CN115292699A - 识别/评价对车辆的电子数据系统的入侵 - Google Patents

识别/评价对车辆的电子数据系统的入侵 Download PDF

Info

Publication number
CN115292699A
CN115292699A CN202210465585.9A CN202210465585A CN115292699A CN 115292699 A CN115292699 A CN 115292699A CN 202210465585 A CN202210465585 A CN 202210465585A CN 115292699 A CN115292699 A CN 115292699A
Authority
CN
China
Prior art keywords
vehicle
intrusion
electronic data
data system
vehicles
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210465585.9A
Other languages
English (en)
Inventor
P·杜普利斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN115292699A publication Critical patent/CN115292699A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Traffic Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Small-Scale Networks (AREA)

Abstract

本公开的一个方面涉及用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法,该方法包括:接收该车辆的电子数据系统的节点集合中的每个节点的数据;基于所述数据计算车辆状态;至少基于车辆状态识别和/或评价对该车辆的电子数据系统的入侵。本公开的第二方面涉及网络中的服务器,该服务器被设计用于执行所述用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法,其中该车辆的电子数据系统和可选地其他车辆集合中的每个其他车辆的每个电子数据系统与该网络连接。本公开的第三方面涉及包括电子数据系统的车辆,该电子数据系统根据所述用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现方法而得以保护。

