CN113795836A - 用于检测车辆系统中的侵入的方法和系统 - Google Patents

用于检测车辆系统中的侵入的方法和系统 Download PDF

Info

Publication number
CN113795836A
CN113795836A CN202080033639.3A CN202080033639A CN113795836A CN 113795836 A CN113795836 A CN 113795836A CN 202080033639 A CN202080033639 A CN 202080033639A CN 113795836 A CN113795836 A CN 113795836A
Authority
CN
China
Prior art keywords
time
counter
response
predetermined length
threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080033639.3A
Other languages
English (en)
Inventor
S·K·库玛尔
S·慕克吉
H·彼邵普
C·S·约克
A·T·希勒里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cummins Inc
Original Assignee
Cummins Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cummins Inc filed Critical Cummins Inc
Publication of CN113795836A publication Critical patent/CN113795836A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Alarm Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

公开了提高具有嵌入式装置的网络的计算系统的安全性的方法和系统。所述方法包括以下步骤:启动预定时长的计时器;获得要在预定时长内接收的循环消息的预期数量;每当在预定时长内接收到循环消息时就使消息计数器递增;响应于在预定时长结束时接收到的循环消息的实际数量超过要接收的循环消息的预期数量达第一阈值,使设定计数器递增;以及响应于在预定时长结束时设定计数器超过第二阈值,检测系统中的侵入。

Description

用于检测车辆系统中的侵入的方法和系统
相关申请的交叉引用
本申请要求2019年5月13日提交的美国临时申请No.62/846,999的优先权,其全部内容通过引用并入本文。
技术领域
本公开总体上涉及计算机安全性,尤其涉及提高车辆电子装置的安全性。
背景技术
近来,越来越多的所制造车辆成为了“联网车辆(connected vehicle)”或者配备有互联网接入且通常还配备有无线局域网的车辆。与它们的未联网前身相比,这些联网车辆享有访问以在网络与车辆之间共享数据的形式提供的大量信息和服务的优点。存在不同类型的连接:车辆到基础设施(V2I)、车辆到车辆(V2V)、车辆到云(V2C)、车辆到行人(V2P)、以及车辆到万物(V2X)。然而,无线网络接入的可用性也伴随着网络侵入的危险,其中,黑客通过无线网络访问车辆内的电子装置并且在驾驶员不知道的情况下控制车辆。
汽车网络安全是汽车制造商的主要关注焦点,并且网络安全嵌入汽车已经在生产中,到2025年,约60%的联网汽车预期具有内置安全解决方案。尽管联网汽车是早期的采用者,但是将来也期望自主车辆和联网卡车使用用于网络安全的内置安全解决方案。因此,制造商必需在联网卡车中采用这样的安全措施,因为在这个群体中的网络攻击往往是巨大的并且对组织是极其有害的。因此,需要提高对车辆电子装置中的网络侵入的实时检测。
发明内容
本公开的各种实施方式涉及用于提高计算系统的安全性的方法和系统。在一个实施方式中,所述方法涉及启动预定时长的计时器,并且获得要在预定时长内接收的循环消息的预期数量。然后,每当在预定时长内接收到循环消息时就使消息计数器递增,并且响应于在预定时长结束时接收到的循环消息的实际数量超过要接收的循环消息的预期数量达第一阈值,使设定计数器递增。响应于在预定时长结束时设定计数器超过第二阈值,检测系统中的侵入。
在该实施方式的一个方面,响应于在预定时长结束时接收到的循环消息的实际数量未能超过循环消息的预期数量达第一阈值,使清零计数器递增。在该实施方式的另一方面,响应于在预定时长结束时清零计数器超过第三阈值,重置设定计数器和清零计数器。而且,在该实施方式的另一方面,响应于在预定时长结束时设定计数器超过第二阈值,重置设定计数器和清零计数器。
在一个实施方式中,所述方法涉及启动预定时长的计时器,并且每当在预定时长内检测到请求信号时,就使请求计数器递增。而且,每当在预定时长内检测到响应信号时,就使响应计数器递增。而且,每当响应计数器在预定时长内超过请求计数器时,就使设定计数器递增。响应于在预定时长结束时设定计数器超过第一阈值,检测系统中的侵入。
在该实施方式的一个方面,每当请求计数器超过或等于响应计数器时,就使清零计数器递增。在该实施方式的另一方面,响应于在预定时长结束时清零计数器超过第二阈值,重置设定计数器和清零计数器。在该实施方式的又一方面,响应于在预定时长结束时设定计数器超过第一阈值,重置设定计数器和清零计数器。
在一个实施方式中,响应于接收到控制信号,将控制状态(control status)从第一控制状态(first control state)改变成第二控制状态。然后,在将控制状态改变成第二控制状态之后,所述方法涉及等待第一时长以供接收确认信号。响应于接收到确认信号,将确认状态从第一确认状态改变成第二确认状态。基于控制状态和确认状态来检测系统中的侵入。
在该实施方式的一个方面,响应于在将所述控制状态改变成所述第二控制状态之后,在所述第一时长结束时所述确认状态处于所述第一确认状态,检测所述系统中的所述侵入。在该实施方式的另一方面,当所述控制状态处于所述第二控制状态并且所述确认状态处于所述第二确认状态时,响应于接收到至少一个后续控制信号,来检测所述系统中的所述侵入。而且,在另一实施方式中,在预定时长内接收循环消息的预期数量。每当在预定时长内接收到循环消息时,就使消息计数器递增。响应于在预定时长结束时接收到的循环消息的实际数量超过要接收的循环消息的预期数量达第一阈值,使设定计数器递增。响应于在预定时长结束时设定计数器超过第二阈值,检测系统中的侵入。
在一个实施方式中,每当系统连接中止时,就使中止计数器递增,并且响应于在预定时长跨度内中止计数器超过阈值,检测系统中的可能侵入的指示。在该实施方式的一个方面,中止计数器表示计算系统在预定时长内所经历的预定义类型的中止的总和。
在一个实施方式中,每当接收到请求信号时就使请求计数器递增,并且响应于在预定时长跨度内请求计数器超过阈值,检测系统中的侵入。在该实施方式的一个方面,请求计数器表示计算系统在预定时长内所接收到的预定义类型的请求的总和。
在一个实施方式中,提供了一种计算系统,该计算系统包括:被配置成存储消息计数器和设定计数器的寄存器;以及与该寄存器相关联的处理单元。该处理单元启动预定时长的计时器;获得要在预定时长内接收的循环消息的预期数量;每当在预定时长内接收到循环消息时,就使消息计数器递增;响应于在循环结束时接收到的循环消息的实际数量超过要接收的循环消息的预期数量达第一阈值,使设定计数器递增;以及响应于在预定时长结束时设定计数器超过第二阈值,检测系统中的侵入。
在另一实施方式中,该计算系统包括:被配置成存储请求计数器、响应计数器和设定计数器的寄存器;以及与该寄存器相关联的处理单元。该处理单元启动预定时长的计时器;每当在预定时长内检测到请求信号时,就使请求计数器递增;每当在预定时长内检测到响应信号时,就使响应计数器递增;每当响应计数器在预定时长内超过请求计数器时,就使设定计数器递增;以及响应于在预定时长结束时设定计数器超过第一阈值,检测系统中的侵入。
在又一实施方式中,该计算系统包括:被配置成存储系统的控制状态和确认状态的寄存器;以及与该寄存器相关联的处理单元。处理单元响应于由该处理单元接收到控制信号,将控制状态从第一控制状态改变成第二控制状态;在将控制状态改变成第二控制状态之后,等待第一时长以供处理单元接收确认信号;响应于该处理单元接收到确认信号,将确认状态从第一确认状态改变成第二确认状态;以及基于控制状态和确认状态来检测系统中的侵入。
虽然公开了多个实施方式,但是根据下面示出并描述本公开的例示性实施方式的详细描述,本公开的其它实施方式对于本领域技术人员将变得显而易见。因此,附图和详细的描述本质上要被视为例示性的而非限制性的。
附图说明
考虑到伴随以下附图的下列描述,将更容易理解实施方式,并且其中,相同标号表示相同要素。这些描绘的实施方式要被理解为本公开的例示,而非以任何方式加以限制。
图1是车辆的发动机系统的示意图,该发动机系统并入了传感器和电子装置控制单元以使用数据分析模块来分析传感器数据;
图2是根据本文所公开的实施方式的提高计算系统的安全性的方法的流程图;
图3是根据本文所公开的实施方式的提高计算系统的安全性的方法的流程图;
图4是根据本文所公开的实施方式的提高计算系统的安全性的方法的流程图;
图5是根据本文所公开的实施方式的提高计算系统的安全性的方法的流程图;
图6是根据本文所公开的实施方式的提高计算系统的安全性的方法的流程图;
图7是根据本文所公开的实施方式的提高计算系统的安全性的方法的流程图;
图8是根据本文所公开的实施方式的提高计算系统的安全性的方法的流程图;
图9是根据本公开的实施方式的发动机控制单元的示意图。
虽然本公开容许各种修改和另选形式,但具体实施方式已经在附图中通过示例进行了示出,并且下面进行详细描述。然而,目的不是将本公开限制于所述特定实施方式。正相反,本公开旨在覆盖落入如所附权利要求所限定的本公开的范围内的所有修改例、等同物以及另选例。
具体实施方式
在下面的详细描述中,参照附图进行说明,附图形成了该详细描述的一部分,并且其中,通过例示的方式示出了具体实践本公开的具体实施方式。对这些实施方式进行足够详细的描述,以使本领域技术人员能够实践本公开,并且要理解的是,在不脱离本公开的范围的情况下,可以利用其它实施方式,并且可以进行结构性改变。因此,下面的详细描述不是按限制性意义来看待的,而是本公开的范围仅通过所附权利要求及其等同物来限定。
贯穿本说明书对“一个实施方式”、“实施方式”或类似语言的引用意指在本公开的至少一个实施方式中包括结合该实施方式描述的特定特征、结构或特性。遍布本说明书出现的短语“在一个实施方式中”、“在实施方式中”以及类似语言可以但不必都是指同一实施方式。类似地,术语“实现”的使用意指具有结合本公开的一个或更多个实施方式描述的特定特征、结构或特性的实现,然而,在缺乏明确相关性以另外加以指示的情况下,可以将实现与一个或更多个实施方式相关联。而且,可以在一个或更多个实施方式中以任何合适的方式组合本文所描述的主题的所述特征、结构或特性。
图1示出了车辆的发动机系统100,其中,发动机系统100是包括发动机控制单元(ECU)102的嵌入式装置的网络。ECU 102包括数据分析模块104。发动机系统100还包括:具有传感器108的发动机106、具有传感器112的传动装置110、传动装置控制单元114以及传感器电子装置116。ECU 102经由数据链路与TCU 114通信地联接。数据链路的示例包括汽车工程师协会(“SAE”)J1939车辆总线系统或其它合适的控制器区域网络(CAN)总线系统。应理解,被描绘为发动机系统100的嵌入式装置的网络可以被部署在多种不同应用中的任一应用中,这些应用包括车辆(例如,全电动车辆、混合电动车辆、或者具有常规内燃发动机(例如,柴油、火花点燃式、双燃料等)、发电机或其它设备的车辆。
传动装置110通常经由离合器连接至发动机106的曲轴。如根据前述应理解的,发动机106不旨在限于所列出的各种内燃发动机类型,而是还可以表示将所储存的势能变换成通常但不排它地用于推进目的的机械能的任何装置(例如包括电动机或马达/发电机)。传动装置的输出经由驱动轴被传送至驱动车轮的一个或更多个差速器(未示出)。ECU 102提供用于操作发动机106的控制信号,并且响应于该控制信号,TCU114控制传动装置110内的齿轮选择。传感器108和112将关于发动机和传动装置状态的测量值发送至传感器电子装置116(如图中以虚线所示),此后ECU 102接收该数据。传感器的示例包括:大气压力传感器、爆震传感器、排气传感器、发动机冷却剂温度传感器等。传感器读数可以指示发动机106或传动装置110何时未有效地或高效地运行,数据分析模块104响应于该传感器读数识别出存在问题并警告车辆的用户。数据分析模块104还具有以下详细描述的侵入检测算法,以使模块104可以检测是否存在以下可能性:ECU 102例如经由来自黑客的侵入,从未经授权的源接收到提供某些控制信号的指令。
如上所示,在一些实施方式中,发动机106与电动机协同工作,该电动机从诸如可再充电电池的能量源接收为电能形式的电力,其中,电动机还可以作为发电机工作,以通过将机械能转换成电能来对电池进行再充电。在这样的实施方式中,发动机系统100是不仅使用发动机106而且使用电动机来驱动车辆的混合发动机系统。另外,在一些示例中,可以将发动机106替换成电动机,作为将所储存的势能(在这种情况下是储存在电池中的电能)转换成旋转动能的装置。
图9示出了ECU 102的示例,该ECU 102包括:寄存器900、处理单元902以及存储器904。寄存器900可以是本文所描述的计数器值被存储以供处理单元902访问的地方,该处理单元执行本文所描述的侵入检测算法。在一个示例中,存储器904存储用于执行所述算法的指令、以及算法所需的阈值,如本文所述。在另一实施方式中,数据分析模块104可以位于ECU 102的外部并且位于经由数据链路连接至ECU102和TCU 114的单独计算装置中。在一个示例中,处理单元902可以是适合于该系统的任何处理装置,包括:中央处理单元(CPU)、芯片上系统(SoC)处理器等。存储器904可以视情况为静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、只读存储器(ROM)或者闪速存储器。
图2示出了根据被用于检测ECU 102中是否存在侵入的侵入检测算法的方法200。在第一步骤202中,处理单元获得要在预定时段期间接收的循环消息(例如,8字节帧和传输帧)的预期数量。然后,在步骤204中,ECU 102的处理单元启动持续预定时段的计时器。在一些示例中,预定时段基于循环时间,使得计时器持续的时段是循环时间的倍数。在一个示例中,预定时段等于循环时长的十倍。在步骤206中,处理单元确定在预定时段内是否接收到循环消息。如果接收到消息,则在步骤208中使消息计数器递增。否则,处理单元返回至步骤206并且等待接收消息。在步骤210中,处理单元确定计时器是否结束。如果计时器未结束,则处理返回至步骤206以等待附加循环消息。
当达到计时器结束时,处理单元前进至步骤214,以确定消息计数器中的值是否大于如在步骤202中获得的要在预定时段内接收的循环消息的预期数量达某个阈值容限。如果实际上接收的循环消息的数量超过预期数量多于阈值容限,则处理单元前进至步骤216以使设定计数器递增。否则,处理单元直接前进至步骤218,该步骤将处理返回至步骤204以再次启动计时器,而不使设定计数器递增。在步骤216中使设定计数器递增之后,处理单元前进至步骤220,以确定设定计数器的值是否大于预定阈值。如果设定计数器的值不大于预定阈值,则处理单元前进至步骤218,以返回至步骤204并且再次启动计时器。否则,如果设定计数器的值大于预定阈值,则处理单元前进至步骤222,以设定系统中存在侵入的标记,然后,前进至步骤218。
图3示出了实现附加计数器(清零计数器)的方法300。方法300与方法200相同,直到步骤214,在该步骤214之后,如果消息计数器中的值未超过在计时器结束时要根据阈值容限接收的循环消息的预期数量,则处理单元前进至步骤302以使清零计数器递增。然后,在步骤304中,处理单元确定清零计数器的值是否大于阈值。如果清零计数器的值不大于阈值,则处理单元前进至步骤218,以返回至步骤204并启动计时器;否则,如果清零计数器的值大于阈值,则处理单元在步骤306中重置设定计数器和清零计数器。在一个示例中,响应于设定计数器和清零计数器均超过它们的对应阈值,将这些计数器重置。另选地,如果在步骤214中消息计数器超过要根据阈值容限接收的循环消息的预期数量,则在步骤216中使设定计数器递增,然后在步骤220中处理单元确定设定计数器是否超过阈值。如果设定计数器超过阈值,则进行步骤222,其中处理单元设定在系统中存在侵入的标记,随后进行步骤306以重置设定计数器和清零计数器,然后进行步骤218,以返回至步骤204并且再次启动计时器。否则,如果在步骤220中设定计数器不超过阈值,则处理前进至步骤218。
应注意,诸如步骤204中的计时器的时间量、步骤202中的各个循环的长度、以及步骤214中的阈值容限、以及步骤220中的阈值的值都是根据用于确定各个类型的车辆和发动机的此类值的协议预先确定的。例如,制造商可以基于广泛的测试来确定适当的值,并且输入这些值作为算法的一部分,即,静态值。而且,尽管将诸如消息计数器、设定计数器以及清零计数器的计数器描述为在各个对应步骤期间进行递增,但是应理解,通过使计数器递减而不是递增可以获得相同的效果,即,计数器的值可以在对应于阈值的非零值处开始,使得不是确定计数器是否超过阈值,而是算法可能只需要检查计数器是否达到零,以使得处理单元能够前进至如上说明的下一适当步骤。
根据上述实施方式中的任一实施方式的一个示例,将计时器设定在1秒,并且针对时隙对已登记的循环时间消息进行计数。将10%的公差容限设置为与要接收的消息的预期数量的偏差的阈值,以便使设定计数器递增。设定计数器的达到处理单元检测系统中的侵入的阈值为5。最后,清零计数器的达到重置设定计数器和清零计数器的阈值也是5。应注意,可以适当地调节时间、阈值容限以及阈值以适合系统的操作。
图4示出了根据另一实施方式的方法400。方法400开始于在步骤204中启动计时器,然后同时进行检查以查看在步骤402中在循环期间是否检测到响应信号(例如,由ECU发送以授权控制发动机或传动装置的操作的响应),并且在步骤406中在循环期间是否检测到请求信号(例如,由ECU接收以控制发动机或传动装置的操作的请求)。如果检测到响应信号,则处理单元前进至步骤404,以使响应计数器递增。如果检测到请求信号,则处理单元前进至步骤408以使请求计数器递增。在步骤402和406两者中,如果既没有接收到请求信号也没有接收到响应信号,则处理单元等待,直到接收到任一信号。然后,在步骤210中,处理单元确定是否达到计时器的结束。如果未达到计时器的结束,则该方法视情况返回步骤402或406,如在步骤410中所示。应注意,在方法200、300、以及400中的任一方法中,可以将算法编程成在驱动循环结束时结束。同样地,在一些示例中,方法200、300以及400还可以包括附加判定步骤,以确定在侵入被标记之后或者在计时器结束时是否已经到达驱动循环结束。如果确定尚未到达驱动循环结束,则该方法可以返回至步骤204以再次启动计时器。
当达到计时器结束时,处理单元前进至步骤412,以确定响应计数器值是否超过请求计数器值。理想情况下,对于各个响应信号,存在对应的对应物,即,请求信号。如果检测到响应信号(该响应信号是从ECU 102发送的用于启用发动机106的信号),但是没有检测到对应于该响应信号的请求信号,则存在该响应信号为未被授权的高概率,这是由侵入系统的入侵在未从系统接收到请求信号的情况下错误地启用该响应信号造成的。在确定是否存在比请求更多的响应之后的剩余处理与方法300中所说明的处理相同,即,如果响应计数器超过请求计数器,则根据步骤216使设定计数器递增,而如果响应计数器没有超过请求计数器,则根据步骤302使清零计数器递增。在一个示例中,当请求计数器等于或者超过响应计数器时,使清零计数器递增。在一个示例中,将计数器值存储在寄存器中以易于由处理单元访问。
图5示出了根据一个实施方式的方法500,该方法用于区分由ECU 102接收的真实消息与伪造消息,例如,根据SAE J1939标准的转矩速度控制(TSC1)消息。方法500涉及使用两位数据(控制位和确认位)来定义总共四个状态。确认位可以由多个离散信号来确定。第一状态502是当两个位均为0时,第二状态504是当仅确认位为1时,第三状态506是当仅控制位为1时,以及第四状态508是当两个位均为1时。启用控制位以从0切换成1指示何时授权发动机控制,而当控制位仍保持为0时,拒绝发动机控制。当系统接收到发动机控制确实应当被授权的确认时,确认位变为1。这样,类似于先前图中所例示的请求-响应关系,在控制位与确认位之间理想地存在一对一关系,使得当启用所述位中的任一位时,另一位也是如此。在一个示例中,存在可以进行的发送(例如,参数组数(PGN)发送)的次数的阈值,在进行该发送之前,接收到了确认。
如果发动机控制被授权但在该阈值内没有接收到确认,则处理单元将获知在系统中存在可能侵入。如第二状态504所表示的,可能存在当确认位被启用为1时而控制位仍保持为0的情况。在一个示例中,第二状态504不触发攻击警告,这是因为发动机控制没有被授权。另一方面,当根据第三状态506,控制位是1但确认位仍保持为0,并且在由阈值发送次数确定的时长内没有接收到确认时,处理单元启用攻击检测警告510。作为响应,系统可以阻止对发动机控制的授权,使得控制位被停用以处于第一状态502。在一个示例中,TSC1消息被系统阻止,并且循环时间检测被断开以停用控制位并返回至第一状态502。
当已经接收到对控制授权的确认时,发生另一攻击检测警告512。因此,控制位和确认位均被启用,但是随后在系统中检测到另一控制授权,处理单元通过将后续控制授权标记为对系统的攻击来对该控制授权作出响应。在一个示例中,后续控制消息是非周期控制消息,处理单元通过锁定发送速率并接通循环注入检测来响应该非周期控制消息,以在第一次出现控制授权时检测侵入。而且,在一个示例中,使用方法200或300的算法来执行循环侵入检测。具体地,在一个示例中,方法500还可以包括以下步骤:从循环消息获得要接收的循环消息的预期数量;每当在第一时长内接收到循环消息时,就使消息计数器递增(步骤206和208);响应于在计时器结束时接收到的循环消息的实际数量超过要接收的循环消息的预期数量达阈值,使设定计数器递增(步骤210、212、214以及216);然后,响应于当计时器期满时设定计数器超过阈值,检测系统中的侵入(步骤218、220以及222)。而且,在一个示例中,将控制位和确认位存储在处理单元可容易访问的寄存器中。
图7和图8分别示出了使用附加计数器检测系统中的侵入或可能侵入的指示的两种附加方法700和800。方法700涉及当系统连接被中止时使中止计数器递增的第一步骤702。如果在步骤704中确定中止计数器值没有超过阈值,则处理返回至步骤702,否则前进至步骤706,在步骤706中,检测系统中的可能侵入的指示。在一些实施方式中,系统使用系统连接被中止的可能原因的列表,并且将每个中止的发生计数为一次中止。例如,当系统已经处于一个或更多个连接管理会话中并因此无法支持另一连接管理会话时,可以发生中止。例如,当另一任务需要系统资源时,可以发生中止,从而终止连接管理会话。例如,当存在意外数据传递包时,或者当达到最大重发请求限制时,也可以发生中止。也可以使用用于系统连接中止的其它合适示例。在一个示例中,处理单元还设定预定时长的计时器,并且当计时器期满时,处理单元将中止计数器值与阈值进行比较。如果不怀疑有侵入,则再次设定计时器并且方法700自身重复。在一个示例中,将计时器设定成1秒,并且将阈值设定成每秒10次中止。在一个示例中,中止计数器表示系统在预定时段内所经历的预定义类型的中止的总和。
方法800检测对系统的拒绝服务(DoS)攻击,这是通过利用请求控制消息信号淹没(flooding)CAN来实现的。方法800涉及当系统(例如特别是ECU 102)接收到请求信号时使请求计数器递增的第一步骤802。然后,在步骤804中,处理单元确定请求计数器值是否超过阈值。如果请求计数器值未超过阈值,则处理返回至步骤802。然而,如果请求计数器值超过阈值,则在步骤806中检测系统中的侵入。阈值可以通过实验或任意被确定。在一个示例中,将计时器设定在1秒,并且当计时器期满时,处理单元将请求计数器值与阈值进行比较。在一个示例中,可以将阈值设定为在1秒的时间跨度内有50个消息。在一个示例中,请求计数器表示在预定时段内由系统接收到的预定义类型的请求(如本领域中已知的,可以存在向ECU 102发送的多种类型的请求)的总和。
本主题可以在不脱离本公开的范围的情况下以其它特定形式来具体实施。所述实施方式仅如所示并且不受限地按全部方面来考虑。本领域技术人员应认识到,与所公开的实施方式一致的其它实现是可以的。已经呈现了本文所描述的上述详细描述和示例,仅是出于例示和描述的目的而并非出于限制。例如,所描述的操作可以以任何合适的方式来进行。这些方法可以以任何合适次序来执行,同时仍然提供所描述的操作和结果。因此,设想本实施方式覆盖落入上面公开的和本文所要求保护的基本原理的范围内的任何和所有修改例、变型或等同物。而且,虽然上面的描述描述了为处理器执行代码的形式的硬件、为状态机的形式的硬件或者能够产生相同效果的专用逻辑,但是也可以考虑其它结构。

Claims (14)

1.一种提高具有嵌入式装置的网络的计算系统的安全性的方法,所述方法包括以下步骤:
启动具有预定时长的计时器;
获得要在所述预定时长内接收的循环消息的预期数量;
每当在所述预定时长内接收到循环消息时,就使消息计数器递增;
响应于在所述预定时长结束时接收到的循环消息的实际数量超过要接收的循环消息的预期数量达第一阈值,使设定计数器递增;以及
响应于在所述预定时长结束时所述设定计数器超过第二阈值,检测所述系统中的侵入。
2.根据权利要求1所述的方法,所述方法还包括以下步骤:
响应于在所述预定时长结束时接收到的循环消息的实际数量未超过循环消息的预期数量达所述第一阈值,使清零计数器递增。
3.根据权利要求2所述的方法,所述方法还包括以下步骤:
响应于在所述预定时长结束时所述清零计数器超过第三阈值,重置所述设定计数器和所述清零计数器。
4.根据权利要求3所述的方法,所述方法还包括以下步骤:
响应于在所述预定时长结束时所述设定计数器超过所述第二阈值,重置所述设定计数器和所述清零计数器。
5.一种提高具有嵌入式装置的网络的计算系统的安全性的方法,所述方法包括以下步骤:
启动限定预定时长的计时器;
每当在所述预定时长内检测到请求信号时,就使请求计数器递增;
每当在所述预定时长内检测到响应信号时,就使响应计数器递增;
每当所述响应计数器在所述预定时长内超过所述请求计数器时,就使设定计数器递增;
响应于在所述预定时长结束时所述设定计数器超过第一阈值,检测所述系统中的侵入。
6.根据权利要求5所述的方法,所述方法还包括以下步骤:
每当所述请求计数器超过或等于所述响应计数器时,就使清零计数器递增。
7.根据权利要求6所述的方法,所述方法还包括以下步骤:
响应于在所述预定时长结束时所述清零计数器超过第二阈值,重置所述设定计数器和所述清零计数器。
8.根据权利要求7所述的方法,所述方法还包括以下步骤:
响应于在所述预定时长结束时所述设定计数器超过所述第一阈值,重置所述设定计数器和所述清零计数器。
9.一种提高具有嵌入式装置的网络的计算系统的安全性的方法,所述方法包括以下步骤:
响应于接收到控制信号,将控制状态从第一控制状态改变成第二控制状态;
在将所述控制状态改变成所述第二控制状态之后,等待第一时长以供接收确认信号;
响应于接收到所述确认信号,将确认状态从第一确认状态改变成第二确认状态;以及
基于所述控制状态和所述确认状态来检测所述系统中的侵入。
10.根据权利要求9所述的方法,其中,响应于在将所述控制状态改变成所述第二控制状态之后在所述第一时长结束时所述确认状态处于所述第一确认状态,检测所述系统中的所述侵入。
11.根据权利要求9所述的方法,其中,当所述控制状态处于所述第二控制状态并且所述确认状态处于所述第二确认状态时,响应于接收到至少一个后续控制信号,来检测所述系统中的所述侵入。
12.根据权利要求11所述的方法,所述方法还包括以下步骤:
获得要在预定时长期间接收的循环消息的预期数量;
每当在所述预定时长内接收到循环消息时,就使消息计数器递增;
响应于在所述预定时长结束时接收到的循环消息的实际数量超过要接收的循环消息的预期数量达第一阈值,使设定计数器递增;以及
响应于在所述预定时长结束时所述设定计数器超过第二阈值,检测所述系统中的侵入。
13.一种提高具有嵌入式装置的网络的计算系统的安全性的方法,所述方法包括以下步骤:
每当系统连接中止时,就使中止计数器递增;以及
响应于在预定时长跨度内所述中止计数器超过阈值,检测所述系统中的可能侵入的指示。
14.根据权利要求13所述的方法,其中,所述中止计数器表示所述计算系统在所述预定时长内所经历的预定义类型的中止的总和。
CN202080033639.3A 2019-05-13 2020-05-13 用于检测车辆系统中的侵入的方法和系统 Pending CN113795836A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201962846999P 2019-05-13 2019-05-13
US62/846,999 2019-05-13
PCT/US2020/032710 WO2020232147A1 (en) 2019-05-13 2020-05-13 Method and system for detecting intrusion in a vehicle system

Publications (1)

Publication Number Publication Date
CN113795836A true CN113795836A (zh) 2021-12-14

Family

ID=73289789

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080033639.3A Pending CN113795836A (zh) 2019-05-13 2020-05-13 用于检测车辆系统中的侵入的方法和系统

Country Status (5)

Country Link
US (1) US20220232022A1 (zh)
EP (1) EP3938249A4 (zh)
CN (1) CN113795836A (zh)
BR (1) BR112021021122A2 (zh)
WO (1) WO2020232147A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3121528A1 (fr) * 2021-03-30 2022-10-07 Psa Automobiles Sa Procédé et dispositif de détection d’une intrusion sur un bus de données d’un véhicule

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1025698A (en) * 1907-02-14 1912-05-07 Moon Hopkins Billing Mach Co Motor-drive for calculating-machines.
EP1039313A1 (en) * 1999-03-17 2000-09-27 Valeo Services Limited Intrusion detection process and device
JP3919515B2 (ja) * 2001-11-29 2007-05-30 富士通テン株式会社 車載用侵入検知装置および方法
JP4136649B2 (ja) * 2002-12-26 2008-08-20 トヨタ自動車株式会社 車両用盗難防止装置及び車両の制御方法
EP2305702B1 (en) * 2004-01-30 2014-03-19 Novozymes Inc. Polypeptides having cellulolytic enhancing activity and polynucleotides encoding same
US8458793B2 (en) * 2004-07-13 2013-06-04 International Business Machines Corporation Methods, computer program products and data structures for intrusion detection, intrusion response and vulnerability remediation across target computer systems
US7342373B2 (en) * 2006-01-04 2008-03-11 Nartron Corporation Vehicle panel control system
JP5978582B2 (ja) * 2011-09-28 2016-08-24 住友電気工業株式会社 車両用検知装置、異常検知方法および異常検知プログラム
JP5522160B2 (ja) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
US9442737B2 (en) * 2012-06-15 2016-09-13 International Business Machines Corporation Restricting processing within a processor to facilitate transaction completion
JP5919205B2 (ja) * 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
FR3027129B1 (fr) * 2014-10-08 2016-10-21 Renault Sa Systeme de reseau embarque de vehicule et procede de detection d'intrusion sur le reseau embarque
US9578047B2 (en) * 2015-01-13 2017-02-21 GM Global Technology Operations LLC Method and system for reflectometry based communication network monitoring, intrusion detection, and message authentication
US11115433B2 (en) * 2015-06-29 2021-09-07 Argus Cyber Security Ltd. System and method for content based anomaly detection in an in-vehicle communication network
IT201600111869A1 (it) * 2016-11-07 2018-05-07 Magneti Marelli Spa "Procedimento di monitoraggio di traffico dati in una rete di autoveicolo o motoveicolo"

Also Published As

Publication number Publication date
WO2020232147A1 (en) 2020-11-19
EP3938249A1 (en) 2022-01-19
EP3938249A4 (en) 2022-12-28
BR112021021122A2 (pt) 2021-12-14
US20220232022A1 (en) 2022-07-21

Similar Documents

Publication Publication Date Title
Jo et al. Mauth-can: Masquerade-attack-proof authentication for in-vehicle networks
Bozdal et al. A survey on can bus protocol: Attacks, challenges, and potential solutions
Aliwa et al. Cyberattacks and countermeasures for in-vehicle networks
Wu et al. Sliding window optimized information entropy analysis method for intrusion detection on in-vehicle networks
Woo et al. A practical security architecture for in-vehicle CAN-FD
CN108494725B (zh) 一种车载can总线报文的加密通信方法
KR102243114B1 (ko) 차량 네트워크에서 id 익명화를 사용한 실시간 프레임 인증
Bhatia et al. Evading Voltage-Based Intrusion Detection on Automotive CAN.
KR101853676B1 (ko) 차량 침입 탐지 장치 및 방법
US10958470B2 (en) Attributing bus-off attacks based on error frames
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
CN113169979B (zh) 用于检测对网络的分布式现场总线的入侵的方法及其系统
Tanksale Intrusion detection for controller area network using support vector machines
Lee et al. TTIDS: Transmission-resuming time-based intrusion detection system for controller area network (CAN)
Ishak et al. Unique message authentication security approach based controller area network (CAN) for anti-lock braking system (ABS) in vehicle network
KR101995903B1 (ko) 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템
CN113795836A (zh) 用于检测车辆系统中的侵入的方法和系统
Dong et al. Multiple observation HMM-based CAN bus intrusion detection system for in-vehicle network
Kim et al. Efficient ECU analysis technology through structure-aware CAN fuzzing
Avatefipour Physical-Fingerprinting of Electronic Control Unit (ECU) Based on Machine Learning Algorithm for In-Vehicle Network Communication Protocol “CAN-BUS”
Ansari et al. A low-cost masquerade and replay attack detection method for CAN in automobiles
Dupont et al. Network intrusion detection systems for in-vehicle network-Technical report
Li et al. Research on CAN network security aspects and intrusion detection design
Tanksale Controller area network security requirements
CN109462607B (zh) 一种安全uds诊断在can上的实现方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination