DE112020003658T5 - Sdn-basiertes eindringungsverhinderungsverfahren für ein fahrzeuginternesnetz und system, das dieses verfahren verwendet - Google Patents

Sdn-basiertes eindringungsverhinderungsverfahren für ein fahrzeuginternesnetz und system, das dieses verfahren verwendet Download PDF

Info

Publication number
DE112020003658T5
DE112020003658T5 DE112020003658.8T DE112020003658T DE112020003658T5 DE 112020003658 T5 DE112020003658 T5 DE 112020003658T5 DE 112020003658 T DE112020003658 T DE 112020003658T DE 112020003658 T5 DE112020003658 T5 DE 112020003658T5
Authority
DE
Germany
Prior art keywords
sdn
flow
flow table
packet
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020003658.8T
Other languages
English (en)
Inventor
Huy Kang Kim
Seong Hoon JEONG
Seung Wook Park
Wha Pyeong Lim
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hyundai Motor Co
Korea University Research and Business Foundation
Kia Corp
Original Assignee
Hyundai Motor Co
Korea University Research and Business Foundation
Kia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020200095519A external-priority patent/KR20210015705A/ko
Application filed by Hyundai Motor Co, Korea University Research and Business Foundation, Kia Corp filed Critical Hyundai Motor Co
Publication of DE112020003658T5 publication Critical patent/DE112020003658T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Es werden ein System zur Verhinderung von Eindringungen und ein Verfahren zum Erkennen und Reagieren auf ein Eindringen in ein Fahrzeug mittels eines SDN-Unterstützungsschalters, der in einem fahrzeuginternen Netzwerk, IVN, installiert ist, und eines SDN-Controllers, der mit dem SDN-fähigen Schalter kommuniziert, bereitgestellt, wobei das Verfahren darin besteht, dass der SDN-Controller eine FlussTabelle von dem SDN-fähigen Schalter empfängt, ein Eindringungserkennungssystem, IDS, in die Lage versetzt, eine Eindringungserkennung durchzuführen, und die FlussTabelle auf der Grundlage des Ergebnisses der Ausführung der Eindringungserkennung aktualisiert.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung bezieht sich auf eine Technologie zur Erkennung und Blockierung eines Eindringens oder Angriffs auf ein bordeigenes Netzwerk (IVN).
  • HINTERGRUND
  • Die in diesem Abschnitt beschriebenen Inhalte liefern lediglich Hintergrundinformationen für die vorliegende Ausführungsform und stellen keinen verwandten Stand der Technik dar.
  • Es wurden Nutzfahrzeuge entwickelt, die die Vehicle-to-Everything-Kommunikation (V2X) und netzbasierte Technologien für autonomes Fahren nutzen. Nutzfahrzeuge, die über V2X-Kommunikation und ein bordeigenes Netzwerk verfügen, sind jedoch anfällig für Angriffe durch eindringende Kommunikationsnetzwerke oder Netzwerkkommunikation. 1 ist ein Diagramm, das die Klassifizierung der Arten von Sicherheitsbedrohungen in Fahrzeugen veranschaulicht. Zu den Angriffen, die die Sicherheit von Fahrzeugen bedrohen, gehören Angriffe, bei denen Privilegien gestohlen werden, Angriffe, bei denen keine Privilegien gestohlen werden, externe Angriffe, die auf Angriffsquellen basieren, und interne Angriffe auf fahrzeuginterne Elemente. Interne Angriffe werden in der Regel von Angreifern durchgeführt, indem sie sich physisch Zugang zu einem Zielfahrzeug verschaffen, um konkreten Schaden anzurichten, während externe Angriffe hauptsächlich sensorbasierte Systeme wie RF-Kommunikation über kurze Entfernungen, schlüssellose Zugangssysteme oder Reifendrucküberwachungssysteme verwenden, so dass ihr Gewicht begrenzt ist. In dem Maße, in dem die fahrzeuginterne Konnektivität im IVN-Umfeld und die fahrzeugübergreifende Konnektivität im V2X-Umfeld zunehmen, werden die Auswirkungen externer Angriffe auf Fahrzeuge jedoch voraussichtlich steigen.
  • Selbst wenn ein Angriff oder ein Eindringen richtig erkannt wird, stellt sich das Problem, wie man den Angriff oder das Eindringen als Reaktion darauf abschwächen kann. Die bisher vorgeschlagenen Entschärfungsmethoden waren keine geeigneten Alternativen für Angriffe auf IVN-Fahrzeuge.
  • Mit anderen Worten, es fehlt an der Entwicklung eines technischen Rahmens für die Erkennung von und die angemessene Reaktion auf Fahrzeugrisiken, die V2X und IVN unterstützen. Derzeit unterstützt ein in ein Fahrzeug eingebautes Eindringungserkennungssystem (Intrusion Detection System; IDS) aufgrund der begrenzten Rechenleistung eines Fahrzeugsystems nur einfache Algorithmen. Daher ist es notwendig, ein System zur Erkennung von Eindringungen (oder zur Verhinderung von Eindringungen) zu entwickeln, das ein Eindringen erkennt und eine Reaktion bzw. Antwort vorschlägt, und die Beschränkungen dieser Rechenleistung zu überwinden.
  • ZUSAMMENFASSUNG
  • [Technisches Problem]
  • Die vorliegende Offenbarung stellt ein Verfahren zur Erkennung und Verhinderung eines Angriffs auf ein Ethernet-basiertes In-Vehicle-Network (IVN) unter Verwendung von Software-Defined-Networking (SDN)-Technologie und ein System zur Verfügung, das dieses Verfahren verwendet.
  • [Technische Lösung]
  • Gemäß einem Aspekt der vorliegenden Offenbarung wird ein System zur Verhinderung von Eindringungen in ein fahrzeuginternes Netzwerk (IVN) bereitgestellt. Das System zur Verhinderung von Eindringungen umfasst einen Software-defined Networking (SDN)-fähigen Switch, der in dem IVN eines Fahrzeugs installiert und so konfiguriert ist, dass er den Fluss eines ankommenden Pakets durch Bezugnahme auf einen Flusseintrag aus einer Flusstabelle steuert, und einen SDN-Controller, der so konfiguriert ist, dass er mit dem SDN-fähigen Switch kommuniziert, die Flusstabelle in einem bestimmten Zeitintervall T von dem SDN-fähigen Switch empfängt, um eine Überwachung durchzuführen, und ein Überwachungsergebnis an den SDN-fähigen Switch überträgt. Der SDN-Controller ist ferner so konfiguriert, dass er die Flow-Tabelle (Flusstabelle) an ein Eindringungserkennungssystem (IDS) überträgt, so dass das IDS eine Eindringungserkennung durchführt, und als Überwachungsergebnis ein Ergebnis der Durchführung der Eindringungserkennung von dem IDS empfängt.
  • Gemäß einem anderen Aspekt der vorliegenden Offenbarung wird ein Verfahren zum Erkennen und Verhindern eines Fahrzeugeindringens unter Verwendung eines SDN-fähigen Switches, der in einem fahrzeuginternen Netzwerk (IVN) eines Fahrzeugs installiert ist, und eines SDN-Controllers, der sich entfernt vom Fahrzeug befindet, bereitgestellt. Das Verfahren umfasst das Übertragen einer Flusstabelle durch den SDN-fähigen Switch an den SDN-Controller in einem bestimmten Zeitintervall T; das Empfangen der Flusstabelle durch den SDN-Controller und das Übertragen der empfangenen Flusstabelle an ein Eindringungserkennungssystem (IDS); und das Aktivieren des IDS durch den SDN-Controller, um eine Eindringungserkennung auf der Grundlage aller oder einiger Felder jedes in der Flusstabelle enthaltenen Flusseintrags durchzuführen, und das Empfangen eines Ergebnisses der Eindringungserkennung von dem IDS durch den SDN-Controller. Das Verfahren umfasst ferner das Übertragen einer Paketausgangsnachricht (Paket-Out-Nachricht), die das Ergebnis der Eindringungserkennung enthält, durch den SDN-Controller an den SDN-fähigen Switch; und das Aktualisieren der Flusstabelle auf der Grundlage der Paketausgangsnachricht durch den SDN-fähigen Switch.
  • [Vorteilhafte Effekte]
  • Ein SDN-Switch der vorliegenden Offenbarung kann gleichzeitig den in ein IVN fließenden Verkehr überwachen und blockieren. Das heißt, der SDN-Switch kann selektiv Verkehr blockieren, der als Angriff identifiziert wurde, während er den in ein Fahrzeug fließenden Verkehr auf der Grundlage einer Flusstabelle überwacht.
  • Da gemäß der vorliegenden Offenbarung nicht im IVN, sondern aus der Ferne bestimmt wird, ob es sich bei einem in ein Fahrzeug eindringenden Paket um ein Eindringungspaket handelt und welche Flusssteuerungsmaßnahme auszuführen ist, kann ein Eindringungspaket auf der Grundlage einer hochleistungsfähigen Erkennungstechnologie, die eine hohe Rechenleistung erfordert, z. B. Deep Learning oder eine Methode der künstlichen Intelligenz, unabhängig von der internen Umgebung des Fahrzeugs erkannt werden, und es kann ein geeigneter Antwortbefehl entsprechend einem Erkennungsergebnis ausgegeben werden. Darüber hinaus ermöglicht ein System zur Erkennung von Eindringungen außerhalb des Fahrzeugs eine Änderung oder Aktualisierung eines Erkennungsalgorithmus oder -modells in Echtzeit unabhängig von der Fahrzeugumgebung.
  • Außerdem kann der interne Verkehr mehrerer Fahrzeuge gleichzeitig und umfassend an einem Ort überwacht werden. Dies ermöglicht eine präzisere Angriffserkennung, indem vage Anomalien erfasst werden, die bei einem einzelnen Fahrzeug schwer zu erkennen sind, und die erfassten Anomalien mit dem normalen Verkehr anderer Fahrzeuge verglichen werden.
  • Die Technologie der vorliegenden Offenbarung kann auch durch Hinzufügen eines SDN-Geräts zu einem gemeinsamen Switch in einem bestehenden Ethernet-basierten Fahrzeug angewendet werden. Dementsprechend kann die Technologie der vorliegenden Offenbarung angewandt werden, während eine Änderung der Topologie des Ethernet-basierten IVN minimiert wird.
  • Figurenliste
    • 1 ist ein Diagramm, das die Klassifizierung der Arten von Sicherheitsbedrohungen in Fahrzeugen veranschaulicht.
    • 2 ist ein konzeptionelles Diagramm, das die Architektur eines typischen Software-Defined Networking (SDN) veranschaulicht.
    • 3 zeigt einen SDN-Controller und ein SDN-Gerät, die ein SDN-System bilden, sowie ein Konfigurationsfeld eines Flusseintrags, der eine im SDN-Gerät installierte Flusstabelle konfiguriert.
    • 4 ist ein konzeptionelles Diagramm, das schematisch den Aufbau eines Systems zur Verhinderung von Eindringungen gemäß einer Ausführungsform der vorliegenden Offenbarung zeigt.
    • 5A und 5B sind Diagramme, die eine beispielhafte Topologie eines fahrzeuginternen Netzwerks (IVN) gemäß einer Ausführungsform der vorliegenden Offenbarung zeigen.
    • 6A und 6B sind Diagramme, die eine Topologie der Steuerebene einer zentralisierten und verteilten Struktur eines Eindringungsverhinderungssystems (Intrusion Prevention System) gemäß einer Ausführungsform der vorliegenden Offenbarung zeigen.
    • 7A und 7B sind Diagramme, die eine Topologie eines Eindringungserkennungssystems (IDS) veranschaulichen, das auf ein Eindringungsverhinderungssystem gemäß einer Ausführungsform der vorliegenden Offenbarung anwendbar ist.
    • 8 ist ein Diagramm, das ein Anwendungsszenario zeigt, das die Nützlichkeit eines Systems zur Verhinderung von Eindringungen gemäß der vorliegenden Offenbarung unterstützt.
    • 9A und 9B sind Flussdiagramme, die ein datengesteuertes Verfahren zur Erkennung und Verhinderung von Eindringungen gemäß der vorliegenden Ausführungsform veranschaulichen.
  • BESCHREIBUNG DER BEISPIELHAFTEN AUSFÜHRUNGEN
  • Nachfolgend werden einige Ausführungsformen der vorliegenden Offenbarung unter Bezugnahme auf die beigefügten Zeichnungen im Detail beschrieben. Es ist zu beachten, dass beim Hinzufügen von Bezugszeichen zu den einzelnen Elementen in den jeweiligen Zeichnungen gleiche Bezugszeichen gleiche Elemente bezeichnen, auch wenn die Elemente in verschiedenen Zeichnungen dargestellt sind. Ferner wird in der folgenden Beschreibung der vorliegenden Offenbarung auf eine detaillierte Beschreibung bekannter Funktionen und Konfigurationen verzichtet, um den Gegenstand der vorliegenden Offenbarung nicht zu verdecken.
  • Darüber hinaus werden verschiedene Ausdrücke wie „erster“, „zweiter“, „A“, „B“, „a“, „b“ usw. nur zur Unterscheidung zwischen den einzelnen Komponenten verwendet, nicht aber, um die Substanzen, die Reihenfolge oder die Abfolge der Komponenten zu implizieren oder anzudeuten. Wenn in dieser Beschreibung ein Teil eine Komponente „enthält“ oder „umfasst“, bedeutet dies, dass das Teil auch andere Komponenten einschließt und nicht ausschließt, es sei denn, es wird ausdrücklich etwas anderes angegeben. Die Begriffe wie „Einheit“, „Modul“ und dergleichen beziehen sich auf eine oder mehrere Einheiten zur Verarbeitung mindestens einer Funktion oder eines Vorgangs, die durch Hardware, Software oder eine Kombination davon implementiert sein können.
  • Die ausführliche Beschreibung, die im Folgenden unter Bezugnahme auf die beiliegenden Zeichnungen angegeben wird, soll beispielhafte Ausführungsformen der vorliegenden Erfindung erläutern und nicht die einzigen Ausführungsformen zeigen, die gemäß der vorliegenden Erfindung realisiert werden können.
  • Die vorliegende Offenbarung bezieht sich im Allgemeinen auf ein Verfahren zur Verhinderung von Eindringungen und ein System zur Verhinderung von Eindringungen, um einen Angriff auf ein Ethernet-basiertes bordeigenes bzw. fahrzeuginternes Netzwerk (IVN) unter Verwendung einer Software-definierten Netzwerktechnologie (SDN) zu erkennen und darauf zu reagieren.
  • SDN ist eine Technologie, die den Steuerungsteil von Netzwerkgeräten wie Switches und Routern vom Datenübertragungsteil der Netzwerkgeräte trennt und offene Schnittstellen für die Definition von Funktionen der Netzwerkgeräte bereitstellt, was die Entwicklung von Software ermöglicht, die verschiedene Netzwerkpfade und den Fluss des Netzwerkverkehrs über die offenen Schnittstellen einstellen, steuern und verwalten kann.
  • 2 ist ein konzeptionelles Diagramm, das die Architektur eines typischen SDN zeigt. Die SDN-Architektur besteht aus drei Schichten, darunter eine Anwendungsschicht, eine Steuerungsschicht und eine Infrastrukturebene. Die Anwendungsschicht, die Steuerungsschicht und die Infrastrukturebene werden auch als Anwendungsebene, Steuerungsebene bzw. Infrastrukturebene (oder Datenebene) bezeichnet. Diese Schichten kommunizieren über offene Schnittstellen miteinander. Eine offene Schnittstelle zwischen der Anwendungs- und der Steuerungsebene, die als „Northbound-API“ bezeichnet wird, ist eine API, die die Entwicklung von Anwendungen mit verschiedenen Funktionen und die Kommunikation mit anderen Betriebstools ermöglicht, wobei in der Northbound-API im Allgemeinen Restful-APIs verwendet werden. Eine offene Schnittstelle zwischen der Steuerungsschicht und der Infrastrukturebene, die als „Southbound-API“ bezeichnet wird, ist eine Schnittstelle für die Weiterleitungssteuerung, das Sammeln von Informationen usw. und kann z. B. OpenFlow, OF-config, Netconf usw. umfassen.
  • 3 zeigt ein SDM-System mit einem SDN-Controller und einem SDN-Gerät sowie Felder eines Satzes von Flusseinträgen, die in einer im SDN-Gerät installierten Flusstabelle enthalten sind. Der SDN-Controller, der eine logische Einheit ist, befindet sich in der Steuerebene des SDN-Systems, und das SDN-Gerät, das eine Hardware-Vorrichtung ist, befindet sich in der Datenebene. Die im SDN-Gerät eingebaute Flow-Tabelle (Flusstabelle) enthält die folgenden drei Hauptfelder, um ein vom SDN-Gerät empfangenes Paket zu verarbeiten. Die Hauptfelder umfassen Paketheaderinformationen (Regelfeld), die einen Fluss definieren, ein AKTION-Feld, das angibt, wie ein Paket zu verarbeiten ist, und ein STATS-Feld, das Statistiken für jeden Fluss darstellt. Ein Controller kann Flow-Tabellen in einem Switch mithilfe der Southbound-API erstellen, die eine Funktion zur Registrierung eines neuen Flows (Flusses) oder zum Löschen eines Flows enthält.
  • 4 ist ein konzeptionelles Diagramm, das schematisch die Struktur eines Eindringungsverhinderungssystems (IPS) gemäß einer Ausführungsform der vorliegenden Offenbarung zeigt.
  • Wie oben beschrieben, nutzt das Eindringungsverhinderungssystem 400 der vorliegenden Offenbarung die SDN-Technologie. Da es sich bei einem SDN um eine virtualisierte Architektur handelt, ist es nicht notwendig, die Komponenten physisch an einem Ort zu platzieren. Gemäß dem Eindringungsverhinderungssystem 400 der vorliegenden Offenbarung ist ein fahrzeuginternes Netzwerk (IVN) mit einem SDN-fähigen Switch (kurz SDN-Switch) 410 auf der Datenebene des SDN-Systems, ein SDN-Controller 420 auf der Steuerungsebene des SDN-Systems und ein Eindringungserkennungssystem (IDS) 430 auf der Anwendungsebene des SDN-Systems angeordnet.
  • Das Eindringungsverhinderungssystem (Intrusion-Prevention-System) 400 trennt vom IVN eine logische oder physische Einheit, die durch Analyse des Zustands eines Fahrzeugs, in dem Verkehr stattfindet, und der Verkehrsstatistiken feststellt, ob ein Eindringen vorliegt, und entsprechend dem Ergebnis der Feststellung eine Reaktion bestimmt. Ein Betriebsgegenstand des IDS 430 kann sich von einem Betriebsgegenstand des SDN-Controllers 420 unterscheiden.
  • Der im IVN vorgesehene SDN-fähige Switch 410 steuert den im IVN stattfindenden oder in das IVN fließenden Verkehr auf der Grundlage der Flusstabelle. Der SDN-Controller 420, der sich entfernt vom Fahrzeug befindet und über V2I-Kommunikation mit dem Fahrzeug verbunden ist, empfängt periodisch die Flusstabelle in einem bestimmten Zeitintervall vom SDN-fähigen Switch 410 und erhält als Ergebnis der Überwachung der empfangenen Flusstabelle ein Ergebnis der Durchführung der Eindringungserkennung vom IDS 430, damit der SDN-fähige Switch 410 die Flusstabelle aktualisieren kann.
  • Im Folgenden werden die Funktionen und der Betrieb des SDN-fähigen Switches 410, des SDN-Controllers 420 und des IDS 430 im vorgeschlagenen Eindringungsverhinderungssystem 400 im Detail beschrieben.
  • Der SDN-fähige Switch 410 ist im Fahrzeug angebracht und steuert den Fluss des gesamten Datenverkehrs oder der Pakete (im Folgenden zusammenfassend als „Pakete“ bezeichnet), die in der IVN- oder V2X-Kommunikation des Fahrzeugs fließen. Der SDN-fähige Switch 410 kann ein SDN-Switch oder ein gewöhnlicher Switch sein, der mit einem SDN-Gerät kombiniert ist, um in einer SDN-Umgebung zu arbeiten, ist aber nicht darauf beschränkt. Beispielsweise kann der SDN-fähige Switch 410 gemäß der vorliegenden Ausführungsform ein beliebiger Switch (z.B. ein Schalter oder eine Vermittlungsstelle) sein, solange der Switch in der Lage ist, einen Fluss von Paketen zu steuern, die in einem IVN eines Fahrzeugs oder in einer V2X-Umgebung erzeugt werden, und mit dem SDN-Controller 420 der Steuerungsebene zu kommunizieren.
  • Der SDN-fähige Switch 410 steuert die Pakete, die in den SDN-fähigen Switch 410 fließen, mithilfe der Flow-Tabelle. Gemäß einem Aspekt dieser Ausführungsform vergleicht der SDN-fähige Switch 410 paketbezogene Daten wie z. B. Portinformationen mit einem Regelfeld jedes Flusseintrags in der Flusstabelle und extrahiert dann einen Flusseintrag, der mit einem bestimmten Paket übereinstimmt, oder verweist auf einen solchen. Ein solcher Abgleich variiert in Abhängigkeit von einer Spezifikation der nach Süden gerichteten Southbound-API, die einem Kommunikationsprotokoll zwischen dem SDN-fähigen Switch 410 und dem SDN-Controller 420 entspricht. Wie in 4 dargestellt, kann das Regelfeld des Flusseintrags beispielsweise einen Switch-Port, eine MAC-Quelle (Mac src), einen Ethernet-Typ (Eth type), eine VLAN-ID, eine IP-Quelle (IP src) usw. enthalten. In diesem Fall kann eine Übereinstimmung zwischen Paketdaten und einem Flusseintrag festgestellt werden, wenn (1) alle übereinstimmen, (2) innerhalb eines vorgegebenen Bereichs übereinstimmen oder (3) mehr als eine vorgegebene Anzahl von Übereinstimmungen in Bezug auf die Spezifikation des Regelfeldes vorliegen. In diesem Fall kann es eine Vielzahl von Flusseinträgen geben, die mit dem gegebenen Paket übereinstimmen.
  • Wenn es einen Flusseintrag gibt, der mit dem eingehenden Paket übereinstimmt, extrahiert der SDN-fähige Switch 410 den Flusseintrag und führt einen Befehl eines Aktionsfeldes des Flusseintrags aus. Gemäß einem Aspekt der vorliegenden Ausführungsform kann der SDN-fähige Switch 410, wenn es eine Vielzahl von Flusseinträgen gibt, die mit dem eingehenden Paket übereinstimmen, auf ein Prioritätsfeld verweisen, das in jedem Flusseintrag enthalten ist, und einen Flusseintrag mit der höchsten Priorität unter der Vielzahl von Flusseinträgen extrahieren.
  • Die Übertragung aller Pakete, die in den SDN-fähigen Switch 410 fließen, an den SDN-Controller 420 kann eine Verletzung der Privatsphäre und eine Verschwendung von Ressourcen verursachen. Daher kann gemäß einem Aspekt der vorliegenden Ausführungsform eine Paket-Eingangsnachricht (Paket-In-Nachricht), die das ankommende Paket enthält, an den SDN-Controller 420 übertragen werden, wenn die Paketsteuerung nicht nur unter Verwendung der Flusstabelle durchgeführt werden kann, wie z. B. in einem Fall, in dem es keinen Flusseintrag gibt, der auf das ankommende Paket abgestimmt ist, und in einem Fall, in dem eine Gültigkeitsdauer des abgestimmten Flusseintrags bereits ausgelaufen ist. Die Paket-Eingangsnachricht kann in Übereinstimmung mit einer Schnittstelle erzeugt werden, die von dem SDN-fähigen Switch 410 und dem SDN-Controller 420 verwendet wird. Der SDN-Controller 420 kann an den SDN-fähigen Switch 410 eine Packet-Out-Nachricht (Paket-Ausgangsnachricht) senden, die das in der Packet-In-Nachricht enthaltene Paket und eine Weiterleitungsaktion (Forward-Aktion) enthält. Der SDN-fähige Switch 410 steuert das eingeleitete Paket ordnungsgemäß, indem er die Flow-Tabelle auf der Grundlage der empfangenen Paket-Out-Nachricht aktualisiert.
  • Alternativ kann der SDN-fähige Switch 410 ein datengesteuerte Erkennungsverfahren anwenden, bei der die Funktion des SDN-fähigen Switches 410 verwendet wird, die alle Paketdaten auf der Grundlage der Flusstabelle steuert bzw. kontrolliert. Bei dem datengesteuerten Erkennungsverfahren überträgt der SDN-fähige Switch 410 die Flusstabelle in einem bestimmten Zeitintervall „T“ oder als Antwort auf eine in einem bestimmten Zeitintervall „T“ empfangene Abfrage zur Anforderung der Flusstabelle vom SDN-Controller 420 an den SDN-Controller 420, so dass eine Eindringungserkennung durchgeführt werden kann, und der SDN-fähige Switch 410 empfängt ein Ergebnis der Eindringungserkennung vom SDN-Controller 420 und aktualisiert die Flusstabelle auf der Grundlage des Ergebnisses der Eindringungserkennung. Bei dem datengesteuerten Erkennungsverfaqhren werden die Paketsteuerung und die Eindringungserkennung getrennt durchgeführt.
  • Hier kann das Zeitintervall „T“, in dem der SDN-Controller 420 die Flusstabelle empfängt, auf der Grundlage aller oder eines Teils der internen oder externen Umgebung des Fahrzeugs, einer Fahrumgebung, der vom IDS 430 verwendeten Methode zur Erkennung von Eindringungen und des Ergebnisses der Erkennung von Eindringungen eingestellt oder zurückgesetzt werden. Das Setzen oder Zurücksetzen des Zeitintervalls „T“ kann von dem SDN-fähigen Schalter 410 auf der Grundlage der von dem SDN-Controller 420 empfangenen Paketausgangsnachricht bestimmt werden, kann von dem SDN-Controller 420 auf der Grundlage der Überwachung der empfangenen Paketeingangsnachricht oder des Paketflusses bestimmt werden oder kann von dem IDS 430 bestimmt werden.
  • Die Paketausgangsnachricht (Paket-Out-Nachricht) kann ein Ergebnis der Eindringungserkennung enthalten. Wenn beispielsweise festgestellt wird, dass ein Eindringen vorliegt, kann die Paketausgangsnachricht Regeln enthalten, mit denen eindringende Pakete oder Angriffe herausgefiltert werden können, sowie die entsprechende Reaktion (z. B. eine Aktion zum Verwerfen (Drop) von Paketen, eine Aktion zum Verwerfen von Paketen und Blockieren der Quelle, eine Aktion zum Verwerfen von Paketen und Weiterleiten (Forward) an den Controller, eine Verkürzung des Zeitintervalls „T“ usw.). Der SDN-fähige Switch 410 kann auf die Erkennung eines Eindringens reagieren, indem er der Flow-Tabelle einen neuen Flow-Eintrag hinzufügt, die bestehende Flow-Tabelle aktualisiert oder das Zeitintervall „T“ auf der Grundlage der Paket-Out-Nachricht ändert. Ein Gegenstand, der diese Regeln und entsprechenden Aktionen bestimmt, kann ein externes Gerät (z. B. ein IDS 430 usw.) sein, das eine Anfrage vom SDN-Controller 420 erhalten hat, oder der SDN-Controller 420 selbst. Das datengesteuerte Verfahren zur Erkennung von Eindringungen wird im Folgenden unter Bezugnahme auf die 9A und 9B im Detail beschrieben.
  • Der Flow-Eintrag kann außerdem ein Statistikfeld (STATS-Feld in 4) sowie das oben beschriebene Regelfeld und Aktionsfeld enthalten. Das Statistikfeld ist ein Feld zum Speichern statistischer Daten, die für Pakete gesammelt oder berechnet werden, und kann ein Zählerfeld enthalten. Das Zählerfeld zeichnet auf, wie oft das Regelfeld des Flusseintrags mit eingehenden Paketen übereinstimmt, und die Anzahl der Übereinstimmungen kann kumulativ erhöht oder in einigen Fällen mit einem voreingestellten Zeitraum initialisiert werden. Das Zählerfeld kann einen Übereinstimmungszähler enthalten, der so eingestellt ist, dass er die Anzahl der Übereinstimmungen mit den eingehenden Paketen innerhalb eines vorbestimmten Referenzwertes zählt, oder es kann ferner einen Byte-Zähler enthalten, der so eingestellt ist, dass er die Anzahl der Bytes pro Sekunde des übereinstimmenden Pakets zählt.
  • Der SDN-fähige Switch 410 kann die Flow-Tabelle nur aktualisieren, wenn er eine Nachricht vom SDN-Controller 420 erhält. Der SDN-fähige Switch 410 arbeitet in einem ausfallsicheren Modus, wenn die Kommunikation mit dem SDN-Controller 420 (z. B. die Kommunikation auf der Grundlage der Southbound-API) unterbrochen wird oder bis die Verbindung zum SDN-Controller 420 während des Kaltstarts (z. B. Motorstart) wieder aufgenommen wird. Im ausfallsicheren Modus kann der SDN-fähige Switch 410 den Paketfluss auf der Grundlage einer von einem Fahrzeughersteller als Standard eingestellten Flusstabelle steuern. In diesem Fall arbeitet der SDN-fähige Switch 410 wie ein gewöhnlicher Switch.
  • Der SDN-Controller 420 empfängt eine Paket-In-Nachricht (Paketeingangsnachricht) oder eine Flow-Tabelle vom SDN-fähigen Switch 410. Wenn der SDN-Controller 420 die Paket-Eingangsnachricht empfängt, erzeugt er, wie oben beschrieben, eine Paket-Ausgangsnachricht, die das entsprechende Paket und die Weiterleitungsaktion enthält, und sendet die Paket-Ausgangsnachricht an den SDN-fähigen Switch 410. Wenn der SDN-Controller 420 die Flow-Tabelle empfängt, überträgt er die Flow-Tabelle an das IDS 430. Dann führt das IDS 430 eine Eindringungserkennung durch, und der SDN-Controller erhält ein Ergebnis (z. B. eine Aktion) der Durchführung der Eindringungserkennung. Der SDN-Controller 420 überträgt an den SDN-fähigen Switch 410 eine Paket-Out-Nachricht, die das Ergebnis der Eindringungserkennung enthält.
  • Der SDN-Controller 420 kann ein dedizierter Controller für SDN oder ein allgemeiner Controller sein, der mit einem SDN-Gerät kombiniert ist, um in einer SDN-Umgebung zu arbeiten, ist aber nicht darauf beschränkt. Beispielsweise kann der SDN-Controller 42 gemäß der vorliegenden Ausführungsform einen beliebigen Controller umfassen, solange der Controller in der Lage ist, in der IVN- oder V2X-Umgebung generierte Pakete zu verwalten und mit dem SDN-fähigen Switch 410 oder einem mit dem SDN-fähigen Switch 410 ausgestatteten Fahrzeug zu kommunizieren.
  • Der SDN-Controller 420 kann eine neue Regel generieren (z. B. Änderung des Zeitintervalls „T“, Einstellung eines Regelfelds eines Flusseintrags usw.), die das entsprechende Eindringen herausfiltern kann, je nach dem Ergebnis der Durchführung der vom IDS 430 empfangenen Eindringungserkennung, und kann die neue Regel in die Paketausgangsnachricht aufnehmen. Eine solche neue Regel kann durch den Empfang davon vom IDS 430 oder einem externen Gerät erzeugt werden.
  • Gemäß einem anderen Aspekt der vorliegenden Ausführungsform kann der SDN-Controller 420 die Verwaltung einer nach Süden gerichteten Southbound API-basierten Verbindung wie OpenFlow, Flow-Table-Management oder Paketstatistiken mit einem oder mehreren SDN-fähigen Switches 410 durchführen, die in einem oder mehreren Fahrzeugen montiert sind. Der SDN-Controller 420 kann auch die Verwaltung einer nach Norden gerichteten Northbound API-basierten Verbindung, z. B. einer Adhoc-API, RESTful-API oder einer anderen Programmierschnittstelle, mit einem oder mehreren IDS (z. B. 430 in 4) übernehmen.
  • Das IDS 430 kommuniziert mit dem SDN-Controller 420, empfängt eine Flusstabelle vom SDN-Controller 420, führt eine Eindringungserkennung durch, bestimmt eine Aktion, die einem Ergebnis der Eindringungserkennung entspricht, und überträgt die bestimmte Aktion an den SDN-Controller 420. Gemäß einem Aspekt der vorliegenden Ausführungsform überwacht das IDS 430 beispielsweise jedes Feld jedes Flusseintrags in der Flusstabelle, und wenn die Zählererhöhung anormal ist oder wenn ein nicht autorisierter Quellknoten ein Paket an einen Prozessor sendet, der eine Autorisierung erfordert, kann das IDS 430 die Situation als einen Angriff bestimmen, eine Regel zum Herausfiltern des entsprechenden Flusses festlegen oder ein Aktionsfeld eines bestimmten Flusseintrags als einen Befehl zum Verwerfen von Paketen festlegen. Gemäß einem anderen Aspekt der vorliegenden Ausführungsform kann das IDS 430 einen Befehl zum Verwerfen (Drop) von Paketen und einen Befehl zur Weiterleitung an den Controller als Aktion festlegen. Diese Aktion veranlasst den SDN-fähigen Switch 410, den Typ von Paket im IVN zu verwerfen und den Typ von Paket an den SDN-Controller 420 weiterzuleiten, damit der SDN-Controller 420 den Typ von Paket überwachen kann. Für eine solche Überwachung kann der SDN-Controller 420 Flussstatistiken von einem anderen Gerät oder dem SDN-fähigen Switch 410 empfangen.
  • Nachfolgend werden beispielhafte Topologien einer Datenebene, einer Steuerungsebene und einer Anwendungsebene des vorgeschlagenen Eindringungsverhinderungssystems unter Bezugnahme auf die 5A, 5B, 6A, 6B, 7A und 7B beschrieben.
  • 5A und 5B sind Diagramme, die eine beispielhafte Topologie eines IVN gemäß einer Ausführungsform der vorliegenden Offenbarung zeigen.
  • 5A zeigt eine beispielhafte Topologie eines IVN mit einer hybriden Struktur. Das dargestellte IVN umfasst verschiedene Ethernet-Geräte, Infotainment-Geräte, ein oder mehrere elektronische Steuergeräte (ECUs) und ein Ethernet-basiertes LAN mit einem SDN-Switch, der mit diesen Geräten verbunden ist. Typischerweise können Hochgeschwindigkeits-Datenanwendungen wie ADAS (Advanced Driver-Assistance System) und Multimedia über ein Ethernet-basiertes LAN mit dem SDN-Switch verbunden werden. Das abgebildete IVN umfasst einen Legacy-CAN-Bus für einige Anwendungen, für die Ethernet nicht geeignet ist, z. B. für Antriebszugsysteme, die eine Priorisierung von Nachrichten erfordern. Der Legacy-CAN-Bus kann über ein ETH-CAN-Gateway, das die Kommunikation zwischen Ethernet und dem CAN-Bus unterstützt, an den SDN-fähigen Switch angeschlossen werden. Der SDN-Switch kann über ein V2I-Kommunikationsmodem mit anderen Geräten kommunizieren, z. B. mit dem SDN-Controller 420 an einem entfernten Standort, mit Servern, Systemen usw.
  • 5B zeigt eine beispielhafte Topologie eines Ethernet-basierten IVN. Das dargestellte IVN umfasst drei Switches (d. h. Switch 1, Switch 2 und Basis-Switch 3) und neun Steuergeräte. Es ist zu beachten, dass die Anzahl der Switches bzw. die Anzahl der ECU-Geräte je nach Art der Konfiguration der Topologie variieren kann. Um sicherzustellen, dass alle von den Steuergeräten erzeugten Pakete durch einen Switch zu den jeweiligen Zielknoten geleitet werden, muss jedes Steuergerät (ECU) allein mit dem Switch verbunden sein, und mehrere Steuergeräte belegen nicht eine einzige Busleitung.
  • Switch 1 und Switch 2 sind SDN-fähige Switches mit einer aktivierten SDN-Funktion. Die beiden Switches (Schalter) sind mit dem SDN-Controller über ein drahtloses Modem verbunden, das für die Kommunikation zwischen dem Fahrzeug und einer externen Infrastruktur (d. h. V2I-Kommunikation) zuständig ist. Wenn eine Verbindung mit dem SDN-Controller hergestellt ist, verarbeiten Switch 1 und Switch 2 Pakete von ECU 1 bis ECU 6 auf der Grundlage von Aktionen, die sie vom SDN-Controller erhalten haben, und können die Aktion jedes Pakets nicht selbst bestimmen. Wenn jedoch die Verbindung mit dem SDN-Controller aufgrund eines Ausfalls des drahtlosen Modems unterbrochen wird, arbeiten Schalter 1 und Schalter 2 wie der Basisschalter 3, der weiter unten beschrieben wird. Dementsprechend kann das Fahrzeug, das auf dem Eindringungsverhinderungssystem 400 gemäß der vorliegenden Ausführungsform basiert, selbst in einem Notfall einen normalen Betrieb aufrechterhalten (z. B. einen ausfallsicheren Betrieb) und es ermöglichen, dass jede Funktion des Eindringungsverhinderungssystems 400 selektiv angewendet wird.
  • Gemäß einem Befehl oder einer Aktion, die vom SDN-Controller empfangen wird, können Switch 1 und Switch 2 Pakete, die als Angriff betrachtet werden, blockieren, ohne die Pakete an andere ECUs weiterzuleiten, und zusätzlich können Switch 1 oder Switch 2 sie zur Nachanalyse an den SDN-Controller übermitteln. Die Feststellung, d. h. Bestimmung, ob es sich bei dem Paket um ein Eindringen eines Angreifers handelt, wird von einem externen Eindringungserkennungssystem vorgenommen.
  • Der Basis-Switch 3 ist kein SDN-fähiger Switch gemäß der vorliegenden Ausführungsform, sondern ein herkömmlicher Switch, der MAC-Adresslernen durchführt und an ein bestehendes Fahrzeug angepasst wurde. Wenn der Basis-Switch 3 das Ziel eines von ECU 7 an ECU 9 gesendeten Pakets kennt, leitet der Basis-Switch 3 das Paket an einen bestimmten Port weiter, und wenn der Basis-Switch 3 das Ziel nicht kennt, sendet der Basis-Switch 3 das Paket an alle Ports. Der Basis-Switch 3 unterstützt keine Funktion zum Sammeln von Paketinformationen für die Eindringungserkennung/Antwort (Reaktion) und erhält keine Aktion zur Steuerung eines Paketflusses von einem externen Gerät wie dem SDN-Controller.
  • Die 6A und 6B sind Diagramme, die eine Topologie der Steuerungsebene einer zentralisierten Struktur und einer verteilten Struktur eines Eindringungsverhinderungssystems gemäß einer Ausführungsform der vorliegenden Offenbarung zeigen.
  • Typischerweise kann der SDN-Controller, der in der Steuerungsebene angeordnet ist, Daten an SDN-Switches innerhalb einer Vielzahl von Fahrzeugen senden und von diesen empfangen. 6A zeigt eine zentralisierte Struktur, in der ein einziger SDN-Controller alle Pakete von Fahrzeugen verwaltet. Das IDS der vorliegenden Offenbarung kann den beabsichtigten Zweck auch mit nur einem SDN-Controller erreichen, es können aber auch mehrere SDN-Controller eingeführt und unter Berücksichtigung von Latenz und Lastausgleich betrieben werden. 6B zeigt eine verteilte Struktur, in der jeder von mehreren Basis-SDN-Controllern ein oder mehrere Fahrzeuge verwaltet, die physisch oder logisch nahe beieinander liegen. Die SDN-Controller können beispielsweise in einem Edge-Cloud-Server oder einem Fog-Server für jede Basis implementiert sein. Die SDN-Controller für jede Basis können eine primäre Kommunikation mit einem Fahrzeug durchführen, das sich physisch oder logisch in ihrer Nähe befindet, und ein entsprechendes Ergebnis an einen zentralen SDN-Controller liefern. In der zentralisierten Architektur führt der einzelne SDN-Controller die Kommunikation mit dem IDS 430 über die Northbound-API durch, und in der verteilten Architektur führt der zentrale SDN-Controller die Kommunikation mit dem IDS 430 über die Northbound-API durch.
  • Die 7A und 7B sind Diagramme, die die Topologie eines IDS veranschaulichen, das für ein System zur Verhinderung von Eindringungen gemäß einer Ausführungsform der vorliegenden Offenbarung verwendet wird.
  • Das kürzlich vorgeschlagene, auf Deep Learning basierende IDS benötigt mehr Ressourcen wie z. B. einen Grafikprozessor, um präzise Erkennungsergebnisse zu erzielen. Ein in einem Fahrzeug eingebautes Computersystem hat die für das Fahren erforderliche Mindestleistung und ist daher für den Betrieb des Deep-Learningbasierten IDS ungeeignet. Ein IDS, das außerhalb des Fahrzeugs angebracht ist, muss bei der Berechnung von Algorithmen zur Erkennung von Eindringungen keine Rücksicht mehr auf die Leistung des Fahrzeugs nehmen. Daher kann das vorgeschlagene System zur Verhinderung von Einbrüchen ein IDS verwenden, das einen präzisen Algorithmus zur Erkennung von Einbrüchen, d. h. Eindringungen, einsetzt, der eine hohe Rechenleistung erfordert, wie z. B. ein Deep-Learning-Algorithmus, der in 7A dargestellt ist.
  • In dem vorgeschlagenen Eindringungsverhinderungssystem können mehrere IDS gleichzeitig betrieben werden. Jedes IDS ist für die Erkennung von Eindringungen für ein bestimmtes Protokoll zuständig (z. B. IDS 1 für SSH, IDS 2 für AVTP, IDS 3 für UDP). Alternativ kann, wie in 7B dargestellt, eine Ensemble-Technik verwendet werden, bei der die Erkennungsergebnisse mehrerer IDS mit unterschiedlichen Erkennungsalgorithmen verwendet werden.
  • Die Anordnung des IDS außerhalb des Fahrzeugs statt innerhalb des IVN bietet eine große Flexibilität beim Betrieb des Eindringungsverhinderungssystems. Das IDS kann in Echtzeit aktualisiert werden, unabhängig vom Standort oder Status des zu analysierenden Fahrzeugs. So kann das IDS beispielsweise ein Modell oder einen Algorithmus zur Erkennung von Eindringungen dynamisch hinzufügen, neu konfigurieren oder entfernen, selbst wenn das zu analysierende Fahrzeug fährt. Wird in einem einzelnen Fahrzeug eine neue Funktion eingeführt oder ein neues Angriffsmuster gegen ein einzelnes Fahrzeug entdeckt, kann ein Betreiber (oder ein Dienstanbieter) das Erkennungsmodell anhand der entsprechenden Daten aktualisieren.
  • 8 ist ein Diagramm, das ein Anwendungsszenario zeigt, das die Nützlichkeit eines Systems zur Verhinderung von Eindringungen gemäß der vorliegenden Offenbarung unterstützt.
    • (1) Wenn ein Angriff erkannt wird, übermitteln alle Fahrzeuge die erkannten Angriffsinformationen über den SDN-Controller auf einem Cloud- oder Fog-Server an das IDS. In diesem Fall kann eine straßenseitige Einheit (Road-Side Unit; RSU) die eine Kommunikation zwischen einem benachbarten Fahrzeug und jedem Server weiterleiten. Ein Kommunikationsverfahren der RSU kann auf Nahfeldkommunikation (NFC), Bluetooth Low Energy (BLE), drahtlosem LAN (WIFI), Ultrabreitband (UWB), Funkfrequenz, Infrarot-Datenverbindung (IrDA), Zigbee, LTE oder 5G basieren.
    • (2) Wenn ein bestimmtes Fahrzeug, bei dem es sich um eines der Fahrzeuge handelt, auf die das Eindringungsverhinderungssystem oder -Verfahren der vorliegenden Offenbarung angewandt wird, angegriffen wird, überträgt das in dem bestimmten Fahrzeug eingebaute IDS Informationen über den Angriffsverkehr oder Pakete, bei denen der Verdacht besteht, dass es sich um einen Angriff handelt, an den Cloud-Server oder den Fog-Server.
    • (3) Der SDN-Controller auf dem Cloud- oder Fog-Server sendet die Informationen über den Angriffsverkehr oder die Pakete an das IDS, und das IDS analysiert die Daten. Wenn festgestellt wird, dass ein Angriff vorliegt, sendet das IDS über den SDN-Controller einen Warnbefehl darüber, dass das bestimmte Fahrzeug eine Umleitung nimmt, an jedes Fahrzeug in der Nähe.
    • (4) Wenn die Fahrzeug-zu-Fahrzeug-Kommunikation (V2V) aktiviert ist, kann das betreffende Fahrzeug seinen Zustand mit benachbarten Fahrzeugen teilen.
    • (5) Wenn die Fernsteuerung durch ein externes Gerät zulässig ist, kann das externe Gerät das bestimmte Fahrzeug so steuern, dass es auf Anforderung des Cloud-Servers oder des Fog-Servers abbremst und anhält.
  • 9A und 9B sind Flussdiagramme, die ein datengesteuertes Verfahren zur Erkennung und Verhinderung von Eindringungen gemäß der vorliegenden Ausführungsform veranschaulichen.
  • 9A zeigt einen Prozess, bei dem der SDN-fähige Switch 410 und der SDN-Controller 420 eine datengesteuerte Eindringungserkennung durchführen.
  • Wenn ein Fahrzeug (z. B. CAV), auf das ein Eindringungsverhinderungssystem gemäß400 der vorliegenden Ausführungsform angewendet wird, losfährt, wird ein Paket aus einer IVN- oder V2X-Umgebung an den SDN-fähigen Switch 410 (S900) weitergeleitet.
  • Der SDN-fähige Switch 410 stellt fest, ob es in einer geladenen Flow-Tabelle (S902) einen Flow-Eintrag mit einem Regelfeld gibt, das zu dem Paket passt.
  • Wenn es einen übereinstimmenden Flusseintrag (Flow-Eintrag) gibt, bestimmt der SDN-fähige Switch 410, ob ein Befehl zum Verwerfen (Drop) von Paketen in einem Aktionsfeld des übereinstimmenden Flusseintrags enthalten ist (S904), und wenn es keinen Befehl zum Verwerfen von Paketen gibt, führt der SDN-fähige Switch 410 einen Befehl des Aktionsfelds ohne das Verwerfen von Paketen aus (S906).
  • Wenn es einen Befehl zum Verwerfen von Paketen gibt, verwirft der SDN-fähige Switch 410 das entsprechende Paket und blockiert den Verkehr von einer entsprechenden Quelle (S912).
  • Wenn es keinen dem eingehenden Paket zugeordneten Flusseintrag gibt oder wenn der zugeordnete Flusseintrag abläuft, so dass es keinen zugeordneten Flusseintrag mehr gibt, sendet der SDN-fähige Switch 410 eine Paket-Eingangsnachricht, die das eingehende Paket und Ereignisinformationen wie eine Portnummer enthält, an den SDN-Controller 420 außerhalb des Fahrzeugs (S910), verwirft das eingehende Paket und blockiert den entsprechenden Verkehr (S912).
  • Der SDN-Controller 420 empfängt die Paket-Eingangsnachricht (S920), legt eine Weiterleitungsaktion fest (S922), erzeugt eine Paket-Ausgangsnachricht, die die Weiterleitungsaktion enthält, und sendet die Paket-Ausgangsnachricht (Paket-Out-Nachricht) an den SDN-fähigen Switch 410 (S992).
  • Der SDN-Controller 420 empfängt eine Anfrage, die eine Flusstabelle (Flow-Tabelle) anfordert, vom IDS 430 (S940) und übermittelt die Anfrage an den SDN-fähigen Switch 410.
  • Der SDN-fähige Switch 410 empfängt die Anfrage nach einer Flow-Tabelle vom SDN-Controller 420 und übermittelt eine Flow-Tabelle an den SDN-Controller 420 (S950 und S952).
  • Nach Erhalt der Flusstabelle vom SDN-fähigen Switch 410 übermittelt der SDN-Controller 420 die Flusstabelle an das IDS 430 (S960).
  • Der SDN-Controller 420 empfängt ein Ergebnis der Durchführung der Eindringungserkennung auf der Grundlage der Flow-Tabelle vom IDS 430 (S990), erzeugt eine Paket-Ausgangsnachricht, die das Ergebnis der Durchführung der Eindringungserkennung enthält, und sendet die Paket-Ausgangsnachricht an den SDN-fähigen Switch 410 (S992).
  • Der SDN-fähige Switch 410 empfängt die Packet-Out-Nachricht vom SDN-Controller 420 (S996) und aktualisiert die Flow-Tabelle (S998). Eine solche Aktualisierung kann das Hinzufügen eines neuen Flusseintrags, das Aktualisieren der Ablaufinformationen eines abgelaufenen Flusseintrags oder jedes Feld eines Flusseintrags oder das Belassen der Flusstabelle in ihrer ursprünglichen Form umfassen, wenn keine neuen Inhalte zu aktualisieren sind.
  • 9B zeigt einen Prozess, bei dem das IDS 430 eine datengesteuerte Erkennung von Eindringungen durchführt.
  • Das IDS 430 wartet für ein Zeitintervall (für „T“ in S930) für die Anforderung der Flow-Tabelle (S930) ab und befragt den SDN-Controller 420 (S932).
  • Wenn die Flusstabelle vom SDN-Controller 420 empfangen wird (S970), führt das IDS 430 die Erkennung von Eindringungen auf der Grundlage der einzelnen Felder jedes Flusseintrags in der Flusstabelle und der Datenflussstatistiken durch (S972).
  • Wenn das IDS 430 feststellt, dass ein Eindringung vorliegt (S974), entscheidet das IDS 430, das mit dem Eindringung assoziierte Paket zu verwerfen (S980). Diese Bestimmung kann auch durch Aufnahme eines Befehls zum Verwerfen in ein Aktionsfeld des Flusseintrags erfolgen, der dem mit der Eindringung assoziierten Paket zugeordnet ist. Das IDS 430 überträgt ein Erkennungsergebnis einschließlich der Verwerfungsaktion (Drop-Aktion) an den SDN-Controller 420 (S982).
  • Wenn jedoch festgestellt wird, dass keine Eindringung vorliegt, übermittelt das IDS 430 das Erkennungsergebnis nicht (S976).
  • Obwohl in den 9A und 9B beschrieben wird, dass jedes Verfahren nacheinander ausgeführt wird, dient dies lediglich der Veranschaulichung der technischen Idee einer Ausführungsform der vorliegenden Offenbarung. Mit anderen Worten: Der Fachmann, zu dem eine Ausführungsform der vorliegenden Offenbarung gehört, kann verschiedene Modifikationen und Variationen vornehmen, wie z. B. die Ausführung des Prozesses durch Änderung der in den 9A und 9B beschriebenen Reihenfolge oder die parallele Ausführung eines oder mehrerer Prozesse jedes Prozesses, ohne von den wesentlichen Merkmalen einer Ausführungsform der vorliegenden Offenbarung abzuweichen, und somit ist die vorliegende Offenbarung nicht auf die zeitliche Abfolge der 9A und 9B beschränkt.
  • Verschiedene Implementierungen der hier beschriebenen Systeme und Techniken können durch digitale elektronische Schaltungen, integrierte Schaltungen, feldprogrammierbare Gate-Arrays (FPGAs), anwendungsspezifische integrierte Schaltungen (ASICs), Computerhardware, Firmware, Software und/oder Kombinationen davon realisiert werden. Diese verschiedenen Implementierungen können die Implementierung als ein oder mehrere Computerprogramme umfassen, die auf einem programmierbaren System ausführbar sind. Das programmierbare System umfasst mindestens einen programmierbaren Prozessor (bei dem es sich um einen Spezialprozessor oder einen Allzweckprozessor handeln kann), der so gekoppelt ist, dass er Daten und Befehle von einem Speichersystem, mindestens einer Eingabevorrichtung und mindestens einer Ausgabevorrichtung empfängt und Daten und Befehle an diese übermittelt. Computerprogramme (auch bekannt als Programme, Software, Softwareanwendungen oder Code) enthalten Anweisungen für einen programmierbaren Prozessor und sind auf einem „computerlesbaren Medium“ gespeichert.
  • Das computerlesbare Aufzeichnungsmedium umfasst alle Arten von Aufzeichnungsgeräten, in denen von einem Computersystem lesbare Daten gespeichert sind. Bei dem computerlesbaren Aufzeichnungsmedium kann es sich um nichtflüchtige oder nichttransitorische Medien handeln, wie z. B. ROM, CD-ROM, Magnetband, Diskette, Speicherkarte, Festplatte, magneto-optische Platte und Speichervorrichtung, und es kann ferner ein transitorisches Medium wie ein Datenübertragungsmedium umfassen. Darüber hinaus kann das computerlesbare Aufzeichnungsmedium in einem netzverbundenen Computersystem verteilt sein, und ein computerlesbarer Code kann auf verteilte Weise gespeichert und ausgeführt werden.
  • Verschiedene Implementierungen der hier beschriebenen Systeme und Techniken können durch einen programmierbaren Computer implementiert werden. In diesem Fall umfasst der Computer einen programmierbaren Prozessor, ein Datenspeichersystem (einschließlich eines flüchtigen Speichers, eines nichtflüchtigen Speichers oder anderer Arten von Speichersystemen oder Kombinationen davon) und mindestens eine Kommunikationsschnittstelle. Bei dem programmierbaren Computer kann es sich beispielsweise um einen Server, ein Netzwerkgerät, eine Set-Top-Box, ein eingebettetes Gerät, ein Computererweiterungsmodul, einen Personalcomputer, einen Laptop, einen Personal Data Assistant (PDA), ein Cloud-Computing-System oder ein mobiles Gerät handeln.
  • Bezugszeichenliste
    • 400
    Eindringungsverhinderungssystem
    410
    SDN-fähiger Switch
    420
    SDN-Controller
    430
    Eindringungserkennungssystem (IDS)
  • QUERVERWEIS AUF EINEN VERWANDTE ANMELDUNGEN
  • Diese Anmeldung beansprucht die Priorität der koreanischen Patentanmeldung Nr. 10-2019-0093503 , die am 31. Juli 2019 eingereicht wurde, und der koreanischen Patentanmeldung Nr. 10-2020-0095519 , die am 30. Juli 2020 eingereicht wurde und deren gesamter Inhalt durch Bezugnahme hierin aufgenommen ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • KR 1020190093503 [0075]
    • KR 1020200095519 [0075]

Claims (15)

  1. Eindringungsverhinderungssystem für ein fahrzeuginternes Netzwerk, IVN, wobei das Eindringungsverhinderungssystem umfasst: einen Software-definierten Netzwerk, SDN, -fähigen Switch, der in dem IVN eines Fahrzeugs installiert und so konfiguriert ist, dass er den Fluss eines eingehenden Pakets durch Bezugnahme auf einen Flow-Eintrag von einer Flow-Tabelle steuert; und einen SDN-Controller, der so konfiguriert ist, dass er mit dem SDN-fähigen Switch kommuniziert, die Flow-Tabelle in einem bestimmten Zeitintervall T vom SDN-fähigen Switch empfängt, um eine Überwachung durchzuführen, und ein Überwachungsergebnis an den SDN-fähigen Switch übermittelt, wobei der SDN-Controller ferner so konfiguriert ist, dass er die Flow-Tabelle an ein Eindringungserkennungssystem, IDS, überträgt, so dass das IDS eine Eindringungserkennung durchführt, und als Überwachungsergebnis ein Ergebnis der Durchführung der Eindringungserkennung von dem IDS empfängt.
  2. Eindringungsverhinderungssystem nach Anspruch 1, wobei das Zeitintervall T auf der Grundlage der gesamten oder eines Teils der internen oder externen Umgebung des Fahrzeugs, der Fahrumgebung des Fahrzeugs, eines vom IDS verwendeten Einbruchserkennungsverfahrens und des Ergebnisses der Einbruchserkennung eingestellt oder zurückgesetzt wird.
  3. Eindringverhinderungssystem nach Anspruch 1, wobei der Flusseintrag ein Regelfeld, ein Aktionsfeld und ein oder mehrere Zählerfelder umfasst, und wobei der SDN-fähige Switch ferner so konfiguriert ist, dass er Daten des eingehenden Pakets mit dem Regelfeld jedes Flow-Eintrags der Flow-Tabelle vergleicht und jedes Zählerfeld des übereinstimmenden Flow-Eintrags aktualisiert.
  4. Eindringverhinderungssystem nach Anspruch 3, wobei der Flow-Eintrag außerdem ein Übereinstimmungszählerfeld und ein Byte-Zählerfeld enthält, und wobei der SDN-fähige Switch ferner so konfiguriert ist, dass er Daten des eingehenden Pakets mit dem Regelfeld jedes Flow-Eintrags der Flow-Tabelle vergleicht, das Übereinstimmungszählerfeld eines Flow-Eintrags aktualisiert, in dem die Anzahl der Übereinstimmungen oder ein Übereinstimmungsbereich gleich oder größer als ein bestimmter Referenzwert ist, und die Anzahl der Bytes pro Sekunde berechnet, um das Byte-Zählerfeld zu aktualisieren.
  5. Eindringungsverhinderungssystem nach Anspruch 3, wobei die Überwachung auf der Grundlage des Zählerfelds jedes Flow-Eintrags der Flow-Tabelle durchgeführt wird.
  6. Eindringverhinderungssystem nach Anspruch 1, wobei der SDN-Controller ferner so konfiguriert ist, dass er mit jeweiligen Schnittstellen mit mehreren SDN-fähigen Switches kommuniziert und jeweilige Flow-Tabellen von den mehreren SDN-fähigen Switches empfängt, und das Zeitintervall T für jeden der mehreren SDN-fähigen Switches individuell eingestellt ist.
  7. Eindringungsverhinderungssystem nach Anspruch 6, wobei der Flow-Eintrag ein oder mehrere Felder enthält und das eine oder die mehreren Felder entsprechend einer von jedem der mehreren SDN-fähigen Switches verwendeten Schnittstelle bestimmt werden.
  8. Eindringungsverhinderungssystem nach Anspruch1, wobei der SDN-fähige Switch die Flow-Tabelle nach Erhalt des Überwachungsergebnisses aktualisiert.
  9. Verfahren zum Erkennen und Verhindern eines Fahrzeugeindringens unter Verwendung eines Software-definierten Netzwerks, SDN, das in einem fahrzeuginternen Netzwerk, IVN, eines Fahrzeugs installiert ist, und eines SDN-Controllers, der sich entfernt vom Fahrzeug befindet, wobei das Verfahren umfasst: Übermitten einer Flow-Tabelle durch den SDN-fähigen Switch an den SDN-Controller bei einem bestimmten Zeitintervall T; Empfangen der Flow-Tabelle durch den SDN-Controller und Übertragen der empfangenen Flow-Tabelle an ein Eindringungserkennungssystem, IDS; Aktivieren des IDS durch den SDN-Controller, um eine Eindringungserkennung auf der Grundlage aller oder einiger Felder jedes in der Flow-Tabelle enthaltenen Flow-Eintrags durchzuführen, und Empfangen eines Ergebnisses der Eindringungserkennung vom IDS durch den SDN-Controller; Übertragen einer Paketausgangsnachricht, die das Ergebnis der Eindringungserkennung enthält, durch den SDN-Controller an den SDN-fähigen Switch; und Aktualisieren der Flow-Tabelle durch den SDN-fähigen Switch auf der Grundlage der Packet-Ausgangsnachricht.
  10. Verfahren nach Anspruch 9, wobei das Zeitintervall T auf der Grundlage der gesamten oder eines Teils der internen oder externen Umgebung des Fahrzeugs, der Fahrumgebung des Fahrzeugs, eines von dem IDS verwendeten Verfahrens zur Erkennung von Eindringungen und des Ergebnisses der Durchführung der Erkennung von Eindringungen eingestellt oder zurückgesetzt wird.
  11. Verfahren nach Anspruch 9, wobei der Flow-Eintrag ein Regelfeld, ein Aktionsfeld und ein oder mehrere Zählerfelder umfasst, und wobei der SDN-fähige Switch ferner so konfiguriert ist, dass er Daten des eingehenden Pakets mit dem Regelfeld jedes Flow-Eintrags der Flow-Tabelle vergleicht, um jedes Zählerfeld des übereinstimmenden Flow-Eintrags zu aktualisieren, und wobei das Überwachen auf der Grundlage jedes Zählerfelds jedes in der Flow-Tabelle enthaltenen Flow-Eintrags durchgeführt wird.
  12. Verfahren nach Anspruch 9, ferner umfassend: Übertragen einer Paket-Eingangsnachricht, die das vom IVN eingeführte eingehende Paket enthält, durch den SDN-fähigen Switch an den SDN-Controller; und Übermitteln einer Paket-Ausgangsnachricht, die das eingehende Paket und eine Weiterleitungsaktion enthält, durch den SDN-Controller an den SDN-fähigen Switch.
  13. Verfahren nach Anspruch 12, wobei das Übertragen der Paket-Eingangsnachricht an den SDN-Controller durchgeführt wird, wenn es keinen Flow-Eintrag gibt, der mit dem eingehenden Paket in der Flow-Tabelle übereinstimmt, oder wenn eine übereinstimmende Flow-Tabelle abgelaufen ist.
  14. Verfahren nach Anspruch 9, wobei der SDN-Controller ferner so konfiguriert ist, dass er mit jeweiligen Schnittstellen mit mehreren SDN-fähigen Switches kommuniziert und jeweilige Flow-Tabellen von den mehreren SDN-fähigen Switches empfängt, und das Zeitintervall T individuell für die mehreren SDN-fähigen Switches eingestellt ist.
  15. Verfahren nach Anspruch 14, wobei der Flow-Eintrag ein oder mehrere Felder enthält und das eine oder die mehreren Felder entsprechend einer von jedem der mehreren SDN-fähigen Switches verwendeten Schnittstelle bestimmt werden.
DE112020003658.8T 2019-07-31 2020-07-31 Sdn-basiertes eindringungsverhinderungsverfahren für ein fahrzeuginternesnetz und system, das dieses verfahren verwendet Pending DE112020003658T5 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
KR10-2019-0093503 2019-07-31
KR20190093503 2019-07-31
KR10-2020-0095519 2020-07-30
KR1020200095519A KR20210015705A (ko) 2019-07-31 2020-07-30 차량 내부 네트워크에 대한 sdn 기반의 침입 대응 방법 및 이를 이용한 시스템
PCT/KR2020/010142 WO2021020935A1 (ko) 2019-07-31 2020-07-31 차량 내부 네트워크에 대한 sdn 기반의 침입 대응 방법 및 이를 이용한 시스템

Publications (1)

Publication Number Publication Date
DE112020003658T5 true DE112020003658T5 (de) 2022-05-19

Family

ID=74230484

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020003658.8T Pending DE112020003658T5 (de) 2019-07-31 2020-07-31 Sdn-basiertes eindringungsverhinderungsverfahren für ein fahrzeuginternesnetz und system, das dieses verfahren verwendet

Country Status (4)

Country Link
US (1) US20240040381A1 (de)
CN (1) CN114208116A (de)
DE (1) DE112020003658T5 (de)
WO (1) WO2021020935A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022116152A1 (de) 2022-06-29 2024-01-04 Audi Aktiengesellschaft Verfahren zum Überwachen eines Datenverkehrs eines Kraftfahrzeugs und Kraftfahrzeug mit meinem Angriffserkennungssystem

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113225201B (zh) * 2021-02-05 2022-05-24 新华三大数据技术有限公司 一种信息同步方法及装置
CN115412921A (zh) * 2022-09-01 2022-11-29 中国电信股份有限公司 流量处理方法及系统、存储介质及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190093503A (ko) 2018-02-01 2019-08-09 제록스 코포레이션 수용성 소디오-설폰화 폴리에스테르를 포함하는 항균 수성 잉크 조성물
KR20200095519A (ko) 2017-12-01 2020-08-10 오리온 코포레이션 2-(5-메톡시이소크로만-1-일)-4,5-디하이드로-1h-이미다졸 및 이의 하이드로젠설페이트 염의 제조방법

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012144217A (ja) * 2011-01-14 2012-08-02 Asahi Glass Co Ltd 自動車用窓ガラス
KR20140051776A (ko) * 2012-10-23 2014-05-02 한국전자통신연구원 플로우 기반의 네트워크 모니터링을 위한 장치 및 네트워크 모니터링 시스템
WO2015180040A1 (zh) * 2014-05-27 2015-12-03 华为技术有限公司 流表管理方法及相关设备和系统
KR101553264B1 (ko) * 2014-12-11 2015-09-15 한국과학기술정보연구원 네트워크 침입방지 시스템 및 방법
CN104506507B (zh) * 2014-12-15 2017-10-10 蓝盾信息安全技术股份有限公司 一种sdn网络的蜜网安全防护系统及方法
EP3366020B1 (de) * 2015-10-20 2021-02-24 Hewlett-Packard Enterprise Development LP Sdn-steuergerät-unterstützte eindringungsverhinderungssysteme
CN106454719B (zh) * 2016-07-18 2019-06-18 西安电子科技大学 基于sdn技术的车联网数据分发系统与分发方法
CN107645472A (zh) * 2016-07-21 2018-01-30 由国峰 一种基于OpenFlow的虚拟机流量检测系统
KR101855742B1 (ko) * 2016-10-12 2018-05-10 아토리서치(주) 소프트웨어 정의 네트워킹에서의 목적지 기반 패킷 전송 제어 방법 및 장치
CN107770174A (zh) * 2017-10-23 2018-03-06 上海微波技术研究所(中国电子科技集团公司第五十研究所) 一种面向sdn网络的入侵防御系统和方法
CN109274673B (zh) * 2018-09-26 2021-02-12 广东工业大学 一种网络流量异常检测和防御方法
CN109618283B (zh) * 2019-01-23 2020-10-13 湖南大学 一种基于sdn的车载自组织网移动切换系统及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200095519A (ko) 2017-12-01 2020-08-10 오리온 코포레이션 2-(5-메톡시이소크로만-1-일)-4,5-디하이드로-1h-이미다졸 및 이의 하이드로젠설페이트 염의 제조방법
KR20190093503A (ko) 2018-02-01 2019-08-09 제록스 코포레이션 수용성 소디오-설폰화 폴리에스테르를 포함하는 항균 수성 잉크 조성물

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022116152A1 (de) 2022-06-29 2024-01-04 Audi Aktiengesellschaft Verfahren zum Überwachen eines Datenverkehrs eines Kraftfahrzeugs und Kraftfahrzeug mit meinem Angriffserkennungssystem
DE102022116152A8 (de) 2022-06-29 2024-02-22 Audi Aktiengesellschaft Verfahren zum Überwachen eines Datenverkehrs eines Kraftfahrzeugs und Kraftfahrzeug mit einem Angriffserkennungssystem

Also Published As

Publication number Publication date
US20240040381A1 (en) 2024-02-01
CN114208116A (zh) 2022-03-18
WO2021020935A1 (ko) 2021-02-04

Similar Documents

Publication Publication Date Title
DE112020003655T5 (de) Sdn-basiertes eindrigungsverhinderungsverfahren für fahrzeuginternenetzwerke und system zur verwendung davon
DE112020003658T5 (de) Sdn-basiertes eindringungsverhinderungsverfahren für ein fahrzeuginternesnetz und system, das dieses verfahren verwendet
US11050713B2 (en) Firewall configured with dynamic membership sets representing machine attributes
US10911355B2 (en) Multi-site telemetry tracking for fabric traffic using in-band telemetry
DE112012001320B4 (de) Prioritätsgestützte Flusssteuerung in einer Switching-Netzwerkarchitektur mit einem Protokoll einer verteilten Struktur (Distributed Fabric Protocol DFP)
DE112016004860T5 (de) Verteilte Regelbereitstellung in einer Extended Bridge
DE202016107377U1 (de) Systeme zur Auslagerung von Netzwerkfunktionen über Paket-Trunking
DE102016103521A1 (de) Erkennung von Anomalien in industriellen Kommunikationsnetzen
DE202015009244U1 (de) Routing von Datenverkehr innerhalb von und zwischen autonomen Systemen
DE112012002080T5 (de) Switching-Netzwerk-Architektur gemäss dem Distributed Fabric Protocol (DFP)
CN103326882B (zh) 一种视频监控网络管理方法及装置
EP3211838B1 (de) Redundant betreibbares industrielles kommunikationssystem, verfahren zu dessen betrieb und funk-transceiver-station
KR20210015705A (ko) 차량 내부 네트워크에 대한 sdn 기반의 침입 대응 방법 및 이를 이용한 시스템
CN105051696A (zh) 用于处理网络元数据的改进的流式处理方法及系统
EP3542510A1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
EP3200398B1 (de) Automatisiertes mirroring und remote-switch-port-analyzer (rspan)/encapsulated-remote-switch-port-analyzer (erspan)-funktionen unter verwendung von fabric-attach (fa)-signalisierung
US20150113146A1 (en) Network Management with Network Virtualization based on Modular Quality of Service Control (MQC)
EP3211962B1 (de) Funk-kommunikationssystem für ein industrielles automatisierungssystem, verfahren zu dessen betrieb und funk-transceiver-station
JP7156310B2 (ja) 通信装置、通信システム、通信制御方法、プログラム
EP2557733A1 (de) Konfiguration eines Kommunikationsnetzwerks
EP3382478B1 (de) Verfahren, computer-programm-produkt und steuereinheit zum steuern von zugriffen auf it-systeme basierende netzwerke, insbesondere eingebettete systeme oder verteilte systeme umfassende automatisierungsnetzwerke, steuerungsnetzwerke oder kontrollnetzwerke
DE102022202878A1 (de) Verwendung einer datenverarbeitungseinheit als vorprozessor für maschinelles lernen auf der basis einer grafikverarbeitungseinheit
DE112022002401T5 (de) Nutzung bandexterner kommunikationskanäle zwischen prozessautomatisierungsknoten
WO2018114126A1 (de) Verfahren zum betreiben einer datenverarbeitungsanlage, datenverarbeitungsanlage
US10033588B2 (en) Adaptive network of networks architecture

Legal Events

Date Code Title Description
R012 Request for examination validly filed