Description

识别/评价对车辆的电子数据系统的入侵
背景技术
诸如车辆之类的机电一体化技术系统通常具有一个或多个电子数据系统。例如,机电一体化技术系统可以包括大量(电子)控制设备,所述控制设备可以在至少一个电子数据系统(例如至少一个总线系统)内交互。这种技术系统的功能性通常决定性地取决于这种交互。例如,即使在非自主驾驶车辆中,(例如用于发动机控制、变速器控制、防抱死系统/行驶动态调节、安全气囊、车身控制单元、驾驶员辅助系统、汽车报警设施等等的)超过一百个的(电子)控制设备可以作为节点经由至少一个电子数据系统而互联。技术系统的日益数字化以及自动化和互联可能导致越来越大(即具有更多节点)的电子数据系统或导致多个电子数据系统(例如经由网关)的组合。
控制器局域网(CAN)是根据多主机原理的已知的和标准化的串行总线系统,在所述多主机原理中,CAN中的所有控制设备是平等的,在所述控制器局域网中,技术系统、尤其是车辆的控制设备经由CAN总线连接并且可以根据CAN协议相互通信。例如,可以在所有类型的机电一体化技术系统中(例如在汽车产业中、在自动化技术中、在升降设施情况下、在医疗技术中、在航空航天技术中、在有轨车辆制造中、在造船中、...)使用CAN(在其间以不同的版本)和/或受CAN启发的改进方案。在现有技术中,尤其是对于车辆而言,已知对于CAN和/或受CAN启发的改进方案(缩写为CAN等)的替代通信系统和/或通信协议。
电子数据系统、尤其是CAN等已经得以开发并且被开发为使得经由CAN总线的数据传输尽可能与外部随机干扰(例如在电磁兼容性(EMC)的意义上)无关。例如,CAN总线可以通过两个双绞线(CAN_HIGH、CAN_LOW)实现,并且从而实现对称信号传输。由此,CAN等尤其是在取决于高度数据安全性的安全相关领域(例如在车辆中)也已证明适用。诸如CAN等之类的电子数据系统比较简单、鲁棒且快速(例如通过放弃加密),而所述电子数据系统另一方面(例如由于多主机原理和/或缺少加密)可能易受有针对性的攻击和/或来自外部的操纵的影响。
通常,这种对电子数据系统并且尤其是对总线系统的入侵例如可以包括从电子数据系统的附加的和未设置的节点或从电子数据系统的设置的但被渗入(infiltrieren)的节点发送消息(也为:帧)。这样的消息可能干扰电子数据系统的所设置的节点的通信。尤其是于是可能通过有针对性的欺骗(Täuschung)(例如通过预先给定所设置的节点的标志/标识符发送错误消息,所述错误消息可能对电子数据系统和/或所属技术系统、尤其是车辆的运行产生负面影响。在日益数字化(更多接口,例如车辆中的在其间常见的多媒体接口)以及技术系统的自动化和联网的过程中,用于可能入侵的攻击面日益增长。因此,针对入侵而对电子系统进行的防护是重要的。
在现有技术中,入侵识别系统(intrusion detection system(入侵检测系统),IDS)已经是已知的,所述入侵识别系统被设计用于在低集成级别上(例如在电子数据系统的层面上)识别对电子数据系统的入侵。对于这种入侵识别系统的示例是ETAS/ESCRYPT的CycurIDS、ARGUS的车载网络保护或ARILOU的Sentinel-CAN。如果由入侵识别系统识别到对电子数据系统的入侵,则例如可以将其记录在节点中用于归档和稍后分析。可替代地或附加地,可以通过用户接口通知技术系统(例如车辆)的用户(例如驾驶员或乘员)或另一服务处(Servicestelle)。对这些被动反应而言附加或替代地,值得期望的可以是主动且尽可能立即的反应,尤其是以便(及时)防止对电子数据系统和/或所属技术系统的操纵。例如在总线系统中可以将出错消息(也称为出错帧(Fehler-Frame))发送到总线上并且从而发送给总线系统的所有节点。
发明内容
本公开的第一概括性方面涉及一种用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法。所述方法包括:接收所述车辆的电子数据系统的节点集合中的每个节点的数据。所述方法此外包括:基于所述数据计算车辆状态。所述方法此外可以包括:至少基于所述车辆状态识别对所述车辆的电子数据系统的入侵。可替代地或附加地,所述方法可以包括至少基于所述车辆状态评价对所述车辆的电子数据系统的入侵。
本公开的第二概括性方面涉及网络中的服务器,所述服务器被设计用于执行根据第一概括性方面(或其实施方式)所述的用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法,其中车辆的电子数据系统和可选地其他车辆集合中的每个其他车辆的每个电子数据与该网络连接。
本公开的第三概括性方面涉及包括电子数据系统的车辆,所述电子数据系统按照根据第一概括性方面(或其实施方式)所述的用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法而得以保护。
如在现有技术中已经陈述的,(及时)识别对车辆的电子数据系统的入侵是非常重要的,以便能够不仅对于车辆和必要时其用户(例如驾驶员和/或乘员)而且对于车辆的周围环境(例如包括其他交通参与者)保证车辆的安全运行。尽管也可以尝试原则上防止对车辆的电子数据系统的入侵,但是如历史表明的,即使在受(良好)保护的电子数据系统中,也可能在任何时候发生成功的入侵。对此的原因可能例如存在于在用于防护的技术与用于入侵和/或绕开防护的技术之间的持续赛跑中,尤其是因为如车辆之类的技术系统是针对一定的运行时间(例如针对10至20年)而设计的。此外,可以察觉:在(更多接口,例如车辆中的其间常见的多媒体接口的)日益数字化以及技术系统的自动化和联网的过程中,用于可能入侵和/或绕开防护的攻击面增加。因此,重要的是设置用于车辆的至少一个(车辆内部或车辆外部的)入侵识别系统,所述入侵识别系统被设计用于识别对车辆的电子系统的入侵。为了防止由于入侵引起的有害干预,入侵识别系统应该能够尽可能及时地进行干预和/或警告。
但是,入侵的识别有时可能是有错的。这例如可能是归因于:技术系统、例如车辆以及电子数据系统也通常具有高复杂度并且例如在自动驾驶时由开放的上下文所决定。除了实际入侵不被识别的可能性(这种情况可以用英语被称为false positive(错误肯定性)),此外可能的是将非入侵错误地识别为入侵(这种情况可以用英语被称为falsenegative(错误否定性))。未识别的入侵(错误肯定性情况)可能表明入侵识别系统的功能故障并且因此是不期望的,而所识别的臆想入侵(否定肯定(negative positive)情况)甚至在正常情况下(也即即使在没有实际入侵的情况下)也会干扰到技术系统、尤其是车辆的功能性。例如不可接受的是:在将车辆用户的数字智能设备经由多媒体接口与车辆的电子数据系统连接的情况下总是识别对车辆的臆想入侵,并且接下来请求用户寻求服务。因此,可能重要的是:能够对由(车辆内部和/或车辆外部的)入侵识别系统标明为入侵的事件(也为:状况)进行评价并且必要时进行确认。
如在所述以计算机实现的方法(或其实施方式中)所提出的,在识别和/或评价入侵时因此可能有利的是:考虑车辆的车辆状态。因此,可以在更大的上下文(Kontext)中观察事件/状况,并且从而更好地进行评价。如在现有技术中已知的,车辆的电子数据系统的单独的控制设备可以具有入侵识别系统,而由于低集成级别,难以考虑上级车辆状态,这尤其是因为控制设备通常与集成所述控制设备的技术系统无关地被开发和销售。事实上,例如同一个控制设备可以针对在不同的车辆中、在不同的车辆项目中的使用而被设计和/或针对不同的车辆制造商(也为:初始装备方,英语:original equipment manufacturer(原始设备制造商),OEM)而被设计。此外可能有利的是,将其他控制设备的认识纳入到对入侵的识别和/或评价中。由此,同样可以扩大上下文并且可以更可靠地识别和/或评价入侵。
如在所述以计算机实现的方法(或其实施方式中)中此外提出的,可能有利的是,将上下文扩展到车队,其中该车队可以包括例如车辆制造商、车辆项目和/或所定义的车辆项目状态(尤其是所定义的软件版本)的大量车辆。在这种情况下,(根据第二概括性方面的)网络中的服务器可以证明是特别有用的,因为大量车辆的数据和评价可以经由服务器被汇集。另一方面,网络中的服务器对于单个车辆而言也已经可以是有利的。例如,车辆中的计算能力和/或存储容量可能例如出于成本原因而受限。而相反,可以在服务器上提供例如如下(专用)硬件,所述硬件对于也基于数据和/或车辆状态而进行的可靠的识别和/或评价而言是必需的。
由服务器识别和/或确认的入侵(和例如所提出的措施)可以被传送到车辆中和/或车队的其他车辆中。车辆和/或其他车辆因此可以对入侵及时地作出反应。
此外,所以服务器可以就以下方面是有利的:在车辆中存在的入侵设备系统通常是静态的。事实上,在入侵识别系统中,例如出于鲁棒性和/或安全性原因,用于识别和/或评价入侵的静态规则/算法/参数集(Bedatung)在开发的特定时间点被实现(“硬编码”),所述静态规则/算法/参数集应该对于整个运行时间是有效的。此外,可以在服务中进行软件更新。然而,在防护和入侵之间的赛跑通常比这种服务间隔进行得更快。在技术上本应存在如下可能性:在车辆的运行中例如在所谓的空中软件更新中更新这样的规则/算法/参数集。然而这在实践中迄今未被利用或很少被利用,这尤其是因为由此会提供新的攻击面。相反,在服务器上则可以在用于识别和/或评价入侵的算法中考虑到新的认识。
附图说明
图1示出具有至少一个车辆和车辆安全管理系统(英语:vehicle securityincident and event management(车辆安全事故和事件管理, VSIEM)系统)的示例性实施方式。
图2示意性地图解用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法。
图3示意性地图解用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法的实施方式。
图4a-e示出用于识别和/或评价对车辆的电子数据系统的入侵的示例性功能相关性。
具体实施方式
以计算机实现的方法100旨在识别和/或评价对车辆的电子数据系统的入侵。由此应该提高安全性或者在攻击面越来越大的情况下也保证安全性。在其实施方式中,方法100也可以被概括化(verallgemeinern)到一个或多个不一定是车辆但是分别包括至少一个电子数据系统的技术系统。
图1可视化了:如何可以从车辆(在这里:车辆1)的控制设备(在这里:ECU1,车辆1)出发而将用于识别和/或评价对电子数据系统的入侵的上下文扩展到其他节点/控制设备(在这里:ECU2,...,车辆1)和其他车辆的节点/控制设备(在这里:ECU1,ECU2,...,车辆2,...)。例如,可以从所有这些节点/控制设备(可选地分别经由(其他)数字孪生(在这里:数字孪生1、数字孪生2……))而将(其他)数据传送给车辆安全事故和事件管理(VSIEM)系统,所述车辆安全事故和事件管理(VSIEM)系统可以被设计用于执行以计算机实现的方法100(或其实施方式)。VSIEM系统可以在服务器200上实现。
车辆和/或每个其他车辆可以分别具有车辆中的入侵识别系统(IDS),所述入侵识别系统可以被设计用于(临时地(vorläufig))评价入侵。例如在此可以分别确定同样被传送给VSIEM系统的(其他)异常状态。
公开一种用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法100。也就是说,方法100可以是用于识别对车辆的电子数据系统的入侵的方法。可替代地或附加地,方法100可以是用于评价对车辆的电子数据系统的入侵的方法。该方法可以包括:接收110车辆的电子数据系统的节点集合中的每个节点的数据。方法100此外可以包括:基于所述数据计算120车辆状态。该方法此外可以包括:至少基于所述车辆状态识别130a和/或评价130b对车辆的电子数据系统的入侵。图2示意性地图解用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法。以计算机实现的方法的各种实施方式在图3中示意性地图解和概括。
对电子数据系统的入侵的识别可以基于至少一个预定的识别标准。所述至少一个预定的识别标准可以包括预定的(静态)规则。可替代地或附加地,对入侵的识别可以基于分类算法(例如经训练的机器学习算法,诸如支持向量机或人工神经网络)和/或回归算法(例如经训练的机器学习算法,诸如人工神经网络)。对电子数据系统的入侵的识别可以包括检验:基于至少一个预定的识别标准在节点集合中的至少一个节点的数据中是否存在异常/不一致性。这种检验可以在车辆的运行中(但不一定在车辆中)在每一个时间点(例如在每次中断中)进行。
对电子数据系统的入侵的评价可以基于至少一种预定的评价标准(和/或基于至少一种预定的识别标准)。所述至少一个预定的评价标准可以包括预定的(静态)规则。可替代地或附加地,对入侵的评价可以基于分类算法(例如经训练的机器学习算法,诸如支持向量机或人工神经网络)和/或回归算法(例如经训练的机器学习算法,诸如人工神经网络)。对电子数据系统的入侵的评价可以包括检验:是否可以基于数据确认所发现的异常/不一致性。这种检验可以在车辆的运行中(但不一定在车辆中)在每一个时间点(例如在每次中断中)进行。
所述至少一个评价标准可以是所述至少一个预定的识别标准。
识别入侵已经可以隐含地包括评价入侵。
车辆的电子数据系统的节点集合可以是车辆的如下控制设备的集合,所述控制设备可以经由车辆的电子数据系统而互联。因此,节点/每个节点可以是控制设备。可替代地,(至少一个)节点可以是电子设备,而所述电子设备不一定是控制设备。因此,这种电子设备不一定必须控制车辆的技术(子)系统。电子数据系统可以是/包括例如具有CAN总线的CAN等。电子数据系统也可以是电子数据系统的联网(Vernetzung)。例如可以分别经由网关将多个CAN等相互连接。
每个节点(即例如每个控制设备)的数据可以包括一个或多个时间记录(Zeitschriebe)(例如时间序列),所述时间记录表征技术系统、尤其是车辆和/或其周围环境。例如,一个或多个时间记录可以描述关于车辆和/或其周围环境(例如其他交通参与者)的行为的信息。例如,时间记录可以是车辆速度。例如,车辆速度可以被用于评价车辆是行驶还是停下。每个节点的其他数据(见下文)可以像是数据那样,但是条件是所述数据涉及其他车辆。在图4a-e中,第一控制设备E1的数据被表示为D1,……第m个控制设备Em的数据被表示为Dm
车辆状态可以包括与入侵的识别和/或评价相关的信息。除了对于车辆普遍适用的信息(例如车速)之外,这些信息可能取决于车辆的架构。这些信息(或其一部分)此外可能取决于(具体)车辆(例如安装在车辆中的软件版本(Softwarestände))。车辆状态可以包括行驶状态。例如,信息还可以包括电子数据系统的一个或多个节点(控制设备)的状态。车辆状态可以是对这些信息进行编码的数据结构。可替代地或附加地,车辆状态可以包括数字对象、诸如数、向量、矩阵或张量。车辆状态可以被编码为字节或位信号串。车辆(v)的车辆状态或多个车辆中的第一车辆(v1)、……、第n个车辆(vn)的车辆状态可以被表达为数学对象Sv
Figure 906170DEST_PATH_IMAGE001
、......、
Figure 649742DEST_PATH_IMAGE002
对车辆的电子数据系统的入侵的识别130a和/或评价130b可以导致如下结果,所述结果包含关于入侵的识别和/或评价的信息。例如,结果可能包括针对入侵/非入侵的位。可替代地或附加地,所述结果可以包括与入侵的概率相关的(准)连续数(例如在实数区间[0,1]中)(例如,0代表概率0或1代表概率1)。可替代地或附加地,结果可以包括针对入侵被确认/入侵未被确认的位。可替代地或附加地,所述结果可以包括例如通过例程的数值上的编码进行的措施。所述结果可以是对所述信息进行编码的数据结构。可替代地或附加地,所述结果可以包括数值对象、诸如数、向量、矩阵或张量。所述结果可以被编码为字节或位信号串。
通过使对车辆的电子数据系统的入侵的识别130a和/或评价130b至少基于车辆状态,该结果可以被表达为如下函数f的值,所述函数至少取决于所述车辆的车辆状态Sv
Figure 757375DEST_PATH_IMAGE003
该方法100此外可以包括:对于其他车辆集合中的每个其他车辆,接收111所述其他车辆的电子数据系统的节点集合中的每个节点的其他数据。
方法100此外可以包括:对于其他车辆集合中的每个其他车辆,基于所述其他车辆的其他数据计算121其他车辆状态。对车辆的电子数据系统的入侵的识别130a和/或评价130b此外可以至少基于至少一个其他车辆状态。其他车辆集合可以是多个车辆(减去该车辆)。(相应)其他车辆可以是来自其他车辆集合中的另一车辆。(相应)其他车辆的电子数据系统可以(但不是必须)在其架构和/或参数集(例如软件版本)方面是结构相同的。节点集合可以是多个控制设备。其他车辆的电子数据系统的节点集合可以(但不是必须)对应于该车辆的电子数据系统的节点集合。
通过使对车辆的电子数据系统的入侵的识别130a和/或评价130b至少基于所述至少一个其他车辆状态,该结果又可以被表达为如下函数f的值,所述函数至少取决于该车辆的该车辆状态
Figure 480480DEST_PATH_IMAGE004
和所述至少一个其他车辆状态
Figure 763694DEST_PATH_IMAGE005
Figure 179632DEST_PATH_IMAGE006
对于n-1个其他车辆,其中n-1>1,此外可以得出以下相关性:
Figure 915507DEST_PATH_IMAGE007
这种相关性在图4e绘出。
车辆的电子数据系统可以包括(或者是)控制系统。控制系统例如可以是CAN等。电子数据系统的节点集合中的至少一个节点可以是电子控制单元(ECU)。电子控制单元可以被设计用于控制技术系统、尤其是车辆,或者有助于控制。该车辆的电子数据系统的节点集合可以包括至少两个节点(例如2、3、4、5、>5、>10、>20、>50、>100、>200)。同样,(相应)其他车辆的电子数据系统的节点集合可以包括至少两个节点(例如2、3、4、5、>5、>10、>20、>50、>100、>200)。所述其他车辆集合可以包括至少一个其他车辆(例如1、>1、>5、>10、>100、>1e3、>1e4、>1e5、>1e6)。
如图3中示意性所示的,基于数据计算120车辆状态可以包括:将数据输送122a到车辆的数字孪生中。计算120此外可包括:通过数字孪生计算122b车辆状态。计算120此外可以包括将车辆状态存储122c在所述数字孪生中。
对于所述其他车辆集合中的每个其他车辆,如图3中示意性所示的,基于其他数据计算121其他车辆状态可以包括:将数据输送123a到其他车辆的其他数字孪生中。对于其他车辆集合中的每个其他车辆,计算121此外可以包括:通过所述其他数字孪生计算123b其他车辆状态。对于其他车辆集合中的每个其他车辆,计算121此外可以包括:将所述其他车辆状态存储123c在所述其他数字孪生中。
数字孪生可以是车辆的数字表示。同样,每个其他数字孪生可以是相应其他车辆的数字表示。数字表示可以分别包括模拟,所述模拟被设计用于,基于(其他)数据在与入侵的识别和/或评价相关的范围内尽可能好地映射(abbilden)其真实对应物(Entsprechung)(即车辆或各自其他车辆)。在(其他)车辆的运行的每个时间点,模拟可以被扩展(ausdehnen)到该时间点,并且必要时与(其他)数据进行比对。例如可以在如下方面看出优点:如此在一时间段内建立对(其他)车辆的运行的理解。由此,与(实时)入侵识别系统相比,可以更可靠地识别和/或评价入侵。如图1中所示,数字孪生(在这里:数字孪生1)和/或每个其他数字孪生(在这里:数字孪生2,......)可以(但不是必须)在服务器200上实现。在存储122c、123c(其他)车辆状态的情况下,(其他)数字孪生可以用作中间存储器。此外,可以使用所述/每个其他数字孪生用于中间存储一个或多个(其他)评估结果。例如,可以存储(其他)相关行驶状况,所述相关行驶状况可以在识别和/或评价入侵方面被使用作为比较。可替代地,(其他)数字孪生也可以在(其他)车辆中实现。
如图4a-e中所示,计算120车辆状态和/或计算121每个其他车辆状态可以通过映射
Figure 848828DEST_PATH_IMAGE008
来表达。这种映射可以(但不是必须)包括来自数字孪生或来自相应其他数字孪生的计算规则。
如图3中示意性所示的,方法100可以包括:可选地从数字孪生中接收140在先前时间点的至少一个先前车辆状态。在此情况下,对车辆的电子数据系统的入侵的识别130a和/或评价130b此外可以至少基于至少一个(或多个)先前车辆状态。
通过使对车辆的电子数据系统的入侵的识别130a和/或评价130b此外至少基于至少一个所述先前车辆状态,结果又可以被表达为如下函数f的值,所述函数至少取决于车辆的车辆状态
Figure 878226DEST_PATH_IMAGE009
和至少一个先前车辆状态
Figure 340431DEST_PATH_IMAGE010
Figure 829181DEST_PATH_IMAGE011
这种相关性在图4c-d中绘出。
如果入侵的识别130a和/或评价130b基于车辆的多个先前行驶状态,则所述多个先前行驶状态的选择可以通过过滤函数g实现,其中对象
Figure 159669DEST_PATH_IMAGE012
(在符号滥用(Notationsmissbrauch)中)表示先前车辆状态的向量。此外,中间存储的评估结果(例如所存储的相关行驶状况)在对象
Figure 417475DEST_PATH_IMAGE013
中(在重新的符号滥用中)并且从而在识别和/或评价中可以被一起包括在内。所述结果的相关性于是可以通过
Figure 440794DEST_PATH_IMAGE014
给出,也参见图4d。
如图3中示意性所示的,方法100可以包括:可选地从其他数字孪生中接收141在先前时间点的至少一个先前其他车辆状态。在此情况下,对车辆的电子数据系统的入侵的识别130a和/或评价130b此外可以至少基于至少一个先前其他车辆状态。
通过使对车辆的电子数据系统的入侵的识别130a和/或评价130b此外至少基于至少一个所述先前其他车辆状态,所述结果又可以被表达为如下函数f的值,所述函数至少取决于车辆的车辆状态
Figure 416841DEST_PATH_IMAGE015
和至少一个所述先前其他车辆状态
Figure 426385DEST_PATH_IMAGE016
Figure 663331DEST_PATH_IMAGE017
如果所述入侵的识别130a和/或评价130b基于其他车辆的多个先前其他行驶状态,则所述多个先前行驶状态的选择可以通过(其他)过滤函数g来实现,其中该对象
Figure 732918DEST_PATH_IMAGE016
(在符号滥用中)表示所述其他车辆的先前其他车辆状态的向量。此外,被中间存储的其他评估结果(例如所存储的其他相关行驶状况)在对象
Figure 196261DEST_PATH_IMAGE016
中(在重新的符号滥用中)并且从而在识别和/或评价中可以被一起包括在内。所述结果的相关性于是可以通过
Figure 367086DEST_PATH_IMAGE018
给出。
对于n-1个其他车辆,其中n-1>1,可以例如此外得出结果的以下相关性:
Figure 599484DEST_PATH_IMAGE020
如图3中示意性所示的,方法100可以包括:接收150已经由车辆的电子数据系统(例如由车辆中的入侵识别系统)确定的异常状态。对车辆的电子数据系统的入侵的评价130b于是此外可以至少基于异常状态并且包括:如果满足至少一个预定的评价标准,则确认131异常状态,可选地确认入侵。对车辆的电子数据系统的入侵的评价130b此外可以包括:如果不满足至少一个预定的评价标准,则驳斥(Widerlegen)所述异常状态,可选地驳斥所述入侵。
异常状态(或每个其他异常状态,见下文)可以包含关于入侵的识别和/或评价的信息。异常状态(或每个其他异常状态)可以包括:对入侵的识别和/或评价的(临时)结果,尤其是低集成级别上的入侵识别系统的结果。例如,异常状态(或每个其他异常状态)可以包括针对入侵/非入侵的位。可替代地或附加地,异常状态(或每个其他异常状态)可以包括与入侵的概率相关的(准)连续数(例如在实数区间[0,1]中)(例如,0代表概率0或1代表概率1)。可替代地或附加地,异常状态(或每个其他异常状态)可以包括针对入侵被确认/入侵未被确认的位。可替代地或附加地,异常状态(或每个其他异常状态)可以包括例如通过例程的数值上的编码进行的措施。异常状态(或每个其他异常状态)可以是对信息进行编码的数据结构。可替代地或附加地,异常状态(或每个其他异常状态)可以包括数值对象、诸如数、向量、矩阵或张量。异常状态(或每个其他异常状态)可以被编码为字节或位信号串。异常状态(或每个其他异常状态)可以例如是异常值或如下向量,所述向量包含多个异常值和/或对入侵的识别/评价的中间结果。是否存在异常于是可取决于所述一个或多个异常值(例如异常值0表明无异常,而异常值1表示异常,由多个异常值组成的平均值)。
通过使对车辆的电子数据系统的入侵的评价130b此外至少基于所述至少一个异常状态,该结果又可以被表达为如下函数f的值,所述函数至少取决于车辆的车辆状态
Figure 839972DEST_PATH_IMAGE021
和至少一个异常状态
Figure 649665DEST_PATH_IMAGE022
Figure 266592DEST_PATH_IMAGE023
这种相关性在图4a中绘出。
对于n-1个其他车辆,其中n-1>1,例如此外可以得出结果的以下相关性:
Figure 87917DEST_PATH_IMAGE025
Figure 889520DEST_PATH_IMAGE027
如图3中示意性所示的,方法100此外可以包括:对于其他车辆的(第二)集合中的每个其他车辆,接收151其他异常状态,所述其他异常状态分别已经由所述其他车辆的电子数据系统(例如由其他车辆中的入侵识别系统)确定。对车辆的电子数据系统的入侵的评价130b此外可以至少基于至少一个其他异常状态并且包括:如果满足至少一个预定的评价标准,则确认132异常状态、可选地确认入侵,和/或确认至少一个其他异常状态。在此情况下,不一定必须存在对车辆的电子数据系统的入侵。代替地,可以在车辆中预防性地(präventiv)处理在其他车辆中识别和确认的入侵。例如,车辆的用户可被警告可能的入侵和/或被请求寻找服务(例如用于软件更新)。对车辆的电子数据系统的入侵的评价130b此外可以包括:如果不满足所述至少一种预定的评价标准,则驳斥至少一个所述其他异常状态,可选地驳斥所述入侵。其他车辆的(第二)集合可以、但不必是其他车辆集合。
通过使对车辆的电子数据系统的入侵的评价130b此外至少基于至少一个其他异常状态,该结果又可以被表达为如下函数f的值,所述函数至少取决于所述车辆的车辆状态
Figure 61875DEST_PATH_IMAGE028
和至少一个其他异常状态
Figure 951334DEST_PATH_IMAGE029
Figure 282958DEST_PATH_IMAGE030
对于n-1个其他车辆,其中n-1>1,例如此外可以得出结果的以下相关性:
Figure 130828DEST_PATH_IMAGE031
最后提到的相关性在图4b中示出。其他相关性可以是:
Figure 524900DEST_PATH_IMAGE032
如果满足至少一个预定的识别标准,则可以对车辆的电子数据系统的入侵进行识别130a。而如果不满足至少一个预定的识别标准,则可能存在非入侵。
可以将所识别130a的入侵和/或所确认(131、132)的入侵、可选地将所评价130b的非入侵传送到车辆的电子数据系统中。在所识别130a的入侵和/或所确认(131、132)的入侵的情况下,可以促使电子数据系统的至少一个节点、可选地至少一个控制设备将所述入侵通知给车辆的用户(例如驾驶员和/或乘客)和/或(例如根据结果)开始与所述入侵相对应的驾驶机动动作。
如图3中示意性所示的,接收110车辆的电子数据系统的节点集合中的每个节点的数据可以包括:接收112a和解压缩112b车辆的电子数据系统的节点集合中的每个节点的经压缩的数据。在这种情况下,数据在发送(到服务器200)之前在车辆中被压缩。数据的压缩可以是无损的。
如同样在图3中示意性地所示的,对于其他车辆集合中的至少一个车辆或每一个其他车辆,接收111其他车辆的电子数据系统的节点集合中的每个节点的其他数据可以包括:接收113a和解压缩113b其他车辆的电子数据系统的节点集合中的每个节点的经无损压缩的其他数据。在这种情况下,相应其他数据在发送(到服务器200)之前在相应其他车辆中被压缩。所述其他数据的压缩同样可以是无损的。
如图4a-e中所示,数据或其他数据的压缩可以通过映射h来表达。经压缩的数据可以用
Figure 109728DEST_PATH_IMAGE033
(或
Figure 905646DEST_PATH_IMAGE034
)表示。
原则上,在车辆和服务器200之间或在其他车辆和服务器200之间的所有数据(例如结果、异常状态、......)可以以经压缩的方式被传送。典型地,结果和/或异常状态与(其他数据)相比不要求大的数据大小,并且因此不必被压缩。
此外公开:网络中的服务器200,所述服务器被设计用于执行用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法100,其中车辆的电子数据系统和可选地其他车辆集合中的每个其他车辆的每个电子数据系统与网络连接。换句话说:服务器可以用作车辆之间的连接环节。该网络可以例如是无线电网络、尤其是4G、5G、6G、......。车辆和/或每个其他车辆可以分别包括通信接口,所述通信接口被设计用于与网络中的服务器200(例如根据预定的协议)通信。由此可以将数据或其他数据(例如以无损压缩方式)发送给服务器200。另一方面,服务器200例如可以将入侵的识别和/或评价的结果传送回到车辆中(或其他车辆中)。服务器200可以是云服务器。如图1中所示,例如车辆安全事故和事件管理(VSIEM)系统可以在服务器200上实现。车辆的数字孪生(图1中的数字孪生1)以及可选地每个其他车辆的每个其他数字孪生(例如图1中的数字孪生2)也可以在服务器200上实现。
由于更大的计算和/或存储容量,服务器200可以导致对入侵的更可靠的识别和/或评价。此外可以经由服务器200与车辆和/或(其他)车辆交换附加数据(例如软件更新政策(Software Update Policy)、系统标识符等、其他车辆的问题的预防性广播)。在识别和/或评价对车辆的电子数据系统的入侵时,可以考虑所述附加数据。
此外公开一种车辆(或每个其他车辆),所述车辆包括电子数据系统,所述电子数据系统根据用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法100而得以保护。
公开至少一个计算机程序,所述至少一个计算机程序被设计用于执行用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法100。计算机程序可以例如以可解释或编译的形式存在。所述计算机程序可以(也部分地)例如作为位或字节串被加载到控制设备或计算机的RAM中以用于执行,其中计算机也可以用作服务器200。
此外公开一种存储和/或包含至少一个计算机程序的计算机可读介质或信号。例如,介质可以包括在其中存储有信号的RAM、ROM、EPROM、......之一。
此外公开一种计算机系统,所述计算机系统被设计用于执行该计算机程序。尤其是,计算机系统可以包括至少一个处理器和至少一个工作存储器。此外,计算机系统可以包括存储器。计算机系统可以经由由车辆、可选地其他车辆和服务器200组成的系统而延伸。

Claims (16)

1.一种用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法(100),所述方法包括:
-接收(110)所述车辆的电子数据系统的节点集合中的每个节点的数据;
-基于所述数据计算(120)车辆状态;
-至少基于所述车辆状态识别(130a)和/或评价(130b)对所述车辆的电子数据系统的入侵。
2.根据权利要求1所述的方法(100),所述方法此外包括:
-对于其他车辆集合中的每个其他车辆,接收(111)所述其他车辆的电子数据系统的节点集合中的每个节点的其他数据;
-对于其他车辆集合中的每个其他车辆,基于所述其他车辆的其他数据计算(121)其他车辆状态;和
其中对所述车辆的电子数据系统的入侵的识别(130a)和/或评价(130b)此外至少基于至少一个其他车辆状态。
3.根据权利要求1或2所述的方法(100),其中所述车辆的电子数据系统包括控制系统,并且所述电子数据系统的所述节点集合中的至少一个节点是电子控制单元(ECU)。
4.根据前述权利要求中任一项所述的方法(100),其中所述车辆的所述电子数据系统的所述节点集合包括至少两个节点。
5.根据前述权利要求中任一项所述的方法(100),其中所述其他车辆集合包括至少一个其他车辆。
6.根据前述权利要求中任一项所述的方法(100),其中基于所述数据计算(120)所述车辆状态包括:
-将所述数据输送(122a)到所述车辆的数字孪生中;
-通过所述数字孪生计算(122b)所述车辆状态;
-可选地,将所述车辆状态存储(122c)在所述数字孪生中。
7.根据前述权利要求中任一项所述的方法(100),其中对于所述其他车辆集合中的每个其他车辆,基于所述其他数据计算(121)所述其他车辆状态包括:
-将所述数据输送(123a)到所述其他车辆的其他数字孪生中;
-通过所述其他数字孪生计算(123b)所述其他车辆状态;
-可选地,将所述其他车辆状态存储(123c)在所述其他数字孪生中。
8.根据前述权利要求中任一项所述的方法(100),所述方法包括:
-可选地从所述数字孪生中接收(140)在先前时间点的至少一个先前车辆状态;
其中对所述车辆的电子数据系统的入侵的识别(130a)和/或评价(130b)此外至少基于至少一个先前车辆状态。
9.根据前述权利要求中任一项所述的方法(100),所述方法包括:
-可选地从所述其他数字孪生中接收(141)先前时间点的至少一个先前其他车辆状态;
其中对所述车辆的电子数据系统的入侵的识别(130a)和/或评价(130b)此外至少基于至少一个先前其他车辆状态。
10.根据前述权利要求中任一项所述的方法(100),所述方法此外包括:
-接收(150)已经由所述车辆的电子数据系统确定的异常状态;和
其中对所述车辆的电子数据系统的入侵的评价(130b)此外至少基于所述异常状态,并且包括:
-如果满足至少一个预定的评价标准,则确认(131)所述异常状态,可选地确认所述入侵。
11.根据前述权利要求中任一项所述的方法(100),其中如果满足至少一个预定的识别标准,则对所述车辆的电子数据系统的入侵进行识别(130a)。
12.根据前述权利要求中任一项所述的方法(100),其中将所识别(130a)的入侵和/或所确认(131、132)的入侵、可选地将所评价(130b)的非入侵传送到所述车辆的所述电子数据系统中。
13.根据权利要求12所述的方法(100),其中在所识别(130a)的入侵和/或所确认(131、132)的入侵的情况下,促使所述电子数据系统的至少一个节点、可选地至少一个控制设备将所述入侵通知给所述车辆的用户和/或开始与所述入侵相对应的驾驶机动动作。
14.一种网络中的服务器(200),所述服务器被设计用于执行根据前述权利要求中任一项所述的用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法(100),其中所述车辆的电子数据系统以及可选地其他车辆集合中的每个其他车辆的每个电子数据系统与所述网络连接。
15.根据权利要求14所述的服务器(200),其中所述车辆的数字孪生以及可选地每个其他车辆的每个其他数字孪生在所述服务器(200)上实现。
16.一种车辆,所述车辆包括电子数据系统,所述电子数据系统按照根据权利要求1至13中任一项所述的用于识别和/或评价对车辆的电子数据系统的入侵的以计算机实现的方法(100)而得以保护。
CN202210465585.9A 2021-05-03 2022-04-29 识别/评价对车辆的电子数据系统的入侵 Pending CN115292699A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021204409.3 2021-05-03
DE102021204409.3A DE102021204409A1 (de) 2021-05-03 2021-05-03 Erkennung/bewertung eines eindringens in ein elektronisches datensystem eines fahrzeugs

Publications (1)

Publication Number Publication Date
CN115292699A true CN115292699A (zh) 2022-11-04

Family

ID=83600901

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210465585.9A Pending CN115292699A (zh) 2021-05-03 2022-04-29 识别/评价对车辆的电子数据系统的入侵

Country Status (4)

Country Link
US (1) US20220350882A1 (zh)
JP (1) JP2022172456A (zh)
CN (1) CN115292699A (zh)
DE (1) DE102021204409A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017208547A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
US20200216097A1 (en) * 2017-08-10 2020-07-09 Argus Cyber Security Ltd System and method for detecting exploitation of a component connected to an in-vehicle network
US11468215B2 (en) * 2018-06-13 2022-10-11 Toyota Jidosha Kabushiki Kaisha Digital twin for vehicle risk evaluation
US20220242419A1 (en) * 2019-07-24 2022-08-04 C2A-Sec, Ltd. Intrusion anomaly monitoring in a vehicle environment

Also Published As

Publication number Publication date
US20220350882A1 (en) 2022-11-03
DE102021204409A1 (de) 2022-11-03
JP2022172456A (ja) 2022-11-16

Similar Documents

Publication Publication Date Title
CN108028784B (zh) 不正常检测方法、监视电子控制单元以及车载网络系统
US11411681B2 (en) In-vehicle information processing for unauthorized data
US11875612B2 (en) Vehicle monitoring apparatus, fraud detection server, and control methods
CN112204578B (zh) 使用机器学习在数据接口上检测数据异常
CN111225834B (zh) 车辆用控制装置
WO2020203352A1 (ja) 異常検知方法及び異常検知装置
CN109005678B (zh) 非法通信检测方法、非法通信检测系统以及记录介质
CN109076016B9 (zh) 非法通信检测基准决定方法、决定系统以及记录介质
JPWO2019216306A1 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
CN109845219B (zh) 用于一车辆的验证装置
WO2018168291A1 (ja) 情報処理方法、情報処理システム、及びプログラム
CN111066001A (zh) 日志输出方法、日志输出装置以及程序
CN111147448A (zh) 一种can总线洪范攻击防御系统及方法
US20220311781A1 (en) Selection method, selection system, and recording medium
US20200312060A1 (en) Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit
US20230052852A1 (en) Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle
CN115292699A (zh) 识别/评价对车辆的电子数据系统的入侵
CN110018678B (zh) 一种网联汽车控制系统的故障诊断方法
JP2021076949A (ja) 車両用制御装置
JP7471532B2 (ja) 制御装置
JP2019172261A (ja) 制御装置、制御システム、及び制御プログラム
JP7160206B2 (ja) セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体
Lin Analysis and modeling of a priority inversion scheme for starvation free controller area networks
CN115883125A (zh) 用于探测对总线系统的入侵的技术
EP3726776A1 (en) Method for an autonomic or ai-assisted validation and/or rejection and/or decision making regarding bus messages on a controller area network bus system, controller area network bus system, detection and/or decision entity, computer program and computer-readable medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination