DE102018217026A1 - Vorrichtung und Verfahren für regelbasierte Anomalieerkennung - Google Patents

Vorrichtung und Verfahren für regelbasierte Anomalieerkennung Download PDF

Info

Publication number
DE102018217026A1
DE102018217026A1 DE102018217026.6A DE102018217026A DE102018217026A1 DE 102018217026 A1 DE102018217026 A1 DE 102018217026A1 DE 102018217026 A DE102018217026 A DE 102018217026A DE 102018217026 A1 DE102018217026 A1 DE 102018217026A1
Authority
DE
Germany
Prior art keywords
signals
correlation
rule
signal
correlation rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018217026.6A
Other languages
English (en)
Inventor
Markus Hanselmann
Thilo Strauss
Katharina Dormann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102018217026.6A priority Critical patent/DE102018217026A1/de
Priority to CN201910938447.6A priority patent/CN111010325A/zh
Publication of DE102018217026A1 publication Critical patent/DE102018217026A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)

Abstract

Vorrichtung für eine regelbasierte Anomalieerkennung und Verfahren zur Anomalieerkennung insbesondere in einem Kraftfahrzeug, umfassend das Erfassen (204) von wenigstens zwei Signalen in einer Vielzahl von Signalen, die in einem Kommunikationsnetzwerk übertragen werden, und das Überprüfen (206) wenigstens einer Korrelationsregel, wobei die Korrelationsregel eine funktionale Abhängigkeit zwischen den wenigstens zwei Signalen charakterisiert, wobei überprüft wird, ob die Korrelationsregel erfüllt ist, oder nicht, und abhängig vom Ergebnis dieser Überprüfung entschieden wird, ob eine Anomalie vorliegt, oder nicht.

Description

  • Stand der Technik
  • Die Erfindung betrifft eine Vorrichtung und ein Verfahren für eine regelbasierte Anomalieerkennung, insbesondere ein regelbasiertes System für Anomalieerkennung für ein controller area network, CAN.
  • Wünschenswert ist es, ein derartiges regelbasiertes System zu verbessern.
  • Offenbarung der Erfindung
  • Dies wird durch die Vorrichtung und das Verfahren nach den unabhängigen Ansprüchen erreicht. Mit dem Verfahren werden bestehende regelbasierte Systeme um Regeln erweitert und verbessert. Durch eine regelbasierte Auswertung von Korrelationen und damit funktionalen Abhängigkeiten zwischen einzelnen Signalen werden Anomalien erkannt.
  • Das Verfahren zur Anomalieerkennung insbesondere in einem Kraftfahrzeug umfasst das Erfassen von wenigstens zwei Signalen in einer Vielzahl von Signalen, die in einem Kommunikationsnetzwerk übertragen werden und das Überprüfen wenigstens einer Korrelationsregel, wobei die Korrelationsregel eine funktionale Abhängigkeit zwischen den wenigstens zwei Signalen charakterisiert wobei überprüft wird, ob die Korrelationsregel erfüllt ist, oder nicht, und abhängig vom Ergebnis dieser Überprüfung entschieden wird, ob eine Anomalie vorliegt, oder nicht. Dadurch werden die Signale mittels der Korrelationsregel abhängig von wenigstens einem Zustand des Kommunikationsnetzwerks überprüft. Der Zustand beeinflusst die Übertragung der Signale und findet sich in den übertragenen Signalen wieder. Durch Einführung solcher Regeln wird es einem potentiellen Angreifer wesentlich erschwert, das System anzugreifen, da für einen erfolgreichen Angriff, der nicht von einem derartigen intrusion detection system, IDS, entdeckt werden kann, mehr als ein Signalwert geändert werden muss. Im Gegensatz zu den üblicherweise statischen Regeln, sind derartige Korrelationsregeln dynamisch, das heißt, sie hängen vom aktuellen Zustand des Netzwerkes ab.
  • Vorzugsweise ist vorgesehen, dass ein Kraftfahrzeug, das in einem ersten Betriebsmodus des Kraftfahrzeugs betrieben wird, bei erkannter Anomalie in einem zweiten, vom ersten Betriebsmodus verschiedenen Betriebsmodus des Kraftahrzeugs betrieben wird. Damit wird auf die erkannte Anomalie reagiert, wenn die Anomalieerkennung in dem Kraftfahrzeug abläuft.
  • Vorzugsweise werden Signale in verschiedenen Teilen des Kommunikationsnetzwerks übertragen, wobei wenigstens eine Korrelationsregel überprüft wird, die eine funktionale Abhängigkeit zwischen Signalen charakterisiert, die in mehreren der Teile übertragen werden. Falls das Kommunikationsnetzwerk über mehrere Teile verfügt, erfolgt die Regelüberprüfung über mehrere Teile übergreifend. Das Verfahren wird dazu beispielsweise auf einem zentralen Gateway des Kommunikationsnetzwerks ausgeführt. Dies ist insbesondere für sogenannte geroutete Signale, d.h. Signale, die auf mehrere Teile übertragen werden, interessant. Das IDS wird auf dem Gateway ausgeführt, das heißt, dass der Datenstrom mit den Korrelationsregeln auf Anomalien überprüft wird. Wurden Korrelationsregeln erstellt, die über mehrere Subsysteme Korrelationen auswerten, werden diese Korrelationsregeln an einer Stelle ausgeführt, an der Zugriff auf beteiligte Subsysteme gewährleistet ist, z.B. dem Gateway.
  • Vorzugsweise werden Signale in verschiedenen Teilen des Kommunikationsnetzwerks übertragen, wobei wenigstens eine Korrelationsregel überprüft wird, die eine funktionale Abhängigkeit zwischen Signalen charakterisiert, die nur in einem der Teile übertragen werden. Falls das Kommunikationsnetzwerk über mehrere Teile verfügt, erfolgt die Regelüberprüfung über einzelne Teile separat.
  • Vorzugsweise wird ein Korrelationskoeffizient für wenigstens zwei der Signale bestimmt. Das Auffinden von korrelierten Signalen, die über ein controller area netzwerk, CAN, übertragen werden, kann theoretisch erfolgen, indem per Hand ein Namensabgleich von Signalen gemacht wird. Dies würde allerdings Expertenwissen bedürfen, wäre sehr zeitintensiv und zudem unzuverlässig, da beispielsweise latente Abhängigkeiten nicht gefunden würden. Demgegenüber stellt das Auffinden der korrelierten Signale auf Basis von Trainingsdaten mittels Korrelationskoeffizienten eine zuverlässigere und schnellere Methode dar.
  • Vorzugsweise definiert eine Korrelationsregel für ein erstes Signal und ein zweites Signal eine Vorschrift zur Bestimmung eines zu erwartenden Werts für das zweite Signal abhängig von einem Wert für das erste Signal. Wenn das erste Signal mit dem zweiten Signal zumindest annähernd korreliert ist, wird der erwartete Wert des zweiten Signals mit einer insbesondere linearen Gleichung aus der Korrelationsregel abhängig vom ersten Signal berechenbar. Dies wird zur Anomalieerkennung eingesetzt.
  • Vorzugsweise wird der zu erwartende Wert für das zweite Signal mit einem Wert für das zweite Signal verglichen, und eine Anomalie erkannt, wenn die Abweichung zwischen dem zu erwartenden Wert und dem Wert größer als ein Schwellwert ist. Es wird beispielsweise überprüft, ob der tatsächliche Wert des zweiten Signals in einem kleinen Intervall um den erwarteten Wert des zweiten Signals liegt. Damit ist die Anomalieerkennung unabhängig von statischen Regeln möglich.
  • Ein Verfahren zur Erzeugung von Korrelationsregeln umfasst das Auswerten von wenigstens zwei Signalen in einer Vielzahl von Signalen aus Trainingsdaten, die in einem Kommunikationsnetzwerk übertragen werden, und das Auffinden wenigstens einer Korrelationsregel, wobei die Korrelationsregel eine funktionale Abhängigkeit zwischen den wenigstens zwei Signalen charakterisiert. Damit werden die Korrelationsregeln automatisiert erzeugt.
  • Vorzugsweise ist vorgesehen, dass ein Korrelationskoeffizient bestimmt wird, der eine Korrelation zwischen den wenigstens zwei Signalen charakterisiert, wobei die Korrelationsregel abhängig vom Korrelationskoeffizienten bestimmt wird. Die funktionale Abhängigkeit wird so effizient abgebildet.
  • Vorzugsweise ist vorgesehen, dass die Korrelationsregel abhängig von einer linearen Gleichung bestimmt wird. Dies ermöglicht den Einsatz linearer Regression.
  • Vorzugsweise umfasst die Korrelationsregel wenigstens einen Parameter, wobei wenigstens ein Parameter abhängig von wenigstens zwei der Signale geschätzt wird. Der Parameter wird beispielsweise aus den Trainingsdaten geschätzt.
  • Vorzugsweise werden korrelierte Signale auf Basis von Trainingsdaten bestimmt, für die gefundenen korrelierten Signale eine lineare Transformationsregel bestimmt, und abhängig von der linearen Transformationsregel wenigstens eine Korrelationsregel definiert und/oder konfiguriert. Damit sind die Korrelationsregeln automatisiert erstellbar.
  • Die Vorrichtung umfasst einen Mikroprozessor, einen Speicher mit Instruktionen und eine Schnittstelle für den Empfang von Signalen, die im Kommunikationsnetzwerk übertragen werden, wobei die Vorrichtung ausgebildet ist, bei der Ausführung der Instruktionen durch den Mikroprozessor das Verfahren auszuführen.
  • Ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch die Vorrichtung diese veranlassen, das Verfahren auszuführen.
  • Des Weiteren ist ein computerlesbares Medium vorgesehen, auf dem das Computerprogramm gespeichert ist.
  • Weitere vorteilhafte Ausgestaltungen ergeben sich aus der folgenden Beschreibung und der Zeichnung. In der Zeichnung zeigt
    • 1 schematisch einen Teil eines Kommunikationsnetzwerks,
    • 2 ein Flussdiagramm mit Schritten in einem Verfahren für eine Anomalieerkennung
    • 3 schematisch eine Darstellung einer Datenvorverarbeitung im Verfahren.
  • 1 zeigt schematisch einen Teil eines Kommunikationsnetzwerks 100.
  • Das Kommunikationsnetzwerk 100 umfasst eine Vorrichtung 102 für eine Anomalieerkennung, beispielsweise ein Gateway. Die Vorrichtung 102 umfasst einen Mikroprozessor 104, einen Speicher 106 mit Instruktionen und eine Schnittstelle 108 für den Empfang von Signalen, die im Kommunikationsnetzwerk 100 übertragen werden. In der Vorrichtung 102 ist ein Datenbus 110 vorgesehen, über den der Mikroprozessor 104 mit dem Speicher 106 und der Schnittstelle 108 verbunden ist.
  • Das Kommunikationsnetzwerk 100 umfasst im Beispiel einen Bus 112, der mit der Schnittstelle 108 verbunden ist und über den die Signale im Kommunikationsnetzwerk 100 übertragen werden.
  • Das Kommunikationsnetzwerk 100 umfasst im Beispiel unterschiedliche Teile. Im Beispiel sind ein erster Teil 114 und ein zweiter Teil 116 vorgesehen. Die unterschiedlichen Teile bilden unterschiedliche Sub-Systeme, die den Gateway verwenden.
  • Das Kommunikationsnetzwerk 100 ist im Beispiel ein controller area network, CAN. Derartige Netzwerke sind als ISO 11898 international standardisiert. Die folgende Beschreibung bezieht sich insbesondre auf ISO 11898-1:2015, ISO 11898-2:2016 und ISO 11898-3:2006 ist aber auch auf andere Versionen dieses Standards entsprechend anwendbar. Es können auch andere Kommunikationsstandards beispielsweise nach ISO 17458-1:2013, ISO 17458-2:2013, ISO 17458-3:2013, ISO 17458-4:2013, ISO 17458-5:2013 für das Kommunikationsnetzwerk 100 verwendet werden.
  • Die Vorrichtung 102 ist ausgebildet, bei der Ausführung der Instruktionen durch den Mikroprozessor 104 das im Folgenden beschriebene Verfahren auszuführen.
  • Ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch die Vorrichtung diese veranlassen, das Verfahren auszuführen, ist ebenfalls vorgesehen. Ein computerlesbares Medium, auf dem das Computerprogramm gespeichert ist, ist ebenfalls vorgesehen.
  • In vielen Fahrzeugen ist ein CAN verbaut. CAN ist ein serielles Feldbussystem, das die Kommunikation von Mikrocontrollern, insbesondere Steuergeräten im Fahrzeug erlaubt. Der Datenverkehr auf dem CAN-Bus kann dabei grundsätzlich in zwei Gruppen unterteilt werden.
  • Normalverhalten:
  • Das Normalverhalten beschreibt die Art der Daten wie sie im normalen Betrieb, d.h. ohne Fehler, Ausfälle, äußere Manipulationen o. ä. anfallen.
  • In einem korrekt arbeitenden System treten dann nur fehlerfreie Daten auf und die einzelnen Daten hängen im Allgemeinen durch spezifische, sowohl stationäre als auch zeitliche Korrelationen voneinander ab.
  • Anomalien:
  • Aus verschiedenen Gründen können im realen Betrieb in den Daten Abweichungen vom Normalverhalten auftreten, die wir als Anomalie bezeichnen.
  • Ursachen dafür können beispielsweise folgender Natur sein:
    1. (i) Defekte oder ganz ausgefallene Teilsysteme liefern falsche oder gar keine Daten,
    2. (ii) Bauteile sind beschädigt,
    3. (iii) das System wurde durch eine externe Quelle, z. B. durch einen Hackerangriff, manipuliert. Dies wird auch als Intrusion bezeichnet.
  • Es ist von hoher Bedeutung, solche Anomalien zu erkennen, insbesondere um neue, unbekannte Angriffsformen zuverlässig detektieren zu können.
  • Ein intrusion detection system, IDS, für den CAN Bus ist beispielsweise regelbasiert. Hierbei wird für eine Auswahl an möglichem, anormalem Verhalten eine Liste an Abfragen, Überprüfungen und Folgerungen erstellt, anhand der das IDS verfährt. Diese Regeln können dabei aus der CAN-Matrix gewonnen werden. Die CAN-Matrix ist im Regelfall geschütztes Wissen des jeweiligen original equipment manufacturer, OEM. Der Aufbau des Regelsystems ist daher nicht generalisierbar und wird für jeden Fahrzeugtyp extra vorgenommen.
  • In einem regelbasierten IDS System für CAN wird eine Liste von Regeln abgearbeitet, um beispielsweise Schwellwertsverletzungen aufzufinden.
  • Statische Regeln, wie das Überprüfen, ob ein Signal in regelmäßigen Zeitabständen auftritt oder ob die Signalwerte in einem vordefinierten Intervall liegen, können relativ einfach aufgestellt werden und direkt aus der CAN Matrix gewonnen werden.
  • Demgegenüber hat das Verfahren zum Ziel, Signale anhand von Korrelationsregeln zu überprüfen, die Abhängigkeiten zwischen verschiedenen Signalen angeben. Diese ergänzen ein bestehendes regelbasiertes System um neue Regeln. Überprüft wird wenigstens eine Regel, die in Abhängigkeit des aktuellen Wertes eines Signals A den Wertebereich überprüft, in dem ein Signal B liegt.
  • Für regelbasierte IDS für CAN werden statische Regeln aus der CAN-Matrix extrahiert. Solche Regeln können zum Beispiel überprüfen ob Eigenschaften, die man aus der CAN Matrix extrahieren kann, wie „Nachrichten mit ID A werden alle 200 ms gesendet“ oder „Signal x aus ID B liegt zwischen 0 und 100“, erfüllt sind. Diese Regeln sind vom aktuellen Wert anderer Signale unabhängig und werden im Folgenden als „statisch“ bezeichnet.
  • Im Fahrzeug wird der aktuelle Datenstrom des CAN Bus mit dem IDS überprüft, d.h. dass die Regeln, die zuvor aufgestellt wurden, auf Verletzungen wie Schwellwertverletzungen überprüft werden. Im Beispiel: „Signal x hat aktuell den Wert 150, liegt also nicht im Bereich von 0 und 100“.
  • Diese statischen Regeln werden durch neue Regeln ergänzt, die Korrelationen abprüfen. Beispielsweise wird überprüft ob der Wert eines Signals B in einem Bereich liegt, der vom aktuellen Wert eines anderen Signals A abhängt.
  • Um solche Korrelationen zu finden, werden im Beispiel Trainingsdaten, beispielsweise Aufzeichnungen von echtem CAN Traffic auf dem zu überwachenden Kommunikationsnetzwerk 100, ausgewertet. Die Regelgenerierung selbst findet im Beispiel außerhalb des Fahrzeugs statt. Hierzu werden Trainingsdaten aufgezeichnet, die ein Normalverhalten des Kommunikationsnetzwerks 100 wiederspiegeln. Auf diesen Daten werden Korrelationskoeffizienten berechnet und Korrelationsregeln erstellt, die in das regelbasierte System eingespeist werden.
  • Die Korrelationsregeln, die mit Hilfe der im Folgenden beschriebenen Korrelationskoeffizienten und der im Folgenden beschriebenen linearen Korrelationsmethode im Beispiel ebenfalls abhängig von den Trainingsdaten und außerhalb des Fahrzeugs entstehen, ergänzen die statischen Regeln.
  • Im Fahrzeug werden die statischen Regeln und die Korrelationsregeln auf einen laufenden Netzwerkverkehr des Kommunikationsnetzwerks 100 angewandt. Anomalien werden erkannt, wenn statische Regeln oder Korrelationsregeln verletzt werden. Ist eine Korrelationsregel aufgestellt, die Signale von unterschiedlichen Subsystemen beinhaltet, muss diese an einer Stelle im Kommunikationsnetzwerk ausgeführt werden, an der auf beide Subsysteme Zugriff besteht. Diese Stelle ist zum Beispiel ein Gateway, das die beiden Subsysteme verbindet.
  • Die Korrelationsmethode lässt sich in zwei Teilprobleme gliedern, das Auffinden von korrelierten Signalen und das Aufstellen der expliziten Korrelationsregel.
  • Das Auffinden von korrelierten Signalen könnte theoretisch erfolgen, indem per Hand ein Namensabgleich von Signalen gemacht wird. Dies würde allerdings Expertenwissen bedürfen, wäre sehr zeitintensiv und zudem unzuverlässig, da beispielsweise latente Abhängigkeiten ggf. nicht gefunden würden.
  • Demgegenüber werden im Verfahren korrelierte Signale automatisiert auf Basis von Trainingsdaten bestimmt.
  • Zudem wird ein im Folgenden beschriebener linearer Regressionsansatz verwendet, um Korrelationsregeln zu definieren. Hierzu wird eine explizite Formel angegeben, die die funktionale Abhängigkeit zweier korrelierter Signale beschreibt.
  • Des Weiteren werden auf Grund von Trainingsdaten Schwellwerte definiert.
  • Damit ist es möglich ein regelbasiertes System durch Korrelationsregeln zu erweitern, die nicht aus der CAN-Matrix extrahiert werden können.
  • Diese Korrelationsregeln beinhalten funktionale Abhängigkeiten zwischen Signalen. Durch Einführung solcher Korrelationsregeln wird es einem potentiellen Angreifer wesentlich erschwert, das System anzugreifen, da für einen erfolgreichen Angriff der nicht vom IDS entdeckt werden kann, mehr als ein Signalwert geändert werden muss.
  • Im Gegensatz zu den üblicherweise statischen Regeln, sind derartige Korrelationsregeln dynamisch, das heißt, sie hängen vom aktuellen Zustand des Netzwerkes ab.
  • Die Signale werden im Kommunikationsnetzwerk 100 übertragen. Im Beispiel ist das Kommunikationsnetzwerk 100 ein CAN Bus. Im Beispiel wird eine CAN Matrix verwendet, die die statische Abhängigkeit auf dem CAN Bus übertragener Signale nach statischen Regeln definiert.
  • Die statischen Regeln sind im Beispiel für einen CAN-Bus generiert. Falls das Fahrzeug über mehrere Bus-Systeme also Teile 114, 116 des Kommunikationsnetzwerks 100 verfügt, kann eine Regelgenerierung über mehrere Sub-Systeme erfolgen, z.B. wenn das Verfahren auf einem zentralen Gateway im Fahrzeug ausgeführt wird. Dies kann insbesondere für geroutete Signale interessant sein, die auf mehrere Sub-Systemen übertragen werden.
  • In der folgenden Tabelle 1 ist beispielhaft die Struktur eines CAN-Traces dargestellt. Alle Daten sind hierbei artifiziell und sollen nur als Beispiel dienen.
  • Im Beispiel für das CAN-Trace ist zeilenweise von links nach rechts ein Timestamp, bezeichnet mit TS, der CAN Identifier, bezeichnet mit ID, data length code, bezeichnet mit DLC, und der Payload angegeben. Im Payload jeder ID werden Signalwerte übertragen. Welche Signale in welcher ID zu finden sind und welche Bits in welcher Art den zugehörigen Signalwert codieren, kann der CAN Matrix entnommen werden. Tabelle 1
    TS ID DLC Payl oad
    0.0000 100 8 47 89 FE 8B 49 2A FF FF
    0.0008 211 8 7B 05 D4 32 CC F0 A2 13
    0.0013 321 8 68 23 00 22 C7 81 01 F2
    0.0015 121 8 4C 00 4F D2 13 00 00 00
    0.0016 211 8 77 46 0C AF DC 23 FF 00
    ... ... ... ... ... ... ... ... ... ... ...
  • Für eine Korrelationsregel werden wenigstens zwei miteinander korrelierte Signale in einer Vielzahl von Signalen, die in einem Kommunikationsnetzwerk übertragen werden, bestimmt.
  • Die wenigstens zwei miteinander korrelierten Signale werden vorzugsweise unabhängig von den Regeln bestimmt.
  • Um funktionale Abhängigkeiten von Signalen zu finden werden im Beispiel mit den Trainingsdaten Korrelationskoeffizienten aller relevanten 2-Tupel von Signalen berechnet. Hierbei können die Signale auf demselben CAN Bus wie auch auf unterschiedlichen CAN Bussen existieren. Da unterschiedliche Signale in unterschiedlichen CAN IDs codiert sind und die CAN IDs weder zur gleichen Zeit noch in der gleichen Häufigkeit gesendet werden müssen, ist es möglich, einen im Folgenden beschriebenen Datenvorverarbeitungsschritt vorzunehmen.
  • Ein Signal B wird als von Signal A abgeleitet bezeichnet, wenn für alle Auftreten von Signal B ein zeitlich direkter Vorgänger von Signal A existiert, so dass die Werte von Signal B stark korreliert mit den Vorgängern von Signal A sind.
  • Um zu untersuchen, ob Signal B von Signal A abgeleitet ist, wird einen Vektor mit Signalwerten von Signal A erstellt, die mit den Zeitstempeln von Signal B korrespondieren, indem der jeweilige zeitlich vorangegangene Zeitstempel von Signal A gewählt wird.
  • Alternativ kann es sinnvoll sein, nicht den direkten Vorgänger zu wählen, sondern größere Zeitsprünge zuzulassen.
  • Die Datenvorverarbeitung dazu ist in 3 schematisch dargestellt. In dem dargestellten Beispiel resultiert die Datenverarbeitung in zwei Vektoren gleicher Länge. Die Vektoren sind im Folgenden mit VA und vB bezeichnet.
  • Alternativ kann im Datenvorverarbeitungsschritt auch eine andere geeignete Methode angesetzt werden, die Signale A und B in Vektoren VA und vB zu transformieren.
  • So ist es beispielsweise denkbar, eine Interpolation einzusetzen.
  • Der Korrelationskoeffizient wird beispielsweise nach Pearson wie folgt berechnet: C o r ( v A , v B ) : = i = 1 n ( v A ( i ) v ¯ A ) ( v B ( i ) v ¯ B ) i = 1 n ( v A ( i ) v ¯ A ) 2 i = 1 n ( v B ( i ) v ¯ B ) 2
    Figure DE102018217026A1_0001
    wobei n die Länger der Vektoren vA und vB ist und v X den Mittelwert des Vektors vX für X ∈ {A, B} bezeichnet.
  • Um Signale aufzufinden, die eine lineare funktionale Abhängigkeit aufweisen, können all diejenigen 2-Tupel betrachtet werden, deren Korrelationskoeffizient genau 1 oder -1 ist. Signale, die annähernd linear korreliert sind, können gefunden werden, indem all diejenigen 2-Tupel gewählt werden, deren Korrelationskoeffizient betragsmäßig nahe 1 ist, also im Intervall [-1, -1+δ1] ∪ [1-δ2, 1] für frei wählbare δ1, δ2 > 0. Hier ist dem Anwender die Möglichkeit gegeben zu entscheiden, was relevant für ihn ist.
  • Das bedeutet, dass ein Korrelationskoeffizient für wenigstens zwei der Signale bestimmt wird und überprüft wird, ob der Korrelationskoeffizient größer ist als eine Schwelle für korrelierte Signale.
  • Für korrelierte Signale wird wenigstens eine Korrelationsregel bestimmt.
  • Die Korrelationsregel charakterisiert eine funktionale Abhängigkeit zwischen den wenigstens zwei miteinander korrelierten Signalen. Ein momentaner Zustand des Kommunikationsnetzwerks 100 beeinflusst die Übertragung der Signale. Die Korrelationsregel wird beispielsweise mittels Trainingsdaten abhängig vom Zustand des Kommunikationsnetzwerks 100 bestimmt. Als Trainingsdaten können Übermittlungen von Signalen dienen, die in einem definierten Zustand des Kommunikationsnetzwerks 100 ermittelt werden. Als Trainingsdaten können auch im laufenden Betrieb in unbekanntem Zustand des Kommunikationsnetzwerks übermittelte Signale verwendet werden.
  • Eine Korrelationsregel für ein erstes Signal und ein zweites Signal definiert im Beispiel eine Vorschrift zur Bestimmung eines zu erwartenden Werts für das zweite Signal abhängig von einem Wert für das erste Signal. Vorzugsweise wird eine Vielzahl von Korrelationsregeln für die Vielzahl der Signale bestimmt.
  • Im Beispiel wird die Korrelationsregel wie folgt erstellt:
  • Um für ein 2-Tupel von insbesondere annähernd linear korrelierten Signalen eine Regel aufzustellen, wird ein linearer Regressionsansatz verwendet. Hierzu werden die Parameter β1 und β2 geschätzt werden, so dass die Gleichung v B ( i ) = β 1 + β 2 v A ( i ) , i { 1,2, , n }
    Figure DE102018217026A1_0002
    bestmöglich gelöst wird. Hierfür wird das folgende Gleichungssystem aufgestellt: [ v B ( 1 ) v B ( 2 ) v B ( n ) ] = [ 1 v A ( 1 ) 1 v A ( 2 ) 1 v A ( n ) ] [ β 1 β 2 ]
    Figure DE102018217026A1_0003
  • Beispielsweise wird auf Basis von Trainingsdaten, für die gefundenen korrelierten Signale das Gleichungssystem als eine lineare Transformationsregel bestimmt.
  • Das Gleichungssystem ist einfach lösbar: [ 1 v A ( 1 ) 1 v A ( 2 ) 1 v A ( n ) ] T [ v B ( 1 ) v B ( 2 ) v B ( n ) ] = [ 1 v A ( 1 ) 1 v A ( 2 ) 1 v A ( n ) ] T [ v B ( 1 ) v B ( 2 ) v B ( n ) ] [ β 1 β 2 ]
    Figure DE102018217026A1_0004
  • Daher gilt: [ β 1 β 2 ] = ( [ 1 v A ( 1 ) 1 v A ( 2 ) 1 v A ( n ) ] T [ 1 v A ( 1 ) 1 v A ( 2 ) 1 v A ( n ) ] ) 2 [ 1 v A ( 1 ) 1 v A ( 2 ) 1 v A ( n ) ] T [ v B ( 1 ) v B ( 2 ) v B ( n ) ]
    Figure DE102018217026A1_0005
  • Die Schätzwerte (3) für β1 und β2 minimieren den folgenden Approximationsfehler von Gleichung (2): v B β 1 β 2 v A l 2 .
    Figure DE102018217026A1_0006
  • Damit wird eine Korrelationsregel aufgestellt, die überprüft, ob v B ( i ) [ β 1 + β 2 v A ( i ) ε 1 , β 1 + β 2 v A ( i ) + ε 2 ]
    Figure DE102018217026A1_0007
    wobei ε1, ε2 ∈ :R≥0 geeignet gewählt werden.
  • D.h. abhängig von der linearen Transformationsregel wird wenigstens eine Korrelationsregel definiert und/oder konfiguriert.
  • Ist das Signal A mit dem Signal B insbesondere annähernd korreliert, kann die lineare Gleichung (2) als Korrelationsregel dazu verwendet werden, den erwarteten Wert von Signal B zu berechnen und zu überprüfen, ob der tatsächliche Wert in einem Intervall um diesen Wert liegt.
  • Das bedeutet, dass eine Korrelationsregel für ein erstes Signal und ein zweites Signal eine Vorschrift zur Bestimmung eines zu erwartenden Werts für das zweite Signal abhängig von einem Wert für das erste Signal definiert.
  • Die Werte ε1 und ε2 können beispielsweise aus den Trainingsdaten geschätzt werden. Dazu können beispielsweise Konfidenzintervalle oder Extremwerttheorie verwendet werden.
  • Das Verfahren für die regelbasierte Anomalieerkennung beginnt beispielsweise, sobald das Gateway gestartet wird. nach dem Start wird ein Schritt 202 ausgeführt.
  • Im Schritt 202 werden wenigstens zwei Signale im Kommunikationsnetzwerk 100 übertragen.
  • Anschließend wird ein Schritt 204 ausgeführt.
    Im Schritt 204 werden wenigstens zwei Signalen in einer Vielzahl von Signalen, die in einem Kommunikationsnetzwerk übertragen werden, erfasst. Im Beispiel werden ein erstes Signal und ein zweites Signal erfasst.
  • Anschließend wird ein Schritt 206 ausgeführt.
  • Im Schritt 206 wird wenigstens eine Korrelationsregel überprüft. Beispielsweise wird die Korrelationsregel für das erste Signal und das zweite Signal überprüft, die im Beispiel die Vorschrift zur Bestimmung des zu erwartenden Werts für das zweite Signal abhängig vom Wert für das erste Signal definiert.
  • Beispielsweise wird für das Signal A, welches mit dem Signal B korreliert ist, die lineare Gleichung (2) als Korrelationsregel dazu verwendet, den erwarteten Wert von Signal B zu berechnen und zu überprüfen, ob der tatsächliche Wert des Signals B in einem Intervall um diesen Wert liegt.
  • Falls die Signale die Korrelationsregel nicht erfüllen, wird eine Anomalie erkannt.
  • Die Anomalieerkennung läuft beispielsweise parallel zur Kommunikation auf dem Kommunikationsnetzwerk 100 mit den Korrelationsregeln ab. Es kann vorgesehen sein, für die Anomalieerkennung zudem wenigsten eine der Regeln zu überprüfen, die die statische Abhängigkeit zwischen den Signalen umfasst.
  • Mit den Regeln und den Korrelationsregeln ist prüfbar, ob eine Anomalie vorliegt oder nicht. Ausgewertet wird im Beispiel ein Datenstrom auf dem CAN-Bus. Vorzugsweise werden sämtliche statische Regeln ausgewertet, indem zum Beispiel überprüft wird, ob bestimmte Werte innerhalb bestimmter Grenzen bleiben. Zum anderen werden die Korrelationsregeln ausgewertet, die zuvor anhand der Trainingsdaten definiert wurden. Die Korrelationsregeln beziehen sich auf die aktuellen Werte bestimmter Signale und überprüfen, ob andere Signale in Abhängigkeit dieser Werte erwartetes Verhalten aufweisen. Diese Korrelationsregeln sind dynamische Regeln.
  • Im Beispiel enthält die Korrelationsregel eine Vorschrift, die eine Korrelation eines ersten Signals und eines zweiten Signals umfasst. Ein zu erwartender Wert für das zweite Signal wird abhängig von der Korrelationsregel bestimmt und mit einem Wert für das zweite Signal verglichen. Eine Anomalie wird beispielsweise erkannt, wenn die Abweichung zwischen dem zu erwartenden Wert und dem Wert größer als ein Schwellwert ist.
  • Anschließend wird der Schritt 202 ausgeführt.
  • Es kann zudem vorgesehen sein, dass die Anomalieerkennung in einem Kraftfahrzeug ausgeführt wird, wobei das Kraftfahrzeug, das in einem ersten Betriebsmodus des Kraftfahrzeugs betrieben wird, bei erkannter Anomalie in einem zweiten, vom ersten Betriebsmodus verschiedenen Betriebsmodus des Kraftahrzeugs betrieben wird. Beispielsweise wird abhängig davon, ob eine Anomalie erkannt wurde oder nicht, eine Rückfallebene des Kraftfahrzeugs angesteuert wird. Damit kann beispielsweise im zweiten Betriebsmodus eine Leistungsbegrenzung eines Motors des Kraftfahrzeugs gegenüber einem Normalbetrieb im ersten Betriebsmodus angesteuert werden.
  • Zur Berechnung von Korrelationskoeffizienten wird im Beispiel die Methode von Pearson angewendet. Ebenso ist es aber möglich, eine der vielen Variationen, wie zum Beispiel einen „gewichteten Korrelationskoeffizienten“ oder einen „skalierten Korrelationskoeffizienten“ anzusetzen oder andere geeignete Methoden, um ein geeignetes Set von 2-Tupeln zu finden. Ebenso ist es theoretisch möglich, Regeln zu finden, die für nicht-lineare Abhängigkeiten geeignet sind. In einem einfachsten Ansatz kann hierzu der Regressionsansatz erweitert werden, indem eine Polynomgleichung höherer Ordnung angesetzt wird.

Claims (15)

  1. Verfahren zur Anomalieerkennung insbesondere in einem Kraftfahrzeug, gekennzeichnet durch das Erfassen (204) von wenigstens zwei Signalen in einer Vielzahl von Signalen, die in einem Kommunikationsnetzwerk (100) übertragen werden, und das Überprüfen (206) wenigstens einer Korrelationsregel, wobei die Korrelationsregel eine funktionale Abhängigkeit zwischen den wenigstens zwei Signalen charakterisiert, wobei überprüft wird, ob die Korrelationsregel erfüllt ist, oder nicht, und abhängig vom Ergebnis dieser Überprüfung entschieden wird, ob eine Anomalie vorliegt, oder nicht.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass ein Kraftfahrzeug, das in einem ersten Betriebsmodus des Kraftfahrzeugs betrieben wird, bei erkannter Anomalie in einem zweiten, vom ersten Betriebsmodus verschiedenen Betriebsmodus des Kraftahrzeugs betrieben wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass Signale in verschiedenen Teilen des Kommunikationsnetzwerks (100) übertragen werden, wobei wenigstens eine Korrelationsregel überprüft wird, die eine funktionale Abhängigkeit zwischen Signalen charakterisiert, die in mehreren der Teile übertragen werden.
  4. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass Signale in verschiedenen Teilen des Kommunikationsnetzwerks (100) übertragen werden, wobei wenigstens eine Korrelationsregel überprüft wird, die eine funktionale Abhängigkeit zwischen Signalen charakterisiert, die nur in einem der Teile übertragen werden.
  5. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein Korrelationskoeffizient für wenigstens zwei der Signale bestimmt wird.
  6. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass eine Korrelationsregel für ein erstes Signal und ein zweites Signal eine Vorschrift zur Bestimmung eines zu erwartenden Werts für das zweite Signal abhängig von einem Wert für das erste Signal definiert.
  7. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der zu erwartende Wert für das zweite Signal mit einem Wert für das zweite Signal verglichen wird, und eine Anomalie erkannt wird, wenn die Abweichung zwischen dem zu erwartenden Wert und dem Wert größer als ein Schwellwert ist.
  8. Verfahren zur Erzeugung von Korrelationsregeln für ein Verfahren nach einem der Ansprüche 1 bis 7, gekennzeichnet durch das Auswerten von wenigstens zwei Signalen in einer Vielzahl von Signalen aus Trainingsdaten, die in einem Kommunikationsnetzwerk (100) übertragen werden, und das Auffinden wenigstens einer Korrelationsregel, wobei die Korrelationsregel eine funktionale Abhängigkeit zwischen den wenigstens zwei Signalen charakterisiert.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass ein Korrelationskoeffizient bestimmt wird, der eine Korrelation zwischen den wenigstens zwei Signalen charakterisiert, wobei die Korrelationsregel abhängig vom Korrelationskoeffizienten bestimmt wird.
  10. Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass die Korrelationsregel abhängig von einer linearen Gleichung bestimmt wird.
  11. Verfahren nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass die Korrelationsregel wenigstens einen Parameter umfasst, wobei der wenigstens eine Parameter abhängig von wenigstens zwei der Signale geschätzt wird.
  12. Verfahren nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass korrelierte Signale auf Basis von Trainingsdaten bestimmt werden, für die gefundenen korrelierten Signale eine lineare Transformationsregel bestimmt wird, und abhängig von der linearen Transformationsregel wenigstens eine Korrelationsregel definiert und/oder konfiguriert wird.
  13. Vorrichtung (102) gekennzeichnet durch einen Mikroprozessor (104), einen Speicher (106) mit Instruktionen und eine Schnittstelle (108) für den Empfang von Signalen, die im Kommunikationsnetzwerk (100) übertragen werden, wobei die Vorrichtung (102) ausgebildet ist, bei der Ausführung der Instruktionen durch den Mikroprozessor (104) das Verfahren nach einem der Ansprüche 1 bis 12 auszuführen.
  14. Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch die Vorrichtung (102) diese veranlassen, das Verfahren nach einem der Ansprüche 1 bis 12 auszuführen.
  15. Computerlesbares Medium, auf dem das Computerprogramm nach Anspruch 14 gespeichert ist.
DE102018217026.6A 2018-10-04 2018-10-04 Vorrichtung und Verfahren für regelbasierte Anomalieerkennung Pending DE102018217026A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102018217026.6A DE102018217026A1 (de) 2018-10-04 2018-10-04 Vorrichtung und Verfahren für regelbasierte Anomalieerkennung
CN201910938447.6A CN111010325A (zh) 2018-10-04 2019-09-30 用于基于规则的异常识别的装置和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018217026.6A DE102018217026A1 (de) 2018-10-04 2018-10-04 Vorrichtung und Verfahren für regelbasierte Anomalieerkennung

Publications (1)

Publication Number Publication Date
DE102018217026A1 true DE102018217026A1 (de) 2020-04-09

Family

ID=69886357

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018217026.6A Pending DE102018217026A1 (de) 2018-10-04 2018-10-04 Vorrichtung und Verfahren für regelbasierte Anomalieerkennung

Country Status (2)

Country Link
CN (1) CN111010325A (de)
DE (1) DE102018217026A1 (de)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10291506B2 (en) * 2015-03-04 2019-05-14 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
US10298612B2 (en) * 2015-06-29 2019-05-21 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US10728101B2 (en) * 2016-05-01 2020-07-28 Argus Cyber Security Ltd. In-vehicle network anomaly detection

Also Published As

Publication number Publication date
CN111010325A (zh) 2020-04-14

Similar Documents

Publication Publication Date Title
DE102017222616A1 (de) Verfahren zum automatisierten Erstellen von Regeln für eine regelbasierte Anomalieerkennung in einem Datenstrom
EP3662639B1 (de) Verfahren und vorrichtung zum ermitteln von anomalien in einem kommunikationsnetzwerk
DE112010001370T5 (de) Signalübertragungsvorrichtung für einen Aufzug
DE102019207423A1 (de) Verfahren und System zur Erfassung eingekoppelter Nachrichtenanomalien
DE102009026995A1 (de) Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses
EP3684015B1 (de) Vorrichtung und verfahren zur klassifizierung von daten insbesondere für ein controller area netzwerk oder ein automotive ethernet netzwerk
DE112011105021B4 (de) Redundanzeinrichtung
DE102008054354B4 (de) Sichere Codierung von Spannungsdaten vieler Zellen bei Hybridfahrzeugen
DE102017204745A1 (de) Architektur und Vorrichtung für eine fortschrittliche Arbitration in integrierten Steuerungen
DE102019208939A1 (de) Fahrzeugelektrosteuervorrichtung
EP3682610A1 (de) Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem
DE102015218262B4 (de) Datenverarbeitungsanlage und Verfahren für diese zur Zustandsüberwachung einer Mehrzahl an Fahrzeugen
DE102018221684A1 (de) Vorrichtung und Verfahren zur Anomalieerkennung und zum Trainieren eines Modells für eine Anomalieerkennung
DE102020208536A1 (de) Gateway-vorrichtung, abnormitätsüberwachungsverfahren und speichermedium
DE102018217026A1 (de) Vorrichtung und Verfahren für regelbasierte Anomalieerkennung
DE102010028485B4 (de) Verfahren und Vorrichtung zur Absicherung von über eine Schnittstelle zu übertragenden Datenpaketen
DE102019111564A1 (de) Verfahren und system zum konfigurieren von filterobjekten für eine controller area network-steuerung
EP3651413A1 (de) System und verfahren zur fehlererkennung und fehlerursachen-analyse in einem netzwerk von netzwerkkomponenten
DE102021124389A1 (de) System und verfahren zum kontrollieren einer fahrzeugqualität
DE102013015358B4 (de) Numerisches Steuerungssystem mit einer abtrennbaren Filterschaltung
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
DE10315344B4 (de) Verfahren und Vorrichtung zur Erkennung fehlerhafter Komponenten in Fahrzeugen
EP2338248B1 (de) Verfahren zum betreiben eines kommunikationssystems mit mehreren knoten und kommunikationssystem dafür
DE10252109B4 (de) Verfahren zur Parametrierung
DE102017216749A1 (de) Verfahren zur Bereitstellung eines Steuersignals

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000