CN116471034A - 入侵检测技术 - Google Patents
入侵检测技术 Download PDFInfo
- Publication number
- CN116471034A CN116471034A CN202310079466.4A CN202310079466A CN116471034A CN 116471034 A CN116471034 A CN 116471034A CN 202310079466 A CN202310079466 A CN 202310079466A CN 116471034 A CN116471034 A CN 116471034A
- Authority
- CN
- China
- Prior art keywords
- message
- signature
- state
- messages
- stateful
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 55
- 230000006854 communication Effects 0.000 claims abstract description 84
- 238000004891 communication Methods 0.000 claims abstract description 82
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 68
- 238000000034 method Methods 0.000 claims abstract description 56
- 238000012544 monitoring process Methods 0.000 claims abstract description 9
- 230000001413 cellular effect Effects 0.000 claims description 24
- 238000012795 verification Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 230000000739 chaotic effect Effects 0.000 claims description 2
- 230000007704 transition Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 238000004364 calculation method Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000003245 working effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40241—Flexray
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的第一方面涉及一种用于在通信系统中进行入侵检测的方法。该方法包括监视通信系统的通信信道,经由所述通信信道传输消息;观察具有预定类型的消息签名的消息;以及为每个观察到的预定类型的消息签名确定校验签名。所述确定包括读出有状态算法的当前状态,所述有状态算法被设计为以预定顺序遍历多个离散状态,以及基于读出的当前状态确定所述校验签名。该方法还包括将观察到的消息签名与对应的校验签名进行比较,并且如果对于预定数量的观察到的消息而言相应的消息签名与相应的校验签名不一致,则确定入侵的可能性。
Description
背景技术
在许多技术上下文中,系统及其组件以越来越强的程度联网。例如,当今的机动车辆具有许多网络接口,以例如与其他车辆、后端系统或移动设备进行通信。这种不断增加的联网为入侵系统提供了机会。为了保护系统,采用入侵检测技术。
各种入侵检测技术基于对受监视系统或其组件的属性或行为的了解。例如,以组件消息中的电压波动形式存在的签名可以允许推断出发送该消息的组件。通过这种方式,可以追踪到带有陌生签名的消息。类似地,关于系统或其组件的其他属性或行为的知识可以有助于评估特定消息或多个消息实际上是由所述系统或组件产生的还是由入侵者产生的。然而,在某些状况下,可能难以获得关于所述系统或所述组件的知识。从而用于入侵检测的组件可能来自与车辆(或其他系统)中的其他组件不同的制造商。在这种状况下,出于技术或经营方针的原因,所述其他组件的内部工作可能对用于入侵检测的组件而言不可见。
一些入侵检测技术中的另一困难在于对执行入侵检测技术的系统资源存在相对较高的要求。这可能使一些入侵检测技术的使用变得困难,特别是在强烈限制资源和/或时间敏感的环境中(例如,在嵌入式系统的网络中,例如在车辆中)。
发明内容
本公开的第一一般方面涉及一种用于在通信系统中进行入侵检测的方法。该方法包括监视通信系统的通信信道,经由所述通信信道传输消息;观察具有预定类型的消息签名的消息;以及为每个观察到的预定类型的消息签名确定校验签名。所述确定包括读出有状态算法的当前状态,所述有状态算法被设计为以预定顺序遍历多个离散状态,以及基于读出的当前状态确定所述校验签名。该方法还包括将观察到的消息签名与对应的校验签名进行比较,并且如果对于预定数量的观察到的消息而言相应的消息签名与相应的校验签名不一致,则确定入侵的可能性。
本公开的第二一般方面涉及一种用于入侵检测的设备,所述设备被设计为执行根据本公开的第一一般方面的步骤。
本公开的第三一般方面涉及一种系统,所述系统包括根据本公开的第二一般方面的用于入侵检测的设备、通信信道和消息的一个或多个发送方。
根据第一至第三一般方面的技术在某些状况下可以产生以下一个或多个优点:
首先,可以在关于连接到所述通信系统的系统或组件的属性和/或行为的知识较少的情况下执行本公开的技术(在一些情况下,基本上没有关于所述系统或组件的属性和/或行为的知识)。基于有状态算法的签名首先由发送方确定(确定为消息签名)并嵌入到所述消息中。为了检测,组件可以使用相同的有状态算法(即其副本)来计算校验签名。两个有状态算法的状态在此是同步的。如果所述消息签名和所述校验签名不一致,则可能表明是由入侵者发送的消息。在该方法中,关于发送方的进一步知识不是绝对必要的。此外,即使了解有状态算法的(当前)状态,入侵者也无法以足够的概率(多次)猜对有效签名来欺骗识别技术。
其次,在一些情况下,可以相对有效地计算基于有状态算法的签名。例如,有状态算法可以是以伪随机方式改变其状态的元胞自动机(即状态序列近似地没有长程模式——具有这些属性的其他算法将在下面描述)。如果初始状态已知,则可以相对简单地计算出下一个状态(“当前状态”)。相对简单的可计算性在各个方面都是有利的。一方面,可以在具有有限资源的环境中(例如在资源有限的嵌入式系统上)执行有状态算法。一些其他技术由于其资源要求不太适合这样的环境。例如,一些已知的入侵识别技术采用通信系统组件的意外或预期行为的“黑名单”或“白名单”。在复杂的系统中,存储和评估这些名单可能非常费事。另一方面,有状态算法基本上可以在经由通信通道的通信过程的运行时执行,以计算消息签名和校验签名。
另一方面,可能难以基于观察到的签名来猜对下一个签名,因为状态会(伪)随机改变。因此,入侵者很难猜对大量有效签名。
一些术语在本公开中以下列方式使用:
“通信系统”可以是组件可以通过其传输数据的任何设备。所述传输的起点称为“发送方”,目标点称为“接收方”(发送方可以是其他时间点的接收方,反之亦然)。通信系统可以是无线的或有线的。在一些示例中,可以借助于所述通信系统进行通信的多个组件连接到所述通信系统。所述通信系统可以是总线系统(例如CAN总线系统、以太网总线系统;FlexRay总线系统或其他总线系统)。在其他示例中,所述通信系统可以采用基于分组的传输协议(例如,IP协议)。
“通信信道”是所述通信系统在其上发送数据的任何传输路径(例如上一段中描述的通信系统)。通信信道的物理设计取决于相应的通信系统。
“消息”是通过所述通信信道从发送方发送到一个或多个接收方的具有特定长度的独立信息单元。消息可以包含地址数据、控制信息和/或用户数据。消息的格式取决于由所述通信系统使用的通信协议。特定通信协议(例如以太网或CAN)的帧(例如数据帧)是示例消息。消息可以包含数字信息(例如由多个比特组成)。然而,在其他情况下,消息也可以包含模拟信息。消息可以在通信信道上以多个分开的部分传输。
“算法”是预定的计算规则。算法可以以任何软件和/或硬件形式实现。如果一个算法可以采取大量状态,在这些状态之间存在定义的转换,则该算法是有状态的。该算法在任何时候都采取定义的状态。因此,该算法只能沿着定义的状态转换遍历大量状态。因此,算法的下一个状态取决于一个或多个先前状态。
“签名”是字符序列。在一些示例中,签名是比特序列(这些比特是借助于有状态算法产生的)。
“车辆”是任何用于运输人员和/或货物的设备。车辆可以是机动车辆(例如至少部分自主驾驶的车辆),也可以是轨道车辆、飞机、航天器和/或漂浮或潜水的车辆。
“嵌入式系统”是集成(嵌入)在技术上下文中的电子(计算)设备或计算机。在此,该设备承担监视功能、控制能够或调节功能或数据或信号处理功能(例如加密或解密、编码或解码或过滤)。嵌入式系统可以是仅执行一项特定的监视功能、控制功能或调节功能或数据或信号处理功能的专用电子控制设备(例如发动机控制设备)。在其他情况下,嵌入式系统可以执行多个监视功能、控制功能或调节功能或数据或信号处理功能(例如车载计算机)。在其他示例中,嵌入式系统可以是通信接口或中央网络节点。在一些情况下,嵌入式系统包括一个或多个自己的处理器、存储器以及一个或多个通信接口。嵌入式系统的软件可以至少部分地作为固件存储在其存储器中。嵌入式系统可以在微控制器中实现。
附图说明
图1是本公开的方法的流程图。
图2示意性地示出了本公开的系统。
图3示意性地图示了本公开的有状态算法的状态和状态转换。
具体实施方式
首先基于图1和图2描述本公开的用于在通信系统中进行入侵检测的技术。然后参考图3更详细地解释本公开的有状态算法的方面。在下文中,优选地基于车辆的通信系统来解释本公开的技术。然而,本公开的技术不限于这种应用领域。下面进一步讨论本公开技术的进一步的示例性应用领域。
图1是本公开的方法的流程图。中间一栏示出了通过用于入侵检测的设备执行的示例性步骤。左栏中是可以通过消息的发送方执行的步骤。右侧示出了一个可以由另外的组件执行的步骤。图2示意性地示出了其中可以采用本公开的技术的系统10。
用于在通信系统12中进行入侵检测的方法包括监视101通信系统12的通信信道14,消息32、34经由该通信信道14传输。
例如,系统10可以是车辆或包括车辆的系统。在一个示例中,通信系统12包括车辆的内部通信系统(例如,总线系统)。多个组件22、24、26、28可以连接到通信系统12以经由通信信道14进行通信。在图2的示例中,存在第一发送方22、第二发送方24和一个或多个另外的发送方28。这些发送方22、24、28中的每一个都可以经由通信信道14发送消息(并且可选地接收消息)。这些发送方可以分别是系统10的特定组件(或布置在系统10的组件中)。在一些示例中,可能有多于十个或多于五十个的组件连接到通信信道14(并且对应地充当发送方)。组件可以是嵌入式系统,例如车辆。
系统10还包括至少一个用于入侵检测的设备26,其被设计为执行入侵检测技术(以及可选地用于在确定了入侵的可能性之后执行措施的技术)。用于入侵检测的设备26可以以任何合适的形式实现为软件模块和/或硬件模块(例如,作为用于入侵检测的专用设备26或作为上级系统的一部分)。在一些示例中,用于入侵检测的设备26可以是嵌入式系统(或包含在嵌入式系统中)。在一些示例中,系统10可以包括多个用于入侵检测的设备26(其中例如系统10的不同组件、系统10的不同组件组或系统10的不同区域分别由用于入侵检测的设备26监视)。
本公开的方法还包括观察103具有预定类型的消息签名42、44的消息32、34。观察103可以借助于合适的接口36来完成,该接口被设计为监视通信信道14上的消息32、34。取决于通信系统12的类型,用于入侵检测的设备26可以具有为此所需的配置(例如收发器/接收器和/或用于监视总线系统上的消息的控制器)。在一些示例中,用于入侵检测的设备26可以检查在通信信道14上发送的所有消息是否具有预定类型的消息签名42、44。为此,例如用于入侵检测的设备26可以读出和/或处理每个消息32、34的预定部分以确定消息签名42、44的存在。在其他示例中,用于入侵检测的设备26可以仅观察特定的消息(例如,仅观察连接到所述通信信道的一个或多个发送方的消息或具有特定消息标识符的消息)。在一些示例中,用于入侵检测的设备26可以为此使用关于在消息中嵌入消息签名42、44的类型的信息。用于入侵检测的设备26还可以提取消息签名42、44用于入侵检测技术的进一步步骤。
该方法还包括为每个观察到的预定类型的消息签名42、44确定105校验签名40。确定105包括读出有状态算法56的当前状态,其中有状态算法56被设计为以预定顺序遍历多个离散状态,以及基于读出的当前状态确定校验签名40。换句话说,有状态算法56可以采取大量状态中的任何一种。以确定性方式按照预定顺序遍历所述大量状态。也就是说,有状态算法56定义了大量转换,每个转换都是从恰好第一状态到恰好第二状态。在任何时候,有状态算法56都处于一个特定状态(上面的“当前状态”)中。现在可以进行计算,以将有状态算法56置于下一个状态。在下一个步骤中,可以将有状态算法置于下一个状态中,以此类推。有状态算法的方面在下面参考图3更详细地讨论。在任何情况下,都可以从(当前)状态以明确的方式确定校验签名40。该步骤的进一步方面也将在下面参考图3进行讨论。有状态算法56也可以称为状态机。
消息签名42、44可以借助于用于计算校验签名40的相同的有状态算法52、54产生(即,有状态算法56的副本,该副本的状态与用于入侵检测的设备26的有状态算法56的状态同步地改变)。替代地或附加地,可以借助于与校验签名40相同的计算规则来计算消息签名42、44。通过这种方式,发送方22、24、28和用于入侵检测的设备26可以计算对应的消息签名42、44和校验签名40。该同步使得可以通过校验签名40来验证消息签名42、44。另一方面,没有必要使用关于发送方22、24、28的进一步知识。
该方法还包括将观察到的消息签名42、44与对应的校验签名40进行比较107(即,分别将消息签名与校验签名进行比较)。在一些示例中,该比较可以包括消息签名42、44与对应校验签名40的逐比特比较。如果这些签名相同(例如,两个签名的所有比特都一致),则可以将它们识别为一致。在其他示例中,如果这些签名至多以预定方式彼此偏离,则可以将它们识别为一致。因此,如果没有识别出如上所述的一致,则得出不一致。
如果对于预定数量的观察到的消息32、34而言相应的消息签名42、44与相应的校验签名40不一致,则该方法包括确定109入侵的可能性。如果(或只要)没有达到所述预定数量,则可以不进行反应或者可以输出状态信息,该状态信息表明用于入侵检测的设备26还没有确定异常。
在一些情况下,所述预定数量可以是观察到的消息32、34的绝对数量(例如,多于10个、多于50个、多于100个、多于10000个或多于100000个消息)。在一些示例中,所述预定数量也可以是一,即,即使在观察到一个消息的相应消息签名42、44与相应校验签名40不一致的情况下,也识别出入侵的可能性。然而,在其他示例中可能有利的是,在识别出多个不一致的签名之后才确定入侵的可能性。通过这种方式,可以防止该技术对签名因各种影响而受损的个别消息反应过于敏感。
在其他示例中,所述预定数量可以是相对数量,即,所有观察到的消息或消息签名42、44与对应的校验签名40不一致的所有消息的比例(例如观察到的消息的5%或更少或观察到的消息的1%或更少)。
可以分别在预定时间段内确定观察到的消息32、34的数量。在其他示例中,观察到的消息32、34的数量可以通过特定数量的在通信信道上发送的消息(例如通过1000个或更多传送的消息)来确定。
在一些示例中,并非所有经由通信系统12的通信信道14发送的消息32、34都具有预定类型的消息签名42、44(例如,少于每隔一个消息或少于每隔九个消息)。在其他示例中,经由通信系统12的通信信道14发送的所有消息32、34可以具有预定类型的消息签名42、44。在一些示例中,只有来自特定发送方22、24、28的消息可以设有预定类型的消息签名42、44。例如,特定发送方22、24、28可以对应于系统10的特定组件和/或特定组件组和/或特定子系统。系统10的特定组件和/或特定组件组和/或特定子系统例如可以是特别安全相关的组件或子系统。在这些示例中,用于入侵检测的设备26可以首先检查消息32、34的发送方22、24、28的身份(例如CAN-ID或IP地址)。只有当发送方22、24、28是其消息配备有消息签名的发送方时,用于入侵检测的设备26才可以执行验证方法的进一步步骤。替代地或附加地,可以仅向发送方22、24、28的消息32、34的特定部分设置消息签名42、44。
消息签名42、44可以以任何方式嵌入到消息32、34中。在一些示例中,消息签名32、34可以作为纯文本包含在消息中。然而,这并不意味着消息32、34不能被加密或以其他方式不可访问。它只是说消息签名32、34没有被独立伪装。例如,消息签名32、34可以作为纯文本附加到消息或作为纯文本引入消息32、34的一个或多个预定位置中(例如,在一个或多个预定字段中)。
在其他示例中,消息签名42、44可以使用隐写术方法或作为水印嵌入到消息32、34中。在这些示例中,消息签名42、44可以隐藏在消息32、34的数据(例如,有用数据和/或元数据)中。通过这种方式,可以使入侵者更难跟踪(和分析)消息32、34中的消息签名42、44。
图1还示出发送方22、24、28可以执行的步骤。在一些示例中,该方法包括为一个或多个消息32、34确定111消息签名42、44(即,可以为每个消息32、34确定消息签名42、44)。该确定包括读出相应发送方22、24、28的有状态算法52、54的当前状态,其中所述有状态算法被设计为以预定顺序遍历多个离散状态,以及基于读出的当前状态确定消息签名42、44。
发送方22、24、28的有状态算法52、54可以与用于入侵检测的设备26的有状态算法56相同(即,有状态算法56的副本)。同样,消息签名42、44的计算步骤可以与校验签名40的对应计算步骤相同。因此,一般性地或与校验签名有关地针对有状态算法和本公开的签名计算描述的所有技术也可以用于消息签名42、44的计算。
该方法还包括在相应的消息32、34中嵌入113消息签名42、44并且经由通信系统12的通信信道14发送115一个或多个消息32、34。
在一些示例中,每个消息签名42、44和/或校验签名40的计算可以在对应消息32、34的通信过程的运行时执行。例如,第一发送方22可能将要发送特定消息32(例如,在发送特定消息32之前不超过五秒)。然后该发送方可以计算消息签名40,将计算出的消息签名40嵌入到所述消息中,并发送消息40。用于入侵检测的设备26可以观察消息32并且同样在运行时计算校验签名40和执行比较(例如,在用于入侵检测的设备26观察到消息32之后不超过五秒)。在其他示例中,用于入侵检测的设备26可以观察一个或多个消息32、34并且在稍后的时间点(例如,在用于入侵检测的设备26观察到消息32之后超过5分钟)执行计算校验签名40的步骤。如所描述的,本公开的技术在一些情况下可以是资源高效的,从而允许在运行时执行(特别是在诸如一些嵌入式系统的资源有限的系统上)。在一些示例中,在运行时执行使得可以快速采取措施,这例如在安全关键的环境中可能是重要的。
在一些示例中,该方法包括在开始监视通信系统12的通信信道14之前将有状态算法56的状态初始化为初始状态。例如,初始化有状态算法的状态可以包括将有状态算法56的状态与来自消息32、34的一个或多个发送方22、24、28的有状态算法的对应状态同步。在一些示例中,该同步可以包括接收和/或发送针对初始状态的状态信息。在一些示例中,可以借助于一种或多种加密方法来加密所述状态信息。在一些示例中,一个或多个发送方22、24、28和用于入侵检测的设备26可以使用任何合适的过程就相应有状态算法52、54、56的初始状态达成一致。例如,可以借助于共同秘密(例如密钥)对初始状态进行加密并分发给对应的发送方22、24、28和用于入侵检测的设备26(例如,在系统10启动时)。在任何情况下,在初始化所使用的有状态算法52、54、56之后,发送方和用于入侵检测的(一个或多个)设备可以具有处于相同状态的有状态算法52、54、56。此外,发送方和用于入侵检测的(一个或多个)设备的有状态算法52、54、56的状态也可以随后同步改变并因此一致(例如,随着经由通信信道发送的每个消息,随着携带消息签名的每个消息,或随着每次检测到其消息签名与对应的校验签名一致的消息)。由此,然后参与者(发送方和用于入侵检测的设备)可以产生一致的消息或校验签名。
如果确定了入侵的可能性,则可以执行以下一个或多个步骤。用于入侵检测的设备26例如可以产生关于确定入侵的可能性的通知,然后可以在内部或由外部组件处理该通知。
在一些示例中,该方法可以包括在确定入侵的可能性(通过用于入侵检测的设备26或其他组件)之后启动117(和执行)一个或多个措施。例如,所述措施可以包括两个或更多个不同措施。当观察到的消息的预定数量满足第一标准但不满足第二标准时,可以启动两个或更多个不同措施中的第一措施。当观察到的消息的预定数量满足第二标准时,可以启动两个或更多个不同措施中的第二措施。第一标准可以是超过消息的所述数量的第一阈值。第二标准可以是超过消息的所述数量的第二阈值,其中第二阈值高于第一阈值。例如,可以定义第一参数,所述第一参数将观察到的签名不一致的消息相对于观察到的消息或所有消息的总数的相对数量设定为第一阈值。如果观察到的签名不一致的消息的相对数量大于第一阈值,则满足第一标准。第二参数可以定义在超过第一阈值之后观察到的消息的绝对数量。由此可以定义第二标准。替代地,第二阈值同样可以被设定为观察到的签名不一致的消息相对于观察到的消息或所有消息的总数的相对数量(该相对数量高于第一阈值的相对数量)。可以根据入侵检测的相应目标(例如,更高的检测概率或更低的误报概率)来设定第一和第二参数。
在一些示例中,所述措施可以包括产生确定了入侵的可能性的日志条目。例如,当数量满足上述第一标准但不满足第二标准时,可以采取该措施。例如,不一致的签名的数量没有大到足以启动可能极端的(反)措施。尽管如此,通过产生日志条目,可以记录观察到的具有不一致签名的消息。以这种方式,该信息可以例如用于在分析步骤中确定出现不一致签名的原因。
附加或替代地,这些措施可以包括将包含通信系统10或连接到通信系统10的系统10或所述系统的组件22、24、28置于预定状态。该预定状态可以是安全状态(根据预定的安全标准定义)。例如,所述安全状态可以包括关闭系统10或其组件。替代地或附加地,所述安全状态可以包括将系统10或其组件置于其他运行模式(例如,减少系统10或组件的功能范围)。在车辆的示例中,例如可以关闭自主功能并且可以将控制权移交给驾驶员。在一些示例中,所述其他运行模式可以允许系统(例如,车辆)从特定的运行状况(例如快速驾驶)转换为其他运行状况(停在安全的地方)。将系统10或系统的组件22、24、28置于预定状态的措施在一些示例中可以在满足上面定义的第二标准(例如,超过消息数量的第二阈值)时进行。
附加地或替换地,这些措施可以包括启动用于防止入侵的一个或多个反措施。例如,可以定位入侵源(例如,受损组件)并隔离和/或关闭入侵源。附加地或替代地,被评估为无效的消息(即消息签名与校验签名不一致)可以被无效(例如通过覆盖该消息的一个或多个比特)。
在下文中,将更详细地讨论有状态算法的各个方面和签名的计算。图3示意性地图示了本公开的有状态算法的状态和状态转换。
在一些示例中,有状态算法可以被设计为使得其状态以及因此校验签名以伪随机和/或混沌方式改变。换句话说,有状态算法的状态虽然按照预定规则变化,但不是以可识别的模式(例如,模式在很短的时间后分解或状态顺序仅在极长的循环后重复)。因此,入侵者无法从观察到的签名中可靠地猜对接下来的签名。
在一些示例中,有状态算法可以是元胞自动机(例如,规则30元胞自动机、一维元胞自动机)。在一些示例中,元胞自动机可以至少由元胞空间(元胞的空间)、元胞状态集(也称为状态)和(局部)传递函数来定义。元胞空间具有特定的维度(例如一维或二维,但也可以是更高维的)。元胞自动机的外观可以由全局配置确定,所述全局配置是从元胞空间(元胞的空间)到元胞状态集的映射。向自动机的每个元胞分配状态值。元胞从一个单元状态(局部配置)到下一个元胞状态的转换由状态转换规则定义,这些状态转换规则是确定性的。元胞状态转换对所有单元按照相同的传递函数同时进行。与时间步长一样,元胞状态可以是离散的。在一些示例中,状态值可以是二进制的(即,元胞可以采取两个状态值之一)。在其他示例中,状态值也可以具有多于两个值。根据本公开的元胞自动机的状态对应于元胞状态集或从元胞状态集中导出(例如,有序列出元胞的状态值的有序列表-{元胞1的状态值;元胞2的状态值;等等})。例如,具有两个状态值的元胞自动机的元胞状态集可以转换为二元向量。该向量可以用作本公开的技术中的签名。下面讨论将元胞自动机的状态集转换为签名的另外的可能性。
图3图解了元胞自动机的状态和转换。在这种情况下,元胞空间是二维的。每个元胞可以采取两个状态值(“黑色”或“白色”)。元胞自动机首先处于第一状态S1(即元胞的元胞状态集)。根据预定的状态转换规则,每个元胞的元胞状态现在转换为下一个元胞状态。元胞自动机因此采取第二状态S2。在重新应用状态转换规则后,元胞自动机呈现第三状态S3。
元胞自动机的每个状态都可以转换为(二进制值的)签名。这可以以不同的方式发生。在一些示例中,可以向每个元胞状态值或元胞状态集分配数值,并且因此可以形成签名。替代地,可以为元胞自动机的所有元胞状态值计算汉明权重并形成签名。在一些示例中,可以进一步处理所述数值或汉明权重(例如,通过计算哈希值)。在其他示例中,可以仅选择单元状态值的选集,或者选择描述元胞状态集的数值的部位选集(例如,特定数量的最低有效比特),以确定签名。在其他示例中,汉明权重的部位选集可以形成签名(例如,特定数量的最低有效比特)。在其他示例中,可以用逻辑运算(例如,异或运算)来处理选择的元胞状态值或描述元胞状态集的数值的部位,以确定签名。通常,消息签名或校验签名可以对应于有状态算法的当前状态或从所述当前状态中产生。
作为元胞自动机的替代,有状态算法可以是线性反馈移位寄存器或多输入移位寄存器(它们可以用硬件或用软件实现)。同样在这些示例中,这些算法的状态可以转换为签名(例如,比特序列)。在一些示例中,线性反馈移位寄存器或多输入移位寄存器的本原多项式可以在特定时间点(例如,定期地)改变。如上所述,本原多项式可以加密地在发送方和用于入侵检测的设备之间共享(附加于初始状态的状态信息)。这可以使入侵者更难从观察到的签名中确定本原多项式(这在一些情况下理论上是可能的)。
在进一步的示例中,有状态算法可以是用于产生签名的块加密方法。例如,可以对初始数据——也称为块(初始状态)——加密以形成当前状态(在其基础上确定签名)。然后可以重新对新的当前状态加密以形成新的当前状态,等等。同样,在此当前签名取决于当前状态,但也取决于先前的状态。例如,块加密方法可以包括在密码块链接(CBC)运行模式(即,数据或块在被加密之前与先前的密文块进行异或)中的密码块密码或者或计数器(CTR)运行模式(即,用块的数字对数据加密,然后将该数据与块进行异或)。
如上所述,有状态算法可以从一个状态逐步地转换到下一个状态。在一些示例中,有状态算法的状态可以随着经由通信系统的通信信道发送的每个消息而改变。替代地,状态可以随着具有预定类型的消息签名的每个消息而改变。在其他示例中,状态可以随着具有已被确定为有效的预定类型的消息签名(即,消息签名和校验签名一致)的每个消息而改变。
在下文中将解释其中可以使用本公开的技术的环境方面。通常,本公开的技术可以在任何通信系统中用于入侵者检测(除非具体通信系统的细节排除了本公开技术的应用)。
在一些示例中,所述通信系统是总线系统(例如,以太网总线系统、CAN总线系统、FlexRay总线系统或其他总线系统)。
在一些示例中,所述通信系统可以连接到车辆的组件或者可以包含在所述车辆中。
在其他示例中,所述通信系统可以连接到机器(例如,用于制造、包装、运输和/或检查产品的机器)或工业设施(例如,用于制造、包装、运输和/或检查产品的设施)的组件或包含在所述机器或所述工业设施中。
在其他示例中,所述通信系统可以连接到机器人(例如,工业机器人)的组件或者可以包含在所述机器人中。
在其他示例中,所述通信系统可以连接到建筑物控制系统的组件或者可以包含在所述建筑物控制系统中。
在这些示例中并且一般而言,所述通信信道可以连接到被设计为经由通信信道发送消息的一个或多个嵌入式系统(例如,控制设备)。
本公开还涉及一种包括指令的计算机程序,所述指令用于执行本公开的技术的方法。
本公开还涉及包含根据本公开的计算机程序的计算机可读介质(例如,闪存)或信号(例如,无线或有线信号)。
Claims (16)
1.一种用于在通信系统(12)中进行入侵检测的方法,包括:
监视(101)所述通信系统(12)的通信信道(14),经由所述通信信道传输消息(32;34);
观察(103)具有预定类型的消息签名(42;44)的消息(32;34);
为每个观察到的预定类型的消息签名(42;44)确定校验签名(40),
其中所述确定包括:
读出有状态算法(56)的当前状态(S1;S2;S3),所述有状态算法被设计为以预定顺序遍历多个离散状态(S1、S2、S3),以及
基于读出的当前状态(S1;S2;S3)确定所述校验签名(40);
将观察到的消息签名(42;44)与对应的校验签名(40)进行比较(107);以及
如果对于预定数量的观察到的消息(32;34)而言相应的消息签名(42;44)与相应的校验签名(40)不一致,则确定(109)入侵的可能性。
2.根据权利要求1所述的方法,其中所述有状态算法(56)被设计为使得其状态(S1;S2;S3)以及因此所述校验签名(40)以伪随机和/或混沌方式改变。
3.根据权利要求2所述的方法,其中所述有状态算法(56)是元胞自动机、线性反馈移位寄存器、多输入移位寄存器或块加密方法。
4.根据前述权利要求1至3中任一项所述的方法,其中所述有状态算法(56)的状态(S1;S2;S3)在经由所述通信信道(14)的通信期间连续改变,可选地随着具有与对应的校验签名(40)一致的预定类型的消息签名(42;44)的每个消息(32;34)而改变。
5.根据前述权利要求1至4中任一项所述的方法,其中所述校验签名(40)对应于所述有状态算法(56)的当前状态(S1;S2;S3)或者从所述当前状态中产生,可选地通过选择表征所述当前状态(S1;S2;S3)的数值的部位来产生。
6.根据前述权利要求1至5中任一项所述的方法,其中使用隐写术方法或作为水印将所述消息签名(42;44)嵌入到所述消息(32;34)中。
7.根据前述权利要求1至6中任一项所述的方法,其中借助于用于计算所述校验签名(40)的相同有状态算法(52;54)产生所述消息签名(42;44)。
8.根据前述权利要求中任一项所述的方法,还包括:
在开始监视所述通信系统(12)的通信信道(14)之前将所述有状态算法(56)的状态初始化为初始状态,
其中初始化所述有状态算法(56)的状态包括将所述有状态算法(56)的状态与来自所述消息(32;34)的一个或多个发送方(22;24;28)的有状态算法(52;54)的对应状态同步。
9.根据前述权利要求中任一项所述的方法,还包括:
在确定入侵的可能性之后启动(117)一个或多个措施,其中所述措施包括两个或更多个不同措施,
其中当观察到的消息(32;34)的预定数量满足第一标准时,启动所述两个或更多个不同措施中的第一措施,以及
当观察到的消息(32;34)的预定数量满足第二标准时,启动所述两个或更多个不同措施中的第二措施。
10.根据权利要求9所述的方法,其中所述第一标准是超过消息的所述数量的第一阈值,以及其中所述第二标准是超过消息的所述数量的第二阈值,其中所述第二阈值高于所述第一阈值。
11.根据前述权利要求中任一项所述的方法,其中所述措施包括以下一个或多个:
产生确定了入侵的可能性的日志条目,
将包含所述通信系统(12)或连接到所述通信系统(12)的系统或系统的组件置于预定状态,可选地其中所述预定状态是安全状态;以及
启动用于防止入侵的一个或多个反措施。
12.根据前述权利要求中任一项所述的方法,还包括:
为一个或多个消息(32;34)确定(111)消息签名(42;44),
其中所述确定包括:
读出相应发送方(22;24;28)的有状态算法(52;54)的当前状态(S1;S2;S3),所述有状态算法被设计为以预定顺序遍历多个离散状态(S1;S2;S3),以及
基于读出的当前状态(S1;S2;S3)确定所述消息签名(42;44);
在相应的消息(32、34)中嵌入(113)所述消息签名(42、44);以及
经由所述通信系统(12)的通信信道(14)发送(115)所述一个或多个消息(32;34)。
13.一种用于入侵检测的设备(26),所述设备被设计为执行根据权利要求1至12中任一项的步骤。
14.一种系统(10),包含根据权利要求13所述的用于入侵检测的设备(26)、所述通信信道(14)和消息(32;34)的一个或多个发送方(22;24;28),所述发送方被设计为执行根据权利要求1至12中任一项所述的方法。
15.一种计算机程序,包含用于执行根据权利要求1至12中任一项所述的方法的指令。
16.一种计算机可读介质或信号,包含根据权利要求15所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102022200543.0 | 2022-01-18 | ||
| DE102022200543.0A DE102022200543A1 (de) | 2022-01-18 | 2022-01-18 | Techniken zur eindringens-detektion |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116471034A true CN116471034A (zh) | 2023-07-21 |
Family
ID=86990488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310079466.4A Pending CN116471034A (zh) | 2022-01-18 | 2023-01-17 | 入侵检测技术 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN116471034A (zh) |
| DE (1) | DE102022200543A1 (zh) |
-
2022
- 2022-01-18 DE DE102022200543.0A patent/DE102022200543A1/de active Pending
-
2023
- 2023-01-17 CN CN202310079466.4A patent/CN116471034A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| DE102022200543A1 (de) | 2023-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11063970B2 (en) | Attack detection method, attack detection device and bus system for a motor vehicle | |
| Choi et al. | VoltageIDS: Low-level communication characteristics for automotive intrusion detection system | |
| EP3264718B1 (en) | System and method for detection and prevention of attacks on in-vehicle networks | |
| Jo et al. | Mauth-can: Masquerade-attack-proof authentication for in-vehicle networks | |
| Ying et al. | TACAN: Transmitter authentication through covert channels in controller area networks | |
| CN110505193B (zh) | 车辆抗随机数滥用认证加密 | |
| US20140301550A1 (en) | Method for recognizing a manipulation of a sensor and/or sensor data of the sensor | |
| Ghaeini et al. | {PAtt}: Physics-based Attestation of Control Systems | |
| CN109417466B (zh) | 机密密钥估算方法与装置 | |
| CN107038391B (zh) | 用于通过嵌入式系统保护数据完整性的方法和设备 | |
| KR100546375B1 (ko) | 자체 오류 감지 기능을 강화한 상호 의존적 병렬 연산방식의 하드웨어 암호화 장치 및 그 하드웨어 암호화 방법 | |
| US11848942B2 (en) | Method for detecting intrusion in distributed field bus of a network and system thereof | |
| US10972441B2 (en) | In-place authentication scheme for securing intra-vehicle communication | |
| Francia et al. | Applied machine learning to vehicle security | |
| CN114528602A (zh) | 基于攻击检测行为的安全芯片运行方法及装置 | |
| Yang et al. | An effective intrusion-resilient mechanism for programmable logic controllers against data tampering attacks | |
| Ying et al. | Covert channel-based transmitter authentication in controller area networks | |
| Rasheed et al. | Efficient Crypto Engine for Authenticated Encryption, Data Traceability, and Replay Attack Detection Over CAN Bus Network | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| CN107026729B (zh) | 用于传输软件的方法和装置 | |
| US20200312060A1 (en) | Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit | |
| CN117335953A (zh) | 在具有分布式计算机的计算环境中进行数据处理的方法 | |
| CN116471034A (zh) | 入侵检测技术 | |
| Ansari et al. | IntelliCAN: Attack-resilient controller area network (CAN) for secure automobiles | |
| de Andrade et al. | Security architecture for automotive communication networks with CAN FD |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |