DE102017208549A1 - Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff - Google Patents

Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff Download PDF

Info

Publication number
DE102017208549A1
DE102017208549A1 DE102017208549.5A DE102017208549A DE102017208549A1 DE 102017208549 A1 DE102017208549 A1 DE 102017208549A1 DE 102017208549 A DE102017208549 A DE 102017208549A DE 102017208549 A1 DE102017208549 A1 DE 102017208549A1
Authority
DE
Germany
Prior art keywords
network
transmission
frequencies
message
frequency components
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017208549.5A
Other languages
English (en)
Inventor
Hans LOEHR
Robert Szerwinski
Paulius Duplys
Rene GUILLAUME
Sebastien Leger
Clemens Schroff
Herve Seudie
Christopher Huth
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017208549.5A priority Critical patent/DE102017208549A1/de
Publication of DE102017208549A1 publication Critical patent/DE102017208549A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Es wird ein Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff vorgeschlagen, bei welchem für eine erste Übertragung einer Nachricht in dem Netzwerk Frequenzen oder Frequenzanteile oder Frequenzverhältnisse bestimmt werden. Die Frequenzen oder Frequenzanteile oder Frequenzverhältnisse werden mit mindestens einer vorbestimmten Größe verglichen und in Abhängigkeit des Vergleichs wird der Cyberangriff auf das Netzwerk erkannt oder der Cyberangriff auf das Netzwerk in dem Netzwerk lokalisiert.

Description

  • Technisches Gebiet
  • Vorgestellt werden Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff, hierzu eingerichtete Netzwerkteilnehmer sowie ein hierzu eingerichtetes Computerprogramm.
  • Stand der Technik
  • Aus der W02012/159940 A2 ist ein Verfahren bekannt, einen Fingerabdruck zur Charakterisierung eines Fahrzeugnetzwerks heranzuziehen, um eine Manipulation des Fahrzeugnetzwerks feststellen zu können. Der Fingerabdruck wird dabei insbesondere aus einer Netzwerkkonfiguration gewonnen.
  • Die EP 2 433 457 B1 beschreibt ein Sicherheitssystem für Fahrzeuge sowie Methoden zur Eindringerkennung (Intrusion Dectection) sowie Maßnahmen zur Reaktion, falls ein entsprechender Cyberangriff festgestellt wird.
  • Offenbarung der Erfindung
  • Es werden Verfahren vorgeschlagen, mit denen der Schutz eines Netzwerkes erhöht wird, indem ein Cyberangriff auf das Netzwerk anhand einer Übertragung im Netzwerk erkannt oder ein erkannter Angriff lokalisiert werden kann. Dazu werden als Charakteristika Frequenzen bzw. Frequenzanteile bzw. Frequenzverhältnisse bei der Übertragung mit mindestens einem vorbestimmten Wert bzw. Fingerabdruck verglichen. Der Fingerabdruck geht dabei insbesondere zurück auf zuvor bestimmte charakteristische Frequenzen bzw. Frequenzanteile bzw. Frequenzverhältnisse für Übertragungen bestimmter Netzwerkteilnehmer oder über bestimmte Übertragungsstrecken oder aus bestimmten Netzwerksegmenten. Anhand des Vergleichs kann eine Herkunft der Nachricht erkannt und damit (gegebenenfalls in Kombination mit weiteren Eigenschaften) ein Cyberangriff erkannt werden oder ein erkannter Cyberangriff lokalisiert werden. Die Lokalisierung erfolgt vorzugsweise für einen Netzwerkteilnehmer, ein Netzwerksegment oder eine Übertragungsstrecke des Netzwerks.
  • Ein Netzwerk oder ein Teilnehmer eines Netzwerks sind eingerichtet, die beschrieben Verfahren durchzuführen, indem sie über elektronische Speicher- und Rechenressourcen verfügen, die Schritte eines entsprechenden Verfahrens auszuführen. Auf einem Speichermedium eines solchen Teilnehmers oder auf den verteilten Speicherressourcen eines Netzwerks kann auch ein Computerprogramm abgelegt sein, dass dazu eingerichtet ist, alle Schritte eines entsprechenden Verfahrens auszuführen, wenn es in dem Teilnehmer oder in dem Netzwerk abgearbeitet wird.
  • Die vorgeschlagenen Verfahren ermöglichen durch eine Lokalisierung des Angriffspunktes eines Cyberangriffes auf das Netzwerk eine gezieltere Reaktion auf den Angriff. Wird der herangezogene Fingerabdruck anhand eines Modells (z.B. umfassend einen Lernalgorithmus, ein neuronales Netz, ein stochastisches Modell oder ein datenbasiertes oder automatenbasiertes Modell) aus geeigneten Charakteristika einer Übertragung bestimmt, so kann das Verfahren besonders zuverlässig und robust gestaltet werden.
  • Als weitere Vorteile der vorgeschlagenen Verfahren sind hierfür keine zusätzlich übertragenen Daten nötig, wodurch es auch keinen negativen Einfluss auf Echtzeitanforderungen des Netzwerks gibt. Ein Angreifer außerhalb des Netzwerks kann die physikalischen Charakteristika der Übertragung nicht verändern, da diese sich aus Hardwareeigenschaften des Netzwerks und seiner Komponenten ergeben und damit höheren Softwareschichten nicht zugänglich sind.
  • In bevorzugten Ausgestaltungen gehen die herangezogenen Charakteristika der Übertragung zurück auf physikalische Eigenschaften des Netzwerks, von Übertragungskanälen oder Übertragungsmedien des Netzwerks wie Kabeln, Koppelnetzwerken, Filterschaltungen oder Anschlussstellen, der Teilnehmerhardware, insbesondere von Transceivern oder Mikrocontrollern, einer Topologie des Netzwerks oder von Netzabschlüssen oder Abschlusswiderständen etc.
  • In einer besonders bevorzugten Ausgestaltung des Verfahrens wird die Fehlerbehandlung bei erkannter Manipulation gezielt für einen lokalisierten Netzwerkteilnehmer, ein lokalisiertes Netzwerksegment oder für eine lokalisierte Übertragungsstrecke des Netzwerks durchgeführt. Dazu können insbesondere der lokalisierte Netzwerkteilnehmer, das lokalisierte Netzwerksegment oder die lokalisierte Übertragungsstrecke im Netzwerk in der Funktion eingeschränkt oder deaktiviert werden, über ein deaktiviertes Gateway aus dem Netzwerk ausgeschlossen werden oder von ihnen kommende Nachrichten nicht übertragen oder verworfen werden.
  • Durch gezielte Schaltungstechnik oder Hardwareauswahl oder Manipulation von Komponenten des Netzwerks können die herangezogenen Charakteristika auch ins Netzwerk eingebracht oder im Netzwerk verstärkt werden. Hierdurch kann die Zuverlässigkeit der Erkennung und Lokalisierung eines Angriffspunktes weiter erhöht werden.
  • Figurenliste
  • Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegende Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen
    • 1 schematisch ein beispielhaftes Netzwerk mit mehreren Netzwerkteilnehmer,
    • 2 einen schematischen Ablauf eines beispielhaften Verfahrens zum Schutz eines Netzwerks vor einem Cyberangriff.
  • Beschreibung der Ausführungsbeispiele
  • Die vorliegende Erfindung bezieht sich auf ein Verfahren zum Schutz eines Netzwerks vor einem Cyberangriff durch Erkennung des Angriffs oder Lokalisierung eines Angriffspunktes eines solchen Cyberangriffes im Netzwerk.
  • Die Sicherheit von Netzwerken allgemein und speziell von Netzwerken in Fahrzeugen gegen Cyberangriffe wird immer wichtiger. Gerade für vernetzte und automatisierte Fahrzeuge werden solche Angriffe relevanter. Forscher konnten erfolgreiche Remote-Angriffe auf Fahrzeug-Steuergeräte demonstrieren. Dadurch wird es Angreifern möglich, Steuerungsfunktionen im Fahrzeug zu übernehmen, indem Nachrichten über die erfolgreich angegriffenen Steuergeräte in ein Fahrzeugnetzwerk eingespielt werden.
  • Zum einen ist es wichtig, einen Angriff auf ein Netzwerk zu erkennen und die dadurch eingespielten schädlichen Nachrichten zu identifizieren. Zum anderen ist es ebenfalls bedeutend, den Ursprung des Angriffs, also den angegriffenen Netzwerkteilnehmer oder zumindest das angegriffene Netzwerksegment zu identifizieren, u.a. um gezielte Gegenmaßnahmen einleiten zu können. Wird eine Nachricht als bösartig identifiziert, so soll nun anhand von Charakteristika der Übertragung der Nachricht erkannt werden, von welchem Netzwerkteilnehmer bzw. aus welchem Netzwerksegment die Nachricht kommt.
  • Hierzu werden Frequenzen bzw. Frequenzanteile einer Nachrichtenübertragung im Netzwerk bestimmt und mit entsprechenden vorbestimmten Größen vergleichen. Alternativ können auch Frequenzverhältnisse bestimmt oder gespeichert werden und für den Vergleich herangezogen werden. Diese vorbestimmten Größen entsprechen vorzugsweise für bestimmte Netzwerkteilnehmer, Netzwerksegmente oder Übertragungsstrecken charakteristischen Frequenzen oder daraus abgeleitete Größen. Durch den Vergleich kann die Herkunft einer Nachricht im Netzwerk festgestellt werden und (evtl. in Kombination mit weiteren Eigenschaften der Nachricht) ein Cyberangriff festgestellt werden oder ein erkannter Cyberangriff im Netzwerk lokalisiert werden. Für einen entfernten Angreifer ist es kaum möglich die Frequenzen bei einer Übertragung gezielt zu beeinflussen, ganz im Gegensatz zu Nachrichteninhalten einschließlich Absenderadressen etc.
  • Dabei können die Frequenzen bzw. Frequenzanteile
    • - ein Teilnetzwerk als Herkunft einer Übertragung authentifizieren,
    • - einen bestimmten Übertragungsweg oder Übertragungskanal im Netzwerk charakterisieren bzw. authentifizieren oder
    • - individuelle Netzwerkteilnehmer (z.B. Steuergeräte in einem Fahrzeugnetzwerk oder Gateways eines Netzwerks) als Urheber einer Nachricht authentifizieren.
  • In einem System können diese Charakteristika in allen drei verschiedenen Ausprägungen auch gemeinsam eingesetzt werden.
  • In 1 ist ein beispielhaftes Netzwerk 1 mit Abschlusswiderständen 10 und 11 gezeigt. An den Bus 1 angeschlossen sind als Netzwerkteilnehmer eine ECU 101, eine ECU 102 sowie ein Netzwerkwächter bzw. eine Netzwerküberwachungseinheit 103. Der Netzwerkwächter 103 verfügt vorzugsweise über Sende- und Empfangsmittel, Nachrichten des Bus 1 zu empfangen sowie Nachrichten auf den Bus 1 zu senden. Zudem verfügt er vorzugsweise über Auswertemittel, physikalische Charakteristika einer Übertragung einer Nachricht auf dem Bus zu bestimmten, sowie über eine Recheneinheit, um daraus insbesondere durch Vergleich mit vorbestimmten Daten eine Herkunft der Nachricht zu ermitteln.
  • In 2 ist ein beispielhafter Ablauf eines Verfahrens zum Schutz eines Netzwerks gegen Cyberangriffe gezeigt. Zunächst werden in einem ersten Schritt 201 insbesondere mittels eines Modells Frequenzen oder Frequenzanteile während oder kurz nach Übertragungen als vorbestimmte, charakterisierende Größe erstellt. Vorzugsweise werden für alle Netzwerkteilnehmer entsprechende Größen vorbestimmt. Das kann über Messungen der charakteristischen Frequenzen oder Frequenzanteile einer Nachrichtenübertragung mit externen Messgeräten erfolgen (zum Beispiel einem Oszilloskop), insbesondere in einer sicheren Umgebung (zum Beispiel im Werk). Alternativ können die charakteristischen Frequenzen oder Frequenzanteile auch mit internen Messvorrichtungen physikalische Charakteristika bestimmt werden (z.B. mit Mitteln eines Netzwerkteilnehmers, z.B. eines Steuergeräts an einem Fahrzeugnetz oder in Messvorrichtungen eines Netzwerkknotens speziell für die Netzwerküberwachung). Alternativ dazu können Modell bzw. vorbestimmte Größen auch von extern empfangen und abgespeichert werden, z.B. von einem Internetserver.
  • Für die Bestimmung der Frequenzanteile kann der gesamte Frame einer Nachricht oder auch nur Teile verwendet werden. Da die Information in den Flanken bzw. im Bereich nach den Flanken (Ausschwingen) enthalten ist, ist es auch möglich, nur einen Teil eines Bits (Anfang oder Ende) zu verwenden. Zur Bestimmung können auch mehrere Messungen (z.B. alle positiven Flanken) eines Frames aufaddiert werden.
  • Das Modell kann auf verschiedene Arten angelernt werden bzw. die Fingerabdrücke bestimmen. Zum Beispiel kann ein bestimmtes Prüfmuster im Netzwerk übertragen werden, welches insbesondere unkorreliert zu anderen auf dem Bus erwarteten Nachrichten sein kann. Alternativ können die Fingerabdrücke auch anhand während des normalen Betriebs des Netzwerks übertragener regulärer Nachrichten oder aus Teilen dieser Nachrichten bestimmt werden. Auch können bestimmte Netzwerkteilnehmer per Nachricht dazu aufgefordert werden, auf bestimmte Art zu antworten, und anhand der Übertragung der bestimmten Antworten Fingerabdrücke bestimmt werden. Optimalerweise werden die Fingerabdrücke mittels des Modells auf Basis der gemessenen physikalischen Charakteristika wiederholter und unterschiedlicher Übertragungen angelernt, um später anhand der Fingerabdrücke eine robuste Authentifizierung zu ermöglichen.
  • Im Schritt 202 liegt ein valides Modell bzw. liegen valide Fingerabdrücke vor, so dass Kommunikation im Netzwerk in Schritt 203 durch Vergleich mit dem Modell bzw. den Fingerabdrücken auf ihre Herkunft überprüft werden kann. Konkret bestimmt werden können in diesem Schritt einzelne Nachrichten und deren Inhalte (z.B. einzelne Nachrichtenrahmen auf einem CAN-Bus oder einzelne Bits innerhalb eines solchen Rahmens), die Übertragungszeitpunkte, Muster höherer Ordnung im Nachrichtenverkehr eines oder mehrere Übertragungsteilnehmer (insbesondere Transceiver) und die physikalischen Charakteristika der Übertragung. Bereits mit diesen Informationen können schädliche oder unerwartete Nachrichten identifiziert werden und als (mutmaßliche) Nachrichten aufgrund eines Cyberangriffs erkannt werden. Durch einen Vergleich der bestimmten physikalischen Charakteristika mit dem angelernten Modell bzw. den ermittelten Fingerabdrücken kann die Herkunft der Nachricht bestimmt werden und damit ein Cyberangriff identifiziert bzw. bestätigt werden oder ein Angriffspunkt des Cyberangriffs lokalisiert werden. Letzteres ermöglicht wiederrum eine gezielte Reaktion auf den Angriff am Angriffspunkt.
  • Für die Manipulationserkennung und die Lokalisierung werden als physikalisches Charakteristikum Übertragungsfrequenzen bestimmt. Jeder Netzwerkteilnehmer bzw. jeder Netzwerkbereich kann verschiedene Frequenzen bei der Übertragung im Netzwerk einbringen, z.B. resultierend aus unterschiedlichen Eigenschaften der jeweiligen Transceiver, aus Kabeleigenschaften etc. Diese Frequenzen können gemessen werden bzw. die verschiedenen Frequenzanteile bestimmt werden. Vorzugsweise können Auswertungen im Frequenzbereich anstatt im Zeitbereich erfolgen. Die unterschiedlichen Frequenzanteile resultieren auch aus Signalüberlagerungen und Signalreflexionen im Netzwerk. Um die Authentifizierbarkeit von Netzwerkteilnehmern zu erhöhen, könnten unterschiedliche Frequenzcharakteristika auch gezielt ins Netzwerk eingebracht werden, insbesondere durch Auswahl oder Manipulation der Hardwarekomponenten der Netzwerkteilnehmer, insbesondere von Transceivern der Netzwerkteilnehmer, oder durch eine Manipulation der Stromzufuhr zu einem Transceiver. Vorzugsweise werden für die Bestimmung der entsprechenden Charakteristika bzw. der Bestimmung der vorbestimmten Größen bzw. Fingerabdrücke eine Sprungantwort oder eine Impulsantwort eines Netzwerks auf eine Übertragung ausgenutzt. Damit können insbesondere auch die auftretenden Reflektionen im System ausgenutzt werden, welche aus der Struktur des Netzwerks, seiner Übertragungsmittel, seiner Widerstände und seiner angeschlossenen Hardwareelemente resultieren, und welche die bestimmten Frequenzen besonders charakteristisch werden lassen.
  • Ein Testimpuls kann hierbei von einem gewöhnlichen Teilnehmer oder von einem speziellen Testteilnehmer erzeugt werden. Der Testimpuls kann hierbei aus einem oder einer beliebigen Anzahl von Pegelwechsel bestehen, bei denen die Zeiten zwischen den Pegelwechsel bestimmt oder unbestimmt sind. Auch ist es möglich, dass das Netzwerk hierfür in einen speziellen Lernmodus versetzt wird, während dessen beispielsweise keine normale Datenübertragung stattfindet. Der Sender des Testimpulses kann zur Erzeugung des Testimpulses über spezielle Module aus HW und/oder SW verfügen.
  • Die Ermittlung und Auswertung der Daten in Schritt 203 kann durch einzelne Netzwerkteilnehmern, z.B. von einzelnen Steuergeräten eines Fahrzeugnetzes erfolgen. Alternativ können auch separat vorgesehene Überwachungseinheiten als Netzwerkteilnehmer hierzu eingesetzt werden. Einzelne Eigenschaften, z.B. Übertragungszeitpunkte aber auch weitere physikalische Charakteristika, können ohne spezielle Hardware erfasst werden. Für andere Eigenschaften, vor allem im gewünschten Detailgrad, ist zusätzliche Hardware in den Einheiten sinnvoll. Daher ist es vorzugsweise sinnvoll, einzelnen Netzwerkteilnehmer die Erfassung und Auswertung zu übertragen und diese entsprechend auszustatten. Diese können auch über zusätzliche Absicherungsmechanismen verfügen, z.B. ein TPM (Trusted Platform Module). Die Auswertung der Daten kann auch kooperativ durch mehrere Netzwerkteilnehmer erfolgen.
  • Die Erfassung und Auswertung der Daten kann periodisch oder dynamisch, insbesondere zur Reduzierung des benötigten Speicherplatzes bei festgestelltem Bedarf, stattfinden. Eine Speicherung der Daten ermöglicht es, auch für vergangene Nachrichten eine Analyse der Herkunft durchzuführen, falls ein Verdacht auf einen erfolgten Cyberangriff auf das Netzwerk besteht. Für eine möglichst schnelle Reaktion auf Angriffe sind Echtzeiterfassung und -berechnung optimal.
  • Die erfassten Daten können in jedem Steuergerät einzeln, in einem oder mehreren Netzwerküberwachungseinheiten oder auch Netzwerk-extern gespeichert werden. In einer vorteilhaften Ausgestaltung werden die Daten an verschiedenen Stellen abgespeichert, um einen Angriff auf die Daten zu erschweren. Im Fall eines Fahrzeugnetzwerks können die Daten auch Fahrzeug-extern, z.B. auf einem Server gespeichert werden. Das hat den Vorteil, dass auch für andere Fahrzeuge oder von einer übergeordneten Stelle eine Auswertung und Reaktion erfolgen kann sowie dass die Daten bei einem Cyberangriff auf das Fahrzeug nicht (ohne weiteres) Gegenstand des Angriffes sein können.
  • Wird eine Nachricht in Schritt 203 als unbedenklich eingestuft, wird zu Schritt 204 verzweigt und die Nachricht kann ohne Gegenmaßnahmen im Netzwerk übertragen und ausgewertet werden. Von Schritt 204 kann in Schritt 202 verzweigt werden und für weitere Nachrichtenübertragungen eine Datenerfassung und eine Analyse erfolgen. Zusätzlich oder alternativ können nach einer Verzweigung zu Schritt 207 die erfassten Daten dazu verwendet werden, das Modell bzw. die Fingerabdrücke anzupassen bzw. zu verfeinern. Dies kann auch dazu beisteuern, dass potentielle Angriffe erkannt werden, bei denen die einzelnen Nachrichten nicht schädlich sind, aber in ihrer Gesamtheit sehr wohl schädlich sein können. Das kann sinnvoll sein, da sich physikalische Charakteristika auch über die Zeit ändern können, z.B. aufgrund von Alterungseffekten. Von Schritt 207 wird dann wieder in Schritt 201 verzweigt.
  • Wird eine Nachricht als bedenklich, also als Teil eines Cyberangriffs gewertet wird aus Schritt 203 in Schritt 205 verzweigt. Dort werden geeignete Gegenmaßnahmen bzw. Reaktionen angestoßen. In einer besonders bevorzugten Ausgestaltung werden die Gegenmaßnahmen bzw. Reaktionen auf Basis der erkannten Herkunft der Nachricht hin speziell angepasst.
  • Als Reaktion kann eine weitere Übertragung (insbesondere bei einer Echtzeitreaktion) oder zumindest eine weitere Auswertung einer Nachricht verhindert werden, z.B. indem auf einen Nachrichtenkanal dominante Signale gesendet werden (die die Nachricht unleserlich oder zumindest fehlerhaft machen, z.B. durch Überschreiben einer Prüfungssequenz) oder direkt im Anschluss an die Nachricht einen Fehlerrahmen versendet wird. Diese Reaktionen können auch abhängig davon gestaltet werden, woher die Nachricht kam.
  • Als weitere Gegenmaßnahme können alternativ oder zusätzlich auch (mutmaßlich) korrumpierte Netzwerkteilnehmer aus dem Netzwerk entfernt werden (insbesondere deaktiviert werden), insbesondere der Netzwerkteilnehmer, welcher als Sender der Nachricht identifiziert wurde, bzw. Netzwerkteilnehmer aus dem Netzwerksegment, das als Herkunft der Nachricht identifiziert wurde. Ebenso können Übertragungsstrecken gesperrt werden, über welche die Nachricht übertragen wurde. Es können des Weiteren auch Nachrichten an Gateways zwischen bestimmten Netzwerken oder Netzwerksegmenten geblockt werden, um ein Übergreifen eines Angriffs auf benachbarte oder zusätzliche Netzwerke oder Netzwerksegmente zu vermeiden.
  • Das Netzwerk in einem Fahrzeug kann beispielsweise in logisch und / oder physikalisch getrennte Segmente unterteilt werden. Zum Beispiel kann das Netzwerksegment, an welches eine Head Unit des Fahrzeugs angeschlossen ist, über ein Gateway von einem weiteren Netzwerksegment getrennt sein, wobei das weitere Netzwerksegment von sicherheitskritischen Steuergeräten (z.B. zur Motorsteuerung, für ABS- oder ESP-Funktionen) genutzt wird. Wird solches Gateway, welches zwei Netzwerksegmente trennt, über Charakteristika der Übertragung bzw. entsprechende Fingerabdrücke als Quelle einer Nachricht in einem der Segmente identifiziert, welche nicht von einem Angreifer über Software manipulierbar sind, so können gezielt Nachrichten von diesem Gateway (und damit aus dem anderen Netzwerksegment) verworfen werden oder es kann gleich das Gateway selbst deaktiviert werden. So kann ein sicherheitskritisches Netzwerksegment von den Auswirkungen eines Angriffs auf ein anderes Netzwerksegment geschützt werden. Eine weitere Gegenmaßnahme kann auch das Abschalten der vermeintlichen Empfänger der Nachricht sein. Möglich ist hierbei neben einer kompletten Deaktivierung auch ein Umschalten auf einen Betriebsmodus mit reduzierter Funktionalität, z.B. einen Notlauf.
  • Schließlich können alternativ oder zusätzlich auch Warnsignale oder Fehlerberichte innerhalb des Netzwerks oder nach Netzwerk-extern übertragen werden, welche den erkannten Angriff und vorzugsweise die ermittelte Herkunft enthalten.
  • Im folgenden Schritt 207 können wiederum das Modell bzw. die Fingerabdrücke auf Basis der erfassten und ausgewerteten Daten angepasst bzw. verfeinert werden.
  • Bei einer Veränderung der Hardware eines Netzwerks oder seiner Komponenten kann es erforderlich sein, dass die Fingerabdrücke angepasst bzw. neu gelernt werden. Das kann z.B. der Fall sein bei einem Werkstattbesuch (Austausch, Veränderung, Ergänzung oder Wegnahme einer Komponente) oder auch durch Alterung des Systems. Vorzugsweise werden dabei die systemweiten Fingerabdrücke angepasst oder neu gelernt, da derartige Änderungen oft auch Auswirkungen auf die Fingerabdrücke anderer Komponenten oder Segmente haben. Ein solcher Anpass- oder Lernvorgang kann automatisch starten, z.B. auch, wenn durch das System automatisch eine Veränderung von Charakteristika erkannt wurde. Alternativ kann ein solcher Anpassvorgang auch von einer autorisierten Stelle angestoßen werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2012/159940 A2 [0002]
    • EP 2433457 B1 [0003]

Claims (13)

  1. Verfahren zum Schutz eines Netzwerkes (1) vor einem Cyberangriff, dadurch gekennzeichnet, dass für eine erste Übertragung einer Nachricht in dem Netzwerk (1) Frequenzen oder Frequenzanteile oder Frequenzverhältnisse bestimmt werden, die Frequenzen, Frequenzanteile oder Frequenzverhältnisse mit mindestens einer vorbestimmten Größe verglichen wird und in Abhängigkeit des Vergleichs der Cyberangriff auf das Netzwerk (1) erkannt wird oder der Cyberangriff auf das Netzwerk (1) in dem Netzwerk (1) lokalisiert wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die mindestens eine vorbestimmte Größe eine für einen bestimmten Netzwerkteilnehmer (103), ein bestimmtes Netzwerksegment oder einen bestimmten Übertragungsweg in dem Netzwerk (1) charakteristische Frequenzen oder Frequenzanteile einer Übertragung darstellt.
  3. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Frequenzen oder Frequenzanteile bei einer Sprungantwort oder einer Impulsantwort des Netzwerks (1) während oder kurz nach der Übertragung bestimmt werden.
  4. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Netzwerk (1) ein CAN-Bussystem ist.
  5. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Netzwerk (1) ein Fahrzeug-internes Netzwerk ist und der Fahrzeug-interne eines Angriffspunktes eines Cyberangriff von Fahrzeug-extern auf das Netzwerk lokalisiert wird.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die Bestimmung der Frequenzen oder Frequenzanteile und/oder der Vergleich von mindestens einem Fahrzeugsteuergerät (101, 102), welches an das Netzwerk angeschlossen ist, durchgeführt werden.
  7. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die Bestimmung der Frequenzen oder Frequenzanteile und/oder der Vergleich mit dem mindestens einem Fingerabdruck von mindestens einem speziell zur Überwachung vorgesehenen Netzwerkteilnehmer (103) oder von einer verbundenen Fahrzeug-externen Recheneinheit durchgeführt werden.
  8. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass bei einem erkannten Cyberangriff eine Fehlerbehandlung erfolgt, insbesondere ein Abbruch der Übertragung der Nachricht, eine Kenntlichmachung der Nachricht als ungültig, ein Ausschluss des lokalisierten Angriffspunkts aus dem Netzwerk (1), ein Deaktivieren eines Gateways des Netzwerks (1), um einen lokalisierten Angriffspunkt des Netzwerks von anderen Teilen des Netzwerks (1) zu trennen, oder ein Versenden einer Warnmeldung zur erkannten Manipulation.
  9. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die Fehlerbehandlung gezielt für einen lokalisierten Netzwerkteilnehmer (101, 102, 103), ein lokalisiertes Netzwerksegment oder für eine lokalisierte Übertragungsstrecke des Netzwerks (1) durchgeführt wird.
  10. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass über Hardwareauswahl für Netzwerkteilnehmer oder deren Komponenten, insbesondere von Transceivern, oder über Hardwaremanipulation von Netzwerkteilnehmern oder derer Komponenten, insbesondere von Transceivern, eine Variabilität von charakteristischen Frequenzen bzw. Frequenzanteilen zwischen Netzwerkteilnehmern in dem Netzwerk (1) verstärkt wird.
  11. Vorrichtung, welche dazu eingerichtet ist, als Teilnehmer (101, 102, 103) an einem Netzwerk (1) ein Verfahren nach einem der Ansprüche 1 bis 10 durchzuführen.
  12. Computerprogramm, welches dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 10 durchzuführen.
  13. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 12.
DE102017208549.5A 2017-05-19 2017-05-19 Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff Pending DE102017208549A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017208549.5A DE102017208549A1 (de) 2017-05-19 2017-05-19 Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017208549.5A DE102017208549A1 (de) 2017-05-19 2017-05-19 Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff

Publications (1)

Publication Number Publication Date
DE102017208549A1 true DE102017208549A1 (de) 2018-11-22

Family

ID=64278481

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017208549.5A Pending DE102017208549A1 (de) 2017-05-19 2017-05-19 Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff

Country Status (1)

Country Link
DE (1) DE102017208549A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012159940A2 (de) 2011-05-24 2012-11-29 Siemens Aktiengesellschaft Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk
EP2433457B1 (de) 2009-05-20 2014-03-19 Robert Bosch GmbH Security system and method for wireless communication within a vehicle

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2433457B1 (de) 2009-05-20 2014-03-19 Robert Bosch GmbH Security system and method for wireless communication within a vehicle
WO2012159940A2 (de) 2011-05-24 2012-11-29 Siemens Aktiengesellschaft Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk

Similar Documents

Publication Publication Date Title
DE102017208547A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
CH714535B1 (de) Fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system.
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE112015006541T5 (de) Angriffsdetektionsvorrichtung
DE102017208553A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102013210102A1 (de) Vorrichtung und verfahren zum erfassen eines angriffes auf ein fahrzeugseitiges netzwerk
DE102015122823A1 (de) Verfahren und System zur reflektometriebasierten Überwachung, Intrusionserfassung und Mitteilungsauthentifizierung eines Kommunikationsnetzwerks
DE102014226398A1 (de) Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
DE102017200826A1 (de) Verfahren zum Betreiben einer Überwachungsvorrichtung eines Datennetzwerks eines Kraftfahrzeugs sowie Überwachungsvorrichtung, Steuergerät und Kraftfahrzeug
WO2016008778A1 (de) Verfahren zum erkennen eines angriffs in einem computernetzwerk
DE102019207423A1 (de) Verfahren und System zur Erfassung eingekoppelter Nachrichtenanomalien
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE102017208551A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102018215945A1 (de) Verfahren und Vorrichtung zur Anomalie-Erkennung in einem Fahrzeug
WO2019052798A1 (de) Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem
DE102017208545A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
WO2017162395A1 (de) Verfahren zur überwachung der sicherheit von kommunikationsverbindungen eines fahrzeugs
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102017208549A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102017208548A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102018217964A1 (de) Verfahren und Vorrichtung zur Überwachung einer Datenkommunikation

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R012 Request for examination validly filed