DE102017202176A1 - Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung - Google Patents

Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung Download PDF

Info

Publication number
DE102017202176A1
DE102017202176A1 DE102017202176.4A DE102017202176A DE102017202176A1 DE 102017202176 A1 DE102017202176 A1 DE 102017202176A1 DE 102017202176 A DE102017202176 A DE 102017202176A DE 102017202176 A1 DE102017202176 A1 DE 102017202176A1
Authority
DE
Germany
Prior art keywords
data
motor vehicles
attack
predetermined
motor vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102017202176.4A
Other languages
English (en)
Other versions
DE102017202176B4 (de
Inventor
Elmar Schoch
Christopher Corbett
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102017202176.4A priority Critical patent/DE102017202176B4/de
Priority to PCT/EP2018/052727 priority patent/WO2018146028A1/de
Publication of DE102017202176A1 publication Critical patent/DE102017202176A1/de
Application granted granted Critical
Publication of DE102017202176B4 publication Critical patent/DE102017202176B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Abstract

Die Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk (31) in zumindest einem aus mehreren Kraftfahrzeugen (12), wobei über das jeweilige Datennetzwerk (31) jedes Kraftfahrzeugs (12) jeweils Steuergeräte (32,34) des Kraftfahrzeugs (12) Nachrichtendaten (33,35) austauschen und bei dem Verfahren in einer zentralen, stationären Servervorrichtung (10) eine Kommunikationseinrichtung (13) aus den mehreren Kraftfahrzeugen (12) jeweils Meldedaten (17) empfängt, wobei die Meldedaten (17) eine vorbestimmte Mindestabweichung der Nachrichtendaten (33,35) des jeweiligen Datennetzwerks (31) von einem vorgegebenen Normalverhalten (37) und/oder eine vorbestimmte Mindestübereinstimmung der Nachrichtendaten (33,35) mit einem vorbestimmten Prüfmuster signalisieren; eine Erkennungseinrichtung (15) in den Meldedaten (17) mehrerer der Kraftfahrzeuge (12) einen übereinstimmenden Anteil (18) als Angriffsdaten (20) erkennt; und eine Abwehreinrichtung (16) überprüft, ob die Angriffsdaten (20) ein vorbestimmtes Kritikalitätskriterium (21) erfüllen, und bei erfülltem Kritikalitätskriterium (21) zumindest eine vorbestimmte Abwehrmaßnahme (24) auslöst, durch welche in den Kraftfahrzeugen (12) das Erzeugen weiterer Angriffsdaten (20) blockiert wird.

Description

  • Die Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk in zumindest einem Kraftfahrzeug. Zu der Erfindung gehört auch eine zentrale, stationäre Servervorrichtung, die mit mehreren Kraftfahrzeugen kommuniziert, um die Manipulation zu erkennen.
  • Kraftfahrzeuge können heute durch präventive Sicherheitsmaßnahmen gegen potentielle Hackerangriffe abgesichert werden. Trotz solcher Sicherheitsmaßnahmen bleiben Restrisiken und insbesondere durch eine Weiterentwicklung von Hackerangriffen altern die Sicherheitsmaßnahmen, was bedeutet, dass Sicherheitsmaßnahmen nach mehreren Jahren Schwachstellen bezüglich neu entwickelter Hackerangriffe aufweisen können. Hierdurch können dann Hackerangriffe in einzelnen Kraftfahrzeugen gelingen oder erfolgreich sein, was aber erst beispielsweise bei Werkstattaufenthalten als systematische Hackerangriffe erkannt wird, wenn eine auffallend große Anzahl von Kraftfahrzeugen dieselben Spuren von Hackerangriffen aufweist.
  • Bis dahin können Schwachstellen in größerem Umfang von Hackern ausgenutzt werden, wodurch möglicherweise erheblicher Schaden entstehen kann.
  • Aus der DE 10 2004 063 319 A1 ist ein Verfahren bekannt, mittels welchem in einem Kraftfahrzeug eine Softwarekomponente auf ihre Authentizität überprüft werden kann. Damit kann festgestellt werden, ob eine Softwarekomponente im Kraftfahrzeug unbefugt geändert oder gelöscht wurde. Gelingt es bei einem Hackerangriff, eine Softwarekomponente derart auszugestalten, dass der zur Überprüfung erzeugte Kontrollwert korrekt ist, so ist anschließend mittels dieser Softwarekomponente das Versenden manipulierter Nachrichtendaten möglich.
  • Aus der DE 10 2013 200 525 A1 ist dagegen bekannt, in einem Kraftfahrzeug den Datenverkehr zu erfassen und mit vorher erfassten Daten des Datenverkehrs zu vergleichen, um hieran durchgehend eine Datenmanipulation zu erkennen. Hierdurch kann zwar eine zeitliche Veränderung des Datenverkehrs erkannt werden. Um aber einen zulässigen Datenverkehr, wie er bei seltenen Fahrsituationen vorkommen kann (wie beispielsweise einer Fahrt mit vielen Eingriffen in die Fahrdynamik durch ein Fahrerassistenzsystem), nicht als Hackerangriff falsch zu interpretieren, sind entsprechende Toleranzschwellen beim Überprüfen der Daten nötig. Ansonsten käme es zu einem Fehlalarm, der auf einen Hackerangriff hinweist, obwohl lediglich eine seltene oder besondere Fahrsituation vorliegt.
  • Aus der DE 10 2013 200 528 A1 ist zum Überwachen des Datenverkehrs in einem Kraftfahrzeug bekannt, eine Häufigkeit bestimmter Nachrichten zu ermitteln und mit einem Normalverhalten des Datennetzwerks zu vergleichen. Auch hier besteht wieder das Problem, dass auch in besonderen Fahrsituationen, die nicht mit einem Hackerangriff in Verbindung stehen, eine Häufigkeit von Nachrichten von einem Normalverhalten abweichen kann. Auch hier kann es deshalb zu einem Fehlalarm in Bezug auf einen Hackerangriff kommen, falls die Toleranzschwelle zu niedrig angesetzt ist.
  • Der Erfindung liegt die Aufgabe zugrunde, bei Kraftfahrzeugen einen Hackerangriff auf das jeweilige Datennetzwerk der Kraftfahrzeuge zu erkennen.
  • Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung sind durch die abhängigen Patentansprüche, die folgende Beschreibung sowie die Figur beschrieben.
  • Durch die Erfindung ist ein Verfahren bereitgestellt, mittels welchem eine Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs oder zumindest einiger aus mehreren Kraftfahrzeugen erkannt werden kann. Es wird hier davon ausgegangen, dass mehrere Kraftfahrzeuge zu untersuchen sind. Über das jeweilige Datennetzwerk jedes Kraftfahrzeugs tauschen jeweils Steuergeräte des Kraftfahrzeugs Nachrichtendaten untereinander aus. Ein solches Datennetzwerk kann beispielsweise ein Ethernet und/oder einen CAN-Bus (CAN - Controller Area Network) und/oder einen LIN-Bus (LIN - Local Interconnect Network) und/oder einen FlexRay-Bus und/oder einen MOST-Bus (MOST - Media Oriented Systems Transport) umfassen. Das Verfahren wird durch eine zentrale, stationäre Servervorrichtung durchgeführt, also eine Servervorrichtung, die zum Beispiel am Internet betrieben oder angeschlossen werden kann. Eine Kommunikationseinrichtung der Servervorrichtung empfängt aus den Kraftfahrzeugen jeweils Meldedaten. Diese Meldedaten signalisieren aus dem jeweiligen Kraftfahrzeug eine vorbestimmte Mindestabweichung der Nachrichtendaten des jeweiligen Netzwerks des Kraftfahrzeugs von einem vorgegebenen Normalverhalten. Zusätzlich oder alternativ dazu signalisieren die Meldedaten eine vorbestimmte Mindestübereinstimmung der Nachrichtendaten des Datennetzwerks mit einem vorbestimmten Prüfmuster. Mit anderen Worten wird durch die Meldedaten signalisiert, dass in den jeweiligen Kraftfahrzeug die Nachrichtendaten zum Beispiel in Bezug auf ihre Häufigkeit und/oder Senderate und/oder ihren Inhalt und/oder den Sender und/oder Empfänger außerhalb eines jeweiligen vorgegebenen Wertebereichs und/oder außerhalb einer statistischen Verteilung liegen, die das Normalverhalten definieren. Die Mindestabweichung bedeutet, dass der Unterschied zum Normalverhalten größer als ein vorbestimmter Mindestwert oder ein vorbestimmtes Mindestmaß ist. Zusätzlich oder alternativ dazu kann ein vorbestimmtes Prüfmuster in den Kraftfahrzeugen gesucht werden, und bei einer Übereinstimmung der Nachrichtendaten mit dem Prüfmuster um mehr als einen vorbestimmten Mindestwert werden korrespondierende Meldedaten an die Kommunikationseinrichtung ausgesendet. Eine Erkennungseinrichtung der Servervorrichtung erkennt dann in den Meldedaten mehrerer der Kraftfahrzeuge einen übereinstimmenden Anteil. Mit anderen Worten wird erkannt, dass nicht nur ein einzelnes Kraftfahrzeug bestimmte Meldedaten sendet, sondern mehrere Kraftfahrzeuge gleiche oder ähnliche Meldedaten gesendet haben. Der übereinstimmende Anteil kann also durch ein Abstandsmaß zum Vergleichen der Meldedaten bestimmt sein und hierbei ein Abstandswert kleiner als ein vorbestimmter Höchstwert eine Übereinstimmung definieren. Dieser übereinstimmende Anteil wird im Folgenden als Angriffsdaten bezeichnet. Melden also mehrere Kraftfahrzeuge gleiche oder im Sinne des Abstandsmaßes ähnliche Meldedaten, so ergibt sich also bei mehreren Kraftfahrzeugen ein übereinstimmendes Fehlerbild, weil ja die Meldedaten auf eine Abweichung vom Normalverhalten und/oder eine Übereinstimmung mit einem Prüfmuster hinweisen. Es kann sich also bei den Meldedaten nicht um einen Fehlalarm in einem einzelnen Kraftfahrzeug handeln, wie er sich durch eine spezifische, extreme Fahrsituation ergeben könnte. Eine Abwehreinrichtung der Servervorrichtung überprüft dann, ob die Angriffsdaten ein vorbestimmtes Kritikalitätskriterium erfüllen. Des Kritikalitätskriterium kann definieren, ob die Angriffsdaten relevant sind. Bei erfülltem Kritikalitätskriterium löst die Abwehreinrichtung zumindest eine vorbestimmte Abwehrmaßnahme aus, durch welche in den Kraftfahrzeugen das Erzeugen weiterer Angriffsdaten blockiert wird. Mittels der zumindest einen vorbestimmten Abwehrmaßnahme kann also der Ursache der Angriffsdaten, die zu den Merkmalsdaten geführt haben, entgegengewirkt werden. Die Abwehreinrichtung kann als Abwehrmaßnahme z.B. ein Update einer Betriebssoftware zumindest eines Steuergeräts auslösen. Die Abwehreinrichtung kann als ein Programmcode der Steuervorrichtung ausgestaltet sein.
  • Durch das erfindungsgemäße Verfahren ergibt sich also eine großflächige Überwachung mehrerer Kraftfahrzeuge, sodass das Entstehen von Angriffsdaten in mehreren Kraftfahrzeugen erkannt wird und daraufhin zumindest eine vorbestimmte Abwehrmaßnahme oder Reaktion auf die Angriffsdaten ausgelöst werden kann. Die Servervorrichtung ermittelt hierzu Indizien betreffend die Übereinstimmung von Meldedaten in mehreren Kraftfahrzeugen.
  • Zu der Erfindung gehören auch Weiterbildungen, durch deren Merkmale sich zusätzliche Vorteile ergeben.
  • Bevorzugt enthalten die Mediendaten zusätzlich die zugehörigen Nachrichtendaten, welche vom Normalverhalten abweichen und/oder welche mit dem Prüfmuster übereinstimmen. Zum Erkennen des in mehreren Kraftfahrzeugen übereinstimmenden Anteils, also zum Erkennen der Angriffsdaten, werden auch die zugehörigen Nachrichtendaten verglichen. Hieran kann erkannt werden, ob ein Hackerangriff mittels gleicher Nachrichtendaten in den Datennetzwerken der Kraftfahrzeuge durchgeführt wird, also z.B. mittels eines bestimmten Bitmusters, mit dem auf eine Schwachstelle in einem Steuergerät abgezielt wird.
  • Die Meldedaten enthalten bevorzugt zusätzlich auch Steuergerätedaten der Steuergeräte. Zum Ermitteln des in mehreren Kraftfahrzeugen übereinstimmenden Anteils und/oder zum Auswählen der zumindest einen Abwehrmaßnahme werden entsprechend auch bevorzugt die Steuergerätedaten zu Grunde gelegt. Auf Grundlage der Steuergerätedaten kann auch die jeweilige Ausstattung oder Konfiguration der Kraftfahrzeuge verglichen werden. Enthält ein Kraftfahrzeug beispielsweise ein Steuergerät, das Nachrichtendaten für einen bestimmten Nachrichtentyp mit einer ersten Nachrichtenrate (Nachrichten pro Zeit) aussendet, und ein anderes Kraftfahrzeug ein Steuergerät eines anderen Gerätetyps, das mit einer größeren Nachrichtenrate versendet, weil es beispielsweise leistungsfähiger ist oder einen Sensor mit einer anderen Datenrate aufweist, so ist anhand der Steuergerätedaten erkennbar, dass die Nachrichtenraten dieser beiden Kraftfahrzeuge nicht verglichen werden sollten oder ein Korrekturfaktor angewendet werden muss.
  • Um den übereinstimmenden Anteil in den Meldedaten zu erkennen, wird dieser bevorzugt auf der Grundlage einer Mustererkennung und/oder einer Methode des maschinellen Lernens erkannt. Eine Mustererkennung kann beispielsweise auf der Grundlage eines Hidden-Markov-Modells (HMM) oder eines künstlichen neuronalen Netzwerks (ANN - Artificial Neural Network) durchgeführt werden. Hierdurch ergibt sich der Vorteil, dass auch statistische Abweichungen in den Angriffsdaten, wie sie beispielsweise durch eine jeweilige in einem angegriffenen Fahrzeug vorliegende Fahrsituation verursacht werden kann, bei der Erkennung der Angriffsdaten berücksichtigt oder kompensiert werden kann. Mit einer Methode des maschinellen Lernens ist hier gemeint, dass durch die Erkennungseinrichtung selbst die Kriterien ermittelt werden, anhand welcher eine Übereinstimmung erkannt wird. Dies wird als sogenanntes „Unüberwachtes Lernen“ bezeichnet und kann beispielsweise mittels eines sogenannten Clustering-Verfahrens, zum Beispiel einem Estimation-Maximization-Algorithmus, durchgeführt werden. Hierdurch ergibt sich der Vorteil, dass nicht im Voraus die Kriterien zum Erkennen einer Übereinstimmung oder ein Übereinstimmungsmaß definiert sein muss. Hierdurch kann man auf noch unbekannte Arten von Hackerangriffen reagieren.
  • Damit die Kraftfahrzeuge überhaupt Meldedaten aussenden, ist das Normalverhalten zu beschreiben. Das Normalverhalten umfasst insbesondere, dass die Nachrichtendaten über registrierte Kommunikationsverbindungen zwischen den Steuergeräten ausgetauscht werden, also im Voraus bekannte Kommunikationsbeziehungen verwendet werden. Zusätzlich oder alternativ dazu kann das Normalverhalten umfassen, dass die Nachrichtendaten mit einer Nachrichtenrate ausgetauscht werden, deren Wert innerhalb eines registrierten Intervalls und/oder eine registrierte statistische Verteilung aufweist. Zusätzlich oder alternativ dazu kann das Normalverhalten umfassen, dass die Nachrichten ausschließlich registrierte Absenderadressen und/oder Empfängeradressen enthalten. Das Normalverhalten kann in einem Kraftfahrzeug auch erlernt werden, indem in einer Lernphase, während welcher man nicht von einem Hackerangriff ausgehen muss (z.B. bei einer Testfahrt unmittelbar nach der Produktion des Kraftfahrzeugs), Kommunikationsbeziehungen und/oder Intervalle und/oder statistische Verteilungen für Werte und/oder Absenderadressen und/oder Empfängeradressen in den Datennetzwerk erkannt oder erfasst werden und registriert werden.
  • Zum Definieren des Normalverhaltens können auf der Grundlage von Nachrichtendaten des jeweiligen Kraftfahrzeugs mittels einer Methode des maschinellen Lernens das Normalverhalten definierende Parameterwerte erlernt werden. Dies kann beispielsweise mittels eines künstlichen neuronalen Netzwerks und/oder eines HMM und/oder einer Support-Vector-Machine (SVM) oder mittels eines Histogramms zum Ermitteln einer statistischen Verteilung durchgeführt werden. Dies kann auch durch die Servervorrichtung durchgeführt werden.
  • Wenn ein übereinstimmender Anteil an Meldedaten in mehreren Kraftfahrzeugen erkannt wird, führt dies nicht automatisch zu der zumindest einen Abwehrmaßnahme. Vielmehr wird zunächst durch die Abwehreinrichtung das Kritikalitätskriterium überprüft. Dieses umfasst insbesondere, dass die Anzahl der Kraftfahrzeuge, die den übereinstimmenden Anteil der Meldedaten aufweisen, größer als ein vorbestimmter Schwellenwert ist. Zusätzlich oder alternativ dazu kann das Kritikalitätskriterium umfassen, dass die Anzahl einen vorbestimmten zeitlichen Trend aufweist. Steigt die Anzahl also beispielsweise innerhalb eines vorbestimmten Zeitintervalls um mehr als einen vorbestimmten Deltawert an, so kann ein solcher Trend ebenfalls das Kritikalitätskriterium erfüllen.
  • Es kann vorkommen, dass die Meldedaten zwar ein Indiz für einen Hackerangriff ergeben, aber die Meldedaten nicht ausreichen, um die Ausgestaltung oder Beschaffenheit des Hackerangriffs ausreichend für eine Abwehrmaßname zu analysieren. Um eine Analyse der Struktur und/oder Beschaffenheit des Hackerangriffs zu ermöglichen, ist bevorzugt vorgesehen, an diejenigen Kraftfahrzeuge, die den übereinstimmenden Anteil der Meldedaten aufweisen, ein Anforderungssignal mit einem auf der Grundlage der Angriffsdatengebildeten Suchmuster zum Auswählen und bereitstellen zusätzlicher Meldedaten (zum Beispiel zusätzlichen Nachrichtendaten und/oder Steuergerätedaten) ausgesendet wird und aus den Kraftfahrzeugen die angeforderten zusätzlichen Meldedaten empfangen werden. Anhand der zusätzlichen Meldedaten werden dann die Angriffsdaten dahingehend ergänzt, dass eine die Angriffsdaten hervorrufende Ursache beschrieben wird. Beispielsweise wird also das die Angriffsdaten in den jeweiligen Kraftfahrzeug aussendende Steuergerät identifiziert und/oder ein Datenmuster identifiziert, das in den Angriffsdaten enthalten ist und welches eine Betriebsweise zumindest eines anderen Steuergeräts des Kraftfahrzeugs manipuliert und/oder beeinträchtigt. Hierdurch kann das Fehlerbild konkretisiert werden. Das Suchmuster stellt einen Filter dar, das aus den Nachrichtendaten und/oder Steuergerätedaten die angeforderten Anteile identifiziert oder herausfiltert, um sie an die Servervorrichtung übermitteln zu können. Das Suchmuster ist also ein Detektionsmuster.
  • Um die Erzeugung oder Entstehung weiterer Angriffsdaten in den Kraftfahrzeugen zu unterdrücken, wird die zumindest eine Abwehrmaßnahme ausgelöst. Diese zumindest eine Abwehrmaßnahme umfasst insbesondere, dass ein Angriffsmuster, das zum Detektieren der Angriffsdaten in jedem Kraftfahrzeug ausgelegt ist, an die Kraftfahrzeuge ausgesendet wird. Hierdurch kann jedes Kraftfahrzeug die in dessen Datennetzwerk erzeugten Angriffsdaten identifizieren und zum Beispiel löschen. Zusätzlich oder alternativ dazu ist vorgesehen, dass die zumindest eine Abwehrmaßnahme umfasst, dass zumindest eine Toleranzschwelle, durch welche das Normalverhalten definiert ist, in den Kraftfahrzeugen gesenkt wird. Dies ermöglicht eine gezielte Suche nach zusätzlichen Nachrichtendaten, die durch einen Hackerangriff verursacht worden sein können. Mit der Toleranzschwelle ist die eingangs beschriebene Toleranzschwelle gemeint, die nötig ist, um in bestimmten Fahrsituationen einen Fehlalarm bei der Detektion von Hackerangriffen zu vermeiden. Ist allerdings anhand der Meldedaten und des übereinstimmenden Anteils in mehreren Kraftfahrzeugen erkannt worden, dass ein Hackerangriff vorliegen könnte, so können durch Senken der Toleranzschwelle mehr Meldedaten erzeugt werden, die nun aber in der Servervorrichtung durch die Erkennungseinrichtung zunächst auf einen übereinstimmenden Anteil überprüft werden und durch die Abwehreinrichtung dann noch auf das Kritikalitätskriterium geprüft werden, bevor es zu einem Fehlalarm kommen kann. Zusätzlich oder alternativ kann die Abwehrmaßnahme umfassen, dass eine Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte des Kraftfahrzeugs ausgesendet wird.
  • Zum Durchführen des Verfahrens ist die beschriebene Servervorrichtung zum Betreiben am Internet bereitgestellt. Die Servervorrichtung kann durch einen Computer oder einen Computerverbund bereitgestellt sein, der an das Internet angeschlossen sein kann. Die Servervorrichtung weist eine Kommunikationseinrichtung zum Empfangen von Meldedaten aus Kraftfahrzeugen auf. Die Servervorrichtung kann beispielsweise durch eine NIC (Network Interface Card) bereitgestellt sein. Die Meldedaten können beispielsweise über ein Ethernet und/oder eine Internetverbindung empfangen werden. Des Weiteren weist die Servervorrichtung die Erkennungseinrichtung zum Erkennen der Angriffsdaten, die den übereinstimmenden Anteil der Meldedaten mehrerer Kraftfahrzeuge darstellen, und die Abwehreinrichtung zum Auslösen zumindest einer vorbestimmten Abwehrmaßnahme gegen die Erzeugung weiterer Angriffsdaten auf. Die Servervorrichtung weist hierzu eine Prozessoreinrichtung auf, die dazu eingerichtet ist, eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Die Erkennungseinrichtung und die Abwehreinrichtung können hierbei zum Beispiel jeweils ein Programmmodul für die Prozessoreinrichtung sein. Insgesamt kann in der Prozessoreinrichtung ein Programmcode bereitgestellt sein, der dazu eingerichtet ist, bei Ausführen durch die Prozessoreinrichtung eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Der Programmcode kann in einem Datenspeicher der Prozessoreinrichtung gespeichert sein.
  • Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt die einzige Figur (Fig.) eine schematische Darstellung einer Ausführungsform der erfindungsgemäßen Servervorrichtung, die mit mehreren Kraftfahrzeugen kommuniziert.
  • Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
  • Die Figur zeigt eine Servervorrichtung 10, das Internet 11 und mehrere Kraftfahrzeuge 12. Die Kraftfahrzeuge 12 können in vergleichbarer Weise ausgestaltet sein, weshalb nur eines der Kraftfahrzeuge 12 in der Figur im Detail dargestellt ist.
  • Die Servervorrichtung 10 kann ein Computer oder ein Computerverbund sein. In der Servervorrichtung 10 können eine Kommunikationseinrichtung 13 und eine Prozessoreinrichtung 14 bereitgestellt sein. Die Kommunikationseinrichtung 13 kann beispielsweise durch eine Ethernet-Netzwerkkarte oder NIC gebildet sein. Die Prozessoreinrichtung 14 kann beispielsweise eine Erkennungseinrichtung 15 und eine Abwehreinrichtung 16 betreiben. Diese können als Programmcode der Prozessoreinrichtung 14 ausgestaltet sein. Die Servervorrichtung 10 kann mittels ihrer Kommunikationseinrichtung 13 aus den Kraftfahrzeugen 12 Meldedaten 17 empfangen, die auf eine Anomalie in einem jeweiligen internen Netzwerkverkehr der Kraftfahrzeuge 12 hinweisen oder diesen signalisieren. Die Meldedaten 17 der Kraftfahrzeuge 12 können von der Kommunikationseinrichtung 13 an die Erkennungseinrichtung 15 weitergegeben werden. Die Meldedaten 17 aller Kraftfahrzeuge 12 können dann miteinander verglichen werden. In der Figur sind in der Erkennungseinrichtung beispielhaft die Meldedaten 17 der unterschiedlichen Kraftfahrzeuge 12 in einem Diagramm aufgetragen, in welchem die Meldedaten dahingehend unterschieden sind, welchen Wert ein Parameter P1 und ein Parameter T2 in den jeweiligen Meldedaten 17 aufweist. Ein Parameter P1, P2 kann beispielsweise eine Nachrichtenrate und/oder einen Wert, der in einer jeweiligen Nachricht des Netzwerkverkehrs enthalten ist, z.B. einen Lenkwinkel, beschreiben. Durch die Erkennungseinrichtung 15 kann ein übereinstimmender Anteil 18 der Meldedaten 17 erkannt werden, der beispielsweise dadurch definiert sein kann, dass die Meldedaten identisch sind oder nur um einen vorbestimmten Höchstwert 19 voneinander abweichen. Dargestellt ist das Ergebnis einer Clustering-Methode.
  • Die Meldedaten 17, die den übereinstimmenden Anteil 18 darstellen, können als Angriffsdaten 20 an die Abwehreinrichtung 16 signalisiert werden. Die Abwehreinrichtung 16 kann zu den Angriffsdaten 20 ein Kritikalitätskriterium 21 überprüfen, welches beispielsweise vorgeben kann, dass eine vorbestimmte Mindestanzahl an Kraftfahrzeugen von den Angriffsdaten 20 betroffen sein muss. Mit anderen Worten muss die Anzahl der Kraftfahrzeuge, die den übereinstimmenden Anteil 18 der Meldedaten aufweisen, größer als ein vorbestimmter Schwellenwert ist. Ist dies nicht der Fall (in der Figur durch ein „-“ symbolisiert), so können die Angriffsdaten in einem Reaktionsschritt 22 ignoriert werden. Ist das Kritikalitätskriterium dagegen erfüllt (in der Figur durch ein „+“ repräsentiert), so kann in einem Reaktionsschritt 23 durch die Abwehreinrichtung 16 zumindest eine Abwehrmaßnahme 24 ausgelöst werden. Beispielsweise kann auf der Grundlage der Angriffsdaten ein Angriffsmuster 25 erzeugt und dieses durch die Abwehreinrichtung 16 über die Kommunikationseinrichtung 13 an die Kraftfahrzeuge 12 ausgesendet werden. In den Kraftfahrzeugen 12 kann somit anhand des Angriffsmuster 25 die Angriffsdaten in dem jeweiligen Netzwerkverkehr identifiziert oder erkannt werden. Für eine weitergehende Analyse kann auch ein Anforderungssignal 26 an die Kraftfahrzeuge 12 ausgesendet werden. Zusätzlich oder alternativ kann die Abwehreinrichtung 16 als Abwehrmaßnahme 24 vorsehen, dass eine Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte des Kraftfahrzeugs ausgesendet wird.
  • Für das Übertragen der Meldedaten 17, des Angriffsmusters 25 und/oder des Anforderungssignals 17 kann eine Kommunikationsverbindung 27 zwischen der Servervorrichtung 10 und den Kraftfahrzeugen 12 jeweils beispielsweise über das Internet 11 und eine Funkeinrichtung 28, beispielsweise einen WLAN-Router (WLAN - Wireless Local Area Network) oder ein Mobilfunknetzwerk, aufgebaut werden. Die Funkeinrichtung 28 kann eine jeweilige Funkverbindung 29 zu einer jeweiligen Fahrzeug-Kommunikationseinrichtung 30 betreiben. Innerhalb jedes Kraftfahrzeugs 12 kann der Netzwerkverkehr in einem jeweiligen Datennetzwerk 31 zwischen Steuergeräten 32 des Kraftfahrzeugs ausgetauscht werden, wobei durch den Netzwerkverkehr Nachrichtendaten 33 zwischen den Steuergeräten 32 über das Datennetzwerk 31 übertragen werden.
  • In einem Kraftfahrzeug 12 kann ein manipuliertes oder zusätzlich angeschlossenes Steuergerät 34 in dem Datennetzwerk 31 manipulierte Nachrichtendaten 35 erzeugen, um einen Hackerangriff durchzuführen. Unter einem Hackerangriff ist insbesondere eine unautorisierte Manipulation einer Betriebsweise eines Kraftfahrzeugs zu verstehen, wobei die Manipulation durch Verändern einer Betriebssoftware eines Steuergeräts des Kraftfahrzeugs und/oder durch Anschließen eines zusätzlichen, für den Hackerangriff ausgestalteten Steuergeräts an das Datennetzwerk ausgeführt wird. Mittels eines solchen jeweiligen Steuergeräts können die übrigen Steuergeräte des Kraftfahrzeugs beeinflusst werden, insbesondere ihre Betriebsweise beeinträchtigt werden, indem zum Beispiel eine Vielzahl von Nachrichten, die das Verarbeitungsvermögen eines Steuergeräts und/oder eines Netzwerk-Switches und/oder eines Netzwerk-Gateways überschreiten, erzeugt werden. Auch Nachrichten mit einem Nachrichteninhalt, welcher bei einer Verarbeitung durch ein Steuergerät einen Fehler in dem Steuergerät auslöst, kann für einen Hackerangriff genutzt sein. Z.B. kann ein spezielles Bitmuster einen Fehler auslösen, wenn eine entsprechende Schwachstelle vorliegt.
  • Eine Überwachungseinrichtung 36 kann die Nachrichtendaten 33 und die manipulierte Nachrichtendaten 35 überwachen und beispielsweise eine Abweichung von einem Normalverhalten des Datennetzwerks 31 erkennen, also den Einfluss der manipulierten Nachrichtendaten 35 detektieren. Das Normalverhalten kann beispielsweise ein statistisches Normalverhalten 37 sein, welches eine statistische Verteilung oder Häufigkeit H eines zum Beispiel in den Nachrichtendaten enthaltenen Werts W, beispielsweise eines Sensorwerts oder eines Steuerwerts, oder eine Nachrichtenrate beschreibt. Eine tatsächliche statistische Verteilung 37' kann von dem statistischen Normalverhalten 37 abweichen. Durch einen Vergleich der Verteilungen 37, 37', beispielsweise mittels der Kullback-Leibler-Divergenz, und einem Schwellenwert können dann durch die Überwachungseinrichtung 36 die Meldedaten 17 erzeugt werden, welche die Abweichung vom statistischen Normalverhalten 37 signalisieren und zum Beispiel die zugehörigen manipulierten Nachrichtendaten 35 und/oder Steuergerätedaten des Steuergeräts 34 enthalten können.
  • Anhand des Angriffsmuster 25 kann durch die Überwachungseinrichtung 36 dann gezielt die manipulierten Nachrichtendaten 35 herausgefiltert oder detektiert werden, da durch das Kritikalitätskriterium 21 der Servervorrichtung 10 verifiziert wurde, dass die Verteilung 37' nicht auf einen besonderen Fahrzustand des Kraftfahrzeugs 12 selbst zurückzuführen ist, sondern ein Phänomen darstellt, das in mehreren Kraftfahrzeugen erkannt wurde und deshalb auf einen Hackerangriff hindeuten kann.
  • Somit werden Manipulationen und Hackerangriffe in einzelnen Kraftfahrzeugen anhand von Anomalien in deren internen Netzwerkverkehr erkannt, diese Symptome klassifiziert, beispielsweise als statistische Abweichung oder als Schwellenwert-Überschreitung, und dies dann als Meldedaten 17 an die Servervorrichtung 10 versendet. Die Besonderheit besteht darin, dass die Erkennungslogik der Servervorrichtung, also die Erkennungseinrichtung 15, mehrere Informationsquellen nutzt, nämlich die Netzwerkdaten und Steuergerätedaten, die in den Kraftfahrzeugen aggregiert und als Meldedaten 17 an die Servervorrichtung 10 übertragen werden können. Die Erkennungseinrichtung 15 kann beispielsweise auf der Grundlage einer Mustererkennung in den Meldedaten 17 ein Lagebild über die gesamte Fahrzeugflotte, d.h. die Kraftfahrzeuge 12, erstellen. Das Lagebild beschreibt dann einen übereinstimmenden Anteil 18, also übereinstimmende Symptome in mehreren der Kraftfahrzeuge 12. Gegebenenfalls kann dann auf Angriffe mit geeigneten Abwehrmaßnahmen, beispielsweise einem Softwareupdate, reagiert werden.
  • Insgesamt zeigen die Beispiele, wie durch die Erfindung eine zentrale Manipulationserkennung bei vernetzten Kraftfahrzeugen bereitgestellt werden kann.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102004063319 A1 [0004]
    • DE 102013200525 A1 [0005]
    • DE 102013200528 A1 [0006]

Claims (10)

  1. Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk (31) in zumindest einem von mehreren Kraftfahrzeugen (12), wobei über das jeweilige Datennetzwerk (31) jedes Kraftfahrzeugs (12) jeweils Steuergeräte (32, 34) des Kraftfahrzeugs (12) Nachrichtendaten (33, 35) austauschen und bei dem Verfahren in einer zentralen, stationären Servervorrichtung (10): - eine Kommunikationseinrichtung (13) aus den mehreren Kraftfahrzeugen (12) jeweils Meldedaten (17) empfängt, wobei die Meldedaten (17) eine vorbestimmte Mindestabweichung der Nachrichtendaten (33, 35) des jeweiligen Datennetzwerks (31) von einem vorgegebenen Normalverhalten (37) und/oder eine vorbestimmte Mindestübereinstimmung der Nachrichtendaten (33, 35) mit einem vorbestimmten Prüfmuster signalisieren; - eine Erkennungseinrichtung (15) in den Meldedaten (17) mehrerer der Kraftfahrzeuge (12) einen übereinstimmenden Anteil (18) als Angriffsdaten (20) erkennt; und - eine Abwehreinrichtung (16) überprüft, ob die Angriffsdaten (20) ein vorbestimmtes Kritikalitätskriterium (21) erfüllen, und bei erfülltem Kritikalitätskriterium (21) zumindest eine vorbestimmte Abwehrmaßnahme (24) auslöst, durch welche in den Kraftfahrzeugen (12) das Erzeugen weiterer Angriffsdaten (20) blockiert wird.
  2. Verfahren nach Anspruch 1, wobei die Meldedaten (17) zusätzlich die zugehörigen Nachrichtendaten (35), welche vom Normalverhalten (37) abweichen und/oder welche mit dem Prüfmuster übereinstimmen, enthalten und zum Erkennen des in mehreren Kraftfahrzeugen (12) übereinstimmenden Anteils (18) auch die zugehörigen Nachrichtendaten (35) verglichen werden.
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Meldedaten (17) zusätzlich auch Steuergerätedaten der Steuergeräte (32, 34) enthalten und zum Ermitteln des in mehreren Kraftfahrzeugen (12) übereinstimmenden Anteils (18) und/oder zum Auswählen der zumindest einen Abwehrmaßnahme (24) auch die Steuergerätedaten zugrunde gelegt werden.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei der übereinstimmende Anteil (18) auf der Grundlage einer Mustererkennung und/oder einer Methode des maschinellen Lernens erkannt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Normalverhalten (37) umfasst, dass die Nachrichtendaten (33, 35) über registrierte Kommunikationsbeziehungen zwischen den Steuergeräten (32, 34) ausgetauscht werden und/oder dass die Nachrichtendaten (33, 35) mit einer Nachrichtenrate ausgetauscht werden, deren Wert innerhalb eines registrierten Intervalls und/oder eine registrierte statistische Verteilung aufweist, und/oder dass die Nachrichtendaten (33, 35) ausschließlich registrierte Absenderadressen und/oder registrierte Empfängerdressen enthalten.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Definieren des Normalverhaltens (37) auf der Grundlage von Nachrichtendaten (33) des jeweiligen Kraftfahrzeugs (12) mittels einer Methode des maschinellen Lernens das Normalverhalten (37) definierende Parameterwerte erlernt werden.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Kritikalitätskriterium (21) umfasst, dass die Anzahl der Kraftfahrzeuge (12), die den übereinstimmenden Anteil (18) der Meldedaten (17) aufweisen, größer als ein vorbestimmter Schwellenwert ist und/oder die Anzahl einen vorbestimmten zeitlichen Trend aufweist.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei auf der Grundlage der Angriffsdaten (20) an die Kraftfahrzeuge (20), die den übereinstimmenden Anteil (18) aufweisen, ein Anforderungssignal (26) mit einem Suchmuster zum Auswählen und Bereitstellen zusätzlicher Meldedaten (17) ausgesendet wird und aus den Kraftfahrzeugen (12) die angeforderten zusätzlichen Meldedaten (17) empfangen werden und anhand der zusätzlichen Meldedaten (17) die Angriffsdaten (20) dahingehend ergänzt werden, dass eine die Angriffsdaten (20) hervorrufenden Ursache beschrieben wird.
  9. Verfahren nach einem der vorhergehenden Ansprüche, wobei die zumindest eine Abwehrmaßnahme (24) umfasst, dass ein Angriffsmuster (25), das zum Detektieren der Angriffsdaten (20) in jedem Kraftfahrzeug (20) ausgelegt ist, an die Kraftfahrzeuge (12) ausgesendet wird und/oder dass eine jeweilige Toleranzschwelle, durch welche das Normalverhalten (37) definiert ist, in den Kraftfahrzeugen (12) gesenkt wird und/oder eine Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte (32, 34) des jeweiligen Kraftfahrzeugs (12) ausgesendet wird.
  10. Servervorrichtung (10) zum Betreiben am Internet, wobei die Servervorrichtung (10) eine Kommunikationseinrichtung (13) zum Empfangen von Meldedaten (17) aus Kraftfahrzeugen (12), eine Erkennungseinrichtung (15) zum Erkennen von Angriffsdaten (20), die einen übereinstimmenden Anteil (18) der Meldedaten (17) mehrerer der Kraftfahrzeuge (12) darstellen, und eine Abwehreinrichtung (16) zum Auslösen zumindest einer vorbestimmten Abwehrmaßnahme (24) gegen die Erzeugung weiterer Angriffsdaten (20) aufweist, dadurch gekennzeichnet, dass die Servervorrichtung (10) eine Prozessoreinrichtung (14) aufweist, die dazu eingerichtet ist, ein Verfahren nach einem der vorhergehenden Ansprüche durchzuführen.
DE102017202176.4A 2017-02-10 2017-02-10 Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung Active DE102017202176B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102017202176.4A DE102017202176B4 (de) 2017-02-10 2017-02-10 Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
PCT/EP2018/052727 WO2018146028A1 (de) 2017-02-10 2018-02-05 Verfahren zum erkennen einer manipulation an einem jeweiligen datennetzwerk zumindest eines kraftfahrzeugs sowie servervorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017202176.4A DE102017202176B4 (de) 2017-02-10 2017-02-10 Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung

Publications (2)

Publication Number Publication Date
DE102017202176A1 true DE102017202176A1 (de) 2018-08-16
DE102017202176B4 DE102017202176B4 (de) 2023-11-30

Family

ID=61163722

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017202176.4A Active DE102017202176B4 (de) 2017-02-10 2017-02-10 Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung

Country Status (2)

Country Link
DE (1) DE102017202176B4 (de)
WO (1) WO2018146028A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112968891A (zh) * 2021-02-19 2021-06-15 山东英信计算机技术有限公司 网络攻击防御方法、装置及计算机可读存储介质
EP3915843A4 (de) * 2019-01-21 2022-03-16 NTT Communications Corporation Fahrzeugsicherheitsüberwachungsvorrichtung, verfahren und programm

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11354406B2 (en) * 2018-06-28 2022-06-07 Intel Corporation Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles
JP7344009B2 (ja) * 2018-10-17 2023-09-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
CN109639690B (zh) * 2018-12-18 2021-09-24 重庆长安新能源汽车科技有限公司 一种车载监控终端及其远程监控方法和系统
DE102019129628B3 (de) * 2019-11-04 2021-05-06 Audi Ag Verfahren und Steuergerät zum Detektieren eines unautorisierten Datenverkehrs in einem paketorientierten Datennetzwerk eines Kraftfahrzeugs sowie entsprechendes Kraftfahrzeug

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004063319A1 (de) 2004-12-23 2006-07-13 Volkswagen Ag Vorrichtung und Verfahren zur Überprüfung fahrzeuginterner Software-Komponenten
KR102281914B1 (ko) 2012-10-17 2021-07-27 타워-섹 리미티드 차량에 대한 공격의 검출 및 예방을 위한 디바이스
DE102013200528A1 (de) 2013-01-16 2014-07-17 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102013200525A1 (de) 2013-01-16 2014-07-17 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
EP2892202B1 (de) 2014-01-06 2018-06-20 Argus Cyber Security Ltd. Gehosteter Wächter
DE102015205670A1 (de) 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
US11252180B2 (en) * 2015-06-29 2022-02-15 Argus Cyber Security Ltd. System and method for content based anomaly detection in an in-vehicle communication network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3915843A4 (de) * 2019-01-21 2022-03-16 NTT Communications Corporation Fahrzeugsicherheitsüberwachungsvorrichtung, verfahren und programm
CN112968891A (zh) * 2021-02-19 2021-06-15 山东英信计算机技术有限公司 网络攻击防御方法、装置及计算机可读存储介质

Also Published As

Publication number Publication date
DE102017202176B4 (de) 2023-11-30
WO2018146028A1 (de) 2018-08-16

Similar Documents

Publication Publication Date Title
DE102017202176B4 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
WO2019052798A1 (de) Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem
DE102016204999A1 (de) Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE112018004881T5 (de) Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
DE102016221378A1 (de) Verfahren zum Übertragen von Daten
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102019201953B4 (de) Verfahren und Detektionsvorrichtung zum Detektieren eines Eingriffs in ein Kraftfahrzeug sowie Kraftfahrzeug mit einer Detektionsvorrichtung
DE102017209806A1 (de) Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
EP2618226A1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
WO2023041214A1 (de) Verfahren zum erkennen einer unterbrechung einer datenübertragung von einem fahrzeug an eine sicherheitsrelevante funktion eines fahrzeugexternen servers, computerlesbares medium, system, und fahrzeug
WO2019020549A1 (de) Verfahren und vorrichtung zum schützen eines feldbusses
DE102017210647A1 (de) Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus
DE102018216958B4 (de) Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren
DE102021123785A1 (de) Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug
DE102022201899A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102022201895A1 (de) Mitigation einer manipulation von software eines fahrzeugs
WO2022238025A1 (de) Verfahren zum erkennen einer unzulässigen nachricht eines manipulierten steuergeräts eines fahrzeugs durch ein zweites steuergerät des fahrzeugs, computerlesbares medium, system, und fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R082 Change of representative

Representative=s name: HOFSTETTER, SCHURACK & PARTNER - PATENT- UND R, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division