnen des Identifizierungsfehlers durch Verwenden eines rekursiven Kleinstquadratenverfahrens gemäss dem linearen Regressionsmodell, der Empfangszeit und dem Empfangszeitintervall.
[0023] Die vorliegende Erfindung offenbart ferner ein fahrzeuginternes Netzwerkintrusionserfassungssystem, umfassend: ein Zeitgebermodul, ein Erfassungsmodul, ein Untersuchungsmodul, wobei ein Ausgangsende des Zeitgebermoduls mit einem Kommunikationsmodul einer T-Box verbunden ist, wobei ein Ausgangsende des Kommunikationsmoduls mit dem Untersuchungsmodul verbunden ist, das Kommunikationsmodul ferner bidirektional mit dem Erfassungsmodul verbunden ist und ein Ausgangsende des Untersuchungsmoduls mit dem Erfassungsmodul verbunden ist; und [0024] Das Zeitgebermodul konfiguriert ist, um eine Systemlaufzeit an das Kommunikationsmodul zu senden; wobei das Kommunikationsmodul einen Zeitstempel einer Empfangszeit eines empfangenen Pakets und die Identität eines paketsendenden Knotens entsprechend der Systemlaufzeit aufzeichnet; das Kommunikationsmodul die Identität und den Zeitstempel der Empfangszeit an das Untersuchungsmodul und an das Erfassungsmodul sendet; das Untersuchungsmodul konfiguriert ist, um einen theoretischen Taktverschiebungswert des Sendeknotens gemäss dem Zeitstempel der Empfangszeit in normalen Netzwerkbedingungen zu bestimmen, und den theoretischen Taktverschiebungswert an die Identität des Sendeknotens zu binden; und das Erfassungsmodul konfiguriert ist, um eine Abweichung einer Taktverschiebung des Sendeknotens relativ zum theoretischen Taktverschiebungswert gemäss dem Zeitstempel der Empfangszeit während einer Intrusionserfassung zu bestimmen.
[0025] Optional umfasst das System ferner eine Cloud-Steuerplattform, wobei das Kommunikationsmodul bidirektional mit der Cloud-Steuerplattform kommuniziert; und das Kommunikationsmodul konfiguriert ist, um Alarminformationen an die Cloud-Steuerplattform zu senden, wenn das Erfassungsmodul eine Netzwerkanomalie detektiert, und um eine online Aktualisierungsanweisung und ein Aktualisierungspaket zu empfangen, welche von der Cloud-Kontrollplattform gesendet werden.
CH 714 535 B1 [0026] Gemäss spezifischen Ausführungsformen der vorliegenden Erfindung offenbart die Erfindung die folgenden technischen Effekte; das Verfahren und das System der vorliegenden Erfindung überwachen, in dynamischer Weise das fahrzeuginterne Netzwerk auf der Basis des T-Box und eines Can-Bus, sind zum Überwachen von Anomalien im Grossteil der Automobilnetzwerken geeignet und besitzen eine universelle Anwendbarkeit; gemäss dem Verfahren der vorliegenden Erfindung wird eine Taktverschiebung eines Sendeknotens in normalen Netzwerkbedingungen erfasst, und die Taktverschiebung wird als Taktmarkierungsinformation des Sendeknotens verwendet, sodass die Identität identifiziert werden kann, Informationen, welche von einem nicht zugewiesenen Knoten gesendet werden, identifiziert werden können und ein schädlicher Angriff verhindert werden kann, wodurch die Sicherheit des Automobilnetzwerks verbessert wird.
Kurze Beschreibung der Zeichnungen [0027] Um die technischen Lösungen in den Ausführungsformen der vorliegenden Erfindung oder im Stand der Technik besser zu beschreiben, werden im Folgenden kurz die anliegenden Zeichnungen beschrieben, welche zur Beschreibung der Ausführungsformen benötigt sind. Die der folgenden Beschreibung anliegenden Zeichnungen zeigen einige Ausführungsformen der vorliegenden Erfindung, wobei ein durchschnittlicher Fachmann in diesem Gebiet der Technik auch weitere Zeichnungen von diesen anliegenden Zeichnungen ohne kreative Leistung ableiten kann.
Fig. 1 zeigt ein Flussdiagramm eines Verfahrens gemäss einer Ausführungsform eines fahrzeuginternen Netzwerkintrusionserfassungsverfahrens der vorliegenden Erfindung; und
Fig. 2 zeigt ein strukturelles Diagramm eines fahrzeuginternen Netzwerkintrusionserfassungssystems gemäss der vorliegenden Erfindung.
Beschreibung von Ausführungsformen [0028] Im Folgenden werden technische Lösungen in den Ausführungsformen der Erfindung in Bezug auf die anliegenden Zeichnungen in den Ausführungsformen der vorliegenden Erfindung klar und ausführlich beschrieben. Offenbar sind die beschriebenen Ausführungsformen nur ein Teil aller Ausführungsformen der Erfindung. Alle anderen Ausführungsformen, welche von einem durchschnittlichen Fachmann ohne schöpferische Bemühungen auf der Basis der Ausführungsformen der vorliegenden Erfindung erfasst werden können, fallen innerhalb des Schutzumfangs der vorliegenden Erfindung.
[0029] Um Ziele, Merkmale und Vorteile der Erfindung besser zu erläutern, wird im Folgenden die Erfindung ausführlicher mit Bezug auf die anliegenden Zeichnungen und spezifischen Implementationen beschrieben.
[0030] Fig. 1 zeigt ein Flussdiagramm eines Verfahrens nach einer Ausführungsform eines fahrzeuginternen Netzwerkintrusionserfassungsverfahrens der vorliegenden Erfindung.
[0031] Mit Bezug auf Fig. 1 umfasst das fahrzeuginterne Netzwerkintrusionserfassungsverfahren Folgendes:
[0032] Schritt 101. Jedes Mal, nachdem eine T-Box N Pakete empfangen hat, Erfassen einer Sendeknotenidentität und der Empfangszeit der N empfangenen Pakete und des Empfangszeitintervalls zweier anliegender Pakete, wobei N eine positive Ganzzahl ist.
[0033] Schritt 102. Erfassen einer Taktverschiebung eines Sendeknotens entsprechend der Sendeknotenidentität, um einen theoretischen Taktverschiebungswert zu erhalten, wobei dertheoretische Taktverschiebungswert durch Untersuchen der Zeitinformationen der Sendepakete durch jeden Sendeknoten in normalen Netzwerkbedingungen erhalten wird, und wobei jeder Sendeknoten einer Taktverschiebung entspricht.
[0034] Schritt 103. Berechnen eines Identifizierungsfehlers und eines tatsächlichen Taktverschiebungswertes gemäss der Empfangszeit und dem Empfangszeitintervall. Der Schritt ist insbesondere wie folgt:
[0035] Festlegen eines linearen Regressionsmodells o„J*] = S[fc]s'r[i.] + e[ÄJ, wobei k die Anzahl der Male zum Empfangen der N Pakete ist; Oaoo[k] eine kumulative Taktabweichung ist, welche durch Analysieren der N Pakete zum k-ten Mal erhalten wird; S[k] den tatsächlichen Taktverschiebungswert bezeichnet; t[k] die Systemlaufzeit ist; und e[k] der Identifizierungsfehler ist; und [0036] Berechnen des Identifizierungsfehlers durch Verwenden eines rekursiven Kleinstquadratenverfahrens gemäss dem linearen Regressionsmodell, der Empfangszeit und dem Empfangszeitintervall.
[0037] Schritt 104. Vergleichen des tatsächlichen Taktverschiebungswerts mit dem theoretischen Taktverschiebungswert, um eine Identität eines Sendeknotens zu bestimmen, der ein Paket sendet.
[0038] Schritt 105. Berechnen, unter Verwendung eines kumulativen Summenverfahrens eines Mittelwerts und einer Varianz der mehrfach empfangenen Identifizierungsfehler.
[0039] Schritt 106. Berechnen eines kumulativen Identifizierungsfehlers gemäss dem Mittelwert, der Varianz und dem theoretischen Taktverschiebungswert.
CH 714 535 B1 [0040] Schritt 107. Wenn der kumulative Identifizierungsfehler einen gegebenen Schwellenwert überschreitet, Bestimmen, dass ein fahrzeuginternes Netzwerk abnormal ist; und wenn der kumulative Identifizierungsfehler den gegebenen Schwellenwert nicht überschreitet, bestimmen, dass das fahrzeuginterne Netzwerk normal ist.
[0041] Ein spezifischer Vorgang zum Erhalten des theoretischen Taktverschiebungswerts durch Untersuchen von Zeitinformationen zum Senden von Paketen durch jeden Sendeknoten in einem normalen Netzwerkzustand ist wie folgt:
[0042] Erfassen eines Zeitstempels der Empfangszeit der N Pakete;
[0043] Berechnen einer Sendeperiode eines Pakets gemäss dem Zeitstempel der Empfangszeit der N Pakete; Berechnen einer kumulativen Abweichung gemäss der Sendeperiode und dem Zeitstempel der Empfangszeit; und [0044] Berechnen der Taktverschiebung gemäss der kumulativen Abweichung, um den theoretischen Taktverschiebungswert zu erhalten.
[0045] Fig. 2 zeigt ein Strukturdiagramm eines fahrzeuginternen Netzwerkintrusionserfassungssystems der vorliegenden Erfindung.
[0046] Bezugnehmend auf Fig. 2, umfasst das fahrzeuginterne Netzwerkintrusionserfassungssystem ein Zeitgebermodul 1, ein Erfassungsmodul 4, ein Untersuchungsmodul 3 und eine Cloud-Steuerplattform 5, wobei ein Ausgangsende des Zeitgebermoduls 1 mit einem Kommunikationsmodul 2 einer T-Box verbunden ist, ein Ausgangsende des Kommunikationsmoduls 2 mit dem Untersuchungsmodul 3 verbunden ist, das Kommunikationsmodul 2 ferner in einer bidirektionalen Verbindung mit der Cloud-Steuerplattform 5 und dem Detektionsmodul 4 ist, und ein Ausgangsende des Untersuchungsmoduls 3 mit dem Erfassungsmodul 4 verbunden ist.
[0047] Das fahrzeuginterne, basierend auf einem CAN-Bus der T-Box konstruierten und entwickelten (Netzwerk-Intrusionserfassungssystem ist für den netzwerkinternen Informationssicherheitsschutz intelligenter vernetzter Automobile geeignet, erfasst Intrusionen und Angriffe auf das fahrzeuginterne Netzwerk von Hackern in Echtzeit und ergreift frühzeitig entsprechende Abwehr- und Notfallmassnahmen, um die durch den Angriff verursachten Risiken und Schäden für die Fahrzeuge zu minimieren, in der vorliegenden Erfindung wird das fahrzeuginterne Netzwerkintrusionserfassungssystem in der T-Box eingesetzt, um das fahrzeuginterne CAN-Netzwerk zu überwachen, wobei die Klassifizierung gemäss Datensicherheitsbedrohungspegeln auf dem Netzwerkbus durchgeführt wird und ein zu schützendes Paket überwacht wird. Das Zeitgebermodul 1 des fahrzeuginternen Netzwerkintrusionserfassungssystems wird verwendet, um eine genaue Zeitsteuerung durchzuführen, und der Zeitstempel des von dem fahrzeuginternen Netzwerkintrusionserfassungssystem empfangenen Pakets wird aufgezeichnet. Der Zeitstempel, die Identität (oder ID) des Sendeknotens, der ein Paket sendet, und das Datenfeld sind in ein Erfassungspaket gepackt. Das Erfassungspaket wird in einer First-in-first-out-Warteschlange (FIFO, first-in first-out) gespeichert, und Daten im Erfassungspaket werden durch die FIFO-Warteschlange gelesen, um eine Taktverschiebung des Sendeknotens zu berechnen. Die Taktverschiebung wird als ein Fingerabdruckmerkmal des Sendeknotens verwendet, und dann wird unter Verwendung eines Erfassungsalgorithmus bestimmt, ob eine Intrusion auftritt. Der Typ einer Intrusion und eines Angriffs wird durch eine sich ändernde Situation des Fingerabdruckmerkmals bestimmt, und Echtzeitalarminformationen werden an die Cloud-Steuerplattform 5 gesendet, sodass die Cloud-Steuerplattform 5 auf der Grundlage der Alarminformation zeitnah Abwehrmassnahmen ergreifen kann. Ein Erfassungsergebnis wird in Form von Protokollen aufgezeichnet, in einem Lese-Speicher (ROM, Nur-Lese-Speicher) der T-Box gespeichert und zu einer geeigneten Zeit in die Cloud geladen, damit die Cloud eine Intrusionsangriffskette und Schwachstellen im System weiter bestimmen kann, die detailliertere Informationen für die nachfolgende Verteidigung liefern. Die Cloud-Steuerungsplattform 5 kann auch aus eigener Initiative die T-Box auffordern, das Erfassungsergebnis zu senden, wenn der Bedarf besteht.
1. Zeitgebermodul 1 [0048] Das Zeitsteuermodul 1 ist konfiguriert, um eine Systemlaufzeit an das Kommunikationsmodul 2 zu senden. Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung basiert auf einem Taktverschiebungsmerkmal eines Sendeknotens (meist ECU) und daher ist ein genaues Zeitgebermodul 1 notwendig, um eine genaue Zeitsteuerung für das gesamte fahrzeuginterne Netzwerkintrusionserfassungssystem bereitzustellen. Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung hat eine Zeitgenauigkeit von 100 Mikrosekunden. Die vorliegende Erfindung verwendet einen 32-Bit-Zeitgeber zum Auswählen eines geeigneten Vorskalierungskoeffizienten gemäss einer Systemtaktfrequenz und zum Erzeugen einer Zählung alle 10 Mikrosekunden. Ein Überlauf-Interrupt wird erzeugt, wenn ein Zähler überläuft, wobei die Anzahl von Interrupt aufgezeichnet wird, um eine Zeit zu erhalten, wobei die Zeit die Systemlaufzeit ist.
2. Kommunikationsmodul 2 [0049] Das Kommunikationsmodul 2 zeichnet einen Zeitstempel einer Empfangszeit eines empfangenen Pakets und eine Identität eines ein Paket sendenden Sendeknotens entsprechend der Systemlaufzeit; das Kommunikationsmodul 2 sendet die Identität und den Zeitstempel der Empfangszeit an das Untersuchungsmodul 3 und an das Erfassungsmodul 4. Für ein fahrzeuginternes CAN-Netzwerk muss das fahrzeuginterne Netzwerkintrusionserfassungssystem mit dem CAN-Bus und der Cloud-Steuerplattform 5 kommunizieren. Die T-Box kommuniziert mit dem CAN-Bus durch Interrupt. In einem separaten Thread wird, wenn immer eine CAN-Controller-FIFO-Mailbox ein Paket empfängt, ein CAN-Paketempfangs-In
CH 714 535 B1 terrupt ausgelöst. Wenn das Interrupt ausgelöst wird, kann die T-Box eine aktuelle Zeit lesen, Paketdaten und eine Identität eines Sendeknotens als ein Erfassungspaket aufzeichnen und dann das Erfassungspaket in eine einfach verknüpfte Liste zum Speichern einfügen und an das Untersuchungsmodul 3 und das Erfassungsmodul 4 senden. Das Untersuchungsmodul 3 und das Erfassungsmodul 4 können Informationen verarbeiten, die von dem Erfassungspaket übertragen werden, das Paket erkennen und feststellen, ob ein Angriff vorliegt. Das Kommunikationsmodul 2 kommuniziert ferner mit der Cloud-Steuerplattform 5, sendet einen Angriffsalarm an die Cloud-Steuerplattform 5, empfängt eine Anweisung von der Cloud-Steuerplattform 5 und ergreift Abwehrmassnahmen, wie zum Beispiel Online-Aktualisierungen. Das Kommunikationsmodul 2 besteht hauptsächlich aus einem 4G-Modul, stellt über eine Dial-up-Verbindung eine TCP-Verbindung mit der Cloud-Steuerplattform 5 her und definiert ein spezifisches Anwendungsprotokoll für die Kommunikation.
3. Untersuchungsmodul 3 [0050] Das Untersuchungsmodul 3 ist konfiguriert, um einen theoretischen Taktverschiebungswert des Sendeknotens gemäss dem Zeitstempel der Empfangszeit in einem normalen Netzwerkzustand zu bestimmen und den theoretischen Taktverschiebungswert an die Identität des Sendeknotens zu binden. Die Funktion des Untersuchungsmoduls 3 besteht darin, das empfangene Paket zu verarbeiten, ein Taktverschiebungsmerkmal des Sendeknotens unter Verwendung des rekursiven Verfahrens die kleinsten Quadrate zu extrahieren, das Taktverschiebungsmerkmal als ein Fingerabdruckmerkmal des Sendeknotens zu verwenden und Identitätsinformationen des Sendeknotens gemäss dem Fingerabdruckmerkmal zu identifizieren. Um das Verfahren der Berechnung der Taktverschiebung des Sendeknotens zu erklären, sollten zuerst die Konzepte einer Taktabweichung und einer Taktverschiebungsrate geklärt werden. Die Taktabweichung bezieht sich auf eine Differenz zwischen einem realen Takt und einem lokalen Takt des Sendeknotens. Die Taktverschiebungsrate bezieht sich auf eine Taktabweichung pro Zeiteinheit.
[0051] Wenn die T-Box N Pakete empfängt, welche vom Sendeknoten gesendet worden sind, wobei t0 = 0 ein Zeitstempel beim Senden eines ersten Rahmenpakets durch den Sendeknoten, T die Sendeperiode des Pakets, d, eine Netzwerkverzögerung, ti ein Zeitstempel des Empfangs des i-ten Pakets, O, eine Taktabweichung des i-ten Pakets, x, ein Empfangszeitintervall des i-ten Pakets und des ersten Pakets ist, ergibt sich:
= ti - ÉJ.
0; = ((i * T + dj) — dj) ~ (£;· — tj) [0052] Die Netzwerkverzögerung ist im Wesentlichen fest, das heisst, d, = d^ daher ergibt sich:
0. =£ *T-(ti - Ci) [0053] Um den Wert von T zu berechnen, werden jeweils N empfangene Pakete in eine Gruppe getrennt, eine durchschnittliche Sendeperiode der N Pakete wird als Sendeperiode T der Pakete berechnet, und eine mittlere Taktverschiebung jedes Pakets wird relativ zum ersten Paket berechnet. Die absoluten Werte der durchschnittlichen Taktverschiebungen werden summiert, um eine kumulative Taktabweichung zu erhalten. Aus der Definition kann bekannt sein, dass eine Neigung einer geraden Linie der kumulativen Taktverschiebung die Taktverschiebungsrate ist, und die für jeden Sendeknoten erhaltene Taktverschiebungsrate ist eine Konstante. Die Taktverschiebungsrate ist ein theoretischer Taktverschiebungswert. Daher kann die Taktverschiebungsrate jedes Sendeknotens entsprechend dem empfangenen Paket berechnet werden, wobei das Taktverschiebungsmerkmal des Sendeknotens zur Anomalie-Erfassung bereitgestellt ist, und als Fingerabdruckmerkmal des Sendeknotens verwendet wird.
4. Erfassungsmodul 4 [0054] Das Erfassungsmodul 4 ist konfiguriert, um eine Abweichung einer Taktverschiebung des Sendeknotens relativ zum theoretischen Taktverschiebungswert gemäss dem Zeitstempel der Empfangszeit während einer Intrusionserfassung zu bestimmen. Die Funktion des Erfassungsmoduls 4 basiert auf dem Fingerabdruckmerkmal, welches vom Untersuchungsmodul 3 extrahiert wird, und identifiziert, ob ein Angriff vorliegt durch Kombinieren eines Zustands des Pakets auf dem CAN-Bus. Man legt vorerst ein Modell eines normalen Zustands des CAN-Bus fest. Zur Identität eines Sendeknotens erhält man eine kumulative Taktabweichung des Sendeknotens basierend auf der Empfangszeit des Pakets. Die Taktverschiebungsrate, welche für jeden Sendeknoten erhalten ist, ist eine Konstante, und die kumulative Taktabweichung wächst linear mit der Zeit, sodass ein lineares Regressionsmodell festgelegt werden kann. Die Formel ist wie folgt ausgedrückt:
=£[&]* t[fc] +e[fc], k ist die Anzahl von Male zum Empfang der N Pakete, und die N Pakete werden jedes Mal analysiert, Oacc[k] ist eine kumulative Taktabweichung, welche durch Analysieren der N Pakete für das k-te Mal erhalten wird, t[k] ist eine Systemlaufzeit, e[k] ist ein Identifizierungsfehler, das heisst ein Fehler, welcher während der Iteration erzeugt wird. S[k] ist eine Taktverschiebungsrate, welche die Neigung des linearen Regressionsmodells darstellt. Die Taktverschiebungsrate S[k] wird berechnet, indem das rekursive Verfahren die kleinsten Quadrate (RLS) verwendet wird. Der Identifizierungsfehler wird als eine Zielfunktion verwendet, um das Quadrat des Identifizierungsfehlers zu minimieren. Daher wird im rekursiven Verfahren der kleinsten Quadrate, der Identifizierungsfehler gegen null gehen. Die Empfangszeit der N Pakete und das
CH 714 535 B1
Empfangszeitintervall jeder zwei Pakete sind durch Detektieren erhalten. Falls das vom Sendeknoten ausgesandte Paket für eine lange Zeitperiode nicht empfangen wird, zeigt dies, dass ein Denial-of-Service-Angriff (DOS, Denial of Service) vorliegt und der CAN-Bus sich in einem nicht normalen Zustand befindet. Nachdem die N Pakete empfangen worden sind, werden die kumulative Taktabweichung und der entsprechende Identifizierungsfehler und ein Verstärkungskoeffizient 6 und eine Kovarianz P in der rekursiven Methode der kleinsten Quadrate berechnet, nachdem der Zeitstempel der N Pakete erfasst worden ist, um die Taktverschiebungsrate S[k] zu erhalten. Eine Iteration wird ausgeführt, wenn die N Pakete jedes Mal empfangen werden, und die Taktverschiebungsrate S[k] und ein Identifizierungsfehlerwerden jedes Mal ausgegeben. Falls kein Angriff vorliegt, wird der Identifizierungsfehler Null erreichen, und die Taktverschiebungsrate ist konstant.
[0055] Eine eventuelle abnormale Veränderung der Taktverschiebungsrate wird durch Verwendung des kumulativen Summenverfahrens bestimmt. Das Verfahren akkumuliert die Differenzen zwischen den überwachten Werten und den theoretischen Werten, um abrupte Verschiebungen zu erfassen. Da die kumulative Summe berechnet wird, werden auch kleine Abweichungen vom theoretischen Wert erfasst, wodurch der kumulative Wert stetig wächst oder abfällt. Die Varianz σ; und der Mittelwert μ„ des Identifizierungsfehlers werden nach jedem Schritt der Schätzung der Taktverschiebungsrate aktualisiert. Die Varianz σ; und der Mittelwert μβ des Identifizierungsfehlers stellen einen Zustand des CAN-Netzwerks dar, und sind auch theoretische Werte im Algorithmus der kumulativen Summe. Daher müssen diese Werte überwacht werden.
[0056] Um Auswirkungen eines Angriffs auf die theoretischen Werte zu verhindern, werden der Mittelwert und die Varianz nur aktualisiert, wenn μβ
Im Algorithmus der kumulativen Summe werden zwei Identifizierungsfehlerparameter eingestellt: einen maximalen Wert des kumulativen Identifizierungsfehlers und einen minimalen Wert des kumulativen Identifizierungswerts, wobei die Aktualisierung wie folgt durchgeführt wird:
Lk_ = max{0,£(
Lk+ = max{0, Lk_i+ + - K}
Lk_-i_ ist ein minimaler Wert des kumulativen Identifizierungsfehlers, welcher durch Berechnung erhalten wird, nachdem die N Pakete zum letzten Mal empfangen werden, Lk_ ist ein minimaler Wert des kumulativen Identifizierungsfehlers, welcher durch Berechnung erhalten wird, nachdem die N Pakete zur jetzigen Zeit erhalten sind, Lk_1+ ist ein maximaler Wert des kumulativen Identifizierungsfehlers, welcher durch Berechnung erhalten wird, nachdem die N Pakete zum letzten Mal empfangen werden, und Lk+ ist ein maximaler Wert des kumulativen Identifizierungsfehlers, welcher durch Berechnung erhalten wird, nachdem die N Pakete zur jetzigen Zeit erhalten sind. K stellt die Standardabweichung einer vorgesehenen Erfassung. K kann durch Offline-Lernen oder durch Überwachung des Busses unter normalen Umständen erhalten werden. Der Wert von K sollte ermöglichen, dass der Wert von r
Null erreicht, wenn das Netzwerk normal ist. Wenn der absolute Wert von Lk_ oder Lk+ eine gegebene Schwelle überschreitet, wird das Netzwerk als abnormal erklärt. Die vorgegebene Schwelle ist 5.
5. Cloud-Steuerplattform 5 [0057] Die Cloud-Steuerplattform 5 ist konfiguriert, um Alarminformationen zu empfangen, die durch das Kommunikationsmodul 2 gesendet werden, wenn das Erfassungsmodul 4 eine Netzwerkanomalie detektiert und ferner konfiguriert ist, um eine Online-Aktualisierungs-Anweisung und ein Aktualisierung-Paket an das Kommunikationsmodul 2 zu senden.
[0058] Das Verfahren und das System der vorliegenden Erfindung überwachen dynamisch das fahrzeuginterne Netzwerk, basierend auf der T-Box und dem CAN-Bus, sind zum Überwachen von Anomalien in den meisten Automobilnetzwerken geeignet und haben universelle Anwendbarkeit; gemäss dem Verfahren der vorliegenden Erfindung wird eine Taktverschiebung eines Sendeknotens in einem normalen Netzwerkzustand erfasst, und die Taktverschiebung wird als Taktmarkierungsinformation des Sendeknotens verwendet, sodass eine Identifizierung einer Identität realisiert werden kann sowie eine von einem nicht zugewiesenen Sendeknoten identifiziert werden kann, und ein böswilliger Angriff kann verhindert werden, wodurch die Sicherheit des automobilen Netzwerks verbessert wird. Darüber hinaus weist die vorliegende Erfindung auch die folgenden technischen Effekte auf:
[0059] (1) Die vorliegende Erfindung kann wirksam Angriffe auf den CAN-Bus in dem Fahrzeug in Echtzeit erfassen, einschliesslich Injektionsangriffen, Denial-of-Service-Angriffen, Maskerade-Angriffen, Replay-Angriffen und anderen Angriffen.
CH 714 535 B1 [0060] (2) Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung kann leicht in Fahrzeugen eines beliebigen Modells eingesetzt werden, ohne die ursprüngliche elektronische und elektrische Architektur des Fahrzeugs zu ändern oder zusätzliche Hardwareressourcen hinzuzufügen, hat geringe Kosten und ist zum Nachladen und auch zum Vorladen geeignet.
[0061] (3) Das Erfassungsverfahren der vorliegenden Erfindung kann einen Sendeknoten eines Pakets gemäss dem Taktmerkmal des Sendeknotens identifizieren und die Identität des Sendeknotens identifizieren.
[0062] (4) Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung verwendet ein leichtes Erfassungsverfahren, das auf derT-Box läuft, nimmt wenig Hardwareressourcen ein und weist eine Echtzeiterfassung und eine kurze Erfassungsreaktionszeit auf.
[0063] (5) Das fahrzeuginterne Netzwerkintrusionserfassungsverfahren der vorliegenden Erfindung erfordert keine Änderung der Fahrzeug-CAN-Bus-Protokollmatrix.
[0064] (6) Das fahrzeuginterne Netzwerkintrusionserfassungsverfahren der vorliegenden Erfindung weist eine hohe Detektionsrate und eine niedrige Fehlalarmrate auf.
[0065] (7) Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung kommuniziert in Echtzeit mit der Cloud-Steuerplattform, zeichnet erfasste Angriffe auf und lädt diese auf die Cloud-Steuerplattform hoch. Die CloudSteuerplattform entwickelt neue Abwehrmassnahmen gemäss den Aufzeichnungen des Angriffsverhaltens und führt eine Fernaktualisierung des fahrzeuginternen Intrusionserfassungssystems durch.
[0066] Mehrere Beispiele sind zur Veranschaulichung der Prinzipien und Implementierungsverfahren der vorliegenden Erfindung verwendet worden. Die Beschreibung der Ausführungsformen wird verwendet, um die Veranschaulichung des Verfahrens und seiner Kernprinzipien gemäss der vorliegenden Erfindung zu vereinfachen. Zudem können Fachleute auf dem Gebiet verschiedene Modifikationen hinsichtlich spezifischer Ausführungsformen und Anwendungsbereiche entsprechend den Lehren der vorliegenden Erfindung vornehmen. Zusammenfassend soll der Inhalt dieser Beschreibung nicht als eine Einschränkung der Erfindung verstanden werden.

Claims (5)

  1. Patentansprüche
    1. Fahrzeuginternes Netzwerkintrusionserfassungsverfahren zum Überwachen eines fahrzeuginternen CAN-Netzwerkes, umfassend:
    jedes Mal nach dem Empfang von N Paketen in einer T-Box, Erfassen einer Identität eines Sendeknotens, einer Empfangszeit der empfangenen Pakete und eines Empfangszeitintervalls zwischen dem i-ten und dem ersten Paket, wobei N eine positive Ganzzahl und 1 = 1 bis N ist;
    Erfassen eines theoretischen Taktverschiebungswertes des Sendeknotens, welcher an die Identität des Sendeknotens in normalen Netzwerkbedingungen gebunden ist, wobei der theoretische Taktverschiebungswert durch das Untersuchen einer Taktabweichung pro Zeiteinheit der durch den Sendeknoten gesendeten Pakete in normalen Netzwerkbedingungen erhalten wird;
    Berechnen eines tatsächlichen Taktverschiebungswerts, indem ein rekursives Verfahren der kleinsten Quadrate verwendet wird, und eines Identifizierungsfehlers mittels der Empfangszeit und dem Empfangszeitintervall, wobei der Identifizierungsfehler mittels eines linearen Regressionsmodells bestimmt wird;
    Vergleichen des tatsächlichen Taktverschiebungswerts mit dem theoretischen Taktverschiebungswert hinsichtlich abrupter Verschiebungen, um die Identität des ein Paket sendenden Sendeknotens zu bestimmen:
    - Berechnen, durch Verwenden eines Kumulativsummenverfahrens, welches die Differenzen zwischen den überwachten Werten und dem theoretischen Taktverschiebungswert akkumuliert, eines Mittelwerts der bestimmten Identifizierungsfehler und einer Varianz der bestimmten Identifizierungsfehler, welche mehrere Male empfangen worden sind;
    - Berechnen eines kumulativen Identifizierungsfehlers mittels des Mittelwertes der Identifizierungsfehler, der Varianz der Identifizierungsfehler und des theoretischen Taktverschiebungswertes; und wenn der kumulative Identifizierungsfehler eine bestimmte Schwelle überschreitet, Bestimmen, dass ein fahrzeuginternes Netzwerk abnormal ist; und wenn der kumulative Identifizierungsfehler die gegebene Schwelle nicht überschreitet, Bestimmen, dass das fahrzeuginterne Netzwerk normal ist.
  2. 2. Fahrzeuginternes Netzwerkintrusionserfassungsverfahren nach Anspruch 1, wobei ein spezifischer Vorgang zum Erhalten des theoretischen Taktverschiebungswerts durch Untersuchen der Zeitinformation der Paketsendung durch jeden Sendeknoten in normalen Netzwerkbedingungen wie folgt ist:
    Erfassen eines Zeitstempels der Empfangszeit des i-ten empfangenen Paketes;
    Berechnen einer durchschnittlichen Sendeperiode der N Pakete mittels des Zeitstempels der Empfangszeit des i-ten empfangenen Paketes;
    Berechnen einer kumulativen Taktabweichung mittels des Empfangszeitintervalls zwischen einem i-ten und einem ersten empfangenen Paket und dem Zeitstempel der Empfangszeit; und
    Berechnen des tatsächlichen Taktverschiebungswertes mittels der kumulativen Taktabweichung, um den theoretischen Taktverschiebungswert zu erhalten.
    CH 714 535 B1
  3. 3. Fahrzeuginternes Netzwerkintrusionserfassungsverfahren nach Anspruch 1, wobei das Berechnen des Identifizierungsfehlers und des tatsächlichen Taktverschiebungswerts mittels der Empfangszeit und des Empfangszeitintervalls umfasst:
    Festlegen eines linearen Regressionsmodells O„rc[Är] = *<[/·]+ <?!>], wobei k die Anzahl der Male zum Empfangen der N Pakete ist; wobei eine kumulative Taktabweichung Oaoo[k] durch Analysieren der zum k-ten Mal erhaltenen N Pakete erhalten wird, mit dem tatsächlichen Taktverschiebungswert S[k]; der Systemlaufzeit t[k]; und dem Identifizierungsfehler e[k]; und
    Berechnen des Identifizierungsfehlers durch Verwenden eines rekursiven Verfahrens der kleinsten Quadrate gemäss dem linearen Regressionsmodell, der Empfangszeit und dem Empfangszeitintervall.
  4. 4. Fahrzeuginternes Netzwerkintrusionserfassungssystem zum Durchführen des Verfahrens gemäss Anspruch 1, umfassend: ein Zeitgebermodul (1), ein Erfassungsmodul (4), ein Untersuchungsmodul (3), wobei ein Ausgangsende des Zeitgebermoduls (1) mit einem Kommunikationsmodul (2) einer T-Box verbunden ist, wobei ein Ausgangsende des Kommunikationsmoduls (2) mit dem Untersuchungsmodul (3) verbunden ist, das Kommunikationsmodul (2) ferner bidirektional mit dem Erfassungsmodul (3) verbunden ist und ein Ausgangsende des Untersuchungsmoduls (3) mit dem Erfassungsmodul (4) verbunden ist; und das Zeitgebermodul (1) konfiguriert ist, um eine Systemlaufzeit an das Kommunikationsmodul (2) zu senden; wobei das Kommunikationsmodul (2) einen Zeitstempel einer Empfangszeit eines empfangenen Pakets und die Identität eines paketsendenden Sendeknotens entsprechend der Systemlaufzeit aufzeichnet; das Kommunikationsmodul (2) die Identität und den Zeitstempel der Empfangszeit an das Untersuchungsmodul (3) und an das Erfassungsmodul (4) sendet; das Untersuchungsmodul (3) konfiguriert ist, um einen theoretischen Taktverschiebungswert des Sendeknotens gemäss dem Zeitstempel der Empfangszeit unter normalen Netzwerkbedingungen zu bestimmen und den theoretischen Taktverschiebungswert an die Identität des Sendeknotens zu binden; und das Erfassungsmodul (4) konfiguriert ist, um eine Abweichung eines tatsächlichen Taktverschiebungswertes des Sendeknotens relativ zum theoretischen Taktverschiebungswert gemäss dem Zeitstempel der Empfangszeit während einer Intrusionserfassung zu bestimmen und daraus ableiten, ob das Netzwerk abnormal oder normal ist.
  5. 5. Fahrzeuginternes Netzwerkintrusionserfassungssystem nach Anspruch 4, ferner umfassend eine Cloud-Steuerplattform (5), wobei das Kommunikationsmodul (2) bidirektional mit der Cloud-Steuerplattform (5) kommuniziert; und das Kommunikationsmodul (2) konfiguriert ist, um Alarminformationen an die Cloud-Steuerplattform (5) zu senden, wenn das Erfassungsmodul (4) eine Netzwerk-Anomalie detektiert, und um eine Online-Aktualisierungsanweisung und ein Aktualisierungspaket zu empfangen, welche von der Cloud-Steuerplattform (5) gesendet werden.
    CH 714 535 B1
    Jedes Mal nachdem ein T-Box N Pakete empfangen hat, Erfassen einer Sendeknotenidentität und der Empfangszeit derN empfangenen Pakete, und eines Einpfangszeitintervalls von zwei angrenzenden Paketen, wobei N eine positive Ganzzahl ist
    Erfassen einer Taktverschiebung eines Sendeknotens entsprechend der Sendeknotenidentität, um einen theoretischen Taktverschiebungswert zu erhalten.
    Berechnen eines Identifizierungsfehlers und eines tatsächlichen |
    Taktverschiebungswerts gemäß der Empfangszeit und dem j ' Empfangszeitintervall
    ......................................... I....................................
    Vergleichen des tatsächlichen Taktverschiebungswerts mit dem theoretischen Taktverschiebungswert, um die Identität eines Sendeknotens zu bestimmen, welcher ein Paket sendet
    Berechnen, durch Verwenden eines kumulativen Summenverfahrens, eines Mittelwerts und einer Varianz der Identifizierungsfehler, welche mehrfach empfangen worden sind
    Berechnen eines kumulativen Identifizierungsfehlers gemäß dem Mittelwert, der Varianz und dem theoretischen Taktverschiebungswert
    Wenn der kumulative Identifizierungswert eine gegebene Schwelle überschreitet, Bestimmen dass ein fahrzeugintemes Netzwerk abnormal ist; und wenn der kumulative Identifizierungswert die gegebene Schwelle nicht überschreitet, Bestimmen dass das fahrzeuginteme Netzwerk normal ist.
    101
    107
CH00436/18A 2017-12-20 2018-04-04 Fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system. CH714535B1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711385344.9A CN108111510A (zh) 2017-12-20 2017-12-20 一种车内网络入侵检测方法及系统

Publications (2)

Publication Number Publication Date
CH714535A2 CH714535A2 (de) 2019-06-28
CH714535B1 true CH714535B1 (de) 2020-01-15

Family

ID=62211379

Family Applications (1)

Application Number Title Priority Date Filing Date
CH00436/18A CH714535B1 (de) 2017-12-20 2018-04-04 Fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system.

Country Status (2)

Country Link
CN (1) CN108111510A (de)
CH (1) CH714535B1 (de)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2706887C2 (ru) * 2018-03-30 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ блокирования компьютерной атаки на транспортное средство
CN109150847B (zh) * 2018-07-27 2021-08-17 北京梆梆安全科技有限公司 一种检测车辆的网络入侵风险的方法和装置
CN109117632B (zh) * 2018-07-27 2021-05-07 北京梆梆安全科技有限公司 一种确定车辆被入侵之风险的方法和装置
CN108881486A (zh) * 2018-08-01 2018-11-23 北京航空航天大学 基于可信技术的智能网联汽车远程通信方法及系统
CN111343062B (zh) * 2018-12-18 2022-11-08 厦门雅迅网络股份有限公司 一种车内电子控制单元鉴别方法、系统及存储介质
CN110505134B (zh) * 2019-07-04 2021-10-01 国家计算机网络与信息安全管理中心 一种车联网can总线数据检测方法及装置
CN114144556A (zh) * 2019-08-08 2022-03-04 住友建机株式会社 挖土机及信息处理装置
CN110830435A (zh) * 2019-08-27 2020-02-21 国家电网有限公司信息通信分公司 一种网络流量时空特征提取和异常检测的方法及装置
CN111107623A (zh) * 2019-12-10 2020-05-05 陕西凌云电器集团有限公司 一种系统时钟同步方法
CN111355714A (zh) * 2020-02-20 2020-06-30 杭州电子科技大学 一种基于车辆控制单元指纹特征学习的攻击者识别方法
CN111311912B (zh) * 2020-02-25 2021-08-24 北京天融信网络安全技术有限公司 车联网检测数据确定方法、装置及电子设备
CN113627215B (zh) * 2020-05-07 2024-04-23 厦门雅迅网络股份有限公司 基于can信号特征的ecu鉴别方法及存储介质
CN111464772B (zh) * 2020-05-22 2023-08-18 北京罗克维尔斯科技有限公司 对录制视频设置时间戳的方法、装置及用于车辆的电子设备
CN113810339A (zh) * 2020-06-12 2021-12-17 广州汽车集团股份有限公司 一种汽车内部网络安全预警方法及系统
CN112550281B (zh) * 2020-12-29 2022-05-13 广州小鹏自动驾驶科技有限公司 一种自动泊车控制方法和装置
CN112953723B (zh) * 2021-02-08 2023-04-18 北京邮电大学 一种车载入侵检测方法及装置
CN113179195A (zh) * 2021-04-28 2021-07-27 重庆长安汽车股份有限公司 一种can报文埋点检测方法、系统、装置及计算机可读存储介质
CN114430308A (zh) * 2021-12-09 2022-05-03 西安昆仑工业(集团)有限责任公司 一种软件定时发送时间漂移导致时序偶发错位纠错方法
CN114422181A (zh) * 2021-12-11 2022-04-29 浙江吉利控股集团有限公司 一种车辆数据报文安全通信方法
CN114615086B (zh) * 2022-04-14 2023-11-03 合肥工业大学 一种车载can网络入侵检测方法
CN115118493B (zh) * 2022-06-27 2023-11-10 北京天融信网络安全技术有限公司 报文查询方法、装置、电子设备及存储介质
CN115320538A (zh) * 2022-07-20 2022-11-11 国汽智控(北京)科技有限公司 智能网联汽车入侵检测系统及方法
CN115150198B (zh) * 2022-09-01 2022-11-08 国汽智控(北京)科技有限公司 车载入侵检测系统、方法、电子设备及存储介质
CN116319146B (zh) * 2023-02-01 2024-07-05 南京航空航天大学 车载can网络报文的功能管理的实现方法和存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103237308B (zh) * 2013-05-15 2015-05-06 西华大学 一种车载自组织网络的分布式入侵检测方法
KR101638613B1 (ko) * 2015-04-17 2016-07-11 현대자동차주식회사 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법
CN106603578B (zh) * 2017-02-15 2018-03-23 北京航空航天大学 一种集中式的t‑box信息安全防护系统
CN106899614B (zh) * 2017-04-14 2019-09-24 北京梆梆安全科技有限公司 基于报文周期的车内网络入侵检测方法及装置

Also Published As

Publication number Publication date
CN108111510A (zh) 2018-06-01
CH714535A2 (de) 2019-06-28

Similar Documents

Publication Publication Date Title
CH714535B1 (de) Fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system.
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE102016101327B4 (de) Verfahren zum Reagieren auf einen nicht autorisierten elektronischen Zugriff auf ein Fahrzeug
CN108520187B (zh) 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法
DE102018122152A1 (de) Systeme und verfahren zur eindringungserkennung in das netzwerk im fahrzeug
DE112012006919B4 (de) Kommunikationsvorrichtung und Kommunikationsverfahren zur Vorhersage von Leerlaufzeiten eines Busses aufgrund erhaltener Nutzungszustandsangaben
DE102012109212B4 (de) Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme
DE102013210102A1 (de) Vorrichtung und verfahren zum erfassen eines angriffes auf ein fahrzeugseitiges netzwerk
DE102015109057A1 (de) Sperren des Zugriffs auf vertrauliche Fahrzeugdiagnosedaten
DE102014200558A1 (de) Gesicherter Netzwerk-Zugangsschutz über authentifizierte Zeitmessung
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
DE102019207423A1 (de) Verfahren und System zur Erfassung eingekoppelter Nachrichtenanomalien
DE102018115266A1 (de) Malware-detektionssystem zur angriffsverhinderung
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE112019005529T5 (de) Fahrzeugseitige Kommunikationsvorrichtung, Kommunikationssteuerverfahren und Kommunikationssteuerprogramm
DE102015207050A1 (de) Verfahren zum Bestimmen einer Kanallast und Verfahren zum Einstellen einer Vorverarbeitung in einer Fahr-zeug-zu-X-Kommunikation, Fahrzeug-zu-X-Kommunikationssystem und computerlesbares Speichermedium
DE102014214300A1 (de) Vorrichtung und Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
EP3655909B1 (de) Verfahren und vorrichtungen für teilnehmer übergreifende kommunikation
DE102015218373A1 (de) Überwachen einer Integrität eines Testdatensatzes
WO2017162395A1 (de) Verfahren zur überwachung der sicherheit von kommunikationsverbindungen eines fahrzeugs
DE102021202075A1 (de) Verfahren zur Validierung von Nachrichten
WO2015121060A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE202023100942U1 (de) System für sichere Datenkommunikation in Smart Home-Umgebungen durch maschinelles Lernen
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz

Legal Events

Date Code Title Description
PK Correction

Free format text: BERICHTIGUNG ERFINDER