CN114063593A - 利用有意引起的错误来识别伪造的电子控制器的系统和方法 - Google Patents
利用有意引起的错误来识别伪造的电子控制器的系统和方法 Download PDFInfo
- Publication number
- CN114063593A CN114063593A CN202110796228.6A CN202110796228A CN114063593A CN 114063593 A CN114063593 A CN 114063593A CN 202110796228 A CN202110796228 A CN 202110796228A CN 114063593 A CN114063593 A CN 114063593A
- Authority
- CN
- China
- Prior art keywords
- control unit
- electronic control
- bus
- message
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Small-Scale Networks (AREA)
- Automation & Control Theory (AREA)
Abstract
本发明涉及利用有意引起的错误来识别伪造的电子控制器的系统和方法。由控制器局域网中的电子设备执行的方法用于识别以传送周期在控制器局域网总线上传送攻击消息的伪造的电子控制单元。所述方法包括响应于检测到攻击消息,将连接至控制器局域网总线的多个电子控制单元中的第一电子控制单元有意地转变为总线关闭状态,至少部分地基于根据与第一电子控制单元相关的恢复参数预测的第一电子控制单元重新传送控制器局域网消息的时刻和在控制器局域网总线上再次检测到攻击消息的时刻来确定第一电子控制单元是否是伪造的电子控制单元。
Description
相关申请的交叉引用
本申请基于2020年7月29日提交的韩国专利申请号10-2020-0094193和2021年1月4日提交的韩国专利申请号10-2021-0000237并要求其优先权,其公开内容通过引用整体并入本文。
技术领域
本发明涉及识别车载网络中伪造的控制器。
背景技术
本部分中的陈述仅提供与本发明相关的背景技术信息,并不一定构成现有技术。为车辆设置越来越多的软件模块和外部接口会围绕车载网络引发新的攻击和漏洞。为了检测或防止车辆网络攻击,针对车载网络提出了各种类型的安全解决方案,并且已经对入侵检测系统(Intrusion Detection System,IDS)积极地进行了重点研究,IDS用于检测跨控制器局域网(Controller Area Network,CAN)的攻击,CAN用作车载网络的实际标准。
在一种类型的欺骗攻击中,攻击者获得了一个电子控制单元(ElectronicControl Unit,ECU)的控制权,并且可以通过在网络上广播看似由另一个ECU生成的消息,使用假冒的或伪造的ECU来冒充所述另一个ECU。一旦IDS检测到CAN安全攻击,为了获得恢复,例如,为了使在欺骗攻击中使用的伪造的ECU具有正常补丁或更新,识别伪造的ECU是前提。
研发的相关技术包括一种用于在ECU传送消息时通过利用流经CAN总线的功率信号的特性来识别ECU的技术。该技术需要额外的高性能硬件来测量功率信号,并且容易受到功率信号漏洞的影响,这是因为功率信号对诸如温度、电磁场和车型年份的外部因素的变化很敏感。
另外的相关技术公开了一种用于通过利用ECU的物理特性来识别ECU的技术,比如在CAN总线上传送的CAN消息的时钟偏差。该技术在仿真另一个ECU的时钟偏差时很难准确地识别出伪造的ECU。2016年,有报告称总线关闭攻击是对CAN总线的新的拒绝服务(Denialof Service,DoS)攻击。在总线关闭攻击中,攻击者利用CAN协议的故障限制机制将目标ECU转变为总线关闭状态,从而使目标ECU无法发送和接收消息。
发明内容
根据至少一个方面,本发明提供了一种由控制器局域网(controller areanetwork,CAN)中的电子设备执行的方法,用于识别以传送周期在CAN总线上传送攻击消息的伪造的电子控制单元(electronic control unit,ECU),所述方法包括:响应于检测到攻击消息,将连接至CAN总线的多个ECU中的第一ECU有意地转变为总线关闭状态,以及至少部分地基于第一ECU重新传送CAN消息的时刻(其是根据与第一ECU相关的恢复参数预测的)和在CAN总线上再次检测到攻击消息的时刻来确定第一ECU是否是伪造的ECU。
根据另一个方面,本发明提供了一种由控制器局域网(CAN)中的电子设备执行的方法,用于分析与连接至CAN总线的电子控制单元(ECU)从总线关闭状态恢复相关的恢复参数,所述方法包括:将周期性地传送控制器局域网消息(CAN消息)的ECU有意地转变为总线关闭状态,监控CAN总线以接收在ECU从总线关闭状态恢复之后重新传送的CAN消息,部分地基于接收到CAN消息的时刻来分析ECU的恢复参数。
根据又一个方面,本发明提供了一种用于识别伪造的电子控制单元(ECU)的电子设备,伪造的电子控制单元以传送周期在控制器局域网总线(CAN总线)上传送攻击消息,所述电子设备包括错误生成单元和伪造的ECU识别单元。错误生成单元配置为响应于检测到攻击消息,将连接至CAN总线的多个ECU中的第一ECU有意地转变为总线关闭状态。伪造的ECU识别单元配置为至少部分地基于第一ECU重新传送CAN消息的时刻(其是根据与第一ECU相关的恢复参数预测的)和在CAN总线上再次检测到攻击消息的时刻,确定第一ECU是否是伪造的ECU。
根据又一个方面,本发明提供了一种用于分析恢复参数的电子设备,所述恢复参数与连接至控制器局域网总线(CAN总线)的电子控制单元(ECU)从总线关闭状态恢复相关,所述电子设备包括错误生成单元和参数分析单元。错误生成单元配置为将周期性地传送控制器局域网消息(CAN消息)的ECU有意地转变为总线关闭状态。参数分析单元配置为监控CAN总线以接收在ECU从总线关闭状态恢复之后重新传送的CAN消息,部分地基于接收到CAN消息的时刻来分析ECU的恢复参数。
附图说明
本发明的目的、特征和优点将通过随后结合附图的以下具体描述而更加显然,其中:
图1为示意性地示出根据本发明的至少一个示例性实施方案的控制器局域网(Controller Area Network,CAN)系统的框图。
图2为示意性地示出根据本发明的至少一个示例性实施方案的电子控制单元(Electronic Control Unit,ECU)识别装置的框图。
图3为示出根据本发明的至少一个示例性实施方案的将ECU转变为总线关闭状态的方法的示意图。
图4A至图4D为用于示出根据本发明的至少一个示例性实施方案的恢复参数的示意图。
图5A和图5B为用于示出根据本发明的至少一个示例性实施方案的伪造的ECU识别方法的示意图。
图6A和图6B为用于示出根据本发明的另一个示例性实施方案的伪造的ECU识别方法的示意图。
