WO2022233584A1 - Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren - Google Patents

Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren Download PDF

Info

Publication number
WO2022233584A1
WO2022233584A1 PCT/EP2022/060536 EP2022060536W WO2022233584A1 WO 2022233584 A1 WO2022233584 A1 WO 2022233584A1 EP 2022060536 W EP2022060536 W EP 2022060536W WO 2022233584 A1 WO2022233584 A1 WO 2022233584A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
data
data stream
land
attack
Prior art date
Application number
PCT/EP2022/060536
Other languages
English (en)
French (fr)
Inventor
Krishna Pandit
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to EP22725710.2A priority Critical patent/EP4315751A1/de
Publication of WO2022233584A1 publication Critical patent/WO2022233584A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Definitions

  • the invention relates to a method and a system for detecting a data attack on a vehicle.
  • IDS intrusion detection systems
  • a technical data attack on a first communication network, with the attack originating from a second communication network, can be prevented, for example, by allowing data transmission exclusively from the first communication network in the direction of the second communication network (i.e. in a single direction).
  • DE 102015 108 109 A1 describes a solution for connecting a first and second communication network, in which for the unidirectional transmission of data in a system that includes the first and second communication network, between a transmitter of the first communication network and a receiver of the second communication network data diode is connected.
  • WO 2018/162176 A1 describes a gateway device for a rail vehicle.
  • the gateway device is designed to control a transmission of data between a first network of the vehicle and a second network of the vehicle depending on a vehicle status.
  • the first network comprises an operator network and the second network comprises a control network, the control network comprising one or more vehicle control components.
  • the operator network is a network that is physically and/or logically separate from the control network.
  • the gateway device has an intrusion detection system, which to detect attacks, attempts at abuse and / or
  • This object is achieved by a method for detecting a data-technical attack on a vehicle, in which a data stream is read out using a data reading device in the vehicle and/or a security-related event, which occurs in a device installed on the vehicle, using an event detection device in the vehicle is recorded.
  • the data stream read out and/or event information which the recorded event represents, are transmitted via a communication link to a land-side or vehicle-side recognition device.
  • a land-based facility uses an artificial neural network to form a model that recognizes whether the transmitted data stream and/or the
  • Event information relates to a data attack on the vehicle.
  • a computer program representing the model is used on the land-side or vehicle-side detection device for an application for detecting a data-related attack.
  • the invention is based on the knowledge that a technical data attack on a vehicle not only impairs safety in terms of security, but can also pose a problem for safety in terms of safety.
  • the detection of a technical data attack on a vehicle is particularly advantageous for the operator of a track-bound vehicle.
  • safety refers to the goal of protecting the environment of a track-bound vehicle from hazards that emanate from the track-bound vehicle.
  • the goal is to protect the track-bound vehicle from hazards that are Environment of the track-bound vehicle go out, referred to as "security”.
  • the invention recognized that a vehicle often has a large number of data technology components that can be exposed to data technology attacks. Consequently, it involves a disproportionate amount of effort for operators and manufacturers of vehicles to determine rules or specifications for the correct detection of data technology attacks and to define them for the operation of the vehicle.
  • a land-based facility uses an artificial neural network to form a model that recognizes whether the transmitted data stream and/or the event information relates to a data attack on the vehicle.
  • a computer program representing the model is used on the land-side or vehicle-side detection device for the application for detecting a data-related attack.
  • the detection of a data-technical attack on the track-bound vehicle is achieved using an artificial neural network.
  • data attack to mean unwanted access to a communication network of the vehicle or unwanted data transmission of data to the communication network of the vehicle.
  • the vehicle is, for example, a land vehicle (e.g. an automobile), an aircraft (e.g. an airplane) or a watercraft (e.g. a ship).
  • a land vehicle e.g. an automobile
  • an aircraft e.g. an airplane
  • a watercraft e.g. a ship
  • the data stream preferably originates from a source outside the vehicle.
  • the data stream reaches the vehicle via vehicle-to-land communication.
  • the data stream reaches the vehicle via an interface within the vehicle to which an external device is connected (this external device therefore also represents a source outside the vehicle).
  • the computer program for use is preferably installed on the detection device, which is part of the vehicle or part of a land-based device (English: “deployment”).
  • the vehicle is a track-bound vehicle, preferably a rail vehicle.
  • the rail vehicle is, for example, a multiple unit.
  • This embodiment is based on the further finding that, in particular, track-bound vehicles have a large number of data technology components that can be attacked. For this reason, the use of the method according to the invention in a track-bound vehicle is particularly useful and advantageous.
  • the data stream is read out in that a partial data stream of a data stream is read out if the partial data stream satisfies a abnormality criterion.
  • the abnormality criterion is met, for example, if the data stream comes from an unknown source address.
  • the abnormality criterion can preferably be set and/or controlled by means of a control device.
  • the control device includes a software module, for example, which is executed on a land-based computing device.
  • the control device is also preferably part of a land-side operations control center.
  • the operations control center can be implemented via a cloud service, for example.
  • the data reading device includes a sniffer or is designed as a sniffer.
  • the sniffer is operated using a tool such as Wireshark.
  • a sniffer is a particularly expedient embodiment of a data reading device.
  • the data stream originates from a source outside the vehicle and is received by a receiving device in the vehicle.
  • the vehicle has a plurality of receiving devices for receiving the data stream.
  • a data reading device for reading out the received data stream is assigned to each receiving device.
  • each data entry point is assigned a data reading device and it can be traced back via which of the plurality of data entry points of the vehicle a technical data attack took place.
  • the identification of the data entry point may allow conclusions to be drawn about the reason, content and/or source of the attack.
  • the receiving device is, for example, an antenna and/or a mobile communication gateway (MCG: Mobile Communication Gateway) which is (are) designed to communicate with a land-side communication gateway (GCG: Ground Communication Gateway) as part of vehicle-to-land communication is.
  • MCG Mobile Communication Gateway
  • GCG Land Communication Gateway
  • a further example of a receiving device is a wired data technology interface which is arranged inside the vehicle for the wired connection of a terminal device. This interface is, for example, a port of a switch, which an attacker can use to connect a terminal device, for example a notebook.
  • the read-out data stream can be transmitted directly via the communication link to the identification device on the land or on the vehicle.
  • the event information can be transmitted from the event detection device directly via the communication link to the land-side or vehicle-side detection device.
  • the data stream that has been read out and the event information are transmitted to an aggregator device.
  • the aggregator device collects the read data stream and the event information.
  • the collected data stream and the Collected event information is transmitted over the communication link to the land-based or on-board recognition device.
  • the aggregator device is formed, for example, by a server device in the vehicle, which collects the data streams read out on the vehicle and recorded event information and sends them to the detection device.
  • the collection and transmission of the data streams and event information read out on the vehicle can preferably be set and/or controlled by means of the control device described above.
  • the vehicle-side detection device and the aggregator device are integrated, for example, on a common server device.
  • the artificial neural network has one or more layers of neurons that are not input neurons or output neurons.
  • the layers of neurons that are not input neurons (English: input layer) or output neuron (English: output layer) are often referred to in the art as hidden layers.
  • the hidden layers are preferably changed during the training and learning of the artificial neural network.
  • Machine learning which involves the artificial neural network with multiple hidden layers, is often referred to as deep learning.
  • the artificial neural network is trained on the basis of training data, with the training taking place in a secure state in which an undesired technical data attack is ruled out. This prevents unwanted data-technical attacks from taking place or being prepared during training.
  • Training data includes data pertaining to an attack and data not pertaining to an attack.
  • the data relating to an attack represent a "desired” attack. Because the artificial neural network has to learn to recognize attacks during training.
  • the term “undesirable” should be understood against the background that it is not a for training purposes planned attack.
  • An “undesirable” attack is, for example, an attack that already attacks the recognition device during training or prepares future attacks through targeted misdirection during training.
  • An undesired data-technical attack during training occurs, for example, if the attacker already ensures during training that one of his facilities is permissible as a source (and therefore a data-technical attack from this source may not be recognized as such).
  • This embodiment is therefore based, inter alia, on the knowledge that data technology attacks can already be prepared during the training.
  • training data can be smuggled in during the training, which trains the artificial neural network in such a way that specific data-related attacks are not detected when the detection device is used.
  • so-called adversarial attacks can be prepared by introduced training data such that the detection device is more susceptible to an adversarial attack during use.
  • the secured state is achieved, for example, in that only tested training data is used for the training be used.
  • the training data is collected during the commissioning and/or testing phase when it can be ensured that the vehicle is not connected to the landside and no unauthorized personnel who initiate an attack are present.
  • a warning message is triggered if a data-related attack on the vehicle is detected.
  • the warning message is preferably triggered by means of a landside reporting device.
  • the reporting device receives, for example, a detection message from the detection device when a data-related attack is detected. Based on the recognition message and depending on a configuration, the reporting device sends a warning message to a suitable output device for outputting the warning message.
  • the configuration can be set, for example, using the control device described above.
  • the warning message is issued by means of an output device that can be perceived by a vehicle driver.
  • the vehicle driver perceives the warning message, the vehicle driver has the opportunity to prevent the impact on the safety of the operation of the rail-bound vehicle by actively intervening in the operation (e.g. braking or stopping) of the vehicle.
  • the intervention in the operation can alternatively or additionally be (partially) automated.
  • the reporting device preferably receives operating information which indicates whether the lane-bound vehicle is in ferry service. The reporting device can use this information to decide whether the warning message is to be sent to the output device that can be perceived by the driver of the vehicle.
  • the output device perceivable by the vehicle driver is preferably an output device arranged in a driver's desk of the vehicle driver.
  • the warning message is output alternatively or additionally by means of an output device of an operations control center that can be perceived by an operator of the vehicle.
  • the warning message is received by a data processing device of an executive authority.
  • the reporting device preferably sends the warning message to the data processing device of the executive agency on the basis of the identification message and depending on a configuration.
  • the warning message can be output using an output device of the data processing device of the authority.
  • the invention also relates to a computer program, comprising instructions which, when the program is executed by a computing unit of a rail-bound vehicle and/or a land-based device, cause the latter to carry out the method described above.
  • the invention also relates to a computer program product with a computer program of this type.
  • the invention also relates to a computer-readable storage medium, comprising instructions which, when executed by a computing unit of a rail-bound vehicle and/or a land-based device, cause the latter to carry out the method described above.
  • the invention also relates to a system for detecting a data-related attack on a vehicle, comprising: a data reading device in the vehicle, which is designed to read out a data stream, and/or an event detection device in the vehicle, which is designed to detect a security-related event that occurs during a occurs on the vehicle installed device to record a communication link through which the read data stream and / or a
  • Event information which represents the recorded event, can be transmitted to a land-side or vehicle-side detection device and a land-side device which is designed to form a model with the aid of an artificial neural network, wherein the model is designed to detect whether the transmitted data stream and/or the event information relates to a data-related attack on the vehicle and wherein a computer program representing the model can be used on the land-side or vehicle-side detection device for an application to detect a data-related attack.
  • Figure 1 shows schematically the structure of a
  • Figure 2 schematically shows the sequence of a
  • Figure 1 shows a schematic view of a system 1 with a vehicle 2, a land-based device 5 and a land-based device 105.
  • the vehicle 2 is a rail vehicle 3, namely a rail vehicle 4.
  • the land-based device 5 is part of an operations control center.
  • the rail-bound vehicle 3 has a communication network 7, which is preferably designed as an Ethernet network.
  • a terminal device 9 and an aggregator device 10, which is a server device are connected to the communication network 7 in terms of data technology.
  • several communication gateways 11 and 111 are connected to the communication network 7 .
  • the communication gateway 11 or 111 is connected to a wireless
  • Communication interface 13 or 113 connected.
  • the communication gateway 11 or 111 together with the wireless communication interface 13 or 113 forms a communication device 15 or 115 which is designed to send data to the land-based device 5 and to receive data from the land-based device 5 .
  • FIG. 1 there are two communication gateways 11 and 111 on vehicle 3 .
  • the exemplary embodiment described here can obviously be transferred to a constellation with more than two mobile communication gateways.
  • the communication gateways 11 and 111 are, for example, so-called mobile communication gateways (MCGs).
  • MCGs mobile communication gateways
  • the land-based device 5 has a communication network 17 which is in the form of an Ethernet network.
  • a detection device 19 and a control device 20 are connected to the communication network 17 in terms of data technology.
  • a ground communication gateway 21 is connected to the communication network 17, which is connected to a wireless communication interface 23.
  • the ground communication gateway 21 together with the wireless communication interface 23 forms a communication device 25 which is designed to send data to the track-bound vehicle 3 and to receive data from the track-bound vehicle 3 .
  • the communication devices 15 or 115 and 25 together form a communication connection 30 or 130 for the transmission of data between the track-bound vehicle 3 and the land-based device 5, i.e. starting from the track-bound vehicle 3 to the land-based device 5 and starting from the land-based facility 5 to the rail-bound vehicle 3.
  • the mobile communication gateway 11 or 111 has a data reading device 16 or 116, which includes a sniffer.
  • the communication network 7 also has a data technology interface 18, for example a port of a switch.
  • the interface 18 is used to connect a terminal (not shown) for data exchange with the communication network 7.
  • the terminal that can be connected is a notebook, for example, which is used by an attacker for a data-related attack.
  • a further data reading device 216 which includes a sniffer, is connected between the interface 18 and the communication network 7.
  • the exemplary embodiment described here can obviously be transferred to a constellation with a number of technical data interfaces.
  • the data reading devices 16, 116 and 216 are designed to read out a data stream.
  • the data stream arrives via the wireless communication interface 13 or 113 or via the interface 18, for example.
  • the terminal 9 has an event recording device 109 which includes a logger.
  • Event detection device 109 is designed to record a security-related event that occurs on terminal 9 and to send event information, which represents the recorded event, to aggregator device 10 . Recording takes place, for example, using a tool such as Syslog.
  • an artificial neural network 106 is created on a land-based device 105 .
  • the artificial neural network 106 has multiple layers of neurons other than an input neuron or an output neuron are.
  • the artificial neural network 106 forms a model which is intended to be able to use a data stream and event information to identify whether these relate to a data attack on the vehicle 2 .
  • a method step B1 the artificial neural network 106 is trained using training data.
  • the training takes place in a secure state in which an unwanted data-technical attack is excluded.
  • the secure state is achieved, for example, by using only tested training data for the training.
  • the training data is collected during the commissioning and/or test phase when it can be ensured that the vehicle is not data-connected to the landside and no unauthorized personnel who initiate an attack are present.
  • the artificial neural network 106 After the artificial neural network 106 has been trained, the artificial neural network is used to create a model (method step B2) which recognizes whether a data stream and/or event information forms a data attack on the vehicle 2 .
  • a computer program representing the model is installed in a method step C on the land-side detection device 19 and used in the further method, in particular when the vehicle 2 is in operation.
  • a method step D the control device 20 is used to set which partial data stream of an incoming data stream is to be read out by the data reading devices 16, 116 and 216.
  • a conspicuity criterion is defined for this by the control device 20 . If the abnormality criterion for the partial data stream is met, it is read out of the data stream. The alert criterion is for example fulfilled if the data stream comes from an unknown source address.
  • the control device 20 comprises a software module, for example, which is executed on a computing device that can be operated by a user.
  • a step E is set by means of the control device 20, which
  • Event information is sent from the event capture device 109 to the aggregator device 10 .
  • control device 20 is used to set which read data streams and event information are collected on the aggregator device 10 and sent to the recognition device 19 .
  • a data stream is received, for example from the land side, via the wireless communication interface 13 and the mobile communication gateway 11 and reaches the communication network 7.
  • the communication device 15 serves as a receiving device, which Data stream, which comes from a source outside the vehicle 2, receives in a step Gl.
  • the data reading device 16 reads out a partial data stream that satisfies the abnormality criterion.
  • this partial data stream that has been read out is transmitted to the aggregator device 10 of the vehicle 2 .
  • the event detection device 109 records a security-related event which occurs in the device 9 and, in a method step J2, generates event information which represents the recorded event.
  • event information is transmitted to the aggregator device 10 of the vehicle 2 .
  • the aggregator device 10 collects the partial data stream that has been read out and the event information in a method step L.
  • the collected partial data stream and the collected event information are transmitted in a method step M via the communication network 7 and the communication link 30 and/or 130 to the recognition device 19.
  • the detection device 19 detects whether the transmitted partial data stream and/or the event information relates to a data attack on the vehicle 2 .
  • a piece of detection information is transmitted in a method step 0 to a landside reporting device 22 via the communication network 17 .
  • the reporting device 22 sends a warning message to a suitable output device on the basis of the detection device and depending on a configuration made (in advance) by the control device 20 .
  • a warning message is transmitted to an output device 133 arranged in a driver's console of the vehicle driver and is output by the latter in a method step P2.
  • the warning message is transmitted in a method step PP1 to an output device that can be perceived by an operator of the vehicle 2 and is output by the latter in a method step PP2.
  • the warning message can be received in a method step PPP1 by a facility of an executive authority.
  • the warning message can be output by an output device of the authority's data processing device in a method step PPP2.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und ein System (1) zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug (2). Um das Erkennen eines datentechnischen Angriffs auf das Fahrzeug (2) zu verbessern, wird bei dem Verfahren ein Datenstrom mittels einer Datenleseeinrichtung (16, 116, 216) des Fahrzeugs (2) ausgelesen (G2) und/oder ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug (2) installierten Gerät (9) ereignet, mittels einer Ereigniserfassungseinrichtung (109) des Fahrzeugs (2) aufgezeichnet (J). Der ausgelesene Datenstrom und/oder eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, werden über eine Kommunikationsverbindung (7, 30, 130) an eine landseitige oder fahrzeugseitige Erkennungseinrichtung (19) übertragen. Eine landseitige Einrichtung (105) bildet mit Hilfe eines künstlichen neuronalen Netzes ein Modell, das erkennt, ob der übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug (2) betrifft. Das Modell repräsentierendes Computerprogramm wird auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung (19) für eine Anwendung zum Erkennen eines datentechnischen Angriffs eingesetzt wird.

Description

Beschreibung
Verfahren und System zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug unter Verwendung von Deep-Learning- Verfahren
Die Erfindung betrifft ein Verfahren und ein System zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug.
Grundsätzlich ist es bekannt und gewünscht datentechnische Angriffe auf Datenverarbeitungsgeräte, die beispielsweise an ein Kommunikationsnetz angeschlossen sind, zu erkennen und bei Erkennung entsprechende Maßnahmen zu treffen. Systeme zum Erkennen von datentechnischen Angriffen werden fachmännisch häufig als Intrusion-Detection-System (IDS) bezeichnet.
Ein datentechnischer Angriff auf ein erstes Kommunikationsnetz, wobei der Angriff von einem zweiten Kommunikationsnetz ausgeht, kann beispielsweise dadurch verhindert werden, dass eine Datenübertragung ausschließlich ausgehend von dem ersten Kommunikationsnetz in Richtung des zweiten Kommunikationsnetzes (d. h. in einer einzigen Richtung) ermöglicht wird. In DE 102015 108 109 Al ist eine Lösung zur Verbindung eines ersten und zweiten Kommunikationsnetzes beschrieben, bei der zur unidirektionalen Übertragung von Daten in einer Anlage, die das erste und zweite Kommunikationsnetz umfasst, zwischen einem Sender des ersten Kommunikationsnetzes und einem Empfänger des zweiten Kommunikationsnetzes eine Datendiode geschaltet ist.
DE 102010 052 486 B4 beschreibt eine Lösung für eine Übertragung von Daten zwischen einem für die Sicherheit des Fahrzeugs und seiner Passagiere relevanten System (insbesondere die Fahrzeugsteuerung) und einem fahrzeugextern ansteuerbaren Reisenden-InformationsSystem. Die WO 2018/162176 Al beschreibt eine Gateway-Vorrichtung für ein Schienenfahrzeug. Die Gateway-Vorrichtung ist ausgebildet, eine Übertragung von Daten zwischen einem ersten Netz des Fahrzeugs und einem zweiten Netz des Fahrzeugs in Abhängigkeit eines Fahrzeugzustands zu steuern. Das erste Netz umfasst ein Betreibernetz und das zweite Netz umfasst ein Steuernetz, wobei das Steuernetz eine oder mehrere Komponenten zur Fahrzugsteuerung umfasst. Das Betreibernetz ist dabei ein physikalisch und/oder logisch von dem Steuernetz getrenntes Netz. Die Gateway-Vorrichtung weist ein Intrusion-Detection-System auf, welches zum Erkennen von Angriffen, Missbrauchsversuchen und/oder
Sicherheitsverletzungen, die das Steuernetz betreffen, dient.
Des Weiteren wurde das Erkennen von datentechnischen Angriffen unter Verwendung von Deep-Learning-Verfahren in „Building an Intrusion Detection System using Deep Learning" von Tamim Mirza (https://towardsdatascience.com/building-an- intrusion-detection-system-using-deep-learning-b94 88332b321) und „Deep Learning in Intrusion Detection Systems" von Gozde Karatas, Onder Demir und Ozgur Koray Sahingoz
(https://www.researchgate.net/publication/330632470_Deep_Lear ning_in_Intrusion_Detection_Systems ) beschrieben.
Vor diesem Hintergrund ist es Aufgabe der Erfindung, das Erkennen eines datentechnischen Angriffs auf ein Fahrzeug, insbesondere mit Hilfe von Deep-Learning-Verfahren, zu verbessern .
Diese Aufgabe wird durch ein Verfahren zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug gelöst, bei welchem ein Datenstrom mittels einer Datenleseeinrichtung des Fahrzeugs ausgelesen wird und/oder ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug installierten Gerät ereignet, mittels einer Ereigniserfassungseinrichtung des Fahrzeugs aufgezeichnet wird. Der ausgelesene Datenstrom und/oder eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, werden über eine Kommunikationsverbindung an eine landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen. Eine landseitige Einrichtung bildet mit Hilfe eines künstlichen neuronalen Netzes ein Modell, dass erkennt, ob der übertragene Datenstrom und/oder die
Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug betrifft. Ein das Modell repräsentierendes Computerprogramm wird auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung für eine Anwendung zum Erkennen eines datentechnischen Angriffs eingesetzt.
Die Erfindung beruht auf der Erkenntnis, dass ein datentechnischer Angriff auf ein Fahrzeug nicht nur die Sicherheit im Sinne von Security beeinträchtigt, sondern auch ein Problem für die Sicherheit im Sinne von Safety darstellen kann. Somit ist die Erkennung eines datentechnischen Angriffs auf ein Fahrzeug insbesondere für Betreiber eines spurgebundenen Fahrzeugs besonders vorteilhaft. Als „Safety" wird im fachmännischen Sprachgebrauch das Ziel bezeichnet, die Umwelt eines spurgebundenen Fahrzeugs vor Gefahren zu schützen, die von dem spurgebundenen Fahrzeug ausgehen. Im Unterschied dazu wird im fachmännischen Sprachgebrauch das Ziel, das spurgebundene Fahrzeug vor Gefahren zu schützen, die von der Umwelt des spurgebundenen Fahrzeugs ausgehen, als „Security" bezeichnet.
Zudem wurde mit der Erfindung erkannt, dass ein Fahrzeug häufig eine Vielzahl von datentechnischen Komponenten aufweist, die datentechnischen Angriffen ausgesetzt sein können. Folglich ist es für Betreiber und Hersteller von Fahrzeugen mit unverhältnismäßig hohem Aufwand verbunden, Regeln bzw. Vorgaben für das zutreffende Erkennen von datentechnischen Angriffen zu ermitteln und für den Betrieb des Fahrzeugs festzulegen.
Diese Probleme werden erfindungsgemäß dadurch behoben, dass eine landseitige Einrichtung mit Hilfe eines künstlichen neuronalen Netzes ein Modell bildet, das erkennt, ob der übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug betrifft. Für die Anwendung zum Erkennen eines datentechnischen Angriffs wird ein das Modell repräsentierendes Computerprogramm auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung eingesetzt. Mit anderen Worten: Das Erkennen eines datentechnischen Angriffs auf das spurgebundene Fahrzeug wird unter Anwendung eines künstlichen neuronalen Netzes erreicht.
Der Fachmann versteht unter dem Begriff „datentechnischer Angriff" vorzugsweise einen unerwünschten Zugriff auf ein Kommunikationsnetz des Fahrzeugs oder eine unerwünschte Datenübertragung von Daten auf das Kommunikationsnetz des Fahrzeugs.
Das Fahrzeug ist beispielsweise ein Landfahrzeug (z. B. ein Automobil), ein Luftfahrzeug (z. B. ein Flugzeug) oder ein Wasserfahrzeug (z. B. ein Schiff).
Der Datenstrom stammt vorzugsweise von einer Quelle außerhalb des Fahrzeugs. Beispielsweise gelangt der Datenstrom über eine Fahrzeug-Land-Kommunikation auf das Fahrzeug. Alternativ oder zusätzlich gelangt der Datenstrom über eine Schnittstelle innerhalb des Fahrzeugs, an die ein externes Gerät angeschlossen wird, auf das Fahrzeug (auch dieses externe Gerät stellt demnach eine Quelle außerhalb des Fahrzeugs dar).
Vorzugsweise wird das Computerprogramm für den Einsatz auf der Erkennungseinrichtung, die Teil des Fahrzeugs oder Teil einer landseitigen Einrichtung ist, installiert (Englisch: „deployment") .
Gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist das Fahrzeug ein spurgebundenes Fahrzeug, vorzugsweise ein Schienenfahrzeug. Das Schienenfahrzeug ist beispielsweise ein Triebzug. Dieser Ausführungsform liegt die weitere Erkenntnis zugrunde, dass insbesondere spurgebundene Fahrzeuge eine große Anzahl von datentechnischen Komponenten aufweisen, die angegriffen werden können. Aus diesem Grund ist die Anwendung des erfindungsgemäßen Verfahrens bei einem spurgebundenen Fahrzeug besonders zweckmäßig und vorteilhaft.
Nach einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird der Datenstrom ausgelesen, indem ein Teildatenstrom eines Datenstroms ausgelesen wird, wenn der Teildatenstrom ein Auffälligkeitskriterium erfüllt.
Das Auffälligkeitskriterium ist beispielsweise dann erfüllt, wenn der Datenstrom von einer unbekannten Quelladresse stammt.
Das Auffälligkeitskriterium ist vorzugsweise mittels einer Kontrolleinrichtung einstellbar und/oder steuerbar. Die Kontrolleinrichtung umfasst beispielsweise ein Softwaremodul, welches auf einer landseitigen Recheneinrichtung ausgeführt wird. Die Kontrolleinrichtung ist weiter vorzugsweise Teil einer landseitigen Betriebsleitzentrale. Die Betriebsleitzentrale kann beispielsweise über einen Cloud- Dienst realisiert werden.
Bei einer bevorzugten Weiterbildung umfasst die Datenleseeinrichtung einen Sniffer oder ist als Sniffer ausgebildet. Der Sniffer wird beispielsweise unter Anwendung eines Tools wie Wireshark betrieben.
Ein Sniffer ist eine besonders zweckmäßige Ausführung einer Datenleseeinrichtung .
Gemäß einer weiteren bevorzugten Ausführungsform stammt der Datenstrom von einer Quelle außerhalb des Fahrzeugs und wird mittels einer Empfangseinrichtung des Fahrzeugs empfangen.
Das Fahrzeug weist dabei eine Mehrzahl von Empfangseinrichtungen zum Empfangen des Datenstroms auf. Jeder Empfangseinrichtung ist eine Datenleseeinrichtung zum Auslesen des empfangenen Datenstroms zugeordnet.
Auf diese Weise ist jedem Dateneingangspunkt eine Datenleseeinrichtung zugeordnet und es lässt sich zurückverfolgen, über welchen der Mehrzahl von Dateneingangspunkten des Fahrzeugs ein datentechnischer Angriff stattgefunden hat. Die Identifikation des Dateneingangspunktes lässt gegebenenfalls Rückschlüsse auf den Grund, den Inhalt und/oder die Quelle des Angriffs zu.
Die Empfangseinrichtung ist beispielsweise eine Antenne und/oder ein mobiles Kommunikations-Gateway (MCG: Mobile Communication Gateway), welche(s) zur Kommunikation mit einem landseitigen Kommunikations-Gateway (GCG: Ground Communication Gateway) im Rahmen einer Fahrzeug-Land- Kommunikation ausgebildet ist. Ein weiteres Beispiel für eine Empfangseinrichtung ist eine datentechnische, drahtgebundene Schnittstelle, welche für den drahtgebundenen Anschluss eines Endgeräts innerhalb des Fahrzeugs angeordnet ist. Diese Schnittstelle ist beispielsweise ein Port eines Switches, welcher zum Anschluss eines Endgeräts, beispielsweise eines Notebooks, von einem Angreifer genutzt werden kann.
Der ausgelesene Datenstrom kann ausgehend von der Datenleseeinrichtung direkt über die Kommunikationsverbindung an die landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen werden. Zudem kann die Ereignisinformation ausgehend von der Ereigniserfassungseinrichtung direkt über die Kommunikationsverbindung an die landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen werden.
Alternativ werden nach einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens der ausgelesene Datenstrom und die Ereignisinformation an eine Aggregator-Einrichtung übertragen. Die Aggregator-Einrichtung sammelt den ausgelesenen Datenstrom und die Ereignisinformation. Der gesammelte Datenstrom und die gesammelte Ereignisinformation werden über die Kommunikationsverbindung an die landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen.
Die Aggregator-Einrichtung wird beispielsweise von einer Servereinrichtung des Fahrzeugs gebildet, welche die auf dem Fahrzeug ausgelesenen Datenströme und aufgezeichneten Ereignisinformationen sammelt und an die Erkennungseinrichtung sendet.
Das Sammeln und Senden der auf dem Fahrzeug ausgelesenen Datenströme und Ereignisinformationen ist vorzugsweise mittels der vorstehend beschriebenen Kontrolleinrichtung einstellbar und/oder steuerbar.
Die fahrzeugseitige Erkennungseinrichtung und die Aggregator- Einrichtung sind beispielsweise auf einer gemeinsamen Servereinrichtung integriert.
Nach einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens weist das künstliche neuronale Netz eine oder mehrere Schichten von Neuronen auf, die nicht Eingabeneuron oder Ausgabeneuron sind.
Die Schichten von Neuronen, die nicht Eingabeneuron (Englisch: Input Layer) oder Ausgabeneuron (Englisch: Output Layer) sind, werden fachmännisch häufig als Hidden Layer bezeichnet. Vorzugsweise werden die Hidden Layers beim Training und Lernen des künstlichen neuronalen Netzes verändert. Das maschinelle Lernen, welches das künstliche neuronale Netz mit mehreren Hidden Layers betrifft, wird fachmännische häufig als Deep Learning bezeichnet.
Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird das künstliche neuronale Netz anhand von Trainingsdaten trainiert, wobei das Training in einem gesicherten Zustand erfolgt, in welchem ein unerwünschter datentechnischer Angriff ausgeschlossen ist. Auf diese Weise wird verhindert, dass unerwünschte datentechnische Angriffe während des Trainings stattfinden oder vorbereitet werden.
Trainingsdaten umfassen Daten, die einen Angriff betreffen, und Daten, die keinen Angriff betreffen. Die Daten, die einen Angriff betreffen, stellen einen „gewünschten" Angriff dar. Denn das künstliche neuronale Netz muss im Training lernen, Angriffe zu erkennen. Der Begriff „unerwünscht" ist vor dem Hintergrund zu verstehen, dass es sich nicht um einen zu Trainingszwecken geplanten Angriffs handelt. Ein „unerwünschter" Angriff ist beispielsweise ein Angriff, der die Erkennungseinrichtung bereits während des Trainings angreift oder durch gezieltes Fehlleiten beim Training zukünftige Angriffe vorbereitet.
Ein unerwünschter datentechnischer Angriff während des Trainings liegt beispielsweise vor, wenn der Angreifer bereits während des Trainings dafür sorgt, dass eine seiner Einrichtungen als Quelle zulässig ist (und demnach ein datentechnischer Angriff von dieser Quelle möglicherweise nicht als solcher erkannt wird).
Dieser Ausführungsform liegt demnach unter anderem die Erkenntnis zugrunde, dass datentechnische Angriffe während des Trainings bereits vorbereitet werden können. Beispielsweise können Trainingsdaten während des Trainings eingeschleust werden, die das künstliche neuronale Netz derart trainieren, dass bestimmte datentechnische Angriffe bei dem Einsatz der Erkennungseinrichtung nicht erkannt werden. So können beispielsweise sogenannte Adversarial Attacks durch eingeschleuste Trainingsdaten dahingehend vorbereitet werden, dass die Erkennungseinrichtung während des Einsatzes anfälliger für einen Adversarial Attack ist.
Der gesicherte Zustand wird beispielsweise dadurch erzielt, dass für das Training ausschließlich geprüfte Trainingsdaten verwendet werden. Die Trainingsdaten werden während der Inbetriebsetzungs- und/oder Testphase gesammelt, wenn sichergestellt werden kann, dass das Fahrzeug nicht mit der Landseite verbunden ist und kein unberechtigtes Personal, welches einen Angriff initiiert, anwesend ist.
Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird eine Warnmeldung ausgelöst, wenn ein datentechnischer Angriff auf das Fahrzeug erkannt wird.
Die Warnmeldung wird vorzugsweise mittels einer landseitigen Meldeeinrichtung ausgelöst. Die Meldeeinrichtung empfängt beispielsweise eine Erkennungsnachricht von der Erkennungseinrichtung, wenn ein datentechnischer Angriff erkannt wird. Auf Basis der Erkennungsnachricht und in Abhängigkeit einer Konfiguration sendet die Meldeeinrichtung eine Warnmeldung an eine geeignete Ausgabeeinrichtung zum Ausgeben der Warnmeldung. Die Konfiguration kann beispielsweise mittels der vorstehend beschriebenen Kontrolleinrichtung eingestellt werden.
Nach einer bevorzugten Weiterbildung wird die Warnmeldung mittels einer von einem Fahrzeugführer wahrnehmbaren Ausgabeeinrichtung ausgegeben.
Diese Weiterbildung ist besonders bevorzugt für den Fall, dass ein datentechnischer Angriff während eines Fährbetriebs des spurgebundenen Fahrzeugs erkannt wird. Nimmt der Fahrzeugführer die Warnmeldung wahr, besteht die Gelegenheit für den Fahrzeugführer, Auswirkungen auf die Safety des Betriebs des spurgebundenen Fahrzeugs durch aktives Eingreifen in den Betrieb (z. B. Bremsen bzw. Stoppen) des Fahrzeugs zu verhindern. Der Eingriff in den Betrieb kann alternativ oder zusätzlich (teil)automatisiert erfolgen. Vorzugsweise empfängt die Meldeeinrichtung zusätzlich zu (oder gemeinsam mit) der Erkennungsnachricht eine Betriebsinformation, welche angibt, ob sich das spurgebundene Fahrzeug im Fährbetrieb befindet. Anhand dieser Information kann die Meldeeinrichtung entscheiden, ob die Warnmeldung an die von dem Fahrzeugführer wahrnehmbare Ausgabeeinrichtung gesendet wird.
Die von dem Fahrzeugführer wahrnehmbare Ausgabeeinrichtung ist vorzugsweise eine in einem Führerpult des Fahrzeugführers angeordnete Ausgabeeinrichtung.
Gemäß einer weiteren bevorzugten Weiterbildung wird die Warnmeldung alternativ oder zusätzlich mittels einer von einem Betreiber des Fahrzeugs wahrnehmbaren Ausgabeeinrichtung einer Betriebsleitzentrale ausgegeben.
Bei einer weiteren bevorzugten Weiterbildung wird die Warnmeldung von einer Datenverarbeitungseinrichtung einer Behörde der Exekutive empfangen.
Vorzugsweise sendet die Meldeeinrichtung auf Basis der Erkennungsnachricht und in Abhängigkeit einer Konfiguration die Warnmeldung an die Datenverarbeitungseinrichtung der Behörde der Exekutive. Die Warnmeldung kann mittels einer Ausgabeeinrichtung der Datenverarbeitungseinrichtung der Behörde ausgegeben werden.
Auf diese Weise können technische Anforderungen, die sich aus gesetzlichen Vorschriften für die Meldung von datentechnischen Angriffen ergeben, besonders einfach und automatisiert erfüllt werden. Gesetzliche Vorschriften dieser Art umfassen beispielsweise
- die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (Englisch: NIS Directive),
- das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) und/oder - die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (EU Cybersecurity Act).
Die Erfindung betrifft ferner ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch eine Recheneinheit eines spurgebundenen Fahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das vorstehend beschriebene Verfahren auszuführen. Die Erfindung betrifft ferner ein Computerprogrammprodukt mit einem Computerprogramm dieser Art.
Die Erfindung betrifft ferner ein computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch eine Recheneinheit eines spurgebundenen Fahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das vorstehend beschriebene Verfahren auszuführen.
Die Erfindung betrifft ferner ein System zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug, umfassend: eine Datenleseeinrichtung des Fahrzeugs, welche ausgebildet ist, einen Datenstrom auszulesen, und/oder eine Ereigniserfassungseinrichtung des Fahrzeugs, welche ausgebildet ist, ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug installierten Gerät ereignet, aufzuzeichnen, eine Kommunikationsverbindung, über welche der ausgelesene Datenstrom und/oder eine
Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, an eine landseitige oder fahrzeugseitige Erkennungseinrichtung übertragbar ist und eine landseitige Einrichtung, welche ausgebildet ist, mit Hilfe eines künstlichen neuronalen Netzes ein Modell zu bilden, wobei das Modell ausgebildet ist, zu erkennen, ob der übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug betreffen und wobei ein das Modell repräsentierendes Computerprogramm auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung für eine Anwendung zum Erkennen eines datentechnischen Angriffs einsetzbar ist.
Zu Vorteilen, Ausführungsformen und Ausgestaltungsdetails des erfindungsgemäßen Computerprogramms, computerlesbaren Speichermediums und des erfindungsgemäßen Systems kann auf die vorstehende Beschreibung zu den entsprechenden Verfahrensmerkmalen verwiesen werden.
Ausführungsbeispiele der Erfindung werden anhand der Zeichnungen erläutert. Es zeigen:
Figur 1 schematisch den Aufbau eines
Ausführungsbeispiels des erfindungsgemäßen Systems und
Figur 2 schematisch den Ablauf eines
Ausführungsbeispiels des erfindungsgemäßen Verfahrens.
Figur 1 zeigt eine schematische Ansicht eines Systems 1 mit einem Fahrzeug 2, einer landseitigen Einrichtung 5 und einer landseitigen Einrichtung 105.
Das Fahrzeug 2 ist ein spurgebundenes Fahrzeug 3, nämlich ein Schienenfahrzeug 4. Die landseitige Einrichtung 5 ist Teil einer Betriebsleitzentrale.
Das spurgebundene Fahrzeug 3 weist ein Kommunikationsnetz 7 auf, welches bevorzugt als Ethernet-Netz ausgebildet ist. An das Kommunikationsnetz 7 sind unter anderem ein Endgerät 9 sowie eine Aggregator-Einrichtung 10, die eine Servereinrichtung ist, datentechnisch angeschlossen. Zudem sind mehrere Kommunikationsgateways 11 und 111 an das Kommunikationsnetz 7 angeschlossen. Das Kommunikationsgateway 11 bzw. 111 ist mit einer drahtlosen
Kommunikationsschnittstelle 13 bzw. 113 verbunden. Das Kommunikationsgateway 11 bzw. 111 bildet zusammen mit der drahtlosen Kommunikationsschnittstelle 13 bzw. 113 eine Kommunikationseinrichtung 15 bzw. 115, welche ausgebildet ist, Daten an die landseitige Einrichtung 5 zu senden und Daten von der landseitigen Einrichtung 5 zu empfangen.
Gemäß dem in Figur 1 gezeigten Ausführungsbeispiel sind zwei Kommunikationsgateways 11 und 111 auf dem Fahrzeug 3 vorhanden. Das hier beschriebene Ausführungsbeispiel lässt sich jedoch sinnfällig auf eine Konstellation mit mehr als zwei mobilen Kommunikationsgateways übertragen.
Die Kommunikationsgateways 11 und 111 sind beispielsweise sogenannte Mobile-Communication-Gateways (MCGs).
Die landseitige Einrichtung 5 weist ein Kommunikationsnetz 17 auf, welches als Ethernet-Netz ausgebildet ist. An das Kommunikationsnetz 17 ist beispielsweise eine Erkennungseinrichtung 19 und eine Kontrolleinrichtung 20 datentechnisch angeschlossen. Zudem ist ein Ground- Communication-Gateway 21 an das Kommunikationsnetz 17 angeschlossen, welches mit einer drahtlosen Kommunikationsschnittstelle 23 verbunden ist. Das Ground- Communication-Gateway 21 bildet zusammen mit der drahtlosen Kommunikationsschnittstelle 23 eine Kommunikationseinrichtung 25, welche ausgebildet ist, Daten an das spurgebundene Fahrzeug 3 zu senden und Daten von dem spurgebundenen Fahrzeug 3 zu empfangen.
Die Kommunikationseinrichtungen 15 bzw. 115 und 25 bilden gemeinsam eine Kommunikationsverbindung 30 bzw. 130 zum Übertragen von Daten zwischen dem spurgebundenen Fahrzeug 3 und der landseitigen Einrichtung 5, d. h. ausgehend von dem spurgebundenen Fahrzeug 3 zur landseitigen Einrichtung 5 sowie ausgehend von der landseitigen Einrichtung 5 zu dem spurgebundenen Fahrzeug 3.
Das mobile Kommunikationsgateway 11 bzw. 111 weist jeweils eine Datenleseeinrichtung 16 bzw. 116 auf, welche einen Sniffer umfasst.
Das Kommunikationsnetz 7 weist zudem eine datentechnische Schnittstelle 18 auf, beispielsweise ein Port eines Switches. Die Schnittstelle 18 dient zum Anschluss eines Endgeräts (nicht gezeigt) für einen Datenaustausch mit dem Kommunikationsnetz 7. Das anschließbare Endgerät ist beispielsweise ein Notebook, welches von einem Angreifer für einen datentechnischen Angriff verwendet wird. Zwischen der Schnittstelle 18 und dem Kommunikationsnetz 7 ist eine weitere Datenleseeinrichtung 216, die einen Sniffer umfasst, geschaltet. Das hier beschriebene Ausführungsbeispiel lässt sich sinnfällig auf eine Konstellation mit mehreren datentechnischen Schnittstellen übertragen.
Die Datenleseeinrichtungen 16, 116 und 216 sind ausgebildet, einen Datenstrom auszulesen. Der Datenstrom geht beispielsweise über die drahtlose Kommunikationsschnittstelle 13 bzw. 113 oder über die Schnittstelle 18 ein.
Das Endgerät 9 weist eine Ereigniserfassungseinrichtung 109 auf, welche einen Logger umfasst. Die
Ereigniserfassungseinrichtung 109 ist ausgebildet, ein sicherheitsbezogenes Ereignis, welches sich bei dem Endgerät 9 ereignet, aufzuzeichnen und eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, an die Aggregator-Einrichtung 10 zu senden. Das Aufzeichnen erfolgt beispielsweise mittels eines Tools wie Syslog.
In einem Verfahrensschritt A wird auf einer landseitigen Einrichtung 105 ein künstliches neuronales Netz 106 erstellt. Das künstliche neuronale Netz 106 weist mehrere Schichten von Neuronen auf, die nicht Eingabeneuron oder Ausgabeneuron sind. Das künstliche neuronale Netz 106 bildet ein Modell, welches in die Lage versetzt werden soll, anhand eines Datenstroms und einer Ereignisinformation zu erkennen, ob diese einen datentechnischen Angriff auf das Fahrzeug 2 betreffen.
In einem Verfahrensschritt Bl wird das künstliche neuronale Netz 106 anhand von Trainingsdaten trainiert. Das Training erfolgt in einem gesicherten Zustand, in dem ein unerwünschter datentechnischer Angriff ausgeschlossen ist. Der gesicherte Zustand wird beispielsweise dadurch erzielt, dass für das Training ausschließlich geprüfte Trainingsdaten verwendet werden. Die Trainingsdaten werden während der Inbetriebsetzungs- und/oder Testphase gesammelt, wenn sichergestellt werden kann, dass das Fahrzeug nicht mit der Landseite datentechnisch verbunden ist und kein unberechtigtes Personal, welches einen Angriff initiiert, anwesend ist.
Nach dem Training des künstlichen neuronalen Netzes 106 wird mit Hilfe des künstlichen neuronalen Netzes ein Modell gebildet (Verfahrensschritt B2), welches erkennt, ob ein Datenstrom und/oder eine Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug 2 bildet. Ein das Modell repräsentierendes Computerprogramm wird in einem Verfahrensschritt C auf der landseitigen Erkennungseinrichtung 19 installiert und im weiteren Verfahren, insbesondere im Betrieb des Fahrzeugs 2, eingesetzt .
In einem Verfahrensschritt D wird mittels der Kontrolleinrichtung 20 eingestellt, welcher Teildatenstrom eines eingehenden Datenstroms von den Datenleseeinrichtungen 16, 116 und 216 ausgelesen wird. Dafür wird ein Auffälligkeitskriterium mittels der Kontrolleinrichtung 20 festgelegt. Wenn das Auffälligkeitskriterium für den Teildatenstrom erfüllt ist, wird dieser aus dem Datenstrom ausgelesen. Das Auffälligkeitskriterium ist beispielsweise dann erfüllt, wenn der Datenstrom von einer unbekannten Quelladresse stammt.
Die Kontrolleinrichtung 20 umfasst beispielsweise ein Softwaremodul, welches auf einer von einem Benutzer bedienbaren Recheneinrichtung ausgeführt wird.
In einem Verfahrensschritt E wird mittels der Kontrolleinrichtung 20 eingestellt, welche
Ereignisinformationen von der Ereigniserfassungseinrichtung 109 an die Aggregator-Einrichtung 10 gesendet werden.
In einem Verfahrensschritt F wird mittels der Kontrolleinrichtung 20 eingestellt, welche ausgelesenen Datenströme und Ereignisinformationen auf der Aggregator- Einrichtung 10 gesammelt und an die Erkennungseinrichtung 19 gesendet werden.
Bei dem Einsatz der Erkennungseinrichtung während des Betriebs des Fahrzeugs 2 geht ein Datenstrom beispielsweise ausgehend von der Landseite über die drahtlose Kommunikationsschnittstelle 13 und das mobile Kommunikationsgateway 11 ein und gelangt auf das Kommunikationsnetz 7. Mit anderen Worten: Die Kommunikationseinrichtung 15 dient als Empfangseinrichtung, welche den Datenstrom, der von einer Quelle außerhalb des Fahrzeugs 2 stammt, in einem Verfahrensschritt Gl empfängt. Die Datenleseeinrichtung 16 liest in einem Verfahrensschritt G2 einen Teildatenstrom aus, der das Auffälligkeitskriterium erfüllt. Dieser ausgelesene Teildatenstrom wird in einem Verfahrensschritt H an die Aggregator-Einrichtung 10 des Fahrzeugs 2 übertragen.
Die Ereigniserfassungseinrichtung 109 zeichnet in einem Verfahrensschritt J1 ein sicherheitsbezogenes Ereignis, welches sich bei dem Gerät 9 ereignet, auf und erzeugt in einem Verfahrensschritt J2 eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert. Die Ereignisinformation wird in einem Verfahrensschritt K an die Aggregator-Einrichtung 10 des Fahrzeugs 2 übertragen.
Die Aggregator-Einrichtung 10 sammelt den ausgelesenen Teildatenstrom und die Ereignisinformation in einem Verfahrensschritt L. Der gesammelte Teildatenstrom und die gesammelte Ereignisinformation werden in einem Verfahrensschritt M über das Kommunikationsnetz 7 und die Kommunikationsverbindung 30 und/oder 130 an die Erkennungseinrichtung 19 übertragen.
Die Erkennungseinrichtung 19 erkennt in einem Verfahrensschritt N, ob der übertragene Teildatenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug 2 betrifft.
Wenn die Erkennungseinrichtung 19 einen datentechnischen Angriff anhand des Teildatenstroms und/oder anhand der Ereignisinformation erkennt, wird eine Erkennungsinformation in einem Verfahrensschritt 0 an eine landseitige Meldeeinrichtung 22 über das Kommunikationsnetz 17 übertragen. In einem Verfahrensschritt P sendet die Meldeeinrichtung 22 auf Basis der Erkennungseinrichtung und in Abhängigkeit einer mittels der Kontrolleinrichtung 20 (vorab) vorgenommenen Konfiguration eine Warnmeldung and eine geeignete Ausgabeeinrichtung.
Beispielsweise wird in einem Verfahrensschritt PI eine Warnmeldung an eine in einem Führerpult des Fahrzeugführers angeordnete Ausgabeeinrichtung 133 übertragen und in einem Verfahrensschritt P2 von dieser ausgegeben.
Zusätzlich wird die Warnmeldung in einem Verfahrensschritt PP1 an eine von einem Betreiber des Fahrzeugs 2 wahrnehmbare Ausgabeeinrichtung übertragen und in einem Verfahrensschritt PP2 von dieser ausgegeben. Ergänzend kann die Warnmeldung in einem Verfahrensschritt PPP1 von einer Einrichtung einer Behörde der Exekutive empfangen werden. Die Warnmeldung kann mittels einer Ausgabeeinrichtung der Datenverarbeitungseinrichtung der Behörde in einem Verfahrensschritt PPP2 ausgegeben werden.
Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Verfahren zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug (2), bei welchem: ein Datenstrom mittels einer Datenleseeinrichtung (16, 116, 216) des Fahrzeugs (2) ausgelesen wird (G2) und/oder ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug (2) installierten Gerät (9) ereignet, mittels einer Ereigniserfassungseinrichtung (109) des Fahrzeugs (2) aufgezeichnet wird (J), der ausgelesene Datenstrom und/oder eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, über eine Kommunikationsverbindung (7,
30, 130) an eine landseitige oder fahrzeugseitige Erkennungseinrichtung (19) übertragen werden (M), eine landseitige Einrichtung (105) mit Hilfe eines künstlichen neuronalen Netzes ein Modell bildet, das erkennt, ob der übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug (2) betrifft, und ein das Modell repräsentierendes Computerprogramm auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung (19) für eine Anwendung zum Erkennen eines datentechnischen Angriffs eingesetzt wird.
2. Verfahren nach Anspruch 1, bei welchem das Fahrzeug (2) ein spurgebundenes Fahrzeug (3), vorzugsweise ein Schienenfahrzeug (4), ist.
3. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem, der Datenstrom ausgelesen wird, indem ein Teildatenstrom eines Datenstroms ausgelesen wird, wenn der Teildatenstrom ein Auffälligkeitskriterium erfüllt (G2).
4. Verfahren nach Anspruch 3, bei welchem die Datenleseeinrichtung (16, 116, 216) einen Sniffer umfasst.
5. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem der Datenstrom von einer Quelle außerhalb des Fahrzeugs (2) stammt und mittels einer Empfangseinrichtung (15, 115, 18) des Fahrzeugs (2) empfangen wird (Gl), wobei das Fahrzeug (2) eine Mehrzahl von Empfangseinrichtungen (13, 113, 18) zum Empfangen des
Datenstroms aufweist und jeder Empfangseinrichtung (13, 113, 18) eine Datenleseeinrichtung (16, 116, 216), zum Auslesen des empfangenen Datenstroms zugeordnet ist.
6. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem
- der ausgelesene Datenstrom und die Ereignisinformation an eine Aggregator-Einrichtung (10) übertragen werden (H, K),
- die Aggregator-Einrichtung (10) den ausgelesenen Datenstrom und die Ereignisinformation sammelt (L) und
- der gesammelte Datenstrom und die gesammelte Ereignisinformation über die Kommunikationsverbindung (30, 130) an die landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen werden (M).
7. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem das künstliche neuronale Netz (106) eine oder mehrere Schichten von Neuronen aufweist, die nicht Eingabeneuron oder Ausgabeneuron sind.
8. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem das künstliche neuronale Netz (106) anhand von Trainingsdaten trainiert wird (Bl), wobei das Training in einem gesicherten Zustand erfolgt, in welchem ein unerwünschter datentechnischer Angriff ausgeschlossen ist.
9. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem eine Warnmeldung ausgelöst wird, wenn ein datentechnischer Angriff auf das Fahrzeug (2) erkannt wird.
10. Verfahren nach Anspruch 9, bei welchem die Warnmeldung (134) mittels einer von einem Fahrzeugführer wahrnehmbaren Ausgabeeinrichtung (133) ausgegeben wird (P2).
11. Verfahren nach Anspruch 9 oder 10, bei welchem die Warnmeldung mittels einer von einem Betreiber des Fahrzeugs (2) wahrnehmbaren Ausgabeeinrichtung einer Betriebsleitzentrale ausgegeben wird (PP2).
12. Verfahren nach wenigstens einem der Ansprüche 9 bis 11, bei welchem die Warnmeldung von einer Datenverarbeitungseinrichtung einer Behörde der Exekutive empfangen wird (PPP1).
13. Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch eine Recheneinheit eines spurgebundenen Fahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 12 auszuführen.
14. Computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch eine Recheneinheit eines spurgebundenen Fahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 12 auszuführen.
15. System zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug (2), umfassend: eine Datenleseeinrichtung (16, 116, 216) des Fahrzeugs (2), welche ausgebildet ist, einen Datenstrom auszulesen, und/oder eine Ereigniserfassungseinrichtung (109) des Fahrzeugs (2), welche ausgebildet ist, ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug (2) installierten Gerät (9) ereignet, aufzuzeichnen, eine Kommunikationsverbindung (7, 30, 130), über welche der ausgelesene Datenstrom und/oder eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, an eine landseitige oder fahrzeugseitige Erkennungseinrichtung (19) übertragbar ist und eine landseitige Einrichtung (105), welche ausgebildet ist, mit Hilfe eines künstlichen neuronalen Netzes (106) ein Modell zu bilden, wobei das Modell ausgebildet ist, zu erkennen, ob der übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug (2) betreffen und wobei ein das Modell repräsentierendes Computerprogramm auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung (19) für eine Anwendung zum Erkennen eines datentechnischen Angriffs einsetzbar ist.
PCT/EP2022/060536 2021-05-06 2022-04-21 Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren WO2022233584A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP22725710.2A EP4315751A1 (de) 2021-05-06 2022-04-21 Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021204600 2021-05-06
DE102021204600.2 2021-05-06

Publications (1)

Publication Number Publication Date
WO2022233584A1 true WO2022233584A1 (de) 2022-11-10

Family

ID=81850337

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/060536 WO2022233584A1 (de) 2021-05-06 2022-04-21 Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren

Country Status (2)

Country Link
EP (1) EP4315751A1 (de)
WO (1) WO2022233584A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010052486A1 (de) * 2010-11-26 2012-05-31 Bombardier Transportation Gmbh Steuerung des Betriebes eines spurgebundenen Fahrzeugs
DE102015108109A1 (de) 2015-05-22 2016-11-24 Thyssenkrupp Ag Vorrichtung und Verfahren zum unidirektionalen Übertragen von Daten
US20180255082A1 (en) * 2017-03-03 2018-09-06 Hitachi, Ltd. Cooperative cloud-edge vehicle anomaly detection
WO2018162176A1 (de) 2017-03-09 2018-09-13 Siemens Aktiengesellschaft Verfahren und vorrichtungen zur übertragung von daten zwischen einem ersten netz und einem zweiten netz eines schienenfahrzeugs
WO2019063374A1 (de) * 2017-09-27 2019-04-04 Continental Teves Ag & Co. Ohg Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010052486A1 (de) * 2010-11-26 2012-05-31 Bombardier Transportation Gmbh Steuerung des Betriebes eines spurgebundenen Fahrzeugs
DE102010052486B4 (de) 2010-11-26 2015-08-27 Bombardier Transportation Gmbh Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung
DE102015108109A1 (de) 2015-05-22 2016-11-24 Thyssenkrupp Ag Vorrichtung und Verfahren zum unidirektionalen Übertragen von Daten
US20180255082A1 (en) * 2017-03-03 2018-09-06 Hitachi, Ltd. Cooperative cloud-edge vehicle anomaly detection
WO2018162176A1 (de) 2017-03-09 2018-09-13 Siemens Aktiengesellschaft Verfahren und vorrichtungen zur übertragung von daten zwischen einem ersten netz und einem zweiten netz eines schienenfahrzeugs
WO2019063374A1 (de) * 2017-09-27 2019-04-04 Continental Teves Ag & Co. Ohg Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KARATAS GOZDE ET AL: "Deep Learning in Intrusion Detection Systems", 2018 INTERNATIONAL CONGRESS ON BIG DATA, DEEP LEARNING AND FIGHTING CYBER TERRORISM (IBIGDELFT), IEEE, 3 December 2018 (2018-12-03), pages 113 - 116, XP033509034, DOI: 10.1109/IBIGDELFT.2018.8625278 *

Also Published As

Publication number Publication date
EP4315751A1 (de) 2024-02-07

Similar Documents

Publication Publication Date Title
DE102015200587A1 (de) Vorrichtung und Verfahren zum Anfordern eines Notrufes bei einer Fahrzeugstörung unter Verwendung von Reiseinformationen über das Fahrzeug
DE4410709A1 (de) Überwachungs-Einrichtung zur Überwachung der Flugsicherheit von Flugzeugen
DE102012215343A1 (de) Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
DE10326287A1 (de) Fahrzeug-Kommunikationssystem, welches eine anormale Steuereinheit initialisiert
DE4446512A1 (de) Vorrichtung zur Durchführung eines Fahrzeugtests oder zur Auswertung von Fahrzeugfehlern
EP3517398B1 (de) Verfahren zur innenraumzustandsüberwachung, sowie fahrzeug mit einer innenraumzustandsüberwachungseinrichtung
EP3504697B1 (de) Verfahren zum vermessen eines fahrereignisses, servervorrichtung und system aus der servervorrichtung und mehreren kraftfahrzeugen
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE102017214661A1 (de) Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
EP3732913A1 (de) Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten
WO2016012387A1 (de) Vorrichtung und verfahren zur fehler- und angriffserkennung für ein kraftfahrzeug
WO2018060250A1 (de) Verfahren und system zum schutz eines bordkommunikationsnetzwerks eines kraftfahrzeugs
WO2013178298A1 (de) Diagnoseverfahren und diagnoseeinrichtung für ein kraftfahrzeug
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102007006227A1 (de) Frühwarnsystem zur präventiven Erkennung und Korrektur von Mängeln in Fahrzeugen
DE102019214423A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
WO2017162395A1 (de) Verfahren zur überwachung der sicherheit von kommunikationsverbindungen eines fahrzeugs
DE102016200775A1 (de) Verfahren und Vorrichtung zum Schutz eines Fahrzeuges vor Cyberangriffen
WO2022233584A1 (de) Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
EP3246778B1 (de) Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät
DE112018004881T5 (de) Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
DE102016221378A1 (de) Verfahren zum Übertragen von Daten

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22725710

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2022725710

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2022725710

Country of ref document: EP

Effective date: 20231102

NENP Non-entry into the national phase

Ref country code: DE