DE102017208545A1 - Method for protecting a network from cyber attack - Google Patents

Method for protecting a network from cyber attack Download PDF

Info

Publication number
DE102017208545A1
DE102017208545A1 DE102017208545.2A DE102017208545A DE102017208545A1 DE 102017208545 A1 DE102017208545 A1 DE 102017208545A1 DE 102017208545 A DE102017208545 A DE 102017208545A DE 102017208545 A1 DE102017208545 A1 DE 102017208545A1
Authority
DE
Germany
Prior art keywords
network
message
attack
transmission
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017208545.2A
Other languages
German (de)
Inventor
Hans LOEHR
Robert Szerwinski
Paulius Duplys
Rene GUILLAUME
Sebastien Leger
Clemens Schroff
Herve Seudie
Christopher Huth
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017208545.2A priority Critical patent/DE102017208545A1/en
Priority to CN201810479165.XA priority patent/CN108965234B/en
Publication of DE102017208545A1 publication Critical patent/DE102017208545A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]

Abstract

Es wird ein Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff vorgeschlagen, wobei Bits oder Bitfolgen von Nachrichten in dem Netzwerk über unterschiedliche Pegel auf einer Übertragungsstrecke des Netzwerks übertragen werden. Für eine erste Übertragung einer Nachricht in dem Netzwerk wird mindestens eine Dauer mindestens eines der unterschiedlichen Pegel bestimmt wird. Die die mindestens eine Dauer oder eine daraus abgeleitete Größe wird mit mindestens einer vorbestimmten Größe verglichen wird und in Abhängigkeit des Vergleichs wird der Cyberangriff auf das Netzwerk erkannt wird oder der Cyberangriff auf das Netzwerk in dem Netzwerk lokalisiert.A method of protecting a network from cyber attack is proposed wherein bits or bit strings of messages in the network are transmitted over different levels on a transmission link of the network. For a first transmission of a message in the network, at least one duration of at least one of the different levels is determined. The at least one duration or derived quantity is compared to at least one predetermined size, and depending on the comparison, the cyber attack on the network is detected or the cyber attack on the network is located in the network.

Description

Technisches GebietTechnical area

Vorgestellt werden Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff, hierzu eingerichtete Netzwerkteilnehmer sowie ein hierzu eingerichtetes Computerprogramm.Disclosed are methods for protecting a network from cyber attack, network participants configured for this purpose and a computer program configured for this purpose.

Stand der TechnikState of the art

Aus der WO2012159940 A2 ist ein Verfahren bekannt, einen Fingerabdruck zur Charakterisierung eines Fahrzeugnetzwerks heranzuziehen, um eine Manipulation des Fahrzeugnetzwerks feststellen zu können. Der Fingerabdruck wird dabei insbesondere aus einer Netzwerkkonfiguration gewonnen.From the WO2012159940 A2 For example, a method is known for using a fingerprint to characterize a vehicle network in order to detect a manipulation of the vehicle network. The fingerprint is obtained in particular from a network configuration.

Die EP2433457B1 beschreibt ein Sicherheitssystem für Fahrzeuge sowie Methoden zur Eindringerkennung (Intrusion Dectection) sowie Maßnahmen zur Reaktion, falls ein entsprechender Cyberangriff festgestellt wird.The EP2433457B1 describes a vehicle safety system and methods of intrusion detection (intrusion detection) as well as response measures if a corresponding cyberattack is detected.

Offenbarung der ErfindungDisclosure of the invention

Es werden Verfahren vorgeschlagen, mit denen der Schutz eines Netzwerkes erhöht wird, indem ein Cyberangriff auf das Netzwerk anhand einer Übertragung im Netzwerk erkannt oder ein erkannter Angriff lokalisiert werden kann. Dazu werden als Charakteristika Bitlängen bzw. Pegeldauern der Übertragung mit mindestens einem vorbestimmten Wert bzw. Fingerabdruck verglichen. Der Fingerabdruck geht dabei insbesondere zurück auf zuvor bestimmte charakteristische Bitlängen bzw. Pegeldauern für Übertragungen bestimmter Netzwerkteilnehmer. Anhand des Vergleichs kann eine Herkunft der Nachricht erkannt und damit (gegebenenfalls in Kombination mit weiteren Eigenschaften) ein Cyberangriff erkannt werden oder ein erkannter Cyberangriff lokalisiert werden. Die Lokalisierung erfolgt vorzugsweise für einen Netzwerkteilnehmer, ein Netzwerksegment oder eine Übertragungsstrecke des Netzwerks.Methods are proposed for increasing the protection of a network by detecting a cyber attack on the network by means of a transmission in the network or by locating a detected attack. For this purpose, bit lengths or level durations of the transmission with at least one predetermined value or fingerprint are compared as characteristics. In particular, the fingerprint is based on previously determined characteristic bit lengths or level durations for transmissions of specific network subscribers. Based on the comparison, an origin of the message can be detected and thus (if appropriate in combination with other properties) a cyberattack can be detected or a detected cyberattack can be located. The localization preferably takes place for a network subscriber, a network segment or a transmission link of the network.

Ein Netzwerk oder ein Teilnehmer eines Netzwerks sind eingerichtet, die beschriebenen Verfahren durchzuführen, indem sie über elektronische Speicher- und Rechenressourcen verfügen, die Schritte eines entsprechenden Verfahrens auszuführen. Auf einem Speichermedium eines solchen Teilnehmers oder auf den verteilten Speicherressourcen eines Netzwerks kann auch ein Computerprogramm abgelegt sein, dass dazu eingerichtet ist, alle Schritte eines entsprechenden Verfahrens auszuführen, wenn es in dem Teilnehmer oder in dem Netzwerk abgearbeitet wird.A network or subscriber to a network is set up to perform the described procedures by having electronic memory and computational resources to perform the steps of a corresponding method. Also stored on a storage medium of such a user or on the distributed storage resources of a network may be a computer program configured to perform all the steps of a corresponding method when executed in the subscriber or in the network.

Die vorgeschlagenen Verfahren ermöglichen durch eine Lokalisierung des Angriffspunktes eines Cyberangriffes auf das Netzwerk eine gezieltere Reaktion auf den Angriff. Wird der herangezogene Fingerabdruck anhand eines Modells (z.B. umfassend einen Lernalgorithmus, ein neuronales Netz, ein stochastisches Modell oder ein datenbasiertes oder automatenbasiertes Modell) aus geeigneten Charakteristika einer Übertragung bestimmt, so kann das Verfahren besonders zuverlässig und robust gestaltet werden.The proposed methods allow a more targeted response to the attack by locating the point of attack of a cyberattack on the network. By using a model (e.g., comprising a learning algorithm, a neural network, a stochastic model, or a data-based or automata-based model) to determine the fingerprint used from appropriate transmission characteristics, the method can be rendered particularly reliable and robust.

Als weitere Vorteile der vorgeschlagenen Verfahren sind hierfür keine zusätzlich übertragenen Daten nötig, wodurch es auch keinen negativen Einfluss auf Echtzeitanforderungen des Netzwerks gibt. Ein Angreifer außerhalb des Netzwerks kann die physikalischen Charakteristika der Übertragung nicht verändern, da diese sich aus Hardwareeigenschaften des Netzwerks und seiner Komponenten ergeben und damit höheren Softwareschichten nicht zugänglich sind.As additional advantages of the proposed methods, no additional data is required for this purpose, which means that there is no negative influence on real-time requirements of the network. An out-of-network attacker can not change the physical characteristics of the transmission, as these are due to hardware characteristics of the network and its components, and thus are inaccessible to higher-level software.

In bevorzugten Ausgestaltungen gehen die herangezogenen Charakteristika der Übertragung zurück auf physikalische Eigenschaften des Netzwerks, von Übertragungskanälen oder Übertragungsmedien des Netzwerks wie Kabeln, Koppelnetzwerken, Filterschaltungen oder Anschlussstellen, der Teilnehmerhardware, insbesondere von Transceivern oder Mikrocontrollern, einer Topologie des Netzwerks oder von Netzabschlüssen oder Abschlusswiderständen etc.In preferred embodiments, the characteristics of the transmission referred to go back to physical properties of the network, of transmission channels or transmission media of the network such as cables, switching networks, filtering circuits or connection points, the subscriber hardware, in particular transceivers or microcontrollers, a topology of the network or network terminations or termination resistors etc ,

In einer besonders bevorzugten Ausgestaltung des Verfahrens wird die Fehlerbehandlung bei erkannter Manipulation gezielt für einen lokalisierten Netzwerkteilnehmer, ein lokalisiertes Netzwerksegment oder für eine lokalisierte Übertragungsstrecke des Netzwerks durchgeführt. Dazu können insbesondere der lokalisierte Netzwerkteilnehmer, das lokalisierte Netzwerksegment oder die lokalisierte Übertragungsstrecke im Netzwerk in der Funktion eingeschränkt oder deaktiviert werden, über ein deaktiviertes Gateway aus dem Netzwerk ausgeschlossen werden oder von ihnen kommende Nachrichten nicht übertragen oder verworfen werden.In a particularly preferred embodiment of the method, the error handling in the case of detected manipulation is carried out specifically for a localized network subscriber, a localized network segment or for a localized transmission link of the network. For this purpose, in particular the localized network participant, the localized network segment or the localized transmission link in the network can be restricted in function or disabled, be excluded via a deactivated gateway from the network or messages coming from them are not transmitted or discarded.

Durch gezielte Schaltungstechnik oder Hardwareauswahl oder Manipulation von Komponenten des Netzwerks können die herangezogenen Charakteristika auch ins Netzwerk eingebracht oder im Netzwerk verstärkt werden. Hierdurch kann die Zuverlässigkeit der Erkennung und Lokalisierung eines Angriffspunktes weiter erhöht werden.Through targeted circuit technology or hardware selection or manipulation of components of the network, the characteristics used can also be introduced into the network or amplified in the network. As a result, the reliability of the detection and localization of a point of attack can be further increased.

Figurenlistelist of figures

Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegende Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen

  • 1 schematisch ein beispielhaftes Netzwerk mit mehreren Netzwerkteilnehmer,
  • 2 einen schematischen Ablauf eines beispielhaften Verfahrens zum Schutz eines Netzwerks vor einem Cyberangriff,
  • 3 beispielhafte Bitlängen bzw. Pegeldauern für verschiedene Netzwerkteilnehmer.
The invention is described in more detail below with reference to the accompanying drawings and to exemplary embodiments. Show
  • 1 schematically an exemplary network with multiple network participants,
  • 2 a schematic flow of an exemplary method for protecting a network from cyber attack,
  • 3 exemplary bit lengths or level durations for different network users.

Beschreibung der AusführungsbeispieleDescription of the embodiments

Die vorliegende Erfindung bezieht sich auf ein Verfahren zum Schutz eines Netzwerks vor einem Cyberangriff durch Erkennung des Angriffs oder Lokalisierung eines Angriffspunktes eines solchen Cyberangriffes im Netzwerk.The present invention relates to a method for protecting a network from cyber attack by detecting the attack or location of a point of attack of such cyberattack in the network.

Die Sicherheit von Netzwerken allgemein und speziell von Netzwerken in Fahrzeugen gegen Cyberangriffe wird immer wichtiger. Gerade für vernetzte und automatisierte Fahrzeuge werden solche Angriffe relevanter. Forscher konnten erfolgreiche Remote-Angriffe auf Fahrzeug-Steuergeräte demonstrieren. Dadurch wird es Angreifern möglich, Steuerungsfunktionen im Fahrzeug zu übernehmen, indem Nachrichten über die erfolgreich angegriffenen Steuergeräte in ein Fahrzeugnetzwerk eingespielt werden.The security of networks in general and especially of networks in vehicles against cyber attacks is becoming increasingly important. Especially for networked and automated vehicles such attacks are more relevant. Researchers demonstrated successful remote attacks on vehicle ECUs. This makes it possible for attackers to take control functions in the vehicle by recording messages about the successfully attacked ECUs in a vehicle network.

Zum einen ist es wichtig, einen Angriff auf ein Netzwerk zu erkennen und die dadurch eingespielten schädlichen Nachrichten zu identifizieren. Zum anderen ist es ebenfalls bedeutend, den Ursprung des Angriffs, also den angegriffenen Netzwerkteilnehmer oder zumindest das angegriffene Netzwerksegment zu identifizieren, u.a. um gezielte Gegenmaßnahmen einleiten zu können. Wird eine Nachricht als bösartig identifiziert, so soll nun anhand von Charakteristika der Übertragung der Nachricht erkannt werden, von welchem Netzwerkteilnehmer bzw. aus welchem Netzwerksegment die Nachricht kommt.On the one hand, it is important to detect an attack on a network and to identify the malicious messages brought in by it. On the other hand, it is also important to identify the origin of the attack, ie the attacked network participant or at least the attacked network segment, i.a. to initiate targeted countermeasures. If a message is identified as malicious, it should now be recognized on the basis of characteristics of the transmission of the message from which network participant or from which network segment the message comes.

Hierzu wird eine Bitlänge bzw. eine entsprechende Pegeldauer einer Nachrichtenübertragung im Netzwerk bestimmt und mit entsprechenden vorbestimmten Größen vergleichen. Diese vorbestimmten Größen entsprechen vorzugsweise für bestimmte Netzwerkteilnehmer charakteristischen Bitlängen bzw. Pegeldauern, beispielsweise von Netzwerkteilnehmern oder daraus abgeleitete Größen. Die Bitlängen bzw. Pegeldauern sind charakteristisch z.B. aufgrund von Schwankungen der Hardwareeigenschaften der Teilnehmer (z.B. von Transceivern oder Mikrocontrollern) oder aufgrund statischer Einflüsse der Netzwerktopologie (Aufbau, sowie Kabel, Verbindungselemente, Abschlusswiderständen etc.). Durch den Vergleich kann die Herkunft einer Nachricht im Netzwerk festgestellt werden und (evtl. in Kombination mit weiteren Eigenschaften der Nachricht) ein Cyberangriff festgestellt werden oder ein erkannter Cyberangriff im Netzwerk lokalisiert werden. Für einen entfernten Angreifer ist es kaum möglich die Bitlängen bzw. Pegeldauern gezielt zu beeinflussen, ganz im Gegensatz zu Nachrichteninhalten einschließlich Absenderadressen etc. In einer weiteren Ausprägung können die beschriebenen Charakteristika auch gezielt in das System eingebracht werden, zum Beispiel durch die Auswahl, die Zusammenstellung oder die gezielte Manipulation von Hardwarekomponenten des Netzwerks. Solche gezielten Charakteristika können so gewählt werden, dass sie unterscheidungskräftiger sind und die Bitlängen bzw. Pegeldauern einfacher, eindeutiger oder robuster den entsprechenden Netzwerkteilnehmern oder Netzwerksegmenten zugeordnet werden können.For this purpose, a bit length or a corresponding level duration of a message transmission in the network is determined and compared with corresponding predetermined sizes. These predetermined quantities preferably correspond to characteristic bit lengths or level durations, for example of network subscribers or variables derived therefrom, for certain network subscribers. The bit lengths are characteristic of e.g. due to variations in the hardware characteristics of the subscribers (e.g., transceivers or microcontrollers) or static influences of the network topology (setup, as well as cables, connectors, termination resistors, etc.). Through the comparison, the origin of a message in the network can be determined and (possibly in combination with other properties of the message) a cyberattack can be detected or a detected cyberattack can be located in the network. For a remote attacker, it is hardly possible to specifically influence the bit lengths or level durations, in contrast to message contents including sender addresses etc. In a further embodiment, the described characteristics can also be deliberately introduced into the system, for example by the selection, the compilation or the targeted manipulation of hardware components of the network. Such targeted characteristics can be chosen to be more distinctive and the bit lengths or levels can be assigned to the corresponding network subscribers or network segments in a simpler, clearer or more robust manner.

Dabei können die Bitlängen bzw. Pegeldauern

  • - ein Netzwerk oder Teilnetzwerk als Ganzes charakterisieren bzw. authentifizieren,
  • - einen bestimmten Übertragungsweg oder Übertragungskanal im Netzwerk charakterisieren bzw. authentifizieren oder
  • - individuelle Netzwerkteilnehmer (z.B. Steuergeräte in einem Fahrzeugnetzwerk oder Gateways eines Netzwerks) charakterisieren bzw. authentifizieren.
The bit lengths or level durations can be used here
  • characterize or authenticate a network or subnetwork as a whole,
  • characterize or authenticate a particular transmission path or transmission channel in the network or
  • characterize or authenticate individual network participants (eg control units in a vehicle network or gateways of a network).

In einem System können diese Charakteristika in allen drei verschiedenen Ausprägungen auch gemeinsam eingesetzt werden.In a system, these characteristics can be used in all three different forms together.

In 1 ist ein beispielhaftes Netzwerk mit Abschlusswiderständen 10 und 11 gezeigt. An den Bus 1 angeschlossen sind als Netzwerkteilnehmer eine ECU 101, eine ECU 102 sowie ein Netzwerkwächter bzw. eine Netzwerküberwachungseinheit 103. Der Netzwerkwächter 103 verfügt vorzugsweise über Sende- und Empfangsmittel, Nachrichten des Bus 1 zu empfangen sowie Nachrichten auf den Bus 1 zu senden. Zudem verfügt er vorzugsweise über Auswertemittel, physikalische Charakteristika einer Übertragung einer Nachricht auf dem Bus zu bestimmten, sowie über eine Recheneinheit oder Hardwareschaltung, um daraus insbesondere durch Vergleich mit vorbestimmten Daten eine Herkunft der Nachricht zu ermitteln.In 1 is an exemplary network with terminators 10 and 11 shown. To the bus 1 are connected as network participants an ECU 101 , an ECU 102 as well as a network monitor or a network monitoring unit 103 , The network guard 103 preferably has transmitting and receiving means, messages of the bus 1 to receive as well as messages on the bus 1 to send. In addition, it preferably has evaluation means to determine physical characteristics of a transmission of a message on the bus, as well as an arithmetic unit or hardware circuit in order to determine an origin of the message, in particular by comparison with predetermined data.

In 2 ist ein beispielhafter Ablauf eines Verfahrens zum Schutz eines Netzwerks gegen Cyberangriffe gezeigt. Zunächst wird in einem ersten Schritt 201 insbesondere mittels eines Modells mindestens ein physikalischer Fingerabdruck abhängig von Bitlängen bzw. Pegeldauern von Übertragungen als vorbestimmte, charakterisierende Größe erstellt. Vorzugsweise werden für alle Netzwerkteilnehmer entsprechende Größen vorbestimmt. Das kann über Messungen der physikalischen Charakteristika Bitlänge bzw. Pegeldauer einer Nachrichtenübertragung mit externen Messgeräten erfolgen (zum Beispiel einem Oszilloskop), insbesondere in einer sicheren Umgebung (zum Beispiel im Werk). Alternativ können die charakteristischen Bitlängen bzw. Pegeldauern auch mit internen Messvorrichtungen physikalische Charakteristika bestimmt werden (z.B. mit Mitteln eines Netzwerkteilnehmers, z.B. eines Steuergeräts an einem Fahrzeugnetz oder in Messvorrichtungen eines Netzwerkknotens speziell für die Netzwerküberwachung). Alternativ dazu können Modell bzw. vorbestimmte Größen auch von extern empfangen und abgespeichert werden, z.B. von einem Internetserver.In 2 An exemplary flow of a method for protecting a network against cyberattacks is shown. First, in a first step 201 in particular, by means of a model, at least one physical fingerprint is created as a predetermined, characterizing variable depending on bit lengths or level durations of transmissions. Preferably, corresponding quantities are predetermined for all network subscribers. This can be done by measuring the physical characteristics bit length or level duration of a Messaging with external measuring devices done (for example, an oscilloscope), especially in a secure environment (for example, in the factory). Alternatively, the characteristic bit lengths or level durations can also be determined with internal measuring devices of physical characteristics (eg with means of a network participant, eg a control device on a vehicle network or in measuring devices of a network node especially for network monitoring). Alternatively, model or predetermined quantities can also be received and stored externally, for example by an Internet server.

Das Modell kann auf verschiedene Arten angelernt werden bzw. die Fingerabdrücke bestimmen. Zum Beispiel kann ein bestimmtes Prüfmuster im Netzwerk übertragen werden, welches insbesondere unkorreliert zu anderen auf dem Bus erwarteten Nachrichten sein kann. Alternativ können die Fingerabdrücke auch anhand während des normalen Betriebs des Netzwerks übertragener regulärer Nachrichten oder aus Teilen dieser Nachrichten bestimmt werden. Auch können bestimmte Netzwerkteilnehmer per Nachricht dazu aufgefordert werden, auf bestimmte Art zu antworten, und anhand der Übertragung der bestimmten Antworten Fingerabdrücke bestimmt werden. Optimalerweise werden die Fingerabdrücke mittels des Modells auf Basis der gemessenen physikalischen Charakteristika wiederholter und unterschiedlicher Übertragungen angelernt, um später anhand der Fingerabdrücke eine robuste Authentifizierung zu ermöglichen.The model can be taught in different ways or determine the fingerprints. For example, a particular test pattern may be transmitted on the network, which in particular may be uncorrelated with other messages expected on the bus. Alternatively, the fingerprints may also be determined from regular messages transmitted during normal operation of the network or from portions of these messages. Also, certain network participants may be prompted by message to respond in a particular manner and fingerprints determined by the transmission of the particular answers. Optimally, the fingerprints are learned by the model based on the measured physical characteristics of repeated and different transmissions, to later enable fingerprinting to provide robust authentication.

Vorzugsweise werden für die Erstellung der Fingerabdrücke eine Sprungantwort oder eine Impulsantwort eines Netzwerks auf eine Übertragung ausgenutzt. Damit können insbesondere auch die auftretenden Reflektionen im System beschrieben werden, welche aus der Struktur des Netzwerks, seiner Übertragungsmittel, seiner Widerstände und seiner angeschlossenen Hardwareelemente resultieren.Preferably, a step response or impulse response of a network to a transmission is utilized for the creation of the fingerprints. In particular, the occurring reflections in the system which result from the structure of the network, its transmission means, its resistors and its connected hardware elements can thus be described.

Ein Testimpuls kann hierbei von einem gewöhnlichen Teilnehmer oder von einem speziellen Testteilnehmer erzeugt werden. Der Testimpuls kann hierbei aus einem oder einer beliebigen Anzahl von Pegelwechsel bestehen, bei denen die Zeiten zwischen den Pegelwechsel bestimmt oder unbestimmt sind. Auch ist es möglich, dass das Netzwerk hierfür in einen speziellen Lernmodus versetzt wird, während dessen beispielsweise keine normale Datenübertragung stattfindet. Der Sender des Testimpulses kann zur Erzeugung des Testimpulses über spezielle Module aus Hardware und/oder Software verfügen.A test pulse can be generated here by an ordinary participant or by a special test participant. The test pulse may consist of one or any number of level changes in which the times between the level changes are determined or indeterminate. It is also possible that the network is put into a special learning mode for this, during which, for example, no normal data transmission takes place. The transmitter of the test pulse may have special modules of hardware and / or software for generating the test pulse.

Für ein CAN-Netzwerk könnte ein Fingerabdruck beispielsweise bestimmt werden, indem nur eine der CAN-High- und CAN-Low-Leitungen gemessen wird (Messung gegen Masse). Das wäre mit relativ niedrigem Messaufwand verbunden. Alternativ können auch die Fingerabdrücke aus der Messung beider erstellt werden, oder es kann auch das differentielle Signal herangezogen werden. Hierdurch könnten hochwertigere Fingerabdrücke bestimmt werden.For a CAN network, for example, a fingerprint could be determined by measuring only one of the CAN high and CAN low lines (measurement versus ground). That would be associated with relatively low measurement effort. Alternatively, the fingerprints can be created from the measurement of both, or it can also be used the differential signal. As a result, higher quality fingerprints could be determined.

Im Schritt 202 liegt ein valides Modell bzw. liegen valide Fingerabdrücke vor, so dass Kommunikation im Netzwerk in Schritt 203 durch Vergleich mit dem Modell bzw. den Fingerabdrücken auf ihre Herkunft überprüft werden kann. Konkret bestimmt werden können in diesem Schritt einzelne Nachrichten und deren Inhalte (z.B. einzelne Nachrichtenrahmen auf einem CAN-Bus oder einzelne Bits innerhalb eines solchen Rahmens), die Übertragungszeitpunkte, Muster höherer Ordnung im Nachrichtenverkehr eines oder mehrere Übertragungsteilnehmer (insbesondere Transceiver) und die physikalischen Charakteristika der Übertragung. Bereits mit diesen Informationen können schädliche oder unerwartete Nachrichten identifiziert werden und als (mutmaßliche) Nachrichten aufgrund eines Cyberangriffs erkannt werden. Durch einen Vergleich der bestimmten physikalischen Charakteristika mit dem angelernten Modell bzw. den ermittelten Fingerabdrücken kann die Herkunft der Nachricht bestimmt werden und damit ein Cyberangriff identifiziert bzw. bestätigt werden oder ein Angriffspunkt des Cyberangriffs lokalisiert werden. Letzteres ermöglicht wiederrum eine gezielte Reaktion auf den Angriff am Angriffspunkt.In step 202 is a valid model or valid fingerprints, so that communication in the network in step 203 can be checked for their origin by comparison with the model or the fingerprints. Specifically, in this step, individual messages and their contents (eg individual message frames on a CAN bus or individual bits within such a frame), the transmission times, higher order patterns in message traffic, one or more transmission users (in particular transceivers) and the physical characteristics the transmission. Already with this information, malicious or unexpected messages can be identified and detected as (suspected) messages due to a cyberattack. By comparing the particular physical characteristics with the learned model or fingerprints, the origin of the message can be determined and cyber attack identified or confirmed, or a cyber attack target can be located. The latter, in turn, allows a targeted response to the attack at the point of attack.

Für die Manipulationserkennung und die Lokalisierung werden als physikalische Charakteristika der Übertragung Längen der übertragenen Bits oder Bitfolgen oder Symbole, bzw. die entsprechenden Dauern der unterschiedlichen Pegel auf der Netzwerkleitung, welche die Bits bzw. Bitfolgen darstellen, ermittelt und ausgewertet. In günstigen Implementierungen ist der tatsächliche Messpunkt zur Erfassung des Pegels z.B. bei ca. ¾ der nominalen Bitlänge definiert. Dies macht es möglich, dass Bits in ihrer Länge schwanken können und trotzdem zuverlässig erkannt werden. Diese Schwankungen (Jitter) können für jeden Baustein individuell sein und können daher als Charakteristika für bestimmte Netzwerkteilnehmer oder deren Komponenten oder für bestimmte Netzwerksegmente oder Übertragungsstrecken ausgewertet werden. Auch können derartige Schwankungen durch Auswahl oder Manipulation der Hardware des Netzwerks oder eines Netzwerkteilnehmers gezielt in das Netzwerk eingebracht werden, um die Herkunft einer Nachricht besser identifizierbar zu machen.For manipulation detection and localization, the physical characteristics of the transmission are determined and evaluated as lengths of the transmitted bits or bit sequences or symbols, or the corresponding durations of the different levels on the network line, which represent the bits or bit sequences. In favorable implementations, the actual measuring point for detecting the level is e.g. defined at approx. ¾ of the nominal bit length. This makes it possible that bits can vary in length and yet be reliably detected. These jitter may be unique to each device and may therefore be evaluated as characteristics for particular network participants or their components or for particular network segments or links. Also, such variations may be deliberately introduced into the network by selecting or manipulating the hardware of the network or a network participant to make the origin of a message more identifiable.

Haben beispielsweise die Steuergeräte an einem kritischen Bus eine relativ lange „1“, ein Gateway an demselben kritischen Bus aber eine relativ kurze „1“, so kann daran unterschieden werden, ob eine Nachricht von einem der Steuergeräte oder über das Gateway an den kritischen Bus gekommen ist. Als Reaktion könnte beispielsweise in letzterem Fall das Gateway deaktiviert werden, aber die Kommunikation der Steuergeräte am Bus aufrechterhalten werden.If, for example, the control units on a critical bus have a relatively long "1", a gateway on the same critical bus but a relatively short "1", it can be distinguished by whether a message has come from one of the controllers or through the gateway to the critical bus. In response, in the latter case, for example, the gateway could be disabled, but the communication of the controllers with the bus could be maintained.

Eine unterschiedliche Bitlänge kann beispielsweise aus Hardwareeigenschaften eines Transceivers oder Kommunikationscontrollers, aus Kabeleigenschaften oder aus beidem resultieren. Für einen Transceiver kann z.B. eine Asymmetrie in den eingebauten Kapazitäten oder in den Kapazitäten der elektrischen Leitungen für die Asymmetrie der Bitlänge verantwortlich sein.For example, a different bit length may result from hardware characteristics of a transceiver or communications controller, cable characteristics, or both. For a transceiver, e.g. asymmetry in the built-in capacitances or in the capacitances of the electrical lines may be responsible for the asymmetry of the bit length.

Statt lediglich die Bitlänge an sich zu betrachten, könnte man auch das Verhältnis zwischen rezessiven und dominanten Bitanteilen als Charakteristika heranziehen.Instead of merely considering the bit length itself, one could also use the relationship between recessive and dominant bit components as characteristics.

In 3 sind drei Bitfolgen bzw. Pegelfolgen 31, 32, 33 gezeigt, welche jeweils von unterschiedlichen Netzwerkteilnehmern stammen. Die Folge 32 zeigt im Vergleich zur Folge 31 längere Pegel, welche dem Bitwert 0 entsprechen, und kürzere Pegel, welche dem Bitwert 1 entsprechen. Die Folge 33 zeigt im Vergleich zur Folge 31 kürzere Pegel, welche dem Bitwert 0 entsprechen, und längere Pegel, welche dem Bitwert 1 entsprechen. Anhand bestimmter Bitlängen bzw. Pegeldauern der Übertragung oder aufgrund von bestimmten Verhältnissen der Pegelanteile zwischen 1 und 0 können somit die absendenden Netzwerkteilnehmer erkannt werden. Das Beispiel in 3 zeigt nur das differentielle Signal. Die Idee ist, z.B. im Fall eines CAN-Busses, entsprechend auch auf (CAN-)High und (CAN-)Low anwendbar.In 3 are three bit sequences or level sequences 31 . 32 . 33 shown, which each come from different network participants. The episode 32 shows in comparison to the episode 31 longer levels corresponding to the bit value 0 and shorter levels corresponding to the bit value 1 correspond. The episode 33 shows in comparison to the episode 31 shorter levels corresponding to the bit value 0 and longer levels corresponding to the bit value 1 correspond. On the basis of certain bit lengths or levels of transmission or due to certain ratios of the level components between 1 and 0, the sending network participants can thus be detected. The example in 3 shows only the differential signal. The idea is, for example in the case of a CAN bus, correspondingly also applicable to (CAN) High and (CAN) Low.

Ein CAN-Bus verwendet ein Differenzsignal auf dem Physical Layer. Der Zustand idle wird hierbei durch einen Pegel von ca. 2,5V auf beiden Signalleitungen erzeugt. Dies entspricht differentiell dann einem Pegel von 0V. Hier ist es nun möglich die Pegeländerung differentiell (Änderung an einer Signalleitung) vorzunehmen. Auf der anderen Seite ist eine differentielle Änderung auch durch eine gegensinnige Pegeländerung bei den beiden Signalleitungen möglich. Auch kann während der Übertragung des Frames bei beiden Signalleitungen eine gleichsinnige Pegeländerung als Fingerprint vorgenommen werden. Dies würde das differenzielle Signal nicht verändern, wäre aber bei einer Messung gegen Masse detektierbar.A CAN bus uses a difference signal on the physical layer. The idle state is generated by a level of approx. 2.5V on both signal lines. This corresponds then differentially to a level of 0V. Here it is now possible to make the level change differentially (change to a signal line). On the other hand, a differential change is also possible by an opposite level change in the two signal lines. Also, during the transmission of the frame in both signal lines, a same-level level change can be made as a fingerprint. This would not change the differential signal, but would be detectable in a measurement against ground.

Die Ermittlung und Auswertung der Daten in Schritt 203 kann durch einzelne Netzwerkteilnehmern, z.B. von einzelnen Steuergeräten eines Fahrzeugnetzes erfolgen. Alternativ können auch separat vorgesehene Überwachungseinheiten als Netzwerkteilnehmer hierzu eingesetzt werden. Einzelne Eigenschaften, z.B. Übertragungszeitpunkte aber auch weitere physikalische Charakteristika, können ohne spezielle Hardware erfasst werden. Für andere Eigenschaften, vor allem im gewünschten Detailgrad, ist zusätzliche Hardware in den Einheiten sinnvoll. Daher ist es vorzugsweise sinnvoll, einzelnen Netzwerkteilnehmer die Erfassung und Auswertung zu übertragen und diese entsprechend auszustatten. Diese können auch über zusätzliche Absicherungsmechanismen verfügen, z.B. ein TPM (Trusted Platform Module). Die Auswertung der Daten kann auch kooperativ durch mehrere Netzwerkteilnehmer erfolgen.The determination and evaluation of the data in step 203 can be done by individual network participants, for example, from individual control units of a vehicle network. Alternatively, separately provided monitoring units can be used as network subscribers for this purpose. Individual properties, eg transmission times but also further physical characteristics, can be detected without special hardware. For other properties, especially in the desired level of detail, additional hardware in the units makes sense. Therefore, it is preferably useful to transfer individual network participants, the acquisition and evaluation and equip them accordingly. These can also have additional security mechanisms, eg a TPM (Trusted Platform Module). The evaluation of the data can also be carried out cooperatively by several network participants.

Die Erfassung und Auswertung der Daten kann periodisch oder dynamisch, insbesondere zur Reduzierung des benötigten Speicherplatzes bei festgestelltem Bedarf, stattfinden. Eine Speicherung der Daten ermöglicht es, auch für vergangene Nachrichten eine Analyse der Herkunft durchzuführen, falls ein Verdacht auf einen erfolgten Cyberangriff auf das Netzwerk besteht. Für eine möglichst schnelle Reaktion auf Angriffe sind Echtzeiterfassung und -berechnung optimal. The collection and evaluation of the data can take place periodically or dynamically, in particular to reduce the required storage space when a need is identified. A storage of the data makes it possible to carry out an analysis of the origin also for past messages, if a suspected cyber attack on the network exists. Real-time capture and computation are optimal for responding to attacks as quickly as possible.

Die erfassten Daten können in jedem Steuergerät einzeln, in einem oder mehreren Netzwerküberwachungseinheiten oder auch Netzwerk-extern gespeichert werden. In einer vorteilhaften Ausgestaltung werden die Daten an verschiedenen Stellen abgespeichert, um einen Angriff auf die Daten zu erschweren. Im Fall eines Fahrzeugnetzwerks können die Daten auch Fahrzeug-extern, z.B. auf einem Server gespeichert werden. Das hat den Vorteil, dass auch für andere Fahrzeuge oder von einer übergeordneten Stelle eine Auswertung und Reaktion erfolgen kann sowie dass die Daten bei einem Cyberangriff auf das Fahrzeug nicht (ohne weiteres) Gegenstand des Angriffes sein können.The acquired data can be stored individually in each control unit, in one or more network monitoring units or also network-externally. In an advantageous embodiment, the data is stored at various locations to make it difficult to attack the data. In the case of a vehicle network, the data may also be vehicle-external, e.g. stored on a server. This has the advantage that an evaluation and reaction can also take place for other vehicles or from a superordinate location and that the data in a cyberattack on the vehicle can not (easily) be the subject of the attack.

Wird eine Nachricht in Schritt 203 als unbedenklich eingestuft, wird zu Schritt 204 verzweigt und die Nachricht kann ohne Gegenmaßnahmen im Netzwerk übertragen und ausgewertet werden. Von Schritt 204 kann in Schritt 202 verzweigt werden und für weitere Nachrichtenübertragungen eine Datenerfassung und eine Analyse erfolgen. Zusätzlich oder alternativ können nach einer Verzweigung zu Schritt 207 die erfassten Daten dazu verwendet werden, das Modell bzw. die Fingerabdrücke anzupassen bzw. zu verfeinern. Dies kann auch dazu beisteuern, dass potentielle Angriffe erkannt werden, bei denen die einzelnen Nachrichten nicht schädlich sind, aber in ihrer Gesamtheit sehr wohl schädlich sein können. Das kann sinnvoll sein, da sich physikalische Charakteristika auch über die Zeit ändern können, z.B. aufgrund von Alterungseffekten. Von Schritt 207 wird dann wieder in Schritt 201 verzweigt.Will a message in step 203 classified as harmless, becomes step 204 branches and the message can be transmitted and evaluated without countermeasures in the network. From step 204 can in step 202 be branched and carried out for further message transmissions data acquisition and analysis. Additionally or alternatively, after a branch to step 207 the collected data is used to adapt or refine the model or fingerprints. This can also help detect potential attacks where the individual messages are not harmful, but in their entirety can be detrimental. This may be useful because physical characteristics may also change over time, eg due to aging effects. From step 207 will be back in step 201 branched.

Wird eine Nachricht als bedenklich, also als Teil eines Cyberangriffs gewertet wird aus Schritt 203 in Schritt 205 verzweigt. Dort werden geeignete Gegenmaßnahmen bzw. Reaktionen angestoßen. In einer besonders bevorzugten Ausgestaltung werden die Gegenmaßnahmen bzw. Reaktionen auf Basis der erkannten Herkunft der Nachricht hin speziell angepasst. If a message is considered to be of concern, ie as part of a cyberattack, it is counted out of step 203 in step 205 branched. There appropriate countermeasures or reactions are triggered. In a particularly preferred embodiment, the countermeasures or reactions are specially adapted on the basis of the recognized origin of the message.

Als Reaktion kann eine weitere Übertragung (insbesondere bei einer Echtzeitreaktion) oder zumindest eine weitere Auswertung einer Nachricht verhindert werden, z.B. indem auf einen Nachrichtenkanal dominante Signale gesendet werden (die die Nachricht unleserlich oder zumindest fehlerhaft machen, z.B. durch Überschreiben einer Prüfungssequenz) oder direkt im Anschluss an die Nachricht einen Fehlerrahmen versendet wird. Diese Reaktionen können auch abhängig davon gestaltet werden, woher die Nachricht kam.In response, further transmission (especially in a real-time response) or at least further evaluation of a message may be prevented, e.g. by transmitting dominant signals (which make the message illegible or at least erroneous, e.g., by overwriting a validation sequence) on a message channel, or send an error frame immediately following the message. These reactions can also be shaped depending on where the news came from.

Als weitere Gegenmaßnahme können alternativ oder zusätzlich auch (mutmaßlich) korrumpierte Netzwerkteilnehmer aus dem Netzwerk entfernt werden (insbesondere deaktiviert werden), insbesondere der Netzwerkteilnehmer, welcher als Sender der Nachricht identifiziert wurde, bzw. Netzwerkteilnehmer aus dem Netzwerksegment, das als Herkunft der Nachricht identifiziert wurde. Ebenso können Übertragungsstrecken gesperrt werden, über welche die Nachricht übertragen wurde. Es können des Weiteren auch Nachrichten an Gateways zwischen bestimmten Netzwerken oder Netzwerksegmenten geblockt werden, um ein Übergreifen eines Angriffs auf benachbarte oder zusätzliche Netzwerke oder Netzwerksegmente zu vermeiden.As a further countermeasure, alternatively or additionally, (presumably) corrupted network subscribers can be removed from the network (in particular deactivated), in particular the network subscriber identified as sender of the message, or network subscribers from the network segment identified as the origin of the message , Likewise, transmission links over which the message was transmitted can be blocked. Furthermore, messages to gateways between particular networks or network segments may be blocked in order to avoid spreading an attack on neighboring or additional networks or network segments.

Das Netzwerk in einem Fahrzeug kann beispielsweise in logisch und / oder physikalisch getrennte Segmente unterteilt werden. Zum Beispiel kann das Netzwerksegment, an welches eine Head Unit des Fahrzeugs angeschlossen ist, über ein Gateway von einem weiteren Netzwerksegment getrennt sein, wobei das weitere Netzwerksegment von sicherheitskritischen Steuergeräten (z.B. zur Motorsteuerung, für ABS- oder ESP-Funktionen) genutzt wird. Wird solches Gateway, welches zwei Netzwerksegmente trennt, über Charakteristika der Übertragung bzw. entsprechende Fingerabdrücke als Quelle einer Nachricht in einem der Segmente identifiziert, welche nicht von einem Angreifer über Software manipulierbar sind, so können gezielt Nachrichten von diesem Gateway (und damit aus dem anderen Netzwerksegment) verworfen werden oder es kann gleich das Gateway selbst deaktiviert werden. So kann ein sicherheitskritisches Netzwerksegment von den Auswirkungen eines Angriffs auf ein anderes Netzwerksegment geschützt werden. Eine weitere Gegenmaßnahme kann auch das Abschalten der vermeintlichen Empfänger der Nachricht sein. Möglich ist hierbei neben einer kompletten Deaktivierung auch ein Umschalten auf einen Betriebsmodus mit reduzierter Funktionalität, z.B. einen Notlauf.For example, the network in a vehicle may be divided into logically and / or physically separate segments. For example, the network segment to which a head unit of the vehicle is connected may be separated from another network segment via a gateway, the further network segment being used by safety-critical control devices (for example for engine control, for ABS or ESP functions). If such gateway, which separates two network segments, identifies characteristics of the transmission or corresponding fingerprints as the source of a message in one of the segments which can not be manipulated by an attacker via software, then targeted messages from this gateway (and thus from the other Network segment) or the gateway itself can be deactivated immediately. Thus, a safety-critical network segment can be protected from the effects of an attack on another network segment. Another countermeasure can also be the switching off of the supposed recipient of the message. In addition to a complete deactivation, it is also possible to switch over to a mode of operation with reduced functionality, e.g. an emergency run.

Schließlich können alternativ oder zusätzlich auch Warnsignale oder Fehlerberichte innerhalb des Netzwerks oder nach Netzwerk-extern übertragen werden, welche den erkannten Angriff und vorzugsweise die ermittelte Herkunft enthalten. Finally, alternatively or additionally, warning signals or error reports can be transmitted within the network or external to the network, which contain the detected attack and preferably the determined origin.

Im folgenden Schritt 207 können wiederum das Modell bzw. die Fingerabdrücke auf Basis der erfassten und ausgewerteten Daten angepasst bzw. verfeinert werden.In the following step 207 In turn, the model or fingerprints can be adjusted or refined on the basis of the recorded and evaluated data.

Bei einer Veränderung der Hardware eines Netzwerks oder seiner Komponenten kann es erforderlich sein, dass die Fingerabdrücke angepasst bzw. neu gelernt werden. Das kann z.B. der Fall sein bei einem Werkstattbesuch (Austausch, Veränderung, Ergänzung oder Wegnahme einer Komponente) oder auch durch Alterung des Systems. Vorzugsweise werden dabei die systemweiten Fingerabdrücke angepasst oder neu gelernt, da derartige Änderungen oft auch Auswirkungen auf die Fingerabdrücke anderer Komponenten oder Segmente haben. Ein solcher Anpass- oder Lernvorgang kann automatisch starten, z.B. auch, wenn durch das System automatisch eine Veränderung von Charakteristika erkannt wurde. Alternativ kann ein solcher Anpassvorgang auch von einer autorisierten Stelle angestoßen werden.Changing the hardware of a network or its components may require the fingerprints to be customized or re-learned. This can e.g. Be the case at a workshop visit (exchange, change, addition or removal of a component) or by aging the system. Preferably, the system-wide fingerprints are adapted or re-learned, since such changes often have an effect on the fingerprints of other components or segments. Such a fitting or learning process may start automatically, e.g. even if the system automatically detects a change in characteristics. Alternatively, such an adjustment process can also be initiated by an authorized agency.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • WO 2012159940 A2 [0002]WO 2012159940 A2 [0002]
  • EP 2433457 B1 [0003]EP 2433457 B1 [0003]

Claims (13)

Verfahren zum Schutz eines Netzwerkes (1) vor einem Cyberangriff, wobei Bits oder Bifolgen von Nachrichten in dem Netzwerk (1) über unterschiedliche Pegel auf einer Übertragungsstrecke des Netzwerks (1) übertragen werden, dadurch gekennzeichnet, dass für eine erste Übertragung einer Nachricht in dem Netzwerk (1) mindestens eine Dauer mindestens eines der unterschiedlichen Pegel bestimmt wird, die mindestens eine Dauer oder eine daraus abgeleitete Größe mit mindestens einer vorbestimmten Größe verglichen wird und in Abhängigkeit des Vergleichs der Cyberangriff auf das Netzwerk (1) erkannt wird oder der Cyberangriff auf das Netzwerk (1) in dem Netzwerk (1) lokalisiert wird.A method of protecting a network (1) from cyber attack, whereby bits or bifolges of messages in the network (1) are transmitted over different levels on a transmission path of the network (1), characterized in that for a first transmission of a message in the network Network (1) at least one duration of at least one of the different levels is determined, the at least one duration or a derived quantity is compared with at least one predetermined size and is detected in dependence of the comparison of cyber attack on the network (1) or the cyber attack on the network (1) is located in the network (1). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die mindestens eine vorbestimmte Größe eine für einen bestimmten Netzwerkteilnehmer (103) charakteristische Dauer des mindestens einen Pegels oder eine daraus abgeleitete Größe darstellt.Method according to Claim 1 , characterized in that the at least one predetermined size represents a characteristic of a particular network participant (103) duration of the at least one level or a variable derived therefrom. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass ein Verhältnis zwischen unterschiedlichen Pegelanteilen, insbesondere zwischen dominanten und rezessiven Pegelanteilen, bestimmt wird und mit mindestens einem vorbestimmten Verhältnis von Pegelanteilen verglichen wird.Method according to one of the preceding claims, characterized in that a ratio between different levels, in particular between dominant and recessive levels, is determined and compared with at least one predetermined ratio of levels. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Netzwerk (1) ein CAN-Bussystem ist.Method according to one of the preceding claims, characterized in that the network (1) is a CAN bus system. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Netzwerk (1) ein Fahrzeug-internes Netzwerk ist und der Fahrzeug-interne Angriffspunktes eines Cyberangriff von Fahrzeug-extern auf das Netzwerk lokalisiert wird.Method according to one of the preceding claims, characterized in that the network (1) is a vehicle-internal network and the vehicle-internal attack point of a cyberattack from vehicle-external to the network is located. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die Bestimmung der mindestens einen Dauer und/oder der Vergleich von mindestens einem Fahrzeugsteuergerät (101, 102), welches an das Netzwerk angeschlossen ist, durchgeführt werden.Method according to Claim 5 , characterized in that the determination of the at least one duration and / or the comparison of at least one vehicle control device (101, 102), which is connected to the network, are performed. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die Bestimmung der mindestens einen Dauer und/oder der Vergleich mit dem mindestens einem Fingerabdruck von mindestens einem speziell zur Überwachung vorgesehenen Netzwerkteilnehmer (103) oder von einer verbundenen Fahrzeugexternen Recheneinheit durchgeführt werden.Method according to Claim 5 Characterized in that the determination of at least one time and / or the comparison with the at least one fingerprint of at least a specially provided for monitoring network subscriber (103) or from a connected external to the vehicle computing unit are performed the. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass über Hardwareauswahl für Netzwerkteilnehmer oder deren Komponenten oder über Hardwaremanipulation von Netzwerkteilnehmern oder derer Komponenten eine Variabilität von charakteristischen Pegeldauern zwischen Netzwerkteilnehmern in dem Netzwerk (1) verstärkt wird.Method according to one of the preceding claims, characterized in that via hardware selection for network subscribers or their components or via hardware manipulation of network subscribers or their components, a variability of characteristic level intervals between network subscribers in the network (1) is enhanced. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass bei einem erkannten Cyberangriff eine Fehlerbehandlung erfolgt, insbesondere ein Abbruch der Übertragung der Nachricht, eine Kenntlichmachung der Nachricht als ungültig, ein Ausschluss des lokalisierten Angriffspunkts aus dem Netzwerk (1), ein Deaktivieren eines Gateways des Netzwerks (1), um einen lokalisierten Angriffspunkt des Netzwerks von anderen Teilen des Netzwerks (1) zu trennen, oder ein Versenden einer Warnmeldung zur erkannten Manipulation.Method according to one of the preceding claims, characterized in that in a detected cyber attack error handling, in particular a cancellation of the transmission of the message, a marking of the message as invalid, an exclusion of the localized attack point from the network (1), deactivating a gateway the network (1) to disconnect a localized point of attack of the network from other parts of the network (1), or send a detected manipulation warning message. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die Fehlerbehandlung gezielt für einen lokalisierten Netzwerkteilnehmer (101, 102, 103), ein lokalisiertes Netzwerksegment oder für eine lokalisierte Übertragungsstrecke des Netzwerks (1) durchgeführt wird.Method according to Claim 9 , characterized in that the error handling is carried out specifically for a localized network participant (101, 102, 103), a localized network segment or for a localized transmission path of the network (1). Vorrichtung, welche dazu eingerichtet ist, als Teilnehmer (101, 102, 103) an einem Netzwerk (1) ein Verfahren nach einem der Ansprüche 1 bis 10 durchzuführen.Device which is set up as a subscriber (101, 102, 103) on a network (1) a method according to one of Claims 1 to 10 perform. Computerprogramm, welches dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 10 durchzuführen.Computer program, which is adapted to a method according to one of Claims 1 to 10 perform. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 12.Machine-readable storage medium with a computer program stored thereon Claim 12 ,
DE102017208545.2A 2017-05-19 2017-05-19 Method for protecting a network from cyber attack Pending DE102017208545A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102017208545.2A DE102017208545A1 (en) 2017-05-19 2017-05-19 Method for protecting a network from cyber attack
CN201810479165.XA CN108965234B (en) 2017-05-19 2018-05-18 Method for protecting a network against network attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017208545.2A DE102017208545A1 (en) 2017-05-19 2017-05-19 Method for protecting a network from cyber attack

Publications (1)

Publication Number Publication Date
DE102017208545A1 true DE102017208545A1 (en) 2018-11-22

Family

ID=64278166

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017208545.2A Pending DE102017208545A1 (en) 2017-05-19 2017-05-19 Method for protecting a network from cyber attack

Country Status (2)

Country Link
CN (1) CN108965234B (en)
DE (1) DE102017208545A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019212825A1 (en) * 2019-08-27 2021-03-04 Robert Bosch Gmbh Method for detecting deterioration in a network
CN111355714A (en) * 2020-02-20 2020-06-30 杭州电子科技大学 Attacker identification method based on fingerprint feature learning of vehicle control unit

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012159940A2 (en) 2011-05-24 2012-11-29 Siemens Aktiengesellschaft Method and control unit for detecting manipulations of a vehicle network
EP2433457B1 (en) 2009-05-20 2014-03-19 Robert Bosch GmbH Security system and method for wireless communication within a vehicle

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1972167B (en) * 2005-11-23 2011-02-16 华为技术有限公司 Point-to-multipoint access network and method to enhance security and branch/coupler
US10369942B2 (en) * 2014-01-06 2019-08-06 Argus Cyber Security Ltd. Hosted watchman
CN105023379B (en) * 2015-08-13 2017-11-14 中国民航大学 A kind of signal recognition method of airport optical fiber perimeter early warning system
CN106094849A (en) * 2016-06-17 2016-11-09 上海理工大学 Four-rotor aircraft control system and control method for farm autonomous management

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2433457B1 (en) 2009-05-20 2014-03-19 Robert Bosch GmbH Security system and method for wireless communication within a vehicle
WO2012159940A2 (en) 2011-05-24 2012-11-29 Siemens Aktiengesellschaft Method and control unit for detecting manipulations of a vehicle network

Also Published As

Publication number Publication date
CN108965234A (en) 2018-12-07
CN108965234B (en) 2022-10-14

Similar Documents

Publication Publication Date Title
DE102017208547A1 (en) Method for protecting a network from cyber attack
EP3278529B1 (en) Attack detection method, attack detection device and bus system for a motor vehicle
CH714535B1 (en) In-vehicle network intrusion detection method and system.
DE102017208553A1 (en) Method for protecting a network from cyber attack
DE112015006541T5 (en) Attack detection device
DE112019000485T5 (en) SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK
DE102016219848A1 (en) Method and apparatus for providing secure communication within a real-time communication network
DE102017200826A1 (en) Method for operating a monitoring device of a data network of a motor vehicle and monitoring device, control device and motor vehicle
WO2018077528A1 (en) Detection of manipulations in a can network by checking can identifiers
DE102019217030A1 (en) ASSIGN BUS-OFF ATTACKS BASED ON ERROR-FRAMES
DE102017208551A1 (en) Method for protecting a network from cyber attack
DE102017209557A1 (en) Method for protecting a vehicle network against manipulated data transmission
EP3523941B1 (en) Communication data authentication device for a vehicle
DE102018215945A1 (en) Method and device for anomaly detection in a vehicle
DE102017208545A1 (en) Method for protecting a network from cyber attack
WO2017162395A1 (en) Method for monitoring the security of communication connections of a vehicle
EP3688951B1 (en) Method for detecting an attack on a control device of a vehicle
EP0890109B1 (en) Process for testing and ensuring the availability of a networked system
DE102019210227A1 (en) Device and method for anomaly detection in a communication network
DE102017208548A1 (en) Method for protecting a network from cyber attack
DE102017208549A1 (en) Method for protecting a network from cyber attack
DE102018217964A1 (en) Method and device for monitoring data communication
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102020214945A1 (en) Method for checking a message in a communication system
DE102020214099A1 (en) Procedure for detecting unauthorized physical access to a bus system

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R012 Request for examination validly filed