图7为根据本发明的至少一个示例性实施方案将ECU转变为总线关闭状态的方法的流程图。
图8为根据本发明的至少一个示例性实施方案的恢复参数分析方法的流程图。
图9为根据本发明的至少一个示例性实施方案的伪造的ECU识别方法的流程图。
图10为根据本发明的另一个示例性实施方案的伪造的ECU识别方法的流程图。
附图标记
10:CAN系统
100至106:ECU
110:IDS
120:ECU识别装置
130:ECU更新装置
200:错误生成单元
210:参数分析单元
220:参数存储单元
230:计算单元
240:伪造的ECU识别单元。
具体实施方式
应当理解,本文中所使用的术语“车辆”或“车辆的”或其它类似术语一般包括机动车辆,例如包括运动型多用途车辆(SUV)、大客车、大货车、各种商用车辆的乘用汽车,包括各种舟艇、船舶的船只,航空器等,并且包括混合动力车辆、电动车辆、内燃机车辆、插电式混合动力电动车辆、氢动力车辆以及其它替代性燃料车辆(例如,源于非化石能源的燃料)。
除非特别声明或者从上下文显而易见的,本文所使用的术语“大约”被理解为在本领域的正常公差范围内,例如在平均值的2个标准差内。“大约”可以被理解为在指定值的10%、9%、8%、7%、6%、5%、4%、3%、2%、1%、0.5%、0.1%、0.05%或0.01%之内。除非上下文另有明确说明,否则本文提供的所有数值通过术语“大约”来修饰。
本发明的一些示例性实施方案提供了这样的方法和系统,通过利用CAN协议的故障限制机制来识别用于CAN网络上的攻击的伪造的控制器。
在下文中,将参考附图对本发明的一些示例性实施方案进行详细描述。在下面的描述中,相同的附图标记优选地表示相同的元件,尽管元件在不同的附图中示出。此外,在一些实施方案的以下描述中,为了清楚和简洁,将省略对并入本文中的已知功能和配置的具体描述。
另外,诸如第一、第二、A、B、(a)、(b)等的各种术语仅用于将一个组件与另一个区分开来,而非隐含或暗示组件的物质、次序或顺序。在本说明书中,当部件“包括”或“包含”组件时,部件意味着进一步包括其它组件,而不排除其它组件,除非有相反的特别说明。诸如“单元”、“模块”等的术语是指用于处理至少一个功能或操作的一个或多个单元,其可以通过硬件、软件或其组合来实现。
在描述本发明的各种示例性实施方案之前,将讨论控制器局域网协议(CAN协议)的故障限制机制。
连接在CAN总线上的每个电子控制单元(Electronic Control Unit,ECU)具有传送错误计数(Transmit Error Count,TEC)和接收错误计数(Receive Error Count,REC),所述传送错误计数和接收错误计数根据消息传送或接收的成功、或错误的发生以特定的权重增加或减少。ECU的状态是基于TEC和REC定义的。具体地,当TEC等于或大于256时,ECU转变为不能在CAN总线上传送和接收任何消息的状态。这种状态称为总线关闭状态。
另一方面,将ECU从总线关闭状态返回到能够参与CAN通信的激活状态称为恢复。ECU可以通过监控128个连续的11位隐性位而从总线关闭状态中恢复。在实际的操作环境中,每个ECU需要几十到几百毫秒的附加时间。
基于上述这种故障限制机制,本发明的一些示例性实施方案提供了这样的方法和系统,用于强制将ECU转变为总线关闭状态并利用恢复过程中出现的特征来识别ECU。
图1为示意性地示出了根据本发明的至少一个示例性实施方案的CAN系统的框图。如图1所示,根据至少一个示例性实施方案的CAN系统10可以包括ECU 100至106中的至少一个、入侵检测系统(IDS)110、ECU识别装置120和ECU更新装置130的全部或一些。并非图1中所示的所有方框都是必不可少的组件,在其它示例性实施方案中可以添加、改变或删除CAN系统10中包括的一些方框。换句话说,图1的示例性配置说明了具有用于识别伪造的ECU的功能的组件的根据至少一个示例性实施方案的CAN系统10,并且应当理解的是,CAN系统10可以具有比所示的更多或更少的组件或其他组件的配置,从而实现其他功能。ECU 100至106是具有CAN通信功能的电子设备,并且配置为以传送周期在CAN总线上传送普通CAN消息和/或攻击CAN消息。
IDS 110可以配置为检测在CAN总线上发生的攻击。响应于检测到在CAN总线上的攻击,IDS 110可以配置为向ECU识别装置120传送识别开启信息。具体地,识别开启信息可以包括攻击CAN消息的标识(ID)和/或攻击CAN消息的传送周期。
ECU识别装置120可以是能够访问CAN总线的独立电子设备,或者可以作为功能模块包括在实现IDS 110的电子设备中。ECU识别装置120可以配置为分析和存储对应于各个ECU 100至106的恢复参数,并且利用恢复参数来识别ECU。根据本发明的至少一个示例性实施方案,ECU识别装置120可以配置为在IDS 110检测到攻击之前,分析和存储对应于各个ECU 100至106的恢复参数。响应于IDS 110检测到攻击并向ECU识别装置120传送识别开启信息,ECU识别装置120利用恢复参数来识别执行攻击的伪造的ECU。
另外,根据本发明的另一个示例性实施方案,ECU识别装置120可以配置为从外部连接的ECU分析装置(未示出)接收对应于各个ECU 100至106的恢复参数并存储该恢复参数。将参考图2对ECU识别装置120进行详细描述。
ECU更新装置130可以配置为通过执行由ECU识别装置120识别的伪造的ECU的更新来将伪造的ECU修复为正常的ECU。本发明中的IDS或ECU更新装置包括本领域技术人员容易采用的所有IDS或ECU更新装置,并且IDS或ECU更新装置不限于具有特定的配置和/或功能。
图2为示意性地示出了根据本发明的至少一个示例性实施方案的ECU识别装置的框图。如图2所示,根据至少一个示例性实施方案的ECU识别装置120可以包括错误生成单元200、参数分析单元210、参数存储单元220、计算单元230和伪造的ECU识别单元240的全部或一些。并非图2中所示的所有方框都是必不可少的组件,并且在其它实施方案中可以添加、改变或删除ECU识别装置120中包括的一些方框。例如,如果ECU识别装置120从其互通的ECU分析装置(即,分开的独立装置)接收恢复参数,则ECU识别装置120可以不包括参数分析单元210。具体地,ECU分析装置可以包括错误生成单元200和参数分析单元210的全部或一些。错误生成单元200在CAN总线上产生错误,以将ECU转变为总线关闭状态。
根据本发明的至少一个示例性实施方案,错误生成单元200可以利用ECU诊断协议将目标ECU转变为总线关闭状态。具体地,目标ECU是指对其分析恢复参数的分析目标ECU或要检查其是否被识别为伪造的ECU的识别目标ECU。
图3为示出根据本发明的至少一个示例性实施方案的将ECU转变为总线关闭状态的方法的示意图。在CAN系统中,定义与每个ECU对应的诊断请求ID和诊断响应ID。例如,可以在0×700或更大的范围内定义诊断请求ID和诊断响应ID。在图3中,DQ_IDN和DR_IDN分别表示与以传送周期在CAN总线上传送CAN消息的目标ECU相对应的诊断请求ID和诊断响应ID。另外,IDN和T分别表示CAN消息的ID和周期。如图3所示,响应于错误生成单元200在CAN总线上传送包括诊断请求ID(DQ_IDN)的诊断请求消息,目标ECU可以配置为在CAN总线上传送包括诊断响应ID(DR_IDN)的诊断响应消息。
根据至少一个示例性实施方案的错误生成单元200可以配置为传送对应于目标ECU的诊断请求消息,监控CAN总线以检测目标ECU的诊断响应消息的传送开启,并且响应于检测到目标ECU的诊断响应消息的传送开启,在CAN总线上传送多个显性位,使得在目标ECU的诊断响应消息中发生传送错误。例如,错误生成单元200响应于检测到对应于目标ECU的诊断响应ID,而在CAN总线上传送六个连续的显性位。因此,目标ECU可以配置为检测位错误,并且目标ECU无法传送诊断响应消息。目标ECU可以配置为在CAN总线上传送错误帧消息、增加TEC(传送错误计数)和再次传送诊断响应消息。
根据至少一个示例性实施方案的错误生成单元200响应于检测到再次传送的诊断响应ID,而再次传送CAN总线上的多个显性位。错误生成单元200可以配置为监控CAN总线,以检测目标ECU的错误帧消息的传送和诊断响应消息的传送开启。错误生成单元200可以配置为响应于检测到目标ECU的诊断响应消息的传送开启,在CAN总线上传送多个显性位,从而增加目标ECU的TEC,以将目标ECU转变为总线关闭状态。
错误生成单元200可以配置为将在CAN总线上传送的最后的错误帧消息的时刻(t[en])确定为目标ECU转变为总线关闭状态的时刻。另一方面,利用上述ECU诊断协议的错误生成单元200仅仅是用于将目标ECU转变为总线关闭状态的技术的一个示例性实施方案,并且只要本领域技术人员在本发明的其他示例性实施方案中可以采用用于将目标ECU转变为总线关闭状态的技术,就可以使用该技术来代替错误生成单元200。
参数分析单元210可以配置为当分析目标ECU从总线关闭状态恢复时,分析与分析目标ECU的固有特性相关的恢复参数。具体地,参数分析单元210可以配置为监控CAN总线以接收在分析目标ECU从总线关闭状态恢复之后重新传送的CAN消息,并且部分地基于接收到CAN消息的时刻来对分析目标ECU的恢复参数进行分析。
下文中,在描述参数分析单元210对恢复参数进行分析的方法之前,将描述在本发明的一些示例性实施方案中定义的恢复参数。图4A至图4D为用于示出根据本发明的至少一个示例性实施方案的恢复参数的示意图。在本发明中,定义了等待时间、控制器恢复类型和计时器行为的三个恢复参数,以分析在从总线关闭状态恢复之后重新传送CAN消息的过程中出现在ECU中的固有特性。
在图4A至图4D中,t[mi]表示在ECU转变为总线关闭状态之前传送最后的CAN消息的时刻,t[en]表示ECU转变为总线关闭状态的时刻,t[r]表示ECU从总线关闭状态恢复的时刻,t[mi+1]表示ECU从总线关闭状态恢复之后传送第一个CAN消息的时刻。如图4A所示,d+r表示t[r]与t[en]之间的差值。在本文中,d是等待时间,r是表示控制器恢复类型的变量。
等待时间是检测到ECU已经转变为总线关闭状态之后执行恢复的等待时间。等待时间可以设置为特定的时间或特定的中断次数。例如,ECU可以配置为在检测到总线关闭状态之后,等待大约60ms至70ms后执行恢复。替选地,ECU可以配置为在其转变为总线关闭状态之前,从其最后传送CAN消息的时刻起,等待7个中断之后执行恢复。
控制器恢复类型是这样的参数,其定义了ECU内部的CAN控制器监控128个连续的11位隐性位以执行恢复的时刻,并且所述控制器恢复类型分为立即恢复或先等待后恢复。当控制器恢复类型为立即恢复时,r的值为0(零);当控制器恢复类型为先等待后恢复时,r的值大于0。
当控制器恢复类型为立即恢复时,CAN控制器可以配置为在检测到总线关闭状态时,立即监控128个连续的11位隐性位。换句话说,CAN控制器可以配置为在等待时间期间进行监控,并且在等待时间之后立即执行恢复。另一方面,当控制器恢复类型为先等待后恢复时,CAN控制器可以配置为首先等待一段等待时间,监控128个连续的11位隐性位,再执行恢复。
计时器行为是这样的参数,其定义了设置为用于周期性地传送CAN消息的ECU内部计时器在总线关闭状态和恢复期间如何操作,并且所述计时器行为分为初始化计时器、暂停计时器和活动计时器。
如图4B所示,当计时器行为是初始化计时器时,ECU可以配置为在计时器从总线关闭状态恢复时对计时器进行初始化。结果,发生消息传送中断,并且无论CAN消息传送周期如何,ECU在恢复之后立即重新传送CAN消息。
如图4C所示,当计时器行为是暂停计时器时,ECU可以配置为在其检测到总线关闭状态时停止计时器,并且在恢复之后再次使计时器计数。计时器可能会在ECU从总线关闭状态恢复之前停止,因此不会发生消息传送中断。
如图4D所示,当计时器行为是活动计时器时,计时器工作而不管ECU的总线关闭转变和恢复如何,并且以与在正常状态下相同的方式产生消息传送中断。ECU可以配置为忽略在其处于总线关闭状态时发生的消息传送中断。
根据本发明的至少一个示例性实施方案的参数分析单元210可以配置为:基于分析目标ECU重新传送普通CAN消息的时刻(t[mi+1])和分析目标ECU转变为总线关闭状态的时刻(t[en]),对分析目标ECU的等待时间和控制器恢复类型进行分析。
具体地,参数分析单元210可以配置为通过利用时间1(t[mi+1]-t[en])和时间2(t[mi+1]-t[en]-tAR)来对分析目标ECU的等待时间和控制器恢复类型进行分析,其中时间1是分析目标ECU重新传送普通CAN消息的时刻(t[mi+1])与分析目标ECU转变为总线关闭状态的时刻(t[en])之间的差值,而时间2等于时间1(t[mi+1]-t[en])减去用于监控128个连续的11位的时刻(tAR)。
参数分析单元210可以配置为监控多个分析单元,每个分析单元由分析目标ECU的总线关闭、恢复和再次传送消息的集合来定义。参数分析单元210可以配置为基于针对每个分析单元测量的t[en]、t[mi+1]和tAR来计算时间1和时间2。参数分析单元210可以配置为通过比较时间1值的分布和时间2值的分布来确定分析目标ECU的等待时间和控制器恢复类型。例如,响应于确定出时间1值的方差(或标准差,下文中相同)小于时间2值的方差,参数分析单元210可以配置为确定出控制器恢复类型为立即恢复。另一方面,响应于确定出时间1值的方差大于时间2值的方差,参数分析单元210可以配置为确定出控制器恢复类型为先等待后恢复。另外,参数分析单元210可以配置为确定时间1值和时间2值之中具有较小方差的值的平均值作为等待时间。
根据至少一个示例性实施方案的参数分析单元210可以在总线关闭之前和之后,利用CAN消息传送周期(T)和CAN消息传送间隔(B)来找出分析目标ECU的计时器行为。表1示出了在总线关闭之前和之后,根据CAN消息传送周期(T)和CAN消息传送间隔(B)之间的关系的计时器行为。
表1
T与B之间的关系 | 计时器行为 |
d+r≤B≤T+d+r | 初始化 |
B=T+d+r | 暂停 |
B=n×T,(n=自然数) | 活动 |
参数分析单元210可以配置为将分析的恢复参数与分析目标ECU的诊断请求ID和诊断响应ID进行映射,并且将映射结果存储在参数存储单元220中。
计算单元230可以配置为通过利用存储在参数存储单元220中的恢复参数来计算用于识别伪造的ECU的时刻。
根据本发明的至少一个示例性实施方案,计算单元230计算重新传送攻击CAN消息的再次传送时刻。换句话说,假设识别目标ECU是传送攻击CAN消息的伪造的ECU,则计算单元230可以配置为计算识别目标ECU从总线关闭状态恢复并重新传送攻击CAN消息的时刻。计算单元230可以配置为通过利用在识别目标ECU转变为总线关闭状态时的时刻(t[en])、在识别目标ECU转变为总线关闭状态之前传送的最后的攻击CAN消息的时刻(t[mi])和恢复参数中的至少一个来计算再次传送时刻(t[mnew])。
表2示出了根据识别目标ECU的计时器行为计算出的再次传送时刻(t[mnew])。
表2
根据本发明的另一个示例性实施方案,计算单元230计算识别目标ECU从总线关闭状态恢复的恢复时刻。例如,如图4A所示,计算单元230可以配置为通过利用识别目标ECU转变为总线关闭状态的时刻(t[en])、等待时间和控制器恢复类型来计算恢复时刻。
伪造的ECU识别单元240可以配置为利用由计算单元230计算的再次传送时刻和恢复时刻以及识别目标ECU转变为总线关闭状态之后的第一个攻击CAN消息传送时刻(t[mi+1])中的至少一个来确定识别目标ECU是否是伪造的ECU。
图5A和图5B为用于示出根据本发明的至少一个示例性实施方案的伪造的ECU识别方法的示意图。如图5A所示,如果识别对象ECU是伪造的ECU,也就是说,一旦错误生成单元200将伪造的ECU转变为总线关闭状态,则在伪造的ECU从总线关闭状态恢复之后,伪造的ECU在由计算单元230计算的再次传送时刻(t[mnew])重新传送攻击CAN消息。另一方面,如图5B所示,如果识别目标ECU不是伪造的ECU,也就是说,一旦错误生成单元200将伪造的ECU以外的ECU转变为总线关闭状态,则伪造的ECU可以配置为在CAN总线上传送攻击CAN消息,而不管由计算单元230计算的再次传送时刻(t[mnew])如何。
因此,根据至少一个示例性实施方案的伪造的ECU识别单元240可以配置为基于在由计算单元230计算的再次传送时刻(t[mnew])是否传送攻击CAN消息来确定识别目标ECU是否是伪造的ECU。具体地,伪造的ECU识别单元240可以配置为通过将识别目标ECU转变为总线关闭状态之后的第一个攻击CAN消息传送时刻(t[mi+1])与由计算单元230计算的再次传送时刻(t[mnew])进行比较,将识别目标ECU识别为伪造的ECU。
伪造的ECU识别单元240可以配置为在如图5A所示的识别目标ECU转变为总线关闭状态之后的第一个攻击消息传送时刻(t[mi+1])在从再次传送时刻(t[mnew])起的预设阈值时间内的情况下,确定出识别目标ECU是伪造的ECU。换句话说,响应于确定出识别目标ECU转变为总线关闭状态之后第一个攻击CAN消息传送时刻(t[mi+1])与由计算单元230计算的再次传送时刻(t[mnew])之间的差值(在图5A中表示为diff)小于或等于预设阈值时间,伪造的ECU识别单元240可以配置为确定出识别目标ECU是伪造的ECU。
另一方面,伪造的ECU识别单元240可以配置为在识别目标ECU转变为总线关闭状态之后第一个攻击CAN消息传送时刻(t[mi+1])与由计算单元230计算的再次传送时刻(t[mnew])之间的差值(在图5B中表示为diff)大于预设阈值时间的情况下,确定出识别目标ECU不是伪造的ECU。
图6A和图6B为用于示出根据本发明的另一个示例性实施方案的伪造的ECU识别方法的示意图。如果识别目标ECU是伪造的ECU,也就是说,一旦错误生成单元200将伪造的ECU转变为总线关闭状态,则伪造的ECU不在CAN总线上传送攻击CAN消息,直到伪造的ECU从总线关闭状态恢复。另一方面,如图6A所示,如果识别目标ECU不是伪造的ECU,也就是说,一旦错误生成单元200将除了伪造的ECU以外的ECU转变为总线关闭状态,则伪造的ECU可以配置为在CAN总线上传送攻击CAN消息,而与识别目标ECU的恢复无关。在攻击CAN消息以快速循环注入CAN总线的特定情况下,在识别目标ECU从总线关闭状态恢复之前可以在CAN总线上不止一次传送攻击CAN消息。
因此,根据另一个示例性实施方案的伪造的ECU识别单元240可以配置为基于在由计算单元230计算的恢复时刻(t[r'])之前是否传送了攻击CAN消息来确定识别目标ECU是否是伪造的ECU。具体地,响应于确定出识别目标ECU转变为总线关闭状态之后的第一个攻击CAN消息传送时刻(t[mi+1])先于恢复时刻(t[r']),伪造的ECU识别单元240可以配置为确定出识别目标ECU不是伪造的ECU。
如图6B所示,根据本发明的另一个示例性实施方案,为了识别以比识别目标ECU的等待时间更长的周期来传送攻击CAN消息的伪造的ECU,或者为了增加对伪造的ECU的识别的可靠性,错误生成单元200通过以一定时间或更长时间和/或一定次数或更多次数,将识别目标ECU反复地转变为总线关闭状态,在比攻击CAN消息的传送周期更大的时段内阻止识别目标ECU传送CAN消息。然后,当识别目标ECU处于总线关闭状态时,伪造的ECU识别单元240可以利用这个机会,以根据CAN总线上检测到或未检测到攻击CAN消息来对识别目标ECU是否是伪造的ECU进行识别。
根据本发明的至少一个示例性实施方案,响应于确定出识别目标ECU不是伪造的ECU,伪造的ECU识别单元240可以配置为传送控制信息,使得错误生成单元200和计算单元230对其他ECU执行伪造的ECU识别处理。
图7为根据本发明的至少一个示例性实施方案将ECU转变为总线关闭状态的方法的流程图。ECU识别装置120可以配置为在CAN总线上传送对应于目标ECU的诊断请求消息(S700)。具体地,目标ECU是指转变为总线关闭状态以用于参数分析的分析目标ECU,或者转变为总线关闭状态以检查ECU是否是伪造的ECU的识别目标ECU。
ECU识别装置120可以配置为监控CAN总线(S710)并且检测目标ECU的诊断响应消息的传送开启(S720)。ECU识别装置120可以配置为检测与CAN总线上的目标ECU相对应的诊断响应ID,从而检测目标ECU的诊断响应消息的传送开启。ECU识别装置120可以配置为响应于检测到诊断响应消息的传送开启,将多个显性位传送到CAN总线(S730)。例如,ECU识别装置120可以配置为在CAN总线上传送六个连续的显性位。因此,目标ECU可以配置为检测位错误。
ECU识别装置120可以配置为监控CAN总线(S710)并且再次检测目标ECU的诊断响应消息的传送开启(S720)。ECU识别装置120可以配置为响应于再次检测到诊断响应消息的传送开启,将多个显性位传送到CAN总线(S730)。ECU识别装置120重复步骤S710至S730,直到目标ECU转变为其不能再传送诊断响应消息的总线关闭状态。响应于没有再检测到目标ECU的诊断响应消息的传送开启,ECU识别装置120可以配置为确定出目标ECU已经转变为总线关闭状态(S740)。
图8为根据本发明的至少一个示例性实施方案的恢复参数分析方法的流程图。ECU识别装置120可以配置为监控CAN总线,并且获得由分析目标ECU传送的普通CAN消息的ID和普通CAN消息的周期(S800)。ECU识别装置120可以配置为将分析目标ECU转变为总线关闭状态(S810)。ECU识别装置120可以配置为监控CAN总线以接收在分析目标ECU从总线关闭状态恢复之后重新传送的普通CAN消息。随着分析目标ECU从总线关闭状态恢复,ECU识别装置120可以配置为再次接收普通CAN消息(S820)。
ECU识别装置120可以配置为对分析目标ECU的恢复参数进行分析(S830)。例如,ECU识别装置120可以配置为:基于分析目标ECU转变为总线关闭状态之前最后传送CAN消息的时刻、分析目标ECU从总线关闭状态恢复之后传送第一个CAN消息的时刻以及分析目标ECU转变为总线关闭状态的时刻中的至少一个,分析包括分析目标ECU的等待时间、控制器恢复类型和计时器行为的恢复参数。ECU识别装置120可以配置为存储分析的恢复参数(S840)。ECU识别装置120可以配置为通过将恢复参数与分析目标ECU相关联来非易失性地存储恢复参数。
图9为根据本发明的至少一个示例性实施方案的伪造的ECU识别方法的流程图。ECU识别装置120可以配置为获得攻击CAN消息的ID和攻击CAN消息的传送周期(S900)。根据本发明的至少一个示例性实施方案,响应于IDS 110检测到攻击,ECU识别装置120可以配置为从IDS 110接收包括攻击CAN消息的ID和攻击CAN消息的传送周期的识别开启信息。根据本发明的另一个示例性实施方案,响应于IDS 110检测到攻击,ECU识别装置120可以配置为从IDS 110接收识别开启信息,并且此后直接监控CAN总线以获得攻击CAN消息的ID和传送周期。
ECU识别装置120可以配置为选择识别目标ECU,用于伪造的ECU识别(S910)。ECU识别装置120可以配置为通过选择预存储的诊断请求ID中的一个来选择识别目标ECU。ECU识别装置120可以配置为将识别目标ECU转变为总线关闭状态(S920)。
ECU识别装置120可以配置为计算攻击CAN消息的再次传送时刻(S930)。换句话说,ECU识别装置120可以配置为假设识别目标ECU是传送攻击CAN消息的伪造的ECU,并且计算识别目标ECU从总线关闭状态恢复并重新传送攻击CAN消息的时刻。ECU识别装置120可以配置为通过利用与诊断请求ID映射的恢复参数来计算攻击CAN消息的再次传送时刻。
ECU识别装置120可以配置为检查在计算的再次传送时刻是否传送了攻击CAN消息(S940)。响应于确定出在从计算出的再次传送时刻起的预设阈值时间之前和/或之后传送了攻击CAN消息,ECU识别装置120可以配置为确定出识别目标ECU不是伪造的ECU,并且选择另一个ECU作为识别目标ECU。另一方面,响应于确定出在从计算出的再次传送时刻起的预设阈值时间内的一时刻传送了攻击CAN消息,ECU识别装置120可以配置为确定识别目标ECU是伪造的ECU(S950)。
图10为根据本发明的另一个示例性实施方案的伪造的ECU识别方法的流程图。这里,由于步骤S1000至S1020对应于如上所述的图9的步骤S900至S920,将省略其详细描述。
ECU识别装置120可以配置为获得攻击CAN消息的ID和攻击CAN消息的传送周期(S1000)。ECU识别装置120可以配置为选择识别目标ECU,用于伪造的ECU识别(S1010)。ECU识别装置120可以配置为通过选择预存储的诊断请求ID中的一个来选择识别目标ECU。ECU识别装置120可以配置为将识别目标ECU转变为总线关闭状态(S1020)。
ECU识别装置120可以配置为计算识别目标ECU要从总线关闭状态恢复时的恢复时刻(S1030)。ECU识别装置120可以配置为通过利用与诊断请求ID映射的恢复参数来计算恢复时刻。ECU识别装置120可以配置为检查在计算出的恢复时刻之前是否传送了攻击CAN消息(S1040)。响应于确定出在计算出的恢复时刻之前传送了攻击CAN消息,ECU识别装置120可以配置为确定出识别目标ECU不是伪造的ECU,并且选择另一个ECU作为识别目标ECU。另一方面,响应于确定出在计算出的恢复时刻之前没有传送攻击CAN消息,ECU识别装置120可以配置为将识别目标ECU确定为伪造的ECU(S1050)。
尽管图7至图10的各个步骤描述为顺序地执行,它们仅例示了本发明的一些示例性实施方案的技术思想。因此,相关领域的普通技术人员可以通过改变图7至图10描述的顺序或通过并行地执行图7至图10的一个或多个步骤,在实践本发明时合并各种修改、添加和替换,而不脱离本发明的至少一个实施方案的主旨和本质,因此,图7至图10中的步骤不限于所示的时间顺序。
本文中描述的系统和技术的各种实施方式可以通过数字电子电路、集成电路、现场可编程门阵列(field-programmable gate array,FPGA)、专用集成电路(application-specific integrated circuit,ASIC)、计算机硬件、固件、软件和/或他们的组合来实现。这些各种实施方式可以包括在可编程系统上可执行的一个或多个计算机程序中实现的那些实施方式。可编程系统包括至少一个可编程处理器、至少一个输入设备和至少一个输出设备,所述至少一个可编程处理器联接为从存储系统接收数据和指令以及向存储系统传送数据和指令,其中可编程处理器可以是专用处理器或通用处理器。计算机程序(也称为程序、软件、软件应用程序或代码)包括用于可编程处理器的指令,并且存储在“计算机可读记录介质”中。
非易失性计算机可读记录介质包括任何类型的记录设备,在其上可记录能够由计算机系统读取的数据。非易失性计算机可读记录介质的示例包括诸如ROM、CD-ROM、磁带、软盘、存储卡、硬盘、光盘/磁盘、存储设备等的非易失性介质以及诸如载波(例如,通过因特网的传送)和数据传输介质的易失性介质。此外,非易失性计算机可读记录介质可以分布在经由网络连接的计算机系统中,其中可以以分布式模式存储和执行计算机可读代码。
本文中描述的系统和技术的各种实施方式可以通过可编程计算机来实现。这里,计算机包括可编程处理器、数据存储系统(包括易失性存储器、非易失性存储器、或任何其它类型的存储系统或其组合),以及至少一个通信接口。例如,可编程计算机可以是服务器、网络设备、机顶盒、嵌入式设备、计算机扩展模块、个人计算机、笔记本电脑、个人数字助理(personal data assistant,PDA)、云计算系统和移动设备中的一个。
如上所述,利用本发明的方法和装置,可以利用CAN协议的故障限制机制以识别在CAN内部网络上执行攻击的ECU。因此,避免了改变现有CAN协议的需要,本发明的识别方法和装置可以应用于当前的商用车辆。
此外,根据本发明的示例性实施方案的识别伪造的控制器的方式在具有公共CAN网络配置和假定遵循其公共恢复策略的ECU的车辆线路上实现了较高的可扩展性。
尽管已经出于说明的目的描述了本发明的示例性实施方案,但是本领域的技术人员应当理解的是,在不脱离要求保护的本发明思想和精神的情况下,可以进行各种修改、添加和替换。因此,为了简洁和清楚,描述了本发明的示例性实施方案。本发明的技术思想的范围不受例示的限制。相应地,普通技术人员应当理解的是,要求保护的本发明的范围不受上述明确描述的实施方案的限制,而是受权利要求及其等同形式的限制。
Claims (20)
1.一种用于识别伪造的电子控制单元的方法,所述方法由控制器局域网中的电子设备执行,所述伪造的电子控制单元以传送周期在控制器局域网总线上传送攻击消息,所述方法包括:
响应于检测到攻击消息,将连接至控制器局域网总线的多个电子控制单元中的第一电子控制单元有意地转变为总线关闭状态;
至少部分地基于根据与第一电子控制单元相关的恢复参数预测的第一电子控制单元重新传送控制器局域网消息的时刻和在控制器局域网总线上再次检测到攻击消息的时刻,确定第一电子控制单元是否是伪造的电子控制单元。
2.根据权利要求1所述的方法,其中,将第一电子控制单元有意地转变为总线关闭状态包括:
传送对应于第一电子控制单元的诊断请求消息;
监控控制器局域网总线,以检测第一电子控制单元的诊断响应消息的传送开启;
响应于检测到诊断响应消息的传送开启,通过向控制器局域网总线传送多个显性位,使得在诊断响应消息中产生传送错误,直到第一电子控制单元转变为总线关闭状态。
3.根据权利要求1所述的方法,其中,确定第一电子控制单元是否是伪造的电子控制单元包括:
通过利用与第一电子控制单元相关的恢复参数,预测第一电子控制单元重新传送控制器局域网消息的时刻作为预测的重新传送时刻;
响应于确定出预测的重新传送时刻与在控制器局域网总线上再次检测到攻击消息的时刻之间的差值小于或等于预设阈值时间,确定出第一电子控制单元是伪造的电子控制单元。
4.根据权利要求3所述的方法,进一步包括:
响应于确定出预测的重新传送时刻与在控制器局域网总线上再次检测到攻击消息的时刻之间的差值大于预设阈值时间,将不同于第一电子控制单元的第二电子控制单元有意地转变为总线关闭状态;
至少部分地基于根据与第二电子控制单元相关的恢复参数预测的第二电子控制单元重新传送控制器局域网消息的时刻和在控制器局域网总线上再次检测到攻击消息的时刻,确定第二电子控制单元是否是伪造的电子控制单元。
5.根据权利要求1所述的方法,其中,确定第一电子控制单元是否是伪造的电子控制单元包括:
通过利用与第一电子控制单元相关的恢复参数,计算第一电子控制单元从总线关闭状态恢复的时刻作为计算的再次恢复时刻;
基于在计算出的恢复时刻之前在控制器局域网总线上是否再次检测到攻击消息,确定第一电子控制单元是否是伪造的电子控制单元。
6.根据权利要求1所述的方法,其中,将第一电子控制单元有意地转变为总线关闭状态包括:
将第一电子控制单元反复地转变为总线关闭状态,以在大于攻击消息的传送周期的时段内阻止第一电子控制单元传送控制器局域网消息,
其中,确定第一电子控制单元是否是伪造的电子控制单元包括:
在第一电子控制单元处于总线关闭状态时,基于在控制器局域网总线上是否再次检测到攻击消息来确定所述第一电子控制单元是否是伪造的电子控制单元。
7.一种用于分析恢复参数的方法,所述方法由控制器局域网中的电子设备执行,所述恢复参数与连接至控制器局域网总线的电子控制单元从总线关闭状态恢复相关,所述方法包括:
将周期性地传送控制器局域网消息的所述电子控制单元有意地转变为总线关闭状态;
监控控制器局域网总线,以接收在所述电子控制单元从总线关闭状态恢复之后重新传送的控制器局域网消息;
部分地基于接收到控制器局域网消息的时刻来分析所述电子控制单元的恢复参数。
8.根据权利要求7所述的方法,其中,将所述电子控制单元有意地转变为总线关闭状态包括:
传送对应于所述电子控制单元的诊断请求消息;
监控控制器局域网总线,以检测所述电子控制单元的诊断响应消息的传送开启;
响应于检测到诊断响应消息的传送开启,通过向控制器局域网总线传送多个显性位,使得在诊断响应消息中产生传送错误,直到所述电子控制单元转变为总线关闭状态。
9.根据权利要求7所述的方法,其中,分析所述电子控制单元的恢复参数包括:
基于所述电子控制单元转变为总线关闭状态之前所述电子控制单元传送最后的控制器局域网消息的时刻、所述电子控制单元转变为总线关闭状态的时刻以及在所述电子控制单元从总线关闭状态恢复之后所述电子控制单元传送第一控制器局域网消息的时刻中的至少一个,分析包括所述电子控制单元的等待时间、控制器恢复类型和计时器行为的恢复参数。
10.根据权利要求7所述的方法,进一步包括:
非易失性地存储所述恢复参数。
11.一种用于识别伪造的电子控制单元的电子设备,伪造的电子控制单元以传送周期在控制器局域网总线上传送攻击消息,所述电子设备包括:
错误生成单元,其配置为:响应于检测到攻击消息,将连接至控制器局域网总线的多个电子控制单元中的第一电子控制单元有意地转变为总线关闭状态;以及
伪造的电子控制单元识别单元,其配置为:至少部分地基于根据与第一电子控制单元相关的恢复参数预测的第一电子控制单元重新传送控制器局域网消息的时刻和在控制器局域网总线上再次检测到攻击消息的时刻,确定第一电子控制单元是否是伪造的电子控制单元。
12.根据权利要求11所述的用于识别伪造的电子控制单元的电子设备,其中,所述错误生成单元配置为:
传送对应于第一电子控制单元的诊断请求消息;
监控控制器局域网总线,以检测第一电子控制单元的诊断响应消息的传送开启;
响应于检测到诊断响应消息的传送开启,通过向控制器局域网总线传送多个显性位,使得在诊断响应消息中产生传送错误,直到第一电子控制单元转变为总线关闭状态。
13.根据权利要求11所述的用于识别伪造的电子控制单元的电子设备,其中,所述伪造的电子控制单元识别单元配置为:
通过利用与第一电子控制单元相关的恢复参数,预测第一电子控制单元重新传送控制器局域网消息的时刻作为预测的重新传送时刻;
响应于确定出预测的重新传送时刻与在控制器局域网总线上再次检测到攻击消息的时刻之间的差值小于或等于预设阈值时间,确定出第一电子控制单元是伪造的电子控制单元。
14.根据权利要求13所述的用于识别伪造的电子控制单元的电子设备,其中:
所述错误生成单元配置为:响应于确定出预测的重新传送时刻与在控制器局域网总线上再次检测到攻击消息的时刻之间的差值大于预设阈值时间,将不同于第一电子控制单元的第二电子控制单元有意地转变为总线关闭状态;
所述伪造的电子控制单元识别单元配置为:至少部分地基于根据与第二电子控制单元相关的恢复参数预测的第二电子控制单元重新传送控制器局域网消息的时刻和在控制器局域网总线上再次检测到攻击消息的时刻,确定第二电子控制单元是否是伪造的电子控制单元。
15.根据权利要求11所述的用于识别伪造的电子控制单元的电子设备,其中,所述伪造的电子控制单元识别单元配置为:
通过利用与第一电子控制单元相关的恢复参数,计算第一电子控制单元从总线关闭状态恢复的时刻作为计算的再次恢复时刻;
基于在计算出的恢复时刻之前在控制器局域网总线上是否再次检测到攻击消息,确定第一电子控制单元是否是伪造的电子控制单元。
16.根据权利要求11所述的用于识别伪造的电子控制单元的电子设备,其中:
错误生成单元配置为:将第一电子控制单元反复地转变为总线关闭状态,以在大于攻击消息的传送周期的时段内阻止第一电子控制单元传送控制器局域网消息;
伪造的电子控制单元识别单元配置为:在第一电子控制单元处于总线关闭状态时,基于在控制器局域网总线上是否再次检测到攻击消息来确定第一电子控制单元是否是伪造的电子控制单元。
17.一种用于分析恢复参数的电子设备,所述恢复参数与连接至控制器局域网总线的电子控制单元从总线关闭状态恢复相关,所述电子设备包括:
错误生成单元,其配置为将周期性地传送控制器局域网消息的电子控制单元有意地转变为总线关闭状态;以及
参数分析单元,其配置为监控控制器局域网总线,以接收在所述电子控制单元在从总线关闭状态恢复之后重新传送的控制器局域网消息,部分地基于接收到控制器局域网消息的时刻来分析所述电子控制单元的恢复参数。
18.根据权利要求17所述的用于分析恢复参数的电子设备,其中,所述错误生成单元配置为:
传送对应于所述电子控制单元的诊断请求消息;
监控控制器局域网总线,以检测所述电子控制单元的诊断响应消息的传送开启;
响应于检测到诊断响应消息的传送开启,通过向控制器局域网总线传送多个显性位,使得在诊断响应消息中产生传送错误,直到所述电子控制单元转变为总线关闭状态。
19.根据权利要求17所述的用于分析恢复参数的电子设备,其中,所述参数分析单元配置为:基于在所述电子控制单元转变为总线关闭状态之前所述电子控制单元传送最后的控制器局域网消息的时刻、所述电子控制单元转变为总线关闭状态的时刻以及在所述电子控制单元从总线关闭状态恢复之后所述电子控制单元传送第一控制器局域网消息的时刻中的至少一个,分析包括所述电子控制单元的等待时间、控制器恢复类型和计时器行为的恢复参数。
20.根据权利要求17所述的用于分析恢复参数的电子设备,其中,所述参数分析单元配置为:通过将恢复参数与所述电子控制单元相关联来非易失性地存储恢复参数。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2020-0094193 | 2020-07-29 | ||
KR20200094193 | 2020-07-29 | ||
KR10-2021-0000237 | 2021-01-04 | ||
KR1020210000237A KR20220014796A (ko) | 2020-07-29 | 2021-01-04 | 의도적 에러를 이용한 위변조 제어기 식별 시스템 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114063593A true CN114063593A (zh) | 2022-02-18 |
Family
ID=76159330
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110796228.6A Pending CN114063593A (zh) | 2020-07-29 | 2021-07-14 | 利用有意引起的错误来识别伪造的电子控制器的系统和方法 |
Country Status (3)
Country | Link |
---|---|
US (2) | US11809561B2 (zh) |
EP (1) | EP3945705B1 (zh) |
CN (1) | CN114063593A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277051A (zh) * | 2022-06-01 | 2022-11-01 | 北京邮电大学 | 一种控制器局域网总线攻击检测方法和设备 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210320933A1 (en) * | 2021-06-23 | 2021-10-14 | Intel Corporation | Post-gateway bus-off attack mitigation |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101669946B1 (ko) | 2015-08-28 | 2016-10-28 | 고려대학교 산학협력단 | 전력 신호를 이용한 ecu 식별 장치 및 방법 |
US11044260B2 (en) | 2016-04-01 | 2021-06-22 | The Regents Of The University Of Michigan | Fingerprinting electronic control units for vehicle intrusion detection |
DE102017208553A1 (de) | 2017-05-19 | 2018-11-22 | Robert Bosch Gmbh | Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff |
EP3668756B1 (en) | 2017-08-17 | 2023-08-02 | Red Bend Ltd. | Systems and methods for disabling a malicious ecu in a controller area network (can) bus |
EP3802229A4 (en) * | 2018-05-25 | 2022-03-02 | Securethings U.S., Inc. | CYBERSECURITY ON A CONTROLLER ZONE NETWORK IN A VEHICLE |
US11201878B2 (en) * | 2018-11-13 | 2021-12-14 | Intel Corporation | Bus-off attack prevention circuit |
KR102204655B1 (ko) | 2018-12-19 | 2021-01-18 | 한림대학교 산학협력단 | 공격 메시지 재전송 시간을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화방법 |
CN111262846B (zh) | 2020-01-09 | 2022-04-19 | 鹏城实验室 | 总线控制器的控制方法、总线控制器及可读存储介质 |
-
2021
- 2021-04-14 US US17/230,199 patent/US11809561B2/en active Active
- 2021-05-27 EP EP21176220.8A patent/EP3945705B1/en active Active
- 2021-07-14 CN CN202110796228.6A patent/CN114063593A/zh active Pending
-
2023
- 2023-06-28 US US18/215,678 patent/US20230342468A1/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277051A (zh) * | 2022-06-01 | 2022-11-01 | 北京邮电大学 | 一种控制器局域网总线攻击检测方法和设备 |
CN115277051B (zh) * | 2022-06-01 | 2024-06-07 | 北京邮电大学 | 一种控制器局域网总线攻击检测方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
US20220035916A1 (en) | 2022-02-03 |
US20230342468A1 (en) | 2023-10-26 |
EP3945705B1 (en) | 2024-09-04 |
EP3945705A1 (en) | 2022-02-02 |
US11809561B2 (en) | 2023-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11277427B2 (en) | System and method for time based anomaly detection in an in-vehicle communication | |
Müter et al. | A structured approach to anomaly detection for in-vehicle networks | |
US10298612B2 (en) | System and method for time based anomaly detection in an in-vehicle communication network | |
US11522878B2 (en) | Can communication based hacking attack detection method and system | |
CN114063593A (zh) | 利用有意引起的错误来识别伪造的电子控制器的系统和方法 | |
US11838303B2 (en) | Log generation method, log generation device, and recording medium | |
US11848942B2 (en) | Method for detecting intrusion in distributed field bus of a network and system thereof | |
Serag et al. | Exposing new vulnerabilities of error handling mechanism in {CAN} | |
US11218501B2 (en) | Detector, detection method, and detection program | |
Lee et al. | TTIDS: Transmission-resuming time-based intrusion detection system for controller area network (CAN) | |
US11861046B2 (en) | System for an improved safety and security check | |
US11405406B2 (en) | Fraudulent transmission data detection device, fraudulent transmission data detection method, and storage medium | |
Trouli et al. | Automotive virtual in-sensor analytics for securing vehicular communication | |
US11178162B2 (en) | Method and device for detecting anomalies in a computer network | |
JP2009253464A (ja) | ゲートウェイ装置及びゲートウェイ方法 | |
Tanksale | Controller area network security requirements | |
US12019490B2 (en) | System and method to detect malicious can controller behavior from adversarial clock control | |
Sun et al. | CCID-CAN: Cross-Chain Intrusion Detection on CAN Bus for Autonomous Vehicles | |
Matsubayashi et al. | In-Vehicle Network Inspector Utilizing Diagnostic Communications and Web Scraping for Estimating ECU Functions and CAN Topology | |
da Bernarda et al. | Automotive Controller Area Network Intrusion Detection Systems | |
CN112751822B (zh) | 通信装置及操作方法、异常判定装置及方法、存储介质 | |
Matsubayashi et al. | Message Source Identification in Controller Area Network by Utilizing Diagnostic Communications and an Intrusion Detection System | |
Lalouani et al. | A Robust Physical Layer IDS for Intra-Vehicle Communication Security | |
CN117692357A (zh) | 一种基于电压降的can总线物理层安全测试方法和装置 | |
Zhang et al. | Stream Comparator: Defending Against Targeted Spoofing Attacks for In-Vehicle Can Bus Using Selective Redundant Communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |