CN112217783A - 用于在通信网络中的攻击识别的设备和方法 - Google Patents
用于在通信网络中的攻击识别的设备和方法 Download PDFInfo
- Publication number
- CN112217783A CN112217783A CN202010655744.2A CN202010655744A CN112217783A CN 112217783 A CN112217783 A CN 112217783A CN 202010655744 A CN202010655744 A CN 202010655744A CN 112217783 A CN112217783 A CN 112217783A
- Authority
- CN
- China
- Prior art keywords
- information
- data packet
- physical port
- allowed
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000004891 communication Methods 0.000 title claims description 24
- 230000008569 process Effects 0.000 claims abstract description 7
- 230000003068 static effect Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims 4
- 230000005540 biological transmission Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用于异常识别的方法和设备,其中所述设备包括至少一个端口(110‑1、110‑2)以及计算装置(112),其中所述至少一个端口(110‑1、110‑2)被构造为处理、尤其是发送或接收数据包,其中所述计算装置(112)被构造为:根据关于在其上处理所述数据包的物理端口的第一信息并且根据来自所述数据包的至少一个协议报头中的第二信息来检查:所要处理的具有所述第二信息的数据包是否允许在所述物理端口上被处理,其中如果查明所述数据包不允许在所述物理端口上被处理,则识别出异常。
Description
技术领域
本发明的出发点是一种用于在通信网络中的攻击识别的方法和设备。
背景技术
对于攻击识别来说,使用“网络入侵检测与防范系统(Network IntrusionDetection and Prevention Systems)”(NIDPS),该“网络入侵检测与防范系统”的任务是标识在分布式计算机系统的网络传输中的异常并且对在分布式计算机系统的网络传输中的异常做出反应。NIDPS是通常被用于检测并且防止对公司网络、即所谓的企业(Enterprise)网络的攻击的系统。NIDPS也可以被用在汽车网络中。汽车网络是具有“电子控制单元(Electronic Control Units)”(ECUs)作为网络节点的车辆的内网。
由于企业网络与汽车网络之间的功能上的区别,用于企业网络的NIDPS并不能有效地被用于汽车网络。
因而,值得期望的是提供一种用于汽车网络的NIDPS。
发明内容
这通过独立权利要求的主题来实现。为了提供一种用于汽车网络的NIDPS,应考虑汽车网络与企业网络的区别。这些区别例如是它们的网络结构、网络动态性以及它们的网络节点。
网络结构:
企业网络通常遵循客户端-服务器模型(Client-Server-Modell),在该客户端-服务器模型中存在数目较少的专用服务器网络节点,这些专用服务器网络节点向通常数目较多的客户端网络节点提供服务。汽车网络由ECU组成,在这些ECU上不仅实施服务器应用程序而且实施客户端应用程序。
企业网络通常比汽车网络大得多且复杂得多。整个企业网络通常细分程度更高,在物理上或在逻辑上被分成不同的区和子网。在典型的汽车网络中的ECU如果有的话通过所谓的“网关(Gateways)”只是被分成很少的子网或者在逻辑上在以太网层通过所谓的“虚拟局域网(Virtual Local Area Networks,VLANs)”来分开。
网络动态性:
企业网络和汽车网络在用来改变和运行网络的动态性方面有区别。
在企业网络中,网络节点可以任意地被更换。对于在服务器网络节点处的改变来说,通常还可以执行在防御系统、诸如NIDPS的配置方面的适配。而这种配置在客户端网络节点处是不可能的。原因在于,客户端从不断变化的位置被连接到网络并且常常被更换。此外,并不能精确地预测哪些应用程序在客户端上被实施。
在汽车网络中的ECU如果有的话很少被更换并且那么常常也只是被相同的复制品更换。因而,不太可能在网络的工作原理方面发生任何变化。在汽车网络中,网络节点是众所周知的。同样,在其上分别运行的服务器和客户端应用程序经过明确限定,并且关于网络通信的细节可以预先给定。
在企业网络中,外部节点可以建立到公司网络内部中的连接。在汽车网络中,网络的所有通信节点都是车辆内网的部分。
在企业网络中,通常不同的用户可以使用相同的客户端。在汽车网络的ECU中不存在用户,而是只有服务器和客户端应用程序在起作用。
网络节点:
就资源而言,企业网络的网络节点通常在资源方面(例如关于存储和性能方面)是汽车网络的ECU的很多倍。
就软件而言,在企业网络中,网络节点大多配备有广泛流行的标准操作系统和标准软件,安全漏洞对于这些标准操作系统和标准软件来说是已知的。因此,在企业网络中的NIDPS系统的重点在于:当尝试利用已知的安全漏洞时基于签名地识别出来。在汽车网络中的网络节点常常配备有不那么流行的软件。来自用于企业网络的NIDPS系统中的大部分签名无法使用,而且没有关于专门针对汽车网络已知的漏洞的较大数据库。
虽然,NIDPS的基本任务、也就是说检测在网络传输中的异常并且对在网络传输中的异常做出反应,在企业网络和汽车网络的情况下相同。但是,从上文提到的几点能看出:用于汽车网络的有效NIDPS的基本工作原理原则上必须不同于用于企业网络的NIDPS的基本工作原理。用于汽车网络的NIDPS必须利用已知的且静态的网络结构以及网络成员的低得多的动态性,以便可以利用有限的资源有效地检测异常。
用于在车辆的通信网络中的异常识别的方法规定:根据关于在其上处理数据包的物理端口的第一信息并且根据来自该数据包的至少一个协议报头中的第二信息来检查:所要处理的具有该第二信息的数据包是否允许在该物理端口上被处理,其中如果查明该数据包不允许在该物理端口上被处理,则识别出异常。在“汽车以太网”交换机(“AutomotiveEthernet”-Switch)中,分析在现有的硬件端口、也就是说交换机端口处的网络传输。由此来标识攻击者在网络中所引起的异常。异常识别基于网络数据包的协议数据字段。异常识别基于来自该至少一个协议报头的虚拟信息与关于该物理端口的关于这些网络数据包在哪个交换机端口上被发送和接收的物理信息的结合。这种形式的异常识别尤其是在车辆的静态的通信网络中特别有效。
优选地,第二信息根据至少一个数据包的至少一个协议数据字段被确定。协议数据字段的内容能被攻击者更改。与此相应地,车辆的静态的通信网络附加地通过嵌入到车辆中被保护以防攻击。借此,物理端口难以改变。对协议数据字段的分析能够实现:通过与这些协议数据字段的对照来可靠地识别攻击。
在一个方面,将关于在其上接收该数据包的物理端口的物理信息确定为第一信息,其中检查具有该第二信息的数据包是否允许在该物理端口上被接收。这尤其是针对如下情况提高了在通信网络中的异常识别的灵活性:存在多个端口,在这些端口上允许或禁止对某些数据包的接收。
在另一方面,将关于应该在其上发送该数据包的物理端口的物理信息确定为第一信息,其中检查具有该第二信息的数据包是否允许在该物理端口上被发送。这尤其是针对如下情况提高了在通信网络中的异常识别的灵活性:存在多个端口,在这些端口上允许或禁止对某些数据包的发送。
优选地,根据至少一个尤其是在列表或表格中被提供的优选地静态的分配来检查:该数据包是否允许在该端口上被处理,其中该分配将第二信息的一个或多个允许或禁止的内容分配给一个物理端口或多个物理端口。尤其是静态的分配能够实现依据至少一个协议数据字段的内容对允许或不允许的处理的迅速对照。
优选地,第二信息包括链接多个协议数据字段的链接,其中该分配使至少两个协议数据字段的至少一个链接与至少一个物理端口彼此分配。依据多个协议数据字段的内容的检查能够实现进一步的情况区分。例如,按照ISO/OSI模型的不同协议层的协议数据字段可以被链接,以便针对某些物理端口预先给定容许的或不容许的数据包。例如,按照ISO/OSI模型的同一协议层的协议数据字段可以被链接,以便限定发送方和接收方或者具有关于发送方和/或接收方的信息的消息类型,用于区别不同的允许或不允许的组合。
优选地,第二信息包括数据包的发送方或接收方的地址、尤其是来自不同协议层的地址信息。这是特别易于检查的信息,利用该信息能特别有效地识别伪造的地址。术语地址这里应被理解为来自不同协议层的地址信息、例如IP地址或MAC地址的上位概念。
用于异常识别的设备包括至少一个端口以及计算装置,其中该至少一个端口被构造为处理、尤其是发送或接收数据包,其中该计算装置被构造为:根据关于在其上处理该数据包的物理端口的第一信息并且根据来自该数据包的至少一个协议报头中的第二信息来检查:所要处理的具有该第二信息的数据包是否允许在该物理端口上被处理,其中如果查明该数据包不允许在该物理端口上被处理,则识别出异常。该设备可以特别有效地被用作在车辆的尤其是静态的通信网络中的交换机或终端设备。
优选地,该计算装置被构造为:根据至少一个数据包的至少一个协议数据字段来确定第二信息。该计算装置总归对协议数据字段进行检查,以便能够实现对数据包的处理。借此,在该检查中,该计算装置可以在异常识别方面特别有效地对所要处理的数据包进行检查。
在一个方面,该计算装置被构造为:将关于在其上接收该数据包的物理端口的物理信息确定为第一信息;并且检查具有该第一信息的数据包是否允许在该物理端口上被接收。在绝大部分静态的通信网络中,在很大程度上规定用于接收某些数据包的端口。对该附加信息的考虑进一步改善了异常识别。
在另一方面,该计算装置被构造为:将关于应该在其上发送该数据包的物理端口的物理信息确定为第一信息,其中检查具有该第二信息的数据包是否允许在该物理端口上被发送。在绝大部分静态的通信网络中,在很大程度上规定用于发送某些数据包的端口。对该附加信息的考虑进一步改善了异常识别。
优选地,该计算装置被构造为:根据至少一个尤其是在列表或表格中被提供的优选地静态的分配来检查:该数据包是否允许在该端口上被处理,其中该分配将第二信息的一个或多个允许或禁止的内容分配给一个物理端口或多个物理端口。该分配例如针对车辆制造商的通信网络被规定。使用该信息附加地改善了异常识别。
优选地,该计算装置被构造为:将第二信息确定为数据包的多个协议数据字段的链接,其中该分配使至少两个协议数据字段的至少一个链接与至少一个物理端口彼此分配。该链接能够实现进一步的对于异常识别来说有利的情况区分。
优选地,该计算装置被构造为处理第二信息,该第二信息包括数据包的发送方或接收方的地址。这是能特别有效地通过车辆的制造商来预先给定并且能在异常识别中检查的信息。
附图说明
其它有利的实施方式从如下的描述和附图中得到。在附图中:
图1示出了用于攻击识别的设备的示意图;
图2示出了数据包的示意图;
图3示出了在用于攻击识别的方法中的步骤。
具体实施方式
图1示意性地示出了在车辆102中的通信网络100。通信网络100包括第一网络成员104、第二网络成员106和连接元件108。连接元件108例如是交换机、尤其是汽车以太网交换机。连接元件108包括多个端口,示意性地示出了这些端口中的第一端口110-1和第二端口110-2。在图1中示意性地示出了两个端口,也可以设置更多或更少的端口110。在本例中,这些端口是硬件端口,这些硬件端口也被称作硬件交换机端口。在本例中,在通信网络100中的通信按照汽车以太网来进行。用该汽车以太网来表示例如按照100BASE-T1版本1.0、1000BASE-T1或100BASE-TX的以太网技术。
连接元件108被构造为:处理在这些端口之一上进入的数据包。这些数据包或者它们的副本可以在该端口或另一端口上被输出或丢弃。
连接元件108包括计算装置112,该计算装置被构造为处理这些数据包。计算装置112可以实现为交换机硬件114的部分。计算装置112可以分布式地布置,尤其是分布到交换机硬件114的一部分和微控制器116上地布置,该微控制器与交换机硬件114的该部分通过数据线118来连接或能连接。
在下文描述了在用于车辆102的通信网络100中的攻击识别,利用该攻击识别可以在具有汽车以太网连接的设备上识别在数据传输中的异常。对在数据传输中的异常的识别借助于“基于网络的入侵检测与防范系统(Network-based Intrusion Detection andPrevention Systems)”(NIDPS)来实现。该设备可以是汽车以太网交换机或者是通过汽车以太网连接到车辆102中的通信网络100上的其它设备。
图2示意性地示出了用于在通信网络100中的数据传输的数据包200。数据包200包括多个协议报头。示例性的协议是因特网协议IP、基于IP的可扩展面向服务中间件(Scalable service-Oriented MiddlewarE over IP)SOME/IP和用户数据报协议(UserDatagram Protocol)UDP。该方法同样能应用于其它协议,例如传输控制协议(Transmission Control Protocol)TCP、数据分发服务(Data Distribution Service)DDS、因特网协议诊断(Diagnostics over Internet Protocol)DoIP或者音视频桥接(Audio Video Bridging)AVB。
在本例中,使用IP协议的第4版、也就是说IPv4。也可以使用第6版、也就是说IPv6。
在本例中,数据包200包括第一协议报头202、尤其是以太网报头。在本例中,数据包200包括第二协议报头204、尤其是IPv4报头。在本例中,数据包200包括第三协议报头206、尤其是UDP报头。在本例中,数据包200包括第四协议报头208、尤其是SOME/IP报头。
协议报头包括至少一个协议数据字段。在本例中,第一协议报头202包括四个协议数据字段。在本例中,以太网报头针对发送方MAC地址210、接收方MAC地址212、虚拟局域网VLAN标识符214和以太网类型216包括各一个协议数据字段。
在本例中,第二协议报头204包括三个协议数据字段。在本例中,IPv4报头针对协议标识符218、源IP地址220和目的IP地址222包括各一个协议数据字段。
在本例中,第三协议报头206包括两个协议数据字段。在本例中,UDP报头针对源端口标识符224和目的端口标识符226包括各一个协议数据字段。
在本例中,第四协议报头208包括三个协议数据字段。在本例中,SOME/IP报头针对服务ID 228、方法ID 230和客户端ID 232包括各一个协议数据字段。
数据包200还包括有效载荷234。
来自这些协议报头中的信息被称作虚拟信息。原则上,在这些协议报头中的信息能由发送方任意地选择。因而,该信息对于可能的攻击来说能改变。
相反,在哪个端口上接收数据包的信息是可以由接收设备查明的物理事实。
多种网络攻击的基础都是伪造数据包中的虚拟信息、诸如MAC或IP地址。通过伪造其IP地址,攻击者例如可能会以其它网络成员的身份出现并且由此使用在网络中的对于该攻击者来说原本不被允许的某些服务。对于诸如SOME/IP那样的汽车协议来说,伪造像客户端ID或消息ID那样的数据字段同样可能,以便实现诸如不被允许地使用服务那样的攻击目的。
使这种攻击变得困难的一种途径是使用加密协议来保护通信信道、例如借助于因特网协议安全(Internet Protocol Security)IPsec或者传输层安全(Transport LayerSecurity)TLS来保护通信信道。不过,通信信道的终端节点必须支持这些协议。这些加密协议以及与之相关且必需的基础设施提高了可能在汽车网络中投入的花费。
与此相应地,通过在下文所描述的方法可靠地识别攻击并且可选地报告攻击。该方法例如在接收到数据包200时开始。
在步骤302中,根据至少一个数据包200的至少一个协议数据字段来确定虚拟信息。
在步骤304中,确定关于在其上处理该数据包200的端口的物理信息。
例如确定:数据包200是在哪个端口上被接收到的或者数据包200应该在哪个端口上被发送。
步骤302和304也可以以相反的顺序进行。
在步骤306中,根据虚拟信息和物理信息来对数据包200进行检查。对于所要发送的数据包200来说,检查:具有该虚拟信息的数据包200是否允许在该物理端口上被发送。对于所接收到的数据包200来说,检查:具有该虚拟信息的数据包200是否允许在该物理端口上被接收。为此,例如检查分配列表或表格。其中该分配将虚拟信息的一个或多个允许或禁止的内容分配给一个物理端口或多个物理端口。例如发送方或接收方的地址、诸如MAC或IP地址用作虚拟信息的由该分配所分配的内容。接着,例如通过将来自数据包200中的协议报头的针对该数据包的MAC或IP地址的内容与由该分配所提供的MAC或IP地址进行逐位比较,可能进行有效的分配。对于诸如以太网类型或服务ID或客户端ID那样的其它内容来说,可以相对应地进行处理。关于例如在其上处理数据包200的物理端口的号码的信息总归存在于检查设备中。该号码同样例如在逐位比较中与由该分配预先给定的端口号进行比较。
该分配可以构造为黑名单(Blacklist)或白名单(Whitelist)。尤其可以规定:将对其来说查明有关于物理端口的信息和虚拟信息的从该分配中未知的组合的数据包200丢弃。
如果查明数据包200不允许在该端口上被处理,则实施步骤308。否则实施步骤310。
在步骤308中,识别出异常并且将数据包200丢弃。可选地,可以发送报告,以便报告该异常。可以规定:不将数据包200丢弃,而是按照这些协议之一移交数据包200用于进一步处理。该进一步处理可包括将该数据包转发。两种优选的、不排他的反应途径是:
1) 将数据包丢弃;
2) 发送报告。
紧接着,该方法结束。
在步骤310中,没有识别出异常,并且对数据包200进行处理。在本例中,数据包200被发送或者按照这些协议之一被移交用于进一步处理。
紧接着,该方法结束。
虚拟信息到物理端口上的这种链接的示例依据第一端口110-1和第二端口110-2来予以描述。NIDPS例如检查:具有特定的发送方MAC地址的数据包200是否只被第一端口110-1接收。此外,NIDPS可以依据接收方MAC地址来检查这种数据包200是否只在第二端口110-2上被发送。
虚拟信息到物理端口上的这种链接的另一示例依据来自虚拟信息中的关于数据包的发送方或接收方的信息来予以描述。NIDPS例如检查:具有特定的发送方MAC地址的数据包200是否只被第一端口110-1发送。此外,NIDPS可以依据接收方MAC地址来检查这种数据包200是否只在第二端口110-2上被接收。
通过该方法,NIDPS利用了汽车网络的如下特性:汽车网络是非常静态的并且事先被限定。因而,所需要的信息、例如哪个MAC地址可以在哪个物理交换机端口上被接收或发送,可以由汽车制造商在NIDPS系统知识的框架内提供。该机制利用了如下事实:在网络中的攻击者虽然也许能够伪造数据包的虚拟信息,但是他并不能伪造物理信息。
在一个方面,多个协议数据字段被链接并且这些链接被视为虚拟信息。除了根据单个协议数据字段所确定的虚拟信息之外或者替选于根据单个协议数据字段所确定的虚拟信息,NIDPS可以对由NIDPS所链接的该虚拟信息进行检查。例如检查:该链接是否允许在物理端口上被接收;或者该链接是否允许在物理端口上被发送。
例如,根据数据包200的同一协议报头的协议数据字段来检查:数据包200是否允许在该物理端口上被处理。例如,依据来自数据包200的IPv4报头中的源IP和目的IP来检查:数据包200是否允许在第二端口110-2上被处理。
例如,根据数据包200的不同协议报头的协议数据字段来检查:数据包200是否允许在该物理端口上被处理。例如,依据来自数据包200的IPv4报头中的源IP和来自数据包200的UDP报头中的源端口来检查:数据包200是否允许在第一端口110-1上被处理。
例如,根据数据包200的不同协议报头的多个协议数据字段来检查:数据包200是否允许在该物理端口上被处理。例如,依据来自数据包200的IPv4报头中的源IP和目的IP以及来自数据包200的UDP报头中的源端口和目的端口以及来自数据包200的SOME/IP报头中的服务ID和客户端ID来检查:数据包200是否允许在第一端口110-1上被处理。
对于应该在这些端口中的一个端口上被接收并且在这些端口中的另一个端口上或在同一端口上被发送的数据包200来说,也可以检查:该端口分配是否容许。例如,根据虚拟信息来检查:在第一端口110-1上被接收的数据包200是否允许在第二端口110-2上被发送。
对于每个任意的数据包来说,NIDPS例如都依据该系统知识来检查一方面该数据包的虚拟信息与另一方面物理信息的链接,该物理信息是:该数据包是在哪个物理端口上被接收到的以及该数据包应该在哪个物理端口上被发送。如果在对数据包进行检查时查明相对于NIDPS系统知识有矛盾,则这里涉及到很可能是由恶意攻击所引起的严重异常。
Claims (16)
1.一种用于在车辆的通信网络中的异常识别的方法,其特征在于,根据关于在其上处理数据包(200)的物理端口的第一信息并且根据来自所述数据包(200)的至少一个协议报头中的第二信息来检查:所要处理的具有所述第二信息的数据包(200)是否允许在所述物理端口上被处理,其中如果查明所述数据包(200)不允许在所述物理端口上被处理,则识别(306)出异常。
2.根据权利要求1所述的方法,其特征在于,所述第二信息根据至少一个数据包(200)的至少一个协议数据字段被确定(302)。
3.根据上述权利要求中任一项所述的方法,其特征在于,将关于在其上接收所述数据包(200)的物理端口的物理信息确定(304)为第一信息,其中检查(306)具有所述第二信息的数据包是否允许在所述物理端口上被接收。
4.根据权利要求1或2中任一项所述的方法,其特征在于,将关于应该在其上发送所述数据包(200)的物理端口的物理信息确定(304)为第一信息,其中检查(306)具有所述第二信息的数据包是否允许在所述物理端口上被发送。
5.根据上述权利要求中任一项所述的方法,其特征在于,根据至少一个尤其是在列表或表格中被提供的优选地静态的分配来检查:所述数据包(200)是否允许在所述端口上被处理,其中所述分配将所述第二信息的一个或多个允许或禁止的内容分配给一个物理端口或多个物理端口。
6.根据权利要求5所述的方法,其特征在于,所述第二信息包括链接多个协议数据字段的链接,其中所述分配使至少两个协议数据字段的至少一个链接与至少一个物理端口彼此分配。
7.根据上述权利要求中任一项所述的方法,其特征在于,所述第二信息包括所述数据包(200)的发送方或接收方的地址、尤其是来自不同协议层的地址信息。
8.一种用于异常识别的设备,其特征在于,所述设备包括至少一个端口(110-1、110-2)以及计算装置(112),其中所述至少一个端口(110-1、110-2)被构造为处理、尤其是发送或接收数据包(200),其中所述计算装置(112)被构造为:根据关于在其上处理所述数据包(200)的物理端口的第一信息并且根据来自所述数据包(200)的至少一个协议报头中的第二信息来检查:所要处理的具有所述第二信息的数据包(200)是否允许在所述物理端口上被处理,其中如果查明所述数据包(200)不允许在所述物理端口上被处理,则识别出异常。
9.根据权利要求8所述的设备,其特征在于,所述计算装置(112)被构造为:根据至少一个数据包(200)的至少一个协议数据字段来确定所述第二信息。
10.根据权利要求8或9所述的设备,其特征在于,所述计算装置(112)被构造为:将关于在其上接收所述数据包(200)的物理端口的物理信息确定为第一信息;并且检查具有所述第二信息的数据包是否允许在所述物理端口上被接收。
11.根据权利要求8至10中任一项所述的设备,其特征在于,所述计算装置(112)被构造为:将关于应该在其上发送所述数据包(200)的物理端口的物理信息确定为第一信息,其中检查具有所述第二信息的数据包是否允许在所述物理端口上被发送。
12.根据权利要求8至11中任一项所述的设备,其特征在于,所述计算装置(112)被构造为:根据至少一个尤其是在列表或表格中被提供的优选地静态的分配来检查:所述数据包(200)是否允许在所述端口上被处理,其中所述分配将所述第二信息的一个或多个允许或禁止的内容分配给一个物理端口或多个物理端口。
13.根据权利要求12所述的设备,其特征在于,所述计算装置(112)被构造为:将所述第二信息确定为所述数据包(200)的多个协议数据字段的链接,其中所述分配使至少两个协议数据字段的至少一个链接与至少一个物理端口彼此分配。
14.根据权利要求8至13中任一项所述的设备,其特征在于,所述计算装置(112)被构造为处理第二信息,所述第二信息包括所述数据包(200)的发送方或接收方的地址。
15.一种计算机程序,其特征在于,所述计算机程序包括计算机可读指令,在通过计算机来实施所述计算机可读指令的情况下,根据权利要求1至7中任一项所述的方法被实施。
16.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机可读存储介质,在其上存储有根据权利要求15所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102019210226.3A DE102019210226A1 (de) | 2019-07-10 | 2019-07-10 | Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk |
| DE102019210226.3 | 2019-07-10 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112217783A true CN112217783A (zh) | 2021-01-12 |
Family
ID=74059143
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010655744.2A Pending CN112217783A (zh) | 2019-07-10 | 2020-07-09 | 用于在通信网络中的攻击识别的设备和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20210014253A1 (zh) |
| CN (1) | CN112217783A (zh) |
| DE (1) | DE102019210226A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112666932A (zh) * | 2021-03-16 | 2021-04-16 | 奥特酷智能科技(南京)有限公司 | 基于DDS和DoIP技术的自动驾驶远程诊断方法及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113346980B (zh) * | 2021-08-02 | 2023-08-11 | 浙江国利信安科技有限公司 | 用于消息转发的方法、电子设备和计算机存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1437114A (zh) * | 2002-02-08 | 2003-08-20 | 联想(北京)有限公司 | 基于桥的二层交换式防火墙包过滤的方法 |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| EP2175603A1 (en) * | 2008-10-09 | 2010-04-14 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| CN107431707A (zh) * | 2015-03-27 | 2017-12-01 | 德国电信股份公司 | 针对欺诈报文保护通信网络的网络保护实体和方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10476845B2 (en) * | 2015-06-26 | 2019-11-12 | Nicira, Inc. | Traffic handling for containers in a virtualized computing environment |
| US10708293B2 (en) * | 2015-06-29 | 2020-07-07 | Argus Cyber Security Ltd. | System and method for time based anomaly detection in an in-vehicle communication network |
| US9912788B2 (en) * | 2015-11-10 | 2018-03-06 | Telefonaktiebolaget L M Ericsson (Publ) | Systems and methods of an enhanced state-aware proxy device |
| US10728101B2 (en) * | 2016-05-01 | 2020-07-28 | Argus Cyber Security Ltd. | In-vehicle network anomaly detection |
| CN110325929B (zh) * | 2016-12-07 | 2021-05-25 | 阿瑞路资讯安全科技股份有限公司 | 用于检测有线网络变化的信号波形分析的系统和方法 |
| EP3373553B1 (en) * | 2017-03-09 | 2024-05-08 | Argus Cyber Security Ltd | System and method for providing cyber security to an in-vehicle network |
| WO2019116054A1 (en) * | 2017-12-15 | 2019-06-20 | GM Global Technology Operations LLC | Ethernet network-profiling intrusion detection control logic and architectures for in-vehicle controllers |
| JP7288162B2 (ja) * | 2018-01-16 | 2023-06-07 | シー2エー-エスイーシー、リミテッド | 車両環境における侵入異常モニタリング |
| US20190379682A1 (en) * | 2018-06-08 | 2019-12-12 | Nvidia Corporation | Protecting vehicle buses from cyber-attacks |
| US11323548B2 (en) * | 2019-01-20 | 2022-05-03 | Arilou Information Security Technologies Ltd. | System and method for data compression based on data position in frames structure |
| WO2021002010A1 (ja) * | 2019-07-04 | 2021-01-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正フレーム検知装置および不正フレーム検知方法 |
-
2019
- 2019-07-10 DE DE102019210226.3A patent/DE102019210226A1/de active Pending
-
2020
- 2020-07-06 US US16/921,052 patent/US20210014253A1/en not_active Abandoned
- 2020-07-09 CN CN202010655744.2A patent/CN112217783A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1437114A (zh) * | 2002-02-08 | 2003-08-20 | 联想(北京)有限公司 | 基于桥的二层交换式防火墙包过滤的方法 |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| EP2175603A1 (en) * | 2008-10-09 | 2010-04-14 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| CN101719899A (zh) * | 2008-10-09 | 2010-06-02 | 丛林网络公司 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
| CN107431707A (zh) * | 2015-03-27 | 2017-12-01 | 德国电信股份公司 | 针对欺诈报文保护通信网络的网络保护实体和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刘毅;秦贵和;赵睿;: "车载控制器局域网络安全协议", 西安交通大学学报, no. 05 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112666932A (zh) * | 2021-03-16 | 2021-04-16 | 奥特酷智能科技(南京)有限公司 | 基于DDS和DoIP技术的自动驾驶远程诊断方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102019210226A1 (de) | 2021-01-14 |
| US20210014253A1 (en) | 2021-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2470294C (en) | Network service zone locking | |
| US11019102B2 (en) | Method for a communication network, and electronic monitoring unit | |
| US7360245B1 (en) | Method and system for filtering spoofed packets in a network | |
| US8661544B2 (en) | Detecting botnets | |
| US8060927B2 (en) | Security state aware firewall | |
| US7610375B2 (en) | Intrusion detection in a data center environment | |
| CN113132342B (zh) | 方法、网络装置、隧道入口点装置及存储介质 | |
| US11063908B2 (en) | On-vehicle communication device, communication control method, and communication control program | |
| US10375118B2 (en) | Method for attribution security system | |
| US11533388B2 (en) | Method and device for analyzing service-oriented communication | |
| US11038912B2 (en) | Method of selecting the most secure communication path | |
| CN112217783A (zh) | 用于在通信网络中的攻击识别的设备和方法 | |
| US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
| US8271678B2 (en) | Independent detection and filtering of undesirable packets | |
| US11765256B2 (en) | Method and device for analyzing service-oriented communication | |
| CN112217782B (zh) | 用于在计算机网络中识别攻击的设备和方法 | |
| WO2017078715A1 (en) | Policy enforcement based on host value classification | |
| CN114697136B (zh) | 一种基于交换网络的网络攻击检测方法与系统 | |
| CN114363083B (zh) | 智能网关的安全防范方法、装置、设备 | |
| US20230030504A1 (en) | Transmission device for transmitting data | |
| Vinay et al. | Detection of ARP spoofing attack using ICMP protocol | |
| EP2940944B1 (en) | Method and device for processing packet in trill network | |
| JP2008131466A (ja) | パケット中継装置 | |
| JP2016187113A (ja) | 不正接続防止装置と不正接続防止方法とシステム並びにプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |