DE102018209407A1 - Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk - Google Patents

Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk Download PDF

Info

Publication number
DE102018209407A1
DE102018209407A1 DE102018209407.1A DE102018209407A DE102018209407A1 DE 102018209407 A1 DE102018209407 A1 DE 102018209407A1 DE 102018209407 A DE102018209407 A DE 102018209407A DE 102018209407 A1 DE102018209407 A1 DE 102018209407A1
Authority
DE
Germany
Prior art keywords
communication network
anomaly
detector
detected
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018209407.1A
Other languages
English (en)
Inventor
Janin Wolfinger
Paulius Duplys
Michael Herrmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102018209407.1A priority Critical patent/DE102018209407A1/de
Priority to US16/424,889 priority patent/US11228605B2/en
Priority to CN201910505458.5A priority patent/CN110602031B/zh
Publication of DE102018209407A1 publication Critical patent/DE102018209407A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

Vorrichtung und Verfahren zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk (100), insbesondere eines Kraftfahrzeugs, dadurch gekennzeichnet, dass wenigstens ein Detektor (124, 125, 126) einen Datenstrom im Kommunikationsnetzwerk (100) analysiert, wobei der wenigstens eine Detektor (124, 125, 126) wenigstens eine Anomalie durch ein regelbasiertes Anomalieerkennungsverfahren erkennt, wenn wenigstens ein Parameter für ein Datenpaket des Datenstroms von einem Sollwert abweicht, wobei der wenigstens eine Detektor (124, 125, 126) Information über wenigstens eine erkannte Anomalie über das Kommunikationsnetzwerk (100) sendet.

Description

  • Technisches Gebiet
  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk, ein Computerprogramm und ein maschinenlesbares Speichermedium.
  • Stand der Technik
  • Aus den nicht vorveröffentlichten DE 10 2017 210 787 und DE 10 2017 213 119 sind Verfahren zur Anomalieerkennung bekannt. Diese erfordern dedizierte Bauteile und eine statische Architektur, die zusätzlich zu einer zu überwachenden Kommunikationsnetzwerkstruktur hinzugefügt werden muss.
  • Wünschenswert ist es demgegenüber ein verbessertes Verfahren und eine verbesserte Vorrichtung anzugeben.
  • Offenbarung der Erfindung
  • Dies wird durch das Verfahren und die Vorrichtung nach den unabhängigen Ansprüchen erreicht.
  • Im Zusammenhang mit Aspekten der folgenden Ausführungen werden im Folgenden Abweichungen von einem Normalverhalten, die aus verschiedenen Gründen in einem realen Betrieb in Daten eines Systems zur Kommunikation der Daten auftreten können als Anomalie bezeichnet. Ursachen dafür können beispielsweise folgender Art sein:
    • Defekte oder ganz ausgefallene Sensoren liefern falsche oder gar keine Daten,
    • Bauteile des Systems sind beschädigt,
    • das System wurde durch eine externe Quelle (z. B. einen Hackerangriff) manipuliert.
  • Die Erkennung von Anomalien in Daten im Datenverkehr bei sowohl interner als auch externer Kommunikation wird mittels eines Network-Based Intrusion Detection Systems, NIDS, umgesetzt. Mit NIDS wird im Folgenden ein System bezeichnet, das den gesamten Datenverkehr im Kommunikationsnetz überwacht und analysiert, um alle Anomalien im internen und externen Datenaustausch zu erkennen. Ein NIDS, das um eine Komponente zur Prävention oder Reaktion auf erkannte Anomalien erweitert ist, wird im Folgenden als Network-Based Intrusion Detection and Prevention System, NIDPS, bezeichnet.
  • Herkömmliche NIDS oder NIDPS werden mit dedizierter Hardware realisiert. Entweder wird der Datenverkehr von einem zentralen Switch an eine separate NIDS oder NIDPS Komponente weitergeleitet, oder ausgewählte Switche werden um separate NIDS oder NIDPS Komponenten erweitert. In der ersten Lösung werden besonders schnelle Switchports verwendet um möglichst viel Datenverkehr an das NIDS oder NIDPS weiterzuleiten. Die zweite Lösung verwendet eine NIDS oder NIDPS Funktionalität direkt am Switch.
  • Das Verfahren zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk, insbesondere eines Kraftfahrzeugs, sieht demgegenüber vor, dass wenigstens ein Detektor einen Datenstrom im Kommunikationsnetzwerk analysiert, wobei der wenigstens eine Detektor wenigstens eine Anomalie durch ein regelbasiertes Anomalieerkennungsverfahren erkennt, wenn wenigstens ein Parameter für ein Datenpaket des Datenstroms von einem Sollwert abweicht, und wobei der wenigstens eine Detektor Information über wenigstens eine erkannte Anomalie über das Kommunikationsnetzwerk sendet. Detektoren stellen Erkennungskomponenten für die regelbasierte Anomalieerkennung dar. Diese Erkennungskomponente setzt eine Kernaufgabe eines Angrifferkennungssystem, insbesondere eines NDIS, um. Die Kommunikation des Detektors über das Kommunikationsnetzwerk ermöglicht eine Separierung der Erkennungskomponente und deren Anordnung auf unterschiedlichen Geräten in dem überwachten Kommunikationsnetzwerk selbst. Dadurch wird ein separiertes NIDS beispielsweise in einem Automotive Ethernet Netzwerk realisiert. Durch die Separierung entsteht eine bezüglich Speicherbedarf oder Bedarf an Rechenressourcen kleine Einheit, die auf einem Steuergerät im Automotive Ethernet Netzwerk zusätzlich zu dessen anderen Aufgaben angeordnet werden kann. Die Kommunikation erfolgt über das bestehende Kommunikationsnetzwerk. Dedizierte Hardware für den Detektor oder eine zusätzliche Kommunikationsinfrastruktur sind nicht erforderlich.
  • Vorteilhafterweise ist vorgesehen, dass wenigstens ein Aktor Information über wenigstens eine vom wenigstens einen Detektor erkannte Anomalie über das Kommunikationsnetzwerk empfängt, und wobei der wenigstens eine Aktor abhängig von der Information über die wenigstens eine vom wenigstens einen Detektor erkannte Anomalie wenigstens eine Gegenmaßnahme zur Behandlung der Anomalie auslöst. Aktoren stellen eine Reaktionskomponente für die regelbasierte Anomalieerkennung und -behandlung dar. Diese Komponente setzt eine weitere Kernaufgabe des Angrifferkennungssystems um. Die Kommunikation zwischen Detektor und Aktor über das Kommunikationsnetzwerk ermöglicht eine Separierung dieser Komponenten auf unterschiedliche Geräte in dem überwachten Kommunikationsnetzwerk selbst. Dadurch wird ein separiertes NIDPS beispielsweise in dem Automotive Ethernet Netzwerk realisiert, in dem es möglich ist, auf erkannte Anomalien sofort zu reagieren. Dedizierte Hardware oder eine zusätzliche Kommunikationsinfrastruktur sind dafür nicht erforderlich.
  • Vorteilhafterweise ist vorgesehen, dass wenigstens ein Aggregator Information über wenigstens eine erkannte Anomalie von wenigstens einem Detektor empfängt und wenigstens eine erkannte Anomalie über das Kommunikationsnetzwerk an wenigstens einen Aktor sendet. Der Aggregator stellt eine weitere Komponente, die Aggregationskomponente, dar, die Information über erkannte Anomalien von Detektoren aus verschiedenen Teilnetzwerken des Kommunikationsnetzwerks oder von verschiedenen Detektoren des Kommunikationsnetzwerks sammelt und an Aktoren weiterleitet. Dies ermöglicht es, Information über Anomalien in unterschiedlichen Teilnetzwerken auszutauschen. Dazu wird der Aggregator beispielsweise an einer Verbindungsstelle der Teilnetzwerke im Kommunikationsnetzwerk angeordnet.
  • Vorteilhafterweise ist vorgesehen, dass wenigstens zwei Detektoren Datenpakete des Datenstroms auf verschiedenen Geräten im Kommunikationsnetzwerk und/oder in demselben Teilnetzwerk analysieren. Dadurch wird die Kernaufgabe der Erkennung, d.h. die Erkennungskomponente, in diesem Teilnetzwerk verteilt auf mehrere Geräte ausgeführt. Dies reduziert den Bedarf an Rechenleistung, Arbeitsspeicher und oder Speicher, auf den einzelnen Geräten, auf denen der jeweilige Detektor ausgeführt wird.
  • Vorteilhafterweise ist vorgesehen, dass wenigstens zwei, auf unterschiedlichen Geräten im Kommunikationsnetzwerk und/oder auf unterschiedlichen Geräten in zwei verschiedenen Teilnetzwerken des Kommunikationsnetzwerks angeordnete Aktoren wenigstens eine Gegenmaßnahme auslösen. Dadurch wird die Kernaufgabe der Reaktion, d.h. die Reaktionskomponente, im Kommunikationsnetzwerk verteilt ausgeführt. Die Reaktion findet dadurch unmittelbar auf dem Gerät statt. Zusätzliche dedizierte Hardware ist nicht nötig.
  • Vorteilhafterweise ist vorgesehen, dass wenigstens zwei, auf unterschiedlichen Geräten im Kommunikationsnetzwerk und/oder auf unterschiedlichen Geräten in zwei verschiedenen Teilnetzwerken des Kommunikationsnetzwerks angeordnete Aggregatoren Information über erkannte Anomalien aggregieren, wobei ein weiterer Aggregator diese Information über erkannte Anomalien von den wenigstens zwei Aggregatoren aggregiert. Dies stellt eine hierarchische Aggregation in einem hierarchischen Kommunikationsnetzwerk dar. Dadurch sind komplexe hierarchische Strukturen des Kommunikationsnetzwerks besonders effizient überwachbar.
  • Vorteilhafterweise ist vorgesehen, dass eine Schnittstelle erkannte Anomalien insbesondere an ein Backend kommuniziert und/oder Anweisungen insbesondere von einem Backend empfängt. Eine weitere Kernaufgabe, die Kommunikation mit dem Backend, d.h. das Bereitstellen von Information über erkannte Anomalien wird dadurch realisiert. Anweisungen, die beispielsweise von einem Anwender oder automatisiert aus den erkannten Anomalien abgeleitet werden, können so zurückgeführt werden. Dies ermöglicht es, bezüglich der Rechenzeit, des Speicherplatzes oder des Arbeitsspeichers aufwändige Berechnungen außerhalb des zu überwachenden Kommunikationsnetzes vorzunehmen, oder von außerhalb des zu überwachenden Kommunikationsnetzes Einfluss zu nehmen.
  • Vorteilhafterweise ist vorgesehen, dass der Datenstrom zwischen Steuergeräten innerhalb wenigstens eines Teilnetzwerks des Kommunikationsnetzwerks in einem Detektor analysiert wird, der auf einem dieser Steuergeräte angeordnet ist und/oder dass der Datenstrom zwischen Steuergeräten aus verschiedenen Teilnetzwerken des Kommunikationsnetzwerks, die über ein Gateway oder Steuergerät miteinander verbunden sind, um einen Detektor analysiert wird, der auf dem Gateway oder diesem Steuergerät angeordnet ist. Dadurch ist eine hierarchische Überwachung möglich. Diese Anordnung ist in Kraftfahrzeugen mit stark hierarchischen Kommunikationsnetzwerken besonders vorteilhaft.
  • Vorteilhafterweise ist vorgesehen, dass wenigstens ein Detektor und/oder wenigstens ein Aggregator innerhalb wenigstens eines Teilnetzwerks des Kommunikationsnetzwerks verteilt auf mehreren Steuergeräten ausgeführt wird und/oder verteilt auf wenigstens einem Steuergerät und wenigstens einem Gateway ausgeführt wird. Diese verteilte Ausführung ermöglicht den Einsatz auf Steuergeräten oder Gateways mit geringer Anforderung an Rechenressourcen, beispielsweise auf embedded Hardware.
  • Vorteilhafterweise ist vorgesehen, dass einer der Aktoren mehreren weiteren Aktoren Anweisungen zu wenigstens einer Gegenmaßnahme über das Kommunikationsnetzwerk sendet. Durch diese hierarchische Anordnung der Aktoren wird die Gegenmaßnahme koordiniert ausgeführt.
  • Zudem ist ein Computerprogramm vorgesehen, das eingerichtet ist, ein derartiges Verfahren auszuführen, wenn es auf einem Computer ausgeführt wird. Ein maschinenlesbares Speichermedium, auf dem das Computerprogram gespeichert ist, ist ebenfalls vorgesehen.
  • Bezüglich der Vorrichtung zur Behandlung der Anomalie im Kommunikationsnetzwerk ist vorgesehen, dass wenigstens ein Detektor eingerichtet ist, einen Datenstrom im Kommunikationsnetzwerk zu analysieren, wobei der wenigstens eine Detektor eingerichtet ist, wenigstens eine Anomalie durch ein regelbasiertes Anomalieerkennungsverfahren zu erkennen, wenn wenigstens ein Parameter für ein Datenpaket des Datenstroms von einem Sollwert abweicht, wobei der wenigstens eine Detektor eingerichtet ist, Information über wenigstens eine erkannte Anomalie über das Kommunikationsnetzwerk zu senden. Damit lässt sich die Detektion der Anomalien in einem Kommunikationsnetzwerk in ohnehin vorhandener embedded Hardware integrieren.
  • Vorteilhafterweise ist wenigstens ein Aktor eingerichtet, Information über wenigstens eine vom Detektor erkannte Anomalie über das Kommunikationsnetzwerk zu empfangen, und wobei der wenigstens eine Aktor eingerichtet ist, abhängig von der Information über die wenigstens eine vom Detektor erkannte Anomalie wenigstens eine Gegenmaßnahme zur Behandlung der Anomalie auszulösen. Damit lässt sich die Reaktion auf Anomalien in einem Kommunikationsnetzwerk in ohnehin vorhandener embedded Hardware integrieren.
  • Vorteilhafterweise ist wenigstens ein Aggregator eingerichtet, Information über wenigstens eine erkannte Anomalie von wenigstens einem Detektor zu empfangen und wenigstens eine erkannte Anomalie über das Kommunikationsnetzwerk an wenigstens einen Aktor zu senden. Dies stellt eine insbesondere für hierarchische Kommunikationsnetzwerke besonders geeignete Ausführung der Vorrichtung dar.
  • Weitere vorteilhafte Ausgestaltungen ergeben sich aus der folgenden Beschreibung und der Zeichnung. In der Zeichnung zeigt
    • 1 schematisch Teile eines Kommunikationsnetzwerks gemäß einer ersten Ausführungsform,
    • 2 schematisch Teile eines Kommunikationsnetzwerks gemäß einer zweiten Ausführungsform,
    • 3 schematisch Teile eines Kommunikationsnetzwerks gemäß einer dritten Ausführungsform,
    • 4 schematisch Teile eines Kommunikationsnetzwerks gemäß einer vierten Ausführungsform,
    • 5 schematisch Teile eines Kommunikationsnetzwerks gemäß einer fünften Ausführungsform,
    • 6 schematisch Teile eines Datenflusses in einem Kommunikationsnetzwerk.
  • Im Folgenden werden Aspekte einer Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk anhand eines Kommunikationsnetzwerks beschrieben das nach einer Version des Ethernet-Standards IEEE 802.3 aufgebaut ist. Eine Anwendung in anderen Kommunikationsnetzwerken ist ebenfalls möglich.
  • 1 zeigt schematisch Teile eines derartigen Kommunikationsnetzwerks 100 gemäß einer ersten Ausführungsform für ein Kraftfahrzeug.
  • Das Kommunikationsnetzwerks 100 ist hierarchisch aufgebaut und umfasst ein zentrales Gateway 101 das über eine erste Ethernet-Verbindung 102 direkt mit einem ersten Domain-Steuergerät 103 und über eine zweite Ethernet-Verbindung 104 direkt mit einem zweiten Domain-Steuergerät 105 verbunden ist. Das Gateway 101 ist über eine dritte Ethernet-Verbindung 106 direkt mit einem ersten Steuergerät 107 verbunden. Das Gateway 101 ist über eine vierte Ethernet-Verbindung 108 direkt mit einem zweiten Steuergerät 109 verbunden. Das Gateway 101 ist über eine fünfte Ethernet-Verbindung 110 direkt mit einem dritten Steuergerät 111 verbunden. Das Gateway und diese Steuergeräte bilden ein erstes Teilnetzwerk des Kommunikationsnetzwerks 100, dessen Teile nur über das Gateway 101 untereinander kommunizieren können.
  • Das erste Domain-Steuergerät 103 ist über eine sechste Ethernet-Verbindung 112 direkt mit einem vierten Steuergerät 113 verbunden. Das erste Domain-Steuergerät 103 ist über eine siebte Ethernet-Verbindung 114 direkt mit einem fünften Steuergerät 115 verbunden. Das erste Domain-Steuergerät 103 ist über eine achte Ethernet-Verbindung 116 direkt mit einem sechsten Steuergerät 117 verbunden. Diese Steuergeräte bilden ein zweites Teilnetzwerk, dessen Teile nur über das erste Domain-Steuergerät 103 untereinander kommunizieren können.
  • Das zweite Domain-Steuergerät 105 ist über eine neunte Ethernet-Verbindung 118 direkt mit einem siebten Steuergerät 119 verbunden. Das siebte Steuergerät 119 ist über eine zehnte Ethernet-Verbindung 120 direkt mit einem achten Steuergerät 121 verbunden. Das achte Steuergerät 122 ist über eine elfte Ethernet-Verbindung 122 direkt mit einem neunten Steuergerät 123 verbunden. Das neunte Steuergerät 123 ist über das achte Steuergerät 121 und das siebte Steuergerät 119 mit dem zweiten Domain-Steuergerät 105 verbunden. Diese Steuergeräte bilden ein drittes Teilnetzwerk.
  • In Zusammenhang mit den Verbindungen sind direkte Verbindungen solche, über die Daten ohne Zwischenschaltung weiterer Gateways, Switche oder Steuergeräte zwischen den direkt miteinander Verbundenen Enden der Verbindung übertragen werden.
  • Das Gateway und die Steuergeräte umfassen Prozessoren, Speicher, Arbeitsspeicher und Schnittstellen für eine Kommunikation über das Kommunikationsnetzwerk 100. Im Speicher jedes der Steuergeräte sind Instruktionen gespeichert, bei deren Ausführung durch den Prozessor zusätzlich zur Kommunikation über Ethernet-Verbindungen von den Steuergeräten spezifische Aufgaben im Beispiel zum Betrieb des Kraftfahrzeugs ausgeführt werden. Das Gateway arbeitet Instruktionen zur Datenverbindung der Steuergeräte ab. Durch die Kommunikation entsteht ein Datenstrom, der Datenpakete umfasst. In einem Normalzustand werden Sollwerte beispielsweise bezüglich Zeitstempel, Auftretenshäufigkeit oder Frequenz bestimmter Datenpakete eingehalten. Die Datenpakete werden zur Erfüllung der spezifischen Aufgaben zwischen den Steuergeräten ausgetauscht.
  • Ein Domain-Steuergerät und die direkt mit dem Domain-Steuergerät verbundenen Steuergeräte bilden beispielsweise ein Teilnetzwerk aus spezifischen Steuergeräten mit gemeinsamer übergeordneter Aufgabe. Datenpakete werden dazu beispielsweise nur in diesem Teilenetzwerk gesendet.
  • Im Teilnetzwerk eines Domain-Steuergerätes kann Ethernet, insbesondere Automotive-Ethernet oder ein anderes automotive-typisches Bussystem verwendet werden, wie bspw. ein Controller Area Network, CAN, Bus.
  • Zur Behandlung von Anomalien im Kommunikationsnetz 100 ist unabhängig vom eingesetzten Standard eine Separierung von vier Kernaufgaben des NIDPS, nämlich Erkennung, Aggregation, Reaktion und Kommunikation auf verschiedene, optional alle Steuergeräte innerhalb des Kommunikationsnetzwerks 100 vorgesehen. Dies erfolgt mit dem Ziel ein NIDPS ausschließlich mittels bereits vorhandener Ressourcen zu realisieren.
  • Eine Erkennungskomponente, beispielsweise ein Detektor oder mehrere Detektoren analysiert den Datenstrom und erkennt Anomalien, wenn eine Abweichung vom Sollwert auftritt.
  • Eine Aggregationskomponente, beispielsweise ein Aggregator oder mehrere Aggregatoren, erhält Information über erkannte Anomalien z.B. einen Netzwerkstatus. Daraus kann eine Gesamtübersicht über das Teilnetzwerk generiert werden, die die erkannten Anomalien bewertet. Es ist weiterhin möglich, dass Aggregationskomponenten Nachrichten über Anomalien und Informationen an eine weitere Aggregationskomponente berichten und die Aggregation somit über mehrere Stufen erfolgt.
  • Eine Reaktionskomponente, beispielsweise ein Aktor oder mehrere Aktoren, kann aufgrund von erkannten Anomalien Gegenmaßnahmen auslösen. Die erkannten Anomalien werden der Reaktionskomponenten teils direkt von der Erkennungskomponente und teils von der Aggregationskomponente mitgeteilt. Gegenmaßnahmen können aktive Reaktionen, z. B. das Verändern oder Verwerfen von Ethernet Paketen, das Sperren von Ports oder das Ausschließen von Netzwerkteilnehmern oder passive Reaktionen z. B. die Benachrichtigung oder Warnung anderer Netzwerkteilnehmer sein.
  • Eine erste Ausführungsform betrifft die Separierung der Erkennungskomponente.
  • In der ersten Ausführungsform ist, wie in 1 dargestellt, ein erster Detektor 124 vorgesehen. Der erste Detektor 124 ist ein Teil der Erkennungskomponente des NIDPS, der auf dem Gateway 101 ausgeführt wird. Der erste Detektor 124 analysiert den Datenstrom des ersten Teilnetzwerkes möglichst vollständig und erkennt mittels der regelbasierten Anomalieerkennung eine Anomalie, wenn wenigstens ein Parameter für ein Datenpaket des Datenstroms im ersten Teilnetzwerk von einem Sollwert abweicht. Der erste Detektor 124 sendet Information über eine erkannte Anomalie über das Kommunikationsnetzwerk 100.
  • In der ersten Ausführungsform ist, wie in 1 dargestellt, ein zweiter Detektor 125 vorgesehen. Der zweite Detektor 125 ist ein Teil der Erkennungskomponente des NIDPS, der auf dem ersten Domain Steuergerät 103 zusätzlich zu dessen spezifischer Aufgabe ausgeführt wird. Der zweite Detektor 125 analysiert den Datenstrom des zweiten Teilnetzwerkes möglichst vollständig und erkennt mittels einer regelbasierten Anomalieerkennung eine Anomalie, wenn wenigstens ein Parameter für ein Datenpaket des Datenstroms im zweiten Teilnetzwerk von einem Sollwert abweicht. Der zweite Detektor 125 sendet Information über eine erkannte Anomalie über das Kommunikationsnetzwerk 100.
  • In der ersten Ausführungsform ist, wie in 1 dargestellt, ein dritter Detektor 126 vorgesehen. Der dritte Detektor 126 ist ein Teil der Erkennungskomponente des NIDPS, der auf dem zweiten Domain Steuergerät 105 zusätzlich zu dessen spezifischen Aufgabe ausgeführt wird. Der dritte Detektor 126 analysiert den Datenstrom des dritten Teilnetzwerkes möglichst vollständig und erkennt mittels der regelbasierten Anomalieerkennung eine Anomalie, wenn wenigstens ein Parameter für ein Datenpaket des Datenstroms im dritten Teilnetzwerk von einem Sollwert abweicht. Der dritte Detektor 126 sendet Information über eine erkannte Anomalie über das Kommunikationsnetzwerk 100.
  • Die anderen Komponenten des NIDPS sind beispielsweise zentral auf einem der anderen Steuergeräte angeordnet.
  • Durch diese verteilte Realisierung der Erkennungskomponente ist sichergestellt, dass der Netzwerkverkehr jedes Teilnetzwerkes möglichst vollständig analysiert werden kann. Dies wird gemäß der ersten Ausführungsform durch eine einzelne Erkennungskomponente innerhalb jedes Teilnetzwerkes realisiert.
  • Je nach Größe des Teilnetzwerkes und eines Netzwerktraffic ist die Analyse des gesamten Netzwerkverkehrs eines Teilnetzwerkes immer noch zu ressourcenintensiv. Deshalb kann die Erkennungskomponente gemäß einer zweiten Ausführungsform innerhalb eines Teilnetzwerkes weiter verteilt werden.
  • Dabei wird die Erkennungsfunktionalität individuell den Ressourcen der zur Verfügung stehenden Steuergeräte angepasst. Mehrere oder alle Steuergeräte eines Teilnetzwerks können demnach die Realisierung der Erkennungskomponente gemeinsam übernehmen.
  • Eine zweite Ausführungsform betrifft eine Verteilung der separierten Erkennungskomponente.
  • Im Falle des zweiten Teilnetzwerks wird diese, gemäß der in 2 dargestellten zweiten Ausführungsform realisiert indem der zweite Detektor 125 als verteilter Detektor mit einem Teil 125a auf dem ersten Domain-Steuergerät 103 und einem anderen Teil 125b auf dem fünften Steuergerät 115 ausgeführt ist.
  • Im Falle des dritten Teilnetzwerks wird dies, gemäß der zweiten Ausführungsform realisiert indem der dritte Detektor 126 als verteilter Detektor mit einem ersten Teil 126a auf dem zweiten Domain-Steuergerät 105, einem zweiten Teil 126b auf dem siebten Steuergerät 119, einem dritten Teil 126c auf dem achten Steuergerät 121 und einem vierten Teil 126d auf dem neunten Steuergerät 123 ausgeführt ist.
  • Die Erkennung im ersten Teilnetzwerk wird durch einen einzigen Detektor 124 auf dem Gateway 101 realisiert. Die Erkennung im zweiten Teilnetzwerk wird auf zwei Steuergeräte aufgeteilt. Im dritten Teilnetzwerk sind alle Steuergeräte an der Erkennung beteiligt.
  • Die anderen Komponenten des NIDPS sind beispielsweise zentral auf einem der anderen Steuergeräte angeordnet.
  • Die übrigen Teile der zweiten Ausführungsform sind identisch zur ersten Ausführungsform ausgeführt. Für eine diesbezügliche Beschreibung der zweiten Ausführungsform wird auf die Beschreibung der ersten Ausführungsform verwiesen.
  • Eine dritte Ausführungsform betrifft eine Separierung der Aggregationskomponente.
  • Die Aggregationskomponente umfasst hierbei mehrere Aggregatoren, die individuell den Ressourcen der zur Verfügung stehenden Steuergeräte angepasst, im Kommunikationsnetzwerk 100 angeordnet werden. Mehrere oder alle Steuergeräte eines Teilnetzwerks können demnach die Realisierung der Aggregationskomponente gemeinsam übernehmen.
  • Für eine mehrstufige Aggregation werden Aggregatoren überall dort eingesetzt, wo es möglich und sinnvoll ist. Die Platzierung dieser Aggregatoren ist vollständig unabhängig von einer Netzwerktopologie des Kommunikationsnetzwerks 100. Eine mögliche Verteilung der mehrstufigen Aggregatoren ist in 3 dargestellten.
  • Ein erster Aggregator 127 ist auf dem ersten Steuergerät 107 angeordnet. Die Instruktionen für den ersten Aggregator 127 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem ersten Steuergerät 107 ablaufen.
  • Ein zweiter Aggregator 128 ist auf dem vierten Steuergerät 113 angeordnet. Die Instruktionen für den zweiten Aggregator 128 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem vierten Steuergerät 113 ablaufen.
  • Ein dritter Aggregator 129 ist auf dem fünften Steuergerät 115 angeordnet. Die Instruktionen für den dritten Aggregator 129 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem fünften Steuergerät 115 ablaufen.
  • Ein vierter Aggregator 130 ist auf dem zweiten Domain-Steuergerät 105 angeordnet. Die Instruktionen für den vierten Aggregator 130 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem zweiten Domain-Steuergerät 105 ablaufen.
  • Ein fünfter Aggregator 131 ist auf dem neunten Steuergerät 123 angeordnet. Die Instruktionen für den fünften Aggregator 131 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem neunten Steuergerät 123 ablaufen.
  • Der erste Aggregator 127, der zweite Aggregator 128, der dritte Aggregator 129, der vierte Aggregator 130 und der fünfte Aggregator 131 bilden eine erste Stufe der Aggregation. Die Aggregatoren der ersten Stufe senden aggregierte Information über erkannte Anomalien beispielsweise als Netzwerkzustand an Aggregatoren einer zweiten Stufe.
  • Die zweite Stufe wird im Beispiel von einem sechsten Aggregator 132, der auf dem zweiten Steuergerät 109 angeordnet ist, und von einem siebten Aggregator 133, der auf dem achten Steuergerät 121 angeordnet ist, gebildet. Die Instruktionen für den sechsten Aggregator 132 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem zweiten Steuergerät 109 ablaufen. Die Instruktionen für den siebten Aggregator 133 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem achten Steuergerät 121 ablaufen.
  • Die Aggregatoren der zweiten Stufe aggregieren die Information von den Aggregatoren der ersten Stufe und senden diese aggregierte Information über erkannte Anomalien an wenigstens einen Aggregator einer dritten Stufe. Im Beispiel ist ein achter Aggregator 134 in der dritten Stufe vorgesehen, der auf dem dritten Steuergerät 111 angeordnet ist. Die Instruktionen für den achten Aggregator 134 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem dritten Steuergerät 111 ablaufen.
  • Die anderen Komponenten des NIDPS sind beispielsweise zentral auf einem der anderen Steuergeräte angeordnet.
  • Das Kommunikationsnetzwerk 100 ist im Übrigen wie bei der ersten Ausführungsform aufgebaut. Für eine diesbezügliche Beschreibung der dritten Ausführungsform wird auf die Beschreibung der ersten Ausführungsform verwiesen.
  • Eine vierte Ausführungsform betrifft eine Separierung der Reaktionskomponente.
  • Die Reaktionskomponente umfasst hierbei, wie in 4 dargestellt, mehrere Aktoren, die individuell den Ressourcen der zur Verfügung stehenden Steuergeräte angepasst, im Kommunikationsnetzwerk 100 angeordnet werden. Mehrere oder alle Steuergeräte eines Teilnetzwerks können demnach die Realisierung der Reaktionskomponente gemeinsam übernehmen.
  • Im Beispiel sind die Aktoren nach den Teilnetzwerken gruppiert.
  • Im ersten Teilnetzwerk ist ein erster Aktor 135 im Gateway 101 angeordnet. Die Instruktionen für den ersten Aktor 135 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem Gateway 101 ablaufen.
  • Im ersten Teilnetzwerk ist ein zweiter Aktor 136 im ersten Steuergerät 107 angeordnet. Die Instruktionen für den zweiten Aktor 136 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem ersten Steuergerät 107 ablaufen.
  • Im ersten Teilnetzwerk ist ein dritter Aktor 137 im dritten Steuergerät 111 angeordnet. Die Instruktionen für den dritten Aktor 137 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem dritten Steuergerät 111 ablaufen.
  • Im zweiten Teilnetzwerk ist ein vierter Aktor 138 im ersten Domain-Steuergerät 103 angeordnet. Die Instruktionen für den vierten Aktor 138 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem ersten Domain-Steuergerät 103 ablaufen.
  • Im dritten Teilnetzwerk ist ein fünfter Aktor 139 im zweiten Domain-Steuergerät 105 angeordnet. Die Instruktionen für den fünften Aktor 139 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem zweiten Domain- Steuergerät 105 ablaufen.
  • Im dritten Teilnetzwerk ist ein sechster Aktor 140 im achten Steuergerät 121 angeordnet. Die Instruktionen für den sechsten Aktor 140 laufen zusätzlich zu den Aufgaben ab, die für den Betrieb des Kraftfahrzeugs auf dem achten Steuergerät 121 ablaufen.
  • Die anderen Komponenten des NIDPS sind beispielsweise auf einem der anderen Steuergeräte angeordnet. Das Kommunikationsnetzwerk 100 ist im Übrigen wie in der ersten Ausführungsform beschrieben aufgebaut.
  • Eine fünfte Ausführungsform betrifft eine Separierung und Verteilung aller Kernaufgaben des NIDPS. Aufgrund der Verteilung aller Kernaufgaben des NIDPS ist es besonders effizient möglich auf erkannte Anomalien unmittelbar zu reagieren. Durch das Nutzen der vorhandenen Hardware werden keine zusätzlichen Kosten erzeugt.
  • Wie in 5 dargestellt, sind die zuvor beschriebenen Detektoren, Aggregatoren und Aktoren separat und verteilt angeordnet und ausgebildet.
  • Auf dem Gateway 101 sind der erste Detektor 124 und der erste Aktor 135 angeordnet. Auf dem ersten Steuergerät 107 sind der erste Aggregator 127 und der zweite Aktor 136 angeordnet. Auf dem zweiten Steuergerät 109 ist der sechste Aggregator 132 angeordnet. Auf dem dritten Steuergerät 111 sind der achte Aggregator 134 und der dritte Aktor 137 angeordnet. Auf dem vierten Steuergerät 113 ist der zweite Aggregator 128 angeordnet. Auf dem fünften Steuergerät 115 ist der dritte Aggregator 129 angeordnet. Auf dem ersten Domain-Steuergerät 103 ist der vierte Aktor 138 angeordnet. Auf dem zweiten Domain-Steuergerät 105 sind der dritte Detektor 126 und der fünfte Aktor 139 angeordnet.
  • Der verteilte Detektor im zweiten Teilnetz ist mit dem Teil 125a auf dem ersten Domain-Steuergerät 103 und dem anderen Teil 125b auf dem fünften Steuergerät 115 ausgeführt. Der verteilte Detektor im dritten Teilnetz ist mit dem ersten Teil 126a auf dem zweiten Domain-Steuergerät 105, dem zweiten Teil 126b auf dem siebten Steuergerät 119, dem dritten Teil 126c auf dem achten Steuergerät 121 und dem vierten Teil 126d auf dem neunten Steuergerät 123 ausgeführt.
  • Auf dem sechsten Steuergerät 117 ist eine Kommunikationskomponente 141 angeordnet. Die Kommunikationskomponente 141 übernimmt die Kommunikation des NIDPS zum Backend. Sie stellt dem Backend Informationen über erkannte Anomalien und den Netzwerkzustand zur Verfügung und erhält Anweisungen aus dem Backend.
  • Jede zuvor beschriebenen NIDPS Kernaufgabe vom NIDPS kann separiert und vollständig von einem der Steuergeräte realisiert werden. Es ist ebenfalls möglich, dass diese Kernaufgabe auf mehre Steuergeräte verteilt wird. Die Eignung eines Steuergerätes eine Kernaufgabe des NIDPS teilweise oder vollständig zu übernehmen kann an Hand von Eigenschaften wie zum Beispiel verfügbaren freie Ressourcen, Position in der Netzwerktopologie oder vorhandener Kommunikationsschnittstellen ermittelt werden.
  • In der fünften Ausführungsform ist eine derartige Separierung und Verteilung aller Kernaufgaben innerhalb eines Automotive-Netzwerkes exemplarisch dargestellt. Alle Steuergeräte und das Gateway sind an der Realisierung beteiligt und haben unterschiedliche Aufgabenteile zugwiesen bekommen. Diese beispielhaft dargestellte Verteilung lässt sich auf die verfügbaren Ressourcen jeder anderen Architektur anpassen und ist so individuell realisierbar.
  • Der Datenstrom zwischen Steuergeräten wird beispielsweise durch einen Detektor innerhalb wenigstens eines Teilnetzwerks des Kommunikationsnetzwerks analysiert. Der Datenstrom zwischen Steuergeräten aus verschiedenen Teilnetzwerken des Kommunikationsnetzwerks, die über ein Gateway oder Steuergerät miteinander verbunden sind, wird beispielsweise durch einen Detektor analysiert, der auf dem Gateway oder diesem Steuergerät angeordnet ist.
  • Allgemein werden die Kernaufgaben des NIDPS separiert. Zudem kann ein Detektor und/oder wenigstens ein Aggregator innerhalb wenigstens eines Teilnetzwerks des Kommunikationsnetzwerks verteilt auf mehreren Steuergeräten oder verteilt auf wenigstens einem Steuergerät und wenigstens einem Gateway ausgeführt werden.
  • Ein Datenfluss innerhalt des NIDPS ist in 6 schematisch dargestellt.
  • Die Detektoren wirken als Erkennungskomponente zusammen. Die Aggregatoren wirken als Aggregationskomponente zusammen. Die Aktoren wirken als Reaktionskomponente zusammen. Die Kommunikationskomponente kommuniziert mit dem Backend.
  • In einem Schritt 601 wird der Datenstrom von der Erkennungskomponente analysiert und Information über eine Anomalie erkannt. Beispielsweise analysieren, wie in der zweiten und fünften Ausführungsform dargestellt zwei verteilte Detektoren 125a, 125b auf dem ersten Domain-Steuergerät 103 und dem fünften Steuergerät 115 den Datenstrom auf verschiedenen Geräten im Kommunikationsnetzwerk 100 in demselben Teilnetzwerk. Beispielsweise analysieren, wie in der ersten Ausführungsform dargestellt verschiedene Detektoren 124, 125, 126 den Datenstrom auf verschiedenen Geräten im Kommunikationsnetzwerk 100 in verschiedenen Teilnetzwerken.
  • Beispielsweise wird ein defekter oder ganz ausgefallener Sensor daran erkannt, dass falsche oder gar keine Daten vom Sensor gesendet werden. Es können auch defekte Bauteile oder Manipulation durch externe Quellen, die zu fehlerhaften Daten führen, erkannt werden. Zeitstempel, Auftretenshäufigkeit oder -abstand einzelner Datenpakete werden beispielsweise mit einem Sollwert verglichen, der einen Normalzustand charakterisiert. Allgemein wird eine regelbasierte Anomalieerkennung durchgeführt, die eine Abweichung von einem Sollwert erkennt.
  • In einem Schritt 602 wird Information über erkannte Anomalien von der Erkennungskomponente an die Aggregationskomponente gesendet.
  • In einem Schritt 603 wird Information über erkannte Anomalien von der Erkennungskomponente an die Reaktionskomponente gesendet.
  • In einem Schritt 604 aggregiert die Aggregationskomponente empfangene Information über Anomalien. Erkennen mehrere Detektoren eine Anomalie, wird deren Information vom Aggregator im Schritt 604 aggregiert. Die Information kann ausgewertet, bewertet oder nach Art und Weise der Anomalie sortiert und Aktoren zugeordnet werden.
  • In einem Schritt 605 wird aggregierte Information über erkannte Anomalien von der Aggregationskomponente an die Reaktionskomponente gesendet.
  • In einem Schritt 606 löst die Reaktionskomponente eine Gegenmaßnahme aus, die abhängt von der Information über erkannte Anomalien.
  • Ein erster Aspekt der Reaktion betrifft die direkte Reaktion auf eine erkannte Anomalie.
  • Ein Detektor der Erkennungskomponente sendet im Schritt 603 beispielsweise direkt Information über eine erkannte Anomalie mittels der zweiten Verbindung an einen Aktor der Reaktionskomponente.
  • Dadurch empfängt der Aktor vom Detektor direkt Information über eine erkannte Anomalie. Dieser Aktor löst im Beispiel abhängig von der Information über die erkannte Anomalie direkt eine Gegenmaßnahme zur Behandlung der Anomalie aus.
  • Ein zweiter Aspekt betrifft eine Aggregation von Information über Anomalien, und eine Reaktion aufgrund aggregierter Information. Dadurch empfängt der Aktor vom Aggregator Information über eine erkannte Anomalie. Dieser Aktor löst im Beispiel abhängig von der aggregierten Information über die erkannte Anomalie eine Gegenmaßnahme zur Behandlung der Anomalie aus. Damit führt beispielsweise eine von einem einzelnen Detektor nicht erkennbare Anomalie, die aber anhand aggregierter Information von mehreren Detektoren erkennbar ist, auch zu einer Reaktion.
  • Beispielsweis aggregieren, wie in der dritten und fünften Ausführungsform dargestellt, wenigstens zwei, auf unterschiedlichen Geräten im Kommunikationsnetzwerk 100 angeordnete Aggregatoren 127, ..., 134 Information über erkannte Anomalien. Diese können hierarchisch ausgebildet sein, indem beispielsweise der Aggregator 134 einer höchsten Stufe, die Information über erkannte Anomalien von den Aggregatoren 127, ..., 133 der niedrigeren Stufen aggregiert.
  • Beispielsweise lösen, wie in der vierten und fünften Ausführungsform dargestellt, wenigstens zwei, auf unterschiedlichen Geräten im Kommunikationsnetzwerk 100 angeordnete Aktoren 135, ..., 140 wenigstens eine Gegenmaßnahme aus. Diese Aktoren können in zwei verschiedenen Teilnetzwerken des Kommunikationsnetzwerks angeordnete sein.
  • Es kann vorgesehen sein, das einer der Aktoren mehreren weiteren Aktoren Anweisungen zu der Gegenmaßnahme über das Kommunikationsnetzwerk 100 sendet.
  • In einem optionalen Schritt 607 wird die aggregierte Information über erkannte Anomalien von der Aggregationskomponenten an die Kommunikationskomponente gesendet. In einem optionalen Schritt 608 wird Information über eine Reaktion an die von der Reaktionskomponente über eine fünfte Verbindung and die Kommunikationskomponente gesendet.
  • Die Kommunikationskomponente stellt eine Schnittstelle dar, die erkannte Anomalien in einem optionalen Schritt 609 insbesondere an ein Backend kommuniziert. Die Kommunikationskomponente kann auch ausgebildet sein, Anweisungen, insbesondere von einem Backend zu empfangen und an die andere Komponente zu senden. Verbindungen im Kommunikationsnetzwerk 100 sind in diesem Falle bidirektional ausgebildet.
  • Die Verbindungen erfolgen über das Kommunikationsnetzwerk 100. Dadurch ist für die Kommunikation keine separate Hardware erforderlich. Es wird beispielsweise Automotive-Ethernet-Netzwerk oder ein Bussystem, wie Controller Area Network (CAN) Bus verwendet.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102017210787 [0002]
    • DE 102017213119 [0002]

Claims (15)

  1. Verfahren zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk (100), insbesondere eines Kraftfahrzeugs, dadurch gekennzeichnet, dass wenigstens ein Detektor (124, 125, 126) einen Datenstrom im Kommunikationsnetzwerk (100) analysiert (601), wobei der wenigstens eine Detektor (124, 125, 126) wenigstens eine Anomalie durch ein regelbasiertes Anomalieerkennungsverfahren erkennt, wenn wenigstens ein Parameter für ein Datenpaket des Datenstroms von einem Sollwert abweicht, wobei der wenigstens eine Detektor (124, 125, 126) Information über wenigstens eine erkannte Anomalie über das Kommunikationsnetzwerk (100) sendet (602, 603).
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens ein Aktor (135, ..., 140) Information über wenigstens eine vom wenigstens einen Detektor (124, 125, 126) erkannte Anomalie über das Kommunikationsnetzwerk (100) empfängt (603, 605), und wobei der wenigstens eine Aktor (135, ... 140) abhängig von der Information über die wenigstens eine vom wenigstens einen Detektor (124, 125, 126) erkannte Anomalie wenigstens eine Gegenmaßnahme zur Behandlung der Anomalie auslöst (606).
  3. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass wenigstens ein Aggregator (127, ..., 134) Information über wenigstens eine erkannte Anomalie von wenigstens einem Detektor (124, 125, 126) empfängt (602) und wenigstens eine erkannte Anomalie über das Kommunikationsnetzwerk (100) an wenigstens einen Aktor (135, ... 140) sendet (605).
  4. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass wenigstens zwei Detektoren Datenpakete des Datenstroms auf verschiedenen Geräten im Kommunikationsnetzwerk (100) und/oder in demselben Teilnetzwerk analysieren (601).
  5. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass wenigstens zwei, auf unterschiedlichen Geräten im Kommunikationsnetzwerk (100) und/oder auf unterschiedlichen Geräten in zwei verschiedenen Teilnetzwerken des Kommunikationsnetzwerks (100) angeordnete Aktoren wenigstens eine Gegenmaßnahme auslösen (606).
  6. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass wenigstens zwei, auf unterschiedlichen Geräten im Kommunikationsnetzwerk (100) und/oder auf unterschiedlichen Geräten in zwei verschiedenen Teilnetzwerken des Kommunikationsnetzwerks (100) angeordnete Aggregatoren Information über erkannte Anomalien aggregieren (604), wobei ein weiterer Aggregator diese Information über erkannte Anomalien von den wenigstens zwei Aggregatoren aggregiert (604).
  7. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass eine Schnittstelle erkannte Anomalien insbesondere an ein Backend kommuniziert (609) und/oder Anweisungen insbesondere von einem Backend empfängt.
  8. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Datenstrom zwischen Steuergeräten innerhalb wenigstens eines Teilnetzwerks des Kommunikationsnetzwerks (100) von einem Detektor analysiert wird, der auf einem dieser Steuergeräte angeordnet ist und/oder dass der Datenstrom zwischen Steuergeräten aus verschiedenen Teilnetzwerken des Kommunikationsnetzwerks (100), die über ein Gateway (101) oder Steuergerät (103, 105) miteinander verbunden sind, von einem Detektor analysiert wird, der auf dem Gateway oder diesem Steuergerät angeordnet ist.
  9. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass wenigstens ein Detektor (125a, 125b; 126a, ..., 126d) und/oder wenigstens ein Aggregator innerhalb wenigstens eines Teilnetzwerks des Kommunikationsnetzwerks verteilt auf mehreren Steuergeräten ausgeführt wird und/oder verteilt auf wenigstens einem Steuergerät und wenigstens einem Gateway (101) ausgeführt wird.
  10. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass einer der Aktoren mehreren weiteren Aktoren Anweisungen zu wenigstens einer Gegenmaßnahme über das Kommunikationsnetzwerk sendet.
  11. Computerprogramm, das eingerichtet ist, das Verfahren nach einem der vorherigen Ansprüche auszuführen, wenn es auf einem Computer ausgeführt wird.
  12. Maschinenlesbares Speichermedium, auf dem das Computerprogram nach Anspruch 11 gespeichert ist.
  13. Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk, insbesondere eines Kraftfahrzeugs, dadurch gekennzeichnet, dass wenigstens ein Detektor (124, 125, 126) eingerichtet ist, einen Datenstrom im Kommunikationsnetzwerk zu analysieren, wobei der wenigstens eine Detektor (124, 125, 126) eingerichtet ist, wenigstens eine Anomalie durch ein regelbasiertes Anomalieerkennungsverfahren zu erkennen, wenn wenigstens ein Parameter für ein Datenpaket des Datenstroms von einem Sollwert abweicht, wobei der wenigstens eine Detektor (124, 125, 126) eingerichtet ist, Information über wenigstens eine erkannte Anomalie über das Kommunikationsnetzwerk zu senden.
  14. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, dass, wobei wenigstens ein Aktor eingerichtet ist, Information über wenigstens eine vom Detektor (124, 125, 126) erkannte Anomalie über das Kommunikationsnetzwerk zu empfangen, und wobei der wenigstens eine Aktor (135, ... 140) eingerichtet ist, abhängig von der Information über die wenigstens eine vom Detektor (124, 125, 126) erkannte Anomalie wenigstens eine Gegenmaßnahme zur Behandlung der Anomalie auszulösen.
  15. Vorrichtung nach Anspruch 12 oder 13, dadurch gekennzeichnet, dass wenigstens ein Aggregator eingerichtet ist, Information über wenigstens eine erkannte Anomalie von wenigstens einem Detektor (124, 125, 126) zu empfangen und wenigstens eine erkannte Anomalie über das Kommunikationsnetzwerk an wenigstens einen Aktor (135, ... 140) zu senden.
DE102018209407.1A 2018-06-13 2018-06-13 Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk Pending DE102018209407A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102018209407.1A DE102018209407A1 (de) 2018-06-13 2018-06-13 Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
US16/424,889 US11228605B2 (en) 2018-06-13 2019-05-29 Method and device for handling an anomaly in a communication network
CN201910505458.5A CN110602031B (zh) 2018-06-13 2019-06-12 用于处理通信网络中的异常的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018209407.1A DE102018209407A1 (de) 2018-06-13 2018-06-13 Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk

Publications (1)

Publication Number Publication Date
DE102018209407A1 true DE102018209407A1 (de) 2019-12-19

Family

ID=68724556

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018209407.1A Pending DE102018209407A1 (de) 2018-06-13 2018-06-13 Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk

Country Status (3)

Country Link
US (1) US11228605B2 (de)
CN (1) CN110602031B (de)
DE (1) DE102018209407A1 (de)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020204059A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204057A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204055A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204056A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204052A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204058A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204054A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204053A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102022206821A1 (de) 2022-07-04 2024-01-04 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Testen eines Steuergeräts

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021137182A1 (en) * 2019-12-31 2021-07-08 Edgehawk Security Ltd. Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210787A1 (de) 2017-06-27 2018-12-27 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk
DE102017213119A1 (de) 2017-07-31 2019-01-31 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9009084B2 (en) * 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
JP5904163B2 (ja) * 2013-06-19 2016-04-13 株式会社オートネットワーク技術研究所 接続検出装置及び車載中継装置
US20150200964A1 (en) * 2014-01-13 2015-07-16 Safe Frontier Llc Method and apparatus for advanced security of an embedded system and receptacle media
CN107077782A (zh) * 2014-08-06 2017-08-18 李宗志 自适应和/或自主交通控制系统和方法
US9479220B2 (en) * 2014-11-24 2016-10-25 GM Global Technology Operations LLC Methods and systems for detection and analysis of abnormalities in a power line communication network of a vehicle
US20160155098A1 (en) * 2014-12-01 2016-06-02 Uptake, LLC Historical Health Metrics
US11482100B2 (en) * 2015-03-28 2022-10-25 Intel Corporation Technologies for detection of anomalies in vehicle traffic patterns
AU2016245325B2 (en) * 2015-04-08 2020-04-23 Defence Innovations Pty Ltd A wireless sensor system for a vehicle
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
JP6228962B2 (ja) * 2015-11-09 2017-11-08 矢崎総業株式会社 照明制御装置
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6839963B2 (ja) * 2016-01-08 2021-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、異常検知装置及び異常検知システム
JP6578224B2 (ja) * 2016-02-22 2019-09-18 ルネサスエレクトロニクス株式会社 車載システム、プログラムおよびコントローラ
US10249103B2 (en) * 2016-08-02 2019-04-02 Centurylink Intellectual Property Llc System and method for implementing added services for OBD2 smart vehicle connection
CN110325929B (zh) * 2016-12-07 2021-05-25 阿瑞路资讯安全科技股份有限公司 用于检测有线网络变化的信号波形分析的系统和方法
US11030310B2 (en) * 2017-08-17 2021-06-08 Red Bend Ltd. Systems and methods for disabling a malicious ECU in a controller area network (CAN) bus
US20190056707A1 (en) * 2017-08-18 2019-02-21 The Boeing Company Methods and Systems for Controlling Operation of Equipment Based on Biometric Data
WO2019116054A1 (en) * 2017-12-15 2019-06-20 GM Global Technology Operations LLC Ethernet network-profiling intrusion detection control logic and architectures for in-vehicle controllers
JP7048008B2 (ja) * 2018-03-22 2022-04-05 東芝デジタルソリューションズ株式会社 混載輸送方法および混載ターミナル
WO2019237068A1 (en) * 2018-06-08 2019-12-12 Nvidia Corporation Protecting vehicle buses from cyber-attacks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210787A1 (de) 2017-06-27 2018-12-27 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk
DE102017213119A1 (de) 2017-07-31 2019-01-31 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020204059A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204057A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204055A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204056A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204052A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204058A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204054A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
DE102020204053A1 (de) 2020-03-28 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
WO2021197822A1 (de) 2020-03-28 2021-10-07 Robert Bosch Gmbh Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
WO2021197827A1 (de) 2020-03-28 2021-10-07 Robert Bosch Gmbh Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
WO2021197828A1 (de) 2020-03-28 2021-10-07 Robert Bosch Gmbh Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
WO2021197823A1 (de) 2020-03-28 2021-10-07 Robert Bosch Gmbh Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
WO2021197821A1 (de) 2020-03-28 2021-10-07 Robert Bosch Gmbh Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
WO2021197820A1 (de) 2020-03-28 2021-10-07 Robert Bosch Gmbh Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
WO2021197826A1 (de) 2020-03-28 2021-10-07 Robert Bosch Gmbh Vorrichtung zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
WO2021197824A1 (de) 2020-03-28 2021-10-07 Robert Bosch Gmbh Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
DE102022206821A1 (de) 2022-07-04 2024-01-04 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Testen eines Steuergeräts

Also Published As

Publication number Publication date
CN110602031A (zh) 2019-12-20
CN110602031B (zh) 2024-01-09
US11228605B2 (en) 2022-01-18
US20190387010A1 (en) 2019-12-19

Similar Documents

Publication Publication Date Title
DE102018209407A1 (de) Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
DE112010001370B4 (de) Signalübertragungsvorrichtung für einen Aufzug
EP2814193B1 (de) Verfahren und system zur erkennung von fehlern bei der übertragung von daten von einem sender zu zumindest einem empfänger
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102018215945A1 (de) Verfahren und Vorrichtung zur Anomalie-Erkennung in einem Fahrzeug
EP3262797A1 (de) Kraftfahrzeug-kommunikationsnetzwerk mit switchvorrichtung
DE102020201988A1 (de) Vorrichtung zur Verarbeitung von Daten mit wenigstens zwei Datenschnittstellen und Betriebsverfahren hierfür
EP3149710B1 (de) Fahrzeugdiagnosevorrichtung und datenübertragungsvorrichtung
DE102018221952A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kommunikationsnetzwerks
EP3028409B1 (de) Filtern eines datenpaketes durch eine netzwerkfiltereinrichtung
EP3353956A1 (de) Verfahren und vorrichtung zur überwachung von steuerungssystemen
WO2009003715A2 (de) Schnelle ringredundanz eines netzwerkes
EP3861681B1 (de) System und verfahren zur fehlererkennung und fehlerursachen-analyse in einem netzwerk von netzwerkkomponenten
EP3641231A1 (de) Verfahren und vorrichtung zur überwachung einer datenkommunikation
EP1881652B1 (de) Feldbussystem bestehend aus Knoten mit integrierter Buswächtereinheit
EP3382478B1 (de) Verfahren, computer-programm-produkt und steuereinheit zum steuern von zugriffen auf it-systeme basierende netzwerke, insbesondere eingebettete systeme oder verteilte systeme umfassende automatisierungsnetzwerke, steuerungsnetzwerke oder kontrollnetzwerke
EP3167593B1 (de) Vorrichtung, verfahren und computerprogrammprodukt zur sicheren datenkommunikation
DE102017217301A1 (de) Verfahren und Vorrichtung zum unmittelbaren und rückwirkungsfreien Übertragen von Log-Nachrichten
DE102013221955A1 (de) Sicherheitsrelevantes System
DE102011086726A1 (de) Verfahren zur redundanten Kommunikation zwischen einem Nutzer-Terminal und einem Leitsystem-Server
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
DE102016113322A1 (de) Slave-Steuerung für Ethernet-Netzwerk
DE102019204452A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes in einem Verbund von Steuergeräten
WO2004112341A2 (de) Verfahren und vorrichtung zur verarbeitung von echtzeitdaten

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000