CN109032108B - 用于识别对现场总线的攻击的方法和设备 - Google Patents
用于识别对现场总线的攻击的方法和设备 Download PDFInfo
- Publication number
- CN109032108B CN109032108B CN201810586496.3A CN201810586496A CN109032108B CN 109032108 B CN109032108 B CN 109032108B CN 201810586496 A CN201810586496 A CN 201810586496A CN 109032108 B CN109032108 B CN 109032108B
- Authority
- CN
- China
- Prior art keywords
- rules
- association
- field bus
- attack
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 4
- 238000010219 correlation analysis Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 238000012098 association analyses Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 9
- 239000011159 matrix material Substances 0.000 description 7
- 230000008569 process Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000002618 waking effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及用于识别对现场总线的攻击的方法和设备。用于识别对现场总线(20)的攻击的方法(10),其特征在于如下特征:‑记录(11)在所述现场总线(20)上传输的数据包;‑依据所述数据包来生成(12)关联规则;而且‑依据所述关联规则来操控(16)所述现场总线(20)的攻击识别系统。
Description
技术领域
本发明涉及一种用于识别对现场总线的攻击的方法。本发明还涉及一种相对应的设备、一种相对应的计算机程序以及一种相对应的存储介质。
背景技术
在IT安全方面,每个用于识别针对计算机系统或计算机网络的攻击的系统都被称作攻击识别系统(intrusion detection system,IDS)。尤其公知的是基于网络的IDS(NIDS),所述基于网络的IDS(NIDS)记录、分析在所要监控的网络中的所有包并且依据已知的攻击模式来报告可疑的活动。
WO2017042012A1公开了一种在车辆中的私人控制器局域网络(Controller AreaNetwork,CAN),以便通知没有直接受攻击的电子控制单元(electronic control unit,ECU)有未经授权的对受攻击的ECU进行访问的尝试。在该私人的CAN上的每个ECU都存储共同的经加密的黑客通知密钥和明确的识别码。如果第一车辆系统ECU通过公共的CAN来识别未经授权的访问尝试,那么该第一车辆系统ECU通过封闭的、私人的CAN将报警通知发送给其它ECU。
US20150113638A1提出了一种攻击监控设备,所述攻击监控设备通过静态的模式识别来识别在CAN上的异常的并且怀有恶意的CAN通信。为此,可以嵌入一组规则或者将一组规则加载到攻击监控设备上,所述攻击监控设备会基于在CAN通信中的确定的模式连同周围环境条件来在该时间点识别攻击。
发明内容
本发明提供了一种用于识别对现场总线的攻击的方法、一种相对应的设备、一种相对应的计算机程序以及一种相对应的存储介质。
在这种情况下,所提出的方案基于如下认识:用于CAN的传统的IDS的规则大多可以借助于在PC上的通信矩阵或CAN矩阵自动化地生成。然后,在所谓的应用的框架内,IDS组件在其上运行的那个控制设备利用所生成的规则组来配置。因此,这些规则直至控制设备的下一次软件更新都是固定的,但是例如可以在网络通信中有变化的情况下利用要新生成的软件版本来更新。
在这种情况下,所提及的CAN矩阵包含如下信息,所述信息关于在相应的CAN中限定的标识符(identifier,ID)并且关于哪个控制设备作为网络成员接收或发送哪些CAN数据帧(frame)。此外,详细规定了如下频率,在所述频率下,有关的消息由控制设备来发送,以及说明了包的数据长度(data length code(数据长度码),DLC)。借助于这些信息可以设立如下规则,所述规则例如在实时运行时监控是否在特定的CAN总线中出现未经限定的CAN-ID或者是否在CAN帧的频率方面出现大的偏差。此外,在CAN矩阵中也限定了关于传感器信号和状态信号的信息,所述传感器信号和状态信号在相应的CAN帧的有效数据(payload(有效载荷))中被传输。从所提及的说明的全体可以推导出如下规则,所述规则依据值极限、信号跳变、字节或比特位置等等来有关所传输的信号的有效性来检查所传输的信号。按意义,这些观察可以被转用于按照因特网协议(IP)运行的现场总线,而不脱离本发明的保护范围。
随后探讨的方案所基于的认识还在于:通常通过接线柱控制地来实现对控制设备的所谓的唤醒(wake-up)而且没有限定或者编排顺序地实现控制设备的启动特性。这样,通常并不同时启动车辆总线系统的所有控制设备。此外,即使车辆停下,一些控制设备也在待命状态(睡眠模式(sleep mode))下运行,在需要时通过它们的收发器(transceiver)从该状态“被唤醒”(接线柱30),而且这样可以与开关信号无关地来启动。而其它控制设备组(cluster(群))根据这种开关信号(接线柱15)来启动和关闭。
对于准备好运行的控制设备来说,考虑针对唤醒的不同的诱因。例如通过车钥匙的无线信号实现对控制设备A的本地唤醒(local wake-up)。如果控制设备A被启动并且准备好运行,那么控制设备A可以强制其它控制设备启动(boot),其方式是由A触发所谓的总线唤醒(bus wake-up)。为此,A在总线上发送显性信号,由此其它控制设备的被供电的收发器促使所述其它控制设备启动。如果点火(接线柱15)被接通,那么其它控制设备启动,所述其它控制设备受开关控制地启动。根据现有技术,该事件也可以软件式地被通知。
现在提出的解决方案的优点在于所开启的如下可能性:针对IDS组件在运行时制订规则组,用于监控在现场总线上传输的数据包、数据帧或者数据报文(在下文:“消息(Botschaft)”)。在这种情况下基本思想是:使用车辆总线系统的唤醒模式以及控制设备的不同的启动特性,以便借此在运行时针对行驶循环制订附加的并且分别明确的规则,用于监控消息序列,所述消息序列并不能容易地从通信矩阵或者通过过程跟踪(tracing)来推导出。
通过在下文中提及的措施,对在本发明中说明的基本思想的有利的扩展方案和改进方案都是可能的。这样可以规定:所要监控的现场总线是CAN。优点在于:用于监控消息序列的规则组被提取出,所述规则组不能通过CAN矩阵来推导。同样,从日志文件(logfile)中提取出可能的规则组是几乎不可能的,因为基于在运行时的不同的条件的启动特性导致分别不同的规则组。例如,考虑车钥匙到达无线电作用范围内的时间点、唤醒消息的时间点、接通点火的时间点或者控制设备的变化的启动时间,作为影响因子。基于附加的规则,安全性以及借此用于通过IDS引起的攻击识别或其它异常识别的评价基础被改善。
同样被证明为有利的是:这些附加的规则与根据通信矩阵生成的规则相比不是静态的。基于在网络中的控制设备的唤醒模式和启动特性,针对每个行驶循环都可以在运行时计算不同的并且对于相应的行驶循环来说明确的规则组。因此,这些规则组对于攻击者来说会更困难地提前预料到并且因此会更困难地对付。
附图说明
本发明的实施例在附图中示出并且在随后的描述中进一步予以阐述。其中:
图1示出了现场总线的拓扑;
图2示出了在现场总线上的数据包的第一序列;
图3示出了在现场总线上的数据包的第二序列;
图4示出了按照本发明的一个实施方式的方法的流程图。
具体实施方式
对图1至3的综述应该阐明核心方面。为此,应做出如下假设:一旦相应的控制设备启动并且准备好运行,就以10、20或50ms的频率发送在图1中示出的控制设备A、B和C的网络消息。此外,还应以如下情况为出发点:控制设备A始终作为第一控制设备启动,控制设备B作为第二控制设备启动而控制设备C作为第三控制设备启动。
在图2和3中绘出的示例中,基于控制设备C的分别不同的启动特性,在网络通信的过程中仍然同样得到不同的CAN-ID序列,所述CAN-ID序列分别对于一个行驶循环来说是有效的并且重复地出现。如已经阐述的那样,控制设备的启动特性例如取决于:何时进行唤醒以及相应的控制设备对于启动(Boot)过程来说已经消耗了多长时间来准备好运行并且发送第一个消息。这样,控制设备C的变化的启动时间例如可能会归因于:在按照图2的启动场景下由驾驶员进行的点火(接线柱15)比在按照图3的那个启动场景下接通得更早。
如果观察两个图表中的被标记的部分序列,那么确定得到基于系统在其运行时特定的并且在一定程度上随机的启动特性的序列。这可以被用于在运行时针对该行驶循环生成明确的规则组。
为此,网络通信从可限定的时间点t0起被记录。在此,在时间窗(window)内进行记录,其中分别有所限定的数目x个消息ID(例如在使用以太网协议或者CAN承载以太网协议时的CAN-ID或源IP地址和/或目标IP地址)按时间序列组合成一个数据组。如果具有数目x个消息ID的时间序列是完整的,那么开始新的时间窗,在所述新的时间窗之内制订新的时间序列。因此,在假设的情况下,在连续地传输(这里以十六进制示出的)标识符03D、123、456、789、6A9、02F、0AD、123、456和03D的情况下,例如会得到如下五部分(Quintupel):
(6A9,789,456,123,03D)
和
(03D,456,123,0AD,02F)。
其它通过现场总线20传输的数据包的标识符以相对应的方式被记录,直至可限定的时间点t1。
现在,如所描述的那样记录的数据按照适当的算法来分析并且在此推导出明确的规则用于监控消息序列。本领域技术人员常用的用于进行关联分析的方法例如包括AIS算法、先验(Apriori)算法或者FPGrowth算法。因为基于之前记录的数据组来分析和生成规则,所以针对每个行驶循环,根据控制设备的唤醒模式和启动特性,得到上面粗略描述的关于消息序列的结论。如果现在常常在所记录的时间窗内出现确定的序列,那么借助于所提到的方法可以从中形成关联规则。如下示例阐明了这种规则的形式:
该规则会按如下地来设计:如果在时间窗之内出现ID 123和456,那么ID 03D一定在同一时间窗之内出现。易于理解的是:这样的规则可以取任意的复杂性。
所提取的规则依据可限定的标准例如在使用一个或多个阈值(threshold)的情况下来过滤。主要考虑统计学特征参量、如相对频率(在所述相对频率下,规则是能应用的或者正确的),规则的一般意义或者规则彼此间的就相似程度或者疏远程度而言的相似性。这些参数基于在先前的步骤中执行的方法针对每个获得的规则来确定。这样的过滤是可选的并且首先用于减少关于供IDS支配的资源方面的规则的数量。例如,可以这样对这些规则进行过滤,使得只有那些能最频繁地应用的规则以100%的置信水平(Aussagewahrscheinlichkeit)留下。
根据所提到的参数还可以推导出扩展的规则。这样,例如可以从说明了相对频率(在所述相对频率的情况下,规则是正确的)的参数推导出其它规则,以便检查该参数的值被遵守还是剧烈地有偏差。这样,例如为50%的说明会意味着:该规则在统计学上每隔一次一定是正确的。因此,基于所生成的规则可以推导出其它规则,以便能够借助于之前列举的标准来实现对规则的统计值的监控。
在过滤之后剩余的规则可以被用于监控消息序列。这些消息序列可以被转交给如下组件,所述组件依据所生成的规则开始进行对网络通信的监控或者将所生成的规则与可能的静态规则相结合。在此,为了保证造假安全性,所生成的规则组应该以加密的方式来签名。如果另一控制设备用作IDS,那么所制订的规则可以通过所要监控的网络本身来传输。
这些规则一直适用,直至在基于新的网络数据(参见上文)或者基于已经收集到的数据以及其它数据进行关联分析的过程中重新实施用于生成规则组的方法。这可以在行驶循环开始时进行一次或者在该行驶循环的过程中任意频繁地进行。
本发明的一个实施方式可以在中央控制设备、例如网络耦合器(gateway(网关))或者域控制器上使用,使得来自不同的网络的用于分析或生成规则的序列相结合。本发明的另一实施方式可以使从不同的网络中生成的规则合并,使得根据这里描述的方法10生成上级的规则。
该方法10例如可以以软件或硬件或者以软件和硬件的混合形式例如实现在控制设备中。
Claims (7)
1.一种用于识别对现场总线(20)的攻击的方法(10),
其特征在于如下特征:
-记录(11)在所述现场总线(20)上传输的数据包;
-依据所述数据包来生成(12)关联规则,其中对于多个时间窗中的每个时间窗来说,在相应的时间窗之内传输的数据包被组成一个数据组,并且通过关联分析从数据组中推导出所述关联规则,其中根据所述现场总线(20)的唤醒模式以及控制设备的不同的启动特性,在所述相应的时间窗之内出现所述数据包的确定的序列的情况下,从中生成所述关联规则;
-依据所述关联规则来操控(16)所述现场总线(20)的攻击识别系统;
-还依据所述数据包来确定所述关联规则的特征参量;而且
-在操控所述攻击识别系统之前,依据所述特征参量来过滤(13)所述关联规则,其中所述关联规则被过滤为使得只有那些能最频繁地应用的规则以100%的置信水平留下。
2.根据权利要求1所述的方法(10),
其特征在于如下特征:
-从所述特征参量中推导(14)出其它关联规则;而且
-依据所述其它关联规则,通过所述攻击识别系统以统计学方式监控所述关联规则。
3.根据权利要求1或2所述的方法(10),
其特征在于如下特征:
-所述关联规则在所述生成(12)之后被配备(15)数字签名;而且
-被签名的关联规则由所述攻击识别系统依据所述签名来检查。
4.根据权利要求1或2所述的方法(10),
其特征在于如下特征之一:
-按照先验算法来进行所述关联分析;或者
-按照FPGrowth算法来进行所述关联分析。
5.根据权利要求1或2所述的方法(10),
其特征在于如下特征之一:
-所述现场总线(20)是CAN;
-所述现场总线(20)是为了传输CAN消息而适配的以太网;或者
-所述现场总线(20)是FlexRay总线。
6.一种机器可读存储介质,在其上存储有计算机程序,所述计算机程序被设立为实施根据权利要求1至5之一所述的方法(10)。
7.一种设备(A、B、C),所述设备被设立为实施根据权利要求1至5之一所述的方法(10)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102017209806.6A DE102017209806A1 (de) | 2017-06-09 | 2017-06-09 | Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus |
| DE102017209806.6 | 2017-06-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109032108A CN109032108A (zh) | 2018-12-18 |
| CN109032108B true CN109032108B (zh) | 2024-01-09 |
Family
ID=64332775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810586496.3A Active CN109032108B (zh) | 2017-06-09 | 2018-06-08 | 用于识别对现场总线的攻击的方法和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109032108B (zh) |
| DE (1) | DE102017209806A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE112019006487B4 (de) | 2018-12-28 | 2023-12-28 | Panasonic Intellectual Property Management Co., Ltd. | Elektronische Steuereinheit, elektronisches Steuersystem und Programm |
| CN111966083A (zh) * | 2020-09-18 | 2020-11-20 | 大连理工大学 | 一种汽车can总线信息安全模拟装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101198934A (zh) * | 2005-06-17 | 2008-06-11 | 日本电气株式会社 | 信息处理设备,恢复设备,程序和恢复方法 |
| CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
| DE102015205670A1 (de) * | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug |
| CN105745862A (zh) * | 2013-09-24 | 2016-07-06 | 密执安州立大学董事会 | 在汽车网络中使用id匿名化的实时帧认证 |
| CN106170953A (zh) * | 2014-04-17 | 2016-11-30 | 松下电器(美国)知识产权公司 | 车载网络系统、不正常检测电子控制单元以及不正常检测方法 |
| CN106656705A (zh) * | 2016-11-18 | 2017-05-10 | 成都信息工程大学 | 一种车载most/can安全网关及其入侵检测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9401923B2 (en) | 2013-10-23 | 2016-07-26 | Christopher Valasek | Electronic system for detecting and preventing compromise of vehicle electrical and control systems |
| US10279775B2 (en) | 2015-09-10 | 2019-05-07 | Robert Bosch Gmbh | Unauthorized access event notification for vehicle electronic control units |
-
2017
- 2017-06-09 DE DE102017209806.6A patent/DE102017209806A1/de active Pending
-
2018
- 2018-06-08 CN CN201810586496.3A patent/CN109032108B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101198934A (zh) * | 2005-06-17 | 2008-06-11 | 日本电气株式会社 | 信息处理设备,恢复设备,程序和恢复方法 |
| CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
| CN105745862A (zh) * | 2013-09-24 | 2016-07-06 | 密执安州立大学董事会 | 在汽车网络中使用id匿名化的实时帧认证 |
| CN106170953A (zh) * | 2014-04-17 | 2016-11-30 | 松下电器(美国)知识产权公司 | 车载网络系统、不正常检测电子控制单元以及不正常检测方法 |
| DE102015205670A1 (de) * | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug |
| CN106656705A (zh) * | 2016-11-18 | 2017-05-10 | 成都信息工程大学 | 一种车载most/can安全网关及其入侵检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102017209806A1 (de) | 2018-12-13 |
| CN109032108A (zh) | 2018-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Young et al. | Survey of automotive controller area network intrusion detection systems | |
| Studnia et al. | A language-based intrusion detection approach for automotive embedded networks | |
| US11848947B2 (en) | System and method for providing security to in-vehicle network | |
| EP3820108B1 (en) | Security detection method, apparatus and device | |
| US20030159069A1 (en) | Network-based attack tracing system and method using distributed agent and manager system | |
| Boudguiga et al. | A simple intrusion detection method for controller area network | |
| US11930036B2 (en) | Detecting attacks and quarantining malware infected devices | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| WO2021145144A1 (ja) | 侵入経路分析装置および侵入経路分析方法 | |
| CN111010384A (zh) | 一种物联网终端自我安全防御系统及其安全防御方法 | |
| CN109032108B (zh) | 用于识别对现场总线的攻击的方法和设备 | |
| CN114257986A (zh) | 车辆can网络攻击的识别方法及装置 | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| CN115668190A (zh) | 用于抑制对计算系统的攻击的分析处理电路 | |
| Al Sukkar et al. | Address resolution protocol (ARP): Spoofing attack and proposed defense | |
| CN105791027A (zh) | 一种工业网络异常中断的检测方法 | |
| US20210329454A1 (en) | Detecting Unauthorized Access to a Wireless Network | |
| Pollicino et al. | Performance comparison of timing-based anomaly detectors for controller area network: A reproducible study | |
| US20180316700A1 (en) | Data security inspection mechanism for serial networks | |
| US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
| CN115801305B (zh) | 一种网络攻击的检测识别方法及相关设备 | |
| Carsten et al. | A system to recognize intruders in controller area network (can) | |
| Dupont et al. | Network intrusion detection systems for in-vehicle network-Technical report | |
| US11558351B2 (en) | Dual-modes switching method for blocking network connection | |
| Ponomarev | Intrusion Detection System of industrial control networks using network telemetry |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |