CN110324219A - 阻断对运输工具的计算机攻击的系统和方法 - Google Patents

阻断对运输工具的计算机攻击的系统和方法 Download PDF

Info

Publication number
CN110324219A
CN110324219A CN201811243301.1A CN201811243301A CN110324219A CN 110324219 A CN110324219 A CN 110324219A CN 201811243301 A CN201811243301 A CN 201811243301A CN 110324219 A CN110324219 A CN 110324219A
Authority
CN
China
Prior art keywords
ecu
message
rule
vehicle
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811243301.1A
Other languages
English (en)
Other versions
CN110324219B (zh
Inventor
帕维尔·V·德亚金
亚历山大·V·莎德林
德米特里·A·库拉金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN110324219A publication Critical patent/CN110324219A/zh
Application granted granted Critical
Publication of CN110324219B publication Critical patent/CN110324219B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了用于检测且阻断对运输工具的电子系统的攻击的系统和方法。保护模块拦截在运输工具的总线上传送的消息并保存截获的消息,以及对于每个截获的消息,运输工具的至少一个ECU为该消息的接收方。保护模块通过将可从安全服务器接收的一个或多个规则应用于在日志中保存的数据来检测对电子系统的计算机攻击。这些规则可以取决于包括在计算机攻击中使用的恶意消息的一个或多个妥协指标和关于作为恶意消息的接收方的至少一个ECU的信息。所描述的系统还通过阻断、修改或改变车辆的通信总线内的通信来阻断计算机攻击。

Description

阻断对运输工具的计算机攻击的系统和方法
技术领域
本发明涉及计算机安全的领域,更具体地涉及车辆的电子系统的计算机安全。
背景技术
目前,随着车辆变得更依赖于计算机系统和电子系统,对汽车、车辆和作为整体的运输工具的计算机攻击的可能性的数量正在不断增大,并且这类攻击的数量也在增长。因此,创建能够成功检测计算机攻击并对抗这些计算机攻击的系统是紧急任务。
当对汽车的内部设备(主要指的是电子控制单元(ECU)执行计算机攻击时,即使成功检测到该攻击,也极其难以进行可使该攻击的结果无效的适当步骤。
因此,安全专家Charlie Miller和Chris Valasek已发表了致力于汽车的安全的大量作品。在名称为“Adventures in Automotive Networks and Control Units”的白皮书中,安全专家描述了一种通过对ECU执行计算机攻击、借助笔记本和游戏板获得2010年款的(Toyota)汽车和2010年款的(Ford)汽车的控制权的方法,其涉及在控制器区域网络(Controller Area Network,CAN)总线上来上传输数据包。Miller和Valasek也能够通过如下方式黑入2014年款的(Jeep)汽车:通过Wi-Fi、利用汽车的多媒体车载系统中的漏洞而侵入汽车的网络,如在2015年8月10日发表的名称为“RemoteExploitation of an Unaltered Passenger Vehicle”的另一论文中所描述的。另一切入点为移动运营商的通信端口中的漏洞。为了获得在汽车的电子系统上的控制权,研究人员对CAN总线进行计算机攻击,通过引入特殊程序代码修改了CAN总线的控制器的固件。作为计算机攻击的结果,研究人员获得了远程控制汽车的方向盘、刹车系统和其它电子系统的操作的能力。该研究的结果实际上与菲亚特克莱斯勒美国集团召回140万辆2014年款的吉普切诺基(Jeep Cherokee)汽车有关。
然而,在汽车行业中的更新周期花费很长时间,且因此当在汽车的电子系统中发现漏洞时,更新的发布并将该更新安装在汽车的电子系统上会花费相当长的时间,甚至可能需要召回汽车,同时旧款的汽车可能甚至仍然完全没有更新且因此暴露于该漏洞。因此需要开发能够检测且阻断这类计算机攻击的方案,直到由汽车制造商借助对汽车的电子系统的更新而消除漏洞的时候为止。
现有的入侵检测系统(IDS)能够在汽车的总线上传输的数据中发现异常。然而,IDS系统的运行需要组装大型统计数据库,且因此这类系统无法有效地检测复杂的针对性攻击,诸如上述的那些攻击。但是,这些非常多种类的计算机攻击是呈现最大危险的攻击。另外,现有的入侵检测系统无法很容易地适应车辆的网络架构。例如,由于CAN协议的广播性质,因此对于接收ECU来说不可能知道所发送的消息是由攻击者还是由预期ECU发送的。
应当注意,在导致实质性后果(包括道路交通事故(RTA))的成功计算机攻击的情况下,即使不可能提前检测该攻击并预防该攻击,关于事故(诸如RTA)的原因的信息也是极其重要的。该信息对汽车制造商和进行事故调查的有关当局来说都是高度有价值的,因为该信息使今后可以开发用于预防这类事故的方式。必须注意,在事故已发生之后的事故调查的阶段,指示该事故由计算机攻击引起的(如果情况就是这样)所有证据可能已从系统移除或丢失。于是不可能知道该事故具体由计算机攻击引起而非由例如人为错误引起。
发明内容
根据本发明的一个方面,提供一种用于检测对车辆的电子系统的攻击的计算机实现方法。所述方法包括:拦截在车辆的多个电子控制单元(ECU)之间的第一通信总线上传送的多个消息,以及基于哪些ECU通信地耦合到所述第一通信总线来确定作为截获的所述消息的接收方的至少一个接收ECU。将截获的所述消息和指示确定的所述至少一个接收ECU的信息存储在日志中。所述方法还包括:基于由存储在所述日志中的所述消息和所述信息对规则的至少一个条件的满足来检测对所述车辆的计算机攻击,以及通过执行与所述规则相关联的动作,阻断所述车辆的所述计算机攻击。所述规则可以取决于由在计算机攻击中使用的恶意消息组成的一个或多个妥协指标和关于作为所述恶意消息的接收方的至少一个ECU的信息。
在另一个示例性方面中,提供一种用于检测对车辆的电子系统的攻击的计算机系统。所述计算机系统包括多个电子控制单元(ECU)、被配置成通信地耦合到所述多个ECU的第一通信总线、和硬件处理器。所述硬件处理器被配置成:拦截在所述多个ECU之间的所述第一通信总线上传送的多个消息,以及基于哪些ECU通信地耦合到所述第一通信总线,确定作为截获的所述消息的接收方的至少一个接收ECU。所述硬件处理器还被配置成:将截获的所述消息和指示确定的所述至少一个接收ECU的信息存储在日志中。所述处理器配置成:基于由存储在所述日志中的所述消息和所述信息对规则的至少一个条件的满足来检测对所述车辆的计算机攻击,以及通过执行与所述规则相关联的动作来阻断所述车辆的所述计算机攻击。所述规则可以取决于由在计算机攻击中使用的恶意消息组成的一个或多个妥协指标和关于作为所述恶意消息的接收方的至少一个ECU的信息。
根据另一个示例性方面,提供了一种计算机可读介质,其包括多个指令,这些指令包括用于执行本文中所公开的方法中的任一方法的计算机可执行指令。
以上对示例性方面的简要概述用于提供对本发明的基本理解。该概述不是对所有预期方面的广泛综述,并且既不旨在标识所有方面的关键的或主要的要素,也不旨在勾画本发明的任何方面或所有方面的范围。该概述的唯一目的是以简化的形式呈现一个或多个方面,作为随后的对本发明的更详细的描述的前奏。为了实现前述内容,本发明的一个或多个方面包括在权利要求中所描述的且示例性指出的特征。
附图说明
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,以及连同具体实施方式一起用来阐述这些示例性方面的原理和实现方式。
图1A至图1B为使用汽车的示例描述运输工具的网络架构的示例的框图。
图2A至图2C示出了在运输工具的网络中保护模块的布置的示例。
图3呈现了规则创建系统的示例。
图4呈现了用于阻断对运输工具的计算机攻击的系统。
图5A至图5B示出了说明实现本发明的各方面的方法的流程图,具体用于图3至图4的系统。
图6呈现了CAN协议的帧的格式。
图7为根据示例性方面的其上可实施所公开的系统和方法的计算机系统的框图。
具体实施方式
本文中在用于检测对车辆的电子系统的攻击的系统、方法和计算机程序产品的范畴内描述示例性方面。本领域的普通技术人员将认识到,以下描述仅仅是说明性的,而不旨在以任何方式进行限制。其它方面将很容易将其自身暗示给了解本发明的优点的本领域的技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或类似的项目。
术语表:本文定义了将用于描述本发明的各变型方面的多个术语。
运输工具(后文中,MT)为被配置成在道路上运输人、货物或安装在其上面的装置的设备。例如,该设备可以为车辆,诸如汽车。在本发明中,运输工具有时可以被称为汽车或车辆。
运输工具具有电子系统,该电子系统包括被配置成控制车辆的电子系统中的一者或多者或其它子系统中的一者或多者的一个或多个嵌入式系统。例如,汽车的电子系统可以包括:
1.传感器和设定点发生器,其被配置成检测操作状况(例如引擎速度)和设定点值(例如开关位置)。该传感器和设定点发生器还被配置成将物理变量转换为电信号。
2.电子控制单元(ECU),其被配置成在数学计算过程(开环和闭环控制算法)中处理来自传感器和设定点发生器的信息。该ECU通过电输出信号控制致动器。另外,该ECU充当与其它系统和车辆诊断系统的接口。
3.致动器,其被配置成将来自ECU的电输出信号转换为机械变量(例如电磁阀针升程)。
电子控制单元(ECU)是电子装置的结构上独立且功能完整的部分,该电子装置包含用于处理由既定形式的电信号构成的信息的任何给定复杂度的电子电路。
总线为数据传输网络的拓扑,其中,所有的节点通过实现数据的双向传输的无源通信线路来连接。
帧(也为消息)为通信信道协议的数据块,该数据块定义在通信信道上的传输序列中的位或位字段的次序和值。
高级驾驶员辅助系统为用于利用MT的控制进程等帮助MT的驾驶员监控MT、警告驾驶员和制动MT的系统。
远程信息处理(telematic)数据(也为远程信息处理)为导航数据和关于工作元件的当前状态的数据,这些数据可以由道路车辆的机载导航和通信装置借助移动通信信道而传送到调度中心。
信息安全事故为一个或多个不期望的或非预期的信息安全事件,这些信息安全事件将以显著的机率程度导致商业运营的折衷并对信息安全造成威胁。
在本申请中,通过“伴随运输工具的事故”(后文中,事故)指的是导致MT的预期行为的变化的一个或多个不期望的或非预期的事件,包括道路交通事故(RTA)。本发明的各方面有助于解决恰好在由于信息安全事故而造成关于运输工具的事故的情况下陈述的技术问题。
妥协指标(IOC,也称为感染指标)为在计算机上或在网络中可观察到的侵入信息系统的人工产物或残留迹象。典型的妥协指标为杀毒记录、IP地址、文件的校验和、URL地址、僵尸网络指挥中心的域名等。对于妥协指标存在多个标准,特别是:OpenIOC、STIX和CybOXTM等。
计算机攻击(也称为网络攻击或恶意攻击)为由硬件和软件对信息系统和信息通信网络进行的针对性动作,其目的是破坏这些系统和网络中的信息安全。
针对性攻击(TA)为指向特定组织或特定个体的计算机攻击的特定实例。
应当注意,本发明可以应用于利用发动机(内燃发动机、氢发动机、电发动机)且包含至少一个ECU的所有类型的运输工具。
图1A使用汽车的示例示出了运输工具的网络架构100的示例。首先,应当注意,根据现行标准,在当前MT(尤其是汽车)中使用如下总线。例如,网络架构100可以被配置成实现控制器区域网络(CAN),该CAN是用于运输工具的网络的通信标准(且由ISO 11898-1进一步指定),该网络架构100被配置成允许车辆的微控制器和设备彼此通信(例如在不具有主机的情况下)。将CAN总线划分为数据传输速度在125kbit/s和1Мbit/s之间的高速总线CAN-C(ISO11898-2)以及数据传输速度在5kbit/s和125kbit/s之间的低速总线CAN-B(ISO11898-3)。网络架构还可以被配置成实现对CAN的扩展,被称为具有灵活数据速率(Flexible Data-Rate)的CAN(CAN FD)。
在另一示例中,网络架构100可以被配置成实现FlexRay,FlexRay为作为用于CAN的高速且可靠的替换品而开发的ISO 17458-1–17458-5标准。网络架构100可以被配置成实现面向责任低的汽车系统的控制的本地互连网络(LIN),其为用于工业网络的ISO 17987标准。在另一示例中,网络架构100可以配置成实现面向媒体的系统传输(MOST),该MOST为在汽车行业中用于多媒体和计算机娱乐网络的约定俗成的标准。在另一示例中,网络架构100可以被配置成使用由组802.3的IEEE标准所描述的以太网,该以太网为用于计算机和工业网络的设备之间的分组数据传输的技术。应当注意,一直不断地改进上述标准,且在运输工具中使用的新标准和技术也在出现。因此,本发明的范围不限于此处提及的标准,而是适用于在运输工具中可使用的任何技术。
车辆的网络100可以被配置成使用多主线串行总线(诸如CAN总线)允许ECU(即节点)之间的消息交换。当前MT的网络100包括中央网关101、与车辆的底盘161相关联且通过第一总线151(例如FlexRay总线)通信地耦合到底盘161的多个ECU 111-113(被标为ECU1、ECU2、…ECUn)、与车辆的多媒体子系统162(也为车载娱乐(ICE)、车载资讯娱乐(IVI))相关联且通过第二总线152(例如CAN-B总线)通信地耦合到多媒体子系统162的多个ECU 121-123、与车辆的传输系统163相关联且通过第三总线153(例如CAN-C总线)通信地耦合到传输系统163的另外的多个ECU 131-133、以及与车辆的远程信息处理164相关联且通过第四总线154(例如MOST总线)通信地耦合到远程信息处理164的另一组ECU 141-143。中央网关101也具有至诊断总线155、本地互连网络(LIN)156和以太网157的输出。在本示例中,MT的网络架构包含通过总线151-157连接MT的全部子系统的单个中央网关101。如在本文中所使用,“连接”到另一模块或子系统的模块或子系统通过任意数量的中间元件通信地耦合(包括直接耦合或间接耦合)到该模块或子系统。
在一些方面中,总线可以为不支持寻址的受限制通信交换局间。在一个方面中,将消息广播到总线上的全部节点,且各个节点决定该消息是否意图用于它们。例如,使用CAN总线,ECU将广播消息,以及对某些消息感兴趣的其它ECU(即通过CAN标识符)将监听那些消息并忽略其余的消息。换言之,不存在内置到CAN消息中的源标识符或认证。这些限制在使现有计算机安全技术适应车辆的电子系统时带来了挑战。例如,这些限制允许恶意组件在CAN网络上嗅探通信量以及伪装成其它ECU(即数据注入)。这些限制也使得出于计算机安全分析的目的而难以对通信量进行逆向工程,因为无法得知哪个ECU正在发送或接收特定CAN消息。
各个ECU可以包括CAN控制器(作为分立组件或作为ECU的微控制器的集成部分),该CAN控制器被配置成在CAN总线上接收和发送消息。为了接收消息,CAN控制器可以被配置成存储从总线接收的串行位,直到整个消息为可用的,然后该消息可以被主处理器(例如,触发中断的CAN控制器)取得。为了(例如向其它ECU)传送消息,CAN控制器可以被配置成通过在总线空闲时将多位串行地发送到总线上来转发消息(由微控制器提供)。
在一些方面中,ECU还可以包括收发器,该收发器被配置成通过将总线上的数据流从CAN总线等级转换为CAN控制器使用的等级来促进消息的接收,以及通过将数据流从CNA控制器等级转换为CAN总线等级来促进消息的传输。在一个方面中,ECU可以被配置成使用CAN收发器、使用非归零(NRZ)格式将消息串行传送到总线上,然后该消息被在总线上的所有ECU接收。
消息或帧可以包括标识符(ID)和数据有效载荷(例如,每帧八个或64个数据字节)。消息还可以包括冗余码(循环冗余校验或CRC)、确认时隙、和其它字段。在一些方面中,消息的标识符字段指示该消息的优先级(例如,值越低,优先级越高)。标识符字段也可以被各个接收ECU用来确定它们是否应当处理总线数据且接收消息。
图1B呈现了运输工具的网络架构100B的另一示例。MT的网络100B包含多个互连网关201-204,每个网关负责特定子网络。因此,网关1(201)通过FlexRay总线151连接到负责MT的底盘的ECU 111-113。网关2(202)通过CAN-B总线152连接到负责MT的多媒体子系统的ECU 121-123。网关3(203)通过CAN-C总线153连接到负责传输的ECU 131-133。而且,网关4(204)通过MOST总线154连接到负责远程信息处理的ECU 141-143。
图2A呈现了在运输工具的网络中保护模块102的布置的示例。在本示例中,使用在图1A中呈现的网络架构100。保护模块102主要用于阻断对MT的计算机攻击。对MT的计算机攻击主要指的是对MT的网络和MT的电子系统(尤其ECU和网络网关)的计算机攻击。下文将进一步详细地描述保护模块102的功能。在图2A中所讨论的示例中,保护模块102为中央网关101的软件组件,因此,保护模块102为网络的所有节点提供保护。
在另一示例中,在图2B中,示出了包含两个保护模块102а-102b的系统,第一保护模块连接到FlexRay总线151且第二保护模块连接到MOST总线154,且相应地,保护模块102а-102b中的每个将为其有权访问的网络/子网络提供保护。显然,保护模块连接到网络的其它示例也是可行的。
图2C呈现了在运输工具的网络中布置保护模块102的另一示例,该网络使用在图1B中示出的架构。该网络保护四个保护模块102а-102d。保护模块102a连接到FlexRay总线151、保护模块102b连接到CAN-B总线152、以及保护模块102c-102d分别为网关203-204的软件组件。各个保护模块102а-102d中的每个将为其有权访问的网络/子网络提供保护。显然,保护模块连接到网络的其它示例也是可行的。在一般情况下,保护模块可以连接到任何给定子网络(即总线)和任何给定网关,以便确保对MT的网络的总体保护。
在一个方面中,ECU可以属于如下类别之一:MT的主电子系统和MT的辅助电子系统。来自MT的主系统和辅助系统的ECU的列表可以例如被包含在一个或多个保护模块102а-102d的存储器中或在网关的存储器中。主电子系统包括对MT的控制和MT及其周围的人的安全至关重要的ECU。辅助电子系统包括为驾驶员提供附加便利、给予娱乐选项和MT的其它附加功能的ECU,该ECU的断开不影响控制MT或其安全的能力。
在一个示例性方面中,MT的辅助电子系统的ECU可以包括驾驶员辅助系统、多媒体系统(也为车载娱乐(ICE)、车载资讯娱乐(IVI))、远程信息处理。驾驶员辅助系统可以尤其包含如下ECU:停车传感器(也为自动泊车功能、停车辅助系统);摄像监控系统;块式加热器;和防抱死制动系统(ABS)。多媒体系统可以尤其包括:导航系统;车载互联网;方向盘音频控制;和免提语音控制。远程信息处理可以尤其包括:远程信息处理控制单元(TCU);全球定位系统(GPS)单元;外部移动通信接口(GSM、GPRS、3G、4G(LTE)Wi-Fi、WiMAX或蓝牙);一个或多个传感器,包括加速度、撞击和空间方位传感器;等等。在另一特定方面中,MT的辅助电子系统的ECU的列表还包含不可信的无线连接信道和自动驾驶系统(直至最后一级控制且包括最后一级控制)。
在另一方面中,MT的主电子系统的ECU的列表尤其包括:与齿轮箱相关联的控制单元、和与底盘相关联的控制单元。与齿轮箱相关联的控制单元尤其包括:传输控制单元、牵引力控制系统(TCS)等。与车辆的底盘相关联的控制单元尤其包括:巡航控制系统、车道保持系统等。
应当注意,在一个方面中,可以将来自辅助电子系统的列表的多个ECU(诸如ABS系统)移动到主电子系统的列表。在另一方面中,情况正好相反。也应当注意,在一个方面中,主电子系统和辅助电子系统的列表可以根据MT的制造、款型或类型而不同,且可以适应性地改变。
图3示出规则创建系统300的示例。在所考虑的示例中,MT的网络架构具有先前在图2A中所描述的外观,但是该网络架构可以为先前指示的那些网络架构中的任一者。该系统包含至少一个运输工具301,该运输工具301转而包括占有者保护系统(OPS)331和保护模块102。OPS 331连接到MT的总线(在给定示例中,连接到CAN-C总线153)且被配置成确定MT发生事故(诸如RTA)的时刻。
保护模块102也连接到MT的总线(在给定示例中,该模块为中央网关101的模块)且被配置成拦截在MT的总线上流转的消息(也为帧),以便在拦截消息的过程中将这些截获的消息保存在日志304中。对于每个截获的消息,保护模块102还可以被配置成保存关于作为该消息的接收方的MT的至少一个ECU的接收方信息。保护模块102也用于将包含消息的日志304的一部分、和关于作为所述消息中的至少一者的接收方的至少一个ECU的信息发送到服务器303,所述消息是由保护模块102在MT发生事故的时刻前后的特定时段内(即在区间(t0-Δt,t0+Δt)内,其中,t0为MT发生事故的时刻,且Δt为MT发生事故的时刻前后的特定时段,例如10秒)在MT的总线上所截获的。
使用关于ECU的信息唯一地识别该ECU,并且该信息尤其包括该ECU的唯一标识符或其名称。
保护模块102可以通过网络302(即无线通信网络,诸如Wi-Fi网络、LTE等)与服务器303通信。服务器303被配置成从保护模块102接收日志304以及通过分析接收到的日志304来检测计算机攻击。执行计算机攻击的可能性视MT的电子系统(尤其是ECU)的漏洞而定。此外,服务器303被配置成尤其在检测计算机攻击时确定如下妥协指标:在计算机攻击中使用的消息;对于每个消息,关于MT的至少一个ECU的信息,该MT的至少一个ECU作为所述消息中的至少一者的接收方。服务器303还被配置成基于妥协指标创建用于保护模块102的规则,该规则包含对于将该规则应用于对MT的计算机攻击的检测的至少一个条件、以及在将该规则应用于阻断对MT的计算机攻击时的至少一个动作。因此,用于规则应用的条件构成依赖性,尤其对妥协指标构成依赖性,这使得可以检测对MT的计算机攻击。例如,用于规则应用的条件可以如下:在日志304中找到全部的确定的妥协指标。
应用规则时的动作也取决于妥协指标。例如,如果妥协指标包含在CAN总线上的定义的消息和关于该消息的接收方的信息,则应用规则时的动作可以如下:阻断在CAN总线上传送到该接收方的所有消息。下文将呈现用于基于妥协指标创建用于保护模块的规则的其它可能示例。
在特定方面中,妥协指标还包括拦截消息的时刻,此外,在拦截消息的过程中,也将对应于那些消息且指定那些消息的拦截时刻的时间戳保存在日志中。在另一方面中,妥协指标还包括关于至少一个ECU的信息,该至少一个ECU作为那些消息中的至少一者的接收方,此外,接收到的日志304还包含提及的ECU中的至少一者。
在一个特定方面中,用于规则应用的条件包括如下:由保护模块从MT的总线截获的通信量包含定义的一组消息(例如,来自包含在定义的妥协指标中的消息)。
如上所述,已论述了对2014年款的吉普切诺基汽车的示例性计算机攻击。如下讨论更严密地探讨了如何执行计算机攻击。网络攻击包括利用车辆的停车辅助系统的漏洞。在吉普中嵌入在汽车切换到诊断会话的时刻阻断刹车的功能。为此,必须已接收到诊断CAN消息。通常,如果汽车的速度超过7-15km/h,则大多数的ECU忽略这类消息,且因此这类计算机攻击在汽车的缓慢运动期间是可能的。在所讨论的示例中,在汽车切换到诊断状态之后,汽车的刹车停止工作,这是严重的安全问题,即使汽车此时正在缓慢运动。黑客可以利用该功能不足并在CAN总线上发送消息,该消息为打开与ECU的ABS的诊断会话的命令:
EID:18DA28F1,长度:08,数据:02 10 03 00 00 00 00 00
然后,黑客对刹车极度抑制。通过在CAN总线上发送多个消息来执行该命令:
EID:18DA28F1,长度:08,数据:10 11 2F 5ABF 03 64 64
EID:18DA28F1,长度:08,数据:64 64 64 64 64 64 64 64
EID:18DA28F1,长度:08,数据:64 64 64 00 00 00 00 00
因此,指示的CAN消息可以被定义为妥协指标,并且在所描述的漏洞的情况下,在示例性方面中,基于妥协指标,用于规则应用的条件可以被定义为在汽车运动期间存在前述消息组:
EID:18DA28F1,长度:08,数据:02 10 03 00 00 00 00 00
EID:18DA28F1,长度:08,数据:10 11 2F 5A BF 03 64 64
EID:18DA28F1,长度:08,数据:64 64 64 64 64 64 64 64
EID:18DA28F1,长度:08,数据:64 64 64 00 00 00 00 00
因此,在汽车运动期间接收到这些消息时,将执行在应用规则时的动作且将阻断计算机攻击,上述场景将不会发生。
在另一方面中,用于规则应用的条件附加地包括关于如下事实的信息:来自前述消息组的消息的接收者或发送者为特定ECU。因此,在关于吉普所考虑的示例中,用于规则应用的条件也将包含关于消息的接收方(ECU的ABS)的信息。例如,规则的条件可以指定(a)接收如下消息组:
EID:18DA28F1,长度:08,数据:02 10 03 00 00 00 00 00
EID:18DA28F1,长度:08,数据:10 11 2F 5A BF 03 64 64
EID:18DA28F1,长度:08,数据:64 64 64 64 64 64 64 64
EID:18DA28F1,长度:08,数据:64 64 64 00 00 00 00 00
以及,其中,(b)消息组的接收方为:
ECU的ABS。
在另一特定方面中,用于规则应用的条件也将包含来自定义消息组的以特定次序排列的消息且在特定时间间隔内被保护模块截获的信息。在吉普示例的范畴内,用于规则应用的条件可以指定(a)以如下次序接收一组消息:
1.EID:18DA28F1,长度:08,数据:02 10 03 00 00 00 00 00
2.EID:18DA28F1,长度:08,数据:10 11 2F 5A BF 03 64 64
3.EID:18DA28F1,长度:08,数据:64 64 64 64 64 64 64 64
4.EID:18DA28F1,长度:08,数据:64 64 64 00 00 00 00 00
指定(b)该组消息的接收方为:“ECU的ABS”;以及指定(c)接收消息的时间差为:
1.-2.—不多于1分钟
2.-3.,3.-4.—不多于100毫秒。
因此,已将如下条件添加到指示的规则:不超过1分钟的时间间隔应当发生在第一消息与第二消息之间、以及不长于100毫秒的时间间隔应当发生在第二消息与第三消息之间、以及在第三消息与第四消息之间。实际上,第一消息包含切换到诊断模式的命令,之后进来的是包含制动命令的三个消息,且因此它们将紧紧跟随。
在另一特定方面中,用于规则应用的条件将取决于ECU的状态。在另一方面中,用于规则应用的条件也将取决于MT的传感器的指标。例如,该规则可以包含汽车运动的条件。即,如果汽车在运动且上文指示的CAN消息抵达,则将满足用于规则应用的条件,但是如果汽车没有在运动,则将不应用该规则,因为在第二种情况下,接收这类消息不指示利用漏洞和计算机攻击。
关于在应用规则时的动作,在一个方面中,这些动作尤其包括如下:(a)将消息发送到至少一个ECU;(b)阻断在定义的妥协指标中包含的消息中的至少一个消息的发送;或(c)在来自定义的妥协指标中包含的消息中的至少一个消息中进行改变。
在一个方面中,发送到至少一个ECU的消息可以包含指定断开来自MT的辅助电子系统的ECU列表的至少一个ECU的指令的命令。在吉普的示例中,可以断开ECU的ABS,例如,其结果是上述计算机攻击将不会发生。在另一方面中,发送到至少一个ECU的消息可以包含指定针对来自MT的主电子系统的ECU列表的至少一个ECU开启或启用安全模式的指令的命令。在安全模式下,MT的功能受到限制,这些限制允许在危险情况下将MT的操作风险完全消除或降低到可接受的程度。例如,可以限制MT的最大速度。当以受限速度运动时,驾驶员仍具有停放MT或到达服务站的选项(MT未被完全阻断),但是在MT的控制中涉及的风险显著降低。
在特定方面中,根据规则借助从一个子网络到另一个子网络的网关执行对在提及的规则中包含的消息的发送的阻断。例如,在图3的示例性网络架构的范畴内,中央网关101可以阻断将消息从一个子网络发送到另一个子网络,例如在CAN-B总线152和CAN-C总线153之间。网关101从MT的电子系统的一个子网络接收消息,该子网络被配置成到另一个子网络的传输且使用保护模块102以验证消息传输的可行性。消息传输仅发生在保护模块允许该消息通过的情况下。否则,将不进一步传送该消息。
在另一方面中,根据提及的规则,可以在同一总线上的ECU之间执行对在提及的规则中包含的消息的发送的阻断。例如,在图3中的网络的范畴内,可以在CAN-B总线152上阻断在ECU1 121和ECU2 122之间发送消息的能力。可以使用各种技术阻断由一个ECU使用位于同一总线上的另一ECU的部件而在CAN总线上传送消息。如下将描述一种这类可行的方法。当在CAN总线上传送消息时,当同时传送1和0时,对应于1的位可以被位0抑制(在图6中示出了帧格式)。在CAN总线上的数据帧具有以包含消息的校验和的字段(15位)结束的数据结构。因此,中央网关101有可能使用保护模块102来校验帧内容,并且在传送该消息的校验和的过程中检测到不想要的消息时,保护模块102可以通过发送由位0组成的序列来改变所述校验和的值。根据CAN总线的操作原理,在代替校验和的原始值的这种情况下,将在总线上建立不同的零值。在接收到这类消息时,ECU收件方将检测消息的校验和中的差异,并且将不处理这类消息。
在特定方面中,MT的辅助电子系统的ECU的列表尤其包含:a)驾驶员辅助系统;b)多媒体系统;c)远程信息处理。在另一方面中,MT的主电子系统的ECU的列表尤其包含:a)齿轮箱;b)底盘。
在另一方面中,使用机器学习方法或由专家执行接收到的日志的分析。
在一个方面中,在来自定义的妥协指标中包含的消息中的至少一个消息中进行的改变可以由保护模块102执行以移除包含在该消息中的恶意命令。在一个实现中,保护模块102可以修改从一个子网络传送到另一个子网络的至少一个消息,其中,保护模块102位于连接这些子网络的网关中。例如,在图2C中所示的示例性系统中,位于总线153与总线154之间的网关203中的保护模块102c可以修改从总线154中的ECU发送的、在总线153中具有ECU收件方的消息,以移除与车辆的传输组件有关的恶意命令。在另一方面中,在来自定义的妥协指标中包含的消息中的至少一个消息中进行的改变可以被分为两个动作:阻断消息(如前文所述)和发送新消息,根据提及的规则,该新消息不包含妥协指标。
在特定方面中,在应用规则时的动作中包含的ECU包括:在妥协指标中包含的ECU。
机器学习方法的使用使得可以通过将日志条目与已知无异常的数据相比较而发现日志条目中的异常。此外,可以使用描述运输工具的功能的模型。脱离这些模型为需要进一步调查的异常的标记。例如,MT的速度在短的时间间隔内的显著变化可以被视为异常。异常的另一示例可以为将命令从MT的多媒体系统的子网络发送到控制MT的底盘的子网络。
在异常检测系统最初未发现任何问题但是有理由假设问题仍然存在的情况下,可以引进具有一套必要技能的专家。例如,响应于检测到一系列相同种类的RTA,可以执行附加分析,这发生在对于这些RTA不存在明显背景的情况下。在另一示例中,响应于检测到具有严重后果的RTA,在该RTA的原因无法用其它手段来识别的情况下,可以执行附加分析。
关于消息的目的的专家处理信息、协议的说明、和其它必要信息应当重建事件的图像且解释RTA是否由系统的异常行为引起、或系统在RTA发生时是否正常运作。
在检测到计算机攻击之后,在一个方面中,可以将更新软件的请求提交给ECU的(例如ECU的ABS的)供应商(或MT的制造商),该供应商为妥协指标。在从ECU的供应商(或MT的制造商,分别地)接收到修正执行计算机攻击的可能性的更新之后以及在对应的ECU中安装该更新之后,可以添加移除规则的脚本,因为所述规则不再为相关的(步骤533)。
图4呈现了用于阻断对运输工具的计算机攻击的系统400。该系统400被配置成实现由运输工具301中的保护模块102执行的阻断计算机攻击的方法。因此,系统400的以及各方面的多个元件与在图3中所描述的那些元件一致。该系统包含MT的至少一条总线,该至少一条总线连接到至少一个ECU。该系统包含保护模块102,该保护模块102连接到MT的总线中的至少一者。作为示例,使用在图2A中呈现的MT的网络架构。保护模块102被配置成借助网络302从服务器303获得规则。所获得的基于妥协指标创建的规则包含用于规则应用的至少一个条件以及在应用规则时的至少一个动作。妥协指标尤其为如下:(i)在计算机攻击中使用的消息,和(ii)关于MT的至少一个ECU的信息,该至少一个ECU作为提及的消息中的至少一者的接收方。
此外,保护模块102被配置成拦截在MT的总线上传送的消息,用以校验随着使用日志304而获得的用于规则应用的条件,并且还用以在满足用于那些规则应用的条件时通过执行在应用规则时的动作来阻断对MT的计算机攻击。
上文针对图3的系统所描述的特定方面也适用于图4的系统。
图5A至图5B为说明实现本发明的各方面的方法500的流程图,具体用于图3至图4的系统。用于创建规则的方法包括如下内容。在步骤510中,服务器303从至少一个MT 301的保护模块102接收日志304。该日志304包含消息和关于作为所述消息中的至少一者的接收方的至少一个ECU的信息,所述消息是由保护模块102在MT发生事故的时刻前后的特定时段内、在MT 301的总线上所截获的。接着,在步骤502中,通过分析所获得的日志304执行计算机攻击的检测。此后,在步骤503中,在检测到计算机攻击时,确定妥协指标,尤其确定如下妥协指标:在计算机攻击中使用的消息,以及对于每个消息、关于作为该消息的接收方的MT的至少一个ECU的信息。因此,在步骤504中,基于妥协指标创建用于保护模块102的规则,该规则包含用于将该规则应用于检测对MT的计算机攻击的至少一个条件、以及在将该规则应用于阻断对MT的计算机攻击时的至少一个动作。
在特定方面中,在检测到计算机攻击且确定妥协指标之后,可以向有关当局(执法机构、保险公司)通知检测到的计算机攻击,以便执行一组措施以查明对该计算机攻击负责的人并将他们绳之以法(511)以及满足保险公司在确定赔偿支付的程度时的需要。另外,可以将关于计算机攻击的信息(妥协指标、日志304、关于MT的信息、遥测数据等)连同对于软件更新的请求一起发送到在执行检测到的计算机攻击(相应地在妥协指标中指示)中利用的MT的制造商和/或ECU的供应商(512)。该步骤将允许MT的制造商和ECU的供应商开发用于MT的电子系统(尤其是指示的ECU)的软件的更新(513),这将消除进行计算机攻击的可能性。在开发软件更新之后,该软件更新将被传送且安装在存在进行检测到的计算机攻击的可能性的所有MT中(步骤533)。此外,所有MT的召回是可行的,以及可以执行维修以消除进行计算机攻击的可能性。
在另一特定方面中,日志304的分析还包括确定基于日志304进行的计算机攻击的概率。在步骤514中,如果所进行的计算机攻击的概率超过给定值(诸如0.997、或在3个标准差内)或如果MT的事故具有严重后果(例如,具有严重后果的RTA),则认为已检测到计算机攻击或发起进行日志304的进一步详细分析(步骤515)。
在计算所进行的计算机攻击的概率时,服务器303将如下考虑在内:RTA由一组因素引起,每个因素不是异常,但是在总体上,这些因素导致RTA;以及在MT正常操作的过程中,这些因素全部同时发生的概率很低。因此,确定在事故发生时出故障的ECU,以及所进行的计算机攻击的概率被确定为等于提及的ECU全部同时出故障的概率(提前已知每个ECU出故障的概率,例如,该概率可以由MT或ECU的制造商提供)。让我们考虑如下示例:其中,由于3个不同的独立ECU的协同故障而发生RTA,这三个ECU中的任何两者的故障将不会导致RTA。让我们假设第一系统的故障概率为0.1、第二系统的故障概率为0.15以及第三系统的故障概率为0.18。在该情况下,全部三个系统的随机故障的组合概率为0.0027,因此,不是由随机因素引起故障的概率为0.9973,这超过阈值。
在另一方面中,服务器303考虑如下来计算进行的计算机攻击的概率:在短的时间间隔内登记大量相同种类的RTA。可以通过统计方法在指定的时间间隔期间执行给定模型的MT的给定类型的RTA的概率的评估。如果证明是在短的时间间隔内发生大量相同类型的RTA,则由随机因素引起的这类一系列RAT的概率很低,因此,针对性动作的概率可以证明为超过阈值。
具有可用于计算由计算机攻击引起RAT的概率的许多其它概率模型。在特定方面中,可以使用贝叶斯置信网络、马尔科夫链和其它概率模型来计算由于计算机攻击而发生RTA的概率。
在特定方面中,计算正在进行的计算机攻击的概率以及后续进一步分析日志304可以包括由安全专家进行的人工分析。在另一特定方面中,可以合计所有类似事故,并使用机器学习方法进行分析。可以通过所使用的MT、ECU和网关相同品牌和款型,事故(RTA)的类似环境,对于不同MT而部分一致或交叉的日志304,和其它特性来执行事故的聚集。作为执行进一步分析的结果,如果确认计算机攻击或如果发现已进行的计算机攻击的痕迹(步骤516),则接下来将进行下一步骤503,其中,将确定计算机攻击的妥协指标,此后在步骤504中,将为保护模块102而创建规则。显然,如果在步骤514中计算出的计算机攻击的概率低于给定值以及事故不具有严重后果(具有不显著后果的RTA),则该方法将停止(步骤518)。类似地,如果作为进一步分析的结果在步骤515中未发现计算机攻击的痕迹,则该方法将停止(步骤517)。
在特定方面中,然后在阻断对MT的计算机攻击的方法中使用在步骤501-504中由服务器303创建的规则。在步骤521中,保护模块102接收至少一个规则。然后,在步骤522中,保护模块102拦截在MT的总线上传送的消息,以及在步骤523中,在拦截消息的过程中,保护模块102将截获的消息和针对每个截获的消息而作为该消息的接收方的MT的至少一个ECU保存在日志304中。在一些方面中,保护模块102从截获的CAN消息中提取可确定ECU-收件方的标识符。
在一个方面中,保护模块102可以拦截在车辆的多个电子控制单元(ECU)之间的第一通信总线上传送的多个消息。在一些方面中,第一通信总线包括控制器区域网络(CAN)总线,从而将在CAN总线上发送的消息广播到通信地耦合到CAN总线的所有ECU。保护模块102可以基于哪些ECU通信地耦合到第一通信总线来确定作为截获的消息的接收方的至少一个接收ECU。在一些方面中,保护模块102可以基于在CAN总线上的消息中包含的ID来确定作为截获的消息的接收方的至少一个接收ECU。保护模块102可以将截获的消息和指示确定的至少一个接收方ECU的信息存储在日志304中。在一些方面中,保护模块102可以将与截获的消息的拦截时刻对应的时间戳存储在日志中。
在步骤524中,在拦截消息的过程中,保护模块102使用日志304校验对于接收的规则的应用的条件。在一个方面中,保护模块102可以基于由存储在日志中的消息和信息对规则的至少一个条件的满足来检测车辆的计算机攻击。在一些方面中,还基于日志中的时间戳检测计算机攻击。在一个示例中,规则的至少一个条件指定在与车辆的运动相关联的时间段内存在于日志中的定义的消息组。在一些方面中,规则的至少一个条件还指定与定义的ECU组匹配的、指示作为消息的接收方的至少一个接收ECU的信息。在一些方面中,规则的至少一个条件还指定车辆的运动状态,从而响应于确定车辆在运动而应用规则,以及响应于确定车辆没有运动而不应用规则。例如,如果车辆在运动且上文指示的定义的CAN消息组抵达,则满足用于规则应用的条件;但是如果汽车没有运动,则将不应用该规则,因为在第二种情况下可以得出结论,这类消息的接收与利用漏洞或计算机攻击无关。在另一示例中,规则的至少一个条件还指定存在于日志中且在定义的时间间隔内截获的、以定义次序排列的定义的消息组。
在满足用于至少一个规则的应用的条件之后,在步骤525中,通过执行在应用规则时的动作来阻断对MT的计算机攻击。如果不满足用于规则应用的条件,则日志304中的条目不包含计算机攻击的标志(531)。
在一个方面中,保护模块102可以通过执行与规则相关联的动作来阻断车辆的计算机攻击。例如,该规则可以指定,响应于确定截获的消息的一部分将定义的消息组匹配到第一接收方,执行的动作为阻断所有消息在第一通信总线上被传送到第一接收方。
在一个方面中,基于确定至少一个ECU在车辆的辅助电子系统的ECU的列表上,可以通过将包含断开至少一个ECU的命令的消息传送到该至少一个ECU来阻断计算机攻击。例如,使用上述的吉普的示例,可以断开ECU的ABS,例如,其结果是上述计算机攻击将不会发生。在另一方面中,可以通过将包含对于至少一个ECU启用安全模式的命令的消息传送到该至少一个ECU来阻断计算机攻击,该至少一个ECU在车辆的主电子系统的ECU的列表上。
在另一方面中,可以通过阻断至少一个消息借助网关从第一通信总线到车辆的第二通信总线的传输来阻断计算机攻击。例如,在图3的示例性网络架构的范畴内,中央网关101可以阻断将消息从一个子网络发送到另一个子网络,例如在CAN-B总线152和CAN-C总线153之间。在一些方面中,可以通过阻断至少一个消息在通信地耦合在同一个第一通信总线上的ECU之间的传输来阻断计算机攻击。在一个实施中,这可以通过使保护模块102在第一通信总线上发送位零的序列来实现,从而在第一通信总线上建立与该至少一个消息不同的值,使得接收ECU由于在消息的校验和中的差异而丢弃该至少一个消息。
显然,不仅作为执行步骤501-504的结果、而且还在其它情况下,可以创建在步骤521中接收的规则。例如,可以在服务器303上或直接在MT 301上执行MT的安全审计,以及可以在一个或多个ECU中发现漏洞。指示的漏洞不必已被黑客利用。在另一示例中,外部调查员可能发现一个或多个ECU中的漏洞并将其上报给制造商。因此,在发布对应的ECU的更新之前,将为保护模块102创建规则以防止利用所发现的漏洞的可能性。该规则可以由服务器303发送到保护模块102,或可以(例如在服务中心)使用MT的网络接口(例如借助诊断接口155)下载该规则。
在特定方面中,在阻断计算机攻击525之后,在步骤532中也可以通知MT的驾驶员。在另一特定方面中,会需要MT的驾驶员执行一系列动作,诸如允许断开在计算机攻击中使用的ECU模块。
在从ECU的供应商接收修正进行计算机攻击的可能性的更新之后且在对应的ECU中安装该更新之后,鉴于规则不再为相关的,可以从服务器303获得脚本且执行该脚本以移除所述规则(步骤533)。在一个方面中,响应于将配置成修补ECU的漏洞的软件更新应用于车辆的一个或多个ECU,保护模块102可以移除用于检测对车辆的计算机攻击的一个或多个规则。
图6呈现了CAN协议的帧的格式。如图所示,帧或消息可以包括标识符字段(例如11位),该标识符字段为表示总线内的消息的优先级的唯一标识符。消息还可以包括远程传输请求(RTR)字段(例如1位),该RTR字段指示用于数据帧的显性值(即0值)或用于远程请求帧的隐性值(例如值1)。该消息还可以包括数据长度码(DLC)字段,该DLC字段指示在消息帧中包含的数据的字节数。然后,该消息包括包含待被传输的数据的数据字段。该消息中的附加字段可以包括CRC字段、ACK时隙、和帧末端指示。
图7呈现了根据示例性方面的其上可实施用于检测对车辆的电子系统的攻击的系统和方法的方面的计算机系统20的示例。在一个特定方面中,可以使用计算机系统实现服务器303以及MT的电子系统。在另一特定方面中,MT的电子系统也可以使用专用集成电路来实现。在又一特定方面中,MT的电子系统可以利用专用计算机来实现。
如图所示,该计算机系统20(其可以是个人计算机或服务器)包括中央处理单元21、系统存储器22和连接各种系统组件的系统总线23,各种系统组件包括与中央处理单元21相关联的存储器。如将由本领域的普通技术人员能够理解的,系统总线23可以包括总线存储器或总线存储器控制器、外围总线、以及能够与任何其它总线架构交互的本地总线。系统存储器可以包括永久存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统(BIOS)26可以存储用于在计算机系统20的各元件之间的传输信息的基本程序,诸如在使用ROM 24加载操作系统时的那些基本程序。
计算机系统20还可以包括用于读取和写入数据的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28、以及用于读取和写入可移动光盘31(诸如CD-ROM、DVD-ROM和其它光学介质)的光盘驱动器30。硬盘27、磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动器接口34而连接到系统总线23。驱动器和对应的计算机信息介质为用于存储计算机系统20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。
示例性方面包括使用借助控制器55连接到系统总线23的硬盘27、可移动磁盘29和可移动光盘31的系统。将由本领域的普通技术人员能够理解的,也可以利用能够以计算机可读的形式存储数据的任何类型的介质56(固态驱动器、闪存卡、数字盘、随机存取存储器(RAM)等)。
计算机系统20具有可以存储操作系统35的文件系统36、以及附加程序应用37、其它程序模块38和程序数据39。计算机系统20的用户可以使用键盘40、鼠标42、或本领域普通技术人员已知的任何其它输入设备(诸如但不限于麦克风、操纵杆、游戏控制器、扫描仪等)输入命令和信息。这些输入设备通常通过串行端口46插入到计算机系统20中,串行端口46转而连接到系统总线,但是本领域的普通技术人员能够理解,输入设备也可以以其它方式来连接,诸如但不限于借助并行端口、游戏端口、或通用串行总线(USB)来连接。监控器47或其它类型的显示设备也可以通过接口(例如视频适配器48)连接到系统总线23。除了监控器47,个人计算机还可以配备有其它的外围输出设备(未示出),例如扬声器、打印机等。
计算机系统20可以使用与一个或多个远程计算机49的网络连接而工作在网络环境中。一个或多个远程计算机49可以为本地计算机工作站或服务器,其包括在描述计算机系统20的性质时使用的上述元件中的大多数元件或全部元件。其它设备也可以存在于计算机网络中,诸如但不限于路由器、网站、对等设备或其它的网络节点。
网络连接可以形成局域计算机网络(LAN)50和广域计算机网络(WAN)。这些网络用在企业计算机网络和公司内部网络中,并且这些网络通常有权访问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,计算机系统20可以采用调制解调器54或本领域的普通技术人员所熟知的实现与广域计算机网络(诸如因特网)的通信的其它模块。调制解调器54可以是内部设备或外部设备,可以通过串行端口46连接到系统总线23。本领域的普通技术人员能够理解,所述网络连接是使用通信模块建立一个计算机与另一个计算机的连接的许多熟知方式的非限制性示例。
在各个方面中,本文中所描述的系统和方法可以以硬件、软件、固件或它们的任何组合来实施。如果以软件来实施,则上述方法可以作为一个或多个指令或代码而被存储在非暂时性计算机可读介质上。计算机可读介质包括数据存储器。以示例性而非限制性的方式,这种计算机可读介质可以包括RAM,ROM,EEPROM,CD-ROM,闪存或其它类型的电存储介质、磁存储介质或光存储介质,或可用来携带或存储所期望的指令或数据结构形式的程序代码并可以被通用计算机的处理器访问的任何其它介质。
在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。本文中所使用的术语“模块”指的是例如现实世界的设备、组件、或使用硬件(例如通过专用集成电路(ASIC)或现场可编程门阵列(FPGA))实现的组件的布置,或者指的是硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令组(该指令组在被执行时将微处理器系统转换成专用设备)来实现这样的组合。一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,并且通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分(以及在一些情况下,模块的全部)可以被执行在计算机(例如上文在图7中更详细描述的计算机)的处理器上。因此,每个模块可以以各种适合的配置来实现,而不应受限于本文中所列举的任何特定的实现方式。
为了清楚起见,本文中没有公开各个方面的所有例程特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文中所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,在不脱离本文中所公开的发明构思的前提下,相比于上文所提及的内容而言的更多修改是可行的。

Claims (20)

1.一种用于阻断对车辆的电子系统的攻击的计算机实现方法,包括:
拦截在车辆的多个电子控制单元ECU之间的第一通信总线上传送的多个消息;
基于哪些ECU通信地耦合到所述第一通信总线,确定作为截获的所述消息的接收方的至少一个接收ECU;
将截获的所述消息和指示确定的所述至少一个接收ECU的信息存储在日志中;
基于由存储在所述日志中的所述消息和所述信息对规则的至少一个条件的满足来检测对所述车辆的计算机攻击,其中,所述规则取决于由在计算机攻击中使用的恶意消息组成的一个或多个妥协指标和关于作为所述恶意消息的接收方的至少一个ECU的信息;以及
通过执行与所述规则相关联的动作,阻断对所述车辆的所述计算机攻击。
2.如权利要求1所述的方法,其中,所述第一通信总线包括如下项中的至少一者:控制器区域网络CAN总线、本地互连网络LIN、面向媒体的系统传输MOST总线、FlexRay总线、和以太网总线,其中,在所述第一通信总线上发送的消息被广播到通信地耦合到所述第一通信总线的全部所述ECU。
3.如权利要求1所述的方法,还包括:
将与截获的所述消息的拦截时刻对应的时间戳存储在所述日志中,且其中,还基于所述日志中的所述时间戳检测所述计算机攻击。
4.如权利要求1所述的方法,其中,所述规则的所述至少一个条件指定,在与所述车辆的运动相关联的时间段内存在于所述日志中的定义的消息组。
5.如权利要求4所述的方法,其中,所述规则的所述至少一个条件还指定,与定义的ECU组匹配的、指示作为所述消息的接收方的所述至少一个接收ECU的所述信息。
6.如权利要求4所述的方法,其中,所述规则的所述至少一个条件还指定所述车辆的运动状态,从而响应于确定所述车辆在运动而应用所述规则,以及响应于确定所述车辆没有运动而不应用所述规则。
7.如权利要求1所述的方法,其中,所述规则指定,响应于确定截获的所述消息的一部分将定义的消息组匹配到第一接收方,阻断所有消息在所述第一通信总线上被传送到所述第一接收方。
8.如权利要求1所述的方法,其中,所述规则的所述至少一个条件还指定,存在于所述日志中且在定义的时间间隔内截获的、以定义次序排列的定义的消息组。
9.如权利要求1所述的方法,其中,通过执行与所述规则相关联的所述动作,阻断对所述车辆的所述计算机攻击,还包括:
将包含断开至少一个ECU的命令的消息传送到所述至少一个ECU,所述至少一个ECU在所述车辆的辅助电子系统的ECU的列表上。
10.如权利要求1所述的方法,其中,通过执行与所述规则相关联的所述动作,阻断对所述车辆的所述计算机攻击,还包括:
将包含对于至少一个ECU启用安全模式的命令的消息传送到所述至少一个ECU,所述至少一个ECU在所述车辆的主电子系统的ECU的列表上。
11.如权利要求1所述的方法,其中,通过执行与所述规则相关联的所述动作,阻断对所述车辆的所述计算机攻击,还包括:
阻断至少一个消息借助网关从所述车辆的所述第一通信总线到第二通信总线的传输。
12.如权利要求1所述的方法,其中,通过执行与所述规则相关联的所述动作,阻断对所述车辆的所述计算机攻击,还包括:
阻断至少一个消息在通信地耦合在同一个所述第一通信总线上的ECU之间的传输。
13.如权利要求12所述的方法,其中,通过在所述第一通信总线上发送位零的序列来阻断至少一个消息在ECU之间的所述传输,从而在所述第一通信总线上建立与所述至少一个消息不同的值,使得接收ECU由于在所述消息的校验和中的差异而丢弃所述至少一个消息。
14.如权利要求1所述的方法,还包括:
响应于将配置成修补所述ECU的漏洞的软件更新应用于所述车辆的一个或多个ECU,移除用于检测对所述车辆的计算机攻击的所述规则。
15.如权利要求1所述的方法,其中,用于应用所述规则的条件取决于至少一个ECU的状态。
16.如权利要求1所述的方法,其中,用于应用所述规则的条件取决于至少一个ECU的性能。
17.一种用于阻断对车辆的电子系统的攻击的计算机系统,所述计算机系统包括:
多个电子控制单元ECU;
第一通信总线,所述第一通信总线被配置成通信地耦合到所述多个ECU;和
硬件处理器,所述硬件处理器被配置成:
拦截在所述多个ECU之间的所述第一通信总线上传送的多个消息,
基于哪些ECU通信地耦合到所述第一通信总线,确定作为截获的所述消息的接收方的至少一个接收ECU,
将截获的所述消息和指示确定的所述至少一个接收ECU的信息存储在日志中,
基于由存储在所述日志中的所述消息和所述信息对规则的至少一个条件的满足来检测对所述车辆的计算机攻击,其中,所述规则取决于由在计算机攻击中使用的恶意消息组成的一个或多个妥协指标和关于作为所述恶意消息的接收方的至少一个ECU的信息,以及
通过执行与所述规则相关联的动作,阻断对所述车辆的所述计算机攻击。
18.如权利要求17所述的计算机系统,其中,所述第一通信总线包括如下项中的至少一者:控制器区域网络CAN总线、本地互连网络LIN、面向媒体的系统传输MOST总线、FlexRay总线、和以太网总线,其中,在所述第一通信总线上发送的消息被广播到通信地耦合到所述第一通信总线的全部所述ECU。
19.如权利要求17所述的计算机系统,其中,所述规则的所述至少一个条件指定,在与所述车辆的运动相关联的时间段内存在于所述日志中的定义的消息组,
其中,所述规则的所述至少一个条件还指定,与定义的ECU组匹配的、指示作为所述消息的接收方的所述至少一个接收ECU的所述信息,以及
其中,所述规则的所述至少一个条件还指定所述车辆的运动状态,从而响应于确定所述车辆在运动而应用所述规则,以及响应于确定所述车辆没有运动而不应用所述规则。
20.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质包括用于阻断对车辆的电子系统的攻击的计算机可执行指令,所述非暂时性计算机可读介质包括用于如下操作的指令:
拦截在车辆的多个电子控制单元ECU之间的第一通信总线上传送的多个消息;
基于哪些ECU通信地耦合到所述第一通信总线,确定作为截获的所述消息的接收方的至少一个接收ECU;
将截获的所述消息和指示确定的所述至少一个接收ECU的信息存储在日志中;
基于由存储在所述日志中的所述消息和所述信息对规则的至少一个条件的满足来检测对所述车辆的计算机攻击,其中,所述规则取决于由在计算机攻击中使用的恶意消息组成的一个或多个妥协指标和关于作为所述恶意消息的接收方的至少一个ECU的信息;以及
通过执行与所述规则相关联的动作,阻断对所述车辆的所述计算机攻击。
CN201811243301.1A 2018-03-30 2018-10-24 阻断对运输工具的计算机攻击的系统和方法 Active CN110324219B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2018111476 2018-03-30
RU2018111476A RU2706887C2 (ru) 2018-03-30 2018-03-30 Система и способ блокирования компьютерной атаки на транспортное средство
US16/120,762 2018-09-04
US16/120,762 US11005880B2 (en) 2018-03-30 2018-09-04 System and method of blocking a computer attack on a means of transportation

Publications (2)

Publication Number Publication Date
CN110324219A true CN110324219A (zh) 2019-10-11
CN110324219B CN110324219B (zh) 2021-08-03

Family

ID=68057435

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811243301.1A Active CN110324219B (zh) 2018-03-30 2018-10-24 阻断对运输工具的计算机攻击的系统和方法

Country Status (4)

Country Link
US (2) US11005880B2 (zh)
JP (1) JP6762347B2 (zh)
CN (1) CN110324219B (zh)
RU (1) RU2706887C2 (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7344009B2 (ja) * 2018-10-17 2023-09-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
JP7350517B2 (ja) * 2018-10-17 2023-09-26 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
US11921853B2 (en) * 2019-07-23 2024-03-05 Denso Corporation System for adaptive vehicle security and response
RU2737229C1 (ru) * 2019-11-25 2020-11-26 Общество с ограниченной ответственностью "ПОСЕЙДОН" Способ защиты систем управления транспортных средств от вторжений
US11070584B1 (en) * 2020-01-06 2021-07-20 General Electric Company Graceful neutralization of industrial assett attack using cruise control
CN111428235A (zh) * 2020-02-21 2020-07-17 华东师范大学 一种面向类mil-std-1553b的总线控制器决策防护方法
JP7439668B2 (ja) 2020-07-13 2024-02-28 株式会社デンソー ログ送信制御装置
CN112040444A (zh) * 2020-09-03 2020-12-04 中国第一汽车股份有限公司 一种控制方法、装置、设备及存储介质
US11576047B2 (en) 2020-12-09 2023-02-07 Valeo Comfort And Driving Assistance Device, system, and method for cyber isolating mobility systems when a vehicle is in motion
US11271971B1 (en) * 2021-03-19 2022-03-08 King Saud University Device for facilitating managing cyber security health of a connected and autonomous vehicle (CAV)
JP2023028510A (ja) * 2021-08-19 2023-03-03 パナソニックIpマネジメント株式会社 検知ルール出力方法、及び、セキュリティシステム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150113638A1 (en) * 2013-10-23 2015-04-23 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
CN106059987A (zh) * 2015-04-17 2016-10-26 现代自动车株式会社 车载网络入侵检测系统及其控制方法
US20170270291A1 (en) * 2016-03-17 2017-09-21 Denso Corporation Information processing system
US20180004964A1 (en) * 2012-03-29 2018-01-04 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7421334B2 (en) * 2003-04-07 2008-09-02 Zoom Information Systems Centralized facility and intelligent on-board vehicle platform for collecting, analyzing and distributing information relating to transportation infrastructure and conditions
US9813436B2 (en) * 2006-05-16 2017-11-07 Lear Corporation Method for vehicle intrusion detection with electronic control unit
WO2010144815A2 (en) * 2009-06-11 2010-12-16 Panasonic Avionics Corporation System and method for providing security aboard a moving platform
EP2609565A4 (en) * 2010-08-27 2016-05-04 Zonar Systems Inc METHOD AND DEVICE FOR VEHICLE REMOTE DIAGNOSIS
US9226741B2 (en) 2012-01-09 2016-01-05 Covidien Lp Triangulation methods with hollow segments
EP3358800B1 (en) * 2014-01-06 2021-10-20 Argus Cyber Security Ltd Bus watchman
CN110406485B (zh) * 2014-04-17 2023-01-06 松下电器(美国)知识产权公司 非法检测方法及车载网络系统
EP3142291B1 (en) * 2014-05-08 2019-02-13 Panasonic Intellectual Property Corporation of America On-vehicle network system, fraud-detection electronic control unit, and method for tackling fraud
US9843594B1 (en) * 2014-10-28 2017-12-12 Symantec Corporation Systems and methods for detecting anomalous messages in automobile networks
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US11252180B2 (en) * 2015-06-29 2022-02-15 Argus Cyber Security Ltd. System and method for content based anomaly detection in an in-vehicle communication network
WO2017024078A1 (en) * 2015-08-03 2017-02-09 Icon Labs A method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
JP6649215B2 (ja) * 2015-12-14 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
RU2634209C1 (ru) * 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
US10616259B2 (en) * 2017-01-17 2020-04-07 Nio Usa, Inc. Real-time network vulnerability analysis and patching
US10498749B2 (en) * 2017-09-11 2019-12-03 GM Global Technology Operations LLC Systems and methods for in-vehicle network intrusion detection
US10686815B2 (en) * 2017-09-11 2020-06-16 GM Global Technology Operations LLC Systems and methods for in-vehicle network intrusion detection
CN107454107B (zh) * 2017-09-15 2020-11-06 中国计量大学 一种检测注入式攻击的控制器局域网汽车总线报警网关
CN108111510A (zh) * 2017-12-20 2018-06-01 北京航空航天大学 一种车内网络入侵检测方法及系统
US10887349B2 (en) * 2018-01-05 2021-01-05 Byton Limited System and method for enforcing security with a vehicle gateway
US20190281052A1 (en) * 2018-03-08 2019-09-12 Auton, Inc. Systems and methods for securing an automotive controller network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180004964A1 (en) * 2012-03-29 2018-01-04 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
US20150113638A1 (en) * 2013-10-23 2015-04-23 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
CN106059987A (zh) * 2015-04-17 2016-10-26 现代自动车株式会社 车载网络入侵检测系统及其控制方法
US20170270291A1 (en) * 2016-03-17 2017-09-21 Denso Corporation Information processing system

Also Published As

Publication number Publication date
JP2019194831A (ja) 2019-11-07
RU2018111476A3 (zh) 2019-09-30
RU2018111476A (ru) 2019-09-30
RU2706887C2 (ru) 2019-11-21
CN110324219B (zh) 2021-08-03
US20190306187A1 (en) 2019-10-03
US11451579B2 (en) 2022-09-20
US11005880B2 (en) 2021-05-11
JP6762347B2 (ja) 2020-09-30
US20210258339A1 (en) 2021-08-19

Similar Documents

Publication Publication Date Title
CN110324219A (zh) 阻断对运输工具的计算机攻击的系统和方法
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
US20210034745A1 (en) Security system and methods for identification of in-vehicle attack originator
US20200186560A1 (en) System and method for time based anomaly detection in an in-vehicle communication network
CN107925600B (zh) 安全处理方法以及服务器
CN110494330B (zh) 车辆监视装置、不正当检测服务器、以及控制方法
EP3148236B1 (en) System and method for controlling access to an in-vehicle communication network
CN112437056B (zh) 安全处理方法以及服务器
EP3547191B1 (en) System and method of generating rules for blocking a computer attack on a vehicle
Stachowski et al. An assessment method for automotive intrusion detection system performance
Dobaj et al. Cybersecurity Threat Analysis, Risk Assessment and Design Patterns for Automotive Networked Embedded Systems: A Case Study.
EP3547192B1 (en) System and method of blocking a computer attack on a means of transportation
Möller et al. Automotive cybersecurity
Campo et al. Real-Time Network Defense of SAE J1939 Address Claim Attacks
Iclodean et al. Safety and cybersecurity
Hamad A multilayer secure framework for vehicular systems
Sharma et al. An Extended Survey on Vehicle Security
Govindarasu et al. On the Performance of Detecting Injection of Fabricated Messages into the CAN Bus
Karray Cyber-security of connected vehicles: contributions to enhance the risk analysis and security of in-vehicle communications
JP2023122638A (ja) 車両のソフトウェアの改竄の軽減
Caberto et al. Securing Controller Area Networks in Vehicles Via Packet Switched Network Segregation
Hirnschal Securing Electronic Control Units against emerging vehicle technology threats

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant