DE102020211719A1 - Verfahren und Vorrichtung zum Verarbeiten von mit einer über ein Kommunikationssystem empfangenen Nachricht assoziierten Daten - Google Patents

Verfahren und Vorrichtung zum Verarbeiten von mit einer über ein Kommunikationssystem empfangenen Nachricht assoziierten Daten Download PDF

Info

Publication number
DE102020211719A1
DE102020211719A1 DE102020211719.5A DE102020211719A DE102020211719A1 DE 102020211719 A1 DE102020211719 A1 DE 102020211719A1 DE 102020211719 A DE102020211719 A DE 102020211719A DE 102020211719 A1 DE102020211719 A1 DE 102020211719A1
Authority
DE
Germany
Prior art keywords
message
messages
communication system
time
exemplary embodiments
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020211719.5A
Other languages
English (en)
Inventor
Mario Gonzalez Fernandez
Benjamin Herrmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020211719.5A priority Critical patent/DE102020211719A1/de
Priority to US17/445,526 priority patent/US11811552B2/en
Priority to CN202111092755.5A priority patent/CN114201309A/zh
Publication of DE102020211719A1 publication Critical patent/DE102020211719A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40143Bus networks involving priority mechanisms
    • H04L12/4015Bus networks involving priority mechanisms by scheduling the transmission of messages at the communication node
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/546Message passing systems or structures, e.g. queues
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40071Packet processing; Packet format
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren, insbesondere computerimplementiertes Verfahren, zum Verarbeiten von Daten, die mit wenigstens einer über ein Kommunikationssystem, beispielsweise ein Bussystem empfangenen Nachricht assoziiert sind, wobei das Verfahren aufweist: Ermitteln einer ersten Größe, die einen Sendezeitpunkt der wenigstens einen Nachricht charakterisiert, Auswerten der ersten Größe in Bezug auf wenigstens ein Zeitraster von möglichen Sendezeitpunkten der wenigstens einen Nachricht.

Description

  • Stand der Technik
  • Die Offenbarung betrifft ein Verfahren zum Verarbeiten von Daten, die mit wenigstens einer über ein Kommunikationssystem empfangenen Nachricht assoziiert sind.
  • Die Offenbarung betrifft ferner eine Vorrichtung zum Verarbeiten von Daten, die mit wenigstens einer über ein Kommunikationssystem empfangenen Nachricht assoziiert sind.
  • Offenbarung der Erfindung
  • Beispielhafte Ausführungsformen beziehen sich auf ein Verfahren, insbesondere computerimplementiertes Verfahren, zum Verarbeiten von Daten, die mit wenigstens einer über ein Kommunikationssystem, beispielsweise ein Bussystem, empfangenen Nachricht assoziiert sind, wobei das Verfahren aufweist: Ermitteln einer ersten Größe, die einen Sendezeitpunkt der wenigstens einen Nachricht charakterisiert, Auswerten der ersten Größe in Bezug auf wenigstens ein Zeitraster von möglichen Sendezeitpunkten der wenigstens einen Nachricht.
  • Bei weiteren beispielhaften Ausführungsformen kann ein Sender der Nachricht z.B. ein echtzeitfähiges Betriebssystem nutzen, welches seine Aufgaben in zyklischen Rastern mit unterschiedlicher Wiederholungsrate ausführt. Gängige Wiederholungsraten sind beispielsweise 10ms (Millisekunden), 20ms, 50ms und 100ms. Bei weiteren beispielhaften Ausführungsformen kann ein Kommunikationstreiber, der z.B. zuständig für das Senden der Nachricht ist, ebenfalls in einem solchen Raster ausgeführt werden. Auch vermeintlich azyklische Nachrichten, z.B. auf Basis von Ereignissen („Eventbasis“) können bei weiteren beispielhaften Ausführungsformen erst mit einer nächsten Ausführung des Rasters aufgerufen bzw. über das Kommunikationssystem gesandt werden.
  • Bei weiteren beispielhaften Ausführungsformen kann dann, wenn eine Nachricht, z.B. trotz Vernachlässigung von möglichen systembedingten Einflüssen, zu stark von dem Zeitraster abweicht, darauf geschlossen werden, dass diese Nachricht einen möglichen Angriff darstellt. Bei weiteren beispielhaften Ausführungsformen kann solch ein Angriff z.B. mittels dem Auswerten der ersten Größe in Bezug auf das wenigstens ein Zeitraster von möglichen Sendezeitpunkten der wenigstens einen Nachricht erkannt werden.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Auswerten aufweist: Ermitteln, ob der Sendezeitpunkt der wenigstens einen Nachricht einen vorgebbaren zeitlichen Abstand zu a) einem möglichen Sendezeitpunkt des wenigstens einen Zeitrasters und/oder b) einem Ende einer vorangehenden Nachricht überschreitet, und optional, basierend auf dem Ermitteln, Schließen auf ein Vorhandensein einer potentiell schädlichen Nachricht und/oder auf einen Angriff.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Auswerten aufweist: Ermitteln, ob der Sendezeitpunkt der wenigstens einen Nachricht innerhalb eines vorgebbaren Toleranzbereichs eines möglichen Sendezeitpunkts des wenigstens einen Zeitrasters liegt.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Ermitteln des wenigstens einen Zeitrasters basierend auf a-priori-Wissen, beispielsweise aufweisend früher aufgezeichnete Nachrichten (und/oder eine Dokumentation bezüglich möglicher Sender der Nachricht(en)), und/oder Ermitteln des wenigstens einen Zeitrasters basierend auf, beispielsweise während eines Betriebs einer das Verfahren ausführenden Vorrichtung, empfangenen Nachrichten.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Ermitteln eines kleinsten gemeinsamen Zeitrasters von möglichen Sendezeitpunkten mehrerer Nachrichten über das Kommunikationssystem übertragender Sender.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Berücksichtigen einer zeitlichen Verschiebung von Sendezeitpunkten von Nachrichten bezüglich eines Zeitrasters, wobei die zeitliche Verschiebung beispielsweise durch Arbitrierungsvorgänge verursacht wird.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Berücksichtigen einer Strategie wenigstens eines Nachrichten über das Kommunikationssystem übertragenden Senders, beispielsweise hinsichtlich einer Reihenfolge des Sendens von mehreren Nachrichten des Senders.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf eine Vorrichtung zur Ausführung des Verfahrens gemäß den Ausführungsformen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium gemäß den Ausführungsformen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Datenträgersignal, das das Computerprogramm gemäß den Ausführungsformen überträgt und/oder charakterisiert.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Kommunikationssystem mit wenigstens einer Vorrichtung gemäß den Ausführungsformen. Bei weiteren beispielhaften Ausführungsformen ist das Kommunikationssystem beispielsweise als Bussystem ausgebildet, z.B. CAN-Bussystem, bei dem mehreren Busteilnehmer Nachrichten über ein Übertragungsmedium senden und/oder empfangen können. Bei weiteren beispielhaften Ausführungsformen weist das Kommunikationssystem mehrere Subsysteme bzw. Bussysteme oder sonstige zum Austauschen von Nachrichten geeignete Systeme auf, die z.B. mittels wenigstens eines Busteilnehmers (z.B. Gateway) miteinander gekoppelt sein können.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf eine Verwendung des Verfahrens gemäß den Ausführungsformen und/oder der Vorrichtung gemäß den Ausführungsformen und/oder des computerlesbaren Speichermediums gemäß den Ausführungsformen und/oder des Computerprogramms gemäß den Ausführungsformen und/oder des Datenträgersignals gemäß den Ausführungsformen und/oder des Kommunikationssystems gemäß den Ausführungsformen für wenigstens eines der folgenden Elemente: a) Verarbeiten von Daten, die mit wenigstens einer über das Kommunikationssystem empfangenen Nachricht assoziiert sind, beispielsweise von Sendezeitpunkten empfangbarer bzw. empfangener Nachrichten, b) Erkennen von Angriffen, z.B. mit zyklischen und/oder azyklischen Nachrichten, die über das Kommunikationssystem gesendet werden, c) Erweitern bestehender Geräte, beispielsweise Steuergeräte, zum Senden und/oder Empfangen von Nachrichten mittels des Kommunikationssystems.
  • Weitere beispielhafte Ausführungsformen ergeben sich aus der folgenden Beschreibung und der Zeichnung. In der Zeichnung zeigt:
    • 1A schematisch ein vereinfachtes Flussdiagramm gemäß beispielhaften Ausführungsformen,
    • 1B schematisch ein vereinfachtes Flussdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 2 schematisch ein vereinfachtes Blockdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 3A schematisch ein vereinfachtes Zeitdiagramm mit einem ersten Sendezeitraster gemäß weiteren beispielhaften Ausführungsformen, 3B schematisch ein vereinfachtes Zeitdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 3C schematisch ein vereinfachtes Zeitdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 4 schematisch ein vereinfachtes Flussdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 5 schematisch ein vereinfachtes Flussdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 6 schematisch ein vereinfachtes Blockdiagramm gemäß weiteren beispielhaften Ausführungsformen, und
    • 7 schematisch Aspekte von Verwendungen gemäß weiteren beispielhaften Ausführungsformen.
  • Beispielhafte Ausführungsformen, vgl. 1A und 2, beziehen sich auf ein Verfahren, insbesondere computerimplementiertes Verfahren, zum Verarbeiten von Daten, die mit wenigstens einer über ein Kommunikationssystem 10, beispielsweise ein Bussystem, empfangenen Nachricht N1 assoziiert sind, wobei das Verfahren aufweist: Ermitteln 100 (1A) einer ersten Größe G1, die einen Sendezeitpunkt der wenigstens einen Nachricht N1 charakterisiert, Auswerten 110 der ersten Größe G1 in Bezug auf wenigstens ein Zeitraster ZR1 von möglichen Sendezeitpunkten der wenigstens einen Nachricht N1. Bei weiteren beispielhaften Ausführungsformen wird bei dem Auswerten 110 ein Ergebnis ERG erhalten, das z.B. zur Beurteilung der Frage verwendet werden kann, ob die wenigstens eine Nachricht N1 eine ordnungsgemäße Nachricht eines zulässigen Senders 12 des Kommunikationssystems 10 darstellt oder ggf. eine manipulierte bzw. von einem Angreifer in das Kommunikationssystem 10 eingeschleuste Nachricht.
  • 2 zeigt das Kommunikationssystem 10, bei dem beispielhaft zwei Teilnehmer 11, 12 über ein Übertragungsmedium 10' Nachrichten austauschen (senden und/oder empfangen) können. Beispielsweise kann es sich bei dem Kommunikationssystem 10 um ein CAN-Bussystem mit einem differentiellen Übertragungsmedium 10' handeln.
  • Bei weiteren beispielhaften Ausführungsformen kann eine zur Ausführung des Verfahrens gemäß den Ausführungsformen ausgebildete Vorrichtung 200 bzw. eine entsprechende Funktionalität z.B. in wenigstens einem der Teilnehmer 11, 12 vorgesehen sein, und/oder außerhalb der Teilnehmer 11, 12, z.B. als gesonderte Einrichtung 200.
  • Bei weiteren beispielhaften Ausführungsformen kann ein Sender 12 der Nachricht N1 z.B. ein echtzeitfähiges Betriebssystem nutzen, welches seine Aufgaben in zyklischen Rastern mit unterschiedlicher Wiederholungsrate ausführt. Gängige Wiederholungsraten sind beispielsweise 10ms (Millisekunden), 20ms, 50ms und 100ms. Bei weiteren beispielhaften Ausführungsformen kann ein Kommunikationstreiber, der z.B. zuständig für das Senden der Nachricht ist, ebenfalls in einem solchen Raster ausgeführt werden. Auch vermeintlich azyklische Nachrichten, z.B. auf Basis von Ereignissen („Eventbasis“) können bei weiteren beispielhaften Ausführungsformen erst mit einer nächsten Ausführung des Rasters aufgerufen bzw. über das Kommunikationssystem 10 gesandt werden.
  • Bei weiteren beispielhaften Ausführungsformen kann dann, wenn eine Nachricht N1, z.B. trotz Vernachlässigung von möglichen systembedingten Einflüssen, zu stark von dem Zeitraster abweicht, darauf geschlossen werden, dass diese Nachricht N1 einen möglichen Angriff darstellt. Bei weiteren beispielhaften Ausführungsformen kann solch ein Angriff z.B. mittels dem Auswerten 110 ( 1A) der ersten Größe G1 in Bezug auf das wenigstens eine Zeitraster ZR1 von möglichen Sendezeitpunkten der wenigstens einen Nachricht N1, z.B. basierend auf dem Ergebnis ERG, erkannt werden.
  • Bei weiteren beispielhaften Ausführungsformen gibt es mehrere Möglichkeiten, um z.B. einen Wert für das kleinste gemeinsame Zeitraster für ein einen Sender 12 von Nachrichten, z.B. ein Steuergerät 12, zu erhalten. Bei weiteren beispielhaften Ausführungsformen können z.B. bekannte Informationen von einem Hersteller bzw. Konfigurator des Steuergeräts 12 direkt erhalten werden.
  • Bei weiteren beispielhaften Ausführungsformen lässt sich das Zeitraster vorab, z.B. offline, z.B. über eine aufgezeichnete Netzwerkkommunikation, die mehrere seither über das Kommunikationssystem 10 ausgetauschte Nachrichten bzw. hiervon abgeleitete Daten aufweist, und/oder während des Einsatzes (online) z.B. des Steuergeräts 12 berechnen.
  • 3A zeigt ein Beispiel für mögliche Sendezeitraster SZR1, SZR2 zweier Nachrichten z.B. desgleichen Steuergeräts 12 (2) mit verschiedenen Zykluszeiten. Ein erstes Sende-Zeitraster SZR1 weist eine Periodendauer von 10 ms auf. Bei weiteren beispielhaften Ausführungsformen (nicht gezeigt) könnte das Zeitraster auch schneller definiert sein, beispielsweise 2ms. Ein zweites Sendezeitraster SZR2 weist eine Periodendauer von 50 ms auf.
  • Alle Nachrichten dieses Steuergeräts 12 „erscheinen“ bei weiteren beispielhaften Ausführungsformen theoretisch zu den Zeitpunkten des gemeinsamen
    Rasters SZR3, z.B. auf dem Übertragungsmedium 10' (bzw. zum Empfang z.B. durch den Teilnehmer 11, zuzüglich einer Signallaufzeit über das Übertragungsmedium 10', die z.B. bei manchen Ausführungsformen vernachlässigt werden kann oder auch berücksichtigt werden kann).
  • Bei weiteren beispielhaften Ausführungsformen orientiert sich eine zusätzliche azyklische Sendung einer Nachricht N2 zum Zeitpunkt T_event ebenfalls an dem gemeinsamen Zeitraster SZR2, SZR3.
  • In der Praxis verhalten sich bei weiteren beispielhaften Ausführungsformen Botschaften bzw. Nachrichten N1, N2 auf einem Bus 10' weitaus komplexer, als in 3A beispielhaft dargestellt. Bei weiteren beispielhaften Ausführungsformen ist es möglich, dass Nachrichten nicht zeitgleich gesendet werden können und ggf. oftmals untereinander unterschiedliche Längen und somit auch Sendedauern aufweisen.
  • Darüber hinaus wird bei weiteren beispielhaften Ausführungsformen eine Kollisionsvermeidung über eine Priorisierung in einer Arbitrierungsphase erreicht. Wie z.B. in 3B dargestellt, gewinnen Botschaften N-1 mit niedriger ID, die z.B. einer hohen Priorität entspricht (z.B. bei einem CAN-Bussystem), die Arbitrierung und werden vor Botschaften N-2, N-3, N-4 mit höherer ID gesendet.
  • Block B1 von 3B symbolisiert beispielhaft Nachrichten N-2, N-4 eines ersten Steuergeräts, Block B2 beispielhaft Nachrichten N-1, N-3 eines zweiten Steuergeräts, und Block B3 symbolisiert die zeitliche Lage der Nachrichten N1-, .., N-4 zueinander auf dem Bussystem, wie sie sich z.B. aus der genannten Priorisierung mittels Arbitrierung ergibt. Die Zeitachsen t1, t2, t3 haben jeweils dieselbe Skalierung. Bezugszeichen A1 symbolisiert eine Wartezeit des ersten Steuergeräts zum Aussenden der Nachricht N-2, Bezugszeichen A2 symbolisiert eine Wartezeit des zweiten Steuergeräts zum Aussenden der Nachricht N-3, Bezugszeichen A3 symbolisiert eine Wartezeit des ersten Steuergeräts zum Aussenden der Nachricht N-4.
  • Bei weiteren beispielhaften Ausführungsformen wird eine „Verdrängung“ von Nachrichten z.B. in der Arbitrierungsphase beachtet. Eine weitere Eigenschaft, die bei weiteren beispielhaften Ausführungsformen von dem Verfahren gemäß den Ausführungsformen genutzt werden kann, ist die Reihenfolge der Nachrichten N-2, N-4 des gleichen Steuergeräts B1. Da die Arbitrierung bei weiteren beispielhaften Ausführungsformen jeweils nur für Botschaften auf den Bus gilt, nicht aber z.B. innerhalb eines Steuergeräts, kann sich die Reihenfolge entsprechend anders verhalten. Bei weiteren beispielhaften Ausführungsformen können z.B. Betriebssysteme für Steuergeräte B1, B2 verschiedene Strategien nutzen, um intern Nachrichten abzuarbeiten und im nächsten Schritt z.B. an einen Controller (nicht gezeigt) zur Sendung am Bus 10' weiterzuleiten. Beispiele für solche Strategien bei weiteren beispielhaften Ausführungsformen sind Folgende: nach Priorität, Senderaster oder zeitliches Aufkommen (z.B. First come, first serve).
  • In 3C ist beispielhaft ein Angriff eines Angreifers („Hackers“) dargestellt. Das Steuergerät B1' sendet die zyklische Nachricht mit ID „0x01“ z.B. wie erwartet nach dem kleinsten gemeinsamen Senderaster von z.B. 10ms, vgl. die Bezugszeichen N-10, N-13, N-16. Auch die azyklische Botschaft mit ID „0×1C“ wird mittels desselben Sendezeitrasters von 10 ms gesendet, vgl. die Bezugszeichen N-11, N-14, N-15. Zum Zeitpunkt T_D1 wird die Nachricht N-14 mit ID „0×1C“ direkt nach der Nachricht N-13 mit ID „0x01“ gesendet (Zeitabstand TD zu einem möglichen Sendezeitpunkt TS2 gemäß Zeitraster) und kann daher noch dem Senderaster von 10 ms zugeordnet werden. Jedoch zum Zeitpunkt T_attack wird die Botschaft N-12 mit ID „0x1C“ von dem Hacker B4 gesendet. Da T_attack eindeutig nicht mit dem Sendezeitraster von Steuergerät B1' von vorliegend z.B. 10ms übereinstimmt, kann diese Nachricht N-12 bei weiteren beispielhaften Ausführungsformen als Angriff erkannt werden. Hierzu kann beispielsweise die mit der Nachricht N-12 assoziierte erste Größe G1 (1A) gemäß Schritt 110 ausgewertet werden, wobei beispielsweise ein zeitlicher Abstand TA des Zeitpunkts T_attack zu dem vorangehenden Zeitrasterwert TS1 oder ein zeitlicher Abstand TA' des Zeitpunkts T_attack zu einem Ende T11E einer Übertragung einer vorangehenden Nachricht N-11 bewertet wird, z.B. auf das Überschreiten eines jeweiligen vorgebbaren Maximalwerts hin.
  • Bei weiteren beispielhaften Ausführungsformen können somit ein oder mehrere der folgenden Eigenschaften eines Protokolls bzw. von Sendern B1, B2, B1', B4 bzw. deren Betriebssystemen verwendet werden, um z.B. Angriffe mit zyklischen und/oder azyklischen Nachrichten z.B. über deren zeitliches Verhalten zu erkennen: - Kleinstes gemeinsame Sendezeitraster SZR3 (3C), z.B. eines jeden Steuergeräts, z.B. um eine Quelle B4' der Nachrichten N-12 auf Übereinstimmung mit bzw. Abweichung von dem Sendezeitraster SZR3 zu prüfen, - Berücksichtigung der Verdrängung von Nachrichten N-14 in der Arbitrierungsphase zur Vermeidung von falschen Erkennungen
    • - Strategie eines jeden Steuergeräts für die interne Abarbeitung von Nachrichten, z.B. um ferner die Reihenfolge am Bus 10' zu überprüfen.
  • Bei weiteren beispielhaften Ausführungsformen, 1B, ist vorgesehen, dass das Auswerten 110 (1A) aufweist: Ermitteln 110a, ob der Sendezeitpunkt T_attack der wenigstens einen Nachricht N-12 (3C) einen vorgebbaren zeitlichen Abstand TA zu einem möglichen Sendezeitpunkt TS1, TS2, TS3 des wenigstens einen Zeitrasters überschreitet
  • Bei weiteren beispielhaften Ausführungsformen, 1B, ist vorgesehen, dass das Auswerten 110 (1A) aufweist: Ermitteln 110a, ob der Sendezeitpunkt T_attack der wenigstens einen Nachricht N-12 (3C) einen vorgebbaren zeitlichen Abstand TA' zu einem Ende T11E einer vorangehenden Nachricht N-11 überschreitet, und optional, basierend auf dem Ermitteln 110a, Schließen 112 auf ein Vorhandensein einer potentiell schädlichen Nachricht N-12 und/oder auf einen Angriff.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Auswerten 110 (1A) aufweist: Ermitteln 110b (1B), ob der Sendezeitpunkt T_attack der wenigstens einen Nachricht N-12 innerhalb eines vorgebbaren Toleranzbereichs TB eines möglichen Sendezeitpunkts TS2 des wenigstens einen Zeitrasters liegt.
  • Bei weiteren beispielhaften Ausführungsformen, 4, ist vorgesehen, dass das Verfahren weiter aufweist: Ermitteln 120 des wenigstens einen Zeitrasters ZR1 basierend auf a-priori-Wissen, beispielsweise aufweisend früher aufgezeichnete Nachrichten (und/oder eine Dokumentation bezüglich möglicher Sender 11, 12 (2) der Nachricht(en)), und/oder Ermitteln 122 (4) des wenigstens einen Zeitrasters ZR1 basierend auf, beispielsweise während eines Betriebs einer das Verfahren ausführenden Vorrichtung 12, empfangenen Nachrichten.
  • Bei weiteren beispielhaften Ausführungsformen, 5, ist vorgesehen, dass das Verfahren weiter aufweist: Ermitteln 130 eines kleinsten gemeinsamen Zeitrasters SZR3 (3B) von möglichen Sendezeitpunkten mehrerer Nachrichten über das Kommunikationssystem 10 übertragender Sender 11, 12.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Berücksichtigen 132 einer zeitlichen Verschiebung A1 (3B), TD (3C) von Sendezeitpunkten T_D1 von Nachrichten N-2, N-14 bezüglich eines Zeitrasters TS2, wobei die zeitliche Verschiebung TD beispielsweise durch Arbitrierungsvorgänge verursacht wird.
  • Bei weiteren beispielhaften Ausführungsformen, 5, ist vorgesehen, dass das Verfahren weiter aufweist: Berücksichtigen 134 einer Strategie wenigstens eines Nachrichten über das Kommunikationssystem 10 übertragenden Senders 11, 12, beispielsweise hinsichtlich einer Reihenfolge des Sendens von mehreren Nachrichten des Senders.
  • Weitere beispielhafte Ausführungsformen, 6, beziehen sich auf eine Vorrichtung 200 zur Ausführung des Verfahrens gemäß den Ausführungsformen. Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass die Vorrichtung 200 aufweist: eine Recheneinrichtung 202 („Computer“), eine der Recheneinrichtung 202 zugeordnete Speichereinrichtung 204 zur zumindest zeitweisen Speicherung wenigstens eines der folgenden Elemente: a) Daten DAT, b) Computerprogramm PRG, insbesondere zur Ausführung des Verfahrens gemäß den Ausführungsformen.
  • Bei weiteren bevorzugten Ausführungsformen können die Daten DAT zumindest zeitweise und/oder teilweise empfangene Nachrichten N1 und/oder die erste Größe G1 und/oder das Ergebnis ERG (1A) aufweisen.
  • Bei weiteren bevorzugten Ausführungsformen weist die Speichereinrichtung einen flüchtigen Speicher 204a (z.B. Arbeitsspeicher (RAM)) auf, und/oder einen nichtflüchtigen Speicher 204b (z.B. Flash-EEPROM).
  • Bei weiteren beispielhaften Ausführungsformen kann die Recheneinrichtung 202 wenigstens eines der folgenden Elemente aufweisen: Mikroprozessor (µP), Mikrocontroller (µC), anwendungsspezifischer integrierter Schaltkreis (ASIC), System on Chip (SoC), programmierbarer Logikbaustein (z.B. FPGA, field programmable gate array), Hardwareschaltung, Grafikprozessor (GPU, graphics processing unit), oder beliebige Kombinationen hieraus.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium SM, umfassend Befehle PRG', die bei der Ausführung durch einen Computer 202 diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Computerprogramm PRG, umfassend Befehle, die bei der Ausführung des Programms durch einen Computer 202 diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Datenträgersignal DCS, das das Computerprogramm PRG gemäß den Ausführungsformen charakterisiert und/oder überträgt. Das Datenträgersignal DCS ist beispielsweise über eine optionale Datenschnittstelle 206 der Vorrichtung 200 empfangbar, über die bei weiteren beispielhaften Ausführungsformen z.B. auch die Nachricht N1 empfangbar ist.
  • Bei weiteren beispielhaften Ausführungsformen ist die Vorrichtung 200 bzw. ihre Funktionalität integriert in wenigstens einen Teilnehmer 11, 12 (2) des Kommunikationssystems 10. Bei weiteren beispielhaften Ausführungsformen kann die Vorrichtung 200 auch außerhalb eines Teilnehmers 11, 12 implementiert sein.
  • Weitere beispielhafte Ausführungsformen, 2, beziehen sich auf ein Kommunikationssystem 10 mit wenigstens einer Vorrichtung 200 gemäß den Ausführungsformen. Bei weiteren beispielhaften Ausführungsformen ist das Kommunikationssystem 10 beispielsweise als Bussystem ausgebildet, z.B. CAN-Bussystem, bei dem mehrere Busteilnehmer 11, 12 Nachrichten N1 über ein Übertragungsmedium 10' senden und/oder empfangen können. Bei weiteren beispielhaften Ausführungsformen weist das Kommunikationssystem 10 mehrere Subsysteme bzw. Bussysteme oder sonstige zum Austauschen von Nachrichten geeignete Systeme auf, die z.B. mittels wenigstens eines Busteilnehmers (z.B. Gateway) miteinander gekoppelt sein können.
  • Weitere beispielhafte Ausführungsformen, 7, beziehen sich auf eine Verwendung 300 des Verfahrens gemäß den Ausführungsformen und/oder der Vorrichtung gemäß den Ausführungsformen und/oder des computerlesbaren Speichermediums gemäß den Ausführungsformen und/oder des Computerprogramms gemäß den Ausführungsformen und/oder des Datenträgersignals gemäß den Ausführungsformen und/oder des Kommunikationssystems gemäß den Ausführungsformen für wenigstens eines der folgenden Elemente: a) Verarbeiten 302 von Daten, die mit wenigstens einer über das Kommunikationssystem 10 empfangenen Nachricht N1 assoziiert sind, beispielsweise von Sendezeitpunkten empfangbarer bzw. empfangener Nachrichten N1, b) Erkennen 304 von Angriffen, z.B. mit zyklischen und/oder azyklischen Nachrichten N-12, die über das Kommunikationssystem 10 gesendet werden, c) Erweitern 306 bestehender Geräte 11, 12, beispielsweise Steuergeräte, zum Senden und/oder Empfangen von Nachrichten mittels des Kommunikationssystems 10.
  • Bei weiteren beispielhaften Ausführungsformen kann das Prinzip gemäß den Ausführungsformen z.B. für ein Intrusion-Detection-System, also ein System zum Erkennen von Angriffen z.B. auf ein Kommunikationssystem 10, verwendet werden.
  • Bei weiteren beispielhaften Ausführungsformen kann eine Überprüfung von Nachrichten verschiedener Busse 10' des gleichen Steuergeräts untereinander erfolgen. Bei weiteren beispielhaften Ausführungsformen können Nachrichten gruppiert und z.B. einem gemeinsamen Steuergerät zugeordnet werden, z.B. falls eine Zuordnung von Nachrichten zu den entsprechenden Steuergeräten (vorerst) unbekannt ist.

Claims (13)

  1. Verfahren, insbesondere computerimplementiertes Verfahren, zum Verarbeiten von Daten, die mit wenigstens einer über ein Kommunikationssystem (10), beispielsweise ein Bussystem (10'), empfangenen Nachricht (N1) assoziiert sind, wobei das Verfahren aufweist: Ermitteln (100) einer ersten Größe (G1), die einen Sendezeitpunkt (T_event) der wenigstens einen Nachricht (N1) charakterisiert, Auswerten (110) der ersten Größe (G1) in Bezug auf wenigstens ein Zeitraster (ZR1) von möglichen Sendezeitpunkten der wenigstens einen Nachricht (N1).
  2. Verfahren nach Anspruch 1, wobei das Auswerten (110) aufweist: Ermitteln (110a), ob der Sendezeitpunkt (T_event) der wenigstens einen Nachricht (N1) einen vorgebbaren zeitlichen Abstand (TA; TA') zu a) einem möglichen Sendezeitpunkt (TS1) des wenigstens einen Zeitrasters (ZR1) und/oder b) einem Ende (T11E) einer vorangehenden Nachricht (N) überschreitet, und optional, basierend auf dem Ermitteln (110a, 110b), Schließen (112) auf ein Vorhandensein einer potentiell schädlichen Nachricht und/oder auf einen Angriff.
  3. Verfahren nach wenigstens einem der Ansprüche 1 bis 2, wobei das Auswerten (110) aufweist: Ermitteln (11 0b), ob der Sendezeitpunkt (T_event) der wenigstens einen Nachricht (N1) innerhalb eines vorgebbaren Toleranzbereichs (TB) eines möglichen Sendezeitpunkts des wenigstens einen Zeitrasters (ZR1) liegt.
  4. Verfahren nach wenigstens einem der vorstehenden Ansprüche, weiter aufweisend: Ermitteln (120) des wenigstens einen Zeitrasters (ZR1) basierend auf a-priori-Wissen, beispielsweise aufweisend früher aufgezeichnete Nachrichten, und/oder Ermitteln (122) des wenigstens einen Zeitrasters (ZR1) basierend auf, beispielsweise während eines Betriebs einer das Verfahren ausführenden Vorrichtung (200), empfangenen Nachrichten.
  5. Verfahren nach wenigstens einem der vorstehenden Ansprüche, weiter aufweisend: Ermitteln (130) eines kleinsten gemeinsamen Zeitrasters (ZR1, SZR3) von möglichen Sendezeitpunkten mehrerer Nachrichten über das Kommunikationssystem (10) übertragender Sender (11, 12).
  6. Verfahren nach wenigstens einem der vorstehenden Ansprüche, weiter aufweisend: Berücksichtigen (132) einer zeitlichen Verschiebung (TD) von Sendezeitpunkten von Nachrichten (N-13, N-14) bezüglich eines Zeitrasters (ZR1), wobei die zeitliche Verschiebung (TD) beispielsweise durch Arbitrierungsvorgänge verursacht wird.
  7. Verfahren nach wenigstens einem der vorstehenden Ansprüche, weiter aufweisend: Berücksichtigen (134) einer Strategie wenigstens eines Nachrichten über das Kommunikationssystem (10) übertragenden Senders (11, 12), beispielsweise hinsichtlich einer Reihenfolge des Sendens von mehreren Nachrichten des Senders (11, 12).
  8. Vorrichtung (200) zur Ausführung des Verfahrens nach wenigstens einem der vorstehenden Ansprüche.
  9. Computerlesbares Speichermedium (SM), umfassend Befehle (PRG'), die bei der Ausführung durch einen Computer (202) diesen veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 7 auszuführen.
  10. Computerprogramm (PRG), umfassend Befehle, die bei der Ausführung des Programms (PRG) durch einen Computer (202) diesen veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 7 auszuführen.
  11. Datenträgersignal (DCS), das das Computerprogramm nach Anspruch 10 überträgt und/oder charakterisiert.
  12. Kommunikationssystem (10) mit wenigstens einer Vorrichtung (200) nach Anspruch 8.
  13. Verwendung (300) des Verfahrens nach wenigstens einem der Ansprüche 1 bis 7 und/oder der Vorrichtung (200) nach Anspruch 8 und/oder des computerlesbaren Speichermediums (SM) nach Anspruch 9 und/oder des Computerprogramms (PRG) nach Anspruch 10 und/oder des Datenträgersignals (DCS) nach Anspruch 11 und/oder des Kommunikationssystems (10) nach Anspruch 12 für wenigstens eines der folgenden Elemente: a) Verarbeiten (302) von Daten, die mit wenigstens einer über das Kommunikationssystem (10) empfangenen Nachricht (N1) assoziiert sind, beispielsweise von Sendezeitpunkten empfangbarer bzw. empfangener Nachrichten, b) Erkennen (304) von Angriffen, z.B. mit zyklischen und/oder azyklischen Nachrichten, die über das Kommunikationssystem (10) gesendet werden, c) Erweitern (306) bestehender Geräte, beispielsweise Steuergeräte, zum Senden und/oder Empfangen von Nachrichten mittels des Kommunikationssystems.
DE102020211719.5A 2020-09-18 2020-09-18 Verfahren und Vorrichtung zum Verarbeiten von mit einer über ein Kommunikationssystem empfangenen Nachricht assoziierten Daten Pending DE102020211719A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102020211719.5A DE102020211719A1 (de) 2020-09-18 2020-09-18 Verfahren und Vorrichtung zum Verarbeiten von mit einer über ein Kommunikationssystem empfangenen Nachricht assoziierten Daten
US17/445,526 US11811552B2 (en) 2020-09-18 2021-08-20 Method and device for processing data associated with a message received via a communications system
CN202111092755.5A CN114201309A (zh) 2020-09-18 2021-09-17 处理与经由通信系统接收的消息关联的数据的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020211719.5A DE102020211719A1 (de) 2020-09-18 2020-09-18 Verfahren und Vorrichtung zum Verarbeiten von mit einer über ein Kommunikationssystem empfangenen Nachricht assoziierten Daten

Publications (1)

Publication Number Publication Date
DE102020211719A1 true DE102020211719A1 (de) 2022-03-24

Family

ID=80474212

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020211719.5A Pending DE102020211719A1 (de) 2020-09-18 2020-09-18 Verfahren und Vorrichtung zum Verarbeiten von mit einer über ein Kommunikationssystem empfangenen Nachricht assoziierten Daten

Country Status (3)

Country Link
US (1) US11811552B2 (de)
CN (1) CN114201309A (de)
DE (1) DE102020211719A1 (de)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5919205B2 (ja) * 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
JP6282216B2 (ja) * 2014-11-20 2018-02-21 国立大学法人名古屋大学 通信システム及び通信装置
US9380070B1 (en) * 2015-01-20 2016-06-28 Cisco Technology, Inc. Intrusion detection mechanism
US10819727B2 (en) * 2018-10-15 2020-10-27 Schweitzer Engineering Laboratories, Inc. Detecting and deterring network attacks

Also Published As

Publication number Publication date
US11811552B2 (en) 2023-11-07
US20220094568A1 (en) 2022-03-24
CN114201309A (zh) 2022-03-18

Similar Documents

Publication Publication Date Title
EP2751956B1 (de) Verfahren und vorrichtung zur prüfung der korrekten funktion einer seriellen datenübertragung
DE112015005263B4 (de) Kommunikationssystem und Kommunikationsvorrichtung
DE69427790T2 (de) Verwaltung vom Abstand zwischen Paketen für Ethernet
DE112012007171T5 (de) Zeitausgelöstes Ethernet-basiertes Datenübertragungsverfahren und Knoten-Vorrichtung
DE102006018574A1 (de) Datenempfangsvorrichtung und Synchronisationssignal-Erfassungsverfahren und -Erfassungsprogramm
DE102019207423A1 (de) Verfahren und System zur Erfassung eingekoppelter Nachrichtenanomalien
DE102015213845A1 (de) Verfahren und Vorrichtung zur Validierung eines Zeitstempels einer Datenübertragung
DE102017213119A1 (de) Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk
DE112020003988T5 (de) Erkennen von kollisionen in einem netzwerk
DE69818139T2 (de) System und Verfahren zur Leistungsverbesserung eines CSMA/CD-Netzes bei einer Kollision
DE112016004438T5 (de) Bordkommunikationssystem
DE102020213893A1 (de) Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE10246793B4 (de) Übertragungssteuervorrichtung, welche ein CAN-Protokoll verwendet
DE102020106779A1 (de) Kommunikationsvorrichtung und Kommunikationssystem
DE102017200669A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergeräts, Computerprogramm und Verfahren zum Generieren des Computerprogramms
DE102020211719A1 (de) Verfahren und Vorrichtung zum Verarbeiten von mit einer über ein Kommunikationssystem empfangenen Nachricht assoziierten Daten
DE112019002569T5 (de) Fahrzeuggebundenes Kommunikationssystem, Bestimmungseinrichtung, Kommunikationseinrichtung, Bestimmungsverfahren und Computerprogramm
DE112016005819T5 (de) Kommunikationsvorrichtung, kommunikationsverfahren, programm und kommunikationssystem
DE112018007743T5 (de) Kommunikationsgerät, Kommunikationssystem und Synchronisationssteuerungsverfahren
DE112015006287T5 (de) Informationsverarbeitungs-Vorrichtung
DE102016221441A1 (de) Verfahren und Vorrichtung zum Überwachen eines Bildsensors
DE112013007362T5 (de) Entfernungsmesseinrichtung und Entfernungsmessverfahren
EP3641231A1 (de) Verfahren und vorrichtung zur überwachung einer datenkommunikation
WO2022063663A1 (de) Verfahren, datenverarbeitungsmodul und datenverarbeitungsnetzwerk zur verarbeitung von daten
DE102010029839A1 (de) Steuersystem

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000