DE102013210102A1 - Vorrichtung und verfahren zum erfassen eines angriffes auf ein fahrzeugseitiges netzwerk - Google Patents

Vorrichtung und verfahren zum erfassen eines angriffes auf ein fahrzeugseitiges netzwerk Download PDF

Info

Publication number
DE102013210102A1
DE102013210102A1 DE201310210102 DE102013210102A DE102013210102A1 DE 102013210102 A1 DE102013210102 A1 DE 102013210102A1 DE 201310210102 DE201310210102 DE 201310210102 DE 102013210102 A DE102013210102 A DE 102013210102A DE 102013210102 A1 DE102013210102 A1 DE 102013210102A1
Authority
DE
Germany
Prior art keywords
value
packets
packet
attack
calculating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE201310210102
Other languages
English (en)
Inventor
Hyun Soo AHN
Chung Hi Lee
Byoung Wook Lee
Hyun Cheol Bae
Jong Seon No
Ji Youp KIM
Jun Young WOO
Chang Min Cho
Young Sik Kim
Young Sik Moon
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hyundai Motor Co
Seoul National University R&DB Foundation
Industry Academic Cooperation Foundation
Original Assignee
INDUSTRY-ACADEMIC COOPERATION FOUNDATION
Hyundai Motor Co
Seoul National University R&DB Foundation
Industry Academic Cooperation Foundation
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to KR10-2012-0144900 priority Critical
Priority to KR1020120144900A priority patent/KR101371902B1/ko
Application filed by INDUSTRY-ACADEMIC COOPERATION FOUNDATION, Hyundai Motor Co, Seoul National University R&DB Foundation, Industry Academic Cooperation Foundation filed Critical INDUSTRY-ACADEMIC COOPERATION FOUNDATION
Publication of DE102013210102A1 publication Critical patent/DE102013210102A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network-specific arrangements or communication protocols supporting networked applications
    • H04L67/12Network-specific arrangements or communication protocols supporting networked applications adapted for proprietary or special purpose networking environments, e.g. medical networks, sensor networks, networks in a car or remote metering networks

Abstract

Eine Vorrichtung zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk ist eingerichtet, um Pakete für jede Vorrichtung, die eine entsprechende ID aufweist und an einen fahrzeugseitigen Netzwerk-Bus angeschlossen ist, kumulativ zu zählen. Die Vorrichtung ist eingerichtet, um einen Prüfwert jedes Mal zu kumulieren, wenn die Pakete kumulativ gezählt werden, um einen kumulierten Wert zu berechnen, und zu bestimmen, dass ein Angriff durchgeführt wird, wenn ein durchschnittlicher kumulierter Wert, der durch Dividieren des kumulierten Wertes durch einen kumulativ gezählten Wert erhalten wird, einen ersten Schwellenwert nicht überschreitet.

Description

  • TECHNISCHES GEBIET
  • Der vorliegende Erfindungsgedanke betrifft eine Vorrichtung und ein Verfahren zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk und insbesondere eine Vorrichtung und ein Verfahren zum vorzeitigen Erfassen von externen beliebigen Angriffen gegen ein fahrzeugseitiges Netzwerk.
  • HINTERGRUND
  • Im Allgemeinen, da ein fahrzeugseitiges Netzwerk unabhängig von einem externen Netzwerk betrieben wird, gibt es keine Geräte zum Schützen von fahrzeugseitigen Netzwerkinformationen.
  • In letzter Zeit, da das fahrzeugseitige Netzwerk mit externen Netzwerken wie beispielsweise einem drahtlosen Kommunikationsnetzwerk (3G/4G), einem Bluetooth-Netzwerk und dergleichen verbunden werden kann und an ein Fahrzeug-Diagnose-Gerät angeschlossen werden kann, ist es wahrscheinlich, dass ein fahrzeugseitiges Netzwerk in negativer Weise beeinflusst wird. Das heißt, wenn ein böswilliger Angreifer von externen Netzwerken ein internes Netzwerk stört, tritt ein ernsthaftes Problem bei einem Betrieb des Fahrzeugs auf, was die Sicherheit der Passagiere gefährden kann.
  • Unterdessen werden die Eigenschaften (Paketgröße, Verzögerungszeit, Häufigkeit und dergleichen) von Internet-Paketen mit der gleichen IP-Adresse über die Zeit geändert und die Pakete weisen ebenfalls unregelmäßige und zufällige Eigenschaften auf. Daher bestimmt eine Technologie zum Erfassen eines Netzwerk-Angriffes im Allgemeinen auf der Grundlage der Anzahl von empfangenen Paketen pro Zeiteinheit, ob ein Angriff erfolgt.
  • Auf der anderen Seite weist die Gesamtheit der übertragenen Daten (Datenverkehr-Traffic), die in dem fahrzeugseitigen Netzwerk erzeugt wird, verschiedene Paketerzeugungsfrequenzen für jede ID auf, aber die Datenverkehre werden für jede ID relativ regelmäßig erzeugt. In diesem Fall, wenn zwei Pakete gleichzeitig erzeugt werden, wird eine Übertragungssequenz auf der Grundlage der Priorität bestimmt.
  • Daher kann, wenn Pakete mit einer ID bei einer hohen Geschwindigkeit erzeugt werden, ein Angriff von eindringenden Paketen mit einer höheren Priorität als die der ID in einem Netzwerk mit einer Frequenz ähnlich der Erzeugungsfrequenz von Paketen mit der ID nicht nur durch eine Analyse auf der Grundlage der Anzahl von empfangenen Paketen pro Zeiteinheit erfasst werden.
  • Das heißt, da IDs für einen Angriff mit einer höheren Priorität in ein Netzwerk anstelle einer normalen ID mit einer niedrigeren Priorität eingebracht werden, kann ein Angriff nicht nur durch ein Verfahren zum Zählen der Anzahl von Paketen erfasst werden.
  • Daher besteht eine Notwendigkeit für ein Datenverkehr-Analyseverfahren, das für Fahrzeug-Datenverkehre geeignet ist, das sich von einem Verfahren unterscheidet, das für eine Internet-Eindringungserfassung der verwendet wird.
  • ZUSAMMENFASSUNG
  • Demzufolge ist der vorliegende Erfindungsgedanke gemacht worden, um die oben beschriebenen und im Stand der Technik auftretenden Probleme zu lösen, während die durch den Stand der Technik erreichten Vorteile beibehalten werden.
  • Eine Ausgestaltung des vorliegenden Erfindungsgedankens betrifft eine Vorrichtung und ein Verfahren zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk, das Pakete für jede mit einem fahrzeugseitigen Netzwerk-Bus verbundenen Vorrichtung (IDs) kumulativ zählt, einen Prüfwert S jedes Mal kumuliert, wenn die Pakete kumulativ gezählt werden, um einen kumulierten Wert zu berechnen, und bestimmt, dass ein Angriff erfolgt, wenn ein durchschnittlicher kumulierter Wert, der durch Dividieren des kumulierten Wertes durch eine kumulative Zählung erhalten wird, einen ersten Schwellenwert nicht überschreitet.
  • Eine weitere Ausgestaltung des vorliegenden Erfindungsgedankens umfasst eine Vorrichtung und ein Verfahren zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk, das Pakete für jede Vorrichtung (IDs), die in einem vorbestimmten Prioritätsbereich unter den mit einem fahrzeugseitigen Netzwerk-Bus verbundenen Vorrichtungen (IDs) umfasst ist, kumulativ zählt, einen Prüfwert S jedes Mal kumuliert, wenn die Pakete kumulativ gezählt werden, um einen kumulierten Wert zu berechnen, und bestimmt, dass ein Angriff erfolgt, wenn ein durchschnittlicher kumulierter Wert, der durch Dividieren des kumulierten Wertes durch eine kumulative Zählung erhalten wird, einen dritten Schwellenwert nicht überschreitet.
  • Eine Ausgestaltung des vorliegenden Erfindungsgedankens betrifft eine Vorrichtung zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk unter der fahrzeugseitigen Netzwerkumgebung, in der Vorrichtungen mit definierten Prioritäten für eine Paketübertragung mit einem fahrzeugseitigen Netzwerk-Bus verbunden sind. Die Vorrichtung umfasst: eine Paket-Sammelvorrichtung, die eingerichtet ist, um über den fahrzeugseitigen Netzwerk-Bus übertragene Pakete zu sammeln; eine Paket-Zählvorrichtung, die eingerichtet ist, um die Anzahl von durch die Paket-Sammelvorrichtung gesammelten Pakete kumulativ zu zählen; eine Prüfwert-Berechnungsvorrichtung, die eingerichtet ist, um einen Prüfwert auf der Grundlage einer Erzeugungszeitdifferenz von Paketen mit einer identischen ID zu berechnen; eine Kumulationswert-Berechnungsvorrichtung, die eingerichtet ist, um einen kumulierten Wert durch Summieren des durch die Prüfwert-Berechnungsvorrichtung berechneten Prüfwerts und eines kurz zuvor berechneten Prüfwerts zu berechnen; eine Durchschnitts-Kumulationswert-Berechnungsvorrichtung, die eingerichtet ist, um einen durchschnittlichen kumulierten Wert durch Dividieren des durch die Kumulationswert-Berechnungsvorrichtung berechneten kumulierten Wertes durch einen durch die Paket-Zählvorrichtung kumulativ gezählten Wert zu berechnen; und eine Angriffs-Bestimmungsvorrichtung, die eingerichtet ist, um auf der Grundlage des durchschnittlichen kumulierten Wertes, der durch die Durchschnitts-Kumulationswert-Berechnungsvorrichtung berechnet wird, zu bestimmen, ob ein Angriff erfolgt.
  • Eine weitere Ausgestaltung des vorliegenden Erfindungsgedankens umfasst ein Verfahren zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk unter der fahrzeugseitigen Netzwerkumgebung, in der Vorrichtungen mit definierten Prioritäten für eine Paketübertragung mit einem fahrzeugseitigen Netzwerk-Bus verbunden sind. Gemäß dem Verfahren werden über den fahrzeugseitigen Netzwerk-Bus übertragene Pakete durch eine Paket-Sammelvorrichtung gesammelt. Die Anzahl von gesammelten Paketen wird durch eine Paket-Zählvorrichtung kumulativ gezählt. Ein Prüfwert wird durch eine Prüfwert-Berechnungsvorrichtung auf der Grundlage einer Erzeugungszeitdifferenz von Paketen mit einer identischen ID berechnet. Ein kumulierter Wert wird durch eine Kumulationswert-Berechnungsvorrichtung durch Summieren des berechneten Prüfwertes und eines kurz zuvor berechneten Prüfwertes berechnet. Ein durchschnittlicher kumulierter Wert wird durch einen durchschnittlichen kumulierten Wert durch Dividieren des berechneten kumulierten Wertes durch den kumulativ gezählten Wert berechnet. Es wird durch eine Angriffs-Bestimmungsvorrichtung auf der Grundlage des berechneten durchschnittlichen kumulierten Wertes bestimmt, ob ein Angriff erfolgt.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die vorhergehenden und weiteren Merkmale des Erfindungsgedankens werden aus einer spezielleren Beschreibung von Ausführungsformen des Erfindungsgedankens ersichtlicher, wie dies in den beigefügten Zeichnungen dargestellt ist, in denen gleiche Bezugszeichen gleiche oder ähnliche Teile überall in den verschiedenen Ansichten bezeichnen können. Die Zeichnungen sind nicht notwendigerweise maßstabsgerecht, wobei stattdessen Wert auf die Veranschaulichung der Grundsätze der Ausführungsformen des Erfindungsgedankens gelegt wird.
  • 1 zeigt ein Diagramm der Konfiguration einer Vorrichtung zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk gemäß einem Ausführungsbeispiel des vorliegenden Erfindungsgedankens.
  • 2A zeigt ein Diagramm, das ein Beispiel eines fahrzeugseitigen Netzwerk-Busses darstellt, bei dem der vorliegende Erfindungsgedanke angewandt wird.
  • 2B zeigt ein Diagramm, das ein weiteres Beispiel eines fahrzeugseitigen Netzwerk-Busses darstellt, bei dem der vorliegende Erfindungsgedanke angewandt wird.
  • 3 zeigt ein Diagramm, das ein Prinzip zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk gemäß einem weiteren Ausführungsbeispiel des vorliegenden Erfindungsgedankens darstellt.
  • 4 zeigt ein Flussdiagramm, das ein Verfahren zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk gemäß noch einem weiteren Ausführungsbeispiel des vorliegenden Erfindungsgedankens darstellt.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Die vorhergehenden und weiteren Merkmale des Erfindungsgedankens werden aus einer spezielleren Beschreibung von Ausführungsformen des Erfindungsgedankens ersichtlicher, wie dies in den beigefügten Zeichnungen dargestellt ist, in denen gleiche Bezugszeichen gleiche oder ähnliche Teile überall in den verschiedenen Ansichten bezeichnen können. Die Zeichnungen sind nicht notwendigerweise maßstabsgerecht, wobei stattdessen Wert auf die Veranschaulichung der Grundsätze der Ausführungsformen des Erfindungsgedankens gelegt wird.
  • Nachstehend werden Ausführungsbeispiele des vorliegenden Erfindungsgedankens unter Bezugnahme auf die beigefügten Zeichnungen ausführlich beschrieben.
  • 1 zeigt ein Diagramm der Konfiguration einer Vorrichtung zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk gemäß einem Ausführungsbeispiel des vorliegenden Erfindungsgedankens.
  • Wie in 1 dargestellt, kann eine Vorrichtung 100 zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk gemäß einem Ausführungsbeispiel des vorliegenden Erfindungsgedankens eine Paket-Sammelvorrichtung 10, eine Paket-Zählvorrichtung 20, eine Prüfwert-Berechnungsvorrichtung 30, eine Kumulationswert-Berechnungsvorrichtung 40, eine Durchschnitts-Kumulationswert-Berechnungsvorrichtung 50, eine Angriffs-Bestimmungsvorrichtung 60 und eine Steuerung 70.
  • Die Vorrichtung zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk (ADS: Angriffserfassungssystem), das die obigen Komponenten umfasst, kann in einem Gateway des fahrzeugseitigen Netzwerkes wie in 2A dargestellt, realisiert werden. Das ADS kann ebenfalls als eine separate Vorrichtung realisiert werden, die mit einem fahrzeugseitigen Netzwerk-Bus wie in 2B dargestellt verbunden ist.
  • Unter Beschreibung jeder Komponente kann die Paket-Sammelvorrichtung 10 zunächst über den fahrzeugseitigen Netzwerk-Bus übertragene Pakete sammeln. In diesem Fall können jeder mit dem fahrzeugseitigen Netzwerk verbundenen Vorrichtung (ECU: Elektronische Steuereinheiten – Electronic Control Units) eindeutige IDs zugewiesen werden und jede Vorrichtung kann Pakete, in die ihre eigene ID eingefügt ist, an das fahrzeugseitige Netzwerk übertragen.
  • Weiter kann die Paket-Zählvorrichtung 20 die Anzahl von durch die Paket-Sammelvorrichtung 10 gesammelten Paketen kumulativ zählen. Das heißt, die Paket-Zählvorrichtung 20 kann die durch die Paket-Sammelvorrichtung 10 gesammelten Pakete in jede ID klassifizieren und dann die Anzahl von Paketen für jede ID kumulativ zählen.
  • Darüber hinaus kann die Paket-Zählvorrichtung 20 die durch die Paket-Sammelvorrichtung 10 gesammelten Pakete in jede ID unter der Steuerung der Steuerung 70 klassifizieren und dann die Pakete der IDs mit einer vorbestimmten Priorität für jede ID kumulativ zählen.
  • Als nächstes kann die Prüfwert-Berechnungsvorrichtung 30 einen Prüfwert S auf der Grundlage einer Differenz zwischen einer aktuellen Zeit tc und einer Zeit TID, bei der das Paket der entsprechenden ID kurz zuvor erzeugt worden ist, erzeugen. Das heißt, die Prüfwert-Berechnungsvorrichtung 30 berechnet den Prüfwert S unter Verwendung der folgenden Gleichung 1.
  • [Gleichung 1]
    • S = log2(tc – tID)
  • Die Prüfwert-Berechnungsvorrichtung 30 kann die Zeiten, bei denen Pakete für jede ID erzeugt werden, aktualisieren.
  • Als nächstes kann die Kumulationswert-Berechnungsvorrichtung 40 einen kumulierten Wert A = A + S durch Summieren eines durch die Prüfwert-Berechnungsvorrichtung 30 berechneten Prüfwerts und eines kurz zuvor berechneten Prüfwerts berechnen. Hierbei bezeichnet A den kumulierten Wert.
  • Weiter kann die Durchschnitts-Kumulationswert-Berechnungsvorrichtung 50 einen durchschnittlichen kumulierten Wert durch Dividieren des durch die Prüfwert-Berechnungsvorrichtung 30 berechneten kumulierten Wertes durch einen durch die Paket-Zählvorrichtung 20 berechneten Wert (die Anzahl von kumulativen Paketen der entsprechenden ID) berechnen.
  • Anschließend kann die Angriffs-Bestimmungsvorrichtung 60 bestimmen, dass ein Angriff erfolgt, wenn der durch die Durchschnitts-Kumulationswert-Berechnungsvorrichtung 50 berechnete durchschnittliche kumulierte Wert einen Schwellenwert nicht überschreitet.
  • Indessen kann die Steuerung 70 jede Komponente steuern. Insbesondere kann die Steuerung 70 jede Komponente gemäß einer Richtlinie zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk einzeln steuern.
  • Zum Beispiel, wenn es erfasst wird, ob ein Angriff gegen jede von allen mit dem fahrzeugseitigen Netzwerk-Bus verbundenen Vorrichtungen erfolgt, kann die Steuerung 70 eine entsprechende Steuerfunktion durchführen.
  • Als ein weiteres Beispiel, wenn es erfasst wird, ob ein Angriff gegen jede in einem vorbestimmten Prioritätsbereich umfasste Vorrichtung unter den mit dem fahrzeugseitigen Netzwerk-Bus verbundenen Vorrichtungen erfolgt, kann die Steuerung 70 eine entsprechende Steuerfunktion durchführen.
  • Gemäß einem Ausführungsbeispiel des vorliegenden Erfindungsgedankens wird der kumulierte Wert durch Berechnen eines Logarithmus einer Differenz zwischen einer Zeit, wenn ein Paket mit einer bestimmten ID kurz zuvor erzeugt worden ist, und einer Zeit, wenn das Paket aktuell wieder erzeugt wird, kumuliert.
  • Mit anderen Worten steht die Zeitdifferenz zwischen der Erzeugung der Pakete der gleichen IDs in engem Zusammenhang mit einem Wahrscheinlichkeitswert, dass ein Paket der entsprechenden ID erzeugt wird. Das heißt, eine ID mit einer hohen Erzeugungsfrequenz (eine ID mit einer hohen Erzeugungswahrscheinlichkeit) weist eine kurze Zeitdifferenz auf, während eine ID mit einer niedrigen Erzeugungsfrequenz (eine ID mit einer niedrigen Erzeugungswahrscheinlichkeit) eine große Zeitdifferenz aufweist.
  • Da die ID mit der hohen Erzeugungsfrequenz eine kurze Zeitdifferenz aufweist, können häufig kleine Werte hinzugefügt werden. Auf der anderen Seite, da die ID mit der niedrigen Erzeugungsfrequenz eine große Zeitdifferenz aufweist, können selten große Werte hinzugefügt werden.
  • Wenn diese Werte kumuliert werden und dann durch die Anzahl von Gesamthäufigkeiten der Paketerzeugung der entsprechenden ID dividiert werden, kann ein durchschnittlicher erwarteter Wert (nachstehend durchschnittlicher kumulierter Wert) erhalten werden und es kann auf der Grundlage des erhaltenen durchschnittlichen erwarteten Wertes bestimmt werden, ob externe Angriff durchgeführt werden.
  • Nachfolgend wird ein Prinzip unter Bezugnahme auf 3 beschrieben, mit dem die Vorrichtung zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk externe Angriffe gegen das fahrzeugseitige Netzwerk erfassen kann.
  • Wie in 3 dargestellt, wird es als der normale Datenverkehr angenommen, dass ein Paket mit der ID = 2 alle 2 ms erzeugt wird. In diesem Fall wird es angenommen, dass ein externer Angreifer als einen Prioritätsangriff ein Paket mit der ID = 1, das eine höhere Priorität als die des Pakets mit der ID = 2 aufweist, entsprechend der Erzeugungsperiode des normalen Datenverkehrs injiziert, um die Übertragung des normalen Datenpakets mit der ID = 2 zu verhindern.
  • In diesem Fall, da die Gesamtzahl aller Pakete acht ist, kann nicht nachvollzogen werden, ob ein Angriff durchgeführt wird, wenn lediglich das herkömmliche Verfahren zum Überprüfen der Anzahl von Paketen verwendet wird.
  • Jedoch kann ein Ausführungsbeispiel des vorliegenden Erfindungsgedankens die folgende Differenz in dem kumulativen Durchschnittswert erzeugen, um herauszufinden, ob die Angriffe gegen das fahrzeugseitige Netzwerk durchgeführt werden.
  • In dem Fall des normalen Datenverkehrs wird der durchschnittliche kumulierte Wert (log210–3 + 7 × log22 × 10–3)/8 = –9.09.
  • Auf der anderen Seite, in dem Fall des Prioritätsangriffes, wird der durchschnittliche kumulierte Wert (log210–3 + log23 × 10–3 + 5 × log22 × 10–3 + log214 × 10–3)/8 = –8.67.
  • 4 zeigt ein Flussdiagramm eines Verfahrens zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk gemäß einem Ausführungsbeispiel des vorliegenden Erfindungsgedankens darstellt.
  • Als erstes kann die Paket-Sammelvorrichtung 10 die über den fahrzeugseitigen Netzwerk-Bus übertragenen Pakete sammeln (401).
  • Als nächstes kann die Paket-Zählvorrichtung 20 die Anzahl von durch die Paket-Sammelvorrichtung 10 gesammelten Paketen kumulativ zählen. In diesem Fall kann die Paket-Zählvorrichtung 20 die durch die Paket-Sammelvorrichtung 10 gesammelten Pakete in jede ID klassifizieren und dann die Anzahl von Paketen für jede ID kumulativ zählen. Die Paket-Zählvorrichtung 20 kann die durch die Paket-Sammelvorrichtung 10 gesammelten Pakete in jede ID klassifizieren und dann die Pakete der IDs, die eine vorbestimmte Priorität für jede ID aufweisen, kumulativ zählen.
  • Weiter kann die Prüfwert-Berechnungsvorrichtung 30 einen Prüfwert auf der Grundlage einer Erzeugungszeitdifferenz der gleichen ID-Pakete berechnen (403).
  • Als nächstes kann die Kumulationswert-Berechnungsvorrichtung 40 einen kumulierten Wert durch Summieren des durch die Prüfwert-Berechnungsvorrichtung 30 berechneten Prüfwerts und eines kurz zuvor berechneten Prüfwerts berechnen (405).
  • Weiter kann die Angriffs-Bestimmungsvorrichtung 60 auf der Grundlage des durch die Durchschnitts-Kumulationswert-Berechnungsvorrichtung 50 berechneten durchschnittlichen kumulierten Wertes bestimmen, ob irgendwelche Angriffe erfolgen (406).
  • Das Verfahren kann jedes Mal durchgeführt werden, wenn ein Paket erzeugt wird, das heißt, jedes Mal, wenn ein Paket gezählt wird, um so zu bestimmen, ob der Angriff gegen das fahrzeugseitige Netzwerk durchgeführt wird.
  • Wie oben dargelegt wurde, können gemäß Ausführungsbeispielen des vorliegenden Erfindungsgedankens die Versuche, um den normalen Betrieb eines Fahrzeugs aufgrund einer absichtlich auftretenden Fehlfunktion eines Fahrzeugs zu verhindern, im Voraus blockiert werden, indem die externen Angriffe gegen den fahrzeugseitigen Netzwerk-Bus vorzeitig erfasst werden.
  • Ferner kann gemäß Ausführungsbeispielen des vorliegenden Erfindungsgedankens die fahrzeugseitige Kommunikationslast minimiert werden, indem externe Angriffe ohne Injizieren von zusätzlichen Daten in den fahrzeugseitigen Netzwerk-Bus erfasst werden.
  • Darüber hinaus kann gemäß Ausführungsbeispielen des vorliegenden Erfindungsgedankens eine zusätzliche Angriffswahrscheinlichkeit blockiert werden, indem vorzeitig ein Versuch zum Analysieren der fahrzeugseitigen Kommunikation erfasst wird (z. B. ein Analyseversuch auf der Grundlage der Injektion der zufälligen Pakete).
  • Obwohl der vorliegende Erfindungsgedanke unter Bezugnahme auf begrenzte Ausführungsbeispiele und Zeichnungen beschrieben wurde, ist der vorliegende Erfindungsgedanke nicht darauf beschränkt und kann auf verschiedene Weise innerhalb des Geistes des vorliegenden Erfindungsgedankens und der nachstehend beschriebenen Ansprüche durch einen Fachmann auf dem Gebiet geändert und abgewandelt werden.
  • Bezugszeichenliste
    • 10
    Paket-Sammelvorrichtung
    20
    Paket-Zählvorrichtung
    30
    Prüfwert-Berechnungsvorrichtung
    40
    Kumulationswert-Berechnungsvorrichtung
    50
    Durchschnitts-Kumulationswert-Berechnungsvorrichtung
    60
    Angriffs-Bestimmungsvorrichtung
    70
    Steuerung
    100
    ADS
    401
    ÜBER DEN FAHRZEUGSEITIGEN NETZWERK-BUS ÜBERTRAGENES PAKET SAMMELN
    402
    DIE ANZAHL VON GESAMMELTEN PAKETEN KUMULATIV ZÄHLEN
    403
    PRÜFWERT AUF DER GRUNDLAGE DER ERZEUGUNGSZEITDIFFERENZ DER GLEICHEN ID-PAKETE BERECHNEN
    404
    KUMULIERTEN WERT DURCH SUMMIEREN DES BERECHNETEN PRÜFWERTS UND DES KURZ ZUVOR BERECHNETEN PRÜFWERTS BERECHNEN
    405
    DURCHSCHNITTLICHEN KUMULIERTEN WERT DURCH DIVIDIEREN DES BERECHNETEN KUMULIERTEN WERTES DURCH DEN KUMULATIV GEZÄHLTEN WERT BERECHNEN
    406
    BESTIMMEN, OB ANGRIFF ERFOLGT; AUF DER GRUNDLAGE DES BERECHNETEN DURCHSCHNITTLICHEN KUMULIERTEN WERTES

Claims (12)

  1. Vorrichtung zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk unter einer fahrzeugseitigen Netzwerkumgebung, in der Vorrichtungen mit definierten Prioritäten für eine Paketübertragung mit einem fahrzeugseitigen Netzwerk-Bus verbunden sind, wobei die Vorrichtung aufweist: eine Paket-Sammelvorrichtung, die eingerichtet ist, um über den fahrzeugseitigen Netzwerk-Bus übertragene Pakete zu sammeln; eine Paket-Zählvorrichtung, die eingerichtet ist, um die Anzahl von durch die Paket-Sammelvorrichtung gesammelten Paketen kumulativ zu zählen; eine Prüfwert-Berechnungsvorrichtung, die eingerichtet ist, um einen Prüfwert auf der Grundlage einer Erzeugungszeitdifferenz von Paketen mit einer identischen ID zu berechnen; eine Kumulationswert-Berechnungsvorrichtung, die eingerichtet ist, um einen kumulierten Wert durch Summieren des durch die Prüfwert-Berechnungsvorrichtung berechneten Prüfwerts und eines kurz zuvor berechneten Prüfwerts zu berechnen; eine Durchschnitts-Kumulationswert-Berechnungsvorrichtung, die eingerichtet ist, um einen durchschnittlichen kumulierten Wert durch Dividieren des durch die Kumulationswert-Berechnungsvorrichtung berechneten kumulierten Wertes durch einen durch die Paket-Zählvorrichtung kumulativ gezählten Wert zu berechnen; eine Angriffs-Bestimmungsvorrichtung, die eingerichtet ist, um auf der Grundlage des durchschnittlichen kumulierten Wertes, der durch die Durchschnitts-Kumulationswert-Berechnungsvorrichtung berechnet wird, zu bestimmen, ob ein Angriff erfolgt.
  2. Vorrichtung nach Anspruch 1, wobei die Angriffs-Bestimmungsvorrichtung eingerichtet ist, um zu bestimmen, dass der Angriff erfolgt, wenn der durchschnittliche kumulierte Wert einen Schwellenwert nicht überschreitet.
  3. Vorrichtung nach Anspruch 1, wobei die Paket-Zählvorrichtung eingerichtet ist, um die durch die Paket-Sammelvorrichtung gesammelten Pakete in jede ID zu klassifizieren und dann die Anzahl von Paketen für jede ID kumulativ zu zählen.
  4. Vorrichtung nach Anspruch 1, wobei die Paket-Zählvorrichtung eingerichtet ist, um die durch die Paket-Sammelvorrichtung gesammelten Pakete in jede ID zu klassifizieren und dann die Pakete der IDs mit einer vorbestimmten Priorität für jede ID kumulativ zu zählen.
  5. Vorrichtung nach Anspruch 1, wobei die Prüfwert-Berechnungsvorrichtung eingerichtet ist, um den Prüfwert auf der Grundlage einer Differenz zwischen einer aktuellen Zeit tc und einer Zeit tID, bei welcher ein Paket mit der identischen ID kurz zuvor erzeugt wird, zu erzeugen.
  6. Vorrichtung nach Anspruch 5, wobei die Prüfwert-Berechnungsvorrichtung eingerichtet ist, um einen Prüfwert S unter Verwendung der folgenden [Gleichung A] zu berechnen. [Gleichung A] S = log2(tc – tID)
  7. Verfahren zum Erfassen eines Angriffes auf ein fahrzeugseitiges Netzwerk unter einer fahrzeugseitigen Netzwerkumgebung, in der Vorrichtungen mit definierten Prioritäten für eine Paketübertragung mit einem fahrzeugseitigen Netzwerk-Bus verbunden sind, wobei das Verfahren aufweist: Sammeln, durch eine Paket-Sammelvorrichtung, von Paketen, die über den fahrzeugseitigen Netzwerk-Bus übertragen werden; kumulatives Zählen, durch eine Paket-Zählvorrichtung, der Anzahl von gesammelten Paketen; Berechnen, durch eine Prüfwert-Berechnungsvorrichtung, eines Prüfwertes auf der Grundlage einer Erzeugungszeitdifferenz von Paketen mit einer identischen ID; Berechnen, durch eine Kumulationswert-Berechnungsvorrichtung, eines kumulierten Wertes durch Summieren des berechneten Prüfwertes und eines kurz zuvor berechneten Prüfwertes; Berechnen, durch eine Durchschnitts-Kumulationswert-Berechnungsvorrichtung, eines durchschnittlichen kumulierten Wertes durch Dividieren des berechneten kumulierten Wertes durch einen kumulativ gezählten Wert; und Bestimmen, durch eine Angriffs-Bestimmungsvorrichtung, ob ein Angriff erfolgt, auf der Grundlage des berechneten durchschnittlichen kumulierten Wertes.
  8. Verfahren nach Anspruch 7, wobei es in dem Bestimmen, ob der Angriff erfolgt, bestimmt wird, dass der Angriff erfolgt, wenn der durchschnittliche kumulierte Wert einen Schwellenwert nicht überschreitet.
  9. Verfahren nach Anspruch 7, wobei in dem Zählen der Pakete die durch die Paket-Sammelvorrichtung gesammelten Pakete in jede ID klassifiziert werden und dann die Anzahl von Paketen für jede ID kumulativ gezählt wird.
  10. Verfahren nach Anspruch 7, wobei in dem Zählen der Pakete die durch die Paket-Sammelvorrichtung gesammelten Pakete in jede ID klassifiziert werden und dann die Pakete mit IDs, die eine vorbestimmte Priorität aufweisen, für jede ID kumulativ gezählt werden.
  11. Verfahren nach Anspruch 7, wobei in dem Berechnen des Prüfwertes der Prüfwert auf der Grundlage einer Differenz zwischen einer aktuellen Zeit tc und einer Zeit tID, bei welcher ein Paket der identischen ID kurz zuvor erzeugt wird, erzeugt wird.
  12. Verfahren nach Anspruch 11, wobei in dem Berechnen des Prüfwertes ein Prüfwert S unter Verwendung der folgenden [Gleichung B] berechnet wird. [Gleichung B] S = log2(tc – tID)
DE201310210102 2012-12-12 2013-05-29 Vorrichtung und verfahren zum erfassen eines angriffes auf ein fahrzeugseitiges netzwerk Pending DE102013210102A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2012-0144900 2012-12-12
KR1020120144900A KR101371902B1 (ko) 2012-12-12 2012-12-12 차량 네트워크 공격 탐지 장치 및 그 방법

Publications (1)

Publication Number Publication Date
DE102013210102A1 true DE102013210102A1 (de) 2014-06-26

Family

ID=50648006

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310210102 Pending DE102013210102A1 (de) 2012-12-12 2013-05-29 Vorrichtung und verfahren zum erfassen eines angriffes auf ein fahrzeugseitiges netzwerk

Country Status (4)

Country Link
US (1) US9231967B2 (de)
KR (1) KR101371902B1 (de)
CN (1) CN103873319B (de)
DE (1) DE102013210102A1 (de)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10369942B2 (en) 2014-01-06 2019-08-06 Argus Cyber Security Ltd. Hosted watchman
US9813406B2 (en) * 2014-02-20 2017-11-07 Empire Technology Development Llc Device authentication in ad-hoc networks
US9764712B2 (en) * 2014-04-09 2017-09-19 Empire Technology Development Llc Sensor data anomaly detector
JP6594732B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP6369341B2 (ja) * 2015-01-30 2018-08-08 株式会社デンソー 車載通信システム
US9661006B2 (en) * 2015-03-31 2017-05-23 Check Point Software Technologies Ltd. Method for protection of automotive components in intravehicle communication system
KR101638613B1 (ko) * 2015-04-17 2016-07-11 현대자동차주식회사 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법
US9686294B2 (en) * 2015-06-15 2017-06-20 Check Point Software Technologies Ltd. Protection of communication on a vehicular network via a remote security service
US10798114B2 (en) 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US10298612B2 (en) 2015-06-29 2019-05-21 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
JP6286749B2 (ja) * 2015-10-21 2018-03-07 本田技研工業株式会社 通信システム、制御装置、及び制御方法
KR101721035B1 (ko) * 2016-01-07 2017-03-30 고려대학교 산학협력단 차량 침입 탐지 장치 및 방법
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
US10193903B1 (en) * 2016-04-29 2019-01-29 Symantec Corporation Systems and methods for detecting suspicious microcontroller messages
KR101734505B1 (ko) 2016-04-29 2017-05-11 재단법인대구경북과학기술원 차량용 네트워크의 공격탐지 방법 및 그 장치
CN106184068A (zh) * 2016-06-30 2016-12-07 北京奇虎科技有限公司 汽车内部网络安全检测方法及装置、汽车
WO2018029692A1 (en) * 2016-08-12 2018-02-15 Protectivx Ltd. System and method for prevention of attacks in connected vehicles
KR101853676B1 (ko) * 2016-08-18 2018-05-03 고려대학교 산학협력단 차량 침입 탐지 장치 및 방법
CN106650505A (zh) * 2016-12-28 2017-05-10 北京奇虎科技有限公司 一种车辆攻击检测方法和装置
US10017155B1 (en) 2017-02-21 2018-07-10 International Business Machines Corporation Cross correlation between connected vehicles and other online devices
CN106899614B (zh) * 2017-04-14 2019-09-24 北京梆梆安全科技有限公司 基于报文周期的车内网络入侵检测方法及装置
JP2020524951A (ja) * 2017-06-23 2020-08-20 ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングRobert Bosch Gmbh 通信の異常をチェックすることによって、車両の通信システムにおける途絶を検出するための方法
US10484425B2 (en) 2017-09-28 2019-11-19 The Mitre Corporation Controller area network frame override
KR20200069852A (ko) 2018-12-07 2020-06-17 한국전자통신연구원 차량 제어 네트워크의 이상징후 탐지 방법 및 이를 위한 장치

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5025457A (en) * 1989-04-21 1991-06-18 Codex Corporation Synchronizing continuous bit stream oriented terminals in a communications network
JP3372455B2 (ja) * 1997-07-03 2003-02-04 富士通株式会社 パケット中継制御方法,パケット中継装置およびプログラム記憶媒体
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
US20110213869A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Processing data flows with a data flow processor
US7181017B1 (en) * 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
US6945780B2 (en) * 2001-04-02 2005-09-20 United Defense, L.P. Integrated performance simulation system for military weapon systems
KR100424724B1 (ko) 2001-07-27 2004-03-27 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치
US7529242B1 (en) * 2002-02-15 2009-05-05 Symantec Corporation Routing network packets for multi-processor network flow analysis
US7251215B1 (en) * 2002-08-26 2007-07-31 Juniper Networks, Inc. Adaptive network router
US8015604B1 (en) * 2003-10-10 2011-09-06 Arcsight Inc Hierarchical architecture in a network security system
US20050144309A1 (en) * 2003-12-16 2005-06-30 Intel Corporation, A Delaware Corporation Systems and methods for controlling congestion using a time-stamp
US7203961B1 (en) * 2004-01-09 2007-04-10 Cisco Technology, Inc. Preventing network reset denial of service attacks
JP2008508805A (ja) * 2004-07-29 2008-03-21 インテリ7・インコーポレーテッド 電子トラフィックを特徴づけ、管理するシステムおよび方法
KR100732854B1 (ko) 2004-09-09 2007-06-27 주식회사 케이티 기업용 이상 트래픽 감지 시스템 및 그 방법
US7809131B1 (en) * 2004-12-23 2010-10-05 Arcsight, Inc. Adjusting sensor time in a network security system
JP2007104307A (ja) 2005-10-04 2007-04-19 Matsushita Electric Ind Co Ltd DoS攻撃検知装置及び方法
US8266696B2 (en) * 2005-11-14 2012-09-11 Cisco Technology, Inc. Techniques for network protection based on subscriber-aware application proxies
JP5507243B2 (ja) * 2006-06-30 2014-05-28 コンチネンタル・テベス・アーゲー・ウント・コンパニー・オーハーゲー 車両内の、およびその車両からの車両関連情報を送信するための方法、装置、コンピュータプログラム、および、コンピュータプログラムプロダクト
DE102008018001A1 (de) * 2008-04-09 2009-10-22 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur Übertragung von Nachrichten in Echtzeit
EP2279590A1 (de) * 2008-04-10 2011-02-02 Time-Critical Networks AB Berechnung der paketverzögerung in einem multihop-ethernet-netzwerk
JP5211162B2 (ja) * 2008-06-03 2013-06-12 株式会社日立製作所 情報処理装置および情報処理方法
FR2936677A1 (fr) * 2008-09-26 2010-04-02 France Telecom Distribution d'une fonction d'authentification dans un reseau mobile
KR20100041533A (ko) * 2008-10-14 2010-04-22 주식회사 케이티 네트워크 관리 방법
CN101729513B (zh) * 2008-10-27 2014-02-19 华为数字技术(成都)有限公司 网络认证方法和装置
US8806632B2 (en) * 2008-11-17 2014-08-12 Solarwinds Worldwide, Llc Systems, methods, and devices for detecting security vulnerabilities in IP networks
US7743419B1 (en) * 2009-10-01 2010-06-22 Kaspersky Lab, Zao Method and system for detection and prediction of computer virus-related epidemics
US20110112969A1 (en) * 2009-10-30 2011-05-12 Gettaround, Inc. Vehicle access control services and platform
PL2383703T3 (pl) * 2010-04-29 2013-01-31 Kapsch Trafficcom Ag Radio navigation device for the wireless toll system
KR20120078191A (ko) 2010-12-31 2012-07-10 한국과학기술원 차량제어장치의 통신오류탐지 방법
US20130278441A1 (en) * 2012-04-24 2013-10-24 Zetta Research and Development, LLC - ForC Series Vehicle proxying
US9253753B2 (en) * 2012-04-24 2016-02-02 Zetta Research And Development Llc-Forc Series Vehicle-to-vehicle safety transceiver using time slots
US9027129B1 (en) * 2012-04-30 2015-05-05 Brocade Communications Systems, Inc. Techniques for protecting against denial of service attacks

Also Published As

Publication number Publication date
CN103873319B (zh) 2019-03-29
KR101371902B1 (ko) 2014-03-10
US20140165191A1 (en) 2014-06-12
CN103873319A (zh) 2014-06-18
US9231967B2 (en) 2016-01-05

Similar Documents

Publication Publication Date Title
DE102013200249B4 (de) Zusammenwirkendes Diagnosesystem zum Erzeugen einer Prognose
EP2751956B1 (de) Verfahren und vorrichtung zur prüfung der korrekten funktion einer seriellen datenübertragung
DE102012217743B4 (de) Überprüfung einer Integrität von Eigenschaftsdaten eines Gerätes durch ein Prüfgerät
EP0700611B1 (de) Verfahren zum gewinnen eines einen ausfall der synchronisation zwischen einer pseudozufallssignalfolge eines senders und einer referenz-pseudozufallssignalfolge eines empfängers anzeigenden signals
DE102015200587A1 (de) Vorrichtung und Verfahren zum Anfordern eines Notrufes bei einer Fahrzeugstörung unter Verwendung von Reiseinformationen über das Fahrzeug
EP1276640B1 (de) Anordnung zur plausibilisierung einer überrollentscheidung
DE102012020297B4 (de) Verfahren zur Zuordnung eines Senders zu einem detektierten Objekt in der Kraftfahrzeug-zu-Kraftfahrzeug-Kommunikation und Kraftfahrzeug
CN101741847B (zh) 一种ddos攻击检测方法
EP2195796B1 (de) Verfahren zur bereitstellung von fahrbetriebsdaten
EP2509828B1 (de) Verfahren und steuergerät zur ermittlung eines typs einer kollision eines fahrzeugs
EP2058992B1 (de) Verfahren zum Bearbeiten von Nachrichten und Nachrichtenbearbeitungsvorrichtung
DE602004005420T2 (de) Fahrzeuginsassenrückhaltesystem mit verteilten sensoren
DE112010003503T5 (de) Vorrichtung und verfahren zum sicherstellen derintegrität von echtzeit-fahrzeugdaten und entsprechendesfahrzeugblackboxsystem
DE102016219848A1 (de) Verfahren und Vorrichtung zum Bereitstellen einer gesicherten Kommunikation innerhalb eines echtzeitfähigen Kommunikationsnetzwerkes
DE102013214383A1 (de) Verfahren und Vorrichtung zum Bereitstellen eines Kollisionsignals hinsichtlich einer Fahrzeugkollision, Verfahren und Vorrichtung zum Verwalten von Kollisionsdaten hinsichtlich Fahrzeugkollisionen sowie Verfahren und Vorrichtung zum Steuern zumindest einer Kollisionsschutzeinrichtung eines Fahrzeugs
EP1915278B1 (de) Vorrichtung und verfahren zur seitenaufprallerkennung in einem fahrzeug
EP2478346B1 (de) Verfahren und vorrichtung zur überwachung des fahrverhaltens eines schienenfahrzeugs
DE69729938T2 (de) Überlastungsverwaltung in verwalteten paketvermittlungsnetzen
EP2593807B1 (de) Verfahren und system zur validierung einer fahrzeug-zu-x- botschaft sowie verwendung des verfahrens
EP2758762B1 (de) Vorrichtung zur erfassung des aufpralls eines objekts auf ein fahrzeug
DE69733876T2 (de) Datenratenregelung eines Berichtstroms
DE10057916C2 (de) Steuergerät für ein Rückhaltesystem in einem Kraftfahrzeug
DE102010046843A1 (de) Reduzieren der Rechenlast an Prozessoren durch selektives Verwerfen von Daten in Fahrzeugnetzen
EP2359104B1 (de) System zur analyse des fahrwerkszustands bei schienenfahrzeugen
DE10394008T5 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen

Legal Events

Date Code Title Description
R012 Request for examination validly filed