CN111344192B - 禁用恶意电子控制单元的系统、方法和计算机程序产品 - Google Patents

禁用恶意电子控制单元的系统、方法和计算机程序产品 Download PDF

Info

Publication number
CN111344192B
CN111344192B CN201780093990.XA CN201780093990A CN111344192B CN 111344192 B CN111344192 B CN 111344192B CN 201780093990 A CN201780093990 A CN 201780093990A CN 111344192 B CN111344192 B CN 111344192B
Authority
CN
China
Prior art keywords
error
malicious
electronic control
bits
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780093990.XA
Other languages
English (en)
Other versions
CN111344192A (zh
Inventor
T.吉拉德
S.罗森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Red Bend Ltd
Original Assignee
Red Bend Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Red Bend Ltd filed Critical Red Bend Ltd
Publication of CN111344192A publication Critical patent/CN111344192A/zh
Application granted granted Critical
Publication of CN111344192B publication Critical patent/CN111344192B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Small-Scale Networks (AREA)

Abstract

提供了一种计算机实施的禁用与控制器局域网(CAN)总线网络通信的多个电子控制单元(ECU)中的恶意ECU的方法,所述方法由与所述多个ECU和所述CAN总线网络通信的计算装置执行,所述方法包括:检测由所述恶意ECU通过所述CAN总线网络传输的恶意消息,并且通过所述CAN总线网络注入多个位以触发预定义的多个错误,以在所述恶意ECU进行附加尝试重新传输所述恶意消息的附加实例之前,禁用所述恶意ECU。

Description

禁用恶意电子控制单元的系统、方法和计算机程序产品
技术领域
一些实施方案涉及恶意活动的管理,并且更具体地,但非排他性地,涉及任选地在车辆内实施的控制器局域网(CAN)总线网络内的恶意活动的管理。
背景技术
过去二十年已见证了电子系统在车辆中实施的巨大增长。这些系统被设计成控制和/或监测车辆操作的许多方面,例如,发动机操作、驾驶辅助模块、转向控制、车门打开和锁定、速度传感器、灯光控制、安全机构(例如,ABS制动器、安全气囊等)等。基于CAN总线定义实施连接在车辆电子控制单元(ECU)之间的通信手段和软件协议。CAN总线定义了在不同ECU之间传输数据的方式。
根据CAN总线定义连接的ECU易于受到恶意活动的攻击。例如,怀有恶意的黑客可以经由CAN总线控制由一个或多个ECU实施的一个或多个车辆特征。此外,将外部通信系统连接到车辆诸如移动通信以及多媒体网络增加了车辆系统对来自外部攻击的易感性。怀有恶意的人可能会干扰CAN通信,并且传输错误的通信帧或错误的错误帧,以试图改变至少一个ECU的反应。以下事实造成另一弱点,几乎所有可能的总线消息、它们各自的结构以及通信协议都在公开可用的文档中指定。
发明内容
根据第一方面,一种计算机实施的禁用与控制器局域网(CAN)总线网络通信的多个电子控制单元(ECU)中的恶意ECU的方法,该方法由与多个ECU和CAN总线网络通信的计算装置执行,包括:检测由恶意ECU通过CAN总线网络传输的恶意消息,并且通过CAN总线网络注入多个位以触发预定义的多个错误,以在该恶意ECU进行附加尝试重新传输恶意消息的附加实例之前,禁用该恶意ECU。
根据第二方面,一种禁用与控制器局域网(CAN)总线网络通信的多个电子控制单元(ECU)中的恶意ECU的系统包括:非暂时性存储器,其上存储有由与多个ECU和CAN总线网络通信的计算装置的至少一个硬件处理器执行的代码,该代码包括:用于检测由恶意ECU通过CAN总线网络传输的恶意消息的代码,以及用于通过CAN总线网络注入多个位以触发预定义的多个错误,以在该恶意ECU进行附加尝试重新传输恶意消息的附加实例之前,禁用该恶意ECU的代码。
根据第三方面,一种禁用与控制器局域网(CAN)总线网络通信的多个电子控制单元(ECU)中的恶意ECU的计算机程序产品包括:非暂时性存储器,其上存储有由与多个ECU和CAN总线网络通信的计算装置的至少一个硬件处理器执行的代码,该代码包括:用于检测由恶意ECU通过CAN总线网络传输的恶意消息的指令,以及用于通过CAN总线网络注入多个位以触发为在该恶意ECU进行附加尝试重新传输恶意消息的附加实例之前禁用该恶意ECU而生成的预定义的多个错误的指令。
本文描述的系统、方法和/或代码指令涉及基于CAN总线的网络(例如,安装在基于道路的车辆内的网络)抵御恶意活动的安全性。CAN被设计为一种不提供自身安全性和/或自身加密标准的低等级协议。特别涉及阻止恶意ECU在CAN总线网络上进一步重新传输恶意消息。实施方案还可以涉及减少由计算装置通过CAN总线网络传输的用于禁用ECU的位和/或消息的数量(例如,将恶意ECU的错误计数器增加到超过错误阈值,使得恶意ECU进入总线断开状态,在该状态中,不再允许恶意ECU通过CAN总线网络传输任何数据)。
本文所述的系统、方法和/或代码指令涉及检测CAN总线网络(例如,安装在车辆中)内的恶意活动,例如,试图将自身安装在与CAN总线网络通信的部件(例如,ECU)内的恶意代码、试图访问与CAN总线网络通信的一个或多个部件(例如,ECU)的恶意代码和/或由人类经由CAN总线网络执行的手动恶意活动。检测该恶意活动有助于保持经净化的车辆网络。恶意活动检测是与计算机技术和/或网络技术密不可分的概念。
本文所述的系统、方法和/或代码指令提高了安装有CAN总线网络的车辆的性能(例如,阻止数据进入车辆而遭受恶意活动,保持车辆安全),提高了与CAN总线网络通信的一个或多个ECU的性能(例如,阻止恶意活动损坏ECU,阻止由于恶意活动而使处理器使用量和/或存储器增加),和/或提高了该CAN总线网络的性能(例如,阻止由于恶意活动而使网络性能降低,和/或可用带宽减少,和/或数据传输时间增加)。性能的提高是通过保持经净化CAN总线网络和/或经净化ECU来实现的。受到恶意活动不利影响的ECU和/或CAN总线网络可能经历处理器性能下降、可用存储器减少、网络性能和/或可用网络带宽下降。
特别地,如本文以附加细节描述的,本文所述的系统、方法和/或代码指令在恶意ECU被禁用通过CAN总线网络传输数据(例如,恶意ECU的状态被改变为总线断开)之前,阻止该恶意ECU通过CAN总线网络重新传输恶意消息。例如,基于下面以附加细节描述的其他方法,恶意ECU每次通过CAN总线网络传输恶意消息触发缓和ECU(和/或其他计算装置)注入错误(例如,位填充错误)。注入的错误触发恶意ECU发送错误标志,并且针对每个注入的错误,增加恶意ECU的传输错误计数器的值(例如,增加8)。本文所述的系统、方法和/或代码指令通过触发恶意ECU中的多个错误使得恶意ECU被禁用,来阻止在恶意消息重新传输之前迭代恶意消息的重新传输和错误的重新注入的过程。
减少恶意消息的重新传输,降低了重新传输的恶意消息中的一个逃脱检测并能够恶意地影响一个或多个ECU和/或其他车辆部件的风险。
本文所述的系统、方法和/或代码指令通过保持经净化网络不受恶意活动不利影响来提高车辆自身的性能。具有经净化网络的车辆能够正确运行,提供所设计的特征,例如安全特征和/或道路导航特征。受到恶意活动不利影响的车辆可能失灵,可能导致车辆故障、事故和导航错误。
在第一、第二和第三方面的另一实现形式中,由恶意ECU的至少一个错误计数器存储的当前错误计数值响应于触发预定义的多个错误而增加到超过表示禁用恶意ECU的错误阈值。
在第一、第二和第三方面的另一实现形式中,当前错误计数值和错误阈值之间的差值大于错误计数器响应于单个生成的错误而将当前错误计数值增加的值。
在第一、第二和第三方面的另一实现形式中,根据错误阈值除以当前错误计数值响应于生成单个错误而增加的量来计算多个错误的预定义数量。
在第一、第二和第三方面的另一实现形式中,当错误阈值为255并且当当前传输错误计数值响应于生成单个错误而增加8时,多个错误的预定义数量为32。
在第一、第二和第三方面的另一实现形式中,所注入的位被设计成触发选自包括由以下项组成的组的以下错误中的一个或多个:位填充、位错误、循环冗余校验(CRC)、监测、帧和应答错误。
在第一、第二和第三方面的另一实现形式中,预定义数量的多个错误由多个注入会话触发,其中响应于检测到附加的错误而触发每个位注入会话。
在第一、第二和第三方面的另一实现形式中,多个注入会话中的第一注入会话包括注入位以触发第一错误和传输第一错误标志,其中恶意ECU的至少一个错误计数器所存储的当前错误计数值根据第一错误标志的传输而增加,并且该方法还包括以下项和/或该系统还包括用于以下项的代码和/或计算机程序产品包括用于以下项的附加指令:中断存储第一错误标志的错误帧并注入位作为用于操纵错误帧的形式以触发形式错误的附加的位注入会话,其中该形式错误触发另一错误标志的传输,另一错误标志的传输触发对由恶意ECU的至少一个错误计数器存储的当前错误计数值的另一增加,对附加的错误帧的中断和位的注入作为用于操纵错误帧的形式的附加的位注入会话进行迭代,以在每次迭代时触发形式错误形式的传输和当前错误计数值的相应增加,其中相应地执行多次迭代,以生成预定义数量的多个错误,以供禁用恶意ECU。
在第一、第二和第三方面的另一实现形式中,操纵错误帧的形式包括:传输单个显性位,代替传输错误帧的错误定界符字段的预期的至少一个隐性位。
在第一、第二和第三方面的另一实现形式中,在不操纵错误帧的形式的情况下执行中断错误帧的最后一次迭代。
在第一、第二和第三方面的另一实现形式中,第一错误包括填充错误,并且注入6个显性位来触发该填充错误。
在第一、第二和第三方面的另一实现形式中,注入多个位包括:在单个会话中注入多个位,作为以下项的显性位的连续流:第一预定义数量的连续显性位,并且注入第二预定义数量的连续集合,每个集合为第三预定义数量的显性位,接着是隐性定界符的第四预定义数量的有效位和第五预定义数量的隐性位间歇。
在第一、第二和第三方面的另一实现形式中,第一预定义数量的连续显性位包括14个显性位,第二预定义数量的连续集合包括31个连续集合,第三预定义数量的显性位包括8个显性位,第四预定义数量的有效位包括有效的8位隐性定界符,并且第五预定义数量的隐性位间歇包括3位隐性间歇。
在第一、第二和第三方面的另一实现形式中,由恶意ECU的至少一个错误计数器存储的当前错误计数值从0增加到256。
在第一、第二和第三方面的另一实现形式中,响应于恶意ECU检测到第一预定义数量的连续显性位,并且响应于检测到第二预定义数量的附加的第三预定义数量的连续显性位的每个序列,恶意ECU的至少一个错误计数器存储的当前错误计数值增加。
在第一、第二和第三方面的另一实现形式中,在传输主动错误标志之后,恶意ECU检测到第一预定义数量的连续显性位。
在第一、第二和第三方面的另一实现形式中,在检测到在被动错误标志之后的第六预定义数量的连续显性位之后,恶意ECU检测到第一预定义数量的连续显性位。
在第一、第二和第三方面的另一实现形式中,第六预定义数量的连续显性位表示在被动错误标志之后的第8连续显性位。
在第一、第二和第三方面的另一实现形式中,在车辆中实施恶意ECU、CAN总线网络、多个ECU以及计算装置。
在第一、第二和第三方面的另一实现形式中,将计算装置实施为与恶意ECU和CAN总线网络通信的独立部件。
在第一、第二和第三方面的另一实现形式中,将计算装置实施为多个ECU中的一个或多个,其中代码指令安装在多个ECU中的相应一个或多个的本地存储器上,以供多个ECU中相应的一个或多个的硬件处理器执行。
除非另有定义,否则本文使用的所有技术术语和/或科学术语具有与一些实施方案所属领域的普通技术人员通常理解的含义相同的含义。虽然类似于或等同于本文所述的那些的方法和材料可以用于实践或测试各实施方案,但在下文中描述示例性方法和/或材料。如有冲突,则以包括定义的专利说明书为准。另外,材料、方法和示例仅是说明性的,并不一定旨在是限制性的。
附图说明
本文参考附图仅以示例的方式描述了一些实施方案。现在具体参考详细附图,强调所示的细节是示例性的,并且用于实施方案的说明性讨论。在这方面,结合附图进行的描述使本领域技术人员明白可以如何实践实施方案。
在附图中:
图1是根据一些实施方案的禁用与CAN总线网络和一个或多个其他ECU通信的恶意ECU的方法的流程图;
图2是根据一些实施方案的包括禁用与CAN总线网络和一个或多个合法ECU通信的恶意ECU的计算单元的系统的部件的框图;
图3是根据一些实施方案的禁用恶意ECU的方法的示例性实现方案的流程图;并且
图4是根据一些实施方案的禁用恶意ECU的方法的另一示例性实现方案的流程图。
具体实施方式
一些实施方案涉及恶意活动的管理,并且更具体地,但非排他性地,涉及任选地在车辆内实施的控制器局域网(CAN)总线网络内的恶意活动的管理。
一些实施方案的一个方面涉及用于在检测到由恶意ECU通过CAN总线网络传输的恶意消息时禁用该恶意ECU的系统、设备、方法和/或代码指令(存储在数据存储装置中,可由一个或多个硬件处理器执行)。恶意ECU被计算装置(例如,缓和ECU)禁用,该计算装置通过CAN总线网络传输预定义序列的位。响应于所注入的位,生成预定义数量的错误。响应于所生成的预定义数量的错误,该恶意ECU被禁用通过CAN总线网络传输数据。预定义数量的错误耗尽了恶意ECU重新传输机制。在该恶意ECU进行附加尝试重新传输恶意消息的附加实例之前,该恶意ECU被禁用。
任选地,该恶意ECU的传输错误计数器的值响应于ECU所生成的错误而增加到超过错误阈值的值。当传输错误计数器值提高到超过错误阈值时,该恶意ECU被阻止通过CAN总线传输恶意数据(和一般数据)。
除了恶意消息的第一实例(被检测到并触发禁用恶意ECU的过程)之外,恶意ECU不传输恶意消息的附加实例。在恶意ECU能够传输恶意消息的另一实例之前,该恶意ECU被禁用通过CAN总线网络传输数据。
计算装置注入被选择来触发由恶意ECU生成的两个或更多个错误的位,当错误计数器的当前值和错误阈值之间的差值大于错误计数器响应于单个生成的错误而递增的值时,这些位禁用该恶意ECU。
任选地,预定义数量的错误生成为多个注入会话。响应于检测到附加的错误标志,触发每个位注入会话。注入位(例如,6个显性位)以触发第一错误(例如,填充错误)(至少通过恶意ECU),并且触发第一错误标志的传输(至少通过恶意ECU)。响应于所生成的错误,恶意ECU的传输错误计数器的值增加(例如,增加8)。计算装置中断存储由恶意ECU传输的第一错误标志的错误帧,并且计算装置通过附加的位注入会话的注入来操纵错误帧的形式,以触发通过恶意ECU的形式错误。形式错误触发通过恶意ECU传输另一错误标志。另一错误标志的传输触发恶意ECU的传输错误计数器的另一增加。中断错误帧和操纵错误帧的形式以触发恶意ECU的错误形式传输迭代预定义次数,以触发通过恶意ECU的预定义数量的错误,这相应地将错误计数器的值递增到超过错误阈值,以禁用恶意ECU进一步通过CAN总线网络传输。注意的是,恶意ECU在被禁用通过CAN总线网络进一步传输数据之前,只能通过CAN总线网络传输一次恶意消息。
可选地或附加地,位在单个会话中注入,作为显性位的连续流。注入第一预定义数量的连续显性位(例如,14个),接着注入第二预定义数量的连续集合(例如,31个),每个集合为第三预定义数量的显性位(例如,8个),接着注入隐性定界符的第四预定义数量的有效位(例如,8个),并且注入第五预定义数量的隐性位间歇(例如,3个)。该位序列被设计成触发由恶意ECU生成的预定义数量的错误,并且触发恶意ECU的错误计数值升高到阈值附近,从而禁用该恶意ECU。在该恶意ECU能够通过CAN总线网络重新传输恶意消息之前,禁用该恶意ECU。
本文描述的系统、方法和/或代码指令涉及基于CAN总线的网络(例如,安装在基于道路的车辆内的网络)抵御恶意活动的安全性。CAN被设计为一种不提供自身安全性和/或自身加密标准的低等级协议。特别涉及阻止恶意ECU在CAN总线网络上进一步重新传输恶意消息。实施方案还可以涉及减少由计算装置通过CAN总线网络传输的用于禁用ECU的位和/或消息的数量(例如,将恶意ECU的错误计数器增加到超过错误阈值,使得恶意ECU进入总线断开状态,在该状态中,不再允许恶意ECU通过CAN总线网络传输任何数据)。
本文描述的系统、方法和/或代码指令改进了基于CAN总线的网络的安全性的技术领域内的底层过程,特别是安装在车辆内的基于CAN总线的网络的安全性的技术领域内的底层过程。
本文所述的系统、方法和/或代码指令涉及检测CAN总线网络(例如,安装在车辆中)内的恶意活动,例如,试图将自身安装在与CAN总线网络通信的部件(例如,ECU)内的恶意代码、试图访问与CAN总线网络通信的一个或多个部件(例如,ECU)的恶意代码和/或由人类经由CAN总线网络执行的手动恶意活动。检测该恶意活动有助于保持经净化的车辆网络。恶意活动检测是与计算机技术和/或网络技术密不可分的概念。
本文所述的系统、方法和/或代码指令提高了安装有CAN总线网络的车辆的性能(例如,阻止数据进入车辆而遭受恶意活动,保持车辆安全),提高了与CAN总线网络通信的一个或多个ECU的性能(例如,阻止恶意活动损坏ECU,阻止由于恶意活动而使处理器使用量和/或存储器增加),和/或提高了该CAN总线网络的性能(例如,阻止由于恶意活动而使网络性能降低,和/或可用带宽减少,和/或数据传输时间增加)。性能的提高是通过保持经净化CAN总线网络和/或经净化ECU来实现的。受到恶意活动不利影响的ECU和/或CAN总线网络可能经历处理器性能下降、可用存储器减少、网络性能和/或可用网络带宽下降。
特别地,如本文以附加细节描述的,本文所述的系统、方法和/或代码指令在恶意ECU被禁用通过CAN总线网络传输数据(例如,恶意ECU的状态被改变为总线断开)之前,阻止该恶意ECU通过CAN总线网络重新传输恶意消息。例如,基于下面以附加细节描述的其他方法,恶意ECU每次通过CAN总线网络传输恶意消息触发缓和ECU(和/或其他计算装置)注入错误(例如,位填充错误)。注入的错误触发恶意ECU发送错误标志,并且针对每个注入的错误,增加恶意ECU的传输错误计数器的值(例如,增加8)。本文所述的系统、方法和/或代码指令通过触发恶意ECU中的多个错误使得恶意ECU被禁用,来阻止在恶意消息重新传输之前迭代恶意消息的重新传输和错误的重新注入的过程。
减少恶意消息的重新传输,降低了重新传输的恶意消息中的一个逃脱检测并能够恶意地影响一个或多个ECU和/或其他车辆部件的风险。
本文所述的系统、方法和/或代码指令通过保持经净化网络不受恶意活动不利影响来提高车辆自身的性能。具有经净化网络的车辆能够正确执行,提供所设计的特征,例如安全特征和/或道路导航特征。受到恶意活动不利影响的车辆可能失灵,可能导致车辆故障、事故和导航错误。
本文描述的系统、方法和/或代码指令与物理现实部件相关联,部件包括ECU、提供CAN总线网络的数据传输的物理介质、本文描述的计算装置的硬件处理器以及存储由硬件处理器执行的代码指令的存储器。
本文所述的系统和/或方法提供了一种用于阻止恶意ECU将来通过CAN总线网络传输恶意消息的独特的、特别的和先进的技术。
因此,本文描述的系统和/或方法与安装在车辆内的网络环境和/或计算机技术密不可分。
在详细解释至少一个实施方案之前,应当理解,实施方案的应用不一定局限于在以下描述中阐述的和/或在附图和/或示例中示出的部件和/或方法的构造和布置的细节。能够以各种方式实践或执行其他实施方案。
实施方案可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括在其上具有计算机可读程序指令的一种或多种计算机可读存储介质,该计算机可读程序指令用于使处理器执行各方面。
计算机可读存储介质可以是可保持并存储指令以供指令执行装置使用的有形装置。计算机可读存储介质可以是例如但不限于电子存储装置、磁性存储装置、光学存储装置、电磁存储装置、半导体存储装置或前述的任何合适组合。计算机可读存储介质的更具体示例的非穷尽列表包括以下各项:便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪速存储器)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能光盘(DVD)、记忆棒、软盘、以及前述的任何合适组合。如本文所用的计算机可读存储介质不应被解释为本身是暂时的信号,诸如无线电波或其它自由传播的电磁波、通过波导或其它传输介质传播的电磁波(例如,穿过光纤电缆的光脉冲)、或通过导线传输的电信号。
本文中所描述的计算机可读程序指令可从计算机可读存储介质下载到相应的计算/处理装置,或经由例如互联网、局域网、广域网和/或无线网的网络下载到外部计算机或外部存储装置。该网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理装置中的网络适配器卡或网络接口从网络接收计算机可读程序指令,并且转发该计算机可读程序指令以存储在相应计算/处理装置内的计算机可读存储介质中。
用于执行操作的计算机可读程序指令可以是汇编程序指令、指令集架构(ISA)指令、机器指令、机器相关指令、微码、固件指令、状态设置数据、或者用一种或多种编程语言的任何组合撰写的源代码或目标代码,该编程语言包括诸如Smalltalk、C++等面向对象的编程语言和诸如“C”编程语言或类似编程语言的常规程序性编程语言。计算机可读程序指令可以完全在用户的计算机上执行,部分地在用户的计算机上执行,作为独立的软件包执行,部分地在用户的计算机上且部分地在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种情形中,远程计算机可以通过任何类型的网络连接到用户的计算机,该网络包括局域网(LAN)或广域网(WAN),或者可以连接到外部计算机的连接(例如,通过使用互联网服务提供商的互联网进行的连接)。在一些实施方案中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以个性化电子电路,以便执行各方面。
本文参考根据实施方案的方法、设备(系统)和计算机程序产品的流程图图示和/或框图来描述各方面。将会理解,流程图图示和/或框图的每个方框、以及在流程图图示和/或框图中的方框的组合可以由计算机可读程序指令来实施。
可以将这些计算机可读程序指令提供到通用计算机、专用计算机或其他可编程数据处理设备的处理器以产生机器,使得经由计算机或其他可编程数据处理设备的处理器执行的指令创建用于实施流程图和/或框图的一个或多个方框中指定的功能/动作的装置。也可以将这些计算机可读程序指令存储在计算机可读存储介质中,该计算机可读存储介质可以引导计算机、可编程数据处理设备和/或其他装置以特定方式运行,使得其中存储有指令的计算机可读存储介质包括制品,该制品包括实施流程图和/或框图的一个或多个方框中指定的功能/动作的各方面的指令。
也可以将该计算机可读程序指令加载到计算机、其他可编程数据处理设备或其他装置上,以使得在计算机、其他可编程设备或其他装置上执行一系列的操作步骤,从而产生计算机实施的过程,使得在计算机、其他可编程设备或其他装置上执行的指令实施流程图和/或框图的一个或多个方框中指定的功能/动作。
附图中的流程图和框图示出根据各个实施方案的系统、方法和计算机程序产品的可能的实现方案的架构、功能性和操作。在这方面,流程图或框图中的每个方框可以表示指令的模块、段或一部分,其包括用于实施所指定的逻辑功能的一个或多个可执行指令。在一些可选的实现方案中,方框中提到的功能可以不按附图中提到的顺序发生。例如,连续示出的两个方框实际上可以大致上同时执行,或者这些方框有时可以按相反的顺序执行,这取决于所涉及的功能性。还应注意,框图和/或流程图图示的每个方框以及框图和/或流程图图示中的方框的组合可以由执行指定功能或动作或者实施专用硬件和计算机指令的组合的基于专用硬件的系统来实施。
如本文所使用的,术语恶意ECU指代传输恶意消息的一个或多个ECU。为了清楚,描述了单个恶意ECU的情况。可基于参考单个恶意ECU情况描述的系统和/或方法来禁用多个恶意ECU。表示特定ECU被识别为恶意ECU。
如本文所使用的,术语恶意消息指代通过CAN总线传输的恶意数据,例如,符合CAN总线定义的帧。恶意消息可以包括例如基础帧格式(11位ID)和/或扩展帧格式(由11位标识符(即,基础标识符)和/或18位扩展(标识符扩展)组成的29位ID。术语恶意消息可以包括以下示例性帧类型中的一种或多种:数据帧:包含用于传输的节点数据的帧;远程帧:请求传输特定标识符的帧;错误帧:由检测到错误的任何节点传输的帧;以及过载帧:在数据和/或远程帧之间注入延迟的帧。恶意消息可以由恶意代码执行的自动恶意活动和/或人类(例如黑客、小偷、恐怖分子)执行的手动恶意动作生成。恶意代码的示例包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件、加密软件和勒索软件。恶意代码可以通过注入、通过手动编码和/或其他方法安装为可执行代码、脚本、应用、文件。手动恶意动作的示例包括手动篡改现有数据、安装伪造或假冒数据而不是真实记录的传感器数据以及安装恶意代码。
现在描述ECU根据CAN总线定义进行错误处理的附加细节:
术语CAN,控制器局域网,可以指代具有基于帧的协议的控制器网络,用于在没有主机计算机的情况下装置之间的通信。CAN还可以提供多主机冗余网络,即使某些节点不工作也能操作。CAN帧不一定与接收地址相关联,而是根据其标识符进行分类。因此,当所有连接的节点独立决定是否进一步处理所接收的帧时,CAN控制器可以向所有连接的节点广播它们的帧。CAN通信可以应用分散优先级驱动的访问控制方法,以保证首先传输最高优先级帧,并且应用可以检测错误并中断通信的错误检测机制。另外,术语CAN可以包括但不一定限于事件触发的CAN总线、时间触发的CAN总线、多媒体连接的CAN总线、无线连接的CAN总线或诸如LIN(本地互连网络)总线之类的小型本地自主网络。在两个网络装置之间发送的每个消息可以细分为包含二进制数据单元的数据包,其由底层硬件和软件通过计算机网络进行通信。根据协议的不同,数据包可以以确定它们的边界、来源和目的地的某种标准格式来构建。数据包可以封装到数据链路层的帧中,使得它们能够通过不同的介质而传输到最终目的地。术语帧在下文中可互换地指代在CAN网络中通信传送的消息格式。这包括例如基础帧格式(11位ID)和扩展帧格式(由11位标识符(基础标识符)和18位扩展(标识符扩展)组成的29位ID两者。附加地或可选地,该术语还可以包括以下帧类型中的一种或多种:数据帧:包含用于传输的节点数据的帧;远程帧:请求传输特定标识符的帧;错误帧:由检测到错误的任何节点传输的帧;以及过载帧:在数据和/或远程帧之间注入延迟的帧。
CAN网络中的错误可能发生在位级别和/或帧级别。这些错误可以包括例如循环冗余校验(CRC)、位错误、位填充、监测、帧和应答错误。当ECU检测到错误时,其将立即中止传输,并且广播错误帧,该错误帧包括由违反位填充规则的位串组成的错误标志,所有其他ECU也将通过传输错误标志来进行响应。出现足够数量的错误后,ECU将最终切换到总线断开状态。
错误可划分为传输错误和接收错误。在车辆中,至关重要的可以是知晓错误是暂时性的(诸如,由于噪声、电涌或任何暂时的情况所导致的)还是由于硬件缺陷导致的节点故障而导致的永久性的。因此,每个节点(ECU)包括一个或多个错误计数器,跟踪传输和接收的错误数量。通常,错误计数能够影响如下的ECU的状态:
根据CAN总线定义,每个ECU(即,节点)被配置为在三种状态中的一种下操作:错误主动、错误被动及总线断开。术语主动和/或被动指代如果节点检测到错误,则允许该节点发送的错误帧的类型。错误主动状态指示节点完全正常工作。该节点在网络上处于主动状态,且可以传输错误主动帧。当节点处于错误主动状态时,无论何时检测到错误,该节点都可以通过发送错误主动帧来中断传输。错误主动帧包括六个显性(即,O)位,这些位超控总线上当前正在传输的内容。它中断当前传输,并且总线上包括传输器的所有节点都知道检测到错误。
与错误主动不同,当节点处于错误被动状态模式时,节点被限制发送错误主动帧(根据CAN总线定义)。这表示如果节点检测到错误,则该节点可以发送由6个隐性(即,1)位组成的错误被动帧。因为隐性位不中断传输,所以传输节点可以在不中断的情况下继续其传输。除了允许节点发送的错误帧类型的差异之外,不存在附加显著差异,并且节点可以像总线上的任何其他节点一样传输正常帧。作为非限制性示例255,以上错误计数将导致节点进入总线断开模式,而不在总线上进行传输。
通常,接收错误将错误计数增加1(或另一预定义的数字),并且传输错误将计数增加8(或另一预定义的数字)。无错误消息将计数降低1(或另一预定义的数字)。
当错误计数返回0时,恢复正常活动。当处于离线模式时,处于总线断开(离线)状况的节点配置预定义数量的连续隐性位,这些位已被监测。如果节点在传输正常帧时检测到错误(或者是该节点自己检测到错误,或者某个其他节点传输了错误主动帧并中断了传输),则其将错误计数增加8(TX_ERROR_COUNTER=TX_ERROR_COUNTER+8)。当错误计数器越过127级(128级及更高)时,其从错误主动状态改变为错误被动状态。当错误计数器达到256时,节点切换到总线断开状态,并且不再被允许传输任何消息。
当节点不处于总线断开时,每次成功传输正常帧都会导致错误计数器减少1(或另一预定义的值)。如果不存在该节点的传输导致的其他问题,则这允许该节点恢复到错误主动状态。
根据CAN总线定义,由ECU进行错误处理的附加细节可以参见例如盖伊·鲁维欧(Guy Ruvio)等人的国际专利申请公开号WO2017/021970“Means and Methods forRegulating CAN Communication(用于调节CAN通信的装置和方法)”,其全部内容通过引用并入本文。
现在详细讨论所解决的技术问题和技术解决方案的更多细节。讨论了另一种方法来强调所解决的技术问题。该方法在包括经由任选地安装在车辆中的CAN总线彼此通信的多个ECU的环境中实施。另一种方法的操作如下:
*当(例如,由计算装置,任选地实施为ECU,称为缓和ECU)由缓和ECU检测到由ECU中的一个(称为恶意ECU)传输的恶意消息时,该缓和ECU将6个显性位注入到CAN总线网络上。如CAN总线定义所定义的,6个显性位(即,0)表示由在CAN总线网络上检测到错误的ECU传输的错误主动帧。这6个显性位超控当前在CAN总线上传输的内容,并且触发恶意ECU中止恶意消息的传输。
*当恶意ECU检测到位错误(最迟在第六个注入的0位)时,该恶意ECU在下一位传输错误标志。错误标志包括违反位填充规则的位流。当恶意ECU成功地传输错误标志时,该恶意ECU将其传输错误计数器(TransmitErrorCounter)的值增加8。
*当其他ECU(即,非恶意ECU)检测到由缓和ECU传输的位填充错误时,它们丢弃由恶意ECU传输的恶意消息。
*识别由缓和ECU传输的初始注入错误(即,6个显性位)的其他ECU各自传输相应的错误标志和/或回应错误标志,这些标志之后预期是包括8个隐性位(即,1)的错误定界符字段,其后是3个间歇隐性位,此后,CAN总线变成空闲。
*未能传输恶意消息的恶意ECU会根据优先级且在CAN总线空闲时立即尝试重新传输恶意消息。
*随着缓和ECU检测到重新传输的恶意消息,并将注入的6个显性位重新传输到CAN总线网络上,该过程进行迭代。恶意ECU响应于成功传输另一错误标志,将传输错误计数器的值增加附加8。该过程进行迭代,直到传输错误计数器的值上升到超过预定义阈值(例如,255),这触发恶意ECU进入总线断开状态,在此期间不进行附加尝试以传输恶意消息。
本文所解决的技术问题涉及以下事实:由CAN总线定义所定义的自动重新传输机制被设计用于重新传输ECU例如由于外部干扰、总线上的过度噪声或其他原因而未能传输的合法消息。当恶意消息被重新传输(应当禁止而非重新传输)而非合法消息被重新传输(实际上应当重新传输)时,就会出现技术问题。被检测到并丢弃的恶意消息根据CAN总线定义进行处理,就如该恶意消息的传输已经失败,并且遵循CAN总线定义的重新传输机制重新传输该恶意消息。为了完全阻止附加尝试重新传输恶意消息,通过将错误计数器的值增加到超过阈值,阻止恶意ECU通过CAN总线附加传输数据。然而,当阈值为255,并且错误计数器的初始值为零时,需要成功阻止32次重新传输相同恶意消息的尝试,以使恶意ECU的错误计数器高于阈值,从而禁用恶意ECU进一步重新传输恶意消息。
可能出现的与技术问题相关的其他技术议题包括以下中的一个或多个:
*阻止32次传输恶意消息的尝试会带来风险,即恶意消息中的一个未被缓和ECU检测到,并且能够到达其目的地,从而导致恶意活动。
*由于恶意ECU对恶意消息的每次重新传输都要进行重复仲裁,因此可能会出现其他合法消息赢得仲裁的情况,从而延迟恶意消息的重新传输,使得更加难以检测恶意消息和/或区分恶意消息与所传输的合法消息。
*因为通过CAN总线传输数据是基于标识(ID)的,所以重复性的重新传输的机制可能会影响与恶意ECU具有相同ID的合法ECU传输新的真实帧(即,合法数据)。例如,恶意ECU可能恶意地使用合法ECU的ID,以尝试冒充合法ECU。
*完成整个重新传输过程(即,阻止32次恶意消息的重新传输)所需的时间显著。例如,循环阻止恶意消息的重新传输是基于30个位的传输:帧的起始(1个显性位)+ID(11位)+RTR(1个隐性位)+错误标志(6个显性位)+错误定界符(8个隐性位)+间歇(3个隐性位)。对于32次循环,传输的位的总数量为960。示例性处理速率为每位2微秒,则总处理时间变得显著。
现参考图1,该图1是根据一些实施方案的禁用与CAN总线网络和一个或多个其他ECU通信的恶意ECU的方法的流程图。响应于检测到恶意ECU通过CAN总线网络传输的一个或多个恶意消息(例如,在帧内传输的数据),禁用该恶意ECU。还参考图2,图2是根据一些实施方案的系统200的部件的框图,该系统200包括计算单元202,该计算单元202禁用与CAN总线网络206和一个或多个合法ECU 208通信的恶意ECU 204。计算单元202可以通过一个或多个硬件处理器210执行数据存储装置212(也称为程序存储装置和/或存储器)中存储的代码指令212A来实施参考图1描述的方法的动作。
计算装置202可以安装在车辆214内,任选地,基于道路的车辆,例如汽车、卡车、货车、小型货车和公共汽车。车辆可以是自主驾驶车辆、手动驾驶车辆或半自主半手动驾驶车辆。
在本文中,计算装置202可以被称为缓和ECU。
计算装置202可以被实施为例如硬件部件(例如,被安装在车辆214中)、安装在一个或多个现有ECU上的代码指令(其中代码指令由现有ECU的硬件处理器执行)、可用于其他目的的便携式计算单元(例如,移动装置(例如,智能手机、平板计算机、膝上型计算机、眼镜计算机和手表计算机))和/或位于车辆外部的与CAN总线网络206无线通信的外部计算装置(例如,服务器)。计算装置202可以被安装为车辆214内的集成部件、车辆214的可移除部件和/或车辆214的外部部件。
处理器210可以被实施为例如中央处理单元(CPU)、图形处理单元(GPU)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)和专用集成电路(ASIC)。处理器210可以包括一个或多个处理器(同构或异构),这一个或多个处理器可以被布置成用于并行处理、作为集群和/或作为一个或多个多核处理单元,例如,被分布在多个虚拟和/或物理服务器上,例如,位于计算云中和/或多个网络连接的处理节点上。
数据存储装置212存储可由处理器210执行的代码指令212A-B。数据存储装置212被实施为例如随机存取存储器(RAM)、只读存储器(ROM)和/或存储装置,例如,非易失性存储器、磁介质、半导体存储器装置、硬盘驱动器、可移动存储装置以及光学介质(例如,DVD、CD-ROM)。注意的是,由代码指令212A-B实施的一个或多个特征可以在硬件和/或固件中实施。
计算装置202包括一个或多个用户接口216和/或与这一个或多个用户接口216通信(用户接口216可以与安装在车辆中的显示器集成,和/或被实施为单独的装置,例如作为用户的移动装置的用户接口),例如触摸屏、键盘、鼠标和使用扬声器和传声器的语音激活软件。用户接口216可以包括呈现在显示器上的图形用户界面(GUI)。用户接口216可以包括为用户输入数据(例如,配置参数)和/或为用户查看数据(例如,查看被禁用的ECU事件)而设计的机制(例如,GUI)。
恶意ECU 204包括车辆214的经由CAN总线网络206通信的一个或多个ECU。根据对通过CAN总线网络206传输的恶意消息的检测,任选地,通过恶意活动检测代码212B,将ECU204识别为恶意ECU。操作正常并传输合法消息(可能有错误,然而未被识别为恶意)的ECU在本文中表示为合法ECU 208。恶意ECU 204和合法ECU中的每一个分别与错误计数器204和错误计数器208A相关联。根据CAN总线定义,错误计数器204可以包括传输和/或接收错误计数器。
示例性ECU 204和208包括以下中的一个或多个:根据数据控制车辆214的变速器的变速器控制单元(TCU)、一个或多个传感器、控制车辆中的电气系统或子系统中的一个或多个的部件。
CAN总线网络206可以被实施为硬件总线、物理网络和/或无线网络。根据CAN总线定义,CAN总线网络206基于所连接的ECU的广播来传输数据。注意的是,CAN总线网络206可以与恶意实体(例如,人类、恶意代码)访问恶意ECU 204所通过的一个或多个其他网络通信和/或集成。这样的其他网络可以连接车辆内不同的电子和/或计算部件,和/或者将车辆的计算部件连接到位于外部的计算装置(例如,使用无线连接和/或有线连接)。示例性网络包括:canvas、can-fd、flexray和以太网。
现重新参考图1,在102处,由执行恶意活动检测代码212B的计算装置202(和/或另一计算装置和/或ECU)检测到由恶意ECU 204通过CAN总线网络206传输的恶意消息。
该恶意消息可以基于检测一个或多个异常来检测。异常(即,恶意消息)检测可以基于识别以下中的一个或多个:与数据集中先前定义或预期的事件、事件持续时间、事件频率、模式或观测不兼容和/或不相似和/或不符合的事项、事件、模式、观测。附加地或可选地,该比较可以是与统计预期值、定义值的范围和/或一个或多个预定义的准确值的比较。该比较还可以指例如一个数据与另一个数据相比的例外、独特性、意外、噪声、新奇、异常值等中的一个或多个。附加地或可选地,异常检测被执行为以下中的一个或多个:无监督异常检测、有监督异常检测、半监督异常检测及其任意组合。有监督异常检测可以基于现有的正常数据标签和异常数据标签。半监督异常检测可以基于检测过程中出现有限量的标记数据。例如,基于有限的数据集创建模型,然后测试待由模型生成的测试实例的统计意义。无监督异常检测——没有可用的数据标签,是基于异常数据特性发生率相对较低。附加地或可选地,异常是点异常、上下文异常、结构异常、集合异常及其任意组合。附加地或可选地,采用统计手段来检查异常的发生,并且尝试和确定其发生是否是随机过程,是否具有一定程度的概率,是否是时间和/或活动相关事件。附加地或可选地,异常可以指代与被生成(预定义和/或自学和或更新的)以预测至少一个事件的可能性概率矩阵之间的偏差,诸如目标帧跟随另一帧的概率,每个事件具有其自己定义的特性和/或它们的相对值具有目标特性和/或它们的连接提供相关特性。附加地或可选地,异常检测比较以下中的至少一个:一个或多个位内容、仲裁字段内容、控制位内容、数据位内容、CRC字段内容、至少一个帧、由多个帧组成的至少一条消息、至少一个帧特性、至少一个帧相关特性及其任意组合。
可选地或附加地,恶意消息可以通过检测响应于攻击而传输的消息来检测。关于攻击发起者中的术语攻击在本文中可以指代任何尝试损坏、未授权使用或未授权访问总线通信或任何连接的ECU。作为非限制性示例,这包括:未授权使用至少一个ECU、未授权访问通信;通信定时攻击-诸如延迟至少一个通信数据包/帧,改变转发至少一个通信数据包/帧的顺序;信息攻击-信息的至少一部分的泄露,数据的至少一部分的错误表示,打乱、改变、擦除数据包格式或信息的至少一部分,改变通信的至少一部分的来源或目的地,创建虚假通信,复制所通信的信息的至少一部分,发送虚假验证;配置攻击-诸如错误的软件更新,配置的错误更改,更改访问控制;对至少一个ECU的攻击-诸如阻止至少一个ECU正常操作或使其根本不操作、恶意代码(例如,病毒或蠕虫)的传播;物理攻击-诸如强制重启、重新刷新启动修改后的软件;对核心网络的攻击-诸如假冒的装置之间的流量隧道挖掘,使用流氓装置,提交多个请求以使网络和或ECU过载;用户数据和身份攻击-诸如对装置进行假冒,检索特定用户或特定ECU的信息,改变用户对系统的访问;以及上述的组合。
检测恶意消息的附加细节可以参见例如盖伊·鲁维欧(Guy Ruvio)等人的国际专利申请公开号WO 2017/021970“Means and Methods for Regulating CAN Communication(用于调节CAN通信的装置和方法)”,其全部内容通过引用并入本文。
在104处,计算装置202通过CAN总线网络206注入预定义的位。所注入的位可以包括恶意ECU 204的ID。预定义的位可以是显性位,该显性位超控当前正通过CAN总线网络传输的数据,任选地超控由恶意ECU 204传输的恶意消息和/或超控由恶意ECU响应于先前注入的位而传输的其他错误消息(在根据箭头110的迭代期间)。
所注入的位被设计成触发由恶意ECU 204进行的以下错误中的一个或多个:位填充、循环冗余校验(CRC)、监测、帧和应答。
在106处,响应于接收到预定义的所注入的位,生成一个或多个错误。错误可以由恶意ECU 204、由计算装置202和/或由另一ECU208生成。指示所生成的错误的错误消息可以通过CAN总线网络206传输。
位可以根据定义CAN总线网络的目标数据状态的一组规则来注入。CAN总线网络的目标数据状态表示当前在CAN总线网络上传输的数据的目标状态,和/或CAN总线网络上数据传输的序列的历史。预定义数量的错误由恶意ECU响应于基于该组规则传输的位来检测。
所生成的错误根据计算装置202注入的位来选择和/或预定义。
例如,可以在单个会话中注入位,作为显性位的连续流,和/或在多个位注入会话中注入位,其中每个位注入会话响应于检测到附加的错误而被触发。
在108处,根据CAN总线定义,恶意ECU 204的错误计数器204A存储的当前传输错误计数值响应于生成错误而增加。
在110处,可以对动作104-108中的一个或多个进行迭代,以将传输错误计数值增加到超过错误阈值。由恶意ECU 204响应于计算装置202所注入的位而生成的每个错误相应地增加由错误计数器204A存储的传输错误计数值。计算装置202可以根据恶意ECU 204传输的错误消息来选择和/或调整所注入的位。
当前错误计数值(即,首次检测到恶意消息时恶意ECU 204的错误计数器204A的初始值)和错误阈值之间的差值大于传输错误计数器204A响应于单个生成的错误而增加当前传输错误计数值的值。例如,当前错误计数值与阈值之间的差值大于8,8是当根据CAN总线定义检测到传输错误时传输错误计数器增加的值。
在每次迭代期间注入的位被选择来超控在CAN总线网络206上的现有数据和/或由恶意ECU 204生成错误,阻止在恶意ECU 204被实际禁用之前,该恶意ECU 204通过CAN总线网络206传输恶意消息的附加实例。
由计算装置202注入的位触发的恶意ECU 204生成的错误的预定义数量是根据错误阈值除以传输错误计数值响应于生成单个错误而增加的量来计算的。例如,基于CAN总线定义,当错误阈值是255,并且传输错误计数值响应于每个生成的错误而增加8时,生成的错误的预定义数量是32(即,255除以8,取整)。
在112处,当错误计数值上升到超过阈值时,恶意ECU 204被禁用,例如,恶意ECU204根据CAN总线定义进入总线断开状态。被禁用的恶意ECU 204被阻止通过CAN总线网络206传输数据。
在114处,生成检测到恶意ECU和/或禁用恶意ECU的指示,并且可以显示、存储该指示和/或将其转发到远程服务器。例如,可以在车辆仪表板上的显示器上呈现消息,提醒用户禁用了恶意ECU,并且提醒用户访问车辆制造商的车辆修理厂进行调查,恶意消息的记录可以存储在本地安全存储器中以供进一步调查,和/或可以将消息传输到远程监测服务器以供进一步调查和管理。
当恶意ECU表示车辆操作的关键部件时,可以触发备份的过程以实现安全驾驶和/或允许车辆安全停车。
现参考图3,图3是根据一些实施方案的禁用恶意ECU的方法的示例性实现方案的流程图。参考图3描述的方法基于参考图1描述的方法,和/或由参考图2描述的系统200实施。参考图3描述的方法基于触发恶意ECU传输的级联错误帧中的多个形式错误。图3表示预定义数量的错误生成为多个注入会话的一种实现方案。响应于检测到附加的错误标志,触发每个位注入会话。
任选地,参考图3描述的方法可以基于定义CAN总线网络的目标数据状态的一组规则的特定示例性实现方案。
在302处,例如,如参考图1的动作102所述,检测到恶意消息。
在304处,例如,如参考图1的动作104所述,计算装置202注入预定义序列的位,以触发恶意ECU 204中的第一错误。
任选地,注入6个显性位来触发恶意ECU 204的填充错误。
在306处,由恶意ECU 204接收的所注入的位触发第一错误,任选地,触发恶意ECU204的填充错误,以及恶意ECU 204对第一错误标志的传输。第一错误标志作为错误帧的定义的一部分传输,其中错误帧包括错误标志字段(例如,6个位),其后是预期包括隐性位(例如,1)的错误定界符(例如,8个位)。
在308处,恶意ECU 204的传输错误计数器204A存储的当前传输错误计数值响应于第一错误标志的传输而相应地增加。
在310处,计算装置202中断恶意ECU 204的错误帧的传输。当正传输隐性位时,传输可能被特别地中断,因为这种隐性位可能被所注入的显性位超控。
在312处,计算装置202操纵恶意ECU 204传输的错误帧的形式。
可以通过传输一个或多个显性位(任选地,单个位)代替错误帧的错误定界符字段的预期的一个或多个隐性位(任选地,第二隐性位,任选地,至少该第二隐性位),来执行对错误帧的形式的操纵。如所述,基于CAN总线定义,显性位超控隐性位。
在314处,错误帧的操纵形式由恶意ECU 204检测,并且触发恶意ECU 204的形式错误。
在316处,恶意ECU 204的传输错误计数器204A存储的当前传输错误计数值响应于形式的传输而相应地增加,根据CAN总线定义任选地增加8。
在318处,对动作310-316进行迭代以中断生成的错误帧,操纵错误帧的形式,触发恶意ECU 204对另一形式错误的另一传输,并且响应于所传输的形式错误而增加恶意ECU204的传输错误计数值。
执行迭代以生成预定义数量的错误用来禁用恶意ECU 204。执行迭代以将传输错误计数值增加到超过错误阈值。
任选地,在不操纵错误帧的形式(动作312)的情况下执行最后一次迭代。
例如,当初始传输错误计数器值是0,错误阈值是255,并且每次迭代将传输错误计数器的值增加8时,针对总共31个错误,除了第一位填充错误之外,执行30次迭代。在不操纵定界符的情况下传输第32错误帧。
就影响总执行时间、通过CAN总线传输的位的数量而言,在最佳情况下,在RTR位之后立即开始进行减轻,根据CAN总线定义,总共传输278个位。注意的是,实际结果可能会有所不同。细分如下:帧的起始(1个显性位)+ID(11个位)+RTR(1个隐性位)+31*[错误标志(6个显性位)+部分错误定界符(2个位)]+错误帧(14个位)+间歇(3个隐性位),其中以位的数量表示:1+11+1+8*31+14+3=278。
在320处,例如,如参考图1的动作112所述,禁用恶意ECU 204。
在322处,例如,如参考图1的动作114所述,生成禁用恶意ECU 204的指示。
现参考图4,图4是根据一些实施方案的禁用恶意ECU的方法的另一示例性实现方案的流程图。参考图4描述的方法基于参考图1描述的方法,和/或由参考图2描述的系统200实施。参考图4描述的方法基于注入所选择序列的位。
任选地,参考图4描述的方法可以基于定义CAN总线网络的目标数据状态的一组规则的另一示例性实现方案。
参考3图4描述的方法由计算装置202执行,而不一定基于根据恶意ECU 204传输的错误消息的迭代和/或反馈,和/或不一定基于对恶意ECU 204传输的数据的操纵。图4表示在单个会话中将位注入为显性位的连续流。
在402处,例如,如参考图1的动作102所述,检测到恶意消息。
在404处,例如,如参考图1的动作104所述,计算装置202注入预定义序列的位。
注入第一预定义数量的连续显性位(任选地14个),接着是第二预定义数量的连续集合(任选地31个),每个集合为第三预定义数量的显性位(任选地8个),接着是隐性定界符的第四预定义数量的有效位(任选地8个)以及第五预定义数量的隐性位间歇(任选地3个)。
在406处,恶意ECU 204接收预定义序列的位。
作为主动错误标志,或者在恶意ECU 204检测到在被动错误标志之后的第六预定义数量的连续显性位之后,恶意ECU 204检测到第一预定义数量的连续显性位。第六预定义数量的连续显性位表示在被动错误标志之后的第8连续显性位。
在408处,恶意ECU 204的传输错误计数器204A存储的传输错误计数值增加到超过错误阈值。根据CAN总线定义,例如,如参考图1的动作108所述,从初始值0到超过错误阈值255的256。
传输错误计数值响应于恶意ECU 204检测到第一预定义数量的连续显性位而增加(任选地增加8),并且响应于恶意ECU 204检测到第二预定义数量的附加的第三预定义数量的连续显性位的每个序列(任选地针对每个所检测到的序列增加8)。
根据影响总执行时间、通过CAN总线传输的位数,根据CAN总线定义,总共传输286个位。细分如下:帧的起始(1个显性位)+ID(11个位)+RTR(1个隐性位)+31*[8个显性位]+有效隐性定界符(8个隐性位)+间歇(3个隐性位),其中以位的数量表示:1+11+1+8*31+8+3=286。
在410处,例如,如参考图1的动作112所述,禁用恶意ECU 204。
在412处,例如,如参考图1的动作114所述,生成禁用恶意ECU 204的指示。
已经出于说明的目的呈现了对各个实施方案的描述,但是所述描述无意为穷举的或者被限于所公开的实施方案。在不脱离所描述的实施方案的范围和精神的情况下,许多修改和变化对本领域的普通技术人员来说将是明显的。选择本文中使用的术语以最好地解释实施方案的原理、对市场中发现的技术的实际应用或技术改进,或使本领域其他普通技术人员能够理解本文公开中的实施方案。
预期在从本申请至到期的专利有效期内,将开发许多相关的ECU和CAN总线网络,且术语ECU和CAN总线网络的范围旨在先验地包括所有这些新技术。
本文所使用的术语“约”指代±10%。
术语“包括(comprises)”、“包括(comprising)”、“包括("includes)”、“包括(including)”、“具有”及其变化是指“包括但不限于”。该术语涵盖术语“由……组成”和“主要由……组成”。
短语“主要由……组成”表示组合物或方法可以包括附加的成分和/或步骤,但前提是附加的成分和/或步骤没有实质性地改变所要求保护的组合物或方法的基本和新颖特性。
如本文所使用的,除非上下文另有明确说明,否则单数形式“一(a)”、“一(an)”和“该”包括复数形式。例如,术语“化合物”或“至少一种化合物”可包括多种化合物,包括其混合物。
词语“示例性的”在本文中表示“用作示例、实例或说明”。被描述为“示例性的”的任何实施方案不一定被解释为比其他实施方案优选或有利,和/或从其他实施方案中排除特征的结合。
词语“任选地”在本文中表示“在一些实施方案中提供,而在其他实施方案中不提供”。任何特定实施方案可以包括多个“任选的”特征,除非这些特征发生冲突。
在整个本申请中,各个实施方案可以按照范围格式来呈现。应当理解,范围格式的描述仅仅是为了方便和简洁,并且不应被解释为对实施方案范围的不可改变的限制。因此,对范围的描述应被认为具有确切公开的所有可能的子范围以及该范围内的单独数值。例如,对诸如1至6的范围的描述应当被认为具有明确公开的子范围,诸如1至3、1至4、1至5、2至4、2至6、3至6等,以及在该范围内的单个数字,例如1、2、3、4、5和6。无论范围的宽度如何,这都适用。
每当本文指示数字范围时,这表示包括所指示范围内的任何所引用的数字(分数或整数)。短语“第一指示数和第二指示数之间的幅度/范围”和“从第一指示数到第二指示数的幅度/范围”在本文可以互换使用,并且表示包括第一和第二指示数以及它们之间的所有分数和整数。
应当理解,为了清楚,在单独的实施方案的上下文中描述的实施方案的某些特征也可以在单个实施方案中组合提供。相反,为了简洁,在单个实施方案的上下文中描述的实施方案的各个特征也可以单独提供,或者以任何适当的子组合提供,或者在任何其他描述的实施方案中适当地提供。在各个实施方案的上下文中描述的某些特征不应当被认为是那些实施方案的必要特征,除非在没有那些元件的情况下所述实施方案无效。
虽然已经结合具体实施方案描述了各实施方案,但是明显的是,对于本领域技术人员而言,许多替换、修改和变化都是明显的。因此,旨在包含落入所附权利要求的精神和较广范围内的所有这样的替代、修改和变化。
本说明书中提到的所有公开、专利和专利申请在本文都通过引用整体并入到本说明书中,就如同每个单独的公开、专利或专利申请都被具体地和单独地指示以通过引用并入到本文中一样。另外,本申请中对任何参考文献的引用或标识不应被解释为承认该参考文献可作为现有技术获得。就使用的章节标题而言,它们不应被解释为一定是限制性的。

Claims (23)

1.一种计算机实施的禁用与控制器局域网总线网络通信的多个电子控制单元中的恶意电子控制单元的方法,所述方法由与所述多个电子控制单元和所述控制器局域网总线网络通信的计算装置执行,所述方法包括:
检测由所述恶意电子控制单元通过所述控制器局域网总线网络传输的恶意消息;以及
通过所述控制器局域网总线网络注入多个位以触发预定义的多个错误,以在所述恶意电子控制单元进行附加尝试重新传输所述恶意消息的附加实例之前,禁用所述恶意电子控制单元。
2.根据权利要求1所述的方法,其中由所述恶意电子控制单元的至少一个错误计数器存储的当前错误计数值响应于所述触发的预定义的多个错误而增加到超过表示禁用所述恶意电子控制单元的错误阈值。
3.根据权利要求2所述的方法,其中所述当前错误计数值和所述错误阈值之间的差值大于所述错误计数器响应于单个生成的错误而将所述当前错误计数值增加的值。
4.根据权利要求2所述的方法,其中根据所述错误阈值除以所述当前错误计数值响应于生成单个错误而增加的量来计算所述多个错误的预定义数量。
5.根据权利要求2所述的方法,其中当所述错误阈值为255并且当所述当前传输错误计数值响应于生成单个错误而增加8时,所述多个错误的所述预定义数量为32。
6.根据权利要求1所述的方法,其中所述注入的位被设计成触发选自由以下项组成的组的以下错误中的一个或多个:位填充、位错误、循环冗余校验(CRC)、监测、帧和应答错误。
7.根据权利要求1所述的方法,其中所述预定义数量的所述多个错误由多个注入会话触发,其中响应于检测到附加的错误而触发每个位注入会话。
8.根据权利要求7所述的方法,其中所述多个注入会话中的第一注入会话包括注入位以触发第一错误和传输第一错误标志,其中所述恶意电子控制单元的至少一个错误计数器所存储的当前错误计数值根据所述第一错误标志的所述传输而增加;并且
还包括:
中断存储所述第一错误标志的错误帧并注入位作为用于操纵所述错误帧的形式以触发形式错误的附加的位注入会话,其中所述形式错误触发另一错误标志的传输,所述另一错误标志的传输触发对由所述恶意电子控制单元的所述至少一个错误计数器存储的所述当前错误计数值的另一增加;
对附加的错误帧的所述中断和位的所述注入作为用于操纵所述错误帧的所述形式的附加的位注入会话进行迭代,以在每次迭代时触发形式错误形式的所述传输和所述当前错误计数值的相应增加,
其中相应地执行多次迭代,以生成所述预定义数量的所述多个错误,以供禁用所述恶意电子控制单元。
9.根据权利要求8所述的方法,其中操纵所述错误帧的所述形式包括:传输单个显性位,代替传输所述错误帧的错误定界符字段的所预期的至少一个隐性位。
10.根据权利要求8所述的方法,其中在不操纵所述错误帧的所述形式的情况下执行所述中断所述错误帧的最后一次迭代。
11.根据权利要求8所述的方法,其中所述第一错误包括填充错误,并且注入6个显性位来触发所述填充错误。
12.根据权利要求1所述的方法,其中所述注入所述多个位包括:在单个会话中注入所述多个位,作为以下的显性位的连续流:第一预定义数量的连续显性位,以及注入第二预定义数量的连续集合,每个集合为第三预定义数量的显性位,接着是隐性定界符的第四预定义数量的有效位和第五预定义数量的隐性位间歇。
13.根据权利要求12所述的方法,其中所述第一预定义数量的连续显性位包括14个显性位,所述第二预定义数量的连续集合包括31个连续集合,所述第三预定义数量的显性位包括8个显性位,所述第四预定义数量的有效位包括有效的8位隐性定界符,并且所述第五预定义数量的隐性位间歇包括3位隐性间歇。
14.根据权利要求13所述的方法,其中由所述恶意电子控制单元的至少一个错误计数器存储的当前错误计数值从0增加到256。
15.根据权利要求12所述的方法,其中响应于所述恶意电子控制单元检测到所述第一预定义数量的连续显性位,并且响应于检测到所述第二预定义数量的附加的第三预定义数量的连续显性位的每个序列,所述恶意电子控制单元的至少一个错误计数器存储的当前错误计数值增加。
16.根据权利要求12所述的方法,其中在传输主动错误标志之后,所述恶意电子控制单元检测到所述第一预定义数量的连续显性位。
17.根据权利要求12所述的方法,其中在检测到在被动错误标志之后的第六预定义数量的连续显性位之后,所述恶意电子控制单元检测到所述第一预定义数量的连续显性位。
18.根据权利要求17所述的方法,其中所述第六预定义数量的连续显性位表示在所述被动错误标志之后的第8连续显性位。
19.一种用于禁用与控制器局域网总线网络通信的多个电子控制单元中的恶意电子控制单元的系统,其包括:
非暂时性存储器,所述非暂时性存储器存储有代码,所述代码由与所述多个电子控制单元和所述控制器局域网总线网络通信的计算装置的至少一个硬件处理器执行,所述代码包括:
用于检测由所述恶意电子控制单元通过所述控制器局域网总线网络传输的恶意消息的代码;以及
用于通过所述控制器局域网总线网络注入多个位以触发预定义的多个错误,以在所述恶意电子控制单元进行附加尝试重新传输所述恶意消息的附加实例之前,禁用所述恶意电子控制单元的代码。
20.根据权利要求19所述的系统,其中在车辆中实施所述恶意电子控制单元、所述控制器局域网总线网络、所述多个电子控制单元以及所述计算装置。
21.根据权利要求19所述的系统,其中将所述计算装置实施为与所述恶意电子控制单元和所述控制器局域网总线网络通信的独立部件。
22.根据权利要求19所述的系统,其中将所述计算装置实施为所述多个电子控制单元中的一个或多个,其中所述代码指令安装在所述多个电子控制单元中的相应一个或多个的本地存储器上,以供所述多个电子控制单元中的所述相应的一个或多个的所述硬件处理器执行。
23.一种用于禁用与控制器局域网总线网络通信的多个电子控制单元中的恶意电子控制单元的计算机程序产品,其包括:
非暂时性存储器,所述非暂时性存储器存储有代码,所述代码由与所述多个电子控制单元和所述控制器局域网总线网络通信的计算装置的至少一个硬件处理器执行,所述代码包括:
用于检测由所述恶意电子控制单元通过所述控制器局域网总线网络传输的恶意消息的指令;以及
用于通过所述控制器局域网总线网络注入多个位,以触发为在所述恶意电子控制单元进行附加尝试重新传输所述恶意消息的附加实例之前禁用所述恶意电子控制单元而生成的预定义的多个错误的指令。
CN201780093990.XA 2017-08-17 2017-08-17 禁用恶意电子控制单元的系统、方法和计算机程序产品 Active CN111344192B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/IL2017/050919 WO2019035112A1 (en) 2017-08-17 2017-08-17 SYSTEMS AND METHODS FOR DISABLING A MALWARE ECU IN A CAN BUS NETWORK (CONTROLLER AREA NETWORK)

Publications (2)

Publication Number Publication Date
CN111344192A CN111344192A (zh) 2020-06-26
CN111344192B true CN111344192B (zh) 2021-06-22

Family

ID=65361795

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780093990.XA Active CN111344192B (zh) 2017-08-17 2017-08-17 禁用恶意电子控制单元的系统、方法和计算机程序产品

Country Status (4)

Country Link
US (2) US11030310B2 (zh)
EP (1) EP3668756B1 (zh)
CN (1) CN111344192B (zh)
WO (1) WO2019035112A1 (zh)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MX2019009397A (es) 2017-02-10 2019-12-05 Nissan North America Inc Gestion operacional de vehiculo autonomo que incluye operar una instancia de modelo de proceso de decision de markov parcialmente observable.
EP3590037A4 (en) * 2017-07-25 2020-07-08 Aurora Labs Ltd CONSTRUCTION OF DELTA SOFTWARE UPDATES FOR VEHICLE ECU SOFTWARE AND TOOL CHAIN DETECTION
CN111344192B (zh) * 2017-08-17 2021-06-22 雷德本德有限公司 禁用恶意电子控制单元的系统、方法和计算机程序产品
WO2019089015A1 (en) 2017-10-31 2019-05-09 Nissan North America, Inc. Autonomous vehicle operation with explicit occlusion reasoning
WO2020204871A1 (en) * 2017-12-22 2020-10-08 Nissan North America, Inc. Shared autonomous vehicle operational management
DE112018007217B4 (de) * 2018-04-10 2022-03-17 Mitsubishi Electric Corporation Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür
DE102018209407A1 (de) * 2018-06-13 2019-12-19 Robert Bosch Gmbh Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
EP3742680B1 (de) * 2019-05-22 2022-03-16 Lisa Dräxlmaier GmbH Verteilervorrichtung und entsprechendes verfahren
EP3809638B1 (en) 2019-10-17 2023-05-17 Volvo Car Corporation Detecting manipulation of data on a can bus
US11635758B2 (en) 2019-11-26 2023-04-25 Nissan North America, Inc. Risk aware executor with action set recommendations
US11899454B2 (en) 2019-11-26 2024-02-13 Nissan North America, Inc. Objective-based reasoning in autonomous vehicle decision-making
US11613269B2 (en) 2019-12-23 2023-03-28 Nissan North America, Inc. Learning safety and human-centered constraints in autonomous vehicles
US11714971B2 (en) 2020-01-31 2023-08-01 Nissan North America, Inc. Explainability of autonomous vehicle decision making
US11782438B2 (en) 2020-03-17 2023-10-10 Nissan North America, Inc. Apparatus and method for post-processing a decision-making model of an autonomous vehicle using multivariate data
US11535267B2 (en) * 2020-03-18 2022-12-27 Toyota Motor Engineering & Manufacturing North America, Inc. User alert systems, apparatus, and related methods for use with vehicles
US11522872B2 (en) * 2020-06-18 2022-12-06 Nxp B.V. CAN transceiver
US20220024423A1 (en) * 2020-07-22 2022-01-27 Toyota Motor North America, Inc. Authorizing functionality of a transport component
US11809561B2 (en) * 2020-07-29 2023-11-07 Hyundai Motor Company System and method for identifying compromised electronic controller using intentionally induced error
JP2022094017A (ja) * 2020-12-14 2022-06-24 トヨタ自動車株式会社 車載システム
US20220206551A1 (en) * 2020-12-28 2022-06-30 Robert Bosch Gmbh System and method to detect malicious can controller behavior from adversarial clock control
US20220239694A1 (en) * 2021-01-28 2022-07-28 Robert Bosch Gmbh System and method for detection and deflection of attacks on in-vehicle controllers and networks
DE102021112331A1 (de) 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
KR20220168839A (ko) * 2021-06-17 2022-12-26 현대자동차주식회사 차량 제어 장치 및 방법
US20230179570A1 (en) * 2021-12-06 2023-06-08 At&T Intellectual Property I, L.P. Canbus cybersecurity firewall
CN114281744A (zh) * 2021-12-23 2022-04-05 北京天融信网络安全技术有限公司 一种can总线中继电路、控制方法、装置、电子设备
CN115396293A (zh) * 2022-08-23 2022-11-25 科东(广州)软件科技有限公司 一种通信异常处理系统、方法、装置和存储介质
CN116709336B (zh) * 2023-08-03 2023-09-29 深圳市瑞迅通信息技术有限公司 一种无线通信安全监测方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009001377A1 (de) * 2008-03-10 2009-09-17 Robert Bosch Gmbh Verfahren und Filteranordnung zum Filtern von über einen seriellen Datenbus eines Kommunikationsnetzwerks in einem Teilnehmer des Netzwerks eingehenden Nachrichten
CN102355382A (zh) * 2011-09-28 2012-02-15 东南大学 一种控制器局域网总线分析与触发的方法
WO2013144962A1 (en) * 2012-03-29 2013-10-03 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
CN106169968A (zh) * 2015-05-22 2016-11-30 恩智浦有限公司 车载网络(ivn)装置以及用于操作ivn装置的方法
WO2017021970A1 (en) * 2015-08-06 2017-02-09 Tower-Sec Ltd Means and methods for regulating can communication
CN106790053A (zh) * 2016-12-20 2017-05-31 江苏大学 一种can总线中ecu安全通信的方法
CN106919163A (zh) * 2015-12-18 2017-07-04 丰田自动车株式会社 通信系统和在通信系统中执行的信息收集方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015159520A1 (ja) * 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
US20160014077A1 (en) * 2014-07-10 2016-01-14 Aorato Ltd. System, Method and Process for Mitigating Advanced and Targeted Attacks with Authentication Error Injection
US11048797B2 (en) * 2015-07-22 2021-06-29 Arilou Information Security Technologies Ltd. Securing vehicle bus by corrupting suspected messages transmitted thereto
US10992705B2 (en) 2016-01-20 2021-04-27 The Regents Of The University Of Michigan Exploiting safe mode of in-vehicle networks to make them unsafe
US20170235698A1 (en) * 2016-02-12 2017-08-17 Nxp B.V. Controller area network (can) message filtering
US10462161B2 (en) * 2017-06-21 2019-10-29 GM Global Technology Operations LLC Vehicle network operating protocol and method
CN111344192B (zh) 2017-08-17 2021-06-22 雷德本德有限公司 禁用恶意电子控制单元的系统、方法和计算机程序产品
US10484425B2 (en) * 2017-09-28 2019-11-19 The Mitre Corporation Controller area network frame override
US10701102B2 (en) * 2017-10-03 2020-06-30 George Mason University Hardware module-based authentication in intra-vehicle networks
EP3799365B1 (en) * 2018-05-23 2022-11-30 Panasonic Intellectual Property Corporation of America Anomaly detection device, anomaly detection method, and program
US11209891B2 (en) * 2019-11-27 2021-12-28 Robert Bosch Gmbh Clock control to increase robustness of a serial bus interface

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009001377A1 (de) * 2008-03-10 2009-09-17 Robert Bosch Gmbh Verfahren und Filteranordnung zum Filtern von über einen seriellen Datenbus eines Kommunikationsnetzwerks in einem Teilnehmer des Netzwerks eingehenden Nachrichten
CN102355382A (zh) * 2011-09-28 2012-02-15 东南大学 一种控制器局域网总线分析与触发的方法
WO2013144962A1 (en) * 2012-03-29 2013-10-03 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
CN106169968A (zh) * 2015-05-22 2016-11-30 恩智浦有限公司 车载网络(ivn)装置以及用于操作ivn装置的方法
WO2017021970A1 (en) * 2015-08-06 2017-02-09 Tower-Sec Ltd Means and methods for regulating can communication
CN106919163A (zh) * 2015-12-18 2017-07-04 丰田自动车株式会社 通信系统和在通信系统中执行的信息收集方法
CN106790053A (zh) * 2016-12-20 2017-05-31 江苏大学 一种can总线中ecu安全通信的方法

Also Published As

Publication number Publication date
CN111344192A (zh) 2020-06-26
EP3668756A1 (en) 2020-06-24
US11663330B2 (en) 2023-05-30
US11030310B2 (en) 2021-06-08
EP3668756A4 (en) 2021-10-27
WO2019035112A1 (en) 2019-02-21
US20210279331A1 (en) 2021-09-09
EP3668756B1 (en) 2023-08-02
US20200387605A1 (en) 2020-12-10

Similar Documents

Publication Publication Date Title
CN111344192B (zh) 禁用恶意电子控制单元的系统、方法和计算机程序产品
US11356475B2 (en) Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
US11934520B2 (en) Detecting data anomalies on a data interface using machine learning
US10389744B2 (en) Attack detection method, attack detection device and bus system for a motor vehicle
JP2020102886A (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
CN111147437B (zh) 基于错误帧归因总线断开攻击
US20190098047A1 (en) Controller area network frame override
US11888866B2 (en) Security module for a CAN node
KR20180127222A (ko) 사이버 공격에 대한 네트워크 보호 방법
US20200412756A1 (en) Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium
US20170118230A1 (en) Communication system, control device, and control method
WO2018008452A1 (ja) 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム
WO2018020833A1 (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
EP4213448A1 (en) Controller area network module and method for the module
US20230267204A1 (en) Mitigating a vehicle software manipulation
Ramesh et al. Reset-based Recovery Mechanism through Entropy Cutoff to Counter BUS-OFF Attacks
WO2017056395A1 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant