CN110784440A - 用于识别计算机网络中的不规律性的方法和装置 - Google Patents
用于识别计算机网络中的不规律性的方法和装置 Download PDFInfo
- Publication number
- CN110784440A CN110784440A CN201910688184.8A CN201910688184A CN110784440A CN 110784440 A CN110784440 A CN 110784440A CN 201910688184 A CN201910688184 A CN 201910688184A CN 110784440 A CN110784440 A CN 110784440A
- Authority
- CN
- China
- Prior art keywords
- message
- node
- recorded
- computer network
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000007246 mechanism Effects 0.000 claims abstract description 34
- 238000004590 computer program Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 11
- 238000001514 detection method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
用于识别计算机网络中的不规律性的方法和装置。用于识别计算机网络(20)中的不规律性的方法(10),其特征在于以下特征:‑通过所述计算机网络(20)所传输的消息(11,12)由所述计算机网络(20)的节点(22)接收或记录;‑根据至少所述消息(11,12),通过所述节点(22)的识别机制(16)来检验(13)是否出现所述不规律性;和‑根据所述识别机制(16)的预先给定的识别规则,要么确认要么反驳(14)所述不规律性的出现。
Description
技术领域
本发明涉及一种用于识别计算机网络中的不规律性的方法。本发明此外涉及一种相应的装置、一种相应的计算机程序以及一种相应的存储介质。
背景技术
在IT安全性中将每个用于识别针对计算机系统或计算机网络的攻击的系统都称为攻击识别系统(intrusion detection system(入侵检测系统),IDS)。根据现有技术的IDS常常利用由面向状态的分组检测(Paketüberprüfung)、模式比对(Musterabgleich)和对不规律性(异常)的识别组成的组合。
DE102016221378A1涉及一种用于保护设备免遭信息技术攻击的方法,其中由至少一个设备接收的数据通过由该设备所包括的攻击识别系统在信息技术攻击方面被检验,并且对于所接收的数据被分配给信息技术攻击的情况,关于信息技术攻击的特征数据被存储在该设备中并且通过通信接口被传输给与大量设备处于通信连接的装置,并且其中该装置对由该设备所传输的特征数据进行评估并且根据至少一个预给定的标准来将警告通知输出给与该装置处于通信连接的设备的至少一部分。
发明内容
本发明提供根据独立权利要求的一种用于识别计算机网络中的不规律性的方法、一种相应的装置、一种相应的计算机程序以及一种相应的存储介质。
接下来提出的解决方案基于如下认识:现有的用于汽车的攻击识别系统通常基于集中式的方案。典型地,IDS组件被设置在中央网关上并且监控通过该网关的网络流量。这种IDS系统的缺点在于,所述IDS系统能够考虑的信息被限制于网络消息及其内容。例如,电子控制单元(electronic control unit (电子控制单元),ECU)的内部状态对于中央的IDS并不已知,其中所述电子控制单元与相应的现场总线或网络连接。
所提出的方案因此基于如下基本思想:分布式的IDS将会能够比集中式的IDS识别出更多的异常。
这种解决方案的优点在于经改善的IDS识别率以及因此异常识别的有效性。该解决方案因此开创了用于分布式的攻击识别的场景和适当机制,所述场景和适当机制使得能够识别如下异常,现有解决方案、例如典型的集中式IDS并不能够或者仅能够以小概率识别出所述异常。
通过在从属权利要求中所列举的措施,在独立权利要求中所说明的基本思想的有利的扩展方案和改善方案是可能的。因此可以规定:通过该计算机网络所传输的消息能够通过各个终端设备来记录或者接收。传统的中央IDS不拥有对这些单个节点、例如单个ECU的内部状态的认识,其中所述这些单个节点与车辆内部网络连接。此外,中央IDS由于现场总线规定而不具有确定消息的实际来源的简单可能性。因此,原则上不可能、至少仅非常繁琐地并且昂贵地在使用中央IDS的情况下检测到能够利用所提出的机制识别的异常。换言之,接下来描述的检测机制允许检测异常,这些异常在使用根据现有技术的已有方案的情况下不可能或者至少仅非常困难地或者昂贵地被检测到。
附图说明
本发明的实施例在附图中被示出并且在接下来的描述中进一步予以阐述。其中:
图1示出车辆内部的现场总线的抽象模型。
图2示出针对第一异常的识别机制。
图3 示出针对第一异常的识别过程。
图4 示出针对第二异常的识别机制。
图5 示出针对第二异常的识别过程。
图6 示出针对第三异常的识别机制。
图7 示出针对第三异常的识别过程。
图8 示出针对第四异常的识别机制。
图9示出针对第四异常的识别过程。
图10示出针对第五异常的识别机制。
图11示出针对第五异常的识别过程。
具体实施方式
图1图解典型的车辆内部的现场总线(20)的抽象模型。圆(22)表示节点i∈I,所述节点利用总线(20)连接,例如ECU。这些组件(20)可以接收、处理和传输消息。矩形示出的节点(21)表示网关或域控制器,其与车辆的其他部分网络连接并且可能具有外部接口、如ODB-II或蓝牙。
在常规的分布式的电气-电子(E/E)架构中,矩形节点(21)典型地充当交换设备(switch(交换机)),该交换设备实现在不同总线上的ECU之间的通信。对于较新的跨域的中央架构,矩形示出的节点(21)可表示域控制器,该域控制器履行经由交换进入的消息所发出的任务并且尤其是可以主动地参与现场总线(20)内的通信。通常,集中式的IDS可在该网关或域控制器(21)上被实施。
相反,在根据本发明的实施方式的IDS中,该攻击识别被分配到多个节点(22)上。在现场总线(20)中,所有这些节点(22)划分物理连接。因此,每个节点(22)都看见通过该总线j所传输的全部消息Mj。此外,如果Ti表示由节点i所发送的消息并且Si表示其内部状态,那么所提出的IDS因此拥有信息Mj×Ti×Si,而对于中央IDS而言则仅可已知分别所记录的消息Mj。
如从这些实施方式所能获知的,分布式的IDS为了其决策而拥有比集中式的IDS更多的信息。尤其是,由相应节点i已发送的消息Ti、其之前状态的序列以及i的当前状态只有i自己已知并且因此仅在分布式的IDS中可用。接下来描述的方案所基于的认识在于:由Ti和Si所体现的信息改善异常识别的有效性并且因此应当通过IDS来被使用。
接下来是对所提出的机制的详细描述。每个描述由四部分组成:对正常运行的描述、对异常的描述、对识别机制的描述和对其对于相应场景的具体优点的描述。第一部分描述在不存在异常的情况下的系统行为。第二部分提供以这种方式能够识别的异常的详细描述。第三部分描述如何能够检测所述异常,并且研究了为了识别出所述异常,必须评估哪种信息。最后,第四个且最后一个部分将所提出的识别机制与典型的集中式IDS的识别能力相比较并且遵循如下目标:将这两个方案进行比较并且标识所提出的机制特别出众的优点。
第一机制基于如下观察:在节点i处于特定的状态s,s’,…中期间,特定的消息r,r’,…在正常运行中从不被该节点i接收。例如节点i可具有反应本地信息的状态。这意味着,Si可包括如下状态,所述状态并不能从通过总线(20)所传输的消息、从中央网关或域控制器(21)或其他节点(22)(例如其他ECU)的状态推导出来。然而,在这些状态中可难以置信的是,接收到所述消息r,r’,…中的一个或多个。在该节点i处于状态s,s’,…之一期间,如果一个或多个消息r,r’,…被接收,就可因此发现不规律性。
相应的识别机制在图2中示出。机制(16)实现异常识别规则(31),该异常识别规则说明:特定的组合(r,s),(r ’,s’),…不被允许,并且该异常识别规则监控消息Ri以及i的内部状态s∈Si(17),其中消息Ri由节点i接收(11)。异常识别的过程(10)在图3中示出。
第二机制基于如下认识:能够由多个授权的发送方(21、22)、例如多个ECU来传输一些消息m。然而因为这些不同的发送方m以总系统(20)的不同状态来进行发送,对m的应答在个别情况下取决于谁是相应的发送方。作为示例考虑两个节点i和i’,例如ECU,这两个都是诊断通知m的认可的发送方。只有在车辆移动时节点i才发送m,而只有在车辆不移动时节点i’才发送m。此外假设,在m发送的情况下,另一节点(22)以消息r来应答,其中该消息尤其是包含车辆的速度。
如果在消息m发送之后,认可的发送方(22)这样记录应答r,使得r的一个或多个特性(例如特定CAN信号的值)并不相应于对于正常运行而言所期望的值范围,则因此可存在不规律性。
相应的识别机制在图4中被示出。该机制(16)实现异常识别规则(32),所述异常识别规则(32)说明:何时i总是传送m(15)并且接收r作为应答(11),r必须满足特定标准。异常识别的该过程(10)在图5中被示出。
第三机制由如下论断得出:只要是i在所规定的状态s,s’,…∈Si之一中,一个或多个消息m,m’,…就从不被与i不同的节点(22)发送。作为示例假设,存在两个节点i,i’(例如ECU)来发送消息m,这两个节点是授权的。然而,当节点i处于状态s中期间,该节点是唯一的认可的发送方。这意味着,全局的车辆状态隐含:如果i处在状态s中,则另一节点i’在正常的运行条件下就从不发送消息m。
如果在i处在状态s中期间,节点i记录了特定的消息m,则因此可表示出不规律性。这可在如下程度上是异常:根据上面的定义,在i处于状态s期间,除了i以外的其他节点(例如其他ECU)不允许发送消息m。
相应的识别机制在图6中示出。该机制(16)实现识别规则(33),该识别规则说明,在i自身并不曾发送消息并且其当前状态是s期间(17),如果节点(22)记录了通过总线(20)所发送的消息m(12),则表示出异常。该异常识别的过程(10)在图7中被示出。
第四机制基于如下认识:如果在节点i处于状态s中期间,该节点i发送了消息ti,则特定的消息m,m’,…仅能够在总线(20)上被记录或者被i接收。例如假设,存在消息m,该消息由节点(22)、例如ECU来发送。在i处于特定状态s中期间,如果m作为对节点i的消息ti的应答或者出于其他原因在所述消息ti之后被传输,则期望的是:该消息m具有一个或多个明确的特性。例如期望的是,一个或多个通过m所传输的信号的值处在特定的范围之内。
可在如下程度上看出其中的不规律性:该节点i在以状态s发送消息t之后接收到或记录消息m,该消息m违背所描述的特性中的一个或多个。
相应的识别机制在图8中被示出。该机制(16)实现异常识别规则(34),该异常识别规则说明:在节点i处在状态s中期间(17),如果节点i已发送了消息ti(18),并且已接收或记录了消息(11,12),所述消息违背一个或多个所期望的特性,则这应被视为异常。异常识别的过程(10)在图9中被示出。
最终,第五机制从如下假设出发:在节点i处在特定状态s,s’,…∈Si中期间,特定的消息m,m’…从不在总线(20)上被观察到。如果例如节点i的状态隐含车辆并不移动,则不应发起改变行驶动态的消息的记录。
在该背景下,不规律性可表现在于,在节点i处在状态s,s’,…∈Si之一中期间,由该节点i记录一个或多个消息m,m’,…。
相应的识别机制在图10中被示出。该机制(16)实现异常识别规则(35),该异常识别规则说明:特定的组合(m,s),(m’,s’)不被允许,并且该异常识别规则监控消息m∈Mj以及i的内部状态s∈Si(17),所述消息通过总线j被传输(12)。该异常识别的过程(10)在图11中被示出。
在该方法(10)的可能的扩展方案中,上面阐述的机制(16)中考虑了状态信息s∈Si(17)的那些机制如下地被改善:考虑多个相继的状态。在以下实施方案的范围中,si t表示节点i(例如在相应的时钟周期中)在时间点t的状态,其中在该时间点出现异常。上面描述的机制(16)根据该定义仅考虑所述状态si t。为了进一步改善异常识别率并且可能地减小假错误率(Falsh-positiv-Rate),可设想的是考虑k个之前的状态si t-k,si t-k+1,…, si t-1。对这些较早的状态的考虑虽然要求更多的存储器来用于攻击识别,但也提高了检测效率。
这种方法(10)可以例如以软件或硬件或者以由软件和硬件组成的混合形式例如在控制设备(22)中实现。
Claims (10)
1.用于识别计算机网络(20)中的不规律性的方法(10),
其特征在于以下特征:
- 通过所述计算机网络(20)所传输的消息(11,12)由所述计算机网络(20)的节点(22)接收或记录;
- 根据至少所述消息(11,12),通过所述节点(22)的识别机制(16)来检验(13)是否出现所述不规律性;和
- 根据所述识别机制(16)的预先给定的识别规则,要么确认要么反驳(14)所述不规律性的出现。
2.根据权利要求1所述的方法(10),
其特征在于以下特征:
- 所述计算机网络(20)包括交换设备(21)和终端设备(22);和
- 所述节点(22)是所述终端设备(22)之一。
3.根据权利要求1或2所述的方法(10),
其特征在于以下特征:
- 所述消息(11)被接收;
- 另外根据所述节点(22)的至少一个当前的状态(17)来进行所述检验(13);和
- 所述识别规则(31)涉及所接收的消息(11)和所述状态(17)的特殊的值组合。
4.根据权利要求1或2所述的方法(10),
其特征在于以下特征:
- 所述消息(11)根据所述节点(22)的要求(15)被接收;和
- 所述识别规则(32)涉及对所述要求(15)的所期望的反应。
5.根据权利要求1或2所述的方法(10),
其特征在于以下特征:
- 所述消息(12)被记录;
- 所述检验(13)此外根据所述节点(22)的至少一个当前的状态(17)来进行;和
- 所述识别规则(33)涉及所记录的消息(12)和所述状态(17)的特殊的值组合。
6.根据权利要求1或2所述的方法(10),
其特征在于以下特征:
- 在所述节点(22)已经以特定状态(17)发送了较早的消息(18)之后,所述消息(11,12)被接收或记录;和
- 所述识别规则(34)涉及所述较早的消息(18)、所接收的或所记录的消息(11,12)和所述状态(17)的特殊的值组合。
7.根据权利要求1或2所述的方法(10),
其特征在于以下特征:
- 所述消息(12)被记录;
- 所述检验(13)此外根据所述节点(22)的至少一个当前的状态(17)来进行;和
- 所述识别规则(35)涉及所记录的消息(12)和所述状态(17)的特殊的值组合。
8.计算机程序,所述计算机程序被设立用于,实施根据权利要求1至7中任意一项所述的方法(10)。
9.机器可读的存储介质,根据权利要求8所述的计算机程序被存储在所述机器可读的存储介质上。
10.装置(22),所述装置被设立用于,实施根据权利要求1至7中任意一项所述的方法(10)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102018212657.7 | 2018-07-30 | ||
DE102018212657.7A DE102018212657A1 (de) | 2018-07-30 | 2018-07-30 | Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110784440A true CN110784440A (zh) | 2020-02-11 |
CN110784440B CN110784440B (zh) | 2024-07-05 |
Family
ID=
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100014432A1 (en) * | 2008-07-21 | 2010-01-21 | Palo Alto Research Center Incorporated | Method for identifying undesirable features among computing nodes |
US20160261482A1 (en) * | 2015-03-04 | 2016-09-08 | Fisher-Rosemount Systems, Inc. | Anomaly detection in industrial communications networks |
CN106170953A (zh) * | 2014-04-17 | 2016-11-30 | 松下电器(美国)知识产权公司 | 车载网络系统、不正常检测电子控制单元以及不正常检测方法 |
CN106209870A (zh) * | 2016-07-18 | 2016-12-07 | 北京科技大学 | 一种针对分布式工业控制系统的网络入侵检测系统 |
CN106537872A (zh) * | 2014-07-18 | 2017-03-22 | 德国电信股份有限公司 | 用于检测计算机网络中的攻击的方法 |
CN107431709A (zh) * | 2015-03-30 | 2017-12-01 | 大众汽车有限公司 | 攻击识别方法、攻击识别装置和用于汽车的总线系统 |
CN108028784A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 不正常检测方法、监视电子控制单元以及车载网络系统 |
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100014432A1 (en) * | 2008-07-21 | 2010-01-21 | Palo Alto Research Center Incorporated | Method for identifying undesirable features among computing nodes |
CN106170953A (zh) * | 2014-04-17 | 2016-11-30 | 松下电器(美国)知识产权公司 | 车载网络系统、不正常检测电子控制单元以及不正常检测方法 |
CN106537872A (zh) * | 2014-07-18 | 2017-03-22 | 德国电信股份有限公司 | 用于检测计算机网络中的攻击的方法 |
US20160261482A1 (en) * | 2015-03-04 | 2016-09-08 | Fisher-Rosemount Systems, Inc. | Anomaly detection in industrial communications networks |
CN107431709A (zh) * | 2015-03-30 | 2017-12-01 | 大众汽车有限公司 | 攻击识别方法、攻击识别装置和用于汽车的总线系统 |
CN108028784A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 不正常检测方法、监视电子控制单元以及车载网络系统 |
CN106209870A (zh) * | 2016-07-18 | 2016-12-07 | 北京科技大学 | 一种针对分布式工业控制系统的网络入侵检测系统 |
Also Published As
Publication number | Publication date |
---|---|
US20200036738A1 (en) | 2020-01-30 |
DE102018212657A1 (de) | 2020-01-30 |
US11178162B2 (en) | 2021-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7280082B2 (ja) | 不正検知方法、不正検知装置及びプログラム | |
US10693905B2 (en) | Invalidity detection electronic control unit, in-vehicle network system, and communication method | |
US20180115575A1 (en) | Attack detection method, attack detection device and bus system for a motor vehicle | |
WO2022088160A1 (zh) | 异常检测方法及装置 | |
JP7182559B2 (ja) | ログ出力方法、ログ出力装置及びプログラム | |
JP2018026791A (ja) | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム | |
US10523462B2 (en) | Communication network for transmission of messages | |
US11843477B2 (en) | Anomaly determination method, anomaly determination device, and recording medium | |
US20180255072A1 (en) | Communication device | |
CN111448787A (zh) | 用于提供安全的车载网络的系统及方法 | |
JP7113238B2 (ja) | 電子制御装置、電子制御システムおよびプログラム | |
US20220311781A1 (en) | Selection method, selection system, and recording medium | |
CN111108725A (zh) | 用于监视通信总线上的通信的方法和用于连接到通信总线的电子设备 | |
US11178162B2 (en) | Method and device for detecting anomalies in a computer network | |
JP2017017608A (ja) | 通信方法およびそれを利用した通信装置 | |
CN113169966B (zh) | 用于监控数据传输系统的方法、数据传输系统和机动车 | |
JP6527647B1 (ja) | 不正検知方法、不正検知装置及びプログラム | |
CN110784440B (zh) | 用于识别计算机网络中的不规律性的方法和装置 | |
JP2017050719A (ja) | 車載ネットワークシステム | |
KR101570711B1 (ko) | 차량용 게이트웨이, 차량용 게이트웨이의 mcu 불능 시 진단통신 방법 및 차량용 게이트웨이의 리프로그램 방법 | |
JP7512473B2 (ja) | 不正検知方法、不正検知装置及びプログラム | |
US20230013980A1 (en) | Frame invalidation in bus system via receive line | |
Appajosyula et al. | Review on CAN Bus Protocol: Attacks, Difficulties, and Potential Solutions | |
KR20220082550A (ko) | 차량 | |
CN117544410A (zh) | Can总线攻击类型的确定方法、处理器及计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |