CN112437921B - 网络攻击检测的系统、方法和非暂时性计算机可读介质 - Google Patents
网络攻击检测的系统、方法和非暂时性计算机可读介质 Download PDFInfo
- Publication number
- CN112437921B CN112437921B CN201980048298.4A CN201980048298A CN112437921B CN 112437921 B CN112437921 B CN 112437921B CN 201980048298 A CN201980048298 A CN 201980048298A CN 112437921 B CN112437921 B CN 112437921B
- Authority
- CN
- China
- Prior art keywords
- side channel
- channel signal
- template
- matching
- templates
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000001514 detection method Methods 0.000 title claims abstract description 22
- 230000009471 action Effects 0.000 claims abstract description 15
- 230000008569 process Effects 0.000 claims description 22
- 238000010187 selection method Methods 0.000 claims 1
- 238000004590 computer program Methods 0.000 description 9
- 238000003860 storage Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 239000012634 fragment Substances 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000008260 defense mechanism Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 206010035148 Plague Diseases 0.000 description 1
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 241000607479 Yersinia pestis Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Traffic Control Systems (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及网络攻击检测的系统、方法和非暂时性计算机可读介质。所述系统通过从网络物理系统内的部件获得时变模拟边信道信号并将该时变模拟边信道信号转换成数字边信道信号来工作。然后基于数字边信道信号来识别系统状态的时间序列。将系统状态的时间序列与由网络物理系统部件生成的软件状态进行比较,使得在软件状态与系统状态的时间序列失配时,边信道被标明为具有安全漏洞。在这样的情况下,则使网络物理系统基于边信道安全漏洞来实施动作。
Description
相关申请的交叉引用
本申请是2018年12月13日提交的美国申请No.16/219,749的部分继续申请,该美国申请No.16/219,749是2018年6月12日提交的美国临时申请No.62/684,181以及2018年2月14日提交的美国临时申请No.62/630,675两者的非临时申请,所述美国临时申请的全部内容通过引用并入本文。
本申请还是2018年8月24日提交的美国临时申请No.62/722,783的非临时申请,该美国临时申请No.62/722,783的全部内容通过引用并入于此。
技术领域
本发明涉及用于识别网络安全漏洞的系统,并且更具体地,涉及一种基于反复出现(recurring)的信号模式的快速无监督识别来识别网络安全漏洞的系统。
背景技术
网络攻击是困扰许多行业的问题并且通过多种技术来实现。例如,许多已知汽车攻击涉及某种形式的欺骗或更改CAN总线消息。例如,如果攻击者可以使另一模块进入诊断模式,则其可以阻止该模块的消息出现在总线上,然后可以用其自己的消息替换这些消息。取决于模块,这些欺骗消息可能使乘客面临严重危险。
边信道信息(side-channel information)的最常见的使用是使攻击者能够发现隐藏的加密密钥,以便闯入系统(参见并入的参考文献的列表,参考文献1)。通常,这些方法涉及将加密装置的边信道发射与各种另选输入相关,使得这些变化可以一次揭示一位隐藏密钥。在实际使用中,攻击者必须获得装置硬件的边信道测量结果(诸如,功耗、RF发射或声发射)。这些发射的变化尽管非常嘈杂,但可以指示硬件中正在处理不同比特串,因此可以揭示隐藏信息。这些方法的缺点是,这些方法通常需要对大量重复试验的样本进行平均,以便恢复所需的状态信息。
其他人已经利用边信道信息作为检查计算系统中的软件完整性的手段。在Gonzalez等人的工作中,使用互相关方法来将处理器边信道功率签名与从重复运行获得的边信道轨迹(trace)进行比较(参见参考文献2)。通过手动选择与代码执行的特定段相对应的捕获功率轨迹的特定部分来获得签名。在一些情况下,可以从多个运行获得轨迹的选定部分,将该选定部分对齐,然后平均在一起以创建签名。尽管在Gonzalez等人的工作中,这些步骤中的一些步骤与我们自己的方法相当,但是他们需要捕获恶意软件和普通软件的签名来区分差异。在Clark等人的工作中,首先提取了边信道信号的统计特征集,然后再由分类器进行处理(参见参考文献3)。然后训练分类器,以在正常行为与异常行为之间进行区分。Gonzalez等人和Clark等人的工作都有如下缺点:他们需要正常行为和异常行为的多个预先存在的示例,以便执行其入侵检测。
上述现有技术的另一方面在于,通常必须首先由人识别或标记提取了边信道样本的特定状态。因此,使用当前实践无法自动识别不同状态。尽管可能存在可以提供从边信道数据流捕获不同状态的手段的各种无监督学习技术,但这些现有方法通常需要大量未标记的数据来进行训练。
因此,仍然需要用于网络攻击检测的系统,该系统被设计成使用反复出现的信号模式的无监督识别来工作。
发明内容
本公开提供了一种用于网络物理系统(例如,诸如载具)内的网络攻击检测的系统。所述系统包括一个或更多个处理器以及被编码在非暂时性计算机可读介质上的指令,以生成必要的块并执行本文描述的操作。例如,所述系统包括边信道信号获取块。所述边信道信号获取块在工作时用于执行以下操作:从所述网络物理系统内的部件获得时变模拟边信道信号;以及将所述时变模拟边信道信号转换成数字边信道信号。还包括了状态检测块。所述状态检测块在工作时用于执行以下操作:基于所述数字边信道信号来识别系统状态的时间序列;将所述系统状态的时间序列与由所述网络物理系统部件生成的软件状态进行比较,使得在所述软件状态与所述系统状态的时间序列失配时,标明边信道安全漏洞;以及使所述网络物理系统基于所述边信道安全漏洞来实施动作。
在另一方面,在基于所述数字边信道信号来识别所述系统状态的时间序列时,所述状态检测块包括执行以下操作的边信道模板学习和获取块:存储新的边信道信号模板,以及取回并更新现有边信道信号模板。
此外,所述边信道模板学习和获取块将所述数字边信道信号分离成一系列固定大小的信号块,并且进一步对各个固定大小的信号块执行以下操作:针对各个现有边信道信号模板确定匹配分数;将各个现有边信道信号模板与固定大小的信号块进行匹配,使得:如果不存在现有边信道信号模板,则将匹配信号模板的数目指定为零;以及如果存在现有边信道信号模板,则针对各个匹配边信道信号模板生成匹配分数。
所述系统还执行以下操作:将所述匹配分数与各个匹配边信道信号模板所关联的阈值进行比较,以确定是否存在高于所述阈值的一个或更多个边信道信号模板。
另外地,当存在零个匹配边信道信号模板时,则认为所述数字边信道信号表示未识别状态,并且针对所述未识别状态生成新的边信道信号模板。
在另一方面,当存在一个匹配边信道信号模板时,所述数字边信道信号被认为是已识别状态,并且使所述匹配边信道信号模板演进。
此外,通过找到关于所述匹配边信道信号模板的附加匹配并将那些匹配与原始匹配边信道信号模板进行组合以使噪声达到平均来使所述匹配边信道信号模板演进。
在又一方面,当存在两个或更多个匹配边信道信号模板时,则采用选择过程来选择最佳匹配边信道信号模板。
另外地,所述边信道信号获取块还包括差分放大器,所述差分放大器电连接在载具部件模块内的保险丝两端,以生成所述时变模拟边信道信号。
在又一方面,用于比较匹配分数的所述阈值针对各个模板是不同的,并且根据针对所关联的模板实现的最近匹配分数集来调整各个阈值。
在另一方面,所述网络物理系统是载具,使得使所述网络物理系统实施动作包括触发所述载具的安全模式。在一个方面,触发所述安全模式包括使所述载具停止工作。
最后,本发明还包括计算机程序产品和计算机实现的方法。所述计算机程序产品包括在非暂时性计算机可读介质上存储的计算机可读指令,所述计算机可读指令能够由具有一个或更多个处理器的计算机执行,使得在执行所述指令时,所述一个或更多个处理器执行本文列出的操作。另选地,计算机实现的方法包括使计算机执行这种指令并且执行所得操作的动作。
附图说明
结合参照以下附图,本发明的目的、特征以及优点将从本发明的各个方面的以下详细描述变得显而易见,其中:
图1是描绘了根据本发明的各种实施方式的系统的部件的框图;
图2是体现本发明的一方面的计算机程序产品的例示图;
图3是例示了根据本发明的各种实施方式的、被示为载具状态检测块的部件的边信道模板学习和获取模块的流程图;
图4是描绘了根据本发明的各种实施方式的边信道模板学习和获取模块内的功能的最高级别视图的流程图;
图5是描绘了根据本发明的各种实施方式的确定匹配分数中涉及的步骤的流程图;
图6是描绘了根据本发明的各种实施方式的提议新模板涉及的步骤的流程图;
图7是根据本发明的各种实施方式的演进匹配模板涉及的流程图步骤;
图8是描绘了根据本发明的各种实施方式的选择更强模板涉及的步骤的流程图;
图9是描绘了根据本发明的各种实施方式的阈值调整的过程的流程图,该阈值调整使得各个模板可以基于其匹配结果的先前历史而具有独立的阈值;以及
图10是描绘了根据各种实施方式的装置的控制的框图。
具体实施方式
本发明涉及用于识别网络安全漏洞的系统,并且更具体地,涉及基于反复出现的信号模式的快速无监督识别来识别网络安全漏洞的系统。呈现以下描述以使本领域普通技术人员能够作出和使用本发明并将其结合到特定应用的上下文中。多种修改以及不同应用中的多种用途对于本领域技术人员来说将是显而易见的,并且本文限定的总体原理可以应用于广泛方面。因此,本发明不旨在限于所呈现的各个方面,而是涵盖与本文所公开的原理和新颖特征相一致的最广范围。
在下面的详细说明中,阐述了许多具体细节,以使得能够更加彻底地理解本发明。然而,本领域技术人员将明白,本发明可以在不限于这些具体细节的情况下实施。在其它情况下,公知结构和装置按框图形式示出而不被详细示出,以免模糊本发明。
读者应留意与本说明书同时提交的所有文件和文档,这些文件和文档与本说明书一起公开以供公众查阅,所有这些文件和文档的内容通过引用并入于此。本说明书(包括任何所附权利要求、摘要以及附图)中公开的所有特征可以由用于相同、等同或相似目的的替代特征来代替,除非另有明确说明。因此,除非另有明确说明,否则所公开的各个特征仅是典型系列的等同或相似特征的一个示例。
此外,权利要求中的未明确陈述用于执行指定功能的“装置”或用于执行特定功能的“步骤”的任何要素不被解释为在35U.S.C.第112节第6款中指定的“装置”或“步骤”条款。具体地,在本文的权利要求中使用“…的步骤”或“…的动作”不旨在援引35U.S.C.第112节第6款的规定。
在详细描述本发明之前,首先提供了引用参考文献的列表。接下来,提供了对本发明的各个主要方面的说明。随后,介绍部分为读者提供了本发明的总体理解。最后,提供本发明的各种实施方式的具体细节,以给出具体方面的理解。
(1)所并入的参考文献的列表
在本申请中引用以下参考文献。为了清楚和方便起见,这些参考文献在本文中被列为读者的中心资源。下列参考文献通过引用并入于此,就像在本文中完全陈述一样。这些参考文献通过参照如下对应文献参考号而在本申请中加以引用:
1.Kocher,Paul、Joshua Jaffe,Benjamin Jun,and PankajRohatgi.Introduction to differential power analysis.Journal of CryptographicEngineering,1(1):5-27,2011.
2.Carlos R.Aguayo Gonzalez and Jeffrey H.Reed.Power fingerprinting inSDR&CR integrity assessment.In IEEE Military Communications Conference(MILCOM),2009.
3.Shane S.Clark,Benjamin Ransford,Amir Rahmati,Shane Guineau,JacobSorber,Kevin Fu,and Wenyuan Xu.WattsUpDoc:Power side channels tononintrusively discover untargeted malware on embedded medical devices.InProceedings of the 2013 USENIX Conference on Safety,Security,Privacy andInteroaperability of Health Information Technologies,HealthTech,2013.
(2)主要方面
本发明的各种实施方式包括三个“主要”方面。第一方面是用于反复出现的信号模式的快速无监督识别的系统。该系统通常采用计算机系统操作软件的形式或“硬编码”指令集的形式,任何其它硬件或部件可能是必需的,以实现本文描述的系统,包括处理器、放大器和A/D转换器,以将模拟边信道信号数字化。该系统可以被结合到提供不同功能的各种装置(例如,诸如汽车等)中。第二主要方面是使用数据处理系统(计算机)运行的通常采用软件形式的方法。第三主要方面是计算机程序产品。所述计算机程序产品通常表示存储在诸如光学存储装置(例如,光盘(CD)或数字通用盘(DVD))或磁存储装置(诸如,软盘或磁带)的非暂时性计算机可读介质上的计算机可读指令。计算机可读介质的其它非限制性示例包括硬盘、只读存储器(ROM)以及闪存型存储器。这些方面将在下文进行更详细说明。
图1提供了描绘本发明的系统(即,计算机系统100)的示例的框图。计算机系统100被配置成执行与程序或算法相关联的计算、过程、操作和/或函数。在一个方面,本文讨论的某些过程和步骤被实现为驻留在计算机可读存储器单元内并由计算机系统100的一个或更多个处理器执行的一系列指令(例如,软件程序)。在被执行时,所述指令使计算机系统100执行诸如本文描述的特定动作并表现出特定行为。
计算机系统100可以包括被配置成传送信息的地址/数据总线102。另外,一个或更多个数据处理单元(诸如,处理器104(或多个处理器))与地址/数据总线102联接。处理器104被配置成处理信息和指令。在一个方面中,处理器104是微处理器。另选地,处理器104可以是不同类型的处理器,诸如并行处理器、专用集成电路(ASIC)、可编程逻辑阵列(PLA)、复杂可编程逻辑器件(CPLD)或现场可编程门阵列(FPGA)。
计算机系统100被配置成利用一个或更多个数据存储单元。计算机系统100可以包括与地址/数据总线102联接的易失性存储器单元106(例如,随机存取存储器(“RAM”)、静态RAM、动态RAM等),其中,易失性存储器单元106被配置成存储用于处理器104的信息和指令。计算机系统100还可以包括与地址/数据总线102联接的非易失性存储器单元108(例如,只读存储器(“ROM”)、可编程ROM(“PROM”)、可擦除可编程ROM(“EPROM”)、电可擦除可编程ROM(“EEPROM”)、闪存存储器等),其中,非易失性存储器单元108被配置成存储用于处理器104的静态信息和指令。另选地,计算机系统100可以执行诸如在“云”计算中从在线数据存储单元取回的指令。在一个方面中,计算机系统100还可以包括与地址/数据总线102联接的一个或更多个接口(诸如,接口110)。所述一个或更多个接口被配置成使得计算机系统100能够与其它电子装置和计算机系统对接。由所述一个或更多个接口实现的通信接口可以包括有线通信技术(例如,串行电缆、调制解调器、网络适配器等)和/或无线通信技术(例如,无线调制解调器、无线网络适配器等)。
在一个方面中,计算机系统100可以包括与地址/数据总线102联接的输入装置112,其中,输入装置112被配置成将信息和命令选择传送至处理器100。根据一个方面,输入装置112是可以包括字母数字键和/或功能键的字母数字输入装置(诸如键盘)。另选地,输入装置112可以是除字母数字输入装置之外的输入装置。在一个方面中,计算机系统100可以包括与地址/数据总线102联接的光标控制装置114(或语音识别),其中,光标控制装置114(或其它输入技术或装置)被配置成将用户输入信息和/或命令选择传送至处理器100。在一个方面中,光标控制装置114使用诸如鼠标、轨迹球、触控板、光学跟踪装置或触摸屏的装置来实现。尽管如此,但在一个方面中,诸如响应于使用与输入装置112相关联的特殊键和键序列命令,光标控制装置114经由来自输入装置112的输入被引导和/或激活。在另选方面中,光标控制装置114被配置成由语音命令来引导或指导,或者在一些方面,没有光标控制,并且可以通过语音命令或任何其它期望技术严格输入方向。
在一个方面中,计算机系统100还可以包括与地址/数据总线102联接的一个或更多个可选计算机可用数据存储装置(诸如,存储装置116)。存储装置116被配置成存储信息和/或计算机可执行指令。在一个方面中,存储装置116是诸如磁或光盘驱动器(例如,硬盘驱动器(“HDD”)、软盘、光盘只读存储器(“CD-ROM”)、数字通用盘(“DVD”))的存储装置。依据一个方面,显示装置118与地址/数据总线102联接,其中,显示装置118被配置成显示视频和/或图形。在一个方面中,显示装置118可以包括阴极射线管(“CRT”)、液晶显示器(“LCD”)、场发射显示器(“FED”)、等离子体显示器或适于显示视频和/或图形图像以及用户可识别的字母数字字符的任何其它显示装置。
本文所提出的计算机系统100是根据一个方面的示例计算环境。然而,计算机系统100的非限制性示例并不严格限于是计算机系统。例如,一个方面规定了计算机系统100表示可以根据本文所述各个方面使用的一种数据处理分析。此外,还可以实现其它计算系统。实际上,本技术的精神和范围不限于任何单个数据处理环境。因此,在一个方面中,使用通过计算机执行的计算机可执行指令(诸如程序模块)来控制或实现本技术的各个方面的一个或更多个操作。在一个实现中,这样的程序模块包括被配置成执行特定任务或实现特定抽象数据类型的例程、程序、对象、部件和/或数据结构。另外,一个方面规定了通过利用一个或更多个分布式计算环境来实现本技术的一个或更多个方面,诸如,在分布式计算环境中,由通过通信网络链接的远程处理装置执行任务,或者诸如,在分布式计算环境中,各种程序模块位于包括存储器-存储装置的本地和远程计算机存储介质中。
图2示出了具体实现本发明的计算机程序产品(即,存储装置)的示图。计算机程序产品被示出为软盘200或诸如CD或DVD的光盘202。然而,如先前提到的,计算机程序产品通常表示存储在任何兼容的非暂时性计算机可读介质上的计算机可读指令。关于本发明所使用的术语“指令”通常指示要在计算机上执行的一组操作,并且可以表示整个程序的片段或者个体可分离的软件模块。“指令”的非限制性示例包括计算机程序代码(源代码或目标代码)和“硬编码”电子器件(即,编码到计算机芯片中的计算机操作)。“指令”被存储在任何非暂时性计算机可读介质上,诸如存储在计算机的存储器中或软盘、CD-ROM以及闪存驱动器上。在任一种情况下,这些指令被编码在非暂时性计算机可读介质上。
(3)介绍
本公开提供了一种通过利用辅助边信道信息来改善网络物理系统内的网络防御机制的系统和方法。应注意,术语网络物理系统是指可以采用网络防御机制的广泛类别的系统,其非限制性示例包括载具(例如,汽车、无人飞行器等)。众所周知,可以使用诸如功耗或RF发射的边信道来进行涉及秘密密钥解密的网络攻击。先前已证明,人们可以使用部件功耗、RF发射或类似边信道信号,通过可靠地识别载具子系统状态来抵御攻击。这种边信道方法的一个挑战是,当边信道信号有噪声时,获得系统状态的可靠且可重复的签名。本公开的发明被设计成通过提供以下能力来克服该困难:在存在噪声信号的情况下自动获取识别状态的签名的能力,以及能够一致地识别在载具工作期间何时出现这些状态的能力。因为本公开的发明能够捕获任何时域信号中的规则的反复出现的特征,所以本公开的发明还具有超出载具网络安全性的广泛适用性。
许多已知汽车攻击涉及某种形式的欺骗或更改CAN总线消息。例如并且如上所述,如果攻击者可以使另一模块进入诊断模式,则其可以阻止该模块的消息出现在总线上,然后可以用其自己的消息替换这些消息。取决于模块,这些欺骗消息可能使乘客面临严重危险。本公开的系统通过查看CAN总线消息与边信道信号之间的关系以发现不一致来抵御这种攻击。该过程基于如下假设:在总线上欺骗消息的任何尝试都将导致总线消息与边信道状态之间出现差异。如果系统可以检测到这种差异,则操作者或系统有机会检测到各种不同攻击。因为该方法可以检测通常应该一致的两个信号之间的不一致,所以该方法可以提供新型网络攻击的可靠指示符,针对该新型网络攻击,可能不存在供训练的现有示例。
本公开相对于现有技术提供了显著改进,因为其它方法未被设计成在无监督模式下工作,在该无监督模式下,可以从连续的未分段数据流的单次实时遍历(single real-time pass)自动捕获用于不同状态的信号模板。此外,在未对数据进行任何预先标记或未将数据预先分段成不同类别的情况下,其它方法将难以并入在由于噪声引起的差异与由于实际状态变化引起的差异之间进行区分的能力。本方法提供了如下能力:动态更新模板以使噪声信号达到平均,同时当由于状态之间的转换而导致边信道信号变化时,还自动创建新模板。
(4)各种实施方式的具体细节
本公开提供了捕获用于边信道信号的模板的系统和方法,可以使用该边信道信号来帮助识别系统状态,从而保护网络物理系统(例如,载具)免受网络攻击。本发明适用于被设计成使用边信道信号来检测黑客试图改变载具控制模块上的软件或软件行为的系统。在这样的系统中,通常有必要获得与正常系统行为相对应的边信道模板或签名,以便检测相对于这些正常行为的可能构成攻击的偏差。本公开的特定重点在于根据有噪声的未标记的边信道信号自动获取这些模板。
如图3所示,本公开的发明可以适合于更大系统的上下文。图3描绘了三个不同的块:载具部件块300、边信道信号获取块302和载具状态检测块304。边信道状态检测块304或模块使得能够在存在噪声的情况下自动捕获相关边信道模板。
载具部件块300和信号获取块302一起示出了用于从典型的汽车(或其它网络物理物品,诸如,实现本系统的载具或装置(诸如,飞机、无人机等)获取边信道信号的过程。尽管不限于此,但是该特定示例是涉及来自载具电源310的保险丝306两端的电压降的测量的示例。电压波动是用于检测载具控制模块308的功耗变化的有用边信道。
因为保险丝306施加小的电阻,所以该电阻两端的电压变化指示了连接的子系统(例如,载具控制模块308)的功耗波动。为了感测这些波动,在保险丝306(或适用于特定系统的其它部件)的两个端子之间使用差分放大器312,以在放大器312的输出端获得所得的时变电压(即,模拟边信道信号)。然后,将该时变模拟信号314转换316成数字信号(经数字化的边信道信号318),该数字信号被处理,以获得所感测的模块的时变状态(即,系统状态的时间序列320)。可以使用任何合适的模数(A/D)转换器来执行模数转换316,该模数转换器的非限制性示例包括由位于美国德克萨斯州75243达拉斯市德州大道12500号的德州仪器TI(Texas Instrument)制造的TLC549CP芯片。
用于信号获取的其它技术可能涉及使用模块电源310上的电流表、模块内处理器部件附近的电磁拾取器、声学或振动传感器或其它相关方法。当获取了边信道信号时,载具状态检测块304的作用是基于边信道信号来连续地识别当前载具状态。当处理了实时信号时,这产生载具状态的时间序列320,然后将该载具状态的时间序列320与由所监测的载具模块308产生的所识别的软件状态322相匹配(通过状态比较器324)。在一些方面并作为非限制性示例,可以从CAN总线获得这些状态。根据从控制模块308本身的软件内生成的状态消息获得软件状态322。例如,在载具变速器控制模块中,该模块软件的标准是发送与变速器状态(诸如,“行驶”、“倒车”、“停车”等)有关的消息。因为由载具控制软件限定的这些状态容易与唯一功耗签名相关联,所以可以将根据边信道确定的载具状态320与各种软件状态322进行匹配。当软件状态322与根据边信道分析识别的状态320不匹配时,系统可能识别到如下实例,其中,攻击者可能试图修改载具控制模块308的行为,或者可能试图向其它控制模块广播与模块308的状态有关的虚假信息。使用状态比较器324来识别这种失配。状态比较器324将软件状态322与来自边信道分析的状态320进行比较,并且当在指定时间窗口内发生足够数目的失配时,载具状态检测模块304发起动作326。实际失配数目和时间窗口的持续时间将取决于被监测的模块的具体情况以及对错误的潜在敏感性。例如,如果模块每秒发送100个状态更新,则我们可能希望在5秒的时段内看到这些状态更新中的至少20%是失配的,以便高度确信应该采取一些纠正动作。动作326的示例可以包括对驾驶员的警报或警告,或者可能触发载具的特殊安全模式,以切换脱离可能允许黑客接管控制权的任何模式(诸如,关闭互联网或在线访问,或使载具制动并停止工作,直到检修系统以检查任何网络威胁为止等)。通常,执行的动作越剧烈,在触发这种动作之前必须检测到的失配百分比越高。
为了使载具状态检测块304生成系统状态的输出时间序列320,需要使用边信道模板集来与传入的边信道信号进行匹配。在美国申请No.16/219,749中,发明人描述了使用手动过程来获取这些模板的方式。本公开提供了使用边信道模板学习和获取模块328来自动获取模板的方式。在获取模板之后,系统使用例如在美国申请No.16/219,749中分别作为(No.16/219,749申请的)要素610和要素614描述和例示的过程执行卷积和归一化334以及排序或聚类识别336。
如图3所示,边信道模板学习和获取模块328接收经数字化的边信道信号318形式的输入,并且与边信道模板存储器332交互,以存储新的模板以及取回并更新先前存储的模板。图4示出了边信道模板学习和获取模块328的最高级别功能分解。
如图4所示,传入的经数字化或数字边信道信号318被分解成一系列固定大小的块,并且对各个块执行图4所示的步骤。如图所示,第一步骤是针对各个模板确定匹配分数400(下面进一步详细描述),然后执行各个现有模板与传入的信号的匹配402。如果边信道模板存储器(即,图3中的要素332)中不存在现有模板,则匹配模板的数目将为零。如果存在模板,则各个模板将接收到匹配分数,并将各个模板的匹配分数与该模板所关联的阈值进行比较。在期望的实施方式中,各个模板可以具有可以改变的其自己的唯一阈值,但是也可以针对所有模板简单地使用单个恒定阈值。
在将模板匹配分数与其各自的阈值进行比较之后,系统将具有零个高于阈值的模板、一个高于阈值的模板或超过一个高于阈值的模板。如果存在零个高于阈值的模板,则认为传入的信号表示未识别状态,并且执行过程以针对该状态提议新模板404。如果仅存在一个高于阈值的模板,则认为这是已识别状态,并且执行过程以使该匹配模板“演进”406成对噪声更鲁棒。如果存在多个高于阈值的模板,则采用选择过程来选择更强模板408,以确保最终只有最佳匹配模板被留下。这些过程一起提供服务,以针对先前未知的状态自动创建新模板,以在有多个样本可用时改善现有模板,以及在发现超过一个模板与给定状态匹配时消除模板重复。下面提供了这些过程中的各个过程的详细信息。
(4.1)确定匹配分数
在创建任何新模板或修改现有模板之前的第一步骤是分析传入的边信道信号并针对各个现有模板确定匹配分数400。针对各个模板的该确定匹配分数400过程在图5中示出并如下工作。在捕获之后,传入的信号318被分成500大小为L个样本的块S。传入的信号是连续的,因此该过程一次捕获一个大小为L的块S并对其进行处理,同时信号继续缓冲在存储器中。缓冲器不断填充数据,其中定期从该缓冲器拉取L个样本的块。然后,对块S进行处理以计算归一化信号N 502,其中,Nk是N的第k个元素,Nk是元素Sj在以偏移量k开始的固定长度W上的平方和的平方根,其中,其中,W与用于模板的固定样本长度相对应。
一旦针对给定输入块S计算了归一化信号N,系统则对指定的模板集执行以下步骤。如果针对新的信号数据块调用了该过程,则被处理的模板来自模板存储器中所有模板的集合。如果针对最新提议的模板调用该过程,则仅将其排他地应用于那些模板。针对各个这样的模板504(即,所有模板Fi…中的索引i),执行以下操作,首先将模板与信号块进行卷积506,以产生卷积信号V。然后,通过在考虑了由卷积产生的偏移W的情况下将V的元素除以N的对应元素来计算匹配分数信号Ci 508。该结果Ci将成为模板i的匹配分数的向量。然后,系统将该结果C细分成大小为W(模板大小)的L/W个片段。在各个片段内,系统确定最大匹配分数。然后,如果该最大值大于阈值Ri,则系统将模板的匹配计数Mi 510递增1。最终,系统确定模板在当前块中的最大匹配分数Xi(在框510中示出),然后继续以相同方式对下一模板进行处理。
(4.2)提议新模板
当确定匹配分数步骤没有找到超过其匹配阈值Ri的模板时,系统使用提议新模板404过程来创建候选模板集,以供将来考虑。图6描绘了该步骤。很重要地,首先注意模板存储器被分成两个集合。存在提议模板集合P和有效模板集合A。在正常工作期间,用于对状态进行分类的唯一模板在集合A中,但是当系统首次创建模板时,该模板被放置在集合P中,并且仅当该模板达到超过有资格晋升所需的阈值B的匹配数目Mi时,该模板才晋升到集合A。同时,在晋升之前,提议的模板Pi在连续输入块S之间保留在模板存储器中,并根据需要添加或删除,以保持不超过预设量H的提议总数目Q。
系统通过首先将提议的当前总数Q与限制阈值H进行比较600来开始提议新模板404步骤。如果提议的数目Q超过H,则系统删除具有最低匹配计数Mi的提议602,直到模板存储器中存在不超过H个提议为止。接下来,系统从信号块S提取604长度为W的非交叠子片段K的集合。这些片段是提议模板Pi,该提议模板Pi然后被归一化606并按时间顺序翻转。通过将模板处理为向量并将向量的各个元素除以向量的大小(定义为点积的平方根)来执行提议模板的归一化606。此时,系统便测试608向量的大小是否高于最小阈值E。如果不是,则认为该模板是不关注的沉默(uninteresting silence)610并将其丢弃。否则,将新的经归一化的模板Fi添加至模板存储器中的集合P,并且系统通过确定匹配分数400步骤来对模板进行处理,以获得匹配分数,然后使用该匹配分数来确定610新提议模板的匹配数目Mi是否超过了很多次(即,阈值B)。例如,关于阈值B,提议模板集合P与定期用于识别状态的有效模板集合A保持分开。模板从提议集合P到有效集合A的晋升由设计参数B确定,该设计参数表明P中的任何模板必须至少与输入信号匹配超过B次。B的典型值可以位于10至30的范围内。如果该数目Mi超过阈值B,则将提议模板从集合P移动612至模板存储器中的集合A,因此现在可以认为该模板准备好用于载具状态分类了。另选地,如果该数目Mi低于阈值B,则返回614以确定匹配分数。
(4.3)演进匹配模板
当确定匹配分数400步骤仅发现一个超过其匹配阈值Ri的模板时,系统使用演进匹配模板406过程来改善模板。图7描绘了演进匹配模板406过程。当只存在一个匹配模板时,这被视为适当检测不同的状态的示例。该步骤的目标则是通过从模板移除任何噪声分量来针对该状态改善模板。噪声分量的移除是通过以下操作执行的:根据信号块S找到与模板最匹配的样本,并将所述样本与现有模板进行平均以使任何差异达到平均。
演进匹配模板406的具体过程如下。首先,将来自卷积模板Fi 700的结果应用于信号块S,以找到局部匹配分数最大的索引j的集合702。该过程接下来继续提取在与这些索引相对应的位置开始的长度为W的S的子片段。本质上,这些子片段将是S的与匹配模板Fi的形状最匹配的子片段。针对这些子片段中的各个子片段,系统首先通过减去平均值来从所述子片段移除704任何DC分量,然后通过使用加权运行平均方法将结果D添加至原始模板Fi来将经加权的信号平均回模板706。最终,系统将所得的向量708归一化并将其保存回模板存储器。这导致平均的信号,该平均的信号将趋向于仅包含与识别状态最相关的信号特征。
(4.4)选择更强模板
下一关注情况是模板存储器中存在与当前状态很好匹配的多个模板的情况。在这种情况下,各个模板将具有超过模板阈值Ri的匹配分数。这里,目标是移除所有多余模板,但前提是这些多余模板与系统已具有的模板冗余。换句话说,如果状态在给定信号块S内包含显著不同的信号模式,则期望允许多个模板针对给定状态是匹配的。然而,如果匹配模板之间存在显著相似性,则期望只选择这些匹配模板中的最佳匹配模板,并消除冗余匹配模板。
下面是如图8所示的选择更强模板的过程。首先,在多个匹配模板中,系统通过比较所述多个匹配模板的最大匹配分数Xi并选择具有整体最高匹配分数(指定为b)的模板Fb来找到最佳匹配800。然后,系统将剩余匹配模板(不包括b)的匹配分数Xz与Xi进行比较802。针对具有位于Xi的阈值I内的匹配分数的这些模板中的各个模板,系统进行测试804,以查看模板所匹配的信号S的区域是否也与模板Fb具有显著交叠。显著交叠被限定为例如大于70%;然而,应注意,本发明不旨在限于此,因为该量可以根据应用而变化。
然后,系统确定其最大匹配的位置是否在阈值J 806内。如果是,则系统将其视为冗余模板,并且针对竞争模板Fz将生成计数Mz递减808。最终,如果Mz以小于零结束,则从模板存储器移除810模板Fz。
(4.5)阈值调整
如图9所示,可以在对模板进行改善时执行的可选步骤是通过随时间推移修改匹配阈值Ri来执行阈值调整900。如果实现该可选步骤,则将在如图6所描绘的要素612之后发生该可选步骤。在简单的实施方式中,可以将所有模板的匹配阈值R设置成恒定值。然后,只有高于该恒定值的模板才有资格进行匹配。在期望的实施方式中,针对各个模板给出不同的阈值Ri,并且该阈值被动态地更改。模板阈值的动态更新如下执行。首先,系统如下识别满足当前信号块的某些条件902的模板i:(1)系统确定具有比所有其它模板的匹配分数大的匹配分数Xi的一个模板;以及(2)如果该获胜模板的匹配分数Xi大于模板的当前阈值Ri,则对Ri执行以下更新。针对已经满足条件的模板i,将新分数Xi追加904至列表Yi,其中Yi是模板的最新η个获胜分数的列表。如果列表Yi的长度低于限制η906,则将Ri 908设置成初始默认值,例如,0.5(示例默认范围例如介于0.4至0.6之间,或任何其它预定义范围)。否则,从Yi中移除910最久远的分数,并将Ri 912设置成大于Yi中的β%的匹配值。
(4.6)测试结果
已经对所公开的发明进行了各种测试,所述测试表明了所公开的发明以最少的数据量快速获取有效模板集的能力。在利用该方法进行的一些最近实验中,所述系统能够对来自载具在各种行驶条件下的短短15分钟的行驶的边信道数据进行分析。利用所述方法可以仅通过单次遍历(single pass)便可分析载具数据,并且所述方法能够获得以90%的准确度与利用从载具CAN总线获得的数据的辅助手段所识别的载具状态匹配的载具状态集。在当前机器学习方法中未发现根据有限数据快速训练的能力,并且该能力是相对于现有技术的显著技术改进。
(4.7)示例实现方式
本文描述的系统具有多种实现方式。作为非限制性示例,可以在载具内实现,以解决与载具的网络安全有关的问题。因此,在一个实施方式中,本发明涉及载具(尤其是汽车)的网络入侵检测的问题。媒体越来越关注被黑客攻击的汽车已经很清楚地表明,许多商用汽车可能容易遭受威胁生命的网络攻击。本发明解决了在这种攻击可以引起严重伤害之前检测其存在的问题。然而,尽管本公开中描述的分析集中于边信道数据与汽车所特有的CAN总线数据的比较,但是在其它载具(诸如,飞机)中存在类似数据总线,这些相同的分析技术可以应用于该类似数据总线。考虑到这些相似性,本发明的潜在应用可以从提供汽车的网络入侵监控器的任何地方一直变化至商用飞机的网络入侵监控。更广泛地讲,本发明可以应用于任何网络物理系统。一些非限制性示例包括制造机械、船只和潜艇、火车、医疗设备、建筑物自动化系统等。
如上所述并且如图10进一步所示,当在指定的时间窗口内发生足够数目的状态失配时,对载具状态检测模块进行操作的一个或更多个处理器104发起动作326。例如,载具状态检测模块向驾驶员输出警报或警告,或者可能触发载具的特殊安全模式,以切换脱离可能允许黑客接管控制权的任何模式(诸如,关闭互联网或在线访问,或使载具制动并停止工作,直到检修系统以检查任何网络威胁为止等)。
警报可以是给载具操作者(例如,驾驶员、飞行员)的指示网络安全问题的警告消息或指令,其中具体指令关于要执行的操作(例如,关闭载具电源、执行转向操作、执行制动操作、获得机械维修)。动作326的其它示例包括使载具(或实现所述系统的其它装置)执行物理动作(诸如,制动和减速以停止),然后将所述系统(和/或载具等)关闭,以防止任何另外漏洞;或切断载具或系统的所有传输通信信道等。
作为又一示例,针对移动的载具,系统可以将动作326实现为安全模式。这里,可以存在辅助控制例程集,该辅助控制例程集具有用于对载具进行控制的最小基本功能,但是将提供足够的功能以允许用户安全地抵达机械师。切断来自外部世界的所有传入通信信道也是期望的,因为这将阻止与任何黑客的进一步交互。
最后,虽然已经根据多个实施方式对本发明进行了说明,但本领域普通技术人员应当容易地认识到,本发明可以在其它环境中具有其它应用。应注意,可以有许多实施方式和实现。此外,所附权利要求绝不旨在将本发明的范围限于上述特定实施方式。另外,“用于…的装置”的任何用语旨在引发要素和权利要求的装置加功能的解读,而未特别使用“用于…的装置”用语的任何要素不应被解读为装置加功能要素,即使权利要求以其它方式包括了“装置”一词。此外,虽然已经按特定顺序陈述了特定方法步骤,但这些方法步骤可以按任何期望的顺序进行,并且落入本发明的范围内。
Claims (23)
1.一种用于网络物理系统内的网络攻击检测的系统,所述系统包括:
边信道信号获取块,所述边信道信号获取块在工作时用于执行以下操作:
从所述网络物理系统内的部件获得时变模拟边信道信号;
将所述时变模拟边信道信号转换成数字边信道信号;
状态检测块,所述状态检测块在工作时用于执行以下操作:
基于所述数字边信道信号来识别系统状态的时间序列;
将所述系统状态的时间序列与由所述网络物理系统部件生成的软件状态进行比较,使得在所述软件状态与所述系统状态的时间序列失配时,标明边信道安全漏洞;以及
使所述网络物理系统基于所述边信道安全漏洞来实施动作,
其中,在基于所述数字边信道信号来识别所述系统状态的时间序列时,所述状态检测块包括执行以下操作的边信道模板学习和获取块:存储新的边信道信号模板,以及取回并更新现有边信道信号模板。
2.根据权利要求1所述的系统,其中,所述边信道模板学习和获取块将所述数字边信道信号分离成一系列固定大小的信号块,并且进一步对各个固定大小的信号块执行以下操作:
针对各个现有边信道信号模板确定匹配分数;
将各个现有边信道信号模板与固定大小的信号块进行匹配,使得:
如果不存在现有边信道信号模板,则将匹配信号模板的数目指定为零;以及
如果存在现有边信道信号模板,则针对各个匹配边信道信号模板生成匹配分数。
3.根据权利要求2所述的系统,所述系统还包括以下操作:将所述匹配分数与各个匹配边信道信号模板所关联的阈值进行比较,以确定是否存在高于所述阈值的一个或更多个边信道信号模板。
4.根据权利要求3所述的系统,其中,当存在零个匹配边信道信号模板时,则认为所述数字边信道信号表示未识别状态,并且针对所述未识别状态生成新的边信道信号模板。
5.根据权利要求3所述的系统,其中,当存在一个匹配边信道信号模板时,所述数字边信道信号被认为是已识别状态,并且使所述匹配边信道信号模板演进。
6.根据权利要求5所述的系统,其中,通过找到关于所述匹配边信道信号模板的附加匹配并将那些匹配与原始匹配边信道信号模板进行组合以使噪声达到平均来使所述匹配边信道信号模板演进。
7.根据权利要求3所述的系统,其中,当存在两个或更多个匹配边信道信号模板时,则采用选择过程来选择最佳匹配边信道信号模板。
8.根据权利要求3所述的系统,其中,所述边信道信号获取块还包括差分放大器,所述差分放大器电连接在载具部件模块内的保险丝两端,以生成所述时变模拟边信道信号。
9.根据权利要求3所述的系统,其中,用于比较匹配分数的所述阈值对于各个模板是不同的,并且根据针对所关联的模板实现的最近匹配分数集来调整各个阈值。
10.根据权利要求1所述的系统,其中,所述网络物理系统是载具,并且其中,使所述网络物理系统实施动作包括触发所述载具的安全模式。
11.根据权利要求10所述的系统,其中,触发所述安全模式包括使所述载具停止工作。
12.一种用于网络物理系统内的网络攻击检测的方法,所述方法包括以下动作:
从网络物理系统的部件获得时变模拟边信道信号;
将所述时变模拟边信道信号转换成数字边信道信号;
基于所述数字边信道信号来识别系统状态的时间序列;
将所述系统状态的时间序列与由网络物理系统部件生成的软件状态进行比较,使得在所述软件状态与所述系统状态的时间序列失配时,标明边信道安全漏洞;以及
使所述网络物理系统基于所述边信道安全漏洞来实施动作,
其中,基于所述数字边信道信号来识别系统状态的所述时间序列还包括执行以下操作的动作:存储新的边信道信号模板,以及取回并更新现有边信道信号模板。
13.根据权利要求12所述的方法,所述方法还包括以下操作:
将所述数字边信道信号分离成一系列固定大小的信号块,并且进一步对各个固定大小的信号块执行以下操作:
针对各个现有边信道信号模板确定匹配分数;
执行各个现有边信道信号模板与固定大小的信号块的匹配,使得:
如果不存在现有边信道信号模板,则将匹配信号模板的数目指定为零;以及
如果存在现有边信道信号模板,则针对各个匹配边信道信号模板生成匹配分数。
14.根据权利要求13所述的方法,所述方法还包括以下操作:将所述匹配分数与各个匹配边信道信号模板所关联的阈值进行比较,以确定是否存在高于所述阈值的一个或更多个边信道信号模板。
15.根据权利要求14所述的方法,其中,当存在零个匹配边信道信号模板时,则认为所述数字边信道信号表示未识别状态,并且针对所述未识别状态生成新的边信道信号模板。
16.根据权利要求14所述的方法,其中,当存在一个匹配边信道信号模板时,所述数字边信道信号被认为是已识别状态,并且使所述匹配边信道信号模板演进。
17.根据权利要求16所述的方法,其中,通过找到关于所述匹配边信道信号模板的附加匹配并将那些匹配与原始匹配边信道信号模板进行组合以使噪声达到平均来使所述匹配边信道信号模板演进。
18.根据权利要求14所述的方法,其中,当存在两个或更多个匹配边信道信号模板时,则采用选择过程来选择最佳匹配边信道信号模板。
19.根据权利要求14所述的方法,其中,所述边信道信号获取块还包括差分放大器,所述差分放大器电连接在载具部件模块内的保险丝两端,以生成所述时变模拟边信道信号。
20.根据权利要求14所述的方法,其中,用于比较匹配分数的所述阈值对于各个模板是不同的,并且根据针对所关联的模板实现的最近匹配分数集来调整各个阈值。
21.根据权利要求12所述的方法,其中,所述网络物理系统是载具,使得使所述网络物理系统实施动作包括触发所述载具的安全模式。
22.根据权利要求21所述的方法,其中,触发所述安全模式包括使所述载具停止工作。
23.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质编码有可执行指令,使得一个或更多个处理器执行所述指令时,所述一个或更多个处理器执行以下操作:
从网络物理系统的部件获得时变模拟边信道信号;
将所述时变模拟边信道信号转换成数字边信道信号;
基于所述数字边信道信号来识别系统状态的时间序列;
将所述系统状态的时间序列与由网络物理系统部件生成的软件状态进行比较,使得在所述软件状态与系统状态的所述时间序列失配时,标明边信道安全漏洞;以及
使所述网络物理系统基于所述边信道安全漏洞来实施动作,
其中,基于所述数字边信道信号来识别系统状态的所述时间序列还包括执行以下操作:存储新的边信道信号模板,以及取回并更新现有边信道信号模板。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862722783P | 2018-08-24 | 2018-08-24 | |
US62/722,783 | 2018-08-24 | ||
US16/219,749 | 2018-12-13 | ||
US16/219,749 US11394727B2 (en) | 2018-02-14 | 2018-12-13 | System and method for side-channel based detection of cyber-attack |
PCT/US2019/038576 WO2020040859A1 (en) | 2018-08-24 | 2019-06-21 | System and method for cyber attack detection based on rapid unsupervised recognition of recurring signal patterns |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112437921A CN112437921A (zh) | 2021-03-02 |
CN112437921B true CN112437921B (zh) | 2024-02-02 |
Family
ID=69591049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980048298.4A Active CN112437921B (zh) | 2018-08-24 | 2019-06-21 | 网络攻击检测的系统、方法和非暂时性计算机可读介质 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP3841504B1 (zh) |
CN (1) | CN112437921B (zh) |
WO (1) | WO2020040859A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115801412B (zh) * | 2022-11-18 | 2023-05-02 | 国网河北省电力有限公司电力科学研究院 | 一种电力物联信息网络攻击行为特征的提取方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9268938B1 (en) * | 2015-05-22 | 2016-02-23 | Power Fingerprinting Inc. | Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection |
CN105917345A (zh) * | 2013-12-04 | 2016-08-31 | 英派尔科技开发有限公司 | 虚拟机之间的边信道攻击的检测 |
CN108141372A (zh) * | 2015-03-18 | 2018-06-08 | 赫尔实验室有限公司 | 用于基于网络流量检测对移动ad hoc网络的攻击的系统和方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7877621B2 (en) * | 2004-09-03 | 2011-01-25 | Virginia Tech Intellectual Properties, Inc. | Detecting software attacks by monitoring electric power consumption patterns |
US8751098B2 (en) * | 2008-01-25 | 2014-06-10 | Omnitracs, Llc | Method of monitoring CANbus information |
CN105050868B (zh) * | 2012-10-17 | 2018-12-21 | 安全堡垒有限责任公司 | 用于检测和防止对交通工具的攻击的设备 |
WO2016085861A1 (en) * | 2014-11-26 | 2016-06-02 | Howard University | Computer control system security |
US9697355B1 (en) * | 2015-06-17 | 2017-07-04 | Mission Secure, Inc. | Cyber security for physical systems |
US10810310B2 (en) * | 2016-01-14 | 2020-10-20 | Georgia Tech Research Corporation | Systems and methods for runtime program monitoring through analysis of side channel signals |
US11108789B2 (en) * | 2016-07-15 | 2021-08-31 | The Regents Of The University Of Michigan | Identifying compromised electronic control units via voltage fingerprinting |
-
2019
- 2019-06-21 WO PCT/US2019/038576 patent/WO2020040859A1/en unknown
- 2019-06-21 CN CN201980048298.4A patent/CN112437921B/zh active Active
- 2019-06-21 EP EP19851569.4A patent/EP3841504B1/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105917345A (zh) * | 2013-12-04 | 2016-08-31 | 英派尔科技开发有限公司 | 虚拟机之间的边信道攻击的检测 |
CN108141372A (zh) * | 2015-03-18 | 2018-06-08 | 赫尔实验室有限公司 | 用于基于网络流量检测对移动ad hoc网络的攻击的系统和方法 |
US9268938B1 (en) * | 2015-05-22 | 2016-02-23 | Power Fingerprinting Inc. | Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection |
Non-Patent Citations (2)
Title |
---|
Combining Algebraic and Side Channel Attacks on Stream Ciphers;Asif Raza Kazmi 等;《2017 International Conference on Communication Technologies (ComTech)》;138-142 * |
侧信道攻击通用框架设计及应用;王庆 等;《技术研究》;57-62 * |
Also Published As
Publication number | Publication date |
---|---|
EP3841504B1 (en) | 2023-12-06 |
WO2020040859A1 (en) | 2020-02-27 |
EP3841504A4 (en) | 2022-05-04 |
EP3841504A1 (en) | 2021-06-30 |
CN112437921A (zh) | 2021-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111492361B (zh) | 用于基于边信道的网络攻击检测的系统和方法 | |
US9781139B2 (en) | Identifying malware communications with DGA generated domains by discriminative learning | |
CN109299135B (zh) | 基于识别模型的异常查询识别方法、识别设备及介质 | |
EP2979425B1 (en) | Method and apparatus for detecting a multi-stage event | |
US11775826B2 (en) | Artificial intelligence with cyber security | |
US9876814B2 (en) | Detecting domains generated by a domain generation algorithm | |
US20170200323A1 (en) | Cooperative Vehicle Monitoring and Anomaly Detection | |
EP3660719B1 (en) | Method for detecting intrusions in an audit log | |
Bridges et al. | Towards malware detection via cpu power consumption: Data collection design and analytics | |
US10462170B1 (en) | Systems and methods for log and snort synchronized threat detection | |
US9292675B2 (en) | System and method for creating a core cognitive fingerprint | |
JP7311350B2 (ja) | 監視装置、監視方法、および監視プログラム | |
CN110572399B (zh) | 漏洞检测处理方法、装置、设备及存储介质 | |
Gupta | An effective model for anomaly IDS to improve the efficiency | |
CN112437921B (zh) | 网络攻击检测的系统、方法和非暂时性计算机可读介质 | |
Smalarz | Suspect bias: A neglected threat to the reliability of eyewitness identification evidence. | |
US20150220850A1 (en) | System and Method for Generation of a Heuristic | |
US11256806B2 (en) | System and method for cyber attack detection based on rapid unsupervised recognition of recurring signal patterns | |
CN114389881A (zh) | 网络异常流量检测方法、装置、电子设备及存储介质 | |
US10740445B2 (en) | Cognitive behavioral security controls | |
US11436322B2 (en) | Vehicle unauthorized access countermeasure taking apparatus and vehicle unauthorized access countermeasure taking method | |
CN113792291B (zh) | 一种受域生成算法恶意软件感染的主机识别方法及装置 | |
Dhakar et al. | A New Model for Intrusion Detection based on Reduced Error Pruning Technique | |
US11222113B1 (en) | Automatically generating malware definitions using word-level analysis | |
CN114846767A (zh) | 用于解决矛盾的设备分析数据的技术 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |