DE102018212657A1 - Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz - Google Patents

Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz Download PDF

Info

Publication number
DE102018212657A1
DE102018212657A1 DE102018212657.7A DE102018212657A DE102018212657A1 DE 102018212657 A1 DE102018212657 A1 DE 102018212657A1 DE 102018212657 A DE102018212657 A DE 102018212657A DE 102018212657 A1 DE102018212657 A1 DE 102018212657A1
Authority
DE
Germany
Prior art keywords
message
node
recorded
received
following features
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018212657.7A
Other languages
English (en)
Inventor
Paulius Duplys
Hana Boukricha
Janin Wolfinger
Michael Herrmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102018212657.7A priority Critical patent/DE102018212657A1/de
Priority to US16/453,370 priority patent/US11178162B2/en
Priority to CN201910688184.8A priority patent/CN110784440B/zh
Publication of DE102018212657A1 publication Critical patent/DE102018212657A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren (10) zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz (20),gekennzeichnet durch folgende Merkmale:- eine über das Rechnernetz (20) übertragene Nachricht (11, 12) wird von einem Knoten (22) des Rechnernetzes (20) empfangen oder aufgezeichnet,- anhand zumindest der Nachricht (11, 12) wird durch einen Erkennungsmechanismus (16) des Knotens (22) überprüft (13), ob die Unregelmäßigkeiten aufgetreten sind, und- gemäß einer vorgegebenen Erkennungsregel des Erkennungsmechanismus (16) wird ein Auftreten der Unregelmäßigkeiten entweder bestätigt oder widerlegt (14).

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.
  • Stand der Technik
  • Als Angriffserkennungssystem (intrusion detection system, IDS) wird in der IT-Sicherheit jedwedes System zur Erkennung von Angriffen bezeichnet, die auf ein Computersystem oder Rechnernetz gerichtet sind. IDS nach dem Stand der Technik bedienen sich oft einer Kombination aus zustandsorientierter Paketüberprüfung, Musterabgleich und der Erkennung von Unregelmäßigkeiten (Anomalien).
  • DE102016221378A1 betrifft ein Verfahren zum Schützen eines Geräts vor informationstechnischen Attacken, bei dem von mindestens einem Gerät empfangene Daten durch ein von dem Gerät umfasstes Angriffserkennungssystem auf eine informationstechnische Attacke hin überprüft werden, und für den Fall, dass die empfangenen Daten einer informationstechnischen Attacke zugeordnet werden, Kenndaten über die informationstechnische Attacke in dem Gerät abgespeichert und über eine Kommunikationsschnittstelle zu einer mit einer Vielzahl Geräte in kommunikativer Verbindung stehenden Einrichtung übertragen werden, und bei dem die Einrichtung die von dem Gerät übertragenen Kenndaten auswertet und in Abhängigkeit mindestens eines vorgegebenen Kriteriums eine Warnmeldung an zumindest einen Teil der mit der Einrichtung in kommunikativer Verbindung stehenden Geräte ausgibt.
  • Offenbarung der Erfindung
  • Die Erfindung stellt ein Verfahren zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit.
  • Der nachfolgend vorgestellten Lösung liegt die Einsicht zugrunde, dass bestehende Angriffserkennungssysteme für Autos in der Regel auf einem zentralisierten Ansatz basieren. Typischerweise ist die IDS-Komponente auf einem zentralen Gateway vorgesehen und überwacht den dieses Gateway passierenden Netzwerkverkehr. Ein Nachteil solcher IDS-Systeme besteht darin, dass die Informationen, die sie berücksichtigen können, auf die Netzwerknachrichten und deren Inhalt beschränkt sind. Zum Beispiel ist der interne Zustand einer elektronischen Steuereinheit (electronic control unit, ECU), die mit dem entsprechenden Feldbus oder Netzwerk verbunden sind, einem zentralen IDS nicht bekannt.
  • Der vorgeschlagene Ansatz fußt daher auf dem Grundgedanken, dass ein verteiltes IDS in der Lage wäre, mehr Anomalien als ein zentralisiertes IDS zu erkennen.
  • Ein Vorzug dieser Lösung liegt in einer verbesserten IDS-Erkennungsrate und somit Wirksamkeit der Anomalieerkennung. Sie eröffnet somit Szenarien und geeignete Mechanismen für eine verteilte Angriffserkennung, die es ermöglichen, Anomalien zu erkennen, die existierende Lösungen, z. B. ein typisches zentralisiertes IDS, nicht oder nur mit geringer Wahrscheinlichkeit detektieren können.
  • Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, die über das Rechnernetz übertragenen Nachrichten durch einzelne Endgeräte aufzeichnen oder empfangen zu lassen. Ein traditionelles zentrales IDS verfügt über keine Kenntnis interner Zustände dieser einzelnen Knoten, z. B. einzelner ECUs, die mit einem fahrzeuginternen Netzwerk verbunden sind. Darüber hinaus hat ein zentrales IDS aufgrund von Feldbusspezifikationen keine einfache Möglichkeit, die tatsächliche Quelle einer Nachricht zu bestimmen. Folglich sind Anomalien, die mit den vorgeschlagenen Mechanismen erkannt werden können, prinzipiell unmöglich, zumindest aber nur sehr umständlich und kostspielig unter Verwendung eines zentralen IDS zu detektieren. Mit anderen Worten erlauben es die nachfolgend beschriebenen Detektionsmechanismen, Anomalien zu detektieren, die unter Verwendung existierender Ansätze nach dem Stand der Technik unmöglich oder zumindest nur sehr schwierig oder kostspielig zu detektieren sind.
  • Figurenliste
  • Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
    • 1 ein abstraktes Modell eines fahrzeuginternen Felsbusses.
    • 2 einen Erkennungsmechanismus für eine erste Anomalie.
    • 3 einen Erkennungsprozess für die erste Anomalie.
    • 4 einen Erkennungsmechanismus für eine zweite Anomalie.
    • 5 einen Erkennungsprozess für die zweite Anomalie.
    • 6 einen Erkennungsmechanismus für eine dritte Anomalie.
    • 7 einen Erkennungsprozess für die dritte Anomalie.
    • 8 einen Erkennungsmechanismus für eine vierte Anomalie.
    • 9 einen Erkennungsprozess für die vierte Anomalie.
    • 10 einen Erkennungsmechanismus für eine fünfte Anomalie.
    • 11 einen Erkennungsprozess für die fünfte Anomalie.
  • Ausführungsformen der Erfindung
  • 1 illustriert ein abstraktes Modell eines typischen fahrzeuginternen Feldbusses (20). Die Kreise (22) bezeichnen Knoten i ∈ I, die mit dem Bus (20) verbunden sind, z. B. ECUs. Diese Komponenten (20) können Nachrichten empfangen, verarbeiten und übertragen. Der rechteckförmig dargestellte Knoten (21) bezeichnet ein Gateway oder einen Domänencontroller, der mit anderen Teilnetzen des Fahrzeugs verbunden ist und möglicherweise externe Schnittstellen wie ODB-II oder Bluetooth aufweist.
  • In herkömmlichen verteilten elektrisch-elektronischen (E/E) Architekturen agiert der rechteckförmige Knoten (21) typischerweise als ein Vermittlungsgerät (switch), das die Kommunikation zwischen ECUs auf verschiedenen Bussen ermöglicht. Für neuere domänenübergreifende Zentralarchitekturen würde der rechteckförmig dargestellte Knoten (21) einen Domänencontroller bezeichnen, der über das Vermitteln eingehender Nachrichten hinausgehende Aufgaben erfüllen und insbesondere aktiv an der Kommunikation innerhalb des Feldbusses (20) teilnehmen könnte. In der Regel würde ein zentralisiertes IDS auf diesem Gateway bzw. Domänencontroller (21) ausgeführt werden.
  • In einem IDS gemäß einer Ausführungsform der Erfindung hingegen ist die Angriffserkennung auf mehrere Knoten (22) verteilt. In einem Feldbus (20) teilen sich all diese Knoten (22) eine physische Verbindung. Daher sieht jeder Knoten (22) sämtliche Nachrichten Mj, die über den Bus j übertragen werden. Bezeichnet ferner Ti die vom Knoten i gesendeten Nachrichten und Si dessen internen Zustand, so verfügt das vorgeschlagene IDS somit über die Information Mj × Ti × Si, während einem zentralen IDS lediglich die jeweils aufgezeichnete Nachricht Mj bekannt wäre.
  • Wie diesen Ausführungen zu entnehmen ist, verfügt ein verteiltes IDS über mehr Informationen für seine Entscheidungsfindung als ein zentralisiertes IDS. Insbesondere sind die Nachrichten Ti, die vom entsprechenden Knoten i gesendet wurden, die Abfolge dessen vorheriger Zustände sowie der aktuelle Zustand von i nur i selbst bekannt und daher nur in einem verteilten IDS verfügbar. Eine dem nachfolgend beschriebenen Ansatz zugrunde liegende Erkenntnis besteht darin, dass die von Ti und Si verkörperte Information die Wirksamkeit der Anomalieerkennung verbessert und daher durch das IDS genutzt werden sollte.
  • Es folgt eine detaillierte Beschreibung der vorgeschlagenen Mechanismen. Jede Beschreibung besteht aus vier Teilen: der Beschreibungen des Normalbetriebs, der Anomalien, des Erkennungsmechanismus und dessen konkreten Vorteils für das jeweilige Szenario. Der erste Teil beschreibt das Systemverhalten in Abwesenheit von Anomalien. Der zweite Teil liefert eine detaillierte Beschreibung der auf diese Weise erkennbaren Anomalie. Der dritte Teil beschreibt, wie die besagte Anomalie detektiert werden kann und erörtert, welche Art von Informationen bewertet werden müssen, um diese Anomalie zu erkennen. Schließlich vergleicht der vierte und letzte Teil den vorgeschlagenen Erkennungsmechanismus mit den Erkennungsfähigkeiten eines typischen zentralisierten IDS und verfolgt das Ziel, die beiden Ansätze zu vergleichen und Vorteile zu identifizieren, die die vorgeschlagenen Mechanismen besonders auszeichnen.
  • Ein erster Mechanismus basiert auf der Beobachtung, dass bestimmte Nachrichten r, r', ... im Normalbetrieb niemals von einem Knoten i empfangen werden, während dieser sich in bestimmten Zuständen s, s, ... befindet. Beispielsweise könnte der Knoten i Zustände haben, die lokale Informationen reflektieren. Das heißt, Si könnte Zustände umfassen, die aus den über den Bus (20) übertragenen Nachrichten, aus den Zuständen des zentralen Gateways bzw. Domänencontrollers (21) oder anderer Knoten (22), z. B. anderer ECUs, nicht abgeleitet werden können. In diesen Zuständen könnte es jedoch unplausibel sein, eine oder mehrere der Nachrichten r, r', ... zu empfangen.
  • Eine Unregelmäßigkeit wäre somit darin zu erblicken, wenn eine oder mehrere Nachrichten r,r', ... empfangen werden, während sich der Knoten i in einem der Zustände s, s', ... befindet.
  • Der entsprechende Erkennungsmechanismus ist in 2 gezeigt. Der Mechanismus (16) implementiert eine Anomalie-Erkennungsregel (31), die angibt, dass bestimmte Kombinationen (r, s), (r',s'), ... nicht erlaubt sind, und überwacht die Nachrichten Ri, die vom Knoten i empfangen werden (11), sowie den internen Zustand s ∈ Si von i (17). Der Prozess (10) der Anomalie-Erkennung ist in 3 dargestellt.
  • Einem zweiten Mechanismus liegt die Erkenntnis zugrunde, dass einige Nachrichten m von mehreren berechtigten Absendern (21, 22), z. B. mehreren ECUs, übertragen werden können. Da jedoch diese verschiedenen Absender m in verschiedenen Zuständen des Gesamtsystems (20) senden, hängt die Antwort auf m im Einzelfall davon ab, wer der jeweilige Absender war. Man betrachte als Beispiel zwei Knoten i und i', z. B. ECUs, die beide legitime Absender einer Diagnosemeldung m sind. Während der Knoten i m nur dann sendet, wenn sich das Fahrzeug bewegt, sendet der Knoten i' m nur dann, wenn sich das Fahrzeug nicht bewegt. Ferner sei angenommen, dass beim Senden von m ein anderer Knoten (22) mit einer Nachricht r antwortet, die unter anderem die Geschwindigkeit des Fahrzeugs enthält.
  • Eine Unregelmäßigkeit läge damit vor, wenn nach dem Senden der Nachricht m der legitime Sender (22) eine Antwort r dergestalt aufzeichnet, dass eine oder mehrere Eigenschaften von r, z. B. der Wert eines spezifischen CAN-Signals, nicht dem für den Normalbetrieb erwarteten Wertebereich entsprächen.
  • Der entsprechende Erkennungsmechanismus ist in 4 gezeigt. Der Mechanismus (16) implementiert eine Anomalie-Erkennungsregel (32), die besagt, dass, wann immer i m übermittelt (15) und r als Antwort empfängt (11), r bestimmte Kriterien erfüllen muss. Der Prozess (10) der Anomalie-Erkennung ist in 5 dargestellt.
  • Ein dritter Mechanismus folgt aus der Feststellung, dass eine oder mehrere Nachrichten m, m', ... niemals von einem anderen Knoten (22) als i gesendet werden, solange i in einem der vorgesehenen Zustände s, s, ... ∈ Si ist. Als Beispiel sei angenommen, dass es zwei Knoten i, i', z. B. ECUs, gibt, die beide berechtigt sind, eine Nachricht m zu senden. Während jedoch der Knoten i sich im Zustand s befindet, ist er der einzige legitime Absender. Das heißt, ein globaler Fahrzeugzustand impliziert, dass, wenn i im Zustand s ist, der andere Knoten i' unter normalen Betriebsbedingungen niemals die Nachricht m senden wird.
  • Eine Unregelmäßigkeit würde es somit darstellen, wenn der Knoten i eine bestimmte Nachricht m aufzeichnet, während i im Zustand s ist. Dies wäre insofern eine Anomalie, als gemäß obiger Definition kein anderer Knoten (z. B. keine andere ECU) außer i die Nachricht m senden darf, während i im Zustand s ist.
  • Der entsprechende Erkennungsmechanismus ist in 6 gezeigt. Der Mechanismus (16) implementiert eine Erkennungsregel (33), die angibt, dass es eine Anomalie darstellt, wenn der Knoten (22) die über den Bus (20) gesendete Nachricht m aufzeichnet (12), während i selbst die Nachricht nicht gesendet hat und sein aktueller Zustand s ist (17). Der Prozess (10) der Anomalie-Erkennung ist in 7 dargestellt.
  • Ein vierter Mechanismus fußt auf der Einsicht, dass bestimmte Nachrichten m, m', ... nur auf dem Bus (20) aufzeichnet werden oder von i empfangen werden können, wenn der Knoten i eine Nachricht ti sendet, während er sich im Zustand s befindet. Zum Beispiel sei angenommen, dass es eine Nachricht m gibt, die von einem Knoten (22), z. B. einer ECU, gesendet wird. Wenn m als eine Antwort auf die Nachricht ti des Knotens i oder aus anderen Gründen nach dieser übertragen wird, während i in einem bestimmten Zustand s ist, wird erwartet, dass die Nachricht m eine oder mehrere eindeutige Eigenschaften aufweist. Beispielsweise wird erwartet, dass die Werte eines oder mehrerer durch m übertragener Signale innerhalb eines bestimmten Bereichs liegen.
  • Insofern wäre eine Unregelmäßigkeit darin zu sehen, wenn der Knoten i nach dem Senden einer Nachricht t im Zustand s eine Nachricht m empfangen oder aufzeichnen würde, die eine oder mehrere der beschriebenen Eigenschaften verletzt.
  • Der entsprechende Erkennungsmechanismus ist in 8 gezeigt. Der Mechanismus (16) implementiert eine Anomalie-Erkennungsregel (34), die besagt, dass, wenn der Knoten i eine Nachricht ti gesendet hat (18), während er im Zustand s war (17), und eine Nachricht (11, 12) empfangen oder aufgezeichnet hat, die eine oder mehrere erwartete Eigenschaften verletzt, dies als eine Anomalie zu betrachten sei. Der Prozess (10) dieser Anomalie-Erkennung ist in 9 dargestellt.
  • Ein fünfter Mechanismus schließlich geht aus von der Annahme, dass bestimmte Nachrichten m, m', ... nie auf dem Bus (20) beobachtet werden, während sich der Knoten i in bestimmten Zuständen s, s, ... ∈ Si befindet. Wenn beispielsweise der Zustand des Knotens i impliziert, dass sich das Fahrzeug nicht bewegt, ist nicht von der Aufzeichnung von Nachrichten auszugehen, die die Fahrdynamik verändern.
  • Eine Unregelmäßig könnte sich vor diesem Hintergrund darin äußern, dass eine oder mehrere Nachrichten m, m', ... vom Knoten i aufgezeichnet werden, während dieser sich in einem der Zustände s, s, ... ∈ Si befindet.
  • Der entsprechende Erkennungsmechanismus ist in 10 gezeigt. Der Mechanismus (16) implementiert eine Anomalie-Erkennungsregel (35), die angibt, dass bestimmte Kombinationen (m, s), (m', s'), ... nicht erlaubt sind, und überwacht die Nachrichten m e Mj' die über den Bus j übertragen werden (12), sowie den internen Zustand s ∈ Si von i (17). Der Prozess (10) dieser Anomalie-Erkennung ist in 11 gezeigt.
  • In einer möglichen Erweiterung des Verfahrens (10) können diejenigen der oben erläuterten Mechanismen (16), welche die Zustandsinformation s ∈ Si berücksichtigen (17), dahingehend verbessert werden, mehrere aufeinanderfolgende Zustände zu berücksichtigen. Im Rahmen der folgenden Ausführungen bezeichne s i t
    Figure DE102018212657A1_0001
    den Zustand des Knotens i zum Zeitpunkt t (z. B. im entsprechenden Taktzyklus), zu dem die Anomalie auftritt. Die oben beschriebenen Mechanismen (16) berücksichtigen nach dieser Definition lediglich diesen Zustand s i t .
    Figure DE102018212657A1_0002
    Um die Anomalie-Erkennungsrate weiter zu verbessern und möglicherweise die Falsch-positiv-Rate zu reduzieren, ist es denkbar, k vorherige Zustände s i t k , s i t k + 1 , , s i t 1
    Figure DE102018212657A1_0003
    zu berücksichtigen. Die Berücksichtigung dieser früheren Zustände erfordert zwar mehr Speicher zur Angriffserkennung, erhöht aber auch die Detektionseffizienz.
  • Dieses Verfahren (10) kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem Steuergerät (22) implementiert sein.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102016221378 A1 [0003]

Claims (10)

  1. Verfahren (10) zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz (20), gekennzeichnet durch folgende Merkmale: - eine über das Rechnernetz (20) übertragene Nachricht (11, 12) wird von einem Knoten (22) des Rechnernetzes (20) empfangen oder aufgezeichnet, - anhand zumindest der Nachricht (11, 12) wird durch einen Erkennungsmechanismus (16) des Knotens (22) überprüft (13), ob die Unregelmäßigkeiten aufgetreten sind, und - gemäß einer vorgegebenen Erkennungsregel des Erkennungsmechanismus (16) wird ein Auftreten der Unregelmäßigkeiten entweder bestätigt oder widerlegt (14).
  2. Verfahren (10) nach Anspruch 1, gekennzeichnet durch folgende Merkmale: - das Rechnernetz (20) umfasst ein Vermittlungsgerät (21) und Endgeräte (22) und - der Knoten (22) ist eines der Endgeräte (22).
  3. Verfahren (10) nach Anspruch 1 oder 2, gekennzeichnet durch folgende Merkmale: - die Nachricht (11) wird empfangen, - das Überprüfen (13) erfolgt ferner anhand zumindest eines derzeitigen Zustandes (17) des Knotens (22) und - die Erkennungsregel (31) bezieht sich auf besondere Wertekombinationen der empfangenen Nachricht (11) und des Zustandes (17).
  4. Verfahren (10) nach Anspruch 1 oder 2, gekennzeichnet durch folgende Merkmale: - die Nachricht (11) wird auf eine Anforderung (15) des Knotens (22) empfangen und - die Erkennungsregel (32) bezieht sich auf eine erwartete Reaktion auf die Anforderung (15).
  5. Verfahren (10) nach Anspruch 1 oder 2, gekennzeichnet durch folgende Merkmale: - die Nachricht (12) wird aufgezeichnet, - das Überprüfen (13) erfolgt ferner anhand zumindest eines derzeitigen Zustandes (17) des Knotens (22) und - die Erkennungsregel (33) bezieht sich auf besondere Wertekombinationen der aufgezeichneten Nachricht (12) und des Zustandes (17).
  6. Verfahren (10) nach Anspruch 1 oder 2, gekennzeichnet durch folgende Merkmale: - die Nachricht (11, 12) wird empfangen oder aufgezeichnet, nachdem der Knoten (22) eine frühere Nachricht (18) in einem bestimmten Zustand (17) gesendet hat und - die Erkennungsregel (34) bezieht sich auf besondere Wertekombinationen der früheren Nachricht (18), der empfangenen oder aufgezeichneten Nachricht (11, 12) und des Zustandes (17).
  7. Verfahren (10) nach Anspruch 1 oder 2, gekennzeichnet durch folgende Merkmale: - die Nachricht (12) wird aufgezeichnet, - das Überprüfen (13) erfolgt ferner anhand zumindest eines derzeitigen Zustandes (17) des Knotens (22) und - die Erkennungsregel (35) bezieht sich auf besondere Wertekombinationen der aufgezeichneten Nachricht (12) und des Zustandes (17).
  8. Computerprogramm, welches eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.
  9. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.
  10. Vorrichtung (22), die eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.
DE102018212657.7A 2018-07-30 2018-07-30 Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz Pending DE102018212657A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102018212657.7A DE102018212657A1 (de) 2018-07-30 2018-07-30 Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
US16/453,370 US11178162B2 (en) 2018-07-30 2019-06-26 Method and device for detecting anomalies in a computer network
CN201910688184.8A CN110784440B (zh) 2018-07-30 2019-07-29 用于识别计算机网络中的不规律性的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018212657.7A DE102018212657A1 (de) 2018-07-30 2018-07-30 Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz

Publications (1)

Publication Number Publication Date
DE102018212657A1 true DE102018212657A1 (de) 2020-01-30

Family

ID=69148827

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018212657.7A Pending DE102018212657A1 (de) 2018-07-30 2018-07-30 Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz

Country Status (3)

Country Link
US (1) US11178162B2 (de)
CN (1) CN110784440B (de)
DE (1) DE102018212657A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6552674B1 (ja) * 2018-04-27 2019-07-31 三菱電機株式会社 検査システム
US11856015B2 (en) * 2021-06-24 2023-12-26 Microsoft Technology Licensing, Llc Anomalous action security assessor

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8561179B2 (en) * 2008-07-21 2013-10-15 Palo Alto Research Center Incorporated Method for identifying undesirable features among computing nodes
CN110610092B (zh) * 2014-04-17 2023-06-06 松下电器(美国)知识产权公司 车载网络系统、网关装置以及不正常检测方法
EP2975801B1 (de) * 2014-07-18 2016-06-29 Deutsche Telekom AG Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
WO2016108963A1 (en) * 2014-12-30 2016-07-07 Battelle Memorial Institute Temporal anomaly detection on automotive networks
US10291506B2 (en) * 2015-03-04 2019-05-14 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
DE102015205670A1 (de) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
JP6566400B2 (ja) * 2015-12-14 2019-08-28 パナソニックIpマネジメント株式会社 電子制御装置、ゲートウェイ装置、及び検知プログラム
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
CN106209870B (zh) * 2016-07-18 2019-07-09 北京科技大学 一种针对分布式工业控制系统的网络入侵检测系统
DE102016221378A1 (de) 2016-10-31 2018-05-03 Robert Bosch Gmbh Verfahren zum Übertragen von Daten
EP3568963A1 (de) * 2017-01-11 2019-11-20 Nokia Solutions and Networks Oy Sicherheitsarchitektur für die maschinelle kommunikation
WO2019225259A1 (ja) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信制御装置、不正検知電子制御ユニット、モビリティネットワークシステム、通信制御方法、不正検知方法およびプログラム

Also Published As

Publication number Publication date
CN110784440A (zh) 2020-02-11
US11178162B2 (en) 2021-11-16
US20200036738A1 (en) 2020-01-30
CN110784440B (zh) 2024-07-05

Similar Documents

Publication Publication Date Title
DE102017223751A1 (de) Verfahren und Vorrichtung zur Erkennung von Anomalien in einem Datenstrom eines Kommunikationsnetzwerks
DE102017200826A1 (de) Verfahren zum Betreiben einer Überwachungsvorrichtung eines Datennetzwerks eines Kraftfahrzeugs sowie Überwachungsvorrichtung, Steuergerät und Kraftfahrzeug
DE102019207423A1 (de) Verfahren und System zur Erfassung eingekoppelter Nachrichtenanomalien
EP2795848B1 (de) Teilnehmerstation eines bussystems und verfahren zur übertragung von nachrichten zwischen teilnehmerstationen eines bussystems
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE102017202176A1 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
DE102017207830A1 (de) Vorrichtung und Verfahren zur Bestimmung einer Distanz
DE102015207050A1 (de) Verfahren zum Bestimmen einer Kanallast und Verfahren zum Einstellen einer Vorverarbeitung in einer Fahr-zeug-zu-X-Kommunikation, Fahrzeug-zu-X-Kommunikationssystem und computerlesbares Speichermedium
DE102017218134B3 (de) Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge
WO2016012387A1 (de) Vorrichtung und verfahren zur fehler- und angriffserkennung für ein kraftfahrzeug
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
EP3528524A1 (de) Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten
WO2018060250A1 (de) Verfahren und system zum schutz eines bordkommunikationsnetzwerks eines kraftfahrzeugs
EP3510748B1 (de) Verfahren, vorrichtung und computerprogramm zum empfangen, verarbeiten und übertragen von daten
DE102017212249A1 (de) Verfahren und Vorrichtungen für Teilnehmer übergreifende Kommunikation
EP3984856A1 (de) Verfahren zum erkennen der fahrzeuggattung eines schienenfahrzeugs und zur anwendung des verfahrens geeignete vorrichtung
DE112020007053T5 (de) Steuervorrichtung und Steuerverfahren
DE102020214946A1 (de) Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
DE102018215699B4 (de) Verfahren und System zur Identitätsprüfung eines Fahrzeugs, insbesondere eines Wasser- oder Schienenfahrzeugs
EP3703333B1 (de) Verfahren, vorrichtung und anlage zur verarbeitung wenigstens einer information in einer sicherheitstechnischen anlage
DE102014018173B3 (de) Vorrichtung und Verfahren zur Diagnose und Überwachung von Datenübertragungsverbindungen in einem Datenkommunikations-Netzwerk
DE102022130306A1 (de) Verfahren zum Verarbeiten von Nachrichten, Verfahren zum Betreiben zumindest einer Einrichtung eines Kraftfahrzeugs, Vorrichtung zum Verarbeiten von Nachrichten sowie Kraftfahrzeug
EP4315751A1 (de) Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren
DE102021210902A1 (de) Techniken zum detektieren eines eindringens in ein bussystem

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000