CN115412278A

CN115412278A - 用于防止对车辆的网络攻击的方法及相应装置

Info

Publication number: CN115412278A
Application number: CN202210599947.3A
Authority: CN
Inventors: C·罗萨迪尼; A·科内利奥; S·基亚雷利; W·内希; S·萨波纳拉; E·迪宾托
Original assignee: Marilyn Europe
Current assignee: Marilyn Europe
Priority date: 2021-05-26
Filing date: 2022-05-26
Publication date: 2022-11-29
Also published as: EP4096168A1; US20220394045A1

Abstract

本文描述了一种用于防止车辆的通信网络中的网络攻击的方法，通信网络包括通信总线和以信号交换关系关联到通信总线并且至少部分地关联到用于控制车辆功能的控制单元的多个节点，节点交换消息以识别非法消息，方法包括：获取显性电压测量值；获得发送消息的节点的电特性，其中在接收节点处接收消息的期间获取总线高线上的和总线低线上的电压测量值的连续组并计算其分布，并基于累积电压偏差获得电压廓形；执行恶意节点检测程序，其中针对每个组提取电压廓形的至少一个特性参数并与从前一组中提取的对应的特性参数进行比较，当两者相差至少一个给定差值时提供对应消息的标识符并计算稳定时间；执行发送节点识别程序，其中识别恶意节点。

Description

用于防止对车辆的网络攻击的方法及相应装置

技术领域

本发明涉及防止车辆的通信网络(特别是CAN(控制器局域网络))中的网络攻击的技术，通信网络包括总线(特别是CAN总线)以及多个节点，该节点以信号交换关系关联到所述总线并且至少部分地关联到用于控制车辆功能的控制单元。

背景技术

CAN总线(在机动车辆中作为通信总线)是一种串行、多主机类型的通信方式，其中连接到总线上的每个主机(也称为节点)能够发送、接收和解决若干节点同时进入发送的冲突。

图1中示意性地示出了CAN总线10，其包括多个节点11。图1中示出了三个节点11₁、...、11₃。如图1中所示，能够在CAN总线10上进行通信的节点11通常包括：

-CAN收发器12，其通过发送线TT和接收线TR关联到CAN总线10，并且被配置为用于管理CAN总线所特有的电平(OSI模型的物理层)；

-CAN控制器13，其通过发送线CT和接收线CR连接到CAN收发器12，并且被配置为用于管理CAN总线10的逻辑电平和串行化(OSI模型的数据链路层)；

-微控制器14，其包含消息的发送和接收逻辑(管理比数据链路层更高的OSI层)。

总线10包括两条线。10H表示CAN总线10的高线或CAN-高，而10L表示低线或CAN-低。在总线10的两端，10H和10L这两条线由终端电阻10R端接。在图1中，发送线TT联接到高线10H，而接收线TR联接到低线10L。

因此，CAN总线10是差分总线，因此具有两条线的结构，这两条线称为“CAN-高”10H和“CAN-低”10L。

识别连接多个节点(例如电子控制单元(ECU))的CAN总线中的恶意消息的方法旨在确定什么消息是恶意的，但最重要的是它来自哪个节点或ECU，以便能够追踪攻击的来源本身并采取必要的措施。目前在车辆上实施的入侵检测系统设法确定网络攻击的存在，但未配备攻击者识别系统。

表1中提供了根据CAN协议的消息的结构；特别是，下述数据类型的消息，其由连续位的多个段S构成，如下所示。

表1

CAN协议是一种多主机协议。这意味着每个网络节点都可以在总线空闲时在其上写入。如果若干节点希望同时通信，则具有最高优先级的消息获胜并写入。

感兴趣的消息字段主要是仲裁字段S2和ACK(应答)字段S6。仲裁字段由消息ID(标识符)构成，消息ID(标识符)确定其中的优先级并识别消息。二进制值越小，优先级越高。最初为隐性(因此为1)的ACK位被正确接收消息的ECU或节点11用显性位覆写。这样，每个节点都会确认消息的完整性。

通过对ID字段进行逐位仲裁来解决冲突。CAN指定了两种逻辑状态：“显性”和“隐性”，其中显性为逻辑0，隐性为逻辑1。如果一个ECU发送显性位而另一个ECU发送隐性位，则发生冲突，发送了显性位的一方获胜。此时，另一个节点输了仲裁并排队等待重发。这样，高优先级的消息不用等待发送，低优先级的消息在占优势的消息发送完成后尝试再次在总线上写入。这就是使CAN适合作为优先实时通信系统的原因。

图2A中所示的图显示了CAN总线10上的物理电压电平VL作为时间t的函数。

如图1中所示，每个节点11包括一个带有CAN控制器13的微控制器14，其负责在ECU或节点11之间共享的总线10上正确写入和读取消息。它执行位填充(bit stuffing)，该过程包括在值相同的五个连续位之后插入具有相反值的位，以及插入校验和，并且在发送消息后等待来自接收器的确认。CAN收发器12将数据流从CAN总线10的电压电平转换为CAN控制器13所使用的电平，反之亦然。

CAN总线10是差分总线，因此具有两条线的结构，这两条线为CAN-高10H和CAN-低10L，如图1中所示。当要发送0位时，CAN收发器12在CAN-高线10H上产生约3.5V的电压电平，在CAN-低线10L上产生约1.5V的电压电平，使得在两条线之间的电位差V_D电压约为2V。此0位被称为“显性”。同样地，当要发送1位时，收发器12在CAN-高线10H和CAN-低线10L上的输出均为约2.5V，从而产生0V的电位差V_D。在这种情况下，相应的位被称为“隐性”。

图2B以示例的方式示意性地示出了收发器12，其包括用作在电源电压VCC和CAN-高线10H之间的开关的MOS晶体管12H和用作在CAN-低线10L和地GND之间的开关的MOS晶体管12L。为此，CAN收发器12必须同时开通/关断构成它们的晶体管10H、10L。当发送显性位时，MOS晶体管12H、12L被接通；当发送隐性位时，它们被关断并设置为高阻抗状态。

下文介绍的是一些典型的攻击场景。

一种类型的攻击被称为“伪造攻击(fabrication attack)”。通过被入侵成为强大攻击者的车载ECU，对手伪造并注入带有假冒ID(标识符)、DLC(数据长度码)和数据的消息。这种攻击的目的是覆盖由合法的安全攸关的ECU发送的任何周期性消息，从而使它们的接收者ECU错乱或变得无法操作。例如，攻击者以给定的ID(例如0xB0)以高频率注入各种恶意消息，这些消息通常由合法的ECU发送。因此，正常接收消息0xB0的其他节点被迫接收比合法的那些更频繁的伪造的攻击消息。在这种情况下，攻击者ECU正在对消息0xB0及其原始发送者(即合法ECU)进行伪造攻击。

另一种类型的攻击称为“暂停攻击(suspension attack)”。要进行暂停攻击，攻击者只需要一个被弱入侵的ECU。与拒绝服务(DoS)攻击的情况一样，这种攻击的目的是停止/暂停被弱入侵的ECU的发送，从而阻止其他ECU在CAN上所获取的信息的传递/传播，原因在于某些ECU必须从其他ECU接收特定信息才能正常运行。因此，暂停攻击不仅会损坏被弱入侵的ECU，还会损坏其他接收者ECU。

另一种类型的攻击称为“伪装攻击(masquerade attack)”。要发起伪装攻击，攻击者需要入侵两个ECU，一个作为强攻击者，另一个作为弱攻击者。这种攻击的目的是操纵ECU，同时掩盖该ECU被入侵的状况。在给定的伪装瞬间，对手监视并学习其较弱的攻击者发送了哪些消息以及以什么样的频率发送；例如，弱攻击者每20ms发送一次消息0xB0。由于大多数网络消息是周期性和广播的(例如通过CAN)，因此很容易学习到它们的标识符(ID)和发送间隔。一旦攻击者掌握了消息的ID和频率，攻击者在伪装瞬间停止其弱攻击者的发送并利用其强攻击者伪造并以ID＝0xB0注入攻击消息。阻止弱攻击者的发送并利用强攻击者发送恶意消息的目的是克服弱攻击者无法注入消息的问题。在伪装瞬间之后，0xB0的原始发送者(即弱攻击者)不发送该消息，而强攻击者则以其原始频率发送该消息。因此，当观察总线(例如CAN总线)的流量时，消息0xB0的频率保持不变，而其发送者发生了变化。

从上面的例子可以看出，设法区分攻击真正来自哪个ECU是多么重要，尤其是在伪装攻击的情况下。

专利WO2018/013171A1描述了一种ECU指纹识别技术，该技术涉及使用架构中存在的IDS(入侵检测系统)来设法确定攻击的存在。

发明内容

本发明的目的是提供一种监控方法，该方法使得可能自主地识别出攻击的存在并识别恶意消息来自哪个节点。

根据本发明，由于一种防止方法以及由于一种相应的防止装置，上述目的得以实现，该防止方法和防止装置具有所附权利要求中具体提及的特性。

附图说明

将参考附图对本发明进行描述，这些附图仅以非限制性示例的方式提供，并且其中：

-图1、图2A和图2B已经在上文中描述过；

-图3示出了本文所述方法的总体视图；

-图4A和图4B示出了通过本文所述方法评估的量的图；

-图4C示出了表示该方法的操作的第一步骤的流程图；

-图5示出了表示本文所述方法的操作的第二步骤的流程图；

-图6A和图6B是时间曲线图，其表示使用本文所述方法获得的量；

-图7示出了示意性地表示本文所述方法的进一步步骤的流程图；

-图8示出了示意性地表示本文所述方法的最终步骤的流程图；

-图9A和图9B是时间曲线图，其表示通过本文所述方法的所述最终步骤评估的量；以及

-图10是用于实施本文所述方法的电路布置的示意图。

具体实施方式

根据本文所述的解决方案，考虑到由同一制造商使用相同组件生产的两个ECU在存在于总线高线和总线低线上的电压电平VL的测量值方面永远不会完全相同，每个电子控制单元(ECU)或节点的特征在于其硬件和结构特性或存在于物理层(电压信号)的不一致性。

图3中示意性地示出了用于防止车辆通信CAN(控制器局域网络)中的网络攻击的方法，该CAN包括CAN总线和关联到所述CAN总线的多个节点或ECU。

由附图标记100整体表示的上述方法包括建立显性测量值的第一步骤130和生成电压廓形(voltage profile)的第二步骤170，它们形成所谓的指纹识别程序110的一部分，指纹识别程序110即用于检测发送消息M的ECU 11的指纹的程序。在ECU 11发送消息M的时刻，该指纹识别程序110利用在CAN总线10的两条线CAN-高10H和CAN-低10L上读取的电压测量值，获得每个ECU 11的唯一指纹或签名。

具体而言，在这方面，图3中以示例的方式示出了第一ECU 11₁，其生成两条消息M₁和M₂，由各自的消息标识符ID₁和ID₂区分，以及示出了第二ECU 11₂，其生成第三条消息M₃，由消息标识符ID₃区分。下标i表示的是通用的第i个消息M_i，对应于消息标识符ID_i。

重要的是，上述前两个步骤130和170设法区分在CAN总线10上读取的哪些电压测量值实际上来自正在发送消息M的ECU 11。

所描述的方法被设计为能够容易地作为低成本的软件应用程序集成，因此不需要对CAN进行任何修改，从而使电压测量值的采样率保持相对较低。这意味着不知道电压值是在消息的哪个间隙(slot)中测量的，而只已知它们的值。此外，该方法仅考虑显性测量值，因为它们是有效代表ECU 11的那些测量值，因为它们涉及相应收发器12的MOSFET 12H、12L的接通。

因此，同样参考图4C的流程图，其详细描述了操作130，最初对给定消息M_i测量132在高线CAN-高10H和低线CAN-低10L上的电压VL_i。如果i是消息的索引，则j可以表示测量值序列中的电压测量值的索引，因此其更具体地为VL_i,j，其中j是范围从1到J的整数。

然后，设想到执行过滤134消息的电压测量值VL_i的操作，以获得仅对应于该消息的显性位的测量值DV_i。

在这种情况下，丢弃了所有在总线高线CAN-高10H上的低于2.75V并在总线低线CAN-低10L上高于的2.25V的测量值VL_i,j，以针对给定消息M_i获得一组仅显性测量值DV_i,k，其中，k是范围从1至K小于或等于J的整数。继续进行电压测量操作，直到消息M_i被完全接收并表示在收发器12的缓冲区中，其中，通过读取消息M_i各自的标识符ID_i，可以确定上述显性电压测量值DV_i,k属于哪个消息。

然而，由于可能发生多个ECU 11同时通信(例如在仲裁阶段或在ACK位期间)，设法丢弃不识别合法ECU的测量值是有益的。

因此，过滤操作134可额外包括去除对应于ACK位的测量值的程序136。这是通过设置上阈值γ_H(总线的线CAN-高10H上高于该上阈值γ_H的测量值被丢弃)和下阈值γ_L(总线的线CAN-低10L上低于该下阈值γ_L的测量值被丢弃)而获得的。这些阈值是每个ECU 11的特性并且是在该方法的第一步骤130中创建的。

例如，为了定义上述阈值，考虑到对总线高线CAN-高10H的测量值(特别是显性电压值DV_i,k)的分布，计算核密度(kernel density)，并且上丢弃阈值γ_H设置在最频繁值分布的核密度变为零的位置，如图4A的图中所示，该图示出了CAN-高10H上最频繁值(实线)的和最大值(虚线)的显性电压值DV_i,k的核密度。对CAN-低10L，计算核密度，并且下丢弃阈值γ_L设置在最频繁值分布的核密度变为零的位置，如图4B的图中所示，该图示出了CAN-低10L上最频繁值(实线)的和最小值(虚线)的显性电压值DV_i,k的核密度。

对于应答位ACK，其在接收到具有显性位的消息之后被重写，测得更高的电压(例如约4V的VH和约0.5V的VL)，这样它们落在丢弃阈值之外。ACK的不同电压电平缘于下述事实：在应答间隙(ACK slot)期间，除了正在发送的节点之外的所有节点都执行确认，发送显性位并且与此同时开通它们自己的MOSFET。这会降低在VCC-10H和10L-GND之间的电阻，进而降低相应的电压降。因此，在接收ACK期间测得的电压分别高于和低于对应于非ACK显性位的电压，并且可以使用基于最频繁值分布的阈值定义程序来进行区分。

因此，通过上述操作，仅考虑以下值：

2.75V<DV<γ_H

其中，显性电压值DV对应于CAN-高线10H，并且：

γ_L<DV<2.25V

其中，显性电压值DV对应于CAN-低线10L。

换言之，通常设想在操作130中测量值总线的线上的电压并排除与隐性位和应答位ACK相关联的值。这些值对应于对消息M_i的非ACK显性电压测量值NV_i,k，其中，索引k的范围为1到NK，其小于或等于整数K。因此，去除对应于ACK位的测量值的操作136包括对总线高线和总线低线分别固定相应的隐性位的下阈值和上阈值，以及用于去除应答位ACK的相应上阈值和下阈值。

应当注意，块130的操作使得能够对消息M_i采集非ACK显性电压测量值NV_i,k，在块130的操作的实施中设想到消息M_i的非ACK显性电压测量值NV_i,k暂时存储在存储器中，然而，只有当消息M_i已被完全接收时才可以说哪个消息标识符ID_i可用作节点能够使用的信息。

还应注意，在某些实施例中，一旦总线高线CAN-高10H上的电压测量值VL在给定时间段(其中总线空闲)之后超过相应阈值，方法100(以及因此操作130)就可以开始，因为这种情况代表ECU在总线上发送0位(ISO 11898-2)。该阈值例如是2.75V。因此，同样参考上文详述的内容，可以不停地执行电压值VL的采样，从采样值中丢弃隐性值，而将非ACK显性电压测量值NV_i,k暂时存储在存储器中。通常，此时无法说出它们所指的是哪个第i个消息标识符ID_i，因为只有当消息M_i已被完全接收时才可以将该信息用作节点能够使用的信息。即使实际上定义第i个消息标识符ID_i的电压值是最先在总线10上发送的，这也适用。

然后，在生成电压廓形的步骤170中，针对每个消息标识符ID_i存储非ACK显性电压测量值NV_i,k，以便在数量上足以有效地表示ECU 11的行为并用于获得关于电压概率分布的特征，从而表征ECU 11的物理行为，包括瞬时行为和随时间推移的行为。

图5中示出了更详细地表示生成电压廓形的步骤170的流程图，在步骤171中，将针对给定的第i个消息标识符ID_i以给定数量的连续瞬间获取的给定整数个非ACK显性电压测量值NV_i,k存储成相应的存储测量值集合A_i中。

在步骤172中，计算上述存储测量值集合A_i的电压分布VD(特别是百分数分布)。步骤172包括：计算存储测量值集合A_i中的非ACK显性电压值NV_i,k的分布，之后计算上述分布的一些特定特征，例如高线10H上的最频繁值(特征F1)，以及低线10L上的最频繁值(特征F2)，以及一定数量的百分位数，例如高线10H上的第75个和第90个百分位(F3、F4)和低线10L上的第25个和第10个百分位(F5、F6)。

在步骤173中，基于上述电压分布VD，即高线和低线的最频繁值和百分位数，计算累积电压偏差DC的总和。

特别是，在步骤173中，对于从在步骤172中获得的特征F1、...、F6中选定的特征，计算相对于预期理想值的CVD(累积电压偏差)。例如，在给定迭代(即在给定组上执行步骤171、172)下，特征F1的CVD对应于在先前迭代计算的CVD加上距先前迭代所经过的时间和以下项的乘积：1减去测得的特征F1的值v(F1)与期望值v*(F1)之比，即，(1-v(F1))/v*(F1)。然后，如果v(F1)在每次迭代(即在包含给定数量的测量值的组中)总是与期望值v*(F1)相差相同的量，则CVD线性增加。

因此，优选地，在步骤173中，将从各种特征F1、...、F6中取得的特征的CVD值加在一起。

因此，在步骤171和步骤172中，当收到电压测量值NV_i,k后，将它们组成给定数量的电压测量值NV_i,k的组，其构成测量值集合A_i。对于每个测量值集合A_i，例如，计算了针对低线10L和高线10H的均值或最频繁值以及电压测量值NV_i,k的组中的电压测量值的一个或多个百分位数。然后计算电压测量值的均值或最频繁值的累积偏差，以及电压测量值NV_i,k的每个百分位数的累积偏差。然后可以通过将电压测量值NV_i,k的均值的累积偏差和电压测量值NV_i,k的一个或多个百分位数的累积偏差相加以获得总和DC的值。

应该注意的是，根据所描述的解决方案的一个方面，在一些实施例中，测量值集合A_i可以包括通过使用样本的滑动窗口而获得的N组Z个测量值。对于每个消息标识符ID_i，由于包含Z个测量值的一个新组一旦形成，样本(即电压测量值NV_i,k)即被存储，所以N个组中最旧的组就被丢弃，而刚刚形成的组成为待处理的数据集(即测量值集合A_i)的一部分。因此，可以通过设置组成它的组数N和组成一个组的测量值数量Z来定义滑动窗口的特性。因此，通过使用滑动窗口，产生各自的廓形DC，它们在操作174中被加在一起。这使得该方法具有自适应性，即能够适应运行条件的变化，这些变化通常可以源自温度或源自对电压的影响。

存储每组测量值或滑动窗口的总和DC的值，其用于步骤171、172、173的迭代。因此，一般而言，随着后续迭代，存储了许多值DC，这些值遵循基本线性模式增加，其可以描述为：

Ψ[n]＝Γ[n]t[n]+e[n]

其中，n是迭代的索引，即在步骤172中CVD值的计算值，特别是在步骤173中的总和DC。

因此，基于Ψ[n]的值，可以在步骤174中计算作为时间函数的电压廓形VP。为了获得电压廓形VP，在步骤174中，基于在给定瞬间可获得的值DC，例如通过RLS(递归最小二乘法)算法执行拟合，作为时间t的函数。

因此，通过程序170，由同一个ECU 11发送的消息由以下直线束表示，这些直线具有基本相同的角系数m(即角系数在给定区间内或对应于给定值但有公差)以及相同的常数值或y-截距q(其表示指纹或签名)，该直线束被称为总电压廓形VP。

特别是，在每个步骤中使用自适应信号处理技术确定角系数m，该技术还能够计算线性参数识别问题的识别误差e[n]：

Ψ[n]＝Γ[n]t[n]+e[n]

其可以重写为直线方程：

y(x_k)＝mx_k+q

其中，x_k是与测得的第k个样本NV_i,k相关联的时间横坐标的值，这可能是采集集合A_i的最后一个样本的时间。

更具体地说，直线y(x_k)是基于以这种方式存储的值构建的：获取属于一个组的最后Z个样本，并且使用这Z个样本更新与第i个消息标识符ID_i相关联存储值，并且，Z个样本中的最后一个样本x_k被获取的时间(作为时间)与这个新存储的值相关联。获得通过拟合近似为一条直线的分布，从其中提取斜率m和常数值q。

因此x_k是与最后一个集合或一组Z个样本的形成相关的横坐标值。

在这点上，例如在图6A中示出了针对每个消息标识符ID的直线(即电压廓形VP)的构造。对于从8个ECU 11₁、...、11₈接收的每条消息M_i，表示了作为时间t的函数的累积电压偏差值的直线。可以看出，对应于ECU 11₁、...、11₈的每个束的直线的角系数位于不同的区间，这些区间通常没有共同的值。在图6B中，再次被表示为时间t的函数的是角系数m的图。图6A-6B的数据涉及的是，针对八个ECU的子网络和七十个不同消息标识符ID的通信量，在机动车辆上所执行的持续六十秒的采集。

如上所述，根据本文所述解决方案的一个重要方面，通过使用样本的滑动窗口(该滑动窗口包括给定数量的样本或非ACK显性电压测量值NV)及时更新ECU的指纹VP，但在每个瞬间t丢弃较旧的测量值，引入最近的非ACK显性电压测量值NV_i,k。这使得该方法具有自适应性，即能够适应运行条件的变化，这些变化通常可以源自温度或对电压的影响。

在每个测量瞬间的上述更新被用于后续检测步骤200和对攻击者的识别步骤300利用。特别地，在识别到攻击者(例如恶意节点)之后，跟踪攻击的来源本身，采取相应的措施。特别是，这样的措施可包括取证、隔离、安全补丁中的一项或多项。

图7中所示的是详细表示检测步骤200的框图。

在步骤210中，对于给定的ECU 11，使用滑动窗口对每Z个测量值NV获取角系数m的值。优选地，排除掉ni个初始测量值，以便不将初始瞬变考虑在内，该初始瞬变期间直线斜率之间的差异很大，后续具有误报风险。

在步骤220中，评估相对于在Z个测量值的间隔中获取的(特别是当前获取的)值，在步骤210中获取的角系数m的值的差是否超过固定的变化阈值ATH。特别地，每Z个测量值NV获取210一次角系数m的值，并且计算每Z个测量值NV所获取的角系数的值之间(特别是在前一个Z个测量值的间隔和随后的Z个测量值的间隔之间)的差。如果对于给定数量的Z个测量值NV_i,k的连续间隔，超过了上述变化阈值，则确定有攻击在进行。步骤220返回攻击发生的时间(即满足步骤210的条件的时间)，以及对应的消息标识符ID，其因此对应于受损消息。

由于在攻击开始之后，与直线的角系数或斜率m的变化相关联的电压廓形VP稳定在实际上正在发送被入侵的消息的被入侵的ECU 11的电压廓形上，因此在步骤230中，设想提供上述稳定时间k_st，其被计算为在Z个测量值NV的连续间隔上计算的两个斜率值m之间的差值超过变化阈值ATH时的最后瞬间。稳定时间k_st表示识别到被入侵的ECU的时间，并且在步骤230中还提供了所达到的新廓形(profile)VP*(即被入侵的ECU 11的电压廓形VP)，特别是其新斜率m*。

需要注意的是，在变体实施例中，可以使用直线的常数值q(而不使用斜率m)，即识别误差e[n]，在攻击正在进行的那一刻，其本身也有很大的变化。在这种情况下，可能需要更改可配置参数，例如下文所述的参数limsup、liminf、Z。

因此，一般而言，本文描述的方法设想，一旦获得表示电压廓形的直线，作为直线参数之一(斜率m或常数值(或y-截距)q)的函数，执行检测步骤200和随后的识别ECU 11的步骤300。

在检测步骤200结束时，因此可以前进到识别攻击者ECU 11的步骤300。将在稳定时间k_st的新电压廓形VP*的参数与截至该时刻计算的消息ID的所有其他廓形的参数进行比较，特别是对应于截至该时刻计算的相应消息标识符ID(其具体可以对应于稳定时间k_st)的所有其他廓形m_I的参数进行比较。优选地，从该分析中排除过去电压廓形VP的数量低于给定值(例如2Z)的消息标识符ID，以便不将那些尚未稳定的消息标识符ID考虑在内。

为此目的，正如示意性地表示步骤300的图8所示，首先设想在步骤310中针对每个消息标识符ID定义具有上限limsup和下限liminf的变化范围：

limsup＝m_i(k_st)+σ(m_i(k_st-k_past),m_i(k_st-k_past+1),...,m_i(k_st))

liminf＝m_i(k_st)-σ(m_i(k_st-k_past),m_i(k_st-k_past+1),...,m_i(k_st))

其中m_i是参数，具体来说，所考虑的第i个消息标识符ID的电压廓形的斜率，k_st是稳定时间(由其索引k表示，特别是对应于电压测量值NV_i,k，或样本)，k_past表示斜率的过去样本，并且σ是标准偏差。因此，示例中的上限limsup对应于在稳定时间k_st计算的第i个消息标识符的电压廓形的斜率m_i再加上根据在稳定时间k_st之前的k_past个样本计算的相同斜率m_i值的标准偏差。下限liminf对应于在稳定时间k_st的第i个消息标识符的电压廓形的斜率m_i再减去根据在稳定时间k_st之前的k_past个样本计算的相同斜率m_i值的标准偏差。

对于每个第i个标识符ID_i，在前面针对步骤171-174解释的时间和模式中，第i个廓形的R+1个连续值m_i，即，m_i(0)、m_i(1)、...、m_i(R)、m_i(R+1)被计算和收集。对每R个廓形的值m_i，检查一次廓形的值m_i相对于之前R个样本廓形的值的差。即，检查m_i(R)和m_i(0)之间的差的绝对值，然后检查m_i(2·R)和m_i(R+1)之间的差，即在样本长度R的下一个间隔上检查，以此类推。如果此差在若干次连续检查中超过阈值T，则宣布消息标识符ID_i受到攻击。

随后，预计该消息标识符ID_i的廓形m_i在变化后会稳定在新的值上，因此预计差|m_i(R·i)-m_i(R·(i-1))|将返回至低于阈值T。

稳定时间k_st被确定为对应于在其返回至低于阈值之前超过阈值T的廓形m_i的最后一个样本。

一旦稳定时间k_st是已知的，例如对应于样本S*R，则根据在S*R之前的最后R个样本廓形m_i，即，m_i(S*R-R),、m_i(S*R-R+1)、...,、m_i(S*R)计算标准偏差σ。然后，确定廓形值m_i周围的间隔，其由下式定义：

liminf＝m_i(S·R)-σ

limsup＝m_i(S·R)+σ

然后，在步骤320中，评估在检测步骤200中确定的攻击者的廓形m*落在与相应消息标识符ID相关联的哪个范围内。

如果经评估321得出，攻击者的廓形(在示例中为斜率m*)落在与消息标识符ID相关联的范围内(即在对应的上限limsup和对应的下限liminf之间)，则在随后的步骤324中，对应的ECU的名称被返回作为攻击者的名称，特别是连同相关联的邻近系数PC一起，邻近系数PC根据攻击者节点的斜率m*的标准偏差σ的值接近于确定的值的次数：

PC＝|m*(k_st)-m_i(k_st)|/σ(m_i(k_st-k_past),m_i(k_st-k_past+1),...,m_i(k_st))

即，邻近系数等于在稳定时间k_st计算的攻击者节点的斜率m*与第i个消息标识符的电压廓形的斜率m_i之间的差的绝对值，再除以根据在稳定时间k_st之前的k_past个样本计算的相同斜率m_i的值的标准偏差。

由于在步骤230中获得的攻击者的廓形m*可能落在一个以上的范围内，在这种情况下，在步骤322中，所有识别到的ECU的名称都与对应的邻近系数PC一起存储，并且显示警告信号。在随后的步骤325中，名称与最低邻近系数PC相关联的ECU被选定为攻击者ECU。

如果在步骤323中经评估得出，廓形m*不在任何范围内，则在步骤326中将攻击者识别为“外部”攻击者；即，攻击者ECU在车辆网络外部。

因此，所提出的方法通过滑动窗口继续更新每个消息标识符ID的廓形，即使标识符已被入侵。这样，如果对应的消息是由另一个(被攻击的)ECU发送的，则可能会注意到电压廓形的变化，而这种廓形的变化决定了攻击开始的瞬间。

上述行为在图9A和9B中清晰可见，图9A和图9B示出了类似于图6A和图6B的图，在通过网络外部装置进行伪装攻击的情况下，该网络外部装置在两个不同的时间发送ECU11₇和11₈的标识符ID五秒钟。在图6A中可以注意到，直线在针对上述两个ECU的攻击开始时如何大幅改变它们自身的斜率m，然后稳定在被攻击ECU的特性值上。该算法在这个精确的瞬间(即在稳定时间k_st)进行识别ECU。接下来，一旦攻击终止并且合法ECU恢复正常通信，廓形将返回其特性值。

图9B示出了斜率m，从中可以注意到两个ECU 11₇和11₈的斜率m在攻击发生的时刻如何得到一个相同的值，这正是因为对于这两个ECU来说攻击者装置都是相同的。

所描述的方法可以安装在标准ECU中，以便容易地集成到车辆网络中而无需对其进行修改。

图10是可能的实施架构的示意图。

除了图1中所示的块之外，ECU或节点11还包括特征提取块111，该特征提取块111在输入处通过数字数据接口DDI接收数字数据并通过物理接口PI从CAN总线10接收物理电平VL，并且被配置为用于计算后续处理操作所需的特征，即非显性测量值。

ECU 11还包括特征处理块112，该特征处理块112被配置为用于设置块111的一些参数(例如程序130的丢弃阈值)，以及用于计算电压廓形，以及识别恶意消息和对应的ECU。还提供了用于接收配置信息的配置接口CI。基本上，块112被配置为用于执行程序170、200、300，在输出处提供恶意消息M*_i的标识符和恶意节点CN的名称。

然后，设想警报块114，该警报块114可以是简单的开关，例如实施“与”逻辑功能，其由ECU 11的控制接口执行并由特征处理块112激活，并且该警报块114被配置为产生一个警告警报ALW，该警告警报ALW包括恶意消息的标识符和它所来自的ECU的名称CN，优选地，还有时间，例如稳定时间k_st。

块111和块112包括各自的RAM，该RAM用于保存它们所需的所有测量值。

因此，一般而言，本文描述的是节点11或ECU，该节点11或ECU包括：

特征提取块111，该特征提取块111被配置为获取130显性电压测量值NV_i,k；以及

特征处理块112，该特征处理块112被配置为获得170发送消息M的节点的电特性VP(特别是电压廓形VP)，并执行所述恶意节点检测程序200和所述恶意节点识别程序300，特别通过以下步骤获得170发送消息M的节点的电特性VP：

在接收节点处接收消息(M)期间，获取171总线高线10H和总线低线10L上的电压测量值VL的连续组，并计算其分布；

计算172分布统计值；

计算173每个统计值的累积电压偏差；以及

通过添加每个统计的累积电压偏差获得电压廓形VP。

节点11进一步包括警报块114，该警报块114由ECU 11的控制接口(例如微控制器14)执行，并由特征处理块112激活，并且被配置为产生警告警报ALW，该警告警报ALW包括恶意消息的标识符和它所来自的节点11的名称CN，以及优选地还包括时间，例如稳定时间k_st。

此外，ECU包括状态存储器113，其被配置为在每个步骤存储系统的状态，即电压廓形。该状态存储器113由特征处理块112更新(其中特征为电压廓形)，该特征处理块112在其中存储最近更新的电压廓形并且可以从其下载存储在其中的电压廓形。

此外，存在一个非易失性存储器(图10中未示出)，其中存储有上次车辆发动(点火)时计算的标识符ID和对应的电压廓形的映射，以便这些值能被视作下一次点火的起始点。这是因为该方法执行实时更新，以免具有会危及攻击者识别结果的过时配置文件。所考虑的模型始终是最新的模型。

因此，本文描述的防止网络攻击的方法基本上对应于，监视在执行异常检测操作(例如200)和执行发送节点识别操作(例如300)的网络节点之间交换的消息的程序。跟踪恶意消息的来源本身确实是一种防止程序，因为上述异常检测和恶意节点识别操作的输出本身可能已经被解释为警报或警示。此外，防止方法可以包括特定警报，如使用块114。对应于所识别的攻击，还可以使用其他形式的对抗攻击的措施，如上所述，这样的措施可以包括取证、隔离、安全补丁操作中的一个或多个。

因此，从上文的描述可以清楚地看出所提出的解决方案的优点。

本文介绍的解决方案使ECU指纹识别技术能够自主识别出攻击的存在，并简单地通过利用电压廓形的持续更新及其在攻击期间可见的变化来识别恶意消息来自哪个ECU。因此，与WO2018013171A1的现有技术相比，所提出的解决方案能够独立实施外部IDS(入侵检测系统)，因此更易于在嵌入式汽车系统上实施。

与设想使用底层IDS检测攻击的存在然后识别受攻击的ECU或基于机器学习技术对其进行分类的其他技术不同，本文介绍的算法设法以一种简单的方法做到这两件事情，并且在计算方面成本较低，并且对电压廓形进行连续和不断更新的监控。它同样设法返回检测到攻击的时间(对应于算法开始的时间，因此也是在发动车辆且攻击者ECU已被识别时)，这是对评估系统的性能和可靠性而言的有用信息。

攻击检测技术基于电压廓形的持续更新，无需进一步的IDS(入侵检测系统)即可确定攻击的存在，从而保证指纹识别过程的自主性。此外，除了恶意消息的标识符之外，它还返回对应的时间(对应于该方法的开始，因此对应于在攻击开始时发动车辆)。

攻击者识别技术能够通过利用CAN的每个ECU的唯一指纹知识，在短时间内确定攻击来自哪个ECU。得益于专用逻辑，它能够区分网络外部ECU或网络内部ECU受攻击的情况，在每种情况下都提供表明确定该特定ECU已受到攻击的置信度的邻近度测量值。

所提出的技术(攻击检测和攻击者识别的组合)无需知道测得的电压值所属的消息的字段。

所提出的技术(攻击检测和攻击者识别的组合)无需修改网络或包含它的系统中使用的协议。

所提出的技术(攻击检测和攻击者识别的组合)可以使用标准或扩展格式的CAN消息以及在CAN的任何通信速率进行操作。

所提出的技术(攻击检测和攻击者识别的组合)也可以应用于CAN协议之外的协议。

Claims

1.一种用于防止车辆的通信网络特别是CAN(控制器局域网络)中的网络攻击的方法，所述通信网络包括：

通信总线(10)，特别是CAN总线，所述通信总线(10)包括总线高线(10H)和总线低线(10L)，高逻辑电压通过总线高线(10H)，低逻辑电压通过总线低线(10L)；以及

多个节点(11)，其以信号交换关系关联到所述通信总线(10)并且至少部分地关联到用于控制车辆功能的控制单元，

所述节点(11)交换在多个所述节点(11)的节点之间传递的消息(M)以识别非法消息(MF)，所述消息(M)通过显性位和隐性位编码在数据帧中，

所述方法包括：

获取(130)显性电压测量值(NV_i,k)；以及

获得(170)发送消息(M)的节点的电特性(VP)，

然后，所述方法包括执行恶意节点检测程序(200)，其包括：

针对每个组提取(210)所述电压廓形(VP)的至少一个特性参数(m；q)；

将当前组的所述至少一个特性参数(m；q)与从前一组中提取的对应的特性参数进行比较(220)；以及

如果所述比较(220)的操作指示的是当前组的所述至少一个特性参数(m；q)与前一组的至少一个特性参数相差至少一个给定差值，则提供对应消息的标识符(ID)并计算至少一个特性参数在常数值上的稳定时间(k_st)，然后，所述方法包括执行发送节点识别程序(300)，其包括：

将在稳定时间(k_st)评估的所述至少一个特性参数(m；q)与截至所述稳定时间(k_st)所接收到的所有消息(m_i)的所有对应特性参数进行比较，所述识别程序(300)包括：

针对每个所接收到的所述消息(m_i)，定义(310)所述至少一个特性参数(m；q)相对于给定数量的先前样本(k_past)的变化范围(limsup,liminf)；以及

评估(320)至少一个所述特性参数(m；q)的值是否落入所述消息之一的所述变化范围内，如果是(321；322)，则将发送所述消息的节点识别(324；325)为恶意节点。

2.根据权利要求1所述的方法，其特征在于，如果对于给定的比较操作执行次数，当前组的所述至少一个特性参数(m；q)不同于前一组的至少一个特性参数(m；q)，则提供所述标识符(ID)并计算所述稳定时间(k_st)。

3.根据权利要求1或2所述的方法，其特征在于，所述方法包括计算至少一个特性参数(m；q)相对于所述消息的至少一个特性参数中的每一个的邻近系数(PC)，以及如果至少一个特性参数(m；q)的值落入多于一个所述消息的变化范围(limsup,liminf)，则将发送与邻近系数(PC)的最低值相关联的所述消息的节点识别(322)为恶意节点。

4.根据权利要求1所述的方法，其特征在于，如果被分析的消息的至少一个特性参数(m；q)的值不在任何所述消息的变化范围内(323)，则将外部节点识别(326)为恶意节点。

5.根据前述权利要求中任一项所述的方法，其特征在于，所述变化范围(limsup,liminf)的极值对应于：在所述稳定时间(k_st)评估的每个所接收到的所述消息的特性参数(m_i)的值，再加上或减去根据在所述稳定时间(k_st)之前的多个样品(k_past)所计算的相同参数的值的标准偏差值。

6.根据权利要求5所述的方法，其特征在于，所述邻近系数(PC)计算为：被识别为恶意的所述节点的特性参数(m*)与相应的消息的特性参数(m_i)之间的差除以所述标准偏差。

7.根据前述权利要求中任一项所述的方法，其特征在于，所述特性参数是表示所述电压廓形的直线的斜率(m)。

8.根据前述权利要求中任一项所述的方法，其特征在于，所述特性参数是表示所述电压廓形的直线的常数值(q)。

9.根据权利要求1所述的方法，其特征在于，通过以下步骤获得(170)发送消息(M)的节点的电特性(VP)：

在接收节点处接收消息(M)的期间，获取(171)所述总线高线(10H)和所述总线低线(10L)上的电压测量值(VL)的连续组(k)，并计算其分布；

对分布统计值进行计算(172)；

对每个统计值的累积电压偏差进行计算(173)；以及

通过添加每个统计的累积电压偏差获得电压廓形(VP)。

10.根据权利要求9所述的方法，其特征在于，所述连续组(k)通过电压测量值的滑动窗口形成，其中一个或多个较旧的电压测量值被相应的新电压测量值代替。

11.根据前述权利要求中任一项所述的方法，其特征在于，所述方法包括：

通过针对给定的消息(M_i)对在高线(10H)上的和低线(10L)上的电压(VL_i)进行测量(132)的步骤，获取(130)显性电压测量值(NV_i,k)；以及

过滤(134)所述电压测量值(VL_i)以通过下述步骤获得仅对应于所述消息的显性位的测量值(DV_i)：通过执行(136)消除对应于消息应答位的所述电压测量值(VL_i)，特别是通过分别为总线高线和总线低线设置用于隐性位的下阈值和上阈值以及分别用于消除应答位(ACK)的上阈值和下阈值，以获得消息(M_i)的非ACK显性电压测量值(NV_i,k)。

12.一种用于防止车辆的通信网络特别是CAN(控制器局域网络)中的网络攻击的装置，所述通信网络包括：

通信总线(10)，特别是CAN总线，所述通信总线(10)包括总线高线(10H)和总线低线(10L)，高逻辑电压通过所述总线高线路(10H)，低逻辑电压通过所述总线低线(10L)；以及

多个节点(11)，多个所述节点(11)以信号交换关系关联到所述通信总线(10)并且至少部分地关联到用于控制车辆功能的控制单元，

所述装置的特征在于其被配置为根据权利要求1至11中的一项或多项所述的方法进行操作。

13.根据权利要求12所述的防止装置，其特征在于，其包括节点(11)，所述节点(11)包括：

特征提取块(111)，所述特征提取块(111)被配置为获取(130)显性电压测量值(NV_i,k)；

特征处理块(112)，所述特征处理块(112)被配置为获得(170)发送消息(M)的节点的电特性(VP)，并执行恶意节点检测程序(200)和执行恶意节点识别程序(300)；以及

警报块(114)，所述警报块(114)由所述控制单元(11)的控制接口执行并由所述特征处理块(112)激活，并且所述警报块(114)被配置为产生警告警报(ALW)，所述警告警报(ALW)包括所述恶意信息的所述标识符和其所来自的所述节点(11)的名称(CN)，以及优选地还包括时间，例如所述稳定时间(k_st)。

14.根据权利要求13所述的防止装置，其特征在于，所述节点(11)包括状态存储器(113)，所述状态存储器(113)被配置为存储所述电压廓形(VP)，所述电压廓形(VP)由所述特征处理块(112)更新，所述特征处理块(112)在其中存储新的、更新的电压廓形(VP)并且能够从其下载存储在其中的电压廓形(VP)。

15.根据权利要求12所述的防止装置，其特征在于，所述控制单元包括非易失性存储器，其中存储有上次所述车辆发动(点火)时计算的消息标识符(ID)和对应的电压廓形(VP)的映射。