CN112217781A - 用于分析面向服务的通信的方法及设备 - Google Patents
用于分析面向服务的通信的方法及设备 Download PDFInfo
- Publication number
- CN112217781A CN112217781A CN202010655701.4A CN202010655701A CN112217781A CN 112217781 A CN112217781 A CN 112217781A CN 202010655701 A CN202010655701 A CN 202010655701A CN 112217781 A CN112217781 A CN 112217781A
- Authority
- CN
- China
- Prior art keywords
- service
- endpoint
- data packet
- registered
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 87
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000004590 computer program Methods 0.000 claims 4
- 230000009471 action Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及用于在通信网络中分析面向服务的通信的设备和方法,其中数据分组包括用于面向服务的通信的应用层(216)的第一报头,并且包括用于在通信网络中进行通信的与应用层不同的协议层(218)的第二报头、尤其是表示层(204)、会话层(206)、传输层(208)、网络层(210)、数据链路层(212)或物理层(214)的第二报头,其中对于数据分组根据来自第一报头的关于数据分组的发送机和/或接收机的信息以及根据来自第二报头的关于发送机和/或接收机的信息分析数据分组是否满足准则,其中准则根据第二报头的内容定义在第一报头中的用于发送机和/或接收机的额定值,和/或其中准则根据第一报头的内容定义在第二报头中的用于发送机和/或接收机的额定值。
Description
技术领域
本发明基于一种用于尤其是在车辆的通信网络、例如汽车以太网网络中分析面向服务的通信的方法和设备。
背景技术
面向服务的通信(dienste-orientierte Kommunikation)使用面向服务的通信协议和利用面向服务的中间件(middleware)实现的面向服务的网络架构。
为了识别对通信网络的攻击,尤其值得期望的是对面向服务的通信的有效分析。
发明内容
这通过独立权利要求的主题来实现。
一种用于在通信网络中分析面向服务的通信的方法规定,数据分组包括用于面向服务的通信的应用层的第一报头,以及包括与该应用层不同的、用于在通信网络中进行通信的协议层的第二报头、尤其是表示层、会话层、传输层、网络层、数据链路层或物理层的第二报头,其中对于数据分组根据来自第一报头的关于数据分组的发送机和/或接收机的信息以及根据来自第二报头的关于发送机和/或接收机的信息分析:数据分组是否满足准则,其中所述准则根据第二报头的内容定义在第一报头中针对发送机和/或接收机的额定值,和/或其中所述准则根据第一报头的内容定义在第二报头中针对发送机和/或接收机的额定值。这种分析使得能够为汽车网络提供特别有效的NIDPS。面向服务的通信的这种分析尤其针对通信网络中的攻击识别进行。攻击识别例如通过“网络入侵检测和防御系统(Network Intrusion Detection and Prevention System)”(NIDPS)来进行。NIDPS使得能够对经由通信网络进行通信的分布式计算机系统的网络流量中的异常进行标识并且作出反应。NIDPS可以被理解为典型地被用于探测和防止对企业网、即所谓的企业网络的攻击的系统。NIDPS也可被用在汽车网络中。汽车网络是具有“电子控制单元”(ECU)作为网络节点的车辆内部网络。
额定值优选地定义至少一个已注册的端点,其中根据报头的内容检验是否由已注册的端点发送数据分组和/或是否将数据分组发送给已注册的端点。这使得能够在发送机或接收机是未注册的端点时,将数据分组识别为奇特(auffällige)数据分组。通信的另一端点不必是注册的。这使得已注册的端点能够与以前未注册的端点进行通信。
额定值优选地定义已注册的端点,其中根据报头的内容检验是否在对于面向服务的通信注册的端点之间交换数据分组。这使得能够在这不在已注册的端点之间被发送,将数据分组识别为奇特数据分组。
额定值优选地定义至少一个已注册的端点,其中该数据分组包括服务标识,其中对于该数据分组的发送机端点检验:该发送机端点是否对应于在数据分组中证明的服务提供商,该服务提供商通过其服务标识证明,并且对于数据分组的接收机端点检验该接收机端点是否对应于在数据分组中证明的服务用户,该服务用户通过其客户端标识证明。该信息是用于识别奇特数据分组的另一特别好的信息。
额定值优选地定义至少一个已注册的端点(102、104),其中数据分组包括客户端标识,其中对于该数据分组的发送机端点(102、104),检验(606)该发送机端点是否对应于在该数据分组中证明的服务用户,所述服务用户通过其客户端标识证明,并且对于数据分组的接收机端点(102、104),检验(606)该接收机端点是否对应于在数据分组中证明的服务提供商,所述服务提供商通过其服务标识证明。
额定值优选地定义已注册的端点,其中数据分组包括服务标识和客户端标识,其中检验是否在对于在数据分组中证明的服务标识和客户端标识注册的端点之间交换数据分组。尤其是其中检验数据分组的发送机端点和接收机端点是否构成已注册的组合。已注册的组合是用于识别奇特数据分组的另一特别好的信息。
数据分组优选地包括关于消息类型的信息,其中检验是否在与消息类型相对应的方向上在服务用户和服务提供商之间交换数据分组,和/或其中根据关于数据分组的发送机端点和/或接收机端点的信息定义方向,其中检验是否在该方向上在服务用户和服务提供商之间交换数据分组。该方向是用于识别奇特数据分组的另一特别好的信息。
在服务发现阶段期间,优选地检验对于传送关于提供服务的端点的信息所利用的数据分组而言,该端点是否是注册为服务提供商的端点和/或是否是对于该服务注册为服务提供商的端点。由此在该阶段中已经可以识别奇特数据分组。
在服务发现阶段期间,优选地检验对于传送关于询问服务的端点的信息所利用的数据分组而言,该端点是否是注册为服务用户的端点和/或是否是对于该服务注册为服务用户的端点。由此,对于特定服务在该阶段中已经可以更加可靠地识别奇特数据分组。
如果不满足该准则,则对通信网络的攻击或异常优选地被识别。这表示根据来自数据分组的跨通信层的(kommunikationsschichtübergreifend)信息可靠地识别异常或攻击。
在检验该准则之前,优选地检验数据分组是否属于面向服务的通信,其中如果数据分组属于面向服务的通信,则实施对准则的检验,而否则不发生。由此仅分析相关的数据分组。
用于在通信网络中分析面向服务的通信的设备包括分析装置,所述分析装置布置在连接元件、尤其是汽车以太网交换机中,用于连接通信网络中的数据线路用以传送数据分组,或者与该连接元件连接或可连接用于通信,其中分析装置被构造用于实施该方法。由此有效地有可能在汽车网络中进行分析和异常识别。
附图说明
其他有利的实施方式由以下描述和附图得出。在附图中:
图1示出通信网络的示意图,
图2示出用于通信网络的协议层的示意图,
图3示出SOME/IP报头,
图4示出SOME/IP-SD分组,
图5示出SOME/IP IPv4端点选项,
图6示出用于在通信网络中分析面向服务的通信的方法中的步骤。
具体实施方式
为了为汽车网络提供NIDPS,可以考虑汽车网络与企业网络的差异。所述差异例如是其网络结构、网络动态性和其网络节点。
网络结构:
企业网络典型地遵循客户端服务器模型,其中存在较小数量的专用服务器网络节点,所述专用服务器网络节点向典型地较高数量的客户端网络节点提供服务。汽车网络由ECU构成,在所述ECU上不仅实施服务器应用程序而且实施客户端应用程序。
企业网络通常比汽车网络大得多并且复杂得多。典型地,企业网络的整体显著地更被分割(wesentlich segmentierter),在物理或逻辑上分离成不同的区和子网络。如果有的话,典型汽车网络中的ECU通过所谓的“网关”仅分离成非常少的分网络,或者在以太网层面上经由所谓的“虚拟局域网(Virtual Local Area Networks)”(VLAN)在逻辑上分开。
网络动态性:
企业网络和汽车网络在动态性方面相区分,其中以所述动态性改变和运行网络。
在企业网络中,网络节点可以任意地被更换。对于在服务器网络节点情况下的改变,典型地还可以在防御系统、诸如NIDPS的配置方面执行适配。相反地,在是客户端的网络节点情况下这样的适配是不可能的。这原因在于客户端从不固定的方位连接到网络,并且经常被更换。此外,不能准确预测在客户端上执行哪些应用程序。
汽车网络中的ECU(如果有的话)非常罕见被更换,并且于是经常也仅通过相同的副本被更换。因此,非常不可能的是,在网络的作用方式上发生一些变化。在汽车网络中,网络节点是完全已知的。分别运行在其上的服务器应用程序和客户端应用程序同样也是明确规定的,并且可以预先给定关于网络通信的细节。
在企业网络中,节点可以从外部建立连接到企业网中。在汽车网络中,网络的所有通信节点都是内部车辆网络的一部分。
在企业网络中,不同的用户典型地可以能够使用同一客户端。在汽车网络的ECU中不存在用户,而且仅存在实施其服务的服务器应用程序和客户端应用程序。
网络节点:
关于资源,企业网络的网络节点通常在资源强度方面(例如关于存储和性能)是汽车网络的ECU的多倍(um ein vielfaches ressourcenstärker als…)。
关于软件,在企业网络中网络节点大多数装备有广泛流行的标准操作系统和标准软件,对于所述标准操作系统和标准软件而言安全漏洞是已知的。因此,企业网络中NIDPS系统的重点在于在试图充分利用已知的安全漏洞时基于签名地进行识别。汽车网络中的网络节点经常装备有不太流行的软件。来自用于企业网络的NIDPS系统的签名的大部分是不可应用的,并且也不存在关于特定地对于汽车网络已知的漏洞的较大数据库。
虽然,NIDPS的基本任务、也即对网络流量中的异常进行探测并且作出反应在企业网络和汽车网络情况下是相同。但是,从上述点变得清楚的是,用于汽车网络的高效NIDPS的基本作用方式原则上必须与用于企业网络的NIDPS的基本作用方式不同。由于在企业网络和汽车网络之间的这些功能差异,用于企业网络的NIDPS不能高效地被用于汽车网络。
用于汽车网络的NIDPS必须利用已知的和静态的网络结构以及网络参与者的显著较小的动态性,以便能够以有限的资源高效地探测异常。
在下文中描述面向服务的架构方面和面向服务的协议方面。也已知为service-oriented architecture(面向服务的架构(SOA))的面向服务的架构是来自分布式系统领域的信息技术的架构模式,以便结构化和使用IT系统的服务。在网络中在服务提供商(“Service(服务)”)和服务用户(“Client(客户端)”)之间的交互典型地根据以下模式运行:
1)服务提供商发布或注册其服务。
2)想要使用服务的软件组件在目录中查找所述服务。
如果找到合适的服务,则可以转到下一步骤。
3)进行使用的组件从目录中获得参考(Reference)(地址),其中所述组件可以在所述参考下访问服务。函数调用被绑定到该地址。
4)调用服务。输入参数被传送给服务,并且提供回输出参数作为对该调用的应答。
步骤1)到3)用于借助于集中式目录标识所提供的服务,并且查明可以如何对所述服务响应。这也称为“服务发现(Service Discovery)”。在一些面向服务的协议中,根据所谓的“发布/订阅(Publish/Subscibe)”模式即使在无集中式目录的情况下也实施“服务发现”,其方式是组件通过多播宣布(“publish(发布)”)它们的所提供的服务,并且如果必要,服务用户对于特定的服务注册(“订阅(subscribe)”)。
通常,存在标识符,用以在面向服务的通信的数据分组中参看(auf…verweisen)各个服务提供商和服务用户(Dienstnehmer)。这些标识符在下文中对于“服务提供商”称为“服务ID”或对于服务用户称为“客户端ID”。在特定的面向服务的通信协议中对此也可以使用其他名称。通常,还存在标识符,用以表示数据分组的消息类型。在下文中,该标识符被称为“消息类型(Message Type)”。例如,服务用户对服务提供商的询问被称为消息类型“请求”,并且服务提供商对服务用户应答被称为消息类型“响应”。
实现面向服务的通信架构的中间件例如是基于IP的可扩展的面向服务的中间件(Scalable Service-Oriented Middleware over IP, SOME/IP)或数据分发服务(DataDistribution Service, DDS)。两者均被使用在汽车领域中。
这些中间件定义相应的通信协议,所述通信协议详细说明在面向服务的中间件之内如何交换数据的方式。对于SOME/IP,这里通常谈及SOME/IP协议。
图1示出通信网络100的示意图。通信网络100包括通信关系的第一端点102和通信关系的第二端点104。第一端点102和第二端点104经由连接元件106、尤其是汽车以太网交换机连接。在该示例中,在通信关系中经由帧交换数据。连接元件106被构造用于接收帧并且根据来自帧的信息进行转发。在该示例中,通信网络100是汽车以太网网络。在该示例中,来自帧的信息是来自OSI模型的数据链路层(Sicherungsschicht)的信息。端点可以是车辆中的控制设备,所述控制设备经由汽车以太网网络通信。通信网络100包括分析装置108。分析装置108包括例如NIDPS。分析装置108例如布置在汽车以太网交换机中。在图1中示出在通信的连接元件106中的分析。代替地或附加地,分析也可以在通信的端点上、例如第一端点102或第二端点104上进行。分析装置108的一部分或分析装置108整体也可以布置在连接元件106之外,并且经由单独的接口或经由通信网络100与连接元件106或者与通信网络100连接或可连接。在该示例中,数据线路110布置在通信网络100中用于连接。也可以至少部分地设置无线连接。
在该示例中,第一端点102和第二端点104是已注册的端点。已注册的端点例如存储在分析装置108中的表格中。该表格可以根据通信网络100的设计或车辆中可用的服务提供商和服务用户的定义而静态地存储。对此也可以使用数据库。还可以在通信网络100的运行中学习并且存储已注册的端点。在面向服务的通信中,第一端点102和第二端点104既可以是发送机端点又可以是接收机端点。在面向服务的通信中,第一端点102和第二端点104既可以是服务提供商又可以是服务用户。对于分配给面向服务的通信的端点,也可以设置或存储一个已注册的组合或多个已注册的彼此组合。对于这种组合或对于各个已注册的端点也可以预先给定或存储用于面向服务的通信的方向。
在图2中示出了根据OSI模型的用于通信网络的协议层。根据OSI模型,表示层204、会话层206、传输层208、网络层210、数据链路层212和物理层214布置在应用层202下。
与此相对地,在下文中称为面向服务的通信协议的协议被组合为应用程序216。用于应用程序216的示例是HTTP、UDS、FTP、SMTP、POP、Telnet、DHCP、OPC UA、SOCKS、SOME/IP、DDS。用位于下面的协议218表示其他协议。对于位于下面的协议218的示例是TCP、UDP、SCTP、IP(IPv4,IPv6)、ICMP、以太网、令牌总线、令牌环、FDDI。
在以下的描述中,以SOME/IP为例描述作用方式。该作用方式可以相应地应用于其他面向服务的通信协议、例如DDS。
除了实际的通信协议之外,SOME/IP还定义了用于服务发现的自身机制,也即用于在运行时(zur Laufzeit)发现和管理服务。除了SOME/IP协议之外,SOME/IP为此详细说明SOME/IP服务发现(SOME/IP-SD)协议。经由SOME/IP-SD例如传输(übertragen):SOME/IP服务或SOME/IP客户端使用端点中的哪一个。由此,SOME/IP客户端可以发现SOME/IP服务,并且反之亦然。由此在SOME/IP服务与SOME/IP客户端之间的通信是可能的,并且反之亦然。
在图3中示出了SOME/IP报头。在图4中示出了SOME/IP-SD分组。在图5中示出了SOME/IP-SD IPv4端点选项(Endpunkt Option)。
如在下文中所描述的,利用典型地位于在通信网络100中实现面向服务的通信的协议之下的协议的信息来检验基于SOME/IP的面向服务的中间件的作用方式。
在面向服务的通信的数据分组中,例如在位于下面的协议层的报头中标识通信的所谓“端点”。例如,这些端点根据其MAC地址、IP地址或端口号被标识。
优选地,静态地(statisch)并且预先定义在其通信被分析的特定车辆中的通信关系的端点。在这种情况下,以下信息或其子集作为“系统知识”被提供给NIDPS:
-传输层的端口,所述端口被用于面向服务的通信。
-由服务提供商(“服务”)使用的和由服务用户(“客户端”)使用的已注册的端点。
-用于服务提供商的已注册的标识符-“服务ID”和用于服务用户的已注册的标识符-“客户端ID”。
-对于每个“服务ID”,允许提供通过“服务ID”表示的服务的已注册的端点的列表。
-对于每个“客户端ID”,允许使用通过“客户端ID”表示的服务的已注册的端点的列表。
-服务用户和服务提供商的已注册的组合:“客户端ID”和“服务ID”的已注册的组合和/或端点的已注册的组合,即哪个端点对于哪个服务提供商(服务)允许是服务用户(客户端)。
根据图6描述一种用于分析用以识别异常的方法。在面向服务的通信中提供的Service(服务)、也即服务标识在下文中用“服务ID”表示。在面向服务的通信中提供的服务的Client(客户端)、也即服务用户标识在下文中用“客户端ID”表示。
该方法例如在NIDPS获得数据分组时开始。在数据分组中包含的报头优选相继地被分析。也可以对一个特定的报头或多个特定的报头进行分析。
在步骤602中,检验数据分组是否属于面向服务的通信。如果这是这种情况,则实施步骤604。否则,结束该方法。
在步骤604中,由NIDPS检验在已注册的端点之间是否交换数据分组。
NIDPS优选地检验是否由已注册的端点发送数据分组。NIDPS优选地检验数据分组是否被发送给已注册的端点。
如果数据分组在已注册的端点之间被发送,则实施步骤606。否则,实施步骤616。
在步骤606中,由NIDPS检验是否在针对在数据分组中证明的“服务ID”或“客户端ID”注册的端点之间交换数据分组。
NIDPS优选地对于数据分组的发送机端点和接收机端点检验所述发送机端点和接收机端点是对应于在数据分组中证明的服务提供商(通过其“服务ID”证明),还是对应于在消息中证明的服务用户(通过其“客户端ID”证明)。 NIDPS优选地检验数据分组的发送机端点和接收机端点是否构成已注册的组合。
如果在针对在数据分组中证明(ausgewiesenen)的“服务ID”或“客户端ID”注册的端点之间交换数据分组,则实施步骤608。否则,实施步骤616。
在步骤608中,由NIDPS根据端点检验数据分组是否在与消息类型相对应的方向上在服务用户和服务提供商之间被交换。
对于数据分组,优选地检验该数据分组是否在与消息类型相对应的方向上在服务用户和服务提供商之间被发送。对于SOME/IP,不能单独地从SOME/IP报头中提取该信息。如在图3中可以看出的,SOME/IP报头不包含关于数据分组是否从SOME/IP服务被发送到SOME/IP客户端或反之亦然的信息。而对发送机端点和接收机端点的分析允许这样的分析。这允许NIDPS检验特定的端点是否如所设置的那样作为客户端或作为服务进行交互。
如果在与消息类型相对应的方向上在服务用户和服务提供商之间交换数据分组,则实施步骤610。否则,实施步骤616。
在步骤610中,由NIDPS检验在“服务发现”阶段期间作为服务的端点传送的端点是否是用于服务的已注册的端点。
例如,检验SOME/IP-SD分组中的信息。如在图4中所示的,SOME/IP-SD分组由报头(Header)、所谓的“条目数组(Entries Array)”和“选项数组(Options Array)”构成。图5示出“选项数组”中的项,在所述项中传送IPv4端点、也即IPv4地址、端口号以及关于所使用的传输协议的信息。这允许NIDPS检验仅也针对SOME/IP通信预测的端点在SOME/IP-SD分组中作为端点被传输。
如果在“服务发现”阶段期间作为服务的端点传送的端点是用于服务的已注册的端点,则实施步骤612。否则,实施步骤616。
在步骤612中,由NIDPS检验关于在“服务发现”阶段期间传送的端点的信息是否是针对相关“服务ID”或相关“客户端ID”的已注册的端点。
该检验优选地考虑:不仅“发布”消息中的特殊“服务ID”的服务而且“订阅”消息中的特殊“客户端ID”的服务用户在不同的“服务发现”消息中通知其端点。
如果关于在“服务发现”阶段期间传送的端点的信息是针对相关“服务ID”或相关“客户端ID”的已注册的端点,则实施步骤614。否则,实施步骤616。
在步骤614中,作为对数据分组的分析的结果确定出未标识对通信网络100的攻击。优选地输出该信息。
然后,针对该数据分组结束该方法。对于其他数据分组,同样进行处理。
在步骤616中,作为对数据分组的分析的结果确定出存在对通信网络100的攻击。优选地输出该信息。
然后,针对该数据分组结束该方法。对于其他数据分组,同样进行处理。
所描述的步骤可以以该顺序或以另外的顺序被实施。不必对每个分组实施全部或相同的步骤。
利用该方法可以在汽车以太网网络中分析在现有以太网端口处的网络流量。根据分析,可以标识由攻击者在网络中引起的异常。在该示例中,所述分析在汽车以太网交换机处运行,其中数据分组到达其硬件端口或交换机端口。该分析还可以在车辆中在汽车以太网网络的任何其他参与者处进行。可以规定,在汽车网络上(auf im Automotive-Netzwerk)标识网络流量中的异常并且对所述攻击作出反应。
由于使用根据OSI模型处于实现面向服务的中间件的协议之下的协议的信息,实现以下方面:
-确保仅由允许的网络参与者发送数据分组。例如,可以用“端点”来标识网络参与者。端点例如通过IP地址、端口号和使用哪种传输协议的信息被标识。
-检验在面向服务的通信之内在哪些网络参与者之间交换数据分组。尤其是当来自面向服务的通信协议的数据分组的信息不一定可用时,这是有利的。
-检验在面向服务的通信协议的发现阶段、即所谓“服务发现”期间,仅允许的端点被传达给网络参与者。
Claims (14)
1.一种用于在通信网络(100)中分析面向服务的通信的方法,其特征在于,数据分组包括用于面向服务的通信的应用层(216)的第一报头,并且包括用于在通信网络(100)中进行通信的与所述应用层不同的协议层(218)的第二报头、尤其是表示层(204)、会话层(206)、传输层(208)、网络层(210)、数据链路层(212)或物理层(214)的第二报头,其中,对于所述数据分组根据来自所述第一报头的关于所述数据分组的发送机和/或接收机的信息以及根据来自所述第二报头的关于发送机和/或接收机的信息分析所述数据分组是否满足准则,其中所述准则根据所述第二报头的内容定义在所述第一报头中的用于所述发送机和/或接收机的额定值,和/或其中所述准则根据所述第一报头的内容定义在所述第二报头中的用于所述发送机和/或接收机的额定值。
2.根据权利要求1所述的方法,其特征在于,所述额定值定义至少一个已注册的端点(102、104),其中,根据所述报头的内容检验(604):是否由已注册的端点(102、104)发送所述数据分组,和/或是否将所述数据分组发送给已注册的端点(102、104)。
3.根据权利要求1或2所述的方法,其特征在于,所述额定值定义已注册的端点(102、104),其中,根据所述报头的内容检验(604):是否在针对所述面向服务的通信注册的端点(102,104)之间交换所述数据分组。
4.根据前述权利要求中任一项所述的方法,其特征在于,所述额定值定义至少一个已注册的端点(102、104),其中所述数据分组包括服务标识,其中,对于所述数据分组的发送机端点(102、104)检验(606):所述发送机端点是否对应于在所述数据分组中证明的服务提供商,所述服务提供商通过其服务标识证明,以及对于所述数据分组的接收机端点(102、104)检验(606):所述接收机端点是否对应于在所述数据分组中证明的服务用户,所述服务用户通过其客户端标识证明。
5.根据前述权利要求中任一项所述的方法,其特征在于,所述额定值定义至少一个已注册的端点(102、104),其中所述数据分组包括客户端标识,其中对于所述数据分组的发送机端点(102、104)检验(606):所述发送机端点是否对应于在所述数据分组中证明的服务用户,所述服务用户通过其客户端标识证明,以及对于所述数据分组的接收机端点(102、104)检验(606):所述接收机端点是否对应于在所述数据分组中证明的服务提供商,所述服务提供商通过其服务标识证明。
6.根据前述权利要求中任一项所述的方法,其特征在于,所述额定值定义已注册的端点(102、104),其中所述数据分组包括服务标识和客户端标识,其中,检验(606)是否在针对在所述数据分组中证明的服务标识和客户端标识注册的端点(102、104)之间交换所述数据分组,尤其是其中检验所述数据分组的发送机端点(102、104)和接收机端点(102、104)是否构成已注册的组合。
7.根据前述权利要求中任一项所述的方法,其特征在于,所述数据分组包括关于消息类型的信息,其中检验(608)是否在与所述消息类型相对应的方向上在服务用户和服务提供商之间交换所述数据分组,和/或其中根据关于所述数据分组的发送机端点(102、104)和/或接收机端点(102、104)的信息定义方向,其中检验(608):是否在该方向上在服务用户和服务提供商之间交换所述数据分组。
8.根据前述权利要求中任一项所述的方法,其特征在于,在服务发现阶段期间检验:对于传送关于提供服务的端点(102、104)的信息所利用的数据分组而言,所述端点(102、104)是否是注册为服务提供商的端点(102、104)(610)和/或是否是对于所述服务注册为服务提供商的端点(102、104)(612)。
9.根据前述权利要求中任一项所述的方法,其特征在于,在服务发现阶段期间检验:对于传送关于询问服务的端点(102、104)的信息所利用的数据分组而言,所述端点(102、104)是否是注册为服务用户的端点(102、104)(610)和/或是否是对于所述服务注册为服务用户的端点(102、104)(612)。
10.根据前述权利要求中任一项所述的方法,其特征在于,如果不满足所述准则,则对所述通信网络(100)的攻击或异常被识别。
11.根据前述权利要求中任一项所述的方法,其特征在于,在检验所述准则之前,检验(602)所述数据分组是否属于面向服务的通信,其中当所述数据分组属于面向服务的通信时,实施对所述准则的检验,而否则不发生。
12.一种用于在通信网络(100)中分析面向服务的通信的设备,其特征在于,所述设备包括分析装置(108),所述分析装置布置连接元件(106)、尤其是汽车以太网交换机中,用于在通信网络中连接数据线路( 110)用于传送数据分组,或者与所述连接元件(106)连接或可连接用于通信,其中所述分析装置(108)被构造用于实施根据权利要求1至10中任一项所述的方法。
13.一种计算机程序,其特征在于,所述计算机程序包括计算机可读指令,当由计算机实施所述计算机可读指令时,实施根据权利要求1至10中任一项所述的方法。
14.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机可读存储介质,在所述计算机可读存储介质上存储有根据权利要求12所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102019210229.8A DE102019210229A1 (de) | 2019-07-10 | 2019-07-10 | Verfahren und Vorrichtung zur Analyse dienste-orientierter Kommunikation |
| DE102019210229.8 | 2019-07-10 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112217781A true CN112217781A (zh) | 2021-01-12 |
Family
ID=74059139
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010655701.4A Pending CN112217781A (zh) | 2019-07-10 | 2020-07-09 | 用于分析面向服务的通信的方法及设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11533388B2 (zh) |
| CN (1) | CN112217781A (zh) |
| DE (1) | DE102019210229A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112804249A (zh) * | 2021-01-28 | 2021-05-14 | 中汽创智科技有限公司 | 远程调用自动驾驶平台的数据通信方法及系统 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11683369B2 (en) * | 2019-11-21 | 2023-06-20 | Nxp Usa, Inc. | System for centralized data collection in a distributed service-oriented system |
| DE102020104408A1 (de) | 2020-02-19 | 2021-08-19 | HELLA GmbH & Co. KGaA | Fahrzeugkomponente zur Bereitstellung wenigstens eines Dienstes in einem Fahrzeug mit einer Vorfiltereinheit |
| KR20210120287A (ko) * | 2020-03-26 | 2021-10-07 | 현대자동차주식회사 | 진단 시스템 및 차량 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101606373A (zh) * | 2006-12-29 | 2009-12-16 | 意大利电信股份公司 | 用于分组交换网络的通信方法和采用该方法的网络 |
| US20110134930A1 (en) * | 2009-12-09 | 2011-06-09 | Mclaren Moray | Packet-based networking system |
| US8069483B1 (en) * | 2006-10-19 | 2011-11-29 | The United States States of America as represented by the Director of the National Security Agency | Device for and method of wireless intrusion detection |
| US20120173905A1 (en) * | 2010-11-03 | 2012-07-05 | Broadcom Corporation | Providing power over ethernet within a vehicular communication network |
| CN102959924A (zh) * | 2010-06-30 | 2013-03-06 | 西门子公司 | 用于在分组交换通信网络中过滤并且处理数据的方法 |
| CN102971991A (zh) * | 2010-04-23 | 2013-03-13 | 瑞典爱立信有限公司 | 通过分组交换网络在分组伪线上传送的分组的有效封装 |
| US20160308886A1 (en) * | 2015-04-16 | 2016-10-20 | International Business Machines Corporation | Preventing network attacks on baseboard management controllers |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1589716A1 (en) * | 2004-04-20 | 2005-10-26 | Ecole Polytechnique Fédérale de Lausanne (EPFL) | Method of detecting anomalous behaviour in a computer network |
| JP4855162B2 (ja) * | 2006-07-14 | 2012-01-18 | 株式会社日立製作所 | パケット転送装置及び通信システム |
| CN105379318A (zh) * | 2014-03-19 | 2016-03-02 | 华为技术有限公司 | 组通信装置和方法 |
| US10270812B2 (en) * | 2016-05-31 | 2019-04-23 | Apple Inc. | Registration management for a secondary wireless device using a primary wireless device |
| CN109479011B (zh) * | 2016-07-18 | 2023-06-09 | 意大利电信股份公司 | 分组交换通信网络中的业务监视 |
| US10904366B2 (en) * | 2018-10-19 | 2021-01-26 | Charter Communications Operating, Llc | Assuring data delivery from internet of things (IoT) devices |
| US11296783B2 (en) * | 2019-03-27 | 2022-04-05 | Juniper Networks, Inc. | Managing satellite devices within a branch network |
-
2019
- 2019-07-10 DE DE102019210229.8A patent/DE102019210229A1/de active Pending
-
2020
- 2020-07-01 US US16/919,064 patent/US11533388B2/en active Active
- 2020-07-09 CN CN202010655701.4A patent/CN112217781A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8069483B1 (en) * | 2006-10-19 | 2011-11-29 | The United States States of America as represented by the Director of the National Security Agency | Device for and method of wireless intrusion detection |
| CN101606373A (zh) * | 2006-12-29 | 2009-12-16 | 意大利电信股份公司 | 用于分组交换网络的通信方法和采用该方法的网络 |
| US20110134930A1 (en) * | 2009-12-09 | 2011-06-09 | Mclaren Moray | Packet-based networking system |
| CN102971991A (zh) * | 2010-04-23 | 2013-03-13 | 瑞典爱立信有限公司 | 通过分组交换网络在分组伪线上传送的分组的有效封装 |
| CN102959924A (zh) * | 2010-06-30 | 2013-03-06 | 西门子公司 | 用于在分组交换通信网络中过滤并且处理数据的方法 |
| US20120173905A1 (en) * | 2010-11-03 | 2012-07-05 | Broadcom Corporation | Providing power over ethernet within a vehicular communication network |
| US20160308886A1 (en) * | 2015-04-16 | 2016-10-20 | International Business Machines Corporation | Preventing network attacks on baseboard management controllers |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112804249A (zh) * | 2021-01-28 | 2021-05-14 | 中汽创智科技有限公司 | 远程调用自动驾驶平台的数据通信方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11533388B2 (en) | 2022-12-20 |
| DE102019210229A1 (de) | 2021-01-14 |
| US20210014340A1 (en) | 2021-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112217781A (zh) | 用于分析面向服务的通信的方法及设备 | |
| JP4664143B2 (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| Nam et al. | Enhanced ARP: preventing ARP poisoning-based man-in-the-middle attacks | |
| US10637794B2 (en) | Resource subscription method, resource subscription apparatus, and resource subscription system | |
| KR102227933B1 (ko) | 통신 네트워크를 위한 방법 및 전자 제어 유닛 | |
| US20030210699A1 (en) | Extending a network management protocol to network nodes without IP address allocations | |
| Wu et al. | A source address validation architecture (SAVA) testbed and deployment experience | |
| US9621512B2 (en) | Dynamic network action based on DHCP notification | |
| EP1561330A2 (en) | System and method for discovery and configuration | |
| EP3142322B1 (en) | Auto configuration server and method | |
| US11765256B2 (en) | Method and device for analyzing service-oriented communication | |
| TWI315139B (zh) | ||
| US11082502B2 (en) | Policy architecture for cable networks | |
| US20100023620A1 (en) | Access controller | |
| CN112217783A (zh) | 用于在通信网络中的攻击识别的设备和方法 | |
| US20080201477A1 (en) | Client side replacement of DNS addresses | |
| US20040117473A1 (en) | Proxy network control apparatus | |
| WO2003073696A1 (en) | System for intercepting network access and method thereof | |
| EP4342149A1 (en) | Border gateway protocol (bgp) flowspec origination authorization using route origin authorization (roa) | |
| US20060185009A1 (en) | Communication apparatus and communication method | |
| Caiazza et al. | TCP‐based traceroute: An evaluation of different probing methods | |
| CN114513549B (zh) | 通信方法及装置 | |
| CN114598677B (zh) | Cdn调度方法及系统、智能网卡、电子设备 | |
| EP4432604A1 (en) | Passing connected device identity to service in customer-premises equipment | |
| US10841283B2 (en) | Smart sender anonymization in identity enabled networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |