DE102021204409A1 - Erkennung/bewertung eines eindringens in ein elektronisches datensystem eines fahrzeugs - Google Patents

Erkennung/bewertung eines eindringens in ein elektronisches datensystem eines fahrzeugs Download PDF

Info

Publication number
DE102021204409A1
DE102021204409A1 DE102021204409.3A DE102021204409A DE102021204409A1 DE 102021204409 A1 DE102021204409 A1 DE 102021204409A1 DE 102021204409 A DE102021204409 A DE 102021204409A DE 102021204409 A1 DE102021204409 A1 DE 102021204409A1
Authority
DE
Germany
Prior art keywords
vehicle
intrusion
electronic data
data system
additional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021204409.3A
Other languages
English (en)
Inventor
Paulius Duplys
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021204409.3A priority Critical patent/DE102021204409A1/de
Priority to US17/660,469 priority patent/US20220350882A1/en
Priority to CN202210465585.9A priority patent/CN115292699A/zh
Priority to JP2022075715A priority patent/JP2022172456A/ja
Publication of DE102021204409A1 publication Critical patent/DE102021204409A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Traffic Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Aspekt der vorliegenden Offenbarung betrifft ein computer-implementiertes Verfahren zur Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs, umfassend Empfangen von Daten je Knotenpunkt einer Menge von Knotenpunkten des elektronischen Datensystems des Fahrzeugs, Berechnen eines Fahrzeugzustandes auf Basis der Daten, und Erkennen und/oder Bewerten des Eindringens in das elektronische Datensystem des Fahrzeugs zumindest auf Basis des Fahrzeugzustandes.Ein zweiter Aspekt der vorliegenden Offenbarung betrifft einen Server in einem Netzwerk, der dafür ausgelegt ist, das computer-implementierte Verfahren zur Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs auszuführen, wobei das elektronische Datensystem des Fahrzeugs und, optional, jedes elektronische Datensystem jedes weiteren Fahrzeuges der Menge der weiteren Fahrzeuge mit dem Netzwerk verbunden sind.Ein dritter Aspekt der vorliegenden Offenbarung betrifft ein Fahrzeug, welches ein elektronisches Datensystem umfasst, das nach dem computer-implementierten Verfahren zur Erkennung und/oder Bewertung eines Eindringens in das elektronische Datensystem des Fahrzeugs gesichert ist.

Description

  • Stand der Technik
  • Mechatronisch technische Systeme wie z.B. Fahrzeuge weisen häufig ein oder mehrere elektronische Datensysteme auf. Zum Beispiel kann ein mechatronisches technisches System eine Vielzahl von (elektronischen) Steuergeräten umfassen, die innerhalb mindestens eines elektronischen Datensystems - z.B. mindestens eines Bussystems - interagieren können. Die Funktionalität eines solchen technischen Systems hängt in der Regel maßgeblich von dieser Interaktion ab. Beispielsweise können selbst in einem nicht autonom fahrenden Fahrzeug mehr als hundert (elektronische) Steuergeräte - z.B. für Motorsteuerung, Getriebesteuerung, Antiblockiersystem/Fahrdynamikregelung, Airbag, Body Control Unit, Fahrerassistenzsysteme, Autoalarmanlagen, etc. - als Knotenpunkte über das mindestens eine elektronische Datensystem miteinander vernetzt sein. Die zunehmende Digitalisierung sowie Automatisierung und Vernetzung von technischen Systemen kann zu immer größeren elektronischen Datensystemen (d.h. mit mehr Knotenpunkten) oder zu Kombinationen mehrerer elektronischer Datensysteme (z.B. über Gateways) führen.
  • Das Controller Area Network (CAN), in dem Steuergeräte eines technischen Systems, insbesondere eines Fahrzeugs, über einen CAN-Bus verbunden sind und gemäß einem CAN-Protokoll miteinander kommunizieren können, stellt ein bekanntes und standardisiertes serielles Bussystem nach dem Multi-Master-Prinzip dar, in dem alle Steuergeräte im CAN gleichberechtigt sind. Beispielsweise können CAN (mittlerweile in verschiedenen Versionen) und/oder auf CAN-inspirierte Weiterentwicklungen in mechatronischen technischen Systemen aller Art (z.B. in der Automobilindustrie, in der Automatisierungstechnik, bei Aufzugsanlagen, in der Medizintechnik, in der Luft- und Raumfahrttechnik, im Schienenfahrzeugbau, im Schiffbau, ...) zum Einsatz kommen. Im Stand der Technik sind alternative Kommunikationssysteme und/oder Kommunikationsprotokolle zu CAN und/oder CAN-inspirierte Weiterentwicklungen (abgekürzt als CAN etc.) insbesondere für Fahrzeuge bekannt.
  • Elektronische Datensysteme, insbesondere CAN etc., wurden und werden derart entwickelt, dass die Datenübertragung über den CAN-Bus möglichst unabhängig von äußeren zufälligen Störungen - z.B. im Sinne der elektromagnetischen Verträglichkeit (EMV) - ist. Beispielsweise kann der CAN-Bus durch zwei verdrillte Adern (CAN_HIGH, CAN_LOW) realisiert werden und somit eine symmetrische Signalübertragung erreicht werden. Dadurch haben sich CAN etc. insbesondere auch in sicherheitsrelevanten Bereichen (z.B. im Fahrzeug) bewährt, bei denen es auf hohe Datensicherheit ankommt. Während elektronische Datensysteme wie z.B. CAN etc. verhältnismäßig einfach, robust und schnell sind (z.B. durch Verzicht auf eine Verschlüsselung), können sie andererseits (z.B. aufgrund des Multi-Master-Prinzips und/oder der fehlenden Verschlüsselung) anfällig für gezielte Attacken und/oder Manipulationen von außen sein.
  • Generell kann ein solches Eindringen in das elektronische Datensystem und insbesondere in das Bussystem z.B. das Senden einer Nachricht (auch: frame) von einem zusätzlichen und nicht vorgesehenen Knotenpunkt des elektronischen Datensystems oder von einem vorgesehenen aber infiltrierten Knotenpunkt des elektronischen Datensystems umfassen. Eine solche Nachricht kann die Kommunikation der vorgesehenen Knotenpunkte des elektronischen Datensystems stören. Insbesondere können dann durch gezielte Täuschung (z.B. durch Vorgabe einer Kennung/eines Identifiers eines vorgesehenen Knotenpunktes) Falschnachrichten versandt werden, die das elektronische Datensystem und/oder den Betrieb des zugehörigen technischen System, insbesondere des Fahrzeugs, negativ beeinflussen können. Im Zuge der zunehmenden Digitalisierung (mehr Schnittstellen, z.B. eine mittlerweile übliche Multimedia-Schnittstelle im Fahrzeug) sowie der Automatisierung und Vernetzung von technischen Systemen wächst zunehmend die Angriffsfläche für mögliches Eindringen. Die Absicherung der elektronischen Systeme gegen Eindringen ist daher von Bedeutung.
  • Im Stand der Technik sind bereits Eindringenserkennungssysteme (intrusion detection systems, IDS) bekannt, die dafür ausgelegt sind, ein Eindringen in das elektronische Datensystem auf einer niedrigen Integrationsstufe (z.B. auf Ebene des elektronischen Datensystems) zu erkennen. Beispiele für solche Eindringenserkennungssysteme sind CycurlDS von ETAS/ESCRYPT, ARGUS' Invehicle Network Protection oder ARILOU's Sentinel-CAN. Wird ein Eindringen in das elektronisches Datensystem von einem Eindringenserkennungssystem erkannt, kann es z.B. in einem Knotenpunkt zur Dokumentation und späteren Analyse geloggt werden. Alternativ oder zusätzlich kann über eine Benutzerschnittstelle ein Benutzer (z.B. der Fahrer oder ein Insasse) des technischen Systems (z.B. des Fahrzeugs) oder eine andere Servicestelle informiert werden. Zusätzlich oder alternativ zu diesen passiven Reaktionen kann eine aktive und möglichst unmittelbare Reaktion wünschenswert sein, insbesondere um eine Manipulation des elektronischen Datensystems und/oder des zugehörigen technischen Systems (rechtzeitig) zu verhindern. In einem Bussystem kann z.B. eine Fehler-Nachricht (auch: Fehler-Frame) auf den Bus und somit an alle Knotenpunkte des Bussystems gesendet werden.
  • Offenbarung der Erfindung
  • Ein erster allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein computer-implementiertes Verfahren zur Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs. Das Verfahren umfasst Empfangen von Daten je Knotenpunkt einer Menge von Knotenpunkten des elektronischen Datensystems des Fahrzeugs. Das Verfahren umfasst weiterhin Berechnen eines Fahrzeugzustandes auf Basis der Daten. Das Verfahren kann weiterhin Erkennen des Eindringens in das elektronische Datensystem des Fahrzeugs zumindest auf Basis des Fahrzeugzustandes umfassen. Alternativ oder zusätzlich kann das Verfahren Bewerten des Eindringens in das elektronische Datensystem des Fahrzeugs zumindest auf Basis des Fahrzeugzustandes umfassen.
  • Ein zweiter allgemeiner Aspekt der vorliegenden Offenbarung betrifft einen Server in einem Netzwerk, der dafür ausgelegt ist, das computer-implementierte Verfahren zur Erkennung und/oder Bewertung eines Eindringens in das elektronisches Datensystem eines Fahrzeugs nach dem ersten allgemeinen Aspekt (oder einer Ausführungsform davon) auszuführen, wobei das elektronische Datensystem des Fahrzeugs und, optional, jedes elektronische Datensystem jedes weiteren Fahrzeuges der Menge der weiteren Fahrzeuge mit dem Netzwerk verbunden sind.
  • Ein dritter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Fahrzeug, welches ein elektronisches Datensystem umfasst, das nach dem computer-implementierten Verfahren zur Erkennung und/oder Bewertung eines Eindringens in das elektronische Datensystem des Fahrzeugs nach dem ersten allgemeinen Aspekt (oder einer Ausführungsform davon) gesichert ist.
  • Wie bereits im Stand der Technik dargelegt wurde, kommt der (rechtzeitigen) Erkennung eines Eindringens in das elektronische Datensystem des Fahrzeugs eine große Bedeutung zu, um einen sicheren Betrieb des Fahrzeugs sowohl für das Fahrzeug und gegebenenfalls dessen Nutzer (z.B. Fahrer und/oder Insassen) als auch für die Umgebung des Fahrzeugs (umfassend z.B. weitere Verkehrsteilnehmer) gewährleisten zu können. Sosehr auch versucht werden kann ein Eindringen in das elektronische Datensystem des Fahrzeugs grundsätzlich zu verhindern, kann es - wie die Historie zeigt - selbst in (gut) gesicherten elektronischen Datensystemen irgendwann zu erfolgreichem Eindringen kommen. Gründe dafür können beispielsweise im ständigen Wettlauf zwischen Techniken zur Absicherung und Techniken zum Eindringen und/oder Umgehen von Absicherungen gegeben sein, insbesondere da technische System wie Fahrzeuge für eine gewisse Betriebszeit (z.B. für 10 bis 20 Jahre) konzipiert sind. Weiterhin kann konstatiert werden, dass im Zuge der zunehmenden Digitalisierung (mehr Schnittstellen, z.B. eine mittlerweile übliche Multimedia-Schnittstelle im Fahrzeug) sowie der Automatisierung und Vernetzung von technischen Systemen die Angriffsfläche für mögliches Eindringen und/oder für Umgehen von Absicherungen zunimmt. Daher ist es wichtig, mindestens ein (fahrzeuginternes oder fahrzeugexternes) Eindringenserkennungssystem für das Fahrzeug vorzusehen, das dafür ausgelegt ist, Eindringen in das elektronische System des Fahrzeugs zu erkennen. Um durch Eindringen verursachte schädliche Eingriffe zu verhindern, sollten die Eindringenserkennungssysteme möglichst rechtzeitig intervenieren und/oder warnen können.
  • Allerdings kann die Erkennung des Eindringens mitunter fehlerhaft sein. Das kann zum Beispiel darauf zurückzuführen sein, dass technische Systeme wie Fahrzeuge und auch elektronische Datensysteme gewöhnlicher Weise einen hohen Komplexitätsgrad aufweisen und z.B. wie beim automatisierten Fahren offenem Kontext unterliegen können. Neben der Möglichkeit, dass ein tatsächliches Eindringen nicht erkannt wird (dieser Fall kann im Englischen als false positive bezeichnet werden), ist es weiterhin möglich, dass ein Nichteindringen fälschlicherweise als Eindringen erkannt wird (dieser Fall kann im Englischen als false negative bezeichnet werden). Während nicht erkanntes Eindringen (false positive Fälle) auf eine Fehlfunktion des Eindringenserkennungssystem hindeuten kann und somit nicht wünschenswert ist, kann erkanntes vermeintliches Eindringen (negative positive Fälle) sogar die Funktionalität des technischen Systems, insbesondere des Fahrzeugs auch im regulären Fall (d.h. auch ohne tatsächliches Eindringen) stören. Zum Beispiel wäre es inakzeptabel, wenn ein vermeintliches Eindringen in das Fahrzeug immer dann erkannt wird, wenn ein digitales Smart-Gerät eines Nutzers des Fahrzeugs sich über eine Multimedia-Schnittstelle mit dem elektronischen Datensystem des Fahrzeugs verbindet und der Nutzer daraufhin aufgefordert wird, den Service aufzusuchen. Daher kann es wichtig sein, ein von einem (fahrzeuginternen und/oder fahrzeugexternen) Eindringungserkennungssystem als Eindringen bezeichnetes Ereignis (auch: Situation) bewerten und gegebenenfalls bestätigen zu können.
  • Wie im computer-implementierten Verfahren (oder in Ausführungsformen davon) vorgeschlagen, kann es beim Erkennen und/oder Bewerten eines Eindringens daher vorteilhaft sein, den Fahrzeugzustand des Fahrzeugs zu berücksichtigen. Somit kann ein Ereignis/eine Situation in einem größeren Kontext betrachtet und somit besser bewertet werden. Während, wie im Stand der Technik bekannt, ein einzelnes Steuergerät eines elektronischen Datensystems des Fahrzeugs ein Eindringenserkennungssystem aufweisen kann, ist es aufgrund der niedrigen Integrationsstufe schwerlich in der Lage einen übergeordneten Fahrzeugzustand zu berücksichtigen, insbesondere da üblicherweise Steuergeräte unabhängig von dem sie integrierenden technischen Systemen entwickelt und vertrieben werden. In der Tat kann z.B. ein und dasselbe Steuergerät für den Einsatz in verschiedenen Fahrzeugen, in verschiedenen Fahrzeugprojekten und/oder für unterschiedliche Fahrzeughersteller (auch: Erstausrüster, englisch: original equipment manufacturer, OEM) konzipiert sein. Weiterhin kann es vorteilhaft sein, Erkenntnisse von weiteren Steuergeräten in die Erkennung und/oder Bewertung des Eindringens zu integrieren. Dadurch kann ebenfalls der Kontext vergrößert werden und verlässlicher Eindringen erkannt und/oder bewertet werden.
  • Wie weiterhin im computer-implementierten Verfahren (oder in Ausführungsformen davon) vorgeschlagen, kann es vorteilhaft sein, den Kontext auf eine Fahrzeugflotte zu erweitern, wobei die Fahrzeugflotte eine Vielzahl von Fahrzeugen zum Beispiel eines Fahrzeugherstellers, eines Fahrzeugprojekts und/oder eines definierten Fahrzeugprojektstandes (insbesondere eines definierten Softwarestandes) umfassen kann. In diesem Fall kann sich der Server in dem Netzwerk (nach dem zweiten allgemeinen Aspekt) als besonders nützlich erweisen, da über den Server Daten und Bewertungen der Vielzahl von Fahrzeugen zusammengeführt werden können. Andererseits kann der Server in dem Netzwerk auch schon für ein einzelnes Fahrzeug vorteilhaft sein. Zum Beispiel kann die Rechenkapazität und/oder Speicherkapazität im Fahrzeug z.B. aus Kostengründen limitiert sein. Auf dem Server dagegen kann zum Beispiel die (dezidierte) Hardware bereitgestellt werden, die für eine verlässliche Erkennung und/oder Bewertung auch auf Basis der Daten und/oder des Fahrzeugzustands erforderlich ist.
  • Vom Server als erkanntes und/oder bestätigtes Eindringen (und z.B. vorgeschlagene Maßnahmen) kann in das Fahrzeug und/oder in die weiteren Fahrzeuge der Fahrzeugflotte übermittelt werden. Somit kann das Fahrzeug und/oder ein weiteres Fahrzeug zeitnah auf das Eindringen reagieren.
  • Der Server kann weiterhin insofern vorteilhaft sein, als im Fahrzeug vorhandene Eindringungserkennungssysteme häufig statisch sind. In der Tat werden in Eindringungserkennungssysteme z.B. aus Robustheits- und/oder Sicherheitsgründen statische Regeln/Algorithmen/Bedatungen für die Erkennung und/oder die Bewertung von Eindringen zu einem bestimmten Zeitpunkt der Entwicklung implementiert („hard coding“), die für die gesamte Betriebszeit gültig sein sollen. Darüber hinaus können Softwareupdates im Service erfolgen. Der Wettlauf zwischen Absicherung und Eindringen verläuft jedoch häufig schneller als solche Serviceintervalle. Technisch bestünde die Möglichkeit solche Regeln/Algorithmen/Bedatungen z.B. in einem sogenannten over-the-air Software update im Betrieb des Fahrzeugs zu aktualisieren. In der Praxis wird davon aber bisher kein oder wenig Gebrauch gemacht, unter anderem weil man dadurch eine neue Angriffsfläche böte. Auf dem Server dagegen können neue Erkenntnisse in den Algorithmen zur Erkennung und/oder Bewertung von Eindringen berücksichtigt werden.
  • Figurenliste
    • 1 zeigt eine beispielhafte Ausführungsform mit mindestens einem Fahrzeug und einem Fahrzeugsicherheitsmanagementsystem (englisch: vehicle security incident and event management (VSIEM) system).
    • 2 illustriert schematisch das computer-implementiertes Verfahren zur Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs.
    • 3 illustriert schematisch Ausführungsformen des computer-implementierten Verfahren zur Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs.
    • 4a-e zeigen beispielhafte funktionale Abhängigkeiten für die Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs.
  • Beschreibung
  • Das computer-implementierte Verfahren 100 zielt auf die Erkennung und/oder die Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs. Dadurch soll die Sicherheit erhöht oder die Sicherheit auch bei zunehmend größerer Angriffsfläche gewährleistet werden. Das Verfahren 100 kann in seinen Ausführungsformen auch auf ein oder eine Vielzahl von technischen Systemen, die nicht notwendigerweise Fahrzeuge sind, aber jeweils mindestens ein elektronisches Datensystem umfassen, verallgemeinert werden.
  • 1 visualisiert, wie ausgehend von einem Steuergerät (hier: ECU 1, Vehicle 1) des Fahrzeugs (hier: Vehicle 1) der Kontext für die Erkennung und/oder Bewertung eines Eindringens in das elektronische Datensystem auf weitere Knotenpunkte/Steuergeräte (hier: ECU 2, ..., Vehicle 1) und Knotenpunkte/Steuergeräte (hier: ECU1, ECU2, ..., Vehicle 2, ...) weiterer Fahrzeuge erweitert werden kann. Zum Beispiel können aus all diesen Knotenpunkten/Steuergeräten (weitere) Daten - optional über je einen (weiteren) digitalen Zwilling (hier: digital twin 1, digital twin 2, ...) - an ein Vehicle Security Incident and Event Management (VSIEM) System übermittelt werden, das dafür ausgelegt sein kann, das computer-implementierte Verfahren 100 (oder eine Ausführungsform davon) auszuführen. Das VSIEM System kann auf einem Server 200 implementiert sein kann.
  • Das Fahrzeug und/oder jedes weitere Fahrzeug kann jeweils ein Eindringenserkennungssystem (IDS) im Fahrzeug aufweisen, das dafür ausgelegt sein kann, ein Eindringen (vorläufig) zu bewerten. Zum Beispiel kann dabei jeweils ein (weiterer) Anomaliestatus ermittelt werden, der ebenfalls an das VSIEM System übermittelt wird.
  • Offenbart wird ein computer-implementiertes Verfahren 100 zur Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs. D.h. das Verfahren 100 kann ein Verfahren zur Erkennung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs sein. Alternativ oder zusätzlich kann das Verfahren 100 ein Verfahren zur Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs sein. Das Verfahren kann Empfangen 110 von Daten je Knotenpunkt einer Menge von Knotenpunkten des elektronischen Datensystems des Fahrzeugs umfassen. Das Verfahren 100 kann weiterhin Berechnen 120 eines Fahrzeugzustandes auf Basis der Daten umfassen. Das Verfahren kann weiterhin Erkennen 130a und/oder Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs zumindest auf Basis des Fahrzeugzustandes umfassen. 2 illustriert schematisch das computer-implementiertes Verfahren zur Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs. Verschiedene Ausführungsformen des computer-implementierten Verfahrens sind schematisch in 3 illustriert und zusammengefasst.
  • Das Erkennen eines Eindringens in das elektronische Datensystem kann auf mindestens einem vorbestimmten Erkennungskriterium basieren. Das mindestens eine vorbestimmte Erkennungskriterium kann vorbestimmte (statische) Regeln umfassen. Alternativ oder zusätzlich kann das Erkennen eines Eindringens auf einem Klassifikationsalgorithmus (z.B. ein trainierter Maschinenlernalgorithmus wie z.B. eine Support Vector Machine oder ein künstliches neuronales Netzwerk) und/oder Regressionsalgorithmus (z.B. ein trainierter Maschinenlernalgorithmus wie z.B. ein künstliches neuronales Netzwerk) basieren. Das Erkennen eines Eindringens in das elektronische Datensystem kann Prüfen umfassen, ob in den Daten mindestens eines Knotenpunktes der Menge der Knotenpunkte auf Basis des mindestens einen vorbestimmten Erkennungskriteriums eine Anomalie/Inkonsistenz vorliegt. Eine solche Prüfung kann zu je einem Zeitpunkt (z.B. in jedem interrupt) im Betrieb des Fahrzeugs (aber nicht notwendigerweise im Fahrzeug) erfolgen.
  • Das Bewerten eines Eindringens in das elektronische Datensystem kann auf mindestens einem vorbestimmten Bewertungskriterium (und/oder auf dem mindestens einem vorbestimmten Erkennungskriterium) basieren. Das mindestens eine vorbestimmte Bewertungskriterium kann vorbestimmte (statische) Regeln umfassen. Alternativ oder zusätzlich kann das Bewerten eines Eindringens auf einem Klassifikationsalgorithmus (z.B. ein trainierter Maschinenlernalgorithmus wie z.B. eine Support Vector Machine oder ein künstliches neuronales Netzwerk) und/oder Regressionsalgorithmus (z.B. ein trainierter Maschinenlernalgorithmus wie z.B. ein künstliches neuronales Netzwerk) basieren. Das Bewerten eines Eindringens in das elektronische Datensystem kann Prüfen umfassen, ob eine gefundene Anomalie/Inkonsistenz auf Basis der Daten bestätigt werden kann. Eine solche Prüfung kann zu je einem Zeitpunkt (z.B. in jedem interrupt) im Betrieb des Fahrzeugs (aber nicht notwendigerweise im Fahrzeug) erfolgen.
  • Das mindestens eine Bewertungskriterium kann das mindestens eine vorbestimmte Erkennungskriterium sein.
  • Erkennen des Eindringens kann bereits implizit das Bewerten des Eindringens umfassen.
  • Die Menge der Knotenpunkte des elektronischen Datensystems des Fahrzeugs kann eine Menge von Steuergeräten des Fahrzeugs sein, die über das elektronische Datensystem des Fahrzeugs miteinander vernetzt sein können. Somit kann ein/jeder Knotenpunkt ein Steuergerät sein. Alternativ kann (mindestens) ein Knotenpunkt ein elektronisches Gerät sein, das nicht notwendigerweise ein Steuergerät ist. Ein solches elektronisches Gerät muss somit nicht notwendigerweise ein technisches (Sub)system des Fahrzeugs steuern. Das elektronische Datensystem kann zum Beispiel ein CAN etc. mit einem CAN-Bus sein/umfassen. Das elektronische Datensystem kann auch eine Vernetzung von elektronischen Datensystemen sein. Zum Beispiel können mehrere CAN etc. jeweils über Gateway miteinander verbunden werden.
  • Die Daten je Knotenpunkt, d.h. z.B. je Steuergerät, können einen oder mehrere Zeitschriebe (z.B. Zeitreihen) umfassen, die das technische System, insbesondere das Fahrzeugs, und/oder dessen Umgebung charakterisieren. Die einen oder mehreren Zeitschriebe können zum Beispiel Informationen über das Verhalten des Fahrzeugs und/oder dessen Umgebung (z.B. weiterer Verkehrsteilnehmer) beschreiben. Ein Zeitschrieb kann zum Beispiel die Fahrzeuggeschwindigkeit sein. Die Fahrzeuggeschwindigkeit kann zum Beispiel genutzt werden, um zu bewerten, ob das Fahrzeug fährt oder steht. Die weiteren Daten je Knotenpunkt, siehe unten, können so wie Daten geartet sein allerdings mit der Maßgabe, dass sie sich auf ein weiteres Fahrzeug beziehen. In 4a-e werden die Daten eines ersten Steuergerät E1 als D1,... die Daten eines m-ten Steuergerät Em als Dm bezeichnet. Der Fahrzeugzustand kann Informationen umfassen, die für die Erkennung und/oder für die Bewertung eines Eindringens relevant sind. Diese Informationen können abgesehen von für Fahrzeuge universell geltenden Informationen (wie z.B. die Fahrzeuggeschwindigkeit) von der Architektur des Fahrzeugs abhängen. Diese Informationen (oder ein Teil davon) können ferner von dem (konkreten) Fahrzeug abhängen (z.B. die im Fahrzeug installierten Softwarestände). Der Fahrzeugzustand kann einen Fahrzustand umfassen. Die Informationen können zum Beispiel auch Zustände von einem oder mehreren Knotenpunkten (Steuergeräten) des elektronischen Datensystems umfassen. Der Fahrzeugzustand kann eine Datenstruktur sein, die die Informationen codiert. Alternativ oder zusätzlich kann der Fahrzeugzustand ein numerisches Objekt wie z.B. eine Zahl, einen Vektor, eine Matrix, oder einen Tensor umfassen. Der Fahrzeugzustand kann als Byte- oder Bitsignalfolge kodiert sein. Der Fahrzeugzustand des Fahrzeugs (v) oder des ersten Fahrzeugs (v1), ..., des n-ten Fahrzeugs (vn) in einer Vielzahl von Fahrzeugen, kann als ein mathematisches Objekt Sv bzw. Sv1 , ..., Svn ausgedrückt werden.
    Das Erkennen 130a und/oder das Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs kann zu einem Ergebnis führen, das Informationen über die Erkennung und/oder Bewertung des Eindringens enthält. Zum Beispiel kann das Ergebnis ein Bit für Eindringen/kein Eindringen umfassen. Alternativ oder zusätzlich kann das Ergebnis eine (quasi)kontinuierliche Zahl (z.B. im Interval der reellen Zahlen [0, 1]) umfassen, die mit der Wahrscheinlichkeit für ein Eindringen korreliert ist (z.B. 0 für Wahrscheinlichkeit 0 bzw. 1 für Wahrscheinlichkeit 1). Alternativ oder zusätzlich kann das Ergebnis ein Bit für Eindringen bestätigt/Eindringen nicht bestätigt umfassen. Alternativ oder zusätzlich kann das Ergebnis Maßnahmen z.B. durch eine numerische Kodierung von Routinen umfassen. Das Ergebnis kann eine Datenstruktur sein, die die Informationen codiert. Alternativ oder zusätzlich kann das Ergebnis ein numerisches Objekt wie z.B. eine Zahl, einen Vektor, eine Matrix, oder einen Tensor umfassen. Das Ergebnis kann als Byte- oder Bitsignalfolge kodiert sein. Indem das Erkennen 130a und/oder Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs zumindest auf dem Fahrzeugzustand basiert, kann das Ergebnis als Wert einer Funktion f ausgedrückt werden, die mindestens von dem Fahrzeugzustand Sv des Fahrzeugs abhängt: f ( S v )
    Figure DE102021204409A1_0001
    Das Verfahren 100 kann weiterhin umfassen: für je ein weiteres Fahrzeug einer Menge von weiteren Fahrzeugen, Empfangen 111 von weiteren Daten je Knotenpunkt einer Menge von Knotenpunkten eines elektronischen Datensystems des weiteren Fahrzeugs.
  • Das Verfahren 100 kann weiterhin umfassen: für je ein weiteres Fahrzeug der Menge von weiteren Fahrzeugen, Berechnen 121 eines weiteren Fahrzeugzustandes auf Basis der weiteren Daten des weiteren Fahrzeugs. Das Erkennen 130a und/oder Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs kann weiterhin zumindest auf mindestens einem weiteren Fahrzeugzustand basieren. Die Menge von weiteren Fahrzeugen kann die Vielzahl von Fahrzeugen (minus das Fahrzeug) sein. Das (jeweilige) weitere Fahrzeug kann ein anderes Fahrzeug aus der Menge von weiteren Fahrzeugen sein. Das elektronische Datensystem des (jeweiligen) weiteren Fahrzeugs kann (muss aber nicht) im Hinblick auf dessen Architektur und/oder Bedatung (z.B. Softwarestand) baugleich sein. Die Menge von Knotenpunkten kann die Vielzahl von Steuergeräten sein. Die Menge von Knotenpunkten des elektronischen Datensystems des weiteren Fahrzeugs kann (muss aber nicht) der Menge von Knotenpunkten des elektronischen Datensystems des Fahrzeugs entsprechen.
  • Indem das Erkennen 130a und/oder Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs zumindest auf dem mindestens einen weiteren Fahrzeugzustand basiert, kann das Ergebnis wiederum als Wert einer Funktion f ausgedrückt werden, die mindestens von dem Fahrzeugzustand Sv = Sv1 des Fahrzeugs und dem mindestens einen weiteren Fahrzeugzustand Sv2 abhängt: f ( S v 1 , S v 2 )
    Figure DE102021204409A1_0002
    Für n - 1 weitere Fahrzeuge, mit n - 1 > 1, kann sich weiterhin die folgende Abhängigkeit ergeben: f ( S v 1 , S v 2 , , S v n )
    Figure DE102021204409A1_0003
  • Eine solche Abhängigkeit ist in 4e skizziert.
  • Das elektronische Datensystem des Fahrzeugs kann ein Steuersystem umfassen (oder sein). Das Steuersystem kann z.B. ein CAN etc. sein. Mindestens ein Knotenpunkt der Menge der Knotenpunkte des elektronischen Datensystems kann eine elektronische Steuereinheit (ECU) sein. Die elektronische Steuereinheit kann dazu ausgelegt sein, das technische System, insbesondere das Fahrzeug, zu steuern oder zur Steuerung beizutragen. Die Menge der Knotenpunkte des elektronischen Datensystems des Fahrzeugs kann mindestens zwei Knotenpunkte (z.B. 2, 3, 4, 5, >5, >10, >20, >50, >100, >200) umfassen. Ebenso kann die Menge der Knotenpunkte des elektronischen Datensystems des (jeweiligen) weiteren Fahrzeugs mindestens zwei Knotenpunkte (z.B. 2, 3, 4, 5, >5, >10, >20, >50, >100, >200) umfassen. Die Menge der weiteren Fahrzeuge kann mindestens ein weiteres Fahrzeug (z.B. 1, >1, >5, >10, >100, >1e3, >1e4, >1e5, >1e6) umfassen.
  • Das Berechnen 120 des Fahrzeugzustandes auf Basis der Daten kann, wie in 3 schematisch dargestellt, Zuführen 122a der Daten in einen digitalen Zwilling des Fahrzeugs umfassen. Das Berechnen 120 kann weiterhin umfassen Berechnen 122b des Fahrzeugzustandes durch den digitalen Zwilling. Das Berechnen 120 kann weiterhin Speichern 122c des Fahrzeugzustandes im digitalen Zwilling umfassen.
    Für je ein weiteres Fahrzeug der Menge der weiteren Fahrzeuge, kann das Berechnen 121 des weiteren Fahrzeugzustandes auf Basis der weiteren Daten, wie in 3 schematisch dargestellt, Zuführen 123a der Daten in einen weiteren digitalen Zwilling des weiteren Fahrzeugs umfassen. Für je ein weiteres Fahrzeug der Menge der weiteren Fahrzeuge, kann das Berechnen 121 weiterhin Berechnen 123b des weiteren Fahrzeugzustandes durch den weiteren digitalen Zwilling umfassen. Für je ein weiteres Fahrzeug der Menge der weiteren Fahrzeuge, kann das Berechnen 121 weiterhin Speichern 123c des weiteren Fahrzeugzustandes in dem weiteren digitalen Zwilling.
  • Der digitale Zwilling kann eine digitale Repräsentation des Fahrzeugs sein. Ebenso kann jeder weitere digitale Zwilling eine digitale Repräsentation des jeweiligen weiteren Fahrzeugs sein. Die digitale Repräsentation kann jeweils eine Simulation umfassen, die dafür ausgelegt ist, ihre reale Entsprechung (d.h. das Fahrzeug bzw. das jeweilige weitere Fahrzeug) in dem für die Erkennung und/oder Bewertung des Eindringens relevanten Umfang auf Basis der (weiteren) Daten möglichst gut abzubilden. Zu je einem Zeitpunkt des Betriebs des (weiteren) Fahrzeugs kann die Simulation auf diesen Zeitpunkt ausgedehnt werden und gegebenenfalls mit den (weiteren) Daten abgeglichen werden. Der Vorteil kann zum Beispiel darin gesehen werden, dass so über einen Zeitraum ein Verständnis des Betriebs des (weiteren) Fahrzeugs) aufgebaut wird. Dadurch kann ein Eindringen verlässlicher als von einem (Echtzeit-)eindringungserkennungssystem erkannt und/oder bewertet werden. Wie in 1 dargestellt, kann (muss aber nicht) der digitale Zwilling (hier: digital twin 1) und/oder jeder weitere digitale Zwilling (hier: digital twin 2, ...) auf dem Server 200 implementiert sein. Im Falle des Speicherns 122c, 123c des (weiteren) Fahrzeugzustands kann der (weitere) digitale Zwilling als Zwischenspeicher fungieren. Weiterhin kann der/jeder weitere digitale Zwilling genutzt werden, um ein oder mehrere (weitere) Auswerteergebnisse zwischenzuspeichern. Zum Beispiel können (weitere) relevante Fahrsituationen abgespeichert werden, die in der Erkennung und/oder Bewertung von Eindringen als Vergleich herangezogen werden können. Alternativ kann der (weitere) digitale Zwilling auch im (weiteren) Fahrzeug implementiert sein.
  • Das Berechnen 120 des Fahrzeugzustands und/oder das Berechnen 121 jedes weiteren Fahrzeugzustands kann, wie in 4a-e dargestellt, durch eine ausgedrückt werden. Eine solche Abbildung kann (aber muss nicht) die Berechnungsvorschrift aus dem digitalen Zwilling bzw. aus dem jeweiligen weiteren digitalen Zwilling umfassen.
  • Wie in 3 schematisch dargestellt, kann das Verfahren 100 Empfangen 140 mindestens eines vorhergehenden Fahrzeugzustandes zu einem vorhergehenden Zeitpunkt, optional aus dem digitalen Zwilling umfassen. Hierbei kann das Erkennen 130a und/oder Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf mindestens einem (oder mehreren) vorhergehenden Fahrzeugzustand basieren.
  • Indem das Erkennen 130a und/oder Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf dem mindestens einen vorhergehenden Fahrzeugzustand basiert, kann das Ergebnis wiederum als Wert einer Funktion f ausgedrückt werden, die mindestens von dem Fahrzeugzustand Sv = Sv1 des Fahrzeugs und dem mindestens einen vorhergehenden Fahrzeugzustand Mv = Mv1 abhängt: f ( S v 1 , M v 1 )
    Figure DE102021204409A1_0004
  • Eine solche Abhängigkeit ist in 4c-d skizziert.
  • Basiert das Erkennen 130a und/oder Bewerten 130b des Eindringens auf mehreren vorhergehenden Fahrzuständen des Fahrzeugs kann die Auswahl dieser mehreren vorhergehenden Fahrzuständen durch eine Filterfunktion g implementiert werden, wobei das Objekt Mv1 (in einem Notationsmissbrauch) einen Vektor von vorhergehenden Fahrzeugzuständen darstellt. Weiterhin können zwischengespeicherte Auswerteergebnissse (z.B. abgespeicherte relevante Fahrsituationen) im Objekt Mv1 (in einem erneuten Notationsmissbrauch) und somit in der Erkennung und/oder Bewertung miteinbezogen werden. Die Abhängigkeit des Ergebnisses kann dann durch f ( S v 1 , g ( M v 1 ) )
    Figure DE102021204409A1_0005
    gegeben sein, siehe auch 4d.
  • Wie in 3 schematisch dargestellt, kann das Verfahren 100 Empfangen 141 mindestens eines vorhergehenden weiteren Fahrzeugzustandes zu einem vorhergehenden Zeitpunkt, optional aus dem weiteren digitalen Zwilling, umfassen. Hierbei kann das Erkennen 130a und/oder Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf mindestens einem vorhergehenden weiteren Fahrzeugzustand basieren.
  • Indem das Erkennen 130a und/oder Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf dem mindestens einen vorhergehenden weiteren Fahrzeugzustand basiert, kann das Ergebnis wiederum als Wert einer Funktion f ausgedrückt werden, die mindestens von dem Fahrzeugzustand Sv = Sv1 des Fahrzeugs und dem mindestens einen vorhergehenden weiteren Fahrzeugzustand Mv2 abhängt: f ( S v 1 , M v 2 )
    Figure DE102021204409A1_0006
  • Basiert das Erkennen 130a und/oder Bewerten 130b des Eindringens auf mehreren vorhergehenden weiteren Fahrzuständen des weiteren Fahrzeugs kann die Auswahl dieser mehreren vorhergehenden Fahrzuständen durch eine (weitere) Filterfunktion g implementiert werden, wobei das Objekt Mv2 (in einem Notationsmissbrauch) einen Vektor von vorhergehenden weiteren Fahrzeugzuständen des weiteren Fahrzeugs darstellt. Weiterhin können zwischengespeicherte weitere Auswerteergebnissse (z.B. abgespeicherte weitere relevante Fahrsituationen) im Objekt Mv2 (in einem erneuten Notationsmissbrauch) und somit in der Erkennung und/oder Bewertung miteinbezogen werden. Die Abhängigkeit des Ergebnisses kann dann durch f ( S v 1 , g ( M v 2 ) )
    Figure DE102021204409A1_0007
    gegeben sein.
  • Für n - 1 weitere Fahrzeuge, mit n - 1 > 1, können sich zum Beispiel weiterhin die folgenden Abhängigkeiten des Ergebnisses ergeben: f ( S v 1 , M v 1 , S v 2 , , S v n ) f ( S v 1 , M v 1 , S v 2 , M v 2 , , S v n )
    Figure DE102021204409A1_0008
     f ( S v 1 , M v 1 , S v 2 , M v 2 , , S v n , M v n ) f ( S v 1 , S v 2 , M v 2 , , S v n )
    Figure DE102021204409A1_0009
     f ( S v 1 , S v 2 , M v 2 , , S v n , M v n ) f ( S v 1 , g ( M v 1 ) , S v 2 , , S v n ) f ( S v 1 , g ( M v 1 ) , S v 2 , g ( M v 2 ) , , S v n )
    Figure DE102021204409A1_0010
     f ( S v 1 , g ( M v 1 ) , S v 2 , g ( M v 2 ) , , S v n , g ( M v n ) ) f ( S v 1 , S v 2 , g ( M v 2 ) , , S v n )
    Figure DE102021204409A1_0011
     f ( S v 1 , S v 2 , g ( M v 2 ) , , S v n , g ( M v n ) )
    Figure DE102021204409A1_0012
  • Wie in 3 schematisch dargestellt, kann das Verfahren 100 Empfangen 150 eines Anomaliestatus, der vom elektronischen Datensystem des Fahrzeugs (z.B. von einem Eindringenserkennungssystem im Fahrzeug) ermittelt worden ist, umfassen. Das Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs kann dann weiterhin zumindest auf dem Anomaliestatus basieren und umfassen: Bestätigen 131 des Anomaliestatus, optional Bestätigen des Eindringens, wenn das mindestens eine vorbestimmte Bewertungskriterium erfüllt ist. Das Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs kann weiterhin umfassen: Widerlegen des Anomaliestatus, optional Widerlegen des Eindringens, wenn das mindestens eine vorbestimmte Bewertungskriterium nicht erfüllt ist.
  • Der Anomaliestatus (oder jeder weitere Anomaliestatus, siehe unten) kann Informationen über die Erkennung und/oder Bewertung des Eindringens enthalten. Der Anomaliestatus (oder jeder weitere Anomaliestatus) kann das (vorläufige) Ergebnis eines Erkennens und/oder Bewertens eines Eindringens umfassen, insbesondere ein Ergebnis eines Eindringenserkennungssystem auf einer niedrigen Integratrionsstufe. Zum Beispiel kann der Anomaliestatus (oder jeder weitere Anomaliestatus) ein Bit für Eindringen/kein Eindringen umfassen. Alternativ oder zusätzlich kann der Anomaliestatus (oder jeder weitere Anomaliestatus) eine (quasi)kontinuierliche Zahl (z.B. im Interval der reellen Zahlen [0, 1]) umfassen, die mit der Wahrscheinlichkeit für ein Eindringen korreliert ist (z.B. 0 für Wahrscheinlichkeit 0 bzw. 1 für Wahrscheinlichkeit 1). Alternativ oder zusätzlich kann der Anomaliestatus (oder jeder weitere Anomaliestatus) ein Bit für Eindringen bestätigt/Eindringen nicht bestätigt umfassen. Alternativ oder zusätzlich kann der Anomaliestatus (oder jeder weitere Anomaliestatus) Maßnahmen z.B. durch eine numerische Kodierung von Routinen umfassen. Der Anomaliestatus (oder jeder weitere Anomaliestatus) kann eine Datenstruktur sein, die die Informationen codiert. Alternativ oder zusätzlich kann der Anomaliestatus (oder jeder weitere Anomaliestatus) ein numerisches Objekt wie z.B. eine Zahl, einen Vektor, eine Matrix, oder einen Tensor umfassen. Der Anomaliestatus (oder jeder weitere Anomaliestatus) kann als Byte- oder Bitsignalfolge kodiert sein. Der Anomaliestatus (oder jeder weitere Anomaliestatus) kann z.B. ein Anomaliewert oder ein Vektor, der mehrere Anomaliewerte und/oder Zwischenergebnisse von der Erkennung/Bewertung des Eindringens sein. Ob eine Anomalie vorliegt, kann dann von dem einen oder den mehreren Anomaliewerten abhängen (z.B. Anomaliewert 0 bedeutet keine Anomalie, Anomaliewert 1 dagegen bezeichnet eine Anomalie, Durchschnittswerte aus mehreren Anomaliewerten).
  • Indem das Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf dem mindestens einen Anomaliestatus basiert, kann das Ergebnis wiederum als Wert einer Funktion f ausgedrückt werden, die mindestens von dem Fahrzeugzustand Sv = Sv1 des Fahrzeugs und dem mindestens einen Anomaliezustand Av = Av1 abhängt: f ( S v 1 , A v 1 )
    Figure DE102021204409A1_0013
  • Eine solche Abhängigkeit ist in 4a skizziert.
  • Für n - 1 weitere Fahrzeuge, mit n - 1 > 1, können sich zum Beispiel weiterhin die folgenden Abhängigkeiten des Ergebnisses ergeben: f ( S v 1 , A v 1 , S v 2 , , S v n ) f ( S v 1 , M v 1 , A v 1 , S v 2 , , S v n ) f ( S v 1 , M v 1 , A v 1 , S v 2 , M v 2 , , S v n )
    Figure DE102021204409A1_0014
     f ( S v 1 , M v 1 , A v 1 , S v 2 , M v 2 , , S v n , M v n )
    Figure DE102021204409A1_0015
     f ( S v 1 , A v 1 , S v 2 , M v 2 , , S v n )
    Figure DE102021204409A1_0016
     f ( S v 1 , A v 1 , S v 2 , M v 2 , , S v n , M v n ) f ( S v 1 , g ( M v 1 ) , A v 1 , S v 2 , , S v n ) f ( S v 1 , g ( M v 1 ) , A v 1 , S v 2 , g ( M v 2 ) , , S v n )
    Figure DE102021204409A1_0017
     f ( S v 1 , g ( M v 1 ) , A v 1 , S v 2 , g ( M v 2 ) , , S v n , g ( M v n ) ) f ( S v 1 , A v 1 , S v 2 , g ( M v 2 ) , , S v n )
    Figure DE102021204409A1_0018
     f ( S v 1 , A v 1 , S v 2 , g ( M v 2 ) , , S v n , g ( M v n ) )
    Figure DE102021204409A1_0019
  • Wie in 3 schematisch dargestellt, kann das Verfahren 100 weiterhin umfassen: für je ein weiteres Fahrzeug einer (zweiten) Menge von weiteren Fahrzeugen, Empfangen 151 eines weiteren Anomaliestatus, der jeweils von einem elektronischen Datensystem des weiteren Fahrzeugs (z.B. von einem Eindringenserkennungssystem im weiteren Fahrzeug) ermittelt worden ist. Das Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs kann weiterhin zumindest auf mindestens einem weiteren Anomaliestatus basieren und umfassen: Bestätigen 132 des Anomaliestatus, optional Bestätigen des Eindringens, und/oder des mindestens einen weiteren Anomaliestatus, wenn das mindestens eine vorbestimmte Bewertungskriterium erfüllt ist. In diesem Fall muss nicht notwendigerweise ein Eindringen in das elektronische Datensystem des Fahrzeugs vorliegen. Stattdessen kann ein in einem weiteren Fahrzeug erkanntes und bestätigtes Eindringen präventiv in dem Fahrzeug verarbeitet werden. Zum Beispiel kann der Nutzer des Fahrzeugs vor einem möglichen Eindringen gewarnt werden und/oder dazu aufgefordert werden, den Service aufzusuchen (z.B. für ein Softwareupdate). Das Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs kann weiterhin umfassen: Widerlegen des mindestens einen weiteren Anomaliestatus, optional Widerlegen des Eindringens, wenn das mindestens eine vorbestimmte Bewertungskriterium nicht erfüllt ist. Die (zweite) Menge die weiteren Fahrzeuge kann muss aber nicht die Menge der weiteren Fahrzeuge sein.
  • Indem das Bewerten 130b des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf dem mindestens einen weiteren Anomaliestatus basiert, kann das Ergebnis wiederum als Wert einer Funktion f ausgedrückt werden, die mindestens von dem Fahrzeugzustand Sv = Sv1 des Fahrzeugs und dem mindestens einen weiteren Anomaliezustand Av2 abhängt: f ( S v 1 , A v 2 )
    Figure DE102021204409A1_0020
  • Für n - 1 weitere Fahrzeuge, mit n - 1 > 1, können sich zum Beispiel weiterhin die folgenden Abhängigkeiten des Ergebnisses ergeben: f ( S v 1 , A v 1 , A v 2 )
    Figure DE102021204409A1_0021
     f ( S v 1 , A v 1 , S v 2 , A v 2 )
    Figure DE102021204409A1_0022
     f ( S v 1 , S v 2 , A v 2 , , S v n )
    Figure DE102021204409A1_0023
     f ( S v 1 , A v 1 , S v 2 , A v 2 , , S v n )
    Figure DE102021204409A1_0024
  • Die letztgenannte Abhängigkeit ist in 4b dargestellt. Weitere Abhängigkeiten können sein: f ( S v 1 , M v 1 , S v 2 , A v 2 , S v n ) f ( S v 1 , M v 1 , S v 2 , M v 2 , A v 2 , S v n )
    Figure DE102021204409A1_0025
     f ( S v 1 , M v 1 , S v 2 , M v 2 , A v 2 , S v n , M v n ) f ( S v 1 , S v 2 , M v 2 , A v 2 , S v n )
    Figure DE102021204409A1_0026
     f ( S v 1 , S v 2 , M v 2 , A v 2 , S v n , M v n ) f ( S v 1 , g ( M v 1 ) , S v 2 , A v 2 , S v n ) f ( S v 1 , g ( M v 1 ) , S v 2 , g ( M v 2 ) , A v 2 , S v n )
    Figure DE102021204409A1_0027
     f ( S v 1 , g ( M v 1 ) , S v 2 , g ( M v 2 ) , A v 2 , , S v n , g ( M v n ) ) f ( S v 1 , S v 2 , g ( M v 2 ) , A v 2 , , S v n )
    Figure DE102021204409A1_0028
     f ( S v 1 , S v 2 , g ( M v 2 ) , A v 2 , , S v n , g ( M v n ) )
    Figure DE102021204409A1_0029
  • Das Erkennen 130a des Eindringens in das elektronische Datensystem des Fahrzeugs kann dann erfolgen, wenn das mindestens eine vorbestimmtes Erkennungskriterium erfüllt ist. Dagegen kann ein Nichteindringen vorliegen, wenn das mindestens eine vorbestimmte Erkennungskriterium nicht erfüllt ist.
  • Ein erkanntes 130a Eindringen und/oder ein bestätigtes (131, 132) Eindringen, optional ein bewertetes 130b Nicht-Eindringen, kann in das elektronische Datensystem des Fahrzeugs übermittelt werden. Im Falle eines erkannten 130a Eindringens und/oder eines bestätigten (131, 132) Eindringens kann mindestens ein Knotenpunkt, optional mindestens ein Steuergerät, des elektronischen Datensystem dazu veranlasst werden, einen Nutzer (z.B. einen Fahrer und/oder Insassen) des Fahrzeugs über das Eindringen zu informieren und/oder ein dem Eindringen entsprechendes Fahrmanöver (z.B. in Abhängigkeit des Ergebnisses) einzuleiten.
  • Wie in 3 schematisch dargestellt, kann das Empfangen 110 der Daten je Knotenpunkt der Menge der Knotenpunkte des elektronischen Datensystems des Fahrzeugs Empfangen 112a und Dekomprimieren 112b von komprimierten Daten je Knotenpunkt der Menge der Knotenpunkte des elektronischen Datensystems des Fahrzeugs umfassen. In diesem Fall werden die Daten im Fahrzeug vor dem Senden (zum Server 200) komprimiert. Die Komprimierung der Daten kann verlustfrei sein.
  • Für mindestens ein oder je ein weiteres Fahrzeug der Menge der weiteren Fahrzeuge, kann, wie ebenfalls in 3 schematisch dargestellt, das Empfangen 111 der weiteren Daten je Knotenpunkt der Menge der Knotenpunkte des elektronischen Datensystems des weiteren Fahrzeugs Empfangen 113a und Dekomprimieren 113b von verlustfrei komprimierten weiteren Daten je Knotenpunkt der Menge der Knotenpunkte des elektronischen Datensystems des weiteren Fahrzeugs umfassen. In diesem Fall werden die jeweiligen weiteren Daten im jeweiligen weiteren Fahrzeug vor dem Senden (zum Server 200) komprimiert. Die Komprimierung der weiteren Daten kann ebenfalls verlustfrei sein.
  • Das Komprimierung von Daten bzw. weiteren Daten kann, wie in 4a-e dargestellt, durch eine Abbildung h ausgedrückt werden. Die komprimierten Daten können mit Dv (oder Dv1 ) dargestellt werden.
  • Grundsätzlich können alle Daten (z.B. Ergebnis, Anomaliestatus, ...), die zwischen dem Fahrzeug und dem Server 200 bzw. zwischen einem weiteren Fahrzeug und dem Server 200 komprimiert übermittelt werden. Typischerweise beanspruchen Ergebnisse und/oder Anomaliestatus im Vergleich zu den (weiteren Daten) keine große Datengröße und müssen daher nicht komprimiert werden.
  • Offenbart wird weiterhin ein Server 200 in einem Netzwerk, der dafür ausgelegt ist, das computer-implementierte Verfahren 100 zur Erkennung und/oder Bewertung eines Eindringens in das elektronisches Datensystem eines Fahrzeugs auszuführen, wobei das elektronische Datensystem des Fahrzeugs und, optional, jedes elektronische Datensystem jedes weiteren Fahrzeuges der Menge der weiteren Fahrzeuge mit dem Netzwerk verbunden sind. In anderen Worten: der Server kann als ein Verbindungsglied zwischen den Fahrzeugen fungieren. Das Netzwerk kann zum Beispiel ein Funknetzwerk, insbesondere ein 4G, 5G, 6G, ... sein. Das Fahrzeug und/oder jedes weitere Fahrzeug kann jeweils eine Kommunikationsschnittstelle umfassen, die dafür ausgelegt ist mit dem Server 200 in dem Netzwerk (z.B. nach einem vorbestimmten Protokoll) zu kommunizieren. Dadurch können die Daten bzw. die weiteren Daten (z.B. verlustfrei komprimiert) an den Server 200 gesendet werden. Andererseits kann der Server 200 zum Beispiel das Ergebnis des Erkennens und/oder Bewertens des Eindringens in das Fahrzeug (oder in ein weiteres Fahrzeug) zurückübermitteln. Der Server 200 kann ein Cloud Server sein. Wie in 1 dargestellt, kann zum Beispiel das Vehicle Security Incident and Event Management (VSIEM) System auf dem Server 200 implementiert sein. Auch der digitale Zwilling (digital twin 1 in 1) des Fahrzeugs und, optional, jeder weitere digitale Zwilling (z.B. digital twin 2 in 1) je weiteren Fahrzeug kann auf dem Server 200 implementiert sein.
  • Der Server 200 kann dank einer größeren Rechen- und/oder Speicherkapazität zu einer verlässlicheren Erkennung und/oder Bewertung eines Eindringens führen. Über den Server 200 können weiterhin zusätzliche Daten (z.B. Software Update Policy, System-Identifizierer etc., präventiver Broadcast von Problemen der weiteren Fahrzeuge) mit dem Fahrzeug und/oder den (weiteren) Fahrzeugen ausgetauscht werden. Die zusätzlichen Daten können bei der Erkennung und/oder Bewertung des Eindringens in das elektronische Datensystem des Fahrzeugs berücksichtigt werden.
  • Offenbart wird weiterhin ein Fahrzeug (oder jedes weitere Fahrzeug), welches ein elektronisches Datensystem umfasst, das nach dem computer-implementierten Verfahren 100 zur Erkennung und/oder Bewertung eines Eindringens in das elektronisches Datensystem des Fahrzeugs gesichert ist.
  • Offenbart wird mindestens ein Computer-Programm, das dafür ausgelegt ist, das computer-implementierte Verfahren 100 zur Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs auszuführen. Das Computer-Programm kann z.B. in interpretierbarer oder in kompilierter Form vorliegen. Es kann (auch in Teilen) zur Ausführung z.B. als Bit- oder Byte-Folge in den RAM eines Steuergeräts oder Computer geladen werden, wobei ein Computer auch als Server 200 fungieren kann.
  • Offenbart wird weiterhin ein computer-lesbares Medium oder Signal, das das mindestens eine Computer-Programm speichert und/oder enthält. Das Medium kann z.B. eines von RAM, ROM, EPROM,... umfassen, in dem das Signal gespeichert wird.
  • Offenbart wird weiterhin ein Computersystem, das dafür ausgelegt ist, das Computer-Programm auszuführen. Das Computersystem kann insbesondere mindestens einen Prozessor und mindestens einen Arbeitsspeicher umfassen. Weiterhin kann das Computersystem einen Speicher umfassen. Das Computersystem kann sich über ein System aus dem Fahrzeug, optional weiteren Fahrzeugen und dem Server 200 erstrecken.

Claims (16)

  1. Computer-implementiertes Verfahren (100) zur Erkennung und/oder Bewertung eines Eindringens in ein elektronisches Datensystem eines Fahrzeugs, umfassend: - Empfangen (110) von Daten je Knotenpunkt einer Menge von Knotenpunkten des elektronischen Datensystems des Fahrzeugs; - Berechnen (120) eines Fahrzeugzustandes auf Basis der Daten; - Erkennen (130a) und/oder Bewerten (130b) des Eindringens in das elektronische Datensystem des Fahrzeugs zumindest auf Basis des Fahrzeugzustandes.
  2. Verfahren (100) nach Anspruch 1, weiterhin umfassend: - für je ein weiteres Fahrzeug einer Menge von weiteren Fahrzeugen, Empfangen (111) von weiteren Daten je Knotenpunkt einer Menge von Knotenpunkten eines elektronischen Datensystems des weiteren Fahrzeugs; - für je ein weiteres Fahrzeug der Menge von weiteren Fahrzeugen, Berechnen (121) eines weiteren Fahrzeugzustandes auf Basis der weiteren Daten des weiteren Fahrzeugs; und wobei das Erkennen (130a) und/oder Bewerten (130b) des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf mindestens einem weiteren Fahrzeugzustand basiert.
  3. Verfahren (100) nach Anspruch 1 oder 2, wobei das elektronische Datensystem des Fahrzeugs ein Steuersystem umfasst und mindestens ein Knotenpunkt der Menge der Knotenpunkte des elektronischen Datensystems eine elektronische Steuereinheit (ECU) ist.
  4. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die Menge der Knotenpunkte des elektronischen Datensystems des Fahrzeugs mindestens zwei Knotenpunkte umfasst.
  5. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die Menge der weiteren Fahrzeuge mindestens ein weiteres Fahrzeug umfasst.
  6. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei das Berechnen (120) des Fahrzeugzustandes auf Basis der Daten umfasst: - Zuführen (122a) der Daten in einen digitalen Zwilling des Fahrzeugs; - Berechnen (122b) des Fahrzeugzustandes durch den digitalen Zwilling; - optional, Speichern (122c) des Fahrzeugzustandes im digitalen Zwilling.
  7. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei, für je ein weiteres Fahrzeug der Menge der weiteren Fahrzeuge, das Berechnen (121) des weiteren Fahrzeugzustandes auf Basis der weiteren Daten umfasst: - Zuführen (123a) der Daten in einen weiteren digitalen Zwilling des weiteren Fahrzeugs; - Berechnen (123b) des weiteren Fahrzeugzustandes durch den weiteren digitalen Zwilling; - optional, Speichern (123c) des weiteren Fahrzeugzustandes in dem weiteren digitalen Zwilling.
  8. Verfahren (100) nach einem der vorhergehenden Ansprüche, umfassend: - Empfangen (140) mindestens eines vorhergehenden Fahrzeugzustandes zu einem vorhergehenden Zeitpunkt, optional aus dem digitalen Zwilling; wobei das Erkennen (130a) und/oder Bewerten (130b) des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf mindestens einem vorhergehenden Fahrzeugzustand basiert.
  9. Verfahren (100) nach einem der vorhergehenden Ansprüche, umfassend: - Empfangen (141) mindestens eines vorhergehenden weiteren Fahrzeugzustandes zu einem vorhergehenden Zeitpunkt, optional aus dem weiteren digitalen Zwilling; wobei das Erkennen (130a) und/oder Bewerten (130b) des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf mindestens einem vorhergehenden weiteren Fahrzeugzustand basiert.
  10. Verfahren (100) nach einem der vorhergehenden Ansprüche, weiterhin umfassend: - Empfangen (150) eines Anomaliestatus, der vom elektronischen Datensystem des Fahrzeugs ermittelt worden ist; und wobei das Bewerten (130b) des Eindringens in das elektronische Datensystem des Fahrzeugs weiterhin zumindest auf dem Anomaliestatus basiert und umfasst: - Bestätigen (131) des Anomaliestatus, optional Bestätigen des Eindringens, wenn ein mindestens ein vorbestimmtes Bewertungskriterium erfüllt ist.
  11. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei das Erkennen (130a) des Eindringens in das elektronische Datensystem des Fahrzeugs dann erfolgt, wenn mindestens ein vorbestimmtes Erkennungskriterium erfüllt ist.
  12. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei ein erkanntes (130a) Eindringen und/oder ein bestätigtes (131, 132) Eindringen, optional ein bewertetes (130b) Nicht-Eindringen, in das elektronische Datensystem des Fahrzeugs übermittelt wird.
  13. Verfahren (100) nach Anspruch 12, wobei im Falle eines erkannten (130a) Eindringens und/oder eines bestätigten (131, 132) Eindringens mindestens ein Knotenpunkt, optional mindestens ein Steuergerät, des elektronischen Datensystems dazu veranlasst wird, einen Nutzer des Fahrzeugs über das Eindringen zu informieren und/oder ein dem Eindringen entsprechendes Fahrmanöver einzuleiten.
  14. Server (200) in einem Netzwerk, der dafür ausgelegt ist, das computer-implementierte Verfahren (100) zur Erkennung und/oder Bewertung eines Eindringens in das elektronische Datensystem eines Fahrzeugs nach einem der vorhergehenden Ansprüche auszuführen, wobei das elektronische Datensystem des Fahrzeugs und, optional, jedes elektronische Datensystem jedes weiteren Fahrzeuges der Menge der weiteren Fahrzeuge mit dem Netzwerk verbunden sind.
  15. Server (200) nach Anspruch 14, wobei der digitale Zwilling des Fahrzeugs und, optional, jeder weitere digitale Zwilling je weiteren Fahrzeug auf dem Server (200) implementiert sind.
  16. Fahrzeug, welches ein elektronisches Datensystem umfasst, das nach dem computer-implementierten Verfahren (100) zur Erkennung und/oder Bewertung eines Eindringens in das elektronische Datensystem des Fahrzeugs nach einem der Ansprüche 1 bis 13 gesichert ist.
DE102021204409.3A 2021-05-03 2021-05-03 Erkennung/bewertung eines eindringens in ein elektronisches datensystem eines fahrzeugs Pending DE102021204409A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102021204409.3A DE102021204409A1 (de) 2021-05-03 2021-05-03 Erkennung/bewertung eines eindringens in ein elektronisches datensystem eines fahrzeugs
US17/660,469 US20220350882A1 (en) 2021-05-03 2022-04-25 Detection/assessment of an intrusion into an electronic data system of a vehicle
CN202210465585.9A CN115292699A (zh) 2021-05-03 2022-04-29 识别/评价对车辆的电子数据系统的入侵
JP2022075715A JP2022172456A (ja) 2021-05-03 2022-05-02 車両の電子データシステムへの侵入の検知/評価

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021204409.3A DE102021204409A1 (de) 2021-05-03 2021-05-03 Erkennung/bewertung eines eindringens in ein elektronisches datensystem eines fahrzeugs

Publications (1)

Publication Number Publication Date
DE102021204409A1 true DE102021204409A1 (de) 2022-11-03

Family

ID=83600901

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021204409.3A Pending DE102021204409A1 (de) 2021-05-03 2021-05-03 Erkennung/bewertung eines eindringens in ein elektronisches datensystem eines fahrzeugs

Country Status (4)

Country Link
US (1) US20220350882A1 (de)
JP (1) JP2022172456A (de)
CN (1) CN115292699A (de)
DE (1) DE102021204409A1 (de)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020530624A (ja) * 2017-08-10 2020-10-22 アーガス サイバー セキュリティ リミテッド 車載ネットワークに接続された構成要素の悪用を検出するシステムおよび方法
US11468215B2 (en) * 2018-06-13 2022-10-11 Toyota Jidosha Kabushiki Kaisha Digital twin for vehicle risk evaluation
US20220242419A1 (en) * 2019-07-24 2022-08-04 C2A-Sec, Ltd. Intrusion anomaly monitoring in a vehicle environment

Also Published As

Publication number Publication date
US20220350882A1 (en) 2022-11-03
JP2022172456A (ja) 2022-11-16
CN115292699A (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
DE102020209680B3 (de) Signalverarbeitungspfad, Vorrichtung zur Umfelderkennung und Verfahren zur Validierung eines automatisiert betreibbaren Fahrsystems
DE112017006282T5 (de) Steuervorrichtung, Steuersystem, Steuerverfahren und Speichermedium
DE102018127059A1 (de) Verfahren zur Überprüfung mindestens eines Umfelderfassungssensors eines Fahrzeugs
DE102019115356A1 (de) Fahrzeugfehler-grundursachendiagnose
DE102018220711A1 (de) Messung der Anfälligkeit von KI-Modulen gegen Täuschungsversuche
DE102018220865A1 (de) Verfahren zum Trainieren wenigstens eines Algorithmus für ein Steuergerät eines Kraftfahrzeugs, Computerprogrammprodukt sowie Kraftfahrzeug
DE102017214661A1 (de) Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE102017214531A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs in einem automatisierten Fahrbetrieb sowie Kraftfahrzeug
DE102018209250A1 (de) Steuereinrichtung, Verfahren zur Steuerung eines Steuergeräts, computerlesbares Speichermedium und Steuersystem
WO2008095518A1 (de) Anwendung einer verteilten diagnosearchitektur in autosar
DE112020005622B4 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Computerprogramm
DE102021125867A1 (de) Automatisierte detektion von fahrzeugdatenmanipulation und mechanischen ausfällen
DE102021204409A1 (de) Erkennung/bewertung eines eindringens in ein elektronisches datensystem eines fahrzeugs
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102017221971A1 (de) Verfahren zur Anpassung eines Fahrzeugregelsystems
DE102019201953B4 (de) Verfahren und Detektionsvorrichtung zum Detektieren eines Eingriffs in ein Kraftfahrzeug sowie Kraftfahrzeug mit einer Detektionsvorrichtung
DE102021203435A1 (de) Verfahren zum Aktualisieren eines Betriebsprogramms zum Betrieb und/oder zur Ansteuerung einer Fahrzeugkomponente eines Fahrzeugs, insbesondere eines Lenksystems des Fahrzeugs
EP3488303B1 (de) Überwachen einer anzeige eines führerstands eines verkehrsmittels
DE102019219667B3 (de) Computerprogrammprodukt für ein Peer-to-Peer Computernetzwerk
DE102017003773A1 (de) Verfahren zur Überwachung
DE102022205084B3 (de) Verfahren, Computerprogramm und Vorrichtung zur Umfeldwahrnehmung im Fahrzeug sowie entsprechendes Fahrzeug
DE102017000693A1 (de) Vorrichtung und Verfahren zum Überwachen eines automatisierten Fahrzeugs in einem Verkehrssystem
DE102022120472A1 (de) Verfahren zum Bestimmen einer Güte einer Umgebungserfassung eines zumindest teilweise autonom betriebenen Kraftfahrzeugs mittels eines Assistenzsystems sowie Assistenzsystem
DE102022127015A1 (de) Konzept der integralen Sicherheit mit erweitertem Wirkungsbereich