DE102017220131A1 - Erkennung von Anomalien in einem Netzwerkdatenstrom - Google Patents

Erkennung von Anomalien in einem Netzwerkdatenstrom Download PDF

Info

Publication number
DE102017220131A1
DE102017220131A1 DE102017220131.2A DE102017220131A DE102017220131A1 DE 102017220131 A1 DE102017220131 A1 DE 102017220131A1 DE 102017220131 A DE102017220131 A DE 102017220131A DE 102017220131 A1 DE102017220131 A1 DE 102017220131A1
Authority
DE
Germany
Prior art keywords
image
data stream
messages
data
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017220131.2A
Other languages
English (en)
Inventor
Andrej Junginger
Antonio La Marca
Markus Hanselmann
Thilo Strauss
Holger Ulmer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017220131.2A priority Critical patent/DE102017220131A1/de
Publication of DE102017220131A1 publication Critical patent/DE102017220131A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Image Analysis (AREA)

Abstract

Vorrichtung (10) zur Erkennung von Anomalien in einem über ein Netzwerk (50) übertragenen Datenstrom (49), wobei der Datenstrom (49) in einzelne Nachrichten (49a-49n) unterteilt ist, umfassend einen Bildgenerator (2), der dazu ausgebildet ist, aus dem ihm zugeführten Datenstrom (49, 49') mindestens ein zweidimensionales Bild (21, 21a-21d) zu generieren, indem in jeder Zeile des Bildes (21, 21a-21d) Daten aus einer Nachricht (49a-49n) aufgetragen werden und indem in aufeinander folgenden Zeilen des Bildes (21, 21a-21d) Daten aus zeitlich aufeinander folgenden Nachrichten (49a-49n) aufgetragen werden; sowie weiterhin umfassend ein Künstliche-Intelligenz-Modul, KI-Modul (3), zur Erkennung von Anomalien (31) in dem mindestens einen Bild (21, 21a-21d) oder in einer Abfolge aus mehreren Bildern (21a-21d).Zugehöriges Verfahren (100) zur Erkennung von Anomalien (31) in einem über ein Netzwerk (50) übertragenen Datenstrom (49) und Computerprogramm.

Description

  • Die vorliegende Erfindung betrifft die Erkennung von Anomalien in einem Netzwerkdatenstrom, welche beispielsweise als Intrusion Detection-System für den CAN-Steuerungsbus von Fahrzeugen verwendbar ist.
  • Stand der Technik
  • In nahezu jedem Fahrzeug ist ein Controller Area Network, CAN, verbaut. CAN ist ein serielles Feldbussystem, das die Kommunikation von Mikrocontrollern, insbesondere Steuergeräten im Fahrzeug, erlaubt. Gegenüber einer Punkt-zu-Punkt-Verkabelung der Baugruppen, die jeweils miteinander in Verbindung treten müssen, spart CAN als Bussystem in erheblichem Maße Kosten und Gewicht.
  • Je wichtiger der CAN-Bus für das Funktionieren eines Fahrzeugs als Ganzes wird, desto interessanter wird er als Angriffsziel für Manipulationen und desto wichtiger wird es auch, unbeabsichtigte Fehlfunktionen zu erkennen, die das Funktionieren des CAN-Bus als Ganzes in Frage stellen könnten. Daher gibt es nunmehr auch für den CAN-Bus und andere Steuerungsbussysteme Intrusion Detection-Systeme, IDS, zur Erkennung von Anomalien im Netzwerkverkehr.
  • Die US 9,197,652 B2 offenbart, ein IDS mit der zeitlichen Abfolge und dem Rhythmus korrekter Nachrichten zu trainieren. Die US 2005/060 295 A1 offenbart eine Kombination aus Merkmalsextraktion und statistischer Klassifizierung, die schnell genug für eine Untersuchung in Echtzeit ist. Die US 8,015,133 B1 offenbart die Erkennung von Netzwerkangriffen ohne Vorannahmen durch unüberwachtes Trainieren eines neuronalen Netzwerks. Die WO 2014/094 034 A1 offenbart ein Verfahren für die Erzeugung einer Konfiguration für ein blockbasiertes neuronales Netzwerk, damit dieses in der Folge Netzwerkangriffe aus Netzwerkdatenverkehr erkennen kann.
  • Offenbarung der Erfindung
  • Im Rahmen der Erfindung wurde eine Vorrichtung zur Erkennung von Anomalien in einem über ein Netzwerk übertragenen Datenstrom entwickelt. Dabei ist der Datenstrom in einzelne Nachrichten unterteilt, die beispielsweise in Form eines oder mehrerer Pakete in dem Netzwerk übertragen werden können.
  • Der Begriff der Anomalie umfasst jedes Vorkommnis, das beim bestimmungsgemäßen Gebrauch des Netzwerks nicht zu erwarten ist. Hierunter fallen insbesondere bewusste Manipulationen, wie etwa Nachrichten, deren Form und/oder Inhalt bewusst falsch, widersprüchlich, nicht spezifikationskonform und/oder in sonstiger Weise ungültig gewählt ist. Der Angreifer erhofft sich hiervon, dass Software, die die Nachrichten entgegennimmt, zu deren korrekter Behandlung nicht in der Lage ist, so dass sie abstürzt oder sogar ihr Kontrollfluss entsprechend dem Willen des Angreifers umgeleitet werden kann. Anomalien können aber auch durch Defekte entstehen. Beispielsweise kann ein defekter Sensor unsinnige Werte melden, oder ein Defekt in einer Netzwerkkarte kann dazu führen, dass die physische Ausbreitung der Signale auf der Verkabelung des CAN-Bus beeinträchtigt wird. Dadurch können auch Nachrichten zwischen zwei ordnungsgemäß funktionierenden Baugruppen ganz oder teilweise verstümmelt werden.
  • Die Vorrichtung weist einen Bildgenerator auf, der dazu ausgebildet ist, aus dem ihm zugeführten Datenstrom mindestens ein zweidimensionales Bild zu generieren. Hierzu werden in jeder Zeile des Bildes Daten aus einer Nachricht aufgetragen. Weiterhin werden in aufeinander folgenden Zeilen des Bildes Daten aus zeitlich aufeinander folgenden Nachrichten aufgetragen.
  • Die Vorrichtung weist weiterhin ein Künstliche-Intelligenz-Modul, KI-Modul, zur Erkennung von Anomalien in dem mindestens einen Bild oder in einer Abfolge aus mehreren Bildern auf.
  • Der Begriff „Daten aus einer Nachricht“ ist nicht ausdrücklich nicht auf die reinen Nutzdaten (Payload) der Nachricht beschränkt, sondern kann auch Metadaten, etwa aus einem Header der Nachricht, umfassen. So können beispielsweise Angaben über den Absender oder Empfänger, und/oder auch ein Zeitstempel oder Differenzen zwischen Zeitstempeln, als zusätzliche Informationen herangezogen werden.
  • Es wurde erkannt, dass in der Auftragung des Datenstroms als Bild das normale Verhalten insbesondere von Steuerungsnetzwerken in Form von Features sichtbar wird, die Nachbarschaftsbeziehungen widerspiegeln. Das normale Verhalten erzeugt somit in dem Bild ein charakteristisches Muster. Anomalien sind besonders einfach daran zu erkennen, dass sie nicht in dieses Muster passen.
  • Indem nun für diese Erkennung ein für die Verarbeitung von Bildern konzipiertes KI-Modul gleichsam zweckentfremdet wird, wird die auf dem Gebiet der Bildverarbeitung sehr hoch entwickelte Technologie der Mustererkennung für das Gebiet der Anomalieerkennung in Netzwerkdaten nutzbar gemacht.
  • Eine Anomalieerkennung in dieser Weise hat den großen Vorteil, dass sie von Vorwissen über den normalen Netzwerkverkehr weitestgehend unabhängig ist. Herkömmliche IDS für den CAN-Bus in einem Fahrzeug basieren auf Regeln, denen als normal einzustufender Netzwerkverkehr genügen muss. Diese Regeln sind beispielsweise von der Form „WENN die Nachricht von der Komponente X kommt, DANN muss der enthaltene Datenwert zwischen den Grenzen Min und Max liegen“.
  • Was allerdings in einem konkreten Fahrzeug normal ist, kann in letzter Instanz nur der Fahrzeughersteller wissen: Der Fahrzeughersteller erstellt die CAN-Matrix, also die Spezifikation, nach der in dem konkreten Fahrzeug Nachrichten auf dem CAN-Bus verfasst werden. Einzelne Zulieferer bekommen den für sie relevanten Teil dieser Spezifikation mitgeteilt. Auf diese Weise kann beispielsweise ein Sensor eines ersten Zulieferers die Messwerte in einem Datenformat bereitstellen, das vom Steuergerät eines zweiten Zulieferers korrekt interpretiert wird. Um nun aber zu wissen, welcher Netzwerkverkehr insgesamt normal ist, wird die komplette CAN-Matrix benötigt. Da es sich hierbei um wesentliches geistiges Eigentum in Bezug auf das entsprechende Fahrzeug handelt, gibt der Fahrzeughersteller die komplette CAN-Matrix in der Regel nicht heraus. Somit ist es schwierig, Regeln für normalen Netzwerkverkehr a priori zu generieren.
  • Selbst wenn a priori Regeln aufgestellt werden, können diese in der Praxis mitunter auch im Normalbetrieb nicht immer eingehalten werden. Beispielsweise kann vorgesehen sein, dass ein bestimmtes Signal mit einer bestimmten Frequenz periodisch auftritt. Wenn nun aber beispielsweise zusätzliche Komponenten am CAN-Bus angeschlossen werden und für ein erhöhtes Aufkommen an höher priorisierten Nachrichten sorgen, kann es zu Wartezeiten kommen, so dass die Periodizität nicht genau eingehalten werden kann. In der Folge wird der Netzwerkverkehr fälschlicherweise als anormal gewertet.
  • Die Überführung des Datenstroms in ein oder mehrere Bilder und anschließende Auswertung mit dem KI-Modul hat demgegenüber den Vorteil, dass die Erkenntnis, welcher Netzwerkverkehr normal ist, durch Trainieren des KI-Moduls automatisch erzeugt werden kann. Es ist also nicht erforderlich, dass die CAN-Matrix vorliegt. Das Trainieren des KI-Moduls kann beispielsweise werksseitig an Hand simulatorischer Daten auf einem Rechner erfolgen, bevor das KI-Modul in das Fahrzeug eingebaut wird. Das KI-Modul kann alternativ oder in Kombination auch beispielsweise selbstlernend sein. So kann es sich beispielsweise nach dem Einbau einer weiteren Komponente in das Fahrzeug automatisch darauf einstellen, dass zusätzliche Nachrichten mit neuen Inhalten übertragen werden und dass das zusätzliche Aufkommen an Nachrichten die Übertragung anderer Nachrichten verzögert.
  • Durch die Auswertung von Nachbarschaftsbeziehungen in einem oder mehreren aus dem Datenstrom erzeugten Bildern lassen sich insbesondere normale zeitliche Muster von Nachrichten schnell automatisiert erkennen. Weiterhin lassen sich Korrelationen zwischen verschiedenen Übermittlungen, etwa in der Form „WENN Signal S1 im Wertebereich WI liegt, DANN muss Signal S2 im Wertebereich W2 liegen“, automatisiert erfassen. Derartige Korrelationen sind bei der Erstellung einer CAN-Matrix nicht unbedingt vorhersehbar, sondern ergeben sich im laufenden Betrieb im Zusammenspiel mehrerer Komponenten.
  • Weiterhin ist die Erkennung von Anomalien mit dem KI-Modul, im Gegensatz zu einer regelbasierten Erkennung, nicht auf Anomalien beschränkt, die vorab bekannt sind. Wie eingangs erwähnt, setzten viele Angriffe gerade daran an, an einer völlig überraschenden Stelle von der Spezifikation abzuweichen. Beispielsweise wird für eine Messgröße, die aus physikalischen Gründen immer positiv ist, plötzlich ein negativer Zahlenwert eingetragen, oder in einem Übertragungsprotokoll, das zuerst die Länge eines Datenblocks übermittelt und dann die eigentlichen Daten, wird die Länge bewusst unpassend (zu groß oder zu klein) im Verhältnis zu den folgenden Daten gesetzt. Die Angriffsfläche ist in dieser Hinsicht so vielfältig, dass die entsprechenden Anomalien kaum mit vertretbarem Aufwand regelbasiert abzudecken sind.
  • In einer besonders vorteilhaften Ausgestaltung ist das KI-Modul dazu ausgebildet, in Antwort auf die Erkennung einer Anomalie eine akustische oder optische Warneinrichtung anzusteuern, und/oder einen mit dem Netzwerk gesteuerten Prozess auf manuelle Steuerung oder auf einen in sonstiger Weise gegen Störungen des Netzwerks gesicherten Betriebsmodus umzuschalten.
  • Wird beispielsweise ein zumindest teilweise automatisiert fahrendes Fahrzeug mit dem Netzwerk gesteuert, so kann der Fahrer mit der Warneinrichtung aufgefordert werden, die Steuerung zu übernehmen. Anschließend kann die automatisierte Steuerung deaktiviert werden, bis die Ursache für die Anomalie durch eine Werkstatt festgestellt wurde.
  • Weiterhin können beispielsweise auch sonstige über den CAN-Bus gesteuerte Prozesse im Fahrzeug in einen Betriebsmodus umgeschaltet werden, der gegen Störungen des CAN-Bus gesichert ist. Beispielsweise kann eine Motorsteuerung in ein Notlaufprogramm geschaltet werden, oder es kann eine mechanische Rückfallebene eines Lenksystems oder Bremssystems aktiviert werden.
  • In einer besonders vorteilhaften Ausgestaltung ist zusätzlich ein Filtermodul vorgesehen, das dazu ausgebildet ist, die Nachrichten nach mindestens einem vorgegebenen Kriterium zu filtern und dem Bildgenerator eine Vorauswahl derjenigen Nachrichten, die dem vorgegebenen Kriterium entsprechen, zuzuführen. Die Vorauswahl kann sich beispielsweise auf ein zeitliches Fenster, auf den Absender oder Empfänger der Nachricht, auf eine Länge der Nachricht in einem bestimmten Bereich und/oder auf Merkmale bezüglich des Inhalts (Payload) der Nachricht beziehen. Beispielsweise kann für die von einem Absender ausgehenden oder für einen Empfänger bestimmten Nachrichten ein gesondertes Bild des Datenstroms erstellt und auf Anomalien geprüft werden.
  • In die Vorauswahl kann beliebiges Vorwissen eingehen, beispielsweise bezüglich aus anderer Quelle erkannter Korrelationen oder bezüglich einer teilweisen Kenntnis der CAN-Matrix.
  • In einer weiteren besonders vorteilhaften Ausgestaltung ist der Bildgenerator dazu ausgebildet, mehrere Bilder gleicher Größe zu erzeugen, die bei zeitlich aufeinanderfolgenden Nachrichten des dem Bildgenerator zugeführten Datenstroms beginnen. Auf diese Weise lässt sich eine zeitliche Nachbarschaft von Nachrichten und Nachrichteninhalten für die Auswertung in eine räumliche Nachbarschaft überführen. Beispielsweise kann das KI-Modul dazu ausgebildet sein, die mehreren Bilder als unterschiedliche Farbkanäle ein und desselben Bildes zu interpretieren. Die k verschiedenen Bilder mit einer Länge von n Pixeln und einer Breite von m Pixeln bilden dann einen Tensor der Dimension (n, m, k), innerhalb dessen die Nachbarschaftsbeziehungen analysiert werden können.
  • Besonders vorteilhaft beinhaltet das KI-Modul ein neuronales Netzwerk mit mindestens einer Faltungsschicht, die eine Eingangsgröße oder einen Satz von Eingangsgrößen durch Anwendung mindestens eines Filters in eine Ausgangsgröße oder einen Satz von Ausgangsgrößen mit niedrigerer Dimensionalität umwandelt. Das neuronale Netzwerk ist dann ein „Convolutional Neural Network“, CNN. Insbesondere kann das Netzwerk mehrere hintereinander geschaltete Faltungsschichten aufweisen. Es kann dann beispielsweise eine erste Faltungsschicht Grundformen erkennen, und weitere Faltungsschichten können aus diesen Grundformen zusammengesetzte komplexere Formen erkennen. CNNs sind besonders geeignet, um eine sehr hohe Dimensionalität von Eingangsdaten so weit zu reduzieren, bis am Ende eine klare Klassifizierung der Eingangsdaten in eine überschaubare Anzahl diskreter Klassen vorgenommen werden kann.
  • Hierzu weist das neuronale Netzwerk vorteilhaft eine der mindestens einen Faltungsschicht nachgeschaltete vollvernetzte Schicht („Fully Connected Layer“) auf, die dazu ausgebildet ist, das Bild hinsichtlich des Vorliegens von Anomalien in mindestens zwei diskrete Klassen zu klassifizieren. Die Arbeitsteilung in dem Netzwerk kann dann beispielsweise so ausgestaltet werden, dass eine oder mehrere Faltungsschichten die Vorarbeit für die eigentliche Klassifikation durch die vollvernetzte Schicht leisten, indem sie die Dimensionalität der Eingangsdaten auf ein für die Klassifikation handhabbares Maß reduzieren.
  • Die Auswertung der Nachbarschaftsbeziehungen ist technisch nicht daran gebunden, dass das Bild ausschließlich aus Daten zusammengesetzt sind, die in den Nachrichten enthalten sind. Vielmehr kann es beispielsweise auch von anderen Größen abhängen, welcher Netzwerkverkehr in einer konkreten Situation als normal anzusehen ist. So kann ein Steuergerät beispielsweise über Zusatzinformationen verfügen, die nicht unmittelbar für den Betrieb anderer Komponenten im Fahrzeug relevant sind und daher nicht über den CAN-Bus übertragen werden. Diese Zusatzinformationen können aber Rückschlüsse auf die allgemeine Situation zulassen, in der sich das Fahrzeug befindet, und daher hilfreich für die Einordnung des Netzwerkverkehrs in einen Kontext sein. So wird beispielsweise die Aktivierung der Heckscheibenheizung üblicherweise nicht auf dem CAN-Bus kundgetan, lässt aber Rückschlüsse darauf zu, dass die Bedingungen winterlich sind und möglicherweise andere Verhaltensmuster auf dem CAN-Bus zu beobachten sein werden als im Hochsommer. Daher ist vorteilhaft der Bildgenerator dazu ausgebildet, zusätzlich zu den Daten aus den Nachrichten den Wert mindestens einer weiteren, nicht in den Nachrichten enthaltenen, Größe in jeder Zeile des generierten Bildes aufzunehmen.
  • Nach dem zuvor Beschriebenen ist die Vorrichtung besonders zur Analyse des Netzwerkverkehrs in einem CAN-Netzwerk geeignet. Daher ist besonders vorteilhaft eine CAN-Schnittstelle zur Entnahme des Datenstroms aus einem CAN-Netzwerk vorgesehen.
  • Nach dem zuvor Beschriebenen bezieht sich die Erfindung allgemein auf ein Verfahren zur Erkennung von Anomalien in einem über ein Netzwerk übertragenen Datenstrom, wobei der Datenstrom in einzelne Nachrichten unterteilt ist.
  • Bei dem Verfahren wird zunächst aus dem Datenstrom, der entweder alle Nachrichten oder eine Vorauswahl hiervon umfasst, mindestens ein zweidimensionales Bild generiert, indem in jeder Zeile des Bildes Daten aus einer Nachricht aufgetragen werden und indem in aufeinander folgenden Zeilen des Bildes Daten aus zeitlich aufeinander folgenden Nachrichten aufgetragen werden. Hierzu können beispielsweise Bytes, Wörter oder andere Gruppen von Bits in den Daten in Intensitätswerte in dem Bild übersetzt werden.
  • Anschließend werden aus dem mindestens einen Bild Merkmale extrahiert, die mit Nachbarschaftsbeziehungen zwischen Pixeln des Bildes, bzw. der Bilder, korreliert sind. Aus dem Vorhandensein, dem Fehlen, und/oder der Ausprägung, mindestens eines Merkmals wird darauf geschlossen, ob eine Anomalie in dem Datenstrom vorliegt. Dieser Schluss kann insbesondere durch eine Klassifizierung des Bildes als Ganzes erfolgen, die etwa dem Bild bezüglich eines oder mehrerer Merkmale eine Wahrscheinlichkeit zuordnet, dass dieses Merkmal in dem Bild vorliegt.
  • Wie zuvor beschrieben, werden auf diese Weise zeitliche Muster in dem Netzwerkverkehr in räumliche Nachbarschaftsbeziehungen umgewandelt, welche sich wiederum in bildlichen Merkmalen zeigen. Somit können bereits vorhandene Werkzeuge für die Erkennung bildlicher Merkmale für einen neuen Anwendungszweck nutzbar gemacht werden.
  • Wie zuvor beschrieben, werden besonders bevorzugt mehrere zweidimensionale Bilder zu einem dreidimensionalen Bild zusammengesetzt, wobei die Merkmale anhand von Nachbarschaftsbeziehungen zwischen Pixeln des dreidimensionalen Bildes extrahiert werden. Auf diese Weise können zeitliche Zusammenhänge in eine Nachbarschaft in der dritten Dimension umgewandelt werden.
  • Die Vorrichtung und das Verfahren können ganz oder teilweise in Software implementiert sein und ansonsten mit bereits vorhandener Hardware arbeiten. Die Software ist insofern ein eigenständig verkaufbares Produkt, das beispielsweise als Update für ein bestehendes Steuergerät verkauft werden kann. Daher bezieht sich die Erfindung auch auf ein Computerprogramm mit maschinenlesbaren Anweisungen, die, wenn sie auf einem Computer, und/oder auf einem Steuergerät, ausgeführt werden, den Computer, und/oder das Steuergerät, zu einer Vorrichtung gemäß der Erfindung aufwerten, und/oder dazu veranlassen, ein Verfahren gemäß der Erfindung auszuführen. Die Erfindung bezieht sich weiterhin auch auf einen maschinenlesbaren Datenträger oder ein Downloadprodukt mit dem Computerprogramm.
  • Weitere, die Erfindung verbessernde Maßnahmen werden nachstehend gemeinsam mit der Beschreibung der bevorzugten Ausführungsbeispiele der Erfindung anhand von Figuren näher dargestellt.
  • Figurenliste
  • Es zeigt:
    • 1 Ausführungsbeispiel der Vorrichtung 10;
    • 2 Beispielhafte Erzeugung eines Bildes 21' mit mehreren Farbkanälen aus einem Datenstrom 49;
    • 3 Beispielhafte Ansicht eines neuronalen Netzes 32 für das KI-Modul 3;
    • 4 Ausführungsbeispiel des Verfahrens 100.
  • Nach 1 ist die Vorrichtung 10 über ihre CAN-Schnittstelle 1 mit einem CAN-Bus 50 verbindbar, an dem in dem in 1 gezeigten Beispiel drei Geräte 51-53 angeschlossen sind. Der vom CAN-Bus 50 entnommene Datenstrom 49, der in einzelne Nachrichten 49a-49n unterteilt ist, wird zunächst von einem Filtermodul 4 nach mindestens einem vorgegebenen Kriterium 41 gefiltert. Die Vorauswahl 49' derjenigen Nachrichten 49a-49n, die dem Kriterium 41 entsprechen, werden dem Bildgenerator 2 zugeführt. Der Bildgenerator 2 erzeugt zweidimensionale Bilder 21, 21a-21d, wobei optional mehrere Bilder 21a-21d, die bei zeitlich aufeinanderfolgenden Nachrichten 49a-49n des Datenstroms 49' beginnen, als unterschiedliche Farbkanäle ein und desselben Bildes 21' aufgefasst werden können.
  • Das KI-Modul 3 analysiert das Bild 21, 21', bzw. die Bilder 21a-21d, und wertet Anomalien 31 aus. Aus den Positionen und den räumlichen Ausdehnungen der Anomalien 31 in dem Bild 21, 21', bzw. in den Bildern 21a-21d, ist unmittelbar ersichtlich, an welcher zeitlichen Position der Datenstrom 49' vom Normalzustand abweicht. Es kann dann beispielsweise ein zeitlicher Ausschnitt des Datenstroms 49' für eine genauere forensische Analyse abgespeichert werden. Bei dieser Analyse kann dann im Einzelnen festgestellt werden, ob beispielsweise eine zu erwartende Nachricht 49a-49n im Datenstrom 49' fehlt, ob eine solche Nachricht 49a-49n in Form und/oder Inhalt von der Spezifikation abweicht oder ob der Datenstrom 49' Nachrichten enthält, die dort nicht hingehören und möglicherweise von einem Angreifer eingeschleust wurden.
  • 2 verdeutlicht beispielhaft, wie ein Datenstrom 49 in ein Bild 21' mit mehreren Farbkanälen umgewandelt werden kann. Es sind beispielhafte Nachrichten 49a-49n dargestellt, wie sie auf einem CAN-Bus 50 ausgetauscht werden können. Jede Nachricht 49a-49n enthält die CAN-ID 49p des Absenders, den Data Length Code, DLC, 49q für die Länge der in der Nachricht 49a-49n enthaltenen Nutzdaten 49r sowie die Nutzdaten 49r selbst. Optional kann jede Nachricht 49a-49n auch einen Zeitstempel 49o beinhalten.
  • In dem in 2 gezeigten Beispiel werden nun Bilder einer festen Größe von 8x8 Pixeln erzeugt, indem die Nachrichten 49a-49n untereinander geschrieben und jeweils ausgehend von einer bestimmten Nachricht die Nutzdaten dieser und der folgenden sieben Nachrichten als Intensitätswerte der entsprechenden Pixel gewertet werden. In 2 sind vier solcher Bilder 21a-21d beispielhaft eingezeichnet, von denen jedes m=8 Zeilen und n=8 Spalten hat. Diese h=4 Bilder 21a-21d werden als unterschiedliche Farbkanäle ein und desselben Bildes 21' aufgefasst, welches einem neuronalen Netzwerk 32 in dem KI-Modul 3 zugeführt wird.
  • Dieses Vorgehen lässt sich beispielsweise abwandeln, indem die Bilder 21a-21d nach links und nach rechts jeweils weiter ausgedehnt werden. Umfasst etwa jedes Bild 21a-21d zusätzlich auch den DLC 49q und ist gleichzeitig das erfasste Fenster der Nutzdaten 49r nach rechts etwas größer, so können Diskrepanzen zwischen dem übermittelten DLC 49q und der tatsächlich folgenden Anzahl Bytes in den Nutzdaten 49r erkannt werden. Nutzdaten 49r, die länger sind als mit dem DLC 49q angekündigt, stellen möglicherweise einen Versuch dar, einen Pufferüberlauf in der die Nutzdaten 49r verarbeitenden Software zu provozieren. Nutzdaten 49r, die kürzer sind als mit dem DLC 49q angekündigt, stellen möglicherweise einen Versuch dar, analog zum „Heartbleed“-Angriff Informationen auszuspähen.
  • 3 zeigt beispielhaft ein neuronales Netzwerk 32 („convolutional neural network“, CNN) zur Extraktion von Merkmalen 22a-22c aus Nachbarschaftsbeziehungen von Pixeln im Bild 21, 21a-21d, 21'. Eine erste Faltungsschicht 33a extrahiert einfache Grundbausteine 22a. Eine optionale Pooling-Schicht 34 abstrahiert die Grundbausteine 22a zu datenreduzierten Merkmalen 22b. Eine zweite Faltungsschicht 33b erkennt komplexere Merkmale 22c, die aus mehreren datenreduzierten Merkmalen 22b zusammengesetzt sind. In einer vollvernetzten Schicht 35 werden die aufbereiteten Merkmale 22a-22c dahingehend ausgewertet, ob Anomalien 31 im Bild 21, 21a-21d, 21' vorliegen.
  • 4 zeigt ein Ausführungsbeispiel des Verfahrens 100. Der Datenstrom 49, oder eine Vorauswahl 49' hiervon, wird in Schritt 110 zu mindestens einem zweidimensionalen Bild 21, 21a-21d, verarbeitet, indem in jeder Zeile des Bildes 21, 21a-21d, Daten aus einer Nachricht 49a-49n des Datenstroms 49, 49' aufgetragen werden und indem in aufeinander folgenden Zeilen des Bildes 21, 21a-21d Daten aus zeitlich aufeinanderfolgenden Nachrichten 49a-49n des Datenstroms 49, 49' aufgetragen werden.
  • Das Bild 21, 21a-21d, wird in Schritt 120 auf Merkmale 22a-22c analysiert, die mit Nachbarschaftsbeziehungen zwischen Pixeln des Bildes 21, 21a-21d, bzw. der Bilder 21a-21d, korreliert sind. Hierzu kann alternativ oder in Kombination auch ein dreidimensionales Bild 21' herangezogen werden, das in dem optionalen Schritt 115 aus mehreren zweidimensionalen Bildern 21a-21d zusammengesetzt wurde. In Schritt 130 wird aus dem Vorhandensein, dem Fehlen, und/oder der Ausprägung, mindestens eines der Merkmale 22a-22c geschlossen, ob eine Anomalie 31 in dem Datenstrom 49 vorliegt.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 9197652 B2 [0004]
    • US 2005060295 A1 [0004]
    • US 8015133 B1 [0004]
    • WO 2014/094034 A1 [0004]

Claims (12)

  1. Vorrichtung (10) zur Erkennung von Anomalien in einem über ein Netzwerk (50) übertragenen Datenstrom (49), wobei der Datenstrom (49) in einzelne Nachrichten (49a-49n) unterteilt ist, umfassend: • einen Bildgenerator (2), der dazu ausgebildet ist, aus dem ihm zugeführten Datenstrom (49, 49') mindestens ein zweidimensionales Bild (21, 21a-21d) zu generieren, indem in jeder Zeile des Bildes (21, 21a-21d) Daten aus einer Nachricht (49a-49n) aufgetragen werden und indem in aufeinander folgenden Zeilen des Bildes (21, 21a-21d) Daten aus zeitlich aufeinander folgenden Nachrichten (49a-49n) aufgetragen werden; sowie • ein Künstliche-Intelligenz-Modul, KI-Modul (3), zur Erkennung von Anomalien (31) in dem mindestens einen Bild (21, 21a-21d) oder in einer Abfolge aus mehreren Bildern (21a-21d).
  2. Vorrichtung (10) nach Anspruch 1, zusätzlich umfassend ein Filtermodul (4), das dazu ausgebildet ist, die Nachrichten (49a-49n) nach mindestens einem vorgegebenen Kriterium (41) zu filtern und dem Bildgenerator (2) eine Vorauswahl (49') derjenigen Nachrichten (49a-49n), die dem vorgegebenen Kriterium (41) entsprechen, zuzuführen.
  3. Vorrichtung (10) nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, dass der Bildgenerator (2) dazu ausgebildet ist, mehrere Bilder (21a-21d) gleicher Größe zu erzeugen, die bei zeitlich aufeinanderfolgenden Nachrichten (49a-49n) des dem Bildgenerator (2) zugeführten Datenstroms (49, 49') beginnen.
  4. Vorrichtung (10) nach Anspruch 3, dadurch gekennzeichnet, dass das KI-Modul (3) dazu ausgebildet ist, die mehreren Bilder (21a-21d) als unterschiedliche Farbkanäle ein und desselben Bildes (21') zu interpretieren.
  5. Vorrichtung (10) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das KI-Modul (3) ein neuronales Netzwerk (32) mit mindestens einer Faltungsschicht (33a, 33b) beinhaltet, die eine Eingangsgröße oder einen Satz von Eingangsgrößen durch Anwendung mindestens eines Filters in eine Ausgangsgröße oder einen Satz von Ausgangsgrößen mit niedrigerer Dimensionalität umwandelt.
  6. Vorrichtung (10) nach Anspruch 5, dadurch gekennzeichnet, dass das neuronale Netzwerk (32) eine der mindestens einen Faltungsschicht (33a, 33b) nachgeschaltete vollvernetzte Schicht (35) aufweist, die dazu ausgebildet ist, das Bild (21, 21a-21d, 21') hinsichtlich des Vorliegens von Anomalien (31) in mindestens zwei diskrete Klassen (31a, 31b) zu klassifizieren.
  7. Vorrichtung (10) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass der Bildgenerator (2) dazu ausgebildet ist, zusätzlich zu den Daten aus den Nachrichten (49a-49n) den Wert mindestens einer weiteren, nicht in den Nachrichten (49a-49n) enthaltenen, Größe in jeder Zeile des generierten Bildes (21, 21a-21d) aufzunehmen.
  8. Vorrichtung (10) nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass eine CAN-Schnittstelle (1) zur Entnahme des Datenstroms (49) aus einem CAN-Netzwerk (50) vorgesehen ist.
  9. Vorrichtung (10) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das KI-Modul (3) dazu ausgebildet ist, in Antwort auf die Erkennung einer Anomalie (31) eine akustische oder optische Warneinrichtung anzusteuern, und/oder einen mit dem Netzwerk (50) gesteuerten Prozess auf manuelle Steuerung oder auf einen in sonstiger Weise gegen Störungen des Netzwerks (50) gesicherten Betriebsmodus umzuschalten.
  10. Verfahren (100) zur Erkennung von Anomalien (31) in einem über ein Netzwerk (50) übertragenen Datenstrom (49), wobei der Datenstrom (49) in einzelne Nachrichten (49a-49n) unterteilt ist, mit den Schritten: • aus dem Datenstrom (49), der entweder alle Nachrichten (49a-49n) oder eine Vorauswahl (49') hiervon umfasst, wird mindestens ein zweidimensionales Bild (21, 21a-21d) generiert (110), indem in jeder Zeile des Bildes (21, 21a-21d) Daten aus einer Nachricht (49a-49n) aufgetragen werden und indem in aufeinander folgenden Zeilen des Bildes (21, 21a-21d) Daten aus zeitlich aufeinander folgenden Nachrichten (49a-49n) aufgetragen werden; • aus dem mindestens einen Bild (21, 21a-21d) werden Merkmale (22a-22c) extrahiert (120), die mit Nachbarschaftsbeziehungen zwischen Pixeln des Bildes (21, 21a-21d), bzw. der Bilder (21a-21d), korreliert sind; • aus dem Vorhandensein, dem Fehlen, und/oder der Ausprägung, mindestens eines Merkmals (22a-22c) wird darauf geschlossen (130), ob eine Anomalie (31) in dem Datenstrom (49) vorliegt.
  11. Verfahren (100) nach Anspruch 10, dadurch gekennzeichnet, dass mehrere zweidimensionale Bilder (21a-21d) zu einem dreidimensionalen Bild (21') zusammengesetzt werden (115), wobei die Merkmale (22a-22c) anhand von Nachbarschaftsbeziehungen zwischen Pixeln des dreidimensionalen Bildes (21) extrahiert werden (120).
  12. Computerprogramm, enthaltend maschinenlesbare Anweisungen, die, wenn sie auf einem Computer, und/oder auf einem Steuergerät, ausgeführt werden, den Computer, und/oder das Steuergerät, zu einer Vorrichtung (10) nach einem der Ansprüche 1 bis 9 aufwerten, und/oder dazu veranlassen, ein Verfahren (100) nach einem der Ansprüche 10 bis 11 auszuführen.
DE102017220131.2A 2017-11-13 2017-11-13 Erkennung von Anomalien in einem Netzwerkdatenstrom Pending DE102017220131A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017220131.2A DE102017220131A1 (de) 2017-11-13 2017-11-13 Erkennung von Anomalien in einem Netzwerkdatenstrom

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017220131.2A DE102017220131A1 (de) 2017-11-13 2017-11-13 Erkennung von Anomalien in einem Netzwerkdatenstrom

Publications (1)

Publication Number Publication Date
DE102017220131A1 true DE102017220131A1 (de) 2019-05-16

Family

ID=66335220

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017220131.2A Pending DE102017220131A1 (de) 2017-11-13 2017-11-13 Erkennung von Anomalien in einem Netzwerkdatenstrom

Country Status (1)

Country Link
DE (1) DE102017220131A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114154001A (zh) * 2021-11-29 2022-03-08 北京智美互联科技有限公司 虚假媒体内容挖掘与识别的方法和系统
DE102021207132A1 (de) 2021-07-07 2023-01-12 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung von Anomalien in Bildern

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050060295A1 (en) 2003-09-12 2005-03-17 Sensory Networks, Inc. Statistical classification of high-speed network data through content inspection
US8015133B1 (en) 2007-02-20 2011-09-06 Sas Institute Inc. Computer-implemented modeling systems and methods for analyzing and predicting computer network intrusions
WO2014094034A1 (en) 2012-12-20 2014-06-26 Newsouth Innovations Pty Limited Computer intrusion detection
US9197652B2 (en) 2009-09-21 2015-11-24 Siemens Aktiengesellschaft Method for detecting anomalies in a control network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050060295A1 (en) 2003-09-12 2005-03-17 Sensory Networks, Inc. Statistical classification of high-speed network data through content inspection
US8015133B1 (en) 2007-02-20 2011-09-06 Sas Institute Inc. Computer-implemented modeling systems and methods for analyzing and predicting computer network intrusions
US9197652B2 (en) 2009-09-21 2015-11-24 Siemens Aktiengesellschaft Method for detecting anomalies in a control network
WO2014094034A1 (en) 2012-12-20 2014-06-26 Newsouth Innovations Pty Limited Computer intrusion detection

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021207132A1 (de) 2021-07-07 2023-01-12 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung von Anomalien in Bildern
CN114154001A (zh) * 2021-11-29 2022-03-08 北京智美互联科技有限公司 虚假媒体内容挖掘与识别的方法和系统

Similar Documents

Publication Publication Date Title
EP3684015B1 (de) Vorrichtung und verfahren zur klassifizierung von daten insbesondere für ein controller area netzwerk oder ein automotive ethernet netzwerk
EP3662639A1 (de) Verfahren und vorrichtung zum ermitteln von anomalien in einem kommunikationsnetzwerk
EP3899682A1 (de) Überwachung von auf neuronalen netzwerken basierten fahrfunktionen
EP3642717A1 (de) Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls
EP3825796A1 (de) Verfahren und vorrichtung zum ki-basierten betreiben eines automatisierungssystems
WO2020057868A1 (de) Verfahren und vorrichtung zum betreiben eines steuerungssystems
EP3179372A1 (de) Verfahren und vorrichtung zum testen einer mehrzahl von steuereinheiten einer technischen einheit
DE102017220131A1 (de) Erkennung von Anomalien in einem Netzwerkdatenstrom
DE102017220845A1 (de) Verlagerung einer Funktion oder Anwendung von einem Steuergerät
DE102019111564A1 (de) Verfahren und system zum konfigurieren von filterobjekten für eine controller area network-steuerung
DE102018207923A1 (de) Verbessertes Training eines Klassifikators
EP3509924A1 (de) Verfahren und vorrichtung zum betreiben eines ersten fahrzeugs
DE102018205146B4 (de) Testverfahren für hochauflösende Scheinwerfer mittels KI
EP3861681A1 (de) System und verfahren zur fehlererkennung und fehlerursachen-analyse in einem netzwerk von netzwerkkomponenten
DE102018207220A1 (de) Verfahren, Vorrichtung und Computerprogramm zum Detektieren eines Berechnungsfehlers oder einer Fehlfunktion
DE102021201833A1 (de) Vorrichtung zur Verarbeitung von mindestens einem Eingangsdatensatz unter Verwendung eines neuronalen Netzes sowie Verfahren
DE10151417A1 (de) System und Verfahren zum Verarbeiten von Bilddaten
EP3985565A1 (de) Verfahren und vorrichtung zum überprüfen eines beim teilautomatisierten oder vollautomatisierten steuern eines fahrzeugs verwendeten ki-basierten informationsverarbeitungssystems
DE102017213771A1 (de) Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk
DE102021204040A1 (de) Verfahren, Vorrichtung und Computerprogramm zur Erstellung von Trainingsdaten im Fahrzeug
EP3399375B1 (de) Verfahren zur konfiguration von steuergeräten
DE102019204452A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes in einem Verbund von Steuergeräten
WO2020233992A1 (de) Verfahren zum funktionsspezifischen robustifizieren eines neuronalen netzes
DE10038094B4 (de) Vorrichtung und Verfahren zum Generieren und Erweitern der Wissensbasis eines Expertensystems
DE102019219927A1 (de) Verfahren und Vorrichtung zum Erkennen einer Entfremdung einer Sensordatendomäne von einer Referenzdatendomäne

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R012 Request for examination validly filed
R163 Identified publications notified