EP3682610A1 - Method and device for detecting an attack on a serial communications system - Google Patents

Method and device for detecting an attack on a serial communications system

Info

Publication number
EP3682610A1
EP3682610A1 EP18762061.2A EP18762061A EP3682610A1 EP 3682610 A1 EP3682610 A1 EP 3682610A1 EP 18762061 A EP18762061 A EP 18762061A EP 3682610 A1 EP3682610 A1 EP 3682610A1
Authority
EP
European Patent Office
Prior art keywords
message
sequence
states
serial communication
communication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP18762061.2A
Other languages
German (de)
French (fr)
Inventor
Birger Kamp
Anke Jentzsch
Viktor Bunimov
Steven Michna
Christoph Riechel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Publication of EP3682610A1 publication Critical patent/EP3682610A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Definitions

  • the present invention relates to the monitoring of communication systems. More particularly, the present invention relates to a method and apparatus for detecting an attack on a serial communication system.
  • a vehicle is a mobile means of transport for the transport of people or goods.
  • the vehicle may therefore be both a passenger and a commercial vehicle.
  • a vehicle may be a passenger car, a truck, a motorcycle or a tractor.
  • a vehicle may be understood as a device that includes an engine, a powertrain system, and wheels. The number of online
  • Vehicle-checked message then checked whether the contained therein message identifier (engl, message ID) and the therein contained network identifier (EN, network ID) are respectively known. If this is the case, then it is further checked whether the currently examined message as well as previous messages regarding their time behavior are normal or abnormal.
  • Document EP 3 1 13 529 A1 proposes a further method for detecting time-based anomalies in a vehicle communication network. For this purpose, the time interval between two consecutive messages of identical message identifier is compared with a time model.
  • the methods proposed in the aforementioned publications can not detect a large number of attacks. Thus, there is a need to provide a way to improve the detection of attacks on serial communication systems.
  • the present invention enables this by a method of detecting an attack on a serial communication system.
  • a serial communications system transmits individual bits in sequence (i.e., serial) - as opposed to parallel communication systems that transmit their data in parallel over multiple lines.
  • the method includes determining a respective state of a plurality of messages transmitted over the serial communication system to obtain a sequence of states.
  • the state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively.
  • the features can be understood as so-called.
  • the individual properties may be irrelevant in their own right, but their common consideration (i.e., viewing as a whole) allows the condition classification of a message.
  • the condition classification of a message is therefore e.g. possible via simple comparison operations. This results in a pattern of states - the sequence of states.
  • the characteristics of a message may include, for example, a content, a (temporal) beginning of the message, an end of the message (temporal) or an identification of the message as active or inactive.
  • the method further comprises comparing the sequence of states with at least one reference sequence.
  • a timing of the plurality of messages transmitted via the serial communication system is monitored.
  • the reference sequence of states indicates the order of states in normal (i.e., undisturbed) operation of the serial communication system. Deviations from the normal (i.e., fixed) timing of the messages represented by the reference sequence may therefore indicate a manipulation of the serial communication system.
  • the method further comprises determining that there is an attack on the serial communication system when the sequence of states from the
  • Reference sequence deviates. Since the comparison of the sequence of states with the at least one reference sequence can be carried out very efficiently and with low computing power, The method according to the invention enables a simple and efficient monitoring of a serial communication system.
  • the method may include determining that there is no attack on the serial communication system.
  • the state of the message may be determined at least on a first comparison of a content of the message with a content of the preceding message and on a second comparison of the time difference between a beginning of the message
  • the beginning of the first message is thus compared to the beginning of the preceding message in order to allow a time interval between the messages
  • the message content as well as the time interval between successive messages is characteristic and therefore suitable for the status description of the message.
  • the comparison value may be, for example, a cycle time used by the serial communication system or a blocking time between successive messages.
  • the state of the message may also be based on additional comparisons of the time difference between the beginning of the message and the beginning of the preceding message with at least one further comparison value.
  • the state of the message may also be based on a comparison of one or more attributes of the message with a comparison value independent of the plurality of messages.
  • the content of the message e.g., a status bit
  • a comparison value indicating whether a message is active or inactive.
  • such comparisons may represent suitable low-level descriptors to determine the state of a message, i. to characterize a message.
  • comparing the sequence of states to at least one reference sequence includes incrementing a counter when a first state occurs within the sequence of states. Further, the comparing includes resetting the counter to an output value when a second condition occurs within the sequence of states. If the counter exceeds a threshold, the compare includes
  • Determining that the sequence of states differs from the reference sequence Determining that the sequence of states differs from the reference sequence. Additional messages, ie inserted messages, change the characteristic pattern, ie the characteristic reference sequence.
  • the characteristic reference sequence can be mapped by the threshold for the counter associated with the first state. Due to the additional, injected message, it can happen that the counter is not reset or too late. Accordingly, by using a counter, the deviation of the sequence of states from the reference sequence can be easily deduced.
  • the method further comprises comparing a
  • the subarea of the sequence of states in this case only includes states that are different from the second state. If the portion of the sequence of states differs from the second reference sequence, then the method further comprises determining that an attack on the serial communication system exists. In other words, the sequence of states between a first state change from the second state to another state and a second state change from another state to the second state is checked. Thus, the correctness of the sequence (pattern) of states can be further secured.
  • the method further comprises comparing the content of a first message of the plurality of messages with the content of a second message of the plurality of messages.
  • the state of the first message is equal to the state of the second message, wherein between the first and the second message at least a third message is transmitted with a state different from the state of the first message state via the serial communication system. If the content of the second
  • the method further includes
  • the method further comprises sending a message to a receiving device of a monitoring site for the serial
  • the message includes information about the attack on the serial communication system. In this way, those responsible for the serial
  • the information about the attack on the serial communication system can be any kind of information regarding the attack and ranging from a simple notification that an attack took place to detailed information about eg type and extent of the attack or affected messages.
  • the information about the attack on the serial communication system includes information about at least a portion of the sequence of states.
  • the messages affected by the attack (and possibly a number of preceding and / or subsequent messages) of the plurality of messages of the serial communication system are transmitted to the monitoring station, so that they can be further analyzed.
  • the plurality of messages are each transmitted over a plurality of signals via the serial communication system.
  • the method then further comprises comparing a signal portion associated with the message of a first one of the plurality of signals with a signal portion of the first signal associated with the preceding message.
  • the information about the attack on the serial communication system then comprises information about a result of the comparison of the signal portion of the first signal associated with the message with the signal portion of the first signal associated with the preceding message.
  • a message can therefore be composed of several signals. For the analysis of an attack, it may be helpful to know which of the signals were attacked.
  • the result of the comparison of the signal portion of the first signal associated with the message with the signal portion of the first signal assigned to the preceding message can be transmitted in a compact form, so that the data volume required for the transmission is small.
  • the information about the result of the comparison is a binary information indicating whether the signal portion of the first signal associated with the message matches the signal portion of the first signal associated with the preceding message.
  • the information about the result of the comparison may be transmitted as a single bit for each of the plurality of signals. Accordingly, the data volume required for the transmission is very small.
  • the serial communication system is a CAN bus system. CAN bus systems, eg in vehicles, require effective monitoring due to their increasing availability via the World Wide Web.
  • the reference sequence is selected depending on a transmission type of the CAN bus system.
  • CAN bus systems support a variety of transmission modes (signal transmission types). For example, here are the transmission types “Cyclic”, “OnChange”, “OnChangeWithRepetition”, “IfActive”, “IfActiveWithRepetition”,
  • Attack detection can be adapted to the type of transmission of the CAN bus system used.
  • the comparison value for comparison with the time difference between the beginning of the message and the beginning of the preceding message is a first used cycle time (e.g., normal cycle time), a second cycle time used (e.g., fast cycle time), or a CAN bus system lock time.
  • the CAN bus system can use several cycle times, each of which is characteristic for one transmission type.
  • the blocking time represents a minimum time interval between two consecutive messages, the undershooting of which represents an indication of an attack.
  • the present invention further relates to a program having a program code for carrying out the method described herein, when the
  • Hardware component is executed.
  • the present invention also relates to an apparatus for detecting an attack on a serial communication system. It includes the
  • Apparatus comprising processor circuitry configured to determine a respective one of a plurality of messages transmitted over the serial communication system to obtain a sequence of statuses.
  • the state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively.
  • the processor circuit is arranged to set the sequence of states with at least one Compare reference sequence and determine that an attack on the serial communication system is present when the sequence of states deviates from the reference sequence.
  • the state classification of a message as well as the comparison of the sequence of states with the at least one reference sequence can be carried out very efficiently and with low computing power, so that the device according to the invention can also enable a simple and efficient monitoring of a serial communication system.
  • the processor circuitry may be further configured to include one or more of the associated with the
  • the present invention further relates in one aspect to a vehicle having a
  • serial communication system is a CAN bus system of the vehicle. Accordingly, attacks on the CAN bus system of the vehicle can be detected efficiently and with low computing power. A safety of the vehicle can thus be increased.
  • FIG. 1 is a flowchart of an embodiment of a method of detecting an attack on a serial communication system
  • Fig. 2 shows an embodiment of a data stream on a CAN bus system
  • Fig. 3 shows an embodiment of an undisturbed sequence of messages
  • Fig. 4 shows an embodiment of a disturbed sequence of messages
  • Fig. 5 shows an embodiment of a sequence of messages for different ones
  • Fig. 6 shows another embodiment of a disturbed sequence of messages
  • Fig. 7 shows an embodiment of a comparison of signals of a CAN bus system
  • Fig. 8 shows an embodiment of a device for detecting an attack on a serial communication system
  • Fig. 9 shows an embodiment of a vehicle.
  • the method 100 includes determining 102 a respective state of a plurality of messages transmitted over the serial communication system to obtain a sequence of states.
  • the state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively.
  • the method 100 includes comparing 104 the sequence of states with at least one reference sequence and determining 106a that an attack on the serial communication system is present if the sequence of states deviates from the reference sequence.
  • the method 100 may still include determining 106b that there is no attack on the serial communication system.
  • the state classification of a message as well as the comparison of the sequence of states with the at least one reference sequence in the method 100 can be performed very efficiently and with low computational power so that the method 100 can enable simple and efficient monitoring of a serial communication system.
  • the method 100 may include one or more optional features according to one or more of the further embodiments.
  • serial communication system is in each case designed as a CAN bus system.
  • CAN bus system may also be used in conjunction with other serial communication systems.
  • Fig. 2 shows a data stream on a CAN bus system.
  • the proposed monitoring of the CAN bus system is based essentially on the control of the time behavior (combined with a comparison of
  • Messages can be detected in the data stream.
  • monitoring is based on the principle of pattern recognition.
  • the characteristic properties or characteristics, ie the states of a message, derive from two consecutive messages. For example, a first attribute of a message can be obtained by comparing whether the message contents are identical. Further properties can be derived from the time span between the two messages. For example, the observance of the normal and the fast cycle time t Zy kius or t Zy kius, schneii and compliance with the inhibit (inhibit) tinmbit be checked. In summary, the state of a message can be determined at least from the following comparisons:
  • the low-level descriptors can be understood as a set of suitable comparison operators, from which a characteristic state can be derived. It is understood that the comparisons are not limited to those of the above comparison operators, but e.g. may also be represented by ">", “ ⁇ ", “>”, “ ⁇ ” comparisons and / or combinations thereof.
  • the truth table 1 can be used both for transmission types of the CAN bus, which send messages only with a constant cycle time, as well as for transmission types, the
  • the former type of transmission (with a constant cycle time) is a special case, because here only the observance of the normal cycle time has to be monitored in order to recognize additionally introduced messages.
  • States B and J immediately indicate a timing error.
  • the states D and H each contain redundant information and can be combined.
  • the states E and F are illogical and can not occur.
  • a state can now be assigned to all messages in FIG. 2.
  • Message 220 has a normal cycle time and therefore corresponds to state A (see Table 1 or 2).
  • message 230 corresponds to state D because it is an on-chain message.
  • the messages 240 and 250 mark repetitions with fast cycle time and therefore have state G.
  • Message 260 is again associated with state A.
  • a state change is thus shown.
  • the sequence of states is ... A A D G G A A ....
  • time behavior and message behavior are represented by a time sequence of states, i. a typical pattern.
  • Each signal transmission type has its own, typical pattern over time in undisturbed operation.
  • Each transmission type thus has a reference sequence of states.
  • the reference sequences to states may look like this: Send Type Reference Sequence
  • A, C, D and G each again designate a state of a message.
  • the letters u, v, x respectively denote a variable and n a constant indicating the number of allowed repetitions.
  • the bracket ⁇ ... ⁇ indicates one each
  • Pattern block repeated according to the preceding variable u, v.
  • OnChange states can occur consecutively, this is taken into account for the respective transmission types with xD. If, as in transmission mode 3, the old clock can be resumed after an on-hook, state C occurs. State G recognizes repetitions with a fast cycle time.
  • An attack can e.g. insist that be in close proximity message with the
  • CAN ID CAN identification
  • the desired content e.g., a message with the corresponding CAN ID
  • another message with this ID and a customized content can be introduced.
  • each message with the corresponding CAN ID another message with this ID and the adapted content, whereby the blocking period is adhered to.
  • the current, original message can always be inserted taking into account the blocking time.
  • several messages can be introduced in a fast cycle time. An original OnChange will not intervene.
  • Fig. 3 an undisturbed sequence of messages 310, 320, 380 is shown. Each message has a respective content 301. In addition, each message is assigned a state 302 according to the principles described above. This results in the following sequence (or pattern) 303 of the states: A A D D A A.
  • State counter can be realized. For this purpose, a counter is incremented if a first state occurs within the sequence of states. If a second state occurs within the sequence of states, the counter is reset to its initial value. For example, for the states B, C, D and G, a state counter can be used in each case. If one of the states B, C, D or G occurs, the respective state counter is incremented. State A in this example causes the counters to be reset. Exceeding the respective permissible limit values (threshold values) is a direct indication of a manipulation.
  • Fig. 4 shows a distorted sequence of messages.
  • the inserted messages 410, 420, 480 are shown in FIG. 4.
  • the message contents are again shown as numbers and the states as letters.
  • the state counter for the state D is always incremented and not reset. After exceeding the threshold value for the state counter of the
  • the pattern can still be checked during a state change in order to ensure the correctness of the pattern (the sequence of states) or the correct order of the individual states.
  • An additionally introduced message also leads to a change in the course of the pattern (the sequence of states), which can be interpreted and checked as a change of state. From the possible variants, a catalog with permitted state patterns (second reference sequences) can be created, against which the state changes are compared.
  • FIG. 5 shows different transmission modes 2 to 5 of a CAN bus system over time.
  • transmission mode 2 represents "OnChange” (cycle restart), transmission mode 3 "OnChange” (cycle maintenance), transmission mode 4 "OnChangeWithRepetition” (cycle restart) and transmission mode 5 "OnChangeWithRepetition” (maintenance of the cycle).
  • a state change from A to D occurs.
  • the state change 510 ends for transmission type 2 at time t 4 and for the other types of transmission shown at time t 5 , since then again the state A occurs.
  • the pattern to be checked now covers the period from the beginning to the conclusion of a detected state change, ie states other than A.
  • the sub-region 520 of the sequence of states in this case comprises only states that are different from a second state (here A). If the portion 520 of the sequence of states deviates from the second reference sequence, it is determined that there is an attack on the CAN bus system.
  • FIG. 6 also shows monitoring by means of extended pattern recognition.
  • the above-described attacks are reliably detected. Individual, targeted attacks may not.
  • the content of a first message of the plurality of messages may be compared to the content of a second message of the plurality of messages.
  • the state of the first message 630 or 670 is equal to the state of the second message 660 or 690 (namely A).
  • Messages 640 and 650 or 601 and 602 are transmitted between the first message 630 or 670 and the second message 660 or 690, respectively, with a state different from the state of the first message 630 or 670 (here D) via the CAN bus system ,
  • the message content changes. While the message 630 has the content 1, the second message 660 has the content 3.
  • the messages 630 and 660 are separated only by the regular messages 640 and 650, each having state D.
  • the message content does not change.
  • Both the first message 670 and the second message 690 have the content 3.
  • the messages 670 and 690 are separated by the irregular messages 601 and 602, each having state D. The comparison of the message contents thus enables the detection of the irregular (injected) messages 601 and 602.
  • the message content may be stored prior to a state change.
  • a controller e.g., a central office or control room. For example, a message to a controller
  • Receiving device a monitoring point for the CAN bus system are sent when it is determined that an attack on the CAN bus system is present.
  • the message then includes e.g. Information about the attack on the serial communication system. However, not only the attack can be reported, but also a certain period before and / or after the attack. In other words, the information about the attack on the CAN
  • Bus system can provide information about at least a portion of the investigated sequence at states.
  • the data volume required for this can become so large that a transfer is not possible and / or the storage space of
  • a message can be composed of several signals. For example, it is shown in FIG. 7 that the message 710 is composed of the plurality of signals A, B, C,.
  • the further messages 720 and 730 at the times t1 and t2 are also transmitted by means of this plurality of signals A, B, C,... Via the CAN bus system.
  • a plurality of messages are each transmitted via a plurality of signals via the CAN bus system.
  • the method according to the invention can therefore comprise comparing a signal portion of a first of the plurality of signals associated with a message with a signal portion of the first signal assigned to a preceding message. This comparison may be carried out for some or all of the plurality of signals used.
  • the information transmitted to the monitoring point for the CAN bus system about the attack on the CAN bus system can provide information about a result of the comparison of the message assigned to the message
  • Information about the attack on the CAN bus system also includes information about results of comparisons of the further signals.
  • the CAN bus system information 721 transmitted to the CAN bus system includes state 722 of the message 720 as 4-bit Information and the information 723 on the results of comparisons of the message 720 associated signal sections of the plurality of signals A, B, C, ... with the
  • the information 731 transmitted to the monitoring point for the CAN bus system via the attack on the CAN bus system for the message 730 includes the state 732 of the message 730 as associated with preceding message 710 4-bit information and the information 733 on the results of comparisons of the signal portions of the plurality of signals A, B, C,... Associated with the message 730 with those associated with the preceding message 720
  • the coincidence of two signals can be e.g. are encoded with a "1" while the mismatch is encoded with a "0" (or vice versa).
  • the information about the result of the comparison transmitted to the monitoring point for the CAN bus system can be binary information which indicates whether the signal portion of a signal assigned to the message matches the signal portion of the signal assigned to the preceding message. In this way, a data reduction can be achieved.
  • the number of bits required for transmission is determined by the number of signals used to transmit the message.
  • the state patterns (sequences of states) as well as the comparison information can provide indications of the course of an attack on a particular message content and, in accordance with the principles described in connection with FIG. a control station is reported or stored in the recognition system (i.e., a device implementing the method of the invention).
  • the apparatus 800 comprises a processor circuit 810 which is adapted to connect a respective state of a plurality via the serial
  • Communication system 820 transmitted messages to obtain a sequence of states.
  • the state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively.
  • the processor circuit 810 is configured to compare the sequence of states to at least one reference sequence and to determine that there is an attack on the serial communication system 820 if the sequence of states deviates from the reference sequence.
  • the state classification of a message as well as the comparison of the sequence of states with the at least one Reference sequence through the processor circuitry 810 may be performed very efficiently and with low computational power so that the apparatus 800 may facilitate easy and efficient monitoring of the serial communication system 820.
  • the device 800 may include one or more optional features according to one or more of the further embodiments.
  • FIG. 9 also shows a vehicle 900 including a CAN bus system 920 of the vehicle 900.
  • the vehicle further comprises a device 910 according to the invention for detecting an attack on a serial communication system. Via the device 910, attacks on the CAN bus system 920 of the vehicle 900 can be efficiently and with less
  • Computing power can be detected.
  • a method for detecting an attack on a serial communication system 102 determining a respective state

Abstract

The invention relates to a method for detecting an attack on a serial communications system. The method comprises determining the status of each of a plurality of messages transmitted via the serial communications system in order to obtain a sequence of statuses (102). The status of one of the plurality of messages is based on a plurality of properties of the message and a plurality of properties of a preceding message of the plurality of messages. The method also comprises comparing the sequence of statuses with at least one reference sequence (104) and determining that there is an attack on the serial communications system if the sequence of statuses deviates from the reference sequence (106a).

Description

Beschreibung  description
Verfahren und Vorrichtung zum Erkennen eines Angriffs auf ein serielles Method and apparatus for detecting an attack on a serial
Kommunikationssystem  communication system
Die vorliegende Erfindung bezieht sich auf die Überwachung von Kommunikationssystemen. Insbesondere bezieht sich die vorliegende Erfindung auf ein Verfahren und eine Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem. The present invention relates to the monitoring of communication systems. More particularly, the present invention relates to a method and apparatus for detecting an attack on a serial communication system.
Das Fahrzeug ist inzwischen zu einem festen Bestandteil des World Wide Web geworden. Ein Fahrzeug ist ein mobiles Verkehrsmittel für den Transport von Personen oder Gütern. Bei dem Fahrzeug kann es sich daher sowohl um ein Personen- als auch um ein Nutzfahrzeug handeln. Zum Beispiel kann ein Fahrzeug ein Personenkraftwagen, ein Lastkraftwagen, ein Motorrad oder ein Traktor sein. Allgemein kann ein Fahrzeug als eine Vorrichtung aufgefasst werden, die einen Motor, ein Antriebsstrangsystem sowie Räder umfasst. Die Anzahl der Online The vehicle has now become an integral part of the World Wide Web. A vehicle is a mobile means of transport for the transport of people or goods. The vehicle may therefore be both a passenger and a commercial vehicle. For example, a vehicle may be a passenger car, a truck, a motorcycle or a tractor. In general, a vehicle may be understood as a device that includes an engine, a powertrain system, and wheels. The number of online
verfügbaren Zugänge zum Fahrzeug wächst rapide an. In gleicher Weise steigt auch das Bedrohungspotenzial durch Angriffe auf das Fahrzeug und dessen Kernbestandteil - die Elektronik. Dies betrifft insbesondere die Bussysteme, die die Kommunikation zwischen den Steuergeräten des Fahrzeugs realisieren. Ein Eingriff in diese Kommunikationsstruktur kann das komplexe System Fahrzeug in ungeplante Zustände stürzen. Die Überwachung der Bussysteme des Fahrzeugs ist daher wünschenswert. available access to the vehicle is growing rapidly. In the same way, the threat potential increases through attacks on the vehicle and its core component - the electronics. This applies in particular to the bus systems that realize the communication between the control units of the vehicle. An intrusion into this communication structure can cause the complex vehicle system to fall into unplanned conditions. The monitoring of the bus systems of the vehicle is therefore desirable.
Druckschrift US 2016/0188396 A1 schlägt ein Verfahren zur Erkennung zeitlicher Anomalien in Fahrzeugnetzen vor. Dabei wird jede über einen Controller Area Network (CAN) Bus im Document US 2016/0188396 A1 proposes a method for detecting temporal anomalies in vehicle networks. Each is controlled via a Controller Area Network (CAN) bus in the
Fahrzeug übertragene Nachricht daraufhin geprüft, ob die darin enthaltene Nachrichtenkennung (engl, message ID) sowie die darin enthaltene Netzwerkkenn ung (engl, network ID) jeweils bekannt sind. Ist dies der Fall, so wird weiterhin geprüft, ob die aktuell untersuchte Nachricht sowie vorangehende Nachrichten bzgl. ihres Zeitverhaltens normal oder anomal sind. Vehicle-checked message then checked whether the contained therein message identifier (engl, message ID) and the therein contained network identifier (EN, network ID) are respectively known. If this is the case, then it is further checked whether the currently examined message as well as previous messages regarding their time behavior are normal or abnormal.
In Druckschrift EP 3 1 13 529 A1 wird ein weiteres Verfahren vorgeschlagen, um zeitbasiert Anomalien in einem Fahrzeugkommunikationsnetz zu Erkennen. Dazu wird der zeitliche Abstand zweier aufeinanderfolgender Nachrichten identischer Nachrichtenkennung mit einem Zeitmodell verglichen. Die in den vorgenannten Druckschriften vorgeschlagenen Verfahren können eine Vielzahl an Angriffen nicht detektieren. Es besteht somit ein Erfordernis, eine Möglichkeit bereitzustellen, um die Erkennung von Angriffen auf serielle Kommunikationssystem zu verbessern. Document EP 3 1 13 529 A1 proposes a further method for detecting time-based anomalies in a vehicle communication network. For this purpose, the time interval between two consecutive messages of identical message identifier is compared with a time model. The methods proposed in the aforementioned publications can not detect a large number of attacks. Thus, there is a need to provide a way to improve the detection of attacks on serial communication systems.
Die vorliegende Erfindung ermöglicht dies durch ein Verfahren zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem. Ein serielles Kommunikationssystem überträgt einzelne Bits nacheinander (d.h. seriell) - im Gegensatz zu parallelen Kommunikationssystemen, die ihre Daten über mehrere Leitungen parallel übertragen. The present invention enables this by a method of detecting an attack on a serial communication system. A serial communications system transmits individual bits in sequence (i.e., serial) - as opposed to parallel communication systems that transmit their data in parallel over multiple lines.
Das Verfahren umfasst ein Bestimmen eines jeweiligen Zustands einer Mehrzahl an über das serielle Kommunikationssystem übertragener Botschaften, um eine Abfolge an Zuständen zu erhalten. Der Zustand einer der Mehrzahl an Botschaften basiert jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften. Die Merkmale können als sog. Low-Level-Deskriptoren aufgefasst werden. Die einzelnen Eigenschaften können für sich gesehen ohne Bedeutung sein, deren gemeinsame Betrachtung (d.h. die Betrachtung im Ganzen) ermöglicht jedoch die Zustandsklassifizierung einer Botschaft. Die Zustandsklassifizierung einer Botschaft ist daher z.B. über einfache Vergleichsoperationen möglich. Derart ergibt sich ein Muster an Zuständen - die Abfolge an Zuständen. Die Eigenschaften einer Botschaft können beispielsweise einen Inhalt, einen (zeitlichen) Beginn der Botschaft, ein (zeitliches) Ende der Botschaft oder eine Kennzeichnung der Botschaft als aktiv bzw. inaktiv umfassen. The method includes determining a respective state of a plurality of messages transmitted over the serial communication system to obtain a sequence of states. The state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively. The features can be understood as so-called. Low-level descriptors. The individual properties may be irrelevant in their own right, but their common consideration (i.e., viewing as a whole) allows the condition classification of a message. The condition classification of a message is therefore e.g. possible via simple comparison operations. This results in a pattern of states - the sequence of states. The characteristics of a message may include, for example, a content, a (temporal) beginning of the message, an end of the message (temporal) or an identification of the message as active or inactive.
Das Verfahren umfasst im Weiteren ein Vergleichen der Abfolge an Zuständen mit zumindest einer Referenzabfolge. Mit anderen Worten: Ein Zeitverhalten der Mehrzahl an über das serielle Kommunikationssystem übertragenen Botschaften wird überwacht. Die Referenzabfolge an Zuständen gibt die Reihenfolge an Zuständen bei einem normalen (d.h. ungestörten) Betrieb des seriellen Kommunikationssystems an. Abweichungen von dem durch die Referenzabfolge wiedergegebenen normalen (d.h. festgelegten) Zeitverhalten der Botschaften können daher auf eine Manipulation des seriellen Kommunikationssystems hinweisen. The method further comprises comparing the sequence of states with at least one reference sequence. In other words, a timing of the plurality of messages transmitted via the serial communication system is monitored. The reference sequence of states indicates the order of states in normal (i.e., undisturbed) operation of the serial communication system. Deviations from the normal (i.e., fixed) timing of the messages represented by the reference sequence may therefore indicate a manipulation of the serial communication system.
Entsprechend umfasst das Verfahren daher ferner ein Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn die Abfolge an Zuständen von der Accordingly, the method further comprises determining that there is an attack on the serial communication system when the sequence of states from the
Referenzabfolge abweicht. Da der Vergleich der Abfolge an Zuständen mit der zumindest einen Referenzabfolge sehr effizient und mit geringer Rechenleistung ausgeführt werden kann, ermöglicht das erfindungsgemäße Verfahren eine einfache und effiziente Überwachung eines seriellen Kommunikationssystems. Reference sequence deviates. Since the comparison of the sequence of states with the at least one reference sequence can be carried out very efficiently and with low computing power, The method according to the invention enables a simple and efficient monitoring of a serial communication system.
Wenn die Abfolge an Zuständen mit der Referenzabfolge übereinstimmt, kann das Verfahren ein Bestimmen, dass kein Angriff auf das serielle Kommunikationssystem vorliegt, umfassen. If the sequence of states matches the reference sequence, the method may include determining that there is no attack on the serial communication system.
Gemäß einigen Ausführungsbeispielen kann der Zustand der Botschaft zumindest auf einem ersten Vergleich eines Inhalts der Botschaft mit einem Inhalt der vorangehenden Botschaft sowie auf einem zweiten Vergleich der zeitlichen Differenz zwischen einem Beginn der According to some embodiments, the state of the message may be determined at least on a first comparison of a content of the message with a content of the preceding message and on a second comparison of the time difference between a beginning of the message
Botschaft und einem Beginn der vorangehenden Botschaft mit einem Vergleichswert basieren. Neben dem Botschaftsinhalt wird somit der Beginn der ersten Botschaft mit dem Beginn der vorangehenden Botschaft verglichen, um einen zeitliche Abstand der Botschaften zu Message and a beginning of the preceding message with a comparative value. In addition to the content of the message, the beginning of the first message is thus compared to the beginning of the preceding message in order to allow a time interval between the messages
bestimmen. Der Botschaftsinhalt als auch der zeitliche Abstand aufeinanderfolgender Nachricht ist charakteristisch und eignet sich daher für die Zustandsbeschreibung der Botschaft. Bei dem Vergleichswert kann es sich beispielsweise um eine von dem seriellen Kommunikationssystem verwendete Zykluszeit oder Sperrzeit zwischen aufeinanderfolgenden Botschaften handeln. Der Zustand der Botschaft kann ferner auch auf zusätzlichen Vergleichen der zeitlichen Differenz zwischen dem Beginn der Botschaft und dem Beginn der vorangehenden Botschaft mit zumindest einem weiteren Vergleichswert basieren. determine. The message content as well as the time interval between successive messages is characteristic and therefore suitable for the status description of the message. The comparison value may be, for example, a cycle time used by the serial communication system or a blocking time between successive messages. The state of the message may also be based on additional comparisons of the time difference between the beginning of the message and the beginning of the preceding message with at least one further comparison value.
In einigen Ausführungsformen kann der Zustand der Botschaft zudem auch auf einem Vergleich einer oder mehrerer Eigenschaften der Botschaft mit einem von der Mehrzahl an Botschaften unabhängigen Vergleichswert beruhen. Beispielsweise kann der Inhalt der Botschaft (z.B. ein Statusbit) mit einem Vergleichswert verglichen werden, der anzeigt, ob eine Botschaft aktiv oder inaktiv ist. Auch solche Vergleiche können geeignete Low-Level-Deskriptoren darstellen, um den Zustand einer Botschaft zu bestimmen, d.h. eine Botschaft zu charakterisieren. In addition, in some embodiments, the state of the message may also be based on a comparison of one or more attributes of the message with a comparison value independent of the plurality of messages. For example, the content of the message (e.g., a status bit) may be compared to a comparison value indicating whether a message is active or inactive. Also, such comparisons may represent suitable low-level descriptors to determine the state of a message, i. to characterize a message.
Gemäß einigen Ausführungsbeispielen umfasst das Vergleichen der Abfolge an Zuständen mit zumindest einer Referenzabfolge ein Inkrementieren eines Zählers, wenn innerhalb der Abfolge an Zuständen ein erster Zustand auftritt. Ferner umfasst das Vergleichen ein Zurücksetzen des Zählers auf einen Ausgangswert, wenn innerhalb der Abfolge an Zuständen ein zweiter Zustand auftritt. Wenn der Zähler einen Schwellwert überschreitet, umfasst das Vergleichen ein According to some embodiments, comparing the sequence of states to at least one reference sequence includes incrementing a counter when a first state occurs within the sequence of states. Further, the comparing includes resetting the counter to an output value when a second condition occurs within the sequence of states. If the counter exceeds a threshold, the compare includes
Bestimmen, dass die Abfolge an Zuständen von der Referenzabfolge abweicht. Zusätzliche Botschaften, d.h. eingeschleuste Botschaften, ändern das charakteristische Muster, d.h. die charakteristische Referenzabfolge. Die charakteristische Referenzabfolge kann durch den Schwellwert für den dem ersten Zustand zugeordneten Zähler abgebildet werden. Aufgrund der zusätzlichen, eingeschleusten Botschaft kann es nun passieren, dass der Zähler nicht bzw. zu spät zurückgesetzt wird. Entsprechend kann durch die Verwendung eines Zählers auf einfach Weise auf die Abweichung der Abfolge an Zuständen von der Referenzabfolge geschlossen werden. Determining that the sequence of states differs from the reference sequence. Additional messages, ie inserted messages, change the characteristic pattern, ie the characteristic reference sequence. The characteristic reference sequence can be mapped by the threshold for the counter associated with the first state. Due to the additional, injected message, it can happen that the counter is not reset or too late. Accordingly, by using a counter, the deviation of the sequence of states from the reference sequence can be easily deduced.
In einigen Ausführungsbeispielen umfasst das Verfahren ferner ein Vergleichen eines In some embodiments, the method further comprises comparing a
Teilbereichs der Abfolge an Zuständen mit zumindest einer zweiten Referenzabfolge. Der Teilbereich der Abfolge an Zuständen umfasst dabei nur Zustände, die von dem zweiten Zustand verschieden sind. Wenn der Teilbereich der Abfolge an Zuständen von der zweiten Referenzabfolge abweicht, umfasst das Verfahren dann ferner ein Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt. Mit anderen Worten: Es wird die Abfolge an Zuständen zwischen einem ersten Zustandswechsel vom zweiten Zustand hin zu einem anderen Zustand und einem zweiten Zustandswechsel von einem anderen Zustand hin zum zweiten Zustand überprüft. Derart kann die Korrektheit der Abfolge (des Musters) an Zuständen weiter abgesichert werden. Part of the sequence of states with at least one second reference sequence. The subarea of the sequence of states in this case only includes states that are different from the second state. If the portion of the sequence of states differs from the second reference sequence, then the method further comprises determining that an attack on the serial communication system exists. In other words, the sequence of states between a first state change from the second state to another state and a second state change from another state to the second state is checked. Thus, the correctness of the sequence (pattern) of states can be further secured.
Gemäß einigen Ausführungsbeispielen umfasst das Verfahren ferner ein Vergleichen des Inhalts einer ersten Botschaft der Mehrzahl an Botschaften mit dem Inhalt einer zweiten Botschaft der Mehrzahl an Botschaften. Der Zustand der ersten Botschaft ist dabei gleich dem Zustand der zweiten Botschaft, wobei zwischen der ersten und der zweiten Botschaft zumindest eine dritte Botschaft mit einem von dem Zustand der ersten Botschaft verschiedenen Zustand über das serielle Kommunikationssystem übertragen wird. Wenn der Inhalt der zweiten In accordance with some embodiments, the method further comprises comparing the content of a first message of the plurality of messages with the content of a second message of the plurality of messages. The state of the first message is equal to the state of the second message, wherein between the first and the second message at least a third message is transmitted with a state different from the state of the first message state via the serial communication system. If the content of the second
Botschaft gleich dem Inhalt der ersten Botschaft ist, umfasst das Verfahren ferner ein Message is equal to the content of the first message, the method further includes
Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt. Der weitere Vergleich der Botschaftsinhalte kann das Erkennen von intelligenteren Angriffen ermöglichen. Beispielsweise können so Angriffe auf das serielle Kommunikationssystem erkannt werden, bei denen Botschaften eingeschleust werden, die einen Zustandswechsel zwischen Determine that there is an attack on the serial communication system. Further comparison of the message content may enable the detection of smarter attacks. For example, it is possible to detect attacks on the serial communication system in which messages are introduced which cause a change of state between
aufeinanderfolgenden Botschaften vortäuschen. Da sich bei einem regulären Zustandswechsel jedoch der Botschaftsinhalt ändert, können auch diese Angriffe effektiv erkannt werden. pretend to successive messages. However, since the message content changes during a regular state change, these attacks can also be recognized effectively.
In einigen Ausführungsbeispielen umfasst das Verfahren weiterhin ein Senden einer Nachricht an eine Empfangsvorrichtung einer Überwachungsstelle für das serielle In some embodiments, the method further comprises sending a message to a receiving device of a monitoring site for the serial
Kommunikationssystem, wenn bestimmt wird, dass ein Angriff auf das serielle Communication system, if it is determined that an attack on the serial
Kommunikationssystem vorliegt. Dabei umfasst die Nachricht Informationen über den Angriff auf das serielle Kommunikationssystem. Derart können Verantwortliche für das serielle Communication system is present. The message includes information about the attack on the serial communication system. In this way, those responsible for the serial
Kommunikationssystem auf den Angriff aufmerksam gemacht werden, so dass Gegenmaßnahmen (z.B. Ignorieren von Botschaften, Deaktivieren des Systems etc.) ergriffen werden können. Die Informationen über den Angriff auf das serielle Kommunikationssystem können dabei jede Art von Informationen bzgl. des Angriffs sein und von einer einfachen Benachrichtigung, dass ein Angriff stattfand, bis zu detaillierten Informationen über z.B. Art und Umfang des Angriffs oder betroffene Botschaften reichen. Communication system to be alerted to the attack, so that Countermeasures (eg ignoring messages, deactivating the system, etc.) can be taken. The information about the attack on the serial communication system can be any kind of information regarding the attack and ranging from a simple notification that an attack took place to detailed information about eg type and extent of the attack or affected messages.
Gemäß einigen Ausführungsbeispielen umfassen die Informationen über den Angriff auf das serielle Kommunikationssystem Informationen über zumindest einen Teilbereich der Abfolge an Zuständen. Derart können z.B. die von dem Angriff betroffenen Botschaften (und evtl. eine Anzahl an vorausgehenden und/oder nachfolgenden Botschaften) der Mehrzahl an Botschaften des seriellen Kommunikationssystems an die Überwachungsstelle übertragen werden, so dass diese näher ausgewertet werden können. According to some embodiments, the information about the attack on the serial communication system includes information about at least a portion of the sequence of states. Thus, e.g. the messages affected by the attack (and possibly a number of preceding and / or subsequent messages) of the plurality of messages of the serial communication system are transmitted to the monitoring station, so that they can be further analyzed.
In einigen Ausführungsbeispielen wird die Mehrzahl an Botschaften jeweils über eine Mehrzahl an Signalen über das serielle Kommunikationssystem übertragen. Das Verfahren umfasst dann ferner ein Vergleichen eines der Botschaft zugeordneten Signalabschnitts eines ersten der Mehrzahl an Signalen mit einem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals. Die Informationen über den Angriff auf das serielle Kommunikationssystem umfassen dann eine Information über ein Ergebnis des Vergleichs des der Botschaft zugeordneten Signalabschnitts des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals. Eine Botschaft kann sich also aus mehreren Signalen zusammensetzen. Für die Analyse eines Angriffs kann es hilfreich sein, zu wissen, welche der Signale angegriffen wurden. Das Ergebnis des Vergleichs des der Botschaft zugeordneten Signalabschnitts des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals kann in kompakter Form übermittelt werden, so dass das für die Übertragung benötigte Datenvolumen klein ist. In some embodiments, the plurality of messages are each transmitted over a plurality of signals via the serial communication system. The method then further comprises comparing a signal portion associated with the message of a first one of the plurality of signals with a signal portion of the first signal associated with the preceding message. The information about the attack on the serial communication system then comprises information about a result of the comparison of the signal portion of the first signal associated with the message with the signal portion of the first signal associated with the preceding message. A message can therefore be composed of several signals. For the analysis of an attack, it may be helpful to know which of the signals were attacked. The result of the comparison of the signal portion of the first signal associated with the message with the signal portion of the first signal assigned to the preceding message can be transmitted in a compact form, so that the data volume required for the transmission is small.
Gemäß einigen Ausführungsbeispielen ist die Information über das Ergebnis des Vergleichs eine binäre Information, die anzeigt, ob der der Botschaft zugeordnete Signalabschnitt des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals übereinstimmt. Derart kann die Information über das Ergebnis des Vergleichs als einzelnes Bit für jedes der Mehrzahl an Signalen übertragen werden. Entsprechend ist das für die Übertragung benötigte Datenvolumen sehr klein. In einigen Ausführungsbeispielen ist das serielle Kommunikationssystem ein CAN Bussystem. CAN Bussysteme z.B. in Fahrzeugen bedürfen aufgrund ihrer zunehmenden Erreichbarkeit über das World Wide Web einer effektiven Überwachung. According to some embodiments, the information about the result of the comparison is a binary information indicating whether the signal portion of the first signal associated with the message matches the signal portion of the first signal associated with the preceding message. Thus, the information about the result of the comparison may be transmitted as a single bit for each of the plurality of signals. Accordingly, the data volume required for the transmission is very small. In some embodiments, the serial communication system is a CAN bus system. CAN bus systems, eg in vehicles, require effective monitoring due to their increasing availability via the World Wide Web.
Gemäß einigen Ausführungsbeispielen ist die Referenzabfolge abhängig von einer Sendeart des CAN Bussystems gewählt. CAN Bussystem unterstützen eine Vielzahl von Sendearten (Signalsendearten). Rein beispielhaft seien hier die Sendearten„Cyclic",„OnChange", „OnChangeWithRepetition",„IfActive",„IfActiveWithRepetition", According to some embodiments, the reference sequence is selected depending on a transmission type of the CAN bus system. CAN bus systems support a variety of transmission modes (signal transmission types). For example, here are the transmission types "Cyclic", "OnChange", "OnChangeWithRepetition", "IfActive", "IfActiveWithRepetition",
„OnChangeAndlfActiveWithRepetition", "OnWrite", "OnWriteAnd IfActiveWithRepetition" oder "NoSigSendType" genannt. Jede der Sendearten des CAN Bussystems hat eine oder mehrere charakteristische Referenzabfolgen der Botschaftszustände. Entsprechende kann die  Each of the transmission types of the CAN bus system has one or more characteristic reference sequences of the message states
Angriffserkennung an die verwendete Sendeart des CAN Bussystems angepasst werden. Attack detection can be adapted to the type of transmission of the CAN bus system used.
In einigen Ausführungsbeispielen ist der Vergleichswert für den Vergleich mit der zeitlichen Differenz zwischen dem Beginn der Botschaft und dem Beginn der vorangehenden Botschaft eine erste verwendete Zykluszeit (z.B. normale Zykluszeit), eine zweite verwendete Zykluszeit (z.B. schnelle Zykluszeit) oder eine Sperrzeit des CAN Bussystems. Das CAN Bussystem kann mehrere Zykluszeiten verwenden, die jeweils charakteristisch für eine Sendeart sind. In some embodiments, the comparison value for comparison with the time difference between the beginning of the message and the beginning of the preceding message is a first used cycle time (e.g., normal cycle time), a second cycle time used (e.g., fast cycle time), or a CAN bus system lock time. The CAN bus system can use several cycle times, each of which is characteristic for one transmission type.
Entsprechend kann aus dem Vergleich des zeitlichen Abstands aufeinanderfolgender Accordingly, from the comparison of the time interval successive
Botschaften mit einer der Zykluszeiten auf Angriffe geschlossen werden. Entsprechend stellt die Sperrzeit einen minimalen zeitlichen Abstand zweier aufeinanderfolgender Botschaften dar, dessen Unterschreitung einen Hinweis auf einen Angriff darstellt. Messages with one of the cycle times are closed to attacks. Accordingly, the blocking time represents a minimum time interval between two consecutive messages, the undershooting of which represents an indication of an attack.
In einem weiteren Aspekt betrifft die vorliegende Erfindung zudem ein Programm mit einem Programmcode zum Durchführen des hierin beschriebenen Verfahrens, wenn der In a further aspect, the present invention further relates to a program having a program code for carrying out the method described herein, when the
Programmcode auf einem Computer, einem Prozessor oder einer programmierbaren Program code on a computer, processor or programmable
Hardwarekomponente ausgeführt wird. Hardware component is executed.
Die vorliegende Erfindung betrifft in einem weiteren Aspekt zudem eine Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem. Dabei umfasst die In a further aspect, the present invention also relates to an apparatus for detecting an attack on a serial communication system. It includes the
Vorrichtung eine Prozessorschaltung, die eingerichtet ist, einen jeweiligen Zustand einer Mehrzahl an über das serielle Kommunikationssystem übertragener Botschaften zu bestimmen, um eine Abfolge an Zuständen zu erhalten. Der Zustand einer der Mehrzahl an Botschaften basiert jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften. Ferner ist die Prozessorschaltung eingerichtet, die Abfolge an Zuständen mit zumindest einer Referenzabfolge zu vergleichen und zu bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht. Die Zustandsklassifizierung einer Botschaft wie auch der Vergleich der Abfolge an Zuständen mit der zumindest einen Referenzabfolge kann sehr effizient und mit geringer Rechenleistung ausgeführt werden, so dass auch die erfindungsgemäße Vorrichtung eine einfache und effiziente Überwachung eines seriellen Kommunikationssystems ermöglichen kann. Apparatus comprising processor circuitry configured to determine a respective one of a plurality of messages transmitted over the serial communication system to obtain a sequence of statuses. The state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively. Further, the processor circuit is arranged to set the sequence of states with at least one Compare reference sequence and determine that an attack on the serial communication system is present when the sequence of states deviates from the reference sequence. The state classification of a message as well as the comparison of the sequence of states with the at least one reference sequence can be carried out very efficiently and with low computing power, so that the device according to the invention can also enable a simple and efficient monitoring of a serial communication system.
In einigen Ausführungsbeispielen der vorliegenden Erfindung kann die Prozessorschaltung zudem eingerichtet sein, einen oder mehrere der in Zusammenhang mit dem In some embodiments of the present invention, the processor circuitry may be further configured to include one or more of the associated with the
erfindungsgemäßen Verfahren genannten Verfahrensschritte auszuführen. Execute said process steps.
Die vorliegende Erfindung betrifft in einem Aspekt ferner ein Fahrzeug mit einer The present invention further relates in one aspect to a vehicle having a
erfindungsgemäßen Vorrichtung zum Erkennen eines Angriffs auf ein serielles Device according to the invention for detecting an attack on a serial
Kommunikationssystem, wobei das serielle Kommunikationssystem ein CAN Bussystem des Fahrzeugs ist. Entsprechend können Angriffe auf das CAN Bussystem des Fahrzeugs effizient und mit geringer Rechenleistung erkannt werden. Eine Sicherheit des Fahrzeugs kann somit erhöht sein. Communication system, wherein the serial communication system is a CAN bus system of the vehicle. Accordingly, attacks on the CAN bus system of the vehicle can be detected efficiently and with low computing power. A safety of the vehicle can thus be increased.
Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend, Bezug nehmend auf die beigefügten Figuren, näher erläutert. Es zeigen: Embodiments of the present invention will be explained below with reference to the accompanying figures. Show it:
Fig. 1 zeigt ein Flussdiagram eines Ausführungsbeispiels eines Verfahrens zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem; FIG. 1 is a flowchart of an embodiment of a method of detecting an attack on a serial communication system; FIG.
Fig. 2 zeigt ein Ausführungsbeispiel eines Datenstroms auf einem CAN Bussystem; Fig. 2 shows an embodiment of a data stream on a CAN bus system;
Fig. 3 zeigt ein Ausführungsbeispiel einer ungestörten Sequenz von Botschaften; Fig. 3 shows an embodiment of an undisturbed sequence of messages;
Fig. 4 zeigt ein Ausführungsbeispiel einer gestörten Sequenz von Botschaften; Fig. 4 shows an embodiment of a disturbed sequence of messages;
Fig. 5 zeigt ein Ausführungsbeispiel einer Abfolge von Botschaften für verschiedene Fig. 5 shows an embodiment of a sequence of messages for different ones
Sendearten eines CAN Bussystems; Transmission modes of a CAN bus system;
Fig. 6 zeigt ein weiteres Ausführungsbeispiel einer gestörten Sequenz von Botschaften; Fig. 7 zeigt ein Ausführungsbeispiel eines Vergleichs von Signalen eines CAN Bussystems; Fig. 6 shows another embodiment of a disturbed sequence of messages; Fig. 7 shows an embodiment of a comparison of signals of a CAN bus system;
Fig. 8 zeigt ein Ausführungsbeispiel einer Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem; und Fig. 8 shows an embodiment of a device for detecting an attack on a serial communication system; and
Fig. 9 zeigt ein Ausführungsbeispiel eines Fahrzeugs. Fig. 9 shows an embodiment of a vehicle.
In Fig. 1 ist ein Verfahren 100 zum Erkennen eines Angriffs auf ein serielles In Fig. 1, a method 100 for detecting an attack on a serial
Kommunikationssystem gezeigt. Das Verfahren 100 umfasst ein Bestimmen 102 eines jeweiligen Zustands einer Mehrzahl an über das serielle Kommunikationssystem übertragener Botschaften, um eine Abfolge an Zuständen zu erhalten. Der Zustand einer der Mehrzahl an Botschaften basiert jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften. Weiterhin umfasst das Verfahren 100 ein Vergleichen 104 der Abfolge an Zuständen mit zumindest einer Referenzabfolge sowie ein Bestimmen 106a, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht. Communication system shown. The method 100 includes determining 102 a respective state of a plurality of messages transmitted over the serial communication system to obtain a sequence of states. The state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively. Furthermore, the method 100 includes comparing 104 the sequence of states with at least one reference sequence and determining 106a that an attack on the serial communication system is present if the sequence of states deviates from the reference sequence.
Wenn die Abfolge an Zuständen mit der Referenzabfolge übereinstimmt, kann das Verfahren 100 noch ein Bestimmen 106b, dass kein Angriff auf das serielle Kommunikationssystem vorliegt, umfassen. If the sequence of states matches the reference sequence, the method 100 may still include determining 106b that there is no attack on the serial communication system.
Die Zustandsklassifizierung einer Botschaft wie auch der Vergleich der Abfolge an Zuständen mit der zumindest einen Referenzabfolge in dem Verfahren 100 kann sehr effizient und mit geringer Rechenleistung ausgeführt werden, so dass das Verfahren 100 eine einfache und effiziente Überwachung eines seriellen Kommunikationssystems ermöglichen kann. The state classification of a message as well as the comparison of the sequence of states with the at least one reference sequence in the method 100 can be performed very efficiently and with low computational power so that the method 100 can enable simple and efficient monitoring of a serial communication system.
Weitere Details und Aspekte des Verfahrens 100 sind in Zusammenhang mit einem oder mehreren weiteren Ausführungsbeispielen beschrieben. Das Verfahren 100 kann eines oder mehrere optionale Merkmale gemäß einem oder mehreren der weiteren Ausführungsbeispiele umfassen. Further details and aspects of the method 100 are described in connection with one or more further embodiments. The method 100 may include one or more optional features according to one or more of the further embodiments.
Nachfolgend werden unter Bezugnahme auf die Figs. 2 bis 7 einige Ausführungsbeispiele des erfindungsgemäßen Verfahrens erläutert. Das serielle Kommunikationssystem ist dabei jeweils als CAN Bussystem ausgeführt. Es versteht sich jedoch von selbst, dass die in Zusammenhang mit dem CAN Bussystem diskutierten Merkmale des Verfahrens auch in Zusammenhang mit anderen seriellen Kommunikationssystemen verwendet werden können. Hereinafter, with reference to Figs. 2 to 7 explained some embodiments of the method according to the invention. The serial communication system is in each case designed as a CAN bus system. However, it goes without saying that in context features of the method discussed with the CAN bus system may also be used in conjunction with other serial communication systems.
Fig. 2 zeigt einen Datenstrom auf einem CAN Bussystem. Zur Zeit T=15ms findet ein Ereignis s=0 statt, so dass eine Botschaft 210 mit dem Inhalt s=0 zur T=15ms über das CAN Bussystem übertragen wird. Bei der Zeit T=75ms, d.h. nach einer normalen Zykluszeit von 60ms wird eine zweite Botschaft 220 mit demselben Inhalt s=0 über das CAN Bussystem übertragen. Fig. 2 shows a data stream on a CAN bus system. At the time T = 15 ms, an event s = 0 takes place, so that a message 210 with the content s = 0 is transmitted to the T = 15 ms via the CAN bus system. At time T = 75ms, i. after a normal cycle time of 60 ms, a second message 220 with the same content s = 0 is transmitted via the CAN bus system.
Bei T=100ms wird der normale Zyklus unterbrochen und eine OnChange Botschaft 230 mit Inhalt s=1 wird eingeleitet, da zur Zeit T=100ms ein Ereignis s=1 stattfindet. Zu den Zeiten T=140ms und T=180ms wird die Botschaft wiederholt, d.h. die Botschaften 240 und 250 werden mit einer schnellen Zykluszeit T=40ms des CAN Bussystems übertragen. At T = 100 ms, the normal cycle is interrupted and an OnChange message 230 with content s = 1 is initiated, since an event s = 1 takes place at time T = 100 ms. At times T = 140ms and T = 180ms the message is repeated, i. the messages 240 and 250 are transmitted with a fast cycle time T = 40ms of the CAN bus system.
Bei T=240ms wird die Botschaft 260 übertragen, die den Inhalt s=1 aufweist. Somit wird wieder die normale Zykluszeit T=75ms verwendet. At T = 240ms the message 260 is transmitted having the content s = 1. Thus the normal cycle time T = 75ms is used again.
Wie bereits oben dargestellt, beruht die vorgeschlagene Überwachung des CAN Bussystems im Wesentlichen auf der Kontrolle des Zeitverhaltens (kombiniert mit einem Vergleich von As already explained above, the proposed monitoring of the CAN bus system is based essentially on the control of the time behavior (combined with a comparison of
Botschaftsinhalten), da derart Anomalien, d.h. zusätzlich eingeschleuste Botschaften Message contents), since such anomalies, i. additionally inserted messages
(Nachrichten), im Datenstrom erkannt werden können. Mit anderen Worten: Die Überwachung basiert auf dem Prinzip der Mustererkennung. (Messages), can be detected in the data stream. In other words, monitoring is based on the principle of pattern recognition.
Die charakteristischen Eigenschaften oder Merkmale, d.h. die Zustände einer Botschaft, leiten sich dabei aus zwei aufeinanderfolgenden Botschaften ab. Beispielsweise kann ein erstes Merkmal einer Botschaft durch den Vergleich, ob die Botschaftsinhalte/Signalinhalte (engl, payload) identisch sind, erhalten werden. Weitere Eigenschaften können aus der Zeitspanne zwischen beiden Botschaften abgeleitet werden. Beispielsweise kann die Einhaltung der normalen und der schnellen Zykluszeit tZykius bzw. tZykius,schneii sowie der Einhaltung der Sperrzeit (Inhibit) tinmbit überprüft werden. Zusammengefasst kann der Zustand einer Botschaft zumindest aus den Folgenden Vergleichen bestimmt werden: The characteristic properties or characteristics, ie the states of a message, derive from two consecutive messages. For example, a first attribute of a message can be obtained by comparing whether the message contents are identical. Further properties can be derived from the time span between the two messages. For example, the observance of the normal and the fast cycle time t Zy kius or t Zy kius, schneii and compliance with the inhibit (inhibit) tinmbit be checked. In summary, the state of a message can be determined at least from the following comparisons:
4. lst At=t0-tl<t|nhibit? Wobei pi den Inhalt einer Botschaft und t den Zeitpunkt des Beginns einer Botschaft bezeichnet mit i={0, 1}. Die Indizes 0 und 1 kennzeichnen die beiden aufeinanderfolgenden Botschaften. Bei den Vergleichszeiten tzykius, tzykius,schneii und tmhibit kann noch ein Toleranzbereich berücksichtigt werden. Für jeden zu überwachenden Botschaftsinhalt können die Vergleichszeiten tzykius, tzyklus.schnell und tinhibit im Uberwachungssystem hinterlegt werden. 4. If At = t 0 -tl <t | nhibit? Where pi denotes the content of a message and t the time of beginning of a message with i = {0, 1}. Indices 0 and 1 indicate the two consecutive messages. For the comparison times tzykius, tz y kius, schneii and tmhibit, a tolerance range can be taken into account. For each message content to be monitored, the comparison times tzykius, tzyklus.schnell and tinhibit can be stored in the monitoring system.
Die gefundenen Merkmale können als sog. Low Level Deskriptoren verstanden werden. Die einfachen Abfragen können einzeln für sich gesehen ohne Bedeutung sein. Aber die The features found can be understood as so-called. Low level descriptors. The simple queries can individually be of no importance. But the
Betrachtung zusammen, d.h. ihre Betrachtung im Ganzen liefert jedoch die gewünschte Consideration together, i. however, their consideration as a whole provides the desired
Information über den Zustand einer Botschaft. Auf diese Weise kann die Erkennung von Bus- Anomalien auf einfachen Abfragen reduziert werden. Information about the state of a message. In this way, the detection of bus anomalies on simple queries can be reduced.
Wie bereits oben angedeutet, können die Low Level Deskriptoren als ein Satz geeigneter Vergleichsoperatoren aufgefasst werden, aus denen ein charakteristischer Zustand abgeleitet werden kann. Es ist dabei selbstverständlich, dass die Vergleiche nicht auf die den obigen Vergleichsoperatoren beschränkt sind, sondern z.B. auch durch„>", , <",„>",„Φ" -Vergleiche und/oder Kombination davon dargestellt werden können. As already indicated above, the low-level descriptors can be understood as a set of suitable comparison operators, from which a characteristic state can be derived. It is understood that the comparisons are not limited to those of the above comparison operators, but e.g. may also be represented by ">", "<", ">", "Φ" comparisons and / or combinations thereof.
Ebenso ist die Verwendung von Low Level Deskriptoren, die nicht auf einen Vergleich der beiden Botschaften miteinander beruhen, möglich. Rein beispielhaft sei hier die Likewise, the use of low-level descriptors, which are not based on a comparison of the two messages together possible. Purely exemplary here is the
Inaktivitätsbedingung bei bestimmten Signalsendearten des CAN Bussystems genannt: Inactivity condition for certain signal transmit types of the CAN bus system called:
5. Ist Pl =Pinaktiv? 5. Is Pl = pin active?
Betrachtet man lediglich die vier oben genannten charakteristischen Eigenschaften der beiden Botschaften, wird durch diese ein Zustand definiert. Die verschiedenen möglichen Zustände sind in der nachfolgenden Wahrheitstabelle dargestellt: Considering only the four characteristic properties of the two messages mentioned above, they define a state. The various possible states are shown in the following truth table:
Zustand At-tzyklus At— tzyklus.schnell At<t|nhibit State At-tcycle breathing cycle. Fast At <t | nhibit
A 1 1 0 0  A 1 1 0 0
B 0 1 0 0  B 0 1 0 0
C 1 0 0 0  C 1 0 0 0
D 0 0 0 0  D 0 0 0 0
E 1 1 1 0  E 1 1 1 0
F 0 1 1 0  F 0 1 1 0
G 1 0 1 0  G 1 0 1 0
H 0 0 1 0  H 0 0 1 0
J X X X 1  J X X X 1
Tabelle 1 Table 1
Dabei zeigt„0" jeweils an, dass die Bedingung nicht erfüllt ist.„1 " zeigt jeweils an, dass die Bedingung erfüllt ist.„X" zeigt an, dass die Bedingung erfüllt oder nicht erfüllt sein kann (d.h. das Ergebnis des Vergleichs beliebig sein kann). In this case, "0" indicates that the condition is not satisfied, "1" indicates that the condition is satisfied, "X" indicates that the condition may be satisfied or not satisfied (ie, the result of the comparison may be arbitrary can be).
Die Wahrheitstabelle 1 kann sowohl für Sendearten des CAN Busses verwendet werden, die Botschaften nur mit einer konstanten Zykluszeit senden, als auch für Sendearten, die The truth table 1 can be used both for transmission types of the CAN bus, which send messages only with a constant cycle time, as well as for transmission types, the
Botschaften mit normalen und kurzen Zykluszeiten senden. Die erstgenannte Sendeart (mit einer konstanten Zykluszeit) stellt einen Sonderfall dar, weil hier lediglich die Einhaltung der normalen Zykluszeit überwacht werden muss, um zusätzlich eingeschleuste Botschaften zu erkennen. Send messages with normal and short cycle times. The former type of transmission (with a constant cycle time) is a special case, because here only the observance of the normal cycle time has to be monitored in order to recognize additionally introduced messages.
Die Zustände B und J kennzeichnen unmittelbar einen Fehler im Zeitverhalten. Die Zustände D und H enthalten jeweils redundante Informationen und können zusammengefasst werden. Die Zustände E und F sind unlogisch und können nicht auftreten. States B and J immediately indicate a timing error. The states D and H each contain redundant information and can be combined. The states E and F are illogical and can not occur.
Für eine vollständige Zustandsbeschreibung können daher die Informationen einer reduzierten Wahrheitstabelle reichen: Zustand At-tzyklus At— tzyklus.schnell At<t|nhibit Anmerkung For a complete description of the condition, therefore, the information of a reduced truth table can be sufficient: State At-cycle cycle cycle. Fast At <t | nhibit Note
J X X X 1 Fehler  J X X X 1 error
B 0 1 0 0 Fehler  B 0 1 0 0 Error
G 1 0 1 0 Wiederholungen  G 1 0 1 0 repetitions
A 1 1 0 0 normaler Betrieb  A 1 1 0 0 normal operation
C 1 0 0 0 OnChange bzw. ifActive beendet C 1 0 0 0 OnChange or ifActive finished
D 0 0 0 0 OnChange bzw. ifActive beendet D 0 0 0 0 OnChange or ifActive finished
Tabelle 2 Table 2
Mittels Tabelle 2 kann eine 4-Bit Information erhalten werden, die den Zustand zweier aufeinanderfolgender Botschaften widergibt und Zeitverhalten wie Botschaftsinhalt By means of Table 2, a 4-bit information can be obtained which reflects the state of two consecutive messages and time behavior such as message content
charakterisiert. Wenn die Überprüfung der Sperrzeit (tinhibit) unabhängig durchgeführt wird (z.B. im Rahmen eines anderen Verfahrens), kann sogar die aus den Spalten 2 bis 4 gebildete 3-Bit Information zur Charakterisierung einer Botschaft ausreichen. Der Vorteil hieran liegt in der Speicherplatzsparenden 4-Bit bzw. 3-Bit Information und der Anwendung einfacher characterized. If the check of the inhibit time (tinhibit) is carried out independently (for example in the context of another method), even the 3-bit information formed from columns 2 to 4 can be sufficient to characterize a message. The advantage of this is the space-saving 4-bit or 3-bit information and the application easier
Vergleichsoperatoren. Es versteht sich von selbst, dass auch weitere Vergleichsoperatoren und entsprechend Informationen mit mehr Bits verwendet werden können. Comparison operators. It goes without saying that also more comparison operators and accordingly information with more bits can be used.
Basierend auf den vorbeschriebenen Vergleichen zur Zustandsbestimmung kann nun allen Botschaften in Fig. 2 ein Zustand zugeordnet werden. Botschaft 220 weist eine normale Zykluszeit auf und entspricht daher Zustand A (siehe Tabelle 1 oder 2). Entsprechend entspricht Botschaft 230 Zustand D, da es sich um eine OnChange-Botschaft handelt. Die Botschaften 240 und 250 markieren Wiederholungen mit schneller Zykluszeit und weisen daher Zustand G auf. Botschaft 260 ist wiederum der Zustand A zugeordnet. In Fig. 2 ist somit ein Zustandswechsel gezeigt. Bei dem in Fig. 2 dargestellten Datenstrom lautet die Abfolge der Zustände somit ... A A D G G A A .... Zeitverhalten und Botschaftsverhalten werden also durch eine zeitliche Abfolge von Zuständen, d.h. einem typischen Muster, dargestellt. Based on the above-described comparisons for state determination, a state can now be assigned to all messages in FIG. 2. Message 220 has a normal cycle time and therefore corresponds to state A (see Table 1 or 2). Accordingly, message 230 corresponds to state D because it is an on-chain message. The messages 240 and 250 mark repetitions with fast cycle time and therefore have state G. Message 260 is again associated with state A. In Fig. 2, a state change is thus shown. Thus, in the data stream shown in FIG. 2, the sequence of states is ... A A D G G A A .... Thus, time behavior and message behavior are represented by a time sequence of states, i. a typical pattern.
Jede Signalsendeart hat im ungestörten Betrieb ein eigenes, typisches Muster über die Zeit. Jede Sendeart weist also eine Referenzabfolge an Zuständen auf. Beispielsweise können die Referenzabfolgen an Zuständen wie folgt aussehen: Sendeart ReferenzabfolgeEach signal transmission type has its own, typical pattern over time in undisturbed operation. Each transmission type thus has a reference sequence of states. For example, the reference sequences to states may look like this: Send Type Reference Sequence
1 Cyclic uA vB 1 Cyclic et al
2 OnChange, Neustart des Zyklus A xD A  2 OnChange, cycle restart A xD A
3 OnChange, Beibehaltung des Zyklus A xD C A  3 OnChange, maintaining the cycle A xD C A
4 OnChangeWithRepetition, Neustart des Zyklus A xD nG A  4 OnChangeWithRepetition, cycle restart A xD nG A
5 OnChangeWithRepetition, Beibehaltung des Zyklus A xD nG A  5 OnChangeWithRepetition, maintaining the cycle A xD nG A
6 IfActiv A u{xD yG} A  6 IfActiv A u {xD yG} A
7 IfActivWithRepetition A u{xD yG} D nG A  7 IfActivWithRepetition A u {xD yG} D nG A
8 OnChangeAndlfActiv A u{xD yG} D A  8 OnChangeAndlfActiv A u {xD yG} D A
9 OnChangeAndlfActivWithRepetition A u{xD yG} v{D nG} A  9 OnChangeAndlfActivWithRepetition A u {xD yG} v {D nG} A
Tabelle 3 Table 3
In Tabelle 3 bezeichnet A, C, D und G wiederum jeweils einen Zustand einer Botschaft. Die Buchstaben u, v, x bezeichnen jeweils eine Variable und n eine Konstante, welche die Anzahl der erlaubten Wiederholungen angeben. Die Klammer {...} bezeichnet jeweils einen In Table 3, A, C, D and G each again designate a state of a message. The letters u, v, x respectively denote a variable and n a constant indicating the number of allowed repetitions. The bracket {...} indicates one each
Musterblock, der entsprechend der vorangestellten Variable u, v wiederholt wird. Pattern block repeated according to the preceding variable u, v.
Da mehrere OnChange Zustände hintereinander auftreten können, ist dies für die jeweiligen Sendearten mit xD berücksichtigt. Wenn wie bei Sendeart 3 nach einem OnChange der alte Takt wieder aufgenommen werden kann, tritt der Zustand C auf. Mit dem Zustand G werden Wiederholungen mit schneller Zykluszeit erkannt. Since several OnChange states can occur consecutively, this is taken into account for the respective transmission types with xD. If, as in transmission mode 3, the old clock can be resumed after an on-hook, state C occurs. State G recognizes repetitions with a fast cycle time.
Wenn es sich nun bei dem in Fig. 2 gezeigten Datenstrom, um einen Datenstrom des CAN Bussystems für Signalsendeart 4 handelt, stimmt die Abfolge der Zustände mit der If the data stream shown in FIG. 2 is a data stream of the CAN bus system for signal transmission mode 4, the sequence of states agrees with the
Referenzabfolge gemäß Tabelle 3 überein (hier ist x=1 und n=2). Würde es sich bei dem Datenstrom um einen Datenstrom des CAN Bussystems für Signalsendeart 3 handeln, würde die Abfolge der Zustände nicht mit der Referenzabfolge gemäß Tabelle 3 übereinstimmen. Somit wäre ein Hinweis auf einen Angriff gegeben, da Abweichungen von dem typischen Muster bzw. Überschreitungen der zulässigen Wiederholungen (d.h. Abweichungen von der Referenzabfolge) direkt auf einen Fehler im Zeitverhalten, d.h. eine Manipulation, hinweisen. Reference sequence according to Table 3 (here x = 1 and n = 2). If the data stream were a data stream of the CAN bus system for signal transmission mode 3, the sequence of states would not correspond to the reference sequence according to Table 3. Thus, there would be an indication of an attack since deviations from the typical pattern or exceedances of the allowable iterations (i.e., deviations from the reference sequence) are directly due to a timing error, i. a manipulation, point out.
Ein Angriff kann z.B. darin bestehen, dass in geringem Abstand Nachricht mit der An attack can e.g. insist that be in close proximity message with the
entsprechenden CAN Identifikation (CAN ID) und dem gewünschten Inhalt eingeschleust werden. Ebenso kann z.B. nach einer Botschaft mit der entsprechenden CAN ID eine weitere Botschaft mit dieser ID und einem angepassten Inhalt eingeschleust werden. Auch kann nach jeder Botschaft mit der entsprechenden CAN ID eine weitere Botschaft mit dieser ID und dem angepassten Inhalt eingeschleust werden, wobei die Sperrzeit eingehalten wird. Zusätzlich kann vor dem nächsten Takt immer die aktuelle, originale Nachricht unter Beachtung der Sperrzeit eingeschleust werden. Alternativ können auch mehrere Botschaften in schneller Zykluszeit eingeschleust werden. Bei einem originalen OnChange wird nicht eingegriffen. corresponding CAN identification (CAN ID) and the desired content. Likewise, for example, after a message with the corresponding CAN ID another message with this ID and a customized content can be introduced. Also, after each message with the corresponding CAN ID another message with this ID and the adapted content, whereby the blocking period is adhered to. In addition, before the next clock, the current, original message can always be inserted taking into account the blocking time. Alternatively, several messages can be introduced in a fast cycle time. An original OnChange will not intervene.
In Zusammenhang mit Figs. 3 und 4 wird nachfolgend ausgeführt, wie durch das bereits oben dargestellt Zählen der Zustände auf einen Angriff geschlossen werden kann. In connection with Figs. 3 and 4 will be explained below, as can be concluded from the counting of states already indicated above for an attack.
In Fig. 3 ist eine ungestörte Sequenz von Botschaften 310, 320, 380 gezeigt. Jede Botschaft hat einen jeweiligen Inhalt 301. Zudem ist jeder Botschaft gemäß den vorbeschriebenen Grundsätzen ein Zustand 302 zugeordnet. Daraus ergibt sich folgende Abfolge (bzw. Muster) 303 der Zustände: A A D D A A A. In Fig. 3 an undisturbed sequence of messages 310, 320, 380 is shown. Each message has a respective content 301. In addition, each message is assigned a state 302 according to the principles described above. This results in the following sequence (or pattern) 303 of the states: A A D D A A A.
Wie bereits oben dargestellt, kann eine einfache Form der Mustererkennung durch As already shown above, a simple form of pattern recognition can be achieved by
Zustandszähler realisiert werden. Dazu wird ein Zähler inkrementiert, wenn innerhalb der Abfolge an Zuständen ein erster Zustand auftritt. Wenn innerhalb der Abfolge an Zuständen ein zweiter Zustand auftritt, wird der Zähler auf seinen Ausgangswert zurückgesetzt. Beispielsweise kann für die Zustände B, C, D und G jeweils ein Zustandszähler verwendet werden. Wenn einer der Zustände B, C, D oder G auftritt, wird der jeweilige Zustandszähler inkrementiert. Der Zustand A bewirkt in diesem Beispiel die Rücksetzung der Zähler. Das Überschreiten der jeweils zulässigen Grenzwerte (Schwellwerte) ist ein direkter Hinweis auf eine Manipulation. State counter can be realized. For this purpose, a counter is incremented if a first state occurs within the sequence of states. If a second state occurs within the sequence of states, the counter is reset to its initial value. For example, for the states B, C, D and G, a state counter can be used in each case. If one of the states B, C, D or G occurs, the respective state counter is incremented. State A in this example causes the counters to be reset. Exceeding the respective permissible limit values (threshold values) is a direct indication of a manipulation.
Während in Fig. 3 das charakteristische Muster eines ungestörten Signals gezeigt ist, zeigt Fig. 4 eine gestörte Sequenz von Botschaften. Neben den auch in Fig. 3 gezeigten originalen Botschaften 310, 320, 380 sind die eingeschleusten Botschaften 410, 420, 480 in Fig. 4 dargestellt. Die Botschaftsinhalte sind wiederum als Ziffern und die Zustände als Buchstaben dargestellt. While the characteristic pattern of undisturbed signal is shown in Fig. 3, Fig. 4 shows a distorted sequence of messages. In addition to the original messages 310, 320, 380 shown in FIG. 3, the inserted messages 410, 420, 480 are shown in FIG. 4. The message contents are again shown as numbers and the states as letters.
Zusätzlich Botschaften ändern das charakteristische Muster, d.h. sie weichen von der In addition, messages change the characteristic pattern, i. they deviate from the
Referenzabfolge der Botschaften ab. Im Beispiel der Fig. 4 kommt im Vergleich zu Fig. 3 der Zustand A aufgrund der zusätzlichen Botschaften 410, 420, 480 nicht mehr vor. Reference sequence of messages from. In the example of FIG. 4, in comparison to FIG. 3, the state A is no longer present due to the additional messages 410, 420, 480.
Entsprechend wird der Zustandszähler für den Zustand D immer weiter inkrementiert und nicht mehr zurückgesetzt. Nach Überschreiten des Schwellwerts für den Zustandszähler des Accordingly, the state counter for the state D is always incremented and not reset. After exceeding the threshold value for the state counter of the
Zustands D bei der Zeit T=170ms wird festgestellt, dass eine Abweichung von der State D at the time T = 170ms is found to be a deviation from the
Referenzabfolge und somit ein Angriff auf das CAN Bussystem vorliegt. Ergänzend zum Zählverfahren kann noch das Muster während eines Zustandswechsel überprüft werden, um die Korrektheit des Musters (der Abfolge an Zuständen) bzw. die richtige Reihenfolge der einzelnen Zustände abzusichern. Eine zusätzlich eingeschleuste Botschaft führt nämlich auch zu einer Änderung im Musterverlauf (der Abfolge an Zuständen), die als Zustandswechsel interpretiert und geprüft werden kann. Aus den möglichen Varianten kann ein Katalog mit erlaubten Zustandsmustern (zweite Referenzabfolgen) erstellt werden, gegen den die Zustandswechsel verglichen werden. Reference sequence and thus an attack on the CAN bus system is present. In addition to the counting process, the pattern can still be checked during a state change in order to ensure the correctness of the pattern (the sequence of states) or the correct order of the individual states. An additionally introduced message also leads to a change in the course of the pattern (the sequence of states), which can be interpreted and checked as a change of state. From the possible variants, a catalog with permitted state patterns (second reference sequences) can be created, against which the state changes are compared.
In Fig. 5 sind verschiedene Sendearten 2 bis 5 eines CAN Bussystems über die Zeit dargestellt. Dabei repräsentiert die Sendeart 2„OnChange" (Neustart des Zyklus), die Sendeart 3 „OnChange" (Beibehaltung des Zyklus), die Sendeart 4„OnChangeWithRepetition" (Neustart des Zyklus) und die Sendeart 5„OnChangeWithRepetition" (Beibehaltung des Zyklus). Zum Zeitpunkt t3 tritt ein Zustandswechsel von A nach D auf. Der Zustandswechsel 510 endet für Sendeart 2 zum Zeitpunkt t4 und für die anderen dargestellten Sendearten zum Zeitpunkt t5, da ab dann wieder der Zustand A auftritt. Das nun zu überprüfende Muster umfasst den Zeitraum vom Beginn bis zum Abschluss eines erkannten Zustandswechsels, d.h. Zustände ungleich A. FIG. 5 shows different transmission modes 2 to 5 of a CAN bus system over time. In this case, transmission mode 2 represents "OnChange" (cycle restart), transmission mode 3 "OnChange" (cycle maintenance), transmission mode 4 "OnChangeWithRepetition" (cycle restart) and transmission mode 5 "OnChangeWithRepetition" (maintenance of the cycle). At time t 3 , a state change from A to D occurs. The state change 510 ends for transmission type 2 at time t 4 and for the other types of transmission shown at time t 5 , since then again the state A occurs. The pattern to be checked now covers the period from the beginning to the conclusion of a detected state change, ie states other than A.
Das heißt, für jede Signalsendeart wird ein Teilbereich 520 der dargestellten Abfolge an That is, for each signal transmission mode, a portion 520 of the illustrated sequence will become
Zuständen mit einer zweiten Referenzabfolge verglichen. Der Teilbereich 520 der Abfolge an Zuständen umfasst dabei nur Zustände, die von einem zweiten Zustand (hier A) verschieden sind. Wenn der Teilbereich 520 der Abfolge an Zuständen von der zweiten Referenzabfolge abweicht, wird bestimmt, dass ein Angriff auf das CAN Bussystem vorliegt. States compared with a second reference sequence. The sub-region 520 of the sequence of states in this case comprises only states that are different from a second state (here A). If the portion 520 of the sequence of states deviates from the second reference sequence, it is determined that there is an attack on the CAN bus system.
In Fig. 6 ist noch eine Überwachung mittels erweiterter Mustererkennung gezeigt. Mit dem vorbeschriebenen Verfahren können z.B. die vorbeschriebenen Angriffe zuverlässig erkannt werden. Einzelne, gezielte Angriffe unter Umständen jedoch nicht. FIG. 6 also shows monitoring by means of extended pattern recognition. With the method described above, e.g. the above-described attacks are reliably detected. Individual, targeted attacks may not.
Neben den originalen Botschaften 610, 620, 690 sind in den Datenstrom der Fig. 6 ab dem Zeitpunkt T=340ms noch die Botschaften 601 und 602 eingeschleust, die einen In addition to the original messages 610, 620, 690, the messages 601 and 602 are still introduced into the data stream of FIG. 6 from the time T = 340 ms on
Zustandswechsel vortäuschen sollen. To simulate state change.
Mit dem Zählverfahren und der Mustererkennung basierend auf dem Vergleich zweier direkt aufeinanderfolgender Botschaften kann diese Anomalie unter Umständen nicht erkannt werden, da die jeweiligen Zustandszähler ihren Schwellwert nicht überschreiten. Jedoch kann ein Vergleich der Botschaftsinhalte vor und nach einem regulären oder manipulierten With the counting method and the pattern recognition based on the comparison of two directly consecutive messages, this anomaly may under certain circumstances not be recognized, since the respective state counters do not exceed their threshold value. However, a comparison of the message contents before and after a regular or manipulated
Zustandswechsel Abhilfe schaffen. Wie durch die Pfeile 603 und 604 angedeutet, kann der Inhalt einer ersten Botschaft der Mehrzahl an Botschaften mit dem Inhalt einer zweiten Botschaft der Mehrzahl an Botschaften verglichen werden. Der Zustand der ersten Botschaft 630 bzw. 670 ist gleich dem Zustand der zweiten Botschaft 660 bzw. 690 (nämlich A). Zwischen der ersten Botschaft 630 bzw. 670 und der zweiten Botschaft 660 bzw. 690 werden jeweils Botschaften 640 und 650 bzw. 601 und 602 mit einem von dem Zustand der ersten Botschaft 630 bzw. 670 verschiedenen Zustand (hier D) über das CAN Bussystem übertragen. Change of state remedy. As indicated by arrows 603 and 604, the content of a first message of the plurality of messages may be compared to the content of a second message of the plurality of messages. The state of the first message 630 or 670 is equal to the state of the second message 660 or 690 (namely A). Messages 640 and 650 or 601 and 602 are transmitted between the first message 630 or 670 and the second message 660 or 690, respectively, with a state different from the state of the first message 630 or 670 (here D) via the CAN bus system ,
Bei einem regulären Zustandswechsel ändert sich der Botschaftsinhalt. Während die Botschaft 630 den Inhalt 1 hat, hat die zweite Botschaft 660 den Inhalt 3. Die Botschaften 630 und 660 sind nur durch die regulären Botschaften 640 und 650 mit jeweils Zustand D getrennt. With a regular state change, the message content changes. While the message 630 has the content 1, the second message 660 has the content 3. The messages 630 and 660 are separated only by the regular messages 640 and 650, each having state D.
Bei einem irregulären Zustandswechsel ändert sich der Botschaftsinhalt nicht. Sowohl die erste Botschaft 670 als auch die zweite Botschaft 690 haben den Inhalt 3. Die Botschaften 670 und 690 sind durch die irregulären Botschaften 601 und 602 mit jeweils Zustand D getrennt. Der Vergleich der Botschaftsinhalte ermöglicht somit die Detektion der irregulären (eingeschleusten) Botschaften 601 und 602. In an irregular state change, the message content does not change. Both the first message 670 and the second message 690 have the content 3. The messages 670 and 690 are separated by the irregular messages 601 and 602, each having state D. The comparison of the message contents thus enables the detection of the irregular (injected) messages 601 and 602.
Somit kann zuverlässig bestimmt werden, ob ein Angriff auf das CAN Bussystem vorliegt. Thus, it can be reliably determined whether there is an attack on the CAN bus system.
Für den Vergleich der Botschaftsinhalte kann beispielsweise der Botschaftsinhalt vor einem Zustandswechsel gespeichert werden. For example, to compare the message contents, the message content may be stored prior to a state change.
In Fig. 7 ist nun dargestellt, wie detektierte Angriffe effektiv gespeichert und zu einem In Fig. 7 is now shown how detected attacks effectively stored and to a
Verantwortlichen für das CAN Bussystem übertragen werden können. Responsible for the CAN bus system can be transferred.
Um einen Angriff umfassend analysieren zu können, kann es hilfreich sein, möglichst detaillierte Informationen zu speichern und/oder an einen Verantwortlichen (z.B. an eine zentrale Stelle bzw. einen Leitstand) zu übertragen. Beispielsweise kann eine Nachricht an eine To comprehensively analyze an attack, it may be helpful to store as much detailed information as possible and / or to transmit it to a controller (e.g., a central office or control room). For example, a message to a
Empfangsvorrichtung einer Überwachungsstelle für das CAN Bussystem gesendet werden, wenn bestimmt wird, dass ein Angriff auf das CAN Bussystem vorliegt. Die Nachricht umfasst dann z.B. Informationen über den Angriff auf das serielle Kommunikationssystem. Dabei kann aber nicht nur der Angriff gemeldet werden, sondern auch ein bestimmter Zeitraum vor und/oder nach dem Angriff. Mit anderen Worten: Die Informationen über den Angriff auf das CAN Receiving device a monitoring point for the CAN bus system are sent when it is determined that an attack on the CAN bus system is present. The message then includes e.g. Information about the attack on the serial communication system. However, not only the attack can be reported, but also a certain period before and / or after the attack. In other words, the information about the attack on the CAN
Bussystem können Informationen über zumindest einen Teilbereich der untersuchten Abfolge an Zuständen umfassen. Das hierfür benötigte Datenvolumen kann dabei jedoch so groß werden, dass eine Übertragung nicht möglich ist und/oder der Speicherplatz des Bus system can provide information about at least a portion of the investigated sequence at states. However, the data volume required for this can become so large that a transfer is not possible and / or the storage space of
Erkennungssystems nicht ausreicht. Detection system is insufficient.
Wie bereits oben beschrieben, lässt sich aus den Zustandsmustern (Abfolgen der Zustände) eine einfache und speicherplatzsparende Möglichkeit zur Verlaufsdatenspeicherung ableiten. Mit den oben beschriebenen 4-Bit Informationen (oder Informationen anderer Bitlänge - siehe oben) kann das Zeitverhalten bzw. der Botschaftsinhalt näherungsweise beschrieben werden. Durch Übertragung der 4-Bit Information an eine Empfangsvorrichtung einer As already described above, it is possible to derive from the state patterns (sequences of states) a simple and space-saving possibility for historical data storage. With the 4-bit information described above (or other bit length information - see above), the timing or message content can be approximated. By transmitting the 4-bit information to a receiving device of a
Überwachungsstelle für das CAN Bussystem kann eine effektive Speicherung bzw. Monitoring point for the CAN bus system can be an effective storage or
Übermittlung ermöglicht werden. Transmission are allowed.
Eine Botschaft kann sich aus mehreren Signalen zusammensetzten. Beispielsweise ist in Fig. 7 gezeigt, dass sich die Botschaft 710 zum Zeitpunkt tO aus den mehreren Signalen A, B, C, ... zusammensetzt. Auch die weiteren Botschaften 720 und 730 zu den Zeitpunkten t1 und t2 werden mittels dieser Mehrzahl an Signal A, B, C, ... über das CAN Bussystem übertragen. Mit anderen Worten: Eine Mehrzahl an Botschaften wird jeweils über eine Mehrzahl an Signalen über das CAN Bussystem übertragen. A message can be composed of several signals. For example, it is shown in FIG. 7 that the message 710 is composed of the plurality of signals A, B, C,. The further messages 720 and 730 at the times t1 and t2 are also transmitted by means of this plurality of signals A, B, C,... Via the CAN bus system. In other words, a plurality of messages are each transmitted via a plurality of signals via the CAN bus system.
Für die Analyse eines Angriffs kann es hilfreich sein, zu wissen, welche Signale angegriffen worden sind. Diese Information kann z.B. über einen Vergleich der Signale für zwei When analyzing an attack, it may be helpful to know which signals have been attacked. This information may e.g. about comparing the signals for two
aufeinanderfolgende Botschaften erhalten werden. Das erfindungsgemäße Verfahren kann daher ein Vergleichen eines einer Botschaft zugeordneten Signalabschnitts eines ersten der Mehrzahl an Signalen mit einem einer vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals umfassen. Dieser Vergleich kann für einen Teil oder sämtliche der Mehrzahl an verwendeten Signalen ausgeführt werden. Entsprechend kann die an Überwachungsstelle für das CAN Bussystem übermittelte Informationen über den Angriff auf das CAN Bussystem eine Information über ein Ergebnis des Vergleichs des der Botschaft zugeordneten successive messages are received. The method according to the invention can therefore comprise comparing a signal portion of a first of the plurality of signals associated with a message with a signal portion of the first signal assigned to a preceding message. This comparison may be carried out for some or all of the plurality of signals used. Correspondingly, the information transmitted to the monitoring point for the CAN bus system about the attack on the CAN bus system can provide information about a result of the comparison of the message assigned to the message
Signalabschnitts des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals umfassen. Entsprechend kann die übermittelte Signal portion of the first signal with the signal associated with the preceding message signal portion of the first signal. Accordingly, the transmitted
Informationen über den Angriff auf das CAN Bussystem auch Informationen über Ergebnisse der Vergleiche der weiteren Signale umfassen. Information about the attack on the CAN bus system also includes information about results of comparisons of the further signals.
Dies ist in Fig. 7 beispielhaft für die Botschaften 720 und 730 dargestellt. Für die Botschaft 720 umfassen die an die Überwachungsstelle für das CAN Bussystem übermittelten Informationen 721 über den Angriff auf das CAN Bussystem den Zustand 722 der Botschaft 720 als 4-Bit Information und die Information 723 über die Ergebnisse der Vergleiche der der Botschaft 720 zugeordneten Signalabschnitte der Mehrzahl an Signalen A, B, C, ... mit den der This is illustrated in FIG. 7 by way of example for the messages 720 and 730. For the message 720, the CAN bus system information 721 transmitted to the CAN bus system includes state 722 of the message 720 as 4-bit Information and the information 723 on the results of comparisons of the message 720 associated signal sections of the plurality of signals A, B, C, ... with the
vorangehenden Botschaft 710 zugeordneten Signalabschnitte der Mehrzahl an Signalen A, B, C, .... Entsprechend umfassen die an die Überwachungsstelle für das CAN Bussystem übermittelten Informationen 731 über den Angriff auf das CAN Bussystem für die Botschaft 730 den Zustand 732 der Botschaft 730 als 4-Bit Information und die Information 733 über die Ergebnisse der Vergleiche der der Botschaft 730 zugeordneten Signalabschnitte der Mehrzahl an Signalen A, B, C, ... mit den der vorangehenden Botschaft 720 zugeordneten Accordingly, the information 731 transmitted to the monitoring point for the CAN bus system via the attack on the CAN bus system for the message 730 includes the state 732 of the message 730 as associated with preceding message 710 4-bit information and the information 733 on the results of comparisons of the signal portions of the plurality of signals A, B, C,... Associated with the message 730 with those associated with the preceding message 720
Signalabschnitte der Mehrzahl an Signalen A, B, C, .... Signal sections of the plurality of signals A, B, C, ....
Die Übereinstimmung zweier Signale (bzw. Signalabschnitte) kann z.B. mit einer„1 " kodiert werden, während die Nichtübereinstimmung mit einer„0" kodiert wird (oder umgekehrt). Mit anderen Worten: Die an Überwachungsstelle für das CAN Bussystem übermittelte Information über das Ergebnis des Vergleichs kann eine binäre Information sein, die anzeigt, ob der der Botschaft zugeordnete Signalabschnitt eines Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des Signals übereinstimmt. Derart kann eine Datenreduktion erreicht werden. Die Anzahl der für die Übertragung benötigten Bits ergibt sich aus der Anzahl der für die Übertragung der Botschaft verwendeten Signale. The coincidence of two signals (or signal sections) can be e.g. are encoded with a "1" while the mismatch is encoded with a "0" (or vice versa). In other words, the information about the result of the comparison transmitted to the monitoring point for the CAN bus system can be binary information which indicates whether the signal portion of a signal assigned to the message matches the signal portion of the signal assigned to the preceding message. In this way, a data reduction can be achieved. The number of bits required for transmission is determined by the number of signals used to transmit the message.
Die Zustandsmuster (Abfolgen der Zustände) als auch die Vergleichsinformationen können Hinweise zum Verlauf eines Angriffs auf einen bestimmten Botschaftsinhalt bzw. -signal liefern und gemäß den in Zusammenhang mit Fig. 7 beschriebenen Grundsätzen effektiv an z.B. einen Leitstand gemeldet werden bzw. im Erkennungssystem (d.h. einer Vorrichtung, die das erfindungsgemäße Verfahren ausführt) gespeichert werden. The state patterns (sequences of states) as well as the comparison information can provide indications of the course of an attack on a particular message content and, in accordance with the principles described in connection with FIG. a control station is reported or stored in the recognition system (i.e., a device implementing the method of the invention).
Im Weiteren zeigt Fig. 8 eine Vorrichtung 800 zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem 810. Die Vorrichtung 800 umfasst eine Prozessorschaltung 810, die eingerichtet ist, einen jeweiligen Zustand einer Mehrzahl an über das serielle 8 shows an apparatus 800 for detecting an attack on a serial communication system 810. The apparatus 800 comprises a processor circuit 810 which is adapted to connect a respective state of a plurality via the serial
Kommunikationssystem 820 übertragener Botschaften zu bestimmen, um eine Abfolge an Zuständen zu erhalten. Der Zustand einer der Mehrzahl an Botschaften basiert jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften. Ferner ist die Prozessorschaltung 810 eingerichtet, die Abfolge an Zuständen mit zumindest einer Referenzabfolge zu vergleichen und zu bestimmen, dass ein Angriff auf das serielle Kommunikationssystem 820 vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht. Die Zustandsklassifizierung einer Botschaft wie auch der Vergleich der Abfolge an Zuständen mit der zumindest einen Referenzabfolge durch die Prozessorschaltung 810 kann sehr effizient und mit geringer Rechenleistung ausgeführt werden, so dass die Vorrichtung 800 eine einfache und effiziente Überwachung des seriellen Kommunikationssystems 820 ermöglichen kann. Communication system 820 transmitted messages to obtain a sequence of states. The state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively. Further, the processor circuit 810 is configured to compare the sequence of states to at least one reference sequence and to determine that there is an attack on the serial communication system 820 if the sequence of states deviates from the reference sequence. The state classification of a message as well as the comparison of the sequence of states with the at least one Reference sequence through the processor circuitry 810 may be performed very efficiently and with low computational power so that the apparatus 800 may facilitate easy and efficient monitoring of the serial communication system 820.
Weitere Details und Aspekte der Vorrichtung 800 sind in Zusammenhang mit einem oder mehreren weiteren Ausführungsbeispielen beschrieben. Die Vorrichtung 800 kann eines oder mehrere optionale Merkmale gemäß einem oder mehreren der weiteren Ausführungsbeispiele umfassen. Further details and aspects of the apparatus 800 are described in conjunction with one or more other embodiments. The device 800 may include one or more optional features according to one or more of the further embodiments.
Zuletzt zeigt Fig. 9 noch ein Fahrzeug 900 samt eines CAN Bussystems 920 des Fahrzeugs 900. Das Fahrzeug umfasst ferner eine erfindungsgemäße Vorrichtung 910 zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem. Über die Vorrichtung 910 können Angriffe auf das CAN Bussystem 920 des Fahrzeugs 900 effizient und mit geringer Finally, FIG. 9 also shows a vehicle 900 including a CAN bus system 920 of the vehicle 900. The vehicle further comprises a device 910 according to the invention for detecting an attack on a serial communication system. Via the device 910, attacks on the CAN bus system 920 of the vehicle 900 can be efficiently and with less
Rechenleistung erkannt werden. Computing power can be detected.
Bezugszeichenliste LIST OF REFERENCE NUMBERS
100 Verfahren zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem 102 Bestimmen eines jeweiligen Zustands A method for detecting an attack on a serial communication system 102 determining a respective state
104 Vergleichen der Abfolge an Zuständen 104 comparing the sequence of states
106a Bestimmen, dass ein Angriff vorliegt  106a Determine that there is an attack
106b Bestimmen, dass kein Angriff vorliegt  106b Determine that there is no attack
210 Botschaft  210 message
220 Botschaft  220 message
230 Botschaft  230 message
240 Botschaft  240 message
250 Botschaft  250 message
260 Botschaft  260 message
301 Inhalt einer Botschaft  301 Content of a message
302 Zustand  302 state
303 Abfolge an Zuständen  303 sequence of states
310 originale Botschaft  310 original message
320 originale Botschaft  320 original message
330 originale Botschaft  330 original message
340 originale Botschaft  340 original message
350 originale Botschaft  350 original message
360 originale Botschaft  360 original message
370 originale Botschaft  370 original message
380 originale Botschaft  380 original message
410 eingeschleuste Botschaft 420 eingeschleuste Botschaft 410 inserted message 420 inserted message
430 eingeschleuste Botschaft  430 message inserted
440 eingeschleuste Botschaft  440 embarked message
450 eingeschleuste Botschaft  450 embassy
460 eingeschleuste Botschaft  460 embarked message
470 eingeschleuste Botschaft  470 message inserted
480 eingeschleuste Botschaft  480 inserted message
510 Zustandswechsel  510 state change
520 Teilbereich einer Abfolge an Zuständen  520 Part of a sequence of states
601 eingeschleuste Botschaft  601 message inserted
602 eingeschleuste Botschaft  602 message inserted
603 Pfeil  603 arrow
604 Pfeil  604 arrow
610 originale Botschaft  610 original message
620 originale Botschaft  620 original message
630 originale Botschaft  630 original message
640 originale Botschaft  640 original message
650 originale Botschaft  650 original message
660 originale Botschaft  660 original message
670 originale Botschaft  670 original message
680 originale Botschaft  680 original message
690 originale Botschaft  690 original message
710 Botschaft  710 message
720 Botschaft  720 message
721 Informationen über den Angriff auf das CAN Bussystem 721 Information about the attack on the CAN bus system
722 Zustand der Botschaft 722 State of the message
723 Information über die Ergebnisse der Vergleiche 730 Botschaft 723 Information about the results of the comparisons 730 message
731 Informationen über den Angriff auf das CAN Bussystem  731 Information about the attack on the CAN bus system
732 Zustand der Botschaft  732 State of the message
733 Information über die Ergebnisse der Vergleiche  733 Information about the results of the comparisons
800 Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem 800 Device for detecting an attack on a serial communication system
810 Prozessorschaltung 810 processor circuit
820 serielles Kommunikationssystem  820 serial communication system
900 Fahrzeug  900 vehicle
910 Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem 920 CAN Bussystem  910 Device for detecting an attack on a serial communication system 920 CAN bus system

Claims

Patentansprüche claims
1. Verfahren (100) zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem, umfassend: A method (100) for detecting an attack on a serial communication system, comprising:
Bestimmen (102) eines jeweiligen Zustands einer Mehrzahl an über das serielle Determining (102) a respective state of a plurality of via the serial
Kommunikationssystem übertragener Botschaften, um eine Abfolge an Zuständen zu erhalten, wobei der Zustand einer der Mehrzahl an Botschaften jeweils auf einer Mehrzahl an Communication system of transmitted messages to obtain a sequence of states, wherein the state of one of the plurality of messages each on a plurality of
Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften basiert; Characteristics of the message and a plurality of attributes of a preceding message of the plurality of messages;
Vergleichen (104) der Abfolge an Zuständen mit zumindest einer Referenzabfolge; und Comparing (104) the sequence of states with at least one reference sequence; and
Bestimmen (106a), dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht. Determining (106a) that an attack on the serial communication system exists if the sequence of states deviates from the reference sequence.
2. Verfahren nach Anspruch 1 , wobei der Zustand der Botschaft zumindest auf einem ersten Vergleich eines Inhalts der Botschaft mit einem Inhalt der vorangehenden Botschaft sowie auf einem zweiten Vergleich der zeitlichen Differenz zwischen einem Beginn der Botschaft und einem Beginn der vorangehenden Botschaft mit einem Vergleichswert basiert. The method of claim 1, wherein the state of the message is based on at least a first comparison of a content of the message with a content of the preceding message and a second comparison of the time difference between a beginning of the message and a beginning of the preceding message with a comparison value ,
3. Verfahren nach Anspruch 1 oder Anspruch 2, wobei das Vergleichen (104) der Abfolge an Zuständen mit zumindest einer Referenzabfolge Folgendes umfasst: 3. The method of claim 1 or claim 2, wherein comparing (104) the sequence of states having at least one reference sequence comprises:
Inkrementieren eines Zählers, wenn innerhalb der Abfolge an Zuständen ein erster Zustand auftritt; Incrementing a counter when a first condition occurs within the sequence of states;
Zurücksetzen des Zählers auf einen Ausgangswert, wenn innerhalb der Abfolge an Zuständen ein zweiter Zustand auftritt; und Resetting the counter to an output value when a second state occurs within the sequence of states; and
Bestimmen, dass die Abfolge an Zuständen von der Referenzabfolge abweicht, wenn der Zähler einen Schwellwert überschreitet. Determining that the sequence of states deviates from the reference sequence when the counter exceeds a threshold.
4. Verfahren nach Anspruch 3, wobei das Verfahren ferner Folgendes umfasst: 4. The method of claim 3, further comprising:
Vergleichen eines Teilbereichs der Abfolge an Zuständen mit zumindest einer zweiten Comparing a subset of the sequence of states with at least one second one
Referenzabfolge, wobei der Teilbereich der Abfolge an Zuständen nur Zustände umfasst, die von dem zweiten Zustand verschieden sind; und Reference sequence, wherein the portion of the sequence of states includes only states other than the second state; and
Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn der Teilbereich der Abfolge an Zuständen von der zweiten Referenzabfolge abweicht. Determining that an attack on the serial communication system exists if the portion of the sequence of states deviates from the second reference sequence.
5. Verfahren nach einem der Ansprüche 1 bis 4, wobei das Verfahren ferner Folgendes umfasst: 5. The method according to any one of claims 1 to 4, wherein the method further comprises:
Vergleichen des Inhalts einer ersten Botschaft der Mehrzahl an Botschaften mit dem Inhalt einer zweiten Botschaft der Mehrzahl an Botschaften, wobei der Zustand der ersten Botschaft gleich dem Zustand der zweiten Botschaft ist, und wobei zwischen der ersten und der zweiten Botschaft zumindest eine dritte Botschaft mit einem von dem Zustand der ersten Botschaft verschiedenen Zustand über das serielle Kommunikationssystem übertragen wird; und Comparing the content of a first message of the plurality of messages with the content of a second message of the plurality of messages, wherein the state of the first message equals the state of the second message, and wherein between the first and second messages at least one third message having a is transmitted from the state of the first message different state via the serial communication system; and
Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn der Inhalt der zweiten Botschaft gleich dem Inhalt der ersten Botschaft ist. Determining that an attack on the serial communication system exists if the content of the second message equals the content of the first message.
6. Verfahren nach einem der Ansprüche 1 bis 5, wobei das Verfahren Folgendes umfasst: 6. The method according to any one of claims 1 to 5, wherein the method comprises:
Senden einer Nachricht an eine Empfangsvorrichtung einer Überwachungsstelle für das serielle Kommunikationssystem, wenn bestimmt wird, dass ein Angriff auf das serielle Sending a message to a receiving device of a monitoring point for the serial communication system when it is determined that an attack on the serial
Kommunikationssystem vorliegt, wobei die Nachricht Informationen über den Angriff auf das serielle Kommunikationssystem umfasst. Communication system is present, wherein the message includes information about the attack on the serial communication system.
7. Verfahren nach Anspruch 6, wobei die Informationen über den Angriff auf das serielle Kommunikationssystem Informationen über zumindest einen Teilbereich der Abfolge an Zuständen umfassen. The method of claim 6, wherein the serial communication system attack information includes information about at least a portion of the sequence of states.
8. Verfahren nach Anspruch 6 oder Anspruch 7, wobei die Mehrzahl an Botschaften jeweils über eine Mehrzahl an Signalen über das serielle Kommunikationssystem übertragen wird, wobei das Verfahren ferner ein Vergleichen eines der Botschaft zugeordneten Signalabschnitts eines ersten der Mehrzahl an Signalen mit einem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals umfasst, und wobei die Informationen über den Angriff auf das serielle Kommunikationssystem eine Information über ein Ergebnis des Vergleichs des der Botschaft zugeordneten Signalabschnitts des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals umfasst. The method of claim 6 or claim 7, wherein the plurality of messages are each transmitted over a plurality of signals via the serial communication system, the method further comprising comparing a signal portion associated with the message of a first one of the plurality of signals with one of the preceding message assigned Comprises signal portion of the first signal, and wherein the information on the attack on the serial communication system comprises information about a result of the comparison of the message associated signal portion of the first signal with the signal associated with the preceding message signal portion of the first signal.
9. Verfahren nach Anspruch 8, wobei die Information über das Ergebnis des Vergleichs eine binäre Information ist, die anzeigt, ob der der Botschaft zugeordnete Signalabschnitt des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals übereinstimmt. The method of claim 8, wherein the information about the result of the comparison is binary information indicating whether the signal portion of the first signal associated with the message matches the signal portion of the first signal associated with the preceding message.
10. Verfahren nach einem der vorhergehenden Ansprüche, wobei das serielle 10. The method according to any one of the preceding claims, wherein the serial
Kommunikationssystem ein Controller Area Network Bussystem ist. Communication system is a controller area network bus system.
1 1. Verfahren nach Anspruch 10, wobei die Referenzabfolge abhängig von einer Sendeart des Controller Area Network Bussystems gewählt ist. 1 1. The method of claim 10, wherein the reference sequence is selected depending on a transmission type of the controller area network bus system.
12. Verfahren nach Anspruch 10 oder Anspruch 1 1 , wobei der Vergleichswert eine erste verwendete Zykluszeit, eine zweite verwendete Zykluszeit oder eine Sperrzeit des Controller Area Network Bussystems ist. 12. The method of claim 10 or claim 11, wherein the comparison value is a first used cycle time, a second used cycle time or a blocking time of the controller area network bus system.
13. Programm mit einem Programmcode zum Durchführen eines der Verfahren gemäß einem der Ansprüche 1 bis 12, wenn der Programmcode auf einem Computer, einem Prozessor oder einer programmierbaren Hardwarekomponente ausgeführt wird. A program code program for performing any of the methods of any one of claims 1 to 12 when the program code is executed on a computer, a processor, or a programmable hardware component.
14. Vorrichtung (800) zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem (820), wobei die Vorrichtung (800) eine Prozessorschaltung (810) umfasst, die eingerichtet ist: einen jeweiligen Zustand einer Mehrzahl an über das serielle Kommunikationssystem (820) übertragener Botschaften zu bestimmen, um eine Abfolge an Zuständen zu erhalten, wobei der Zustand einer der Mehrzahl an Botschaften jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften basiert; die Abfolge an Zuständen mit zumindest einer Referenzabfolge zu vergleichen; und zu bestimmen, dass ein Angriff auf das serielle Kommunikationssystem (820) vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht. 14. An apparatus (800) for detecting an attack on a serial communication system (820), the apparatus (800) comprising a processor circuit (810) configured to: a respective state of a plurality of messages transmitted via the serial communication system (820) determining to obtain a sequence of states, wherein the state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of attributes of a preceding message of the plurality of messages, respectively; compare the sequence of states with at least one reference sequence; and determine that an attack on the serial communication system (820) is present if the sequence of states differs from the reference sequence.
15. Fahrzeug (900) mit einer Vorrichtung (910) zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem gemäß Anspruch 14, wobei das serielle Kommunikationssystem ein Controller Area Network Bussystem (920) des Fahrzeugs (900) ist. 15. A vehicle (900) having an apparatus (910) for detecting an attack on a serial communication system according to claim 14, wherein the serial communication system is a controller area network bus system (920) of the vehicle (900).
EP18762061.2A 2017-09-12 2018-08-27 Method and device for detecting an attack on a serial communications system Pending EP3682610A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017216096.9A DE102017216096A1 (en) 2017-09-12 2017-09-12 Method and apparatus for detecting an attack on a serial communication system
PCT/EP2018/073031 WO2019052798A1 (en) 2017-09-12 2018-08-27 Method and device for detecting an attack on a serial communications system

Publications (1)

Publication Number Publication Date
EP3682610A1 true EP3682610A1 (en) 2020-07-22

Family

ID=63407213

Family Applications (1)

Application Number Title Priority Date Filing Date
EP18762061.2A Pending EP3682610A1 (en) 2017-09-12 2018-08-27 Method and device for detecting an attack on a serial communications system

Country Status (5)

Country Link
US (1) US11522876B2 (en)
EP (1) EP3682610A1 (en)
CN (1) CN111133727B (en)
DE (1) DE102017216096A1 (en)
WO (1) WO2019052798A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017218134B3 (en) * 2017-10-11 2019-02-14 Volkswagen Aktiengesellschaft A method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted
US11487872B2 (en) * 2018-12-07 2022-11-01 Hewlett Packard Enterprise Development Lp Detection of hardware security attacks
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
EP3726776A1 (en) * 2019-04-18 2020-10-21 Xantaro Deutschland GmbH Method for an autonomic or ai-assisted validation and/or rejection and/or decision making regarding bus messages on a controller area network bus system, controller area network bus system, detection and/or decision entity, computer program and computer-readable medium

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7116668B2 (en) * 2001-10-09 2006-10-03 Telefunaktiebolaget Lm Ericsson (Publ) Method for time stamp-based replay protection and PDSN synchronization at a PCF
EP2299650A1 (en) 2009-09-21 2011-03-23 Siemens Aktiengesellschaft Method for recognising anomalies in a control network
US9401923B2 (en) * 2013-10-23 2016-07-26 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
US9734121B2 (en) * 2014-04-28 2017-08-15 Qualcomm Incorporated Sensors global bus
US20160173513A1 (en) * 2014-12-10 2016-06-16 Battelle Energy Alliance, Llc. Apparatuses and methods for security in broadcast serial buses
WO2016108963A1 (en) 2014-12-30 2016-07-07 Battelle Memorial Institute Temporal anomaly detection on automotive networks
DE102015205670A1 (en) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Attack detection method, attack detection device and bus system for a motor vehicle
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US11252180B2 (en) 2015-06-29 2022-02-15 Argus Cyber Security Ltd. System and method for content based anomaly detection in an in-vehicle communication network
KR101714520B1 (en) * 2015-10-30 2017-03-09 현대자동차주식회사 In-Vehicle Network Attack Detection Method and Apparatus
CN107111716B (en) * 2015-12-14 2022-03-29 松下电器(美国)知识产权公司 Evaluation device, evaluation system, and evaluation method
WO2018104929A1 (en) * 2016-12-07 2018-06-14 Arilou Information Security Technologies Ltd. System and method for using signal waveform analysis for detecting a change in a wired network

Also Published As

Publication number Publication date
US11522876B2 (en) 2022-12-06
CN111133727A (en) 2020-05-08
US20210067523A1 (en) 2021-03-04
WO2019052798A1 (en) 2019-03-21
CN111133727B (en) 2022-09-06
DE102017216096A1 (en) 2019-03-14

Similar Documents

Publication Publication Date Title
EP3278529B1 (en) Attack detection method, attack detection device and bus system for a motor vehicle
WO2019052798A1 (en) Method and device for detecting an attack on a serial communications system
DE112012006879B4 (en) New approach to handling a controller area network bus-off
EP1326470A2 (en) Method and device for authenticating a subscriber in a communications network
DE102019207423A1 (en) Method and system for detecting coupled message anomalies
EP3684015B1 (en) Device and method for classifying data in particular for a controller area network or an automotive ethernet network
DE102018201718A1 (en) Method and device for detecting an anomaly in a data stream in a communication network
DE102017208553A1 (en) Method for protecting a network from cyber attack
DE102017202176B4 (en) Method for detecting manipulation of a respective data network of at least one motor vehicle and server device
EP3432507A1 (en) Monitoring of a block chain
EP3523941B1 (en) Communication data authentication device for a vehicle
WO2018060250A1 (en) Method and system for protecting an on-board communication network of a motor vehicle
EP3641231A1 (en) Method and device for monitoring data communication
DE69913152T2 (en) Replace special characters in a data stream
WO2016169646A1 (en) System and method for monitoring the integrity of a component delivered by a server system to a client system
DE102010028485A1 (en) Method and device for securing data packets to be transmitted via an interface
EP2405317B1 (en) Method for entering parameters for a security device securely
EP2618226B1 (en) Industrial automation system and method for its protection
DE102018221349A1 (en) Procedure for managing a store
EP3912325B1 (en) Method and control unit for detecting unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle
DE102021210902A1 (en) TECHNIQUES FOR DETECTING AN INtrusion into a bus system
DE102021210429A1 (en) Method for detecting manipulation of a bus system
WO2007009838A1 (en) Data transmission method and data transmission system
DE102022209766A1 (en) COMPUTER-IMPLEMENTED METHOD FOR INITIATING MITIGATION MEASURES IN A SYSTEM
DE102022201899A1 (en) MITIGATION OF MANIPULATION OF SOFTWARE OF A VEHICLE

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20200414

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20210610