WO2022233584A1 - Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren - Google Patents
Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren Download PDFInfo
- Publication number
- WO2022233584A1 WO2022233584A1 PCT/EP2022/060536 EP2022060536W WO2022233584A1 WO 2022233584 A1 WO2022233584 A1 WO 2022233584A1 EP 2022060536 W EP2022060536 W EP 2022060536W WO 2022233584 A1 WO2022233584 A1 WO 2022233584A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- vehicle
- data
- data stream
- land
- attack
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000013135 deep learning Methods 0.000 title description 7
- 238000004891 communication Methods 0.000 claims abstract description 56
- 238000001514 detection method Methods 0.000 claims abstract description 42
- 238000013528 artificial neural network Methods 0.000 claims abstract description 21
- 238000004590 computer program Methods 0.000 claims abstract description 13
- 238000012549 training Methods 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 6
- 210000002364 input neuron Anatomy 0.000 claims description 4
- 210000002569 neuron Anatomy 0.000 claims description 4
- 210000004205 output neuron Anatomy 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 3
- 101100189627 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) PTC5 gene Proteins 0.000 claims 1
- 101100082911 Schizosaccharomyces pombe (strain 972 / ATCC 24843) ppp1 gene Proteins 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 5
- 238000013479 data entry Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Definitions
- the invention relates to a method and a system for detecting a data attack on a vehicle.
- IDS intrusion detection systems
- a technical data attack on a first communication network, with the attack originating from a second communication network, can be prevented, for example, by allowing data transmission exclusively from the first communication network in the direction of the second communication network (i.e. in a single direction).
- DE 102015 108 109 A1 describes a solution for connecting a first and second communication network, in which for the unidirectional transmission of data in a system that includes the first and second communication network, between a transmitter of the first communication network and a receiver of the second communication network data diode is connected.
- WO 2018/162176 A1 describes a gateway device for a rail vehicle.
- the gateway device is designed to control a transmission of data between a first network of the vehicle and a second network of the vehicle depending on a vehicle status.
- the first network comprises an operator network and the second network comprises a control network, the control network comprising one or more vehicle control components.
- the operator network is a network that is physically and/or logically separate from the control network.
- the gateway device has an intrusion detection system, which to detect attacks, attempts at abuse and / or
- This object is achieved by a method for detecting a data-technical attack on a vehicle, in which a data stream is read out using a data reading device in the vehicle and/or a security-related event, which occurs in a device installed on the vehicle, using an event detection device in the vehicle is recorded.
- the data stream read out and/or event information which the recorded event represents, are transmitted via a communication link to a land-side or vehicle-side recognition device.
- a land-based facility uses an artificial neural network to form a model that recognizes whether the transmitted data stream and/or the
- Event information relates to a data attack on the vehicle.
- a computer program representing the model is used on the land-side or vehicle-side detection device for an application for detecting a data-related attack.
- the invention is based on the knowledge that a technical data attack on a vehicle not only impairs safety in terms of security, but can also pose a problem for safety in terms of safety.
- the detection of a technical data attack on a vehicle is particularly advantageous for the operator of a track-bound vehicle.
- safety refers to the goal of protecting the environment of a track-bound vehicle from hazards that emanate from the track-bound vehicle.
- the goal is to protect the track-bound vehicle from hazards that are Environment of the track-bound vehicle go out, referred to as "security”.
- the invention recognized that a vehicle often has a large number of data technology components that can be exposed to data technology attacks. Consequently, it involves a disproportionate amount of effort for operators and manufacturers of vehicles to determine rules or specifications for the correct detection of data technology attacks and to define them for the operation of the vehicle.
- a land-based facility uses an artificial neural network to form a model that recognizes whether the transmitted data stream and/or the event information relates to a data attack on the vehicle.
- a computer program representing the model is used on the land-side or vehicle-side detection device for the application for detecting a data-related attack.
- the detection of a data-technical attack on the track-bound vehicle is achieved using an artificial neural network.
- data attack to mean unwanted access to a communication network of the vehicle or unwanted data transmission of data to the communication network of the vehicle.
- the vehicle is, for example, a land vehicle (e.g. an automobile), an aircraft (e.g. an airplane) or a watercraft (e.g. a ship).
- a land vehicle e.g. an automobile
- an aircraft e.g. an airplane
- a watercraft e.g. a ship
- the data stream preferably originates from a source outside the vehicle.
- the data stream reaches the vehicle via vehicle-to-land communication.
- the data stream reaches the vehicle via an interface within the vehicle to which an external device is connected (this external device therefore also represents a source outside the vehicle).
- the computer program for use is preferably installed on the detection device, which is part of the vehicle or part of a land-based device (English: “deployment”).
- the vehicle is a track-bound vehicle, preferably a rail vehicle.
- the rail vehicle is, for example, a multiple unit.
- This embodiment is based on the further finding that, in particular, track-bound vehicles have a large number of data technology components that can be attacked. For this reason, the use of the method according to the invention in a track-bound vehicle is particularly useful and advantageous.
- the data stream is read out in that a partial data stream of a data stream is read out if the partial data stream satisfies a abnormality criterion.
- the abnormality criterion is met, for example, if the data stream comes from an unknown source address.
- the abnormality criterion can preferably be set and/or controlled by means of a control device.
- the control device includes a software module, for example, which is executed on a land-based computing device.
- the control device is also preferably part of a land-side operations control center.
- the operations control center can be implemented via a cloud service, for example.
- the data reading device includes a sniffer or is designed as a sniffer.
- the sniffer is operated using a tool such as Wireshark.
- a sniffer is a particularly expedient embodiment of a data reading device.
- the data stream originates from a source outside the vehicle and is received by a receiving device in the vehicle.
- the vehicle has a plurality of receiving devices for receiving the data stream.
- a data reading device for reading out the received data stream is assigned to each receiving device.
- each data entry point is assigned a data reading device and it can be traced back via which of the plurality of data entry points of the vehicle a technical data attack took place.
- the identification of the data entry point may allow conclusions to be drawn about the reason, content and/or source of the attack.
- the receiving device is, for example, an antenna and/or a mobile communication gateway (MCG: Mobile Communication Gateway) which is (are) designed to communicate with a land-side communication gateway (GCG: Ground Communication Gateway) as part of vehicle-to-land communication is.
- MCG Mobile Communication Gateway
- GCG Land Communication Gateway
- a further example of a receiving device is a wired data technology interface which is arranged inside the vehicle for the wired connection of a terminal device. This interface is, for example, a port of a switch, which an attacker can use to connect a terminal device, for example a notebook.
- the read-out data stream can be transmitted directly via the communication link to the identification device on the land or on the vehicle.
- the event information can be transmitted from the event detection device directly via the communication link to the land-side or vehicle-side detection device.
- the data stream that has been read out and the event information are transmitted to an aggregator device.
- the aggregator device collects the read data stream and the event information.
- the collected data stream and the Collected event information is transmitted over the communication link to the land-based or on-board recognition device.
- the aggregator device is formed, for example, by a server device in the vehicle, which collects the data streams read out on the vehicle and recorded event information and sends them to the detection device.
- the collection and transmission of the data streams and event information read out on the vehicle can preferably be set and/or controlled by means of the control device described above.
- the vehicle-side detection device and the aggregator device are integrated, for example, on a common server device.
- the artificial neural network has one or more layers of neurons that are not input neurons or output neurons.
- the layers of neurons that are not input neurons (English: input layer) or output neuron (English: output layer) are often referred to in the art as hidden layers.
- the hidden layers are preferably changed during the training and learning of the artificial neural network.
- Machine learning which involves the artificial neural network with multiple hidden layers, is often referred to as deep learning.
- the artificial neural network is trained on the basis of training data, with the training taking place in a secure state in which an undesired technical data attack is ruled out. This prevents unwanted data-technical attacks from taking place or being prepared during training.
- Training data includes data pertaining to an attack and data not pertaining to an attack.
- the data relating to an attack represent a "desired” attack. Because the artificial neural network has to learn to recognize attacks during training.
- the term “undesirable” should be understood against the background that it is not a for training purposes planned attack.
- An “undesirable” attack is, for example, an attack that already attacks the recognition device during training or prepares future attacks through targeted misdirection during training.
- An undesired data-technical attack during training occurs, for example, if the attacker already ensures during training that one of his facilities is permissible as a source (and therefore a data-technical attack from this source may not be recognized as such).
- This embodiment is therefore based, inter alia, on the knowledge that data technology attacks can already be prepared during the training.
- training data can be smuggled in during the training, which trains the artificial neural network in such a way that specific data-related attacks are not detected when the detection device is used.
- so-called adversarial attacks can be prepared by introduced training data such that the detection device is more susceptible to an adversarial attack during use.
- the secured state is achieved, for example, in that only tested training data is used for the training be used.
- the training data is collected during the commissioning and/or testing phase when it can be ensured that the vehicle is not connected to the landside and no unauthorized personnel who initiate an attack are present.
- a warning message is triggered if a data-related attack on the vehicle is detected.
- the warning message is preferably triggered by means of a landside reporting device.
- the reporting device receives, for example, a detection message from the detection device when a data-related attack is detected. Based on the recognition message and depending on a configuration, the reporting device sends a warning message to a suitable output device for outputting the warning message.
- the configuration can be set, for example, using the control device described above.
- the warning message is issued by means of an output device that can be perceived by a vehicle driver.
- the vehicle driver perceives the warning message, the vehicle driver has the opportunity to prevent the impact on the safety of the operation of the rail-bound vehicle by actively intervening in the operation (e.g. braking or stopping) of the vehicle.
- the intervention in the operation can alternatively or additionally be (partially) automated.
- the reporting device preferably receives operating information which indicates whether the lane-bound vehicle is in ferry service. The reporting device can use this information to decide whether the warning message is to be sent to the output device that can be perceived by the driver of the vehicle.
- the output device perceivable by the vehicle driver is preferably an output device arranged in a driver's desk of the vehicle driver.
- the warning message is output alternatively or additionally by means of an output device of an operations control center that can be perceived by an operator of the vehicle.
- the warning message is received by a data processing device of an executive authority.
- the reporting device preferably sends the warning message to the data processing device of the executive agency on the basis of the identification message and depending on a configuration.
- the warning message can be output using an output device of the data processing device of the authority.
- the invention also relates to a computer program, comprising instructions which, when the program is executed by a computing unit of a rail-bound vehicle and/or a land-based device, cause the latter to carry out the method described above.
- the invention also relates to a computer program product with a computer program of this type.
- the invention also relates to a computer-readable storage medium, comprising instructions which, when executed by a computing unit of a rail-bound vehicle and/or a land-based device, cause the latter to carry out the method described above.
- the invention also relates to a system for detecting a data-related attack on a vehicle, comprising: a data reading device in the vehicle, which is designed to read out a data stream, and/or an event detection device in the vehicle, which is designed to detect a security-related event that occurs during a occurs on the vehicle installed device to record a communication link through which the read data stream and / or a
- Event information which represents the recorded event, can be transmitted to a land-side or vehicle-side detection device and a land-side device which is designed to form a model with the aid of an artificial neural network, wherein the model is designed to detect whether the transmitted data stream and/or the event information relates to a data-related attack on the vehicle and wherein a computer program representing the model can be used on the land-side or vehicle-side detection device for an application to detect a data-related attack.
- Figure 1 shows schematically the structure of a
- Figure 2 schematically shows the sequence of a
- Figure 1 shows a schematic view of a system 1 with a vehicle 2, a land-based device 5 and a land-based device 105.
- the vehicle 2 is a rail vehicle 3, namely a rail vehicle 4.
- the land-based device 5 is part of an operations control center.
- the rail-bound vehicle 3 has a communication network 7, which is preferably designed as an Ethernet network.
- a terminal device 9 and an aggregator device 10, which is a server device are connected to the communication network 7 in terms of data technology.
- several communication gateways 11 and 111 are connected to the communication network 7 .
- the communication gateway 11 or 111 is connected to a wireless
- Communication interface 13 or 113 connected.
- the communication gateway 11 or 111 together with the wireless communication interface 13 or 113 forms a communication device 15 or 115 which is designed to send data to the land-based device 5 and to receive data from the land-based device 5 .
- FIG. 1 there are two communication gateways 11 and 111 on vehicle 3 .
- the exemplary embodiment described here can obviously be transferred to a constellation with more than two mobile communication gateways.
- the communication gateways 11 and 111 are, for example, so-called mobile communication gateways (MCGs).
- MCGs mobile communication gateways
- the land-based device 5 has a communication network 17 which is in the form of an Ethernet network.
- a detection device 19 and a control device 20 are connected to the communication network 17 in terms of data technology.
- a ground communication gateway 21 is connected to the communication network 17, which is connected to a wireless communication interface 23.
- the ground communication gateway 21 together with the wireless communication interface 23 forms a communication device 25 which is designed to send data to the track-bound vehicle 3 and to receive data from the track-bound vehicle 3 .
- the communication devices 15 or 115 and 25 together form a communication connection 30 or 130 for the transmission of data between the track-bound vehicle 3 and the land-based device 5, i.e. starting from the track-bound vehicle 3 to the land-based device 5 and starting from the land-based facility 5 to the rail-bound vehicle 3.
- the mobile communication gateway 11 or 111 has a data reading device 16 or 116, which includes a sniffer.
- the communication network 7 also has a data technology interface 18, for example a port of a switch.
- the interface 18 is used to connect a terminal (not shown) for data exchange with the communication network 7.
- the terminal that can be connected is a notebook, for example, which is used by an attacker for a data-related attack.
- a further data reading device 216 which includes a sniffer, is connected between the interface 18 and the communication network 7.
- the exemplary embodiment described here can obviously be transferred to a constellation with a number of technical data interfaces.
- the data reading devices 16, 116 and 216 are designed to read out a data stream.
- the data stream arrives via the wireless communication interface 13 or 113 or via the interface 18, for example.
- the terminal 9 has an event recording device 109 which includes a logger.
- Event detection device 109 is designed to record a security-related event that occurs on terminal 9 and to send event information, which represents the recorded event, to aggregator device 10 . Recording takes place, for example, using a tool such as Syslog.
- an artificial neural network 106 is created on a land-based device 105 .
- the artificial neural network 106 has multiple layers of neurons other than an input neuron or an output neuron are.
- the artificial neural network 106 forms a model which is intended to be able to use a data stream and event information to identify whether these relate to a data attack on the vehicle 2 .
- a method step B1 the artificial neural network 106 is trained using training data.
- the training takes place in a secure state in which an unwanted data-technical attack is excluded.
- the secure state is achieved, for example, by using only tested training data for the training.
- the training data is collected during the commissioning and/or test phase when it can be ensured that the vehicle is not data-connected to the landside and no unauthorized personnel who initiate an attack are present.
- the artificial neural network 106 After the artificial neural network 106 has been trained, the artificial neural network is used to create a model (method step B2) which recognizes whether a data stream and/or event information forms a data attack on the vehicle 2 .
- a computer program representing the model is installed in a method step C on the land-side detection device 19 and used in the further method, in particular when the vehicle 2 is in operation.
- a method step D the control device 20 is used to set which partial data stream of an incoming data stream is to be read out by the data reading devices 16, 116 and 216.
- a conspicuity criterion is defined for this by the control device 20 . If the abnormality criterion for the partial data stream is met, it is read out of the data stream. The alert criterion is for example fulfilled if the data stream comes from an unknown source address.
- the control device 20 comprises a software module, for example, which is executed on a computing device that can be operated by a user.
- a step E is set by means of the control device 20, which
- Event information is sent from the event capture device 109 to the aggregator device 10 .
- control device 20 is used to set which read data streams and event information are collected on the aggregator device 10 and sent to the recognition device 19 .
- a data stream is received, for example from the land side, via the wireless communication interface 13 and the mobile communication gateway 11 and reaches the communication network 7.
- the communication device 15 serves as a receiving device, which Data stream, which comes from a source outside the vehicle 2, receives in a step Gl.
- the data reading device 16 reads out a partial data stream that satisfies the abnormality criterion.
- this partial data stream that has been read out is transmitted to the aggregator device 10 of the vehicle 2 .
- the event detection device 109 records a security-related event which occurs in the device 9 and, in a method step J2, generates event information which represents the recorded event.
- event information is transmitted to the aggregator device 10 of the vehicle 2 .
- the aggregator device 10 collects the partial data stream that has been read out and the event information in a method step L.
- the collected partial data stream and the collected event information are transmitted in a method step M via the communication network 7 and the communication link 30 and/or 130 to the recognition device 19.
- the detection device 19 detects whether the transmitted partial data stream and/or the event information relates to a data attack on the vehicle 2 .
- a piece of detection information is transmitted in a method step 0 to a landside reporting device 22 via the communication network 17 .
- the reporting device 22 sends a warning message to a suitable output device on the basis of the detection device and depending on a configuration made (in advance) by the control device 20 .
- a warning message is transmitted to an output device 133 arranged in a driver's console of the vehicle driver and is output by the latter in a method step P2.
- the warning message is transmitted in a method step PP1 to an output device that can be perceived by an operator of the vehicle 2 and is output by the latter in a method step PP2.
- the warning message can be received in a method step PPP1 by a facility of an executive authority.
- the warning message can be output by an output device of the authority's data processing device in a method step PPP2.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Small-Scale Networks (AREA)
Abstract
Die Erfindung betrifft ein Verfahren und ein System (1) zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug (2). Um das Erkennen eines datentechnischen Angriffs auf das Fahrzeug (2) zu verbessern, wird bei dem Verfahren ein Datenstrom mittels einer Datenleseeinrichtung (16, 116, 216) des Fahrzeugs (2) ausgelesen (G2) und/oder ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug (2) installierten Gerät (9) ereignet, mittels einer Ereigniserfassungseinrichtung (109) des Fahrzeugs (2) aufgezeichnet (J). Der ausgelesene Datenstrom und/oder eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, werden über eine Kommunikationsverbindung (7, 30, 130) an eine landseitige oder fahrzeugseitige Erkennungseinrichtung (19) übertragen. Eine landseitige Einrichtung (105) bildet mit Hilfe eines künstlichen neuronalen Netzes ein Modell, das erkennt, ob der übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug (2) betrifft. Das Modell repräsentierendes Computerprogramm wird auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung (19) für eine Anwendung zum Erkennen eines datentechnischen Angriffs eingesetzt wird.
Description
Beschreibung
Verfahren und System zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug unter Verwendung von Deep-Learning- Verfahren
Die Erfindung betrifft ein Verfahren und ein System zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug.
Grundsätzlich ist es bekannt und gewünscht datentechnische Angriffe auf Datenverarbeitungsgeräte, die beispielsweise an ein Kommunikationsnetz angeschlossen sind, zu erkennen und bei Erkennung entsprechende Maßnahmen zu treffen. Systeme zum Erkennen von datentechnischen Angriffen werden fachmännisch häufig als Intrusion-Detection-System (IDS) bezeichnet.
Ein datentechnischer Angriff auf ein erstes Kommunikationsnetz, wobei der Angriff von einem zweiten Kommunikationsnetz ausgeht, kann beispielsweise dadurch verhindert werden, dass eine Datenübertragung ausschließlich ausgehend von dem ersten Kommunikationsnetz in Richtung des zweiten Kommunikationsnetzes (d. h. in einer einzigen Richtung) ermöglicht wird. In DE 102015 108 109 Al ist eine Lösung zur Verbindung eines ersten und zweiten Kommunikationsnetzes beschrieben, bei der zur unidirektionalen Übertragung von Daten in einer Anlage, die das erste und zweite Kommunikationsnetz umfasst, zwischen einem Sender des ersten Kommunikationsnetzes und einem Empfänger des zweiten Kommunikationsnetzes eine Datendiode geschaltet ist.
DE 102010 052 486 B4 beschreibt eine Lösung für eine Übertragung von Daten zwischen einem für die Sicherheit des Fahrzeugs und seiner Passagiere relevanten System (insbesondere die Fahrzeugsteuerung) und einem fahrzeugextern ansteuerbaren Reisenden-InformationsSystem.
Die WO 2018/162176 Al beschreibt eine Gateway-Vorrichtung für ein Schienenfahrzeug. Die Gateway-Vorrichtung ist ausgebildet, eine Übertragung von Daten zwischen einem ersten Netz des Fahrzeugs und einem zweiten Netz des Fahrzeugs in Abhängigkeit eines Fahrzeugzustands zu steuern. Das erste Netz umfasst ein Betreibernetz und das zweite Netz umfasst ein Steuernetz, wobei das Steuernetz eine oder mehrere Komponenten zur Fahrzugsteuerung umfasst. Das Betreibernetz ist dabei ein physikalisch und/oder logisch von dem Steuernetz getrenntes Netz. Die Gateway-Vorrichtung weist ein Intrusion-Detection-System auf, welches zum Erkennen von Angriffen, Missbrauchsversuchen und/oder
Sicherheitsverletzungen, die das Steuernetz betreffen, dient.
Des Weiteren wurde das Erkennen von datentechnischen Angriffen unter Verwendung von Deep-Learning-Verfahren in „Building an Intrusion Detection System using Deep Learning" von Tamim Mirza (https://towardsdatascience.com/building-an- intrusion-detection-system-using-deep-learning-b94 88332b321) und „Deep Learning in Intrusion Detection Systems" von Gozde Karatas, Onder Demir und Ozgur Koray Sahingoz
(https://www.researchgate.net/publication/330632470_Deep_Lear ning_in_Intrusion_Detection_Systems ) beschrieben.
Vor diesem Hintergrund ist es Aufgabe der Erfindung, das Erkennen eines datentechnischen Angriffs auf ein Fahrzeug, insbesondere mit Hilfe von Deep-Learning-Verfahren, zu verbessern .
Diese Aufgabe wird durch ein Verfahren zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug gelöst, bei welchem ein Datenstrom mittels einer Datenleseeinrichtung des Fahrzeugs ausgelesen wird und/oder ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug installierten Gerät ereignet, mittels einer Ereigniserfassungseinrichtung des Fahrzeugs aufgezeichnet wird. Der ausgelesene Datenstrom und/oder eine Ereignisinformation, welche das aufgezeichnete Ereignis
repräsentiert, werden über eine Kommunikationsverbindung an eine landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen. Eine landseitige Einrichtung bildet mit Hilfe eines künstlichen neuronalen Netzes ein Modell, dass erkennt, ob der übertragene Datenstrom und/oder die
Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug betrifft. Ein das Modell repräsentierendes Computerprogramm wird auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung für eine Anwendung zum Erkennen eines datentechnischen Angriffs eingesetzt.
Die Erfindung beruht auf der Erkenntnis, dass ein datentechnischer Angriff auf ein Fahrzeug nicht nur die Sicherheit im Sinne von Security beeinträchtigt, sondern auch ein Problem für die Sicherheit im Sinne von Safety darstellen kann. Somit ist die Erkennung eines datentechnischen Angriffs auf ein Fahrzeug insbesondere für Betreiber eines spurgebundenen Fahrzeugs besonders vorteilhaft. Als „Safety" wird im fachmännischen Sprachgebrauch das Ziel bezeichnet, die Umwelt eines spurgebundenen Fahrzeugs vor Gefahren zu schützen, die von dem spurgebundenen Fahrzeug ausgehen. Im Unterschied dazu wird im fachmännischen Sprachgebrauch das Ziel, das spurgebundene Fahrzeug vor Gefahren zu schützen, die von der Umwelt des spurgebundenen Fahrzeugs ausgehen, als „Security" bezeichnet.
Zudem wurde mit der Erfindung erkannt, dass ein Fahrzeug häufig eine Vielzahl von datentechnischen Komponenten aufweist, die datentechnischen Angriffen ausgesetzt sein können. Folglich ist es für Betreiber und Hersteller von Fahrzeugen mit unverhältnismäßig hohem Aufwand verbunden, Regeln bzw. Vorgaben für das zutreffende Erkennen von datentechnischen Angriffen zu ermitteln und für den Betrieb des Fahrzeugs festzulegen.
Diese Probleme werden erfindungsgemäß dadurch behoben, dass eine landseitige Einrichtung mit Hilfe eines künstlichen neuronalen Netzes ein Modell bildet, das erkennt, ob der
übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug betrifft. Für die Anwendung zum Erkennen eines datentechnischen Angriffs wird ein das Modell repräsentierendes Computerprogramm auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung eingesetzt. Mit anderen Worten: Das Erkennen eines datentechnischen Angriffs auf das spurgebundene Fahrzeug wird unter Anwendung eines künstlichen neuronalen Netzes erreicht.
Der Fachmann versteht unter dem Begriff „datentechnischer Angriff" vorzugsweise einen unerwünschten Zugriff auf ein Kommunikationsnetz des Fahrzeugs oder eine unerwünschte Datenübertragung von Daten auf das Kommunikationsnetz des Fahrzeugs.
Das Fahrzeug ist beispielsweise ein Landfahrzeug (z. B. ein Automobil), ein Luftfahrzeug (z. B. ein Flugzeug) oder ein Wasserfahrzeug (z. B. ein Schiff).
Der Datenstrom stammt vorzugsweise von einer Quelle außerhalb des Fahrzeugs. Beispielsweise gelangt der Datenstrom über eine Fahrzeug-Land-Kommunikation auf das Fahrzeug. Alternativ oder zusätzlich gelangt der Datenstrom über eine Schnittstelle innerhalb des Fahrzeugs, an die ein externes Gerät angeschlossen wird, auf das Fahrzeug (auch dieses externe Gerät stellt demnach eine Quelle außerhalb des Fahrzeugs dar).
Vorzugsweise wird das Computerprogramm für den Einsatz auf der Erkennungseinrichtung, die Teil des Fahrzeugs oder Teil einer landseitigen Einrichtung ist, installiert (Englisch: „deployment") .
Gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist das Fahrzeug ein spurgebundenes Fahrzeug, vorzugsweise ein Schienenfahrzeug. Das Schienenfahrzeug ist beispielsweise ein Triebzug.
Dieser Ausführungsform liegt die weitere Erkenntnis zugrunde, dass insbesondere spurgebundene Fahrzeuge eine große Anzahl von datentechnischen Komponenten aufweisen, die angegriffen werden können. Aus diesem Grund ist die Anwendung des erfindungsgemäßen Verfahrens bei einem spurgebundenen Fahrzeug besonders zweckmäßig und vorteilhaft.
Nach einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird der Datenstrom ausgelesen, indem ein Teildatenstrom eines Datenstroms ausgelesen wird, wenn der Teildatenstrom ein Auffälligkeitskriterium erfüllt.
Das Auffälligkeitskriterium ist beispielsweise dann erfüllt, wenn der Datenstrom von einer unbekannten Quelladresse stammt.
Das Auffälligkeitskriterium ist vorzugsweise mittels einer Kontrolleinrichtung einstellbar und/oder steuerbar. Die Kontrolleinrichtung umfasst beispielsweise ein Softwaremodul, welches auf einer landseitigen Recheneinrichtung ausgeführt wird. Die Kontrolleinrichtung ist weiter vorzugsweise Teil einer landseitigen Betriebsleitzentrale. Die Betriebsleitzentrale kann beispielsweise über einen Cloud- Dienst realisiert werden.
Bei einer bevorzugten Weiterbildung umfasst die Datenleseeinrichtung einen Sniffer oder ist als Sniffer ausgebildet. Der Sniffer wird beispielsweise unter Anwendung eines Tools wie Wireshark betrieben.
Ein Sniffer ist eine besonders zweckmäßige Ausführung einer Datenleseeinrichtung .
Gemäß einer weiteren bevorzugten Ausführungsform stammt der Datenstrom von einer Quelle außerhalb des Fahrzeugs und wird mittels einer Empfangseinrichtung des Fahrzeugs empfangen.
Das Fahrzeug weist dabei eine Mehrzahl von Empfangseinrichtungen zum Empfangen des Datenstroms auf.
Jeder Empfangseinrichtung ist eine Datenleseeinrichtung zum Auslesen des empfangenen Datenstroms zugeordnet.
Auf diese Weise ist jedem Dateneingangspunkt eine Datenleseeinrichtung zugeordnet und es lässt sich zurückverfolgen, über welchen der Mehrzahl von Dateneingangspunkten des Fahrzeugs ein datentechnischer Angriff stattgefunden hat. Die Identifikation des Dateneingangspunktes lässt gegebenenfalls Rückschlüsse auf den Grund, den Inhalt und/oder die Quelle des Angriffs zu.
Die Empfangseinrichtung ist beispielsweise eine Antenne und/oder ein mobiles Kommunikations-Gateway (MCG: Mobile Communication Gateway), welche(s) zur Kommunikation mit einem landseitigen Kommunikations-Gateway (GCG: Ground Communication Gateway) im Rahmen einer Fahrzeug-Land- Kommunikation ausgebildet ist. Ein weiteres Beispiel für eine Empfangseinrichtung ist eine datentechnische, drahtgebundene Schnittstelle, welche für den drahtgebundenen Anschluss eines Endgeräts innerhalb des Fahrzeugs angeordnet ist. Diese Schnittstelle ist beispielsweise ein Port eines Switches, welcher zum Anschluss eines Endgeräts, beispielsweise eines Notebooks, von einem Angreifer genutzt werden kann.
Der ausgelesene Datenstrom kann ausgehend von der Datenleseeinrichtung direkt über die Kommunikationsverbindung an die landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen werden. Zudem kann die Ereignisinformation ausgehend von der Ereigniserfassungseinrichtung direkt über die Kommunikationsverbindung an die landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen werden.
Alternativ werden nach einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens der ausgelesene Datenstrom und die Ereignisinformation an eine Aggregator-Einrichtung übertragen. Die Aggregator-Einrichtung sammelt den ausgelesenen Datenstrom und die Ereignisinformation. Der gesammelte Datenstrom und die
gesammelte Ereignisinformation werden über die Kommunikationsverbindung an die landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen.
Die Aggregator-Einrichtung wird beispielsweise von einer Servereinrichtung des Fahrzeugs gebildet, welche die auf dem Fahrzeug ausgelesenen Datenströme und aufgezeichneten Ereignisinformationen sammelt und an die Erkennungseinrichtung sendet.
Das Sammeln und Senden der auf dem Fahrzeug ausgelesenen Datenströme und Ereignisinformationen ist vorzugsweise mittels der vorstehend beschriebenen Kontrolleinrichtung einstellbar und/oder steuerbar.
Die fahrzeugseitige Erkennungseinrichtung und die Aggregator- Einrichtung sind beispielsweise auf einer gemeinsamen Servereinrichtung integriert.
Nach einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens weist das künstliche neuronale Netz eine oder mehrere Schichten von Neuronen auf, die nicht Eingabeneuron oder Ausgabeneuron sind.
Die Schichten von Neuronen, die nicht Eingabeneuron (Englisch: Input Layer) oder Ausgabeneuron (Englisch: Output Layer) sind, werden fachmännisch häufig als Hidden Layer bezeichnet. Vorzugsweise werden die Hidden Layers beim Training und Lernen des künstlichen neuronalen Netzes verändert. Das maschinelle Lernen, welches das künstliche neuronale Netz mit mehreren Hidden Layers betrifft, wird fachmännische häufig als Deep Learning bezeichnet.
Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird das künstliche neuronale Netz anhand von Trainingsdaten trainiert, wobei das Training in einem gesicherten Zustand erfolgt, in welchem ein unerwünschter datentechnischer Angriff ausgeschlossen ist.
Auf diese Weise wird verhindert, dass unerwünschte datentechnische Angriffe während des Trainings stattfinden oder vorbereitet werden.
Trainingsdaten umfassen Daten, die einen Angriff betreffen, und Daten, die keinen Angriff betreffen. Die Daten, die einen Angriff betreffen, stellen einen „gewünschten" Angriff dar. Denn das künstliche neuronale Netz muss im Training lernen, Angriffe zu erkennen. Der Begriff „unerwünscht" ist vor dem Hintergrund zu verstehen, dass es sich nicht um einen zu Trainingszwecken geplanten Angriffs handelt. Ein „unerwünschter" Angriff ist beispielsweise ein Angriff, der die Erkennungseinrichtung bereits während des Trainings angreift oder durch gezieltes Fehlleiten beim Training zukünftige Angriffe vorbereitet.
Ein unerwünschter datentechnischer Angriff während des Trainings liegt beispielsweise vor, wenn der Angreifer bereits während des Trainings dafür sorgt, dass eine seiner Einrichtungen als Quelle zulässig ist (und demnach ein datentechnischer Angriff von dieser Quelle möglicherweise nicht als solcher erkannt wird).
Dieser Ausführungsform liegt demnach unter anderem die Erkenntnis zugrunde, dass datentechnische Angriffe während des Trainings bereits vorbereitet werden können. Beispielsweise können Trainingsdaten während des Trainings eingeschleust werden, die das künstliche neuronale Netz derart trainieren, dass bestimmte datentechnische Angriffe bei dem Einsatz der Erkennungseinrichtung nicht erkannt werden. So können beispielsweise sogenannte Adversarial Attacks durch eingeschleuste Trainingsdaten dahingehend vorbereitet werden, dass die Erkennungseinrichtung während des Einsatzes anfälliger für einen Adversarial Attack ist.
Der gesicherte Zustand wird beispielsweise dadurch erzielt, dass für das Training ausschließlich geprüfte Trainingsdaten
verwendet werden. Die Trainingsdaten werden während der Inbetriebsetzungs- und/oder Testphase gesammelt, wenn sichergestellt werden kann, dass das Fahrzeug nicht mit der Landseite verbunden ist und kein unberechtigtes Personal, welches einen Angriff initiiert, anwesend ist.
Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird eine Warnmeldung ausgelöst, wenn ein datentechnischer Angriff auf das Fahrzeug erkannt wird.
Die Warnmeldung wird vorzugsweise mittels einer landseitigen Meldeeinrichtung ausgelöst. Die Meldeeinrichtung empfängt beispielsweise eine Erkennungsnachricht von der Erkennungseinrichtung, wenn ein datentechnischer Angriff erkannt wird. Auf Basis der Erkennungsnachricht und in Abhängigkeit einer Konfiguration sendet die Meldeeinrichtung eine Warnmeldung an eine geeignete Ausgabeeinrichtung zum Ausgeben der Warnmeldung. Die Konfiguration kann beispielsweise mittels der vorstehend beschriebenen Kontrolleinrichtung eingestellt werden.
Nach einer bevorzugten Weiterbildung wird die Warnmeldung mittels einer von einem Fahrzeugführer wahrnehmbaren Ausgabeeinrichtung ausgegeben.
Diese Weiterbildung ist besonders bevorzugt für den Fall, dass ein datentechnischer Angriff während eines Fährbetriebs des spurgebundenen Fahrzeugs erkannt wird. Nimmt der Fahrzeugführer die Warnmeldung wahr, besteht die Gelegenheit für den Fahrzeugführer, Auswirkungen auf die Safety des Betriebs des spurgebundenen Fahrzeugs durch aktives Eingreifen in den Betrieb (z. B. Bremsen bzw. Stoppen) des Fahrzeugs zu verhindern. Der Eingriff in den Betrieb kann alternativ oder zusätzlich (teil)automatisiert erfolgen. Vorzugsweise empfängt die Meldeeinrichtung zusätzlich zu (oder gemeinsam mit) der Erkennungsnachricht eine Betriebsinformation, welche angibt, ob sich das spurgebundene
Fahrzeug im Fährbetrieb befindet. Anhand dieser Information kann die Meldeeinrichtung entscheiden, ob die Warnmeldung an die von dem Fahrzeugführer wahrnehmbare Ausgabeeinrichtung gesendet wird.
Die von dem Fahrzeugführer wahrnehmbare Ausgabeeinrichtung ist vorzugsweise eine in einem Führerpult des Fahrzeugführers angeordnete Ausgabeeinrichtung.
Gemäß einer weiteren bevorzugten Weiterbildung wird die Warnmeldung alternativ oder zusätzlich mittels einer von einem Betreiber des Fahrzeugs wahrnehmbaren Ausgabeeinrichtung einer Betriebsleitzentrale ausgegeben.
Bei einer weiteren bevorzugten Weiterbildung wird die Warnmeldung von einer Datenverarbeitungseinrichtung einer Behörde der Exekutive empfangen.
Vorzugsweise sendet die Meldeeinrichtung auf Basis der Erkennungsnachricht und in Abhängigkeit einer Konfiguration die Warnmeldung an die Datenverarbeitungseinrichtung der Behörde der Exekutive. Die Warnmeldung kann mittels einer Ausgabeeinrichtung der Datenverarbeitungseinrichtung der Behörde ausgegeben werden.
Auf diese Weise können technische Anforderungen, die sich aus gesetzlichen Vorschriften für die Meldung von datentechnischen Angriffen ergeben, besonders einfach und automatisiert erfüllt werden. Gesetzliche Vorschriften dieser Art umfassen beispielsweise
- die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (Englisch: NIS Directive),
- das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) und/oder
- die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (EU Cybersecurity Act).
Die Erfindung betrifft ferner ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch eine Recheneinheit eines spurgebundenen Fahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das vorstehend beschriebene Verfahren auszuführen. Die Erfindung betrifft ferner ein Computerprogrammprodukt mit einem Computerprogramm dieser Art.
Die Erfindung betrifft ferner ein computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch eine Recheneinheit eines spurgebundenen Fahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das vorstehend beschriebene Verfahren auszuführen.
Die Erfindung betrifft ferner ein System zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug, umfassend: eine Datenleseeinrichtung des Fahrzeugs, welche ausgebildet ist, einen Datenstrom auszulesen, und/oder eine Ereigniserfassungseinrichtung des Fahrzeugs, welche ausgebildet ist, ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug installierten Gerät ereignet, aufzuzeichnen, eine Kommunikationsverbindung, über welche der ausgelesene Datenstrom und/oder eine
Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, an eine landseitige oder fahrzeugseitige Erkennungseinrichtung übertragbar ist und eine landseitige Einrichtung, welche ausgebildet ist, mit Hilfe eines künstlichen neuronalen Netzes ein Modell zu bilden,
wobei das Modell ausgebildet ist, zu erkennen, ob der übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug betreffen und wobei ein das Modell repräsentierendes Computerprogramm auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung für eine Anwendung zum Erkennen eines datentechnischen Angriffs einsetzbar ist.
Zu Vorteilen, Ausführungsformen und Ausgestaltungsdetails des erfindungsgemäßen Computerprogramms, computerlesbaren Speichermediums und des erfindungsgemäßen Systems kann auf die vorstehende Beschreibung zu den entsprechenden Verfahrensmerkmalen verwiesen werden.
Ausführungsbeispiele der Erfindung werden anhand der Zeichnungen erläutert. Es zeigen:
Figur 1 schematisch den Aufbau eines
Ausführungsbeispiels des erfindungsgemäßen Systems und
Figur 2 schematisch den Ablauf eines
Ausführungsbeispiels des erfindungsgemäßen Verfahrens.
Figur 1 zeigt eine schematische Ansicht eines Systems 1 mit einem Fahrzeug 2, einer landseitigen Einrichtung 5 und einer landseitigen Einrichtung 105.
Das Fahrzeug 2 ist ein spurgebundenes Fahrzeug 3, nämlich ein Schienenfahrzeug 4. Die landseitige Einrichtung 5 ist Teil einer Betriebsleitzentrale.
Das spurgebundene Fahrzeug 3 weist ein Kommunikationsnetz 7 auf, welches bevorzugt als Ethernet-Netz ausgebildet ist. An das Kommunikationsnetz 7 sind unter anderem ein Endgerät 9 sowie eine Aggregator-Einrichtung 10, die eine Servereinrichtung ist, datentechnisch angeschlossen. Zudem
sind mehrere Kommunikationsgateways 11 und 111 an das Kommunikationsnetz 7 angeschlossen. Das Kommunikationsgateway 11 bzw. 111 ist mit einer drahtlosen
Kommunikationsschnittstelle 13 bzw. 113 verbunden. Das Kommunikationsgateway 11 bzw. 111 bildet zusammen mit der drahtlosen Kommunikationsschnittstelle 13 bzw. 113 eine Kommunikationseinrichtung 15 bzw. 115, welche ausgebildet ist, Daten an die landseitige Einrichtung 5 zu senden und Daten von der landseitigen Einrichtung 5 zu empfangen.
Gemäß dem in Figur 1 gezeigten Ausführungsbeispiel sind zwei Kommunikationsgateways 11 und 111 auf dem Fahrzeug 3 vorhanden. Das hier beschriebene Ausführungsbeispiel lässt sich jedoch sinnfällig auf eine Konstellation mit mehr als zwei mobilen Kommunikationsgateways übertragen.
Die Kommunikationsgateways 11 und 111 sind beispielsweise sogenannte Mobile-Communication-Gateways (MCGs).
Die landseitige Einrichtung 5 weist ein Kommunikationsnetz 17 auf, welches als Ethernet-Netz ausgebildet ist. An das Kommunikationsnetz 17 ist beispielsweise eine Erkennungseinrichtung 19 und eine Kontrolleinrichtung 20 datentechnisch angeschlossen. Zudem ist ein Ground- Communication-Gateway 21 an das Kommunikationsnetz 17 angeschlossen, welches mit einer drahtlosen Kommunikationsschnittstelle 23 verbunden ist. Das Ground- Communication-Gateway 21 bildet zusammen mit der drahtlosen Kommunikationsschnittstelle 23 eine Kommunikationseinrichtung 25, welche ausgebildet ist, Daten an das spurgebundene Fahrzeug 3 zu senden und Daten von dem spurgebundenen Fahrzeug 3 zu empfangen.
Die Kommunikationseinrichtungen 15 bzw. 115 und 25 bilden gemeinsam eine Kommunikationsverbindung 30 bzw. 130 zum Übertragen von Daten zwischen dem spurgebundenen Fahrzeug 3 und der landseitigen Einrichtung 5, d. h. ausgehend von dem spurgebundenen Fahrzeug 3 zur landseitigen Einrichtung 5
sowie ausgehend von der landseitigen Einrichtung 5 zu dem spurgebundenen Fahrzeug 3.
Das mobile Kommunikationsgateway 11 bzw. 111 weist jeweils eine Datenleseeinrichtung 16 bzw. 116 auf, welche einen Sniffer umfasst.
Das Kommunikationsnetz 7 weist zudem eine datentechnische Schnittstelle 18 auf, beispielsweise ein Port eines Switches. Die Schnittstelle 18 dient zum Anschluss eines Endgeräts (nicht gezeigt) für einen Datenaustausch mit dem Kommunikationsnetz 7. Das anschließbare Endgerät ist beispielsweise ein Notebook, welches von einem Angreifer für einen datentechnischen Angriff verwendet wird. Zwischen der Schnittstelle 18 und dem Kommunikationsnetz 7 ist eine weitere Datenleseeinrichtung 216, die einen Sniffer umfasst, geschaltet. Das hier beschriebene Ausführungsbeispiel lässt sich sinnfällig auf eine Konstellation mit mehreren datentechnischen Schnittstellen übertragen.
Die Datenleseeinrichtungen 16, 116 und 216 sind ausgebildet, einen Datenstrom auszulesen. Der Datenstrom geht beispielsweise über die drahtlose Kommunikationsschnittstelle 13 bzw. 113 oder über die Schnittstelle 18 ein.
Das Endgerät 9 weist eine Ereigniserfassungseinrichtung 109 auf, welche einen Logger umfasst. Die
Ereigniserfassungseinrichtung 109 ist ausgebildet, ein sicherheitsbezogenes Ereignis, welches sich bei dem Endgerät 9 ereignet, aufzuzeichnen und eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, an die Aggregator-Einrichtung 10 zu senden. Das Aufzeichnen erfolgt beispielsweise mittels eines Tools wie Syslog.
In einem Verfahrensschritt A wird auf einer landseitigen Einrichtung 105 ein künstliches neuronales Netz 106 erstellt. Das künstliche neuronale Netz 106 weist mehrere Schichten von Neuronen auf, die nicht Eingabeneuron oder Ausgabeneuron
sind. Das künstliche neuronale Netz 106 bildet ein Modell, welches in die Lage versetzt werden soll, anhand eines Datenstroms und einer Ereignisinformation zu erkennen, ob diese einen datentechnischen Angriff auf das Fahrzeug 2 betreffen.
In einem Verfahrensschritt Bl wird das künstliche neuronale Netz 106 anhand von Trainingsdaten trainiert. Das Training erfolgt in einem gesicherten Zustand, in dem ein unerwünschter datentechnischer Angriff ausgeschlossen ist. Der gesicherte Zustand wird beispielsweise dadurch erzielt, dass für das Training ausschließlich geprüfte Trainingsdaten verwendet werden. Die Trainingsdaten werden während der Inbetriebsetzungs- und/oder Testphase gesammelt, wenn sichergestellt werden kann, dass das Fahrzeug nicht mit der Landseite datentechnisch verbunden ist und kein unberechtigtes Personal, welches einen Angriff initiiert, anwesend ist.
Nach dem Training des künstlichen neuronalen Netzes 106 wird mit Hilfe des künstlichen neuronalen Netzes ein Modell gebildet (Verfahrensschritt B2), welches erkennt, ob ein Datenstrom und/oder eine Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug 2 bildet. Ein das Modell repräsentierendes Computerprogramm wird in einem Verfahrensschritt C auf der landseitigen Erkennungseinrichtung 19 installiert und im weiteren Verfahren, insbesondere im Betrieb des Fahrzeugs 2, eingesetzt .
In einem Verfahrensschritt D wird mittels der Kontrolleinrichtung 20 eingestellt, welcher Teildatenstrom eines eingehenden Datenstroms von den Datenleseeinrichtungen 16, 116 und 216 ausgelesen wird. Dafür wird ein Auffälligkeitskriterium mittels der Kontrolleinrichtung 20 festgelegt. Wenn das Auffälligkeitskriterium für den Teildatenstrom erfüllt ist, wird dieser aus dem Datenstrom ausgelesen. Das Auffälligkeitskriterium ist beispielsweise
dann erfüllt, wenn der Datenstrom von einer unbekannten Quelladresse stammt.
Die Kontrolleinrichtung 20 umfasst beispielsweise ein Softwaremodul, welches auf einer von einem Benutzer bedienbaren Recheneinrichtung ausgeführt wird.
In einem Verfahrensschritt E wird mittels der Kontrolleinrichtung 20 eingestellt, welche
Ereignisinformationen von der Ereigniserfassungseinrichtung 109 an die Aggregator-Einrichtung 10 gesendet werden.
In einem Verfahrensschritt F wird mittels der Kontrolleinrichtung 20 eingestellt, welche ausgelesenen Datenströme und Ereignisinformationen auf der Aggregator- Einrichtung 10 gesammelt und an die Erkennungseinrichtung 19 gesendet werden.
Bei dem Einsatz der Erkennungseinrichtung während des Betriebs des Fahrzeugs 2 geht ein Datenstrom beispielsweise ausgehend von der Landseite über die drahtlose Kommunikationsschnittstelle 13 und das mobile Kommunikationsgateway 11 ein und gelangt auf das Kommunikationsnetz 7. Mit anderen Worten: Die Kommunikationseinrichtung 15 dient als Empfangseinrichtung, welche den Datenstrom, der von einer Quelle außerhalb des Fahrzeugs 2 stammt, in einem Verfahrensschritt Gl empfängt. Die Datenleseeinrichtung 16 liest in einem Verfahrensschritt G2 einen Teildatenstrom aus, der das Auffälligkeitskriterium erfüllt. Dieser ausgelesene Teildatenstrom wird in einem Verfahrensschritt H an die Aggregator-Einrichtung 10 des Fahrzeugs 2 übertragen.
Die Ereigniserfassungseinrichtung 109 zeichnet in einem Verfahrensschritt J1 ein sicherheitsbezogenes Ereignis, welches sich bei dem Gerät 9 ereignet, auf und erzeugt in einem Verfahrensschritt J2 eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert. Die
Ereignisinformation wird in einem Verfahrensschritt K an die Aggregator-Einrichtung 10 des Fahrzeugs 2 übertragen.
Die Aggregator-Einrichtung 10 sammelt den ausgelesenen Teildatenstrom und die Ereignisinformation in einem Verfahrensschritt L. Der gesammelte Teildatenstrom und die gesammelte Ereignisinformation werden in einem Verfahrensschritt M über das Kommunikationsnetz 7 und die Kommunikationsverbindung 30 und/oder 130 an die Erkennungseinrichtung 19 übertragen.
Die Erkennungseinrichtung 19 erkennt in einem Verfahrensschritt N, ob der übertragene Teildatenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug 2 betrifft.
Wenn die Erkennungseinrichtung 19 einen datentechnischen Angriff anhand des Teildatenstroms und/oder anhand der Ereignisinformation erkennt, wird eine Erkennungsinformation in einem Verfahrensschritt 0 an eine landseitige Meldeeinrichtung 22 über das Kommunikationsnetz 17 übertragen. In einem Verfahrensschritt P sendet die Meldeeinrichtung 22 auf Basis der Erkennungseinrichtung und in Abhängigkeit einer mittels der Kontrolleinrichtung 20 (vorab) vorgenommenen Konfiguration eine Warnmeldung and eine geeignete Ausgabeeinrichtung.
Beispielsweise wird in einem Verfahrensschritt PI eine Warnmeldung an eine in einem Führerpult des Fahrzeugführers angeordnete Ausgabeeinrichtung 133 übertragen und in einem Verfahrensschritt P2 von dieser ausgegeben.
Zusätzlich wird die Warnmeldung in einem Verfahrensschritt PP1 an eine von einem Betreiber des Fahrzeugs 2 wahrnehmbare Ausgabeeinrichtung übertragen und in einem Verfahrensschritt PP2 von dieser ausgegeben.
Ergänzend kann die Warnmeldung in einem Verfahrensschritt PPP1 von einer Einrichtung einer Behörde der Exekutive empfangen werden. Die Warnmeldung kann mittels einer Ausgabeeinrichtung der Datenverarbeitungseinrichtung der Behörde in einem Verfahrensschritt PPP2 ausgegeben werden.
Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
Claims
1. Verfahren zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug (2), bei welchem: ein Datenstrom mittels einer Datenleseeinrichtung (16, 116, 216) des Fahrzeugs (2) ausgelesen wird (G2) und/oder ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug (2) installierten Gerät (9) ereignet, mittels einer Ereigniserfassungseinrichtung (109) des Fahrzeugs (2) aufgezeichnet wird (J), der ausgelesene Datenstrom und/oder eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, über eine Kommunikationsverbindung (7,
30, 130) an eine landseitige oder fahrzeugseitige Erkennungseinrichtung (19) übertragen werden (M), eine landseitige Einrichtung (105) mit Hilfe eines künstlichen neuronalen Netzes ein Modell bildet, das erkennt, ob der übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug (2) betrifft, und ein das Modell repräsentierendes Computerprogramm auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung (19) für eine Anwendung zum Erkennen eines datentechnischen Angriffs eingesetzt wird.
2. Verfahren nach Anspruch 1, bei welchem das Fahrzeug (2) ein spurgebundenes Fahrzeug (3), vorzugsweise ein Schienenfahrzeug (4), ist.
3. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem, der Datenstrom ausgelesen wird, indem ein Teildatenstrom eines Datenstroms ausgelesen wird, wenn der Teildatenstrom ein Auffälligkeitskriterium erfüllt (G2).
4. Verfahren nach Anspruch 3, bei welchem die Datenleseeinrichtung (16, 116, 216) einen Sniffer umfasst.
5. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem der Datenstrom von einer Quelle außerhalb des Fahrzeugs (2) stammt und mittels einer Empfangseinrichtung (15, 115, 18) des Fahrzeugs (2) empfangen wird (Gl), wobei das Fahrzeug (2) eine Mehrzahl von Empfangseinrichtungen (13, 113, 18) zum Empfangen des
Datenstroms aufweist und jeder Empfangseinrichtung (13, 113, 18) eine Datenleseeinrichtung (16, 116, 216), zum Auslesen des empfangenen Datenstroms zugeordnet ist.
6. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem
- der ausgelesene Datenstrom und die Ereignisinformation an eine Aggregator-Einrichtung (10) übertragen werden (H, K),
- die Aggregator-Einrichtung (10) den ausgelesenen Datenstrom und die Ereignisinformation sammelt (L) und
- der gesammelte Datenstrom und die gesammelte Ereignisinformation über die Kommunikationsverbindung (30, 130) an die landseitige oder fahrzeugseitige Erkennungseinrichtung übertragen werden (M).
7. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem das künstliche neuronale Netz (106) eine oder mehrere Schichten von Neuronen aufweist, die nicht Eingabeneuron oder Ausgabeneuron sind.
8. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem das künstliche neuronale Netz (106) anhand von Trainingsdaten trainiert wird (Bl), wobei das Training in einem gesicherten Zustand erfolgt, in welchem ein unerwünschter datentechnischer Angriff ausgeschlossen ist.
9. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem eine Warnmeldung ausgelöst wird, wenn ein datentechnischer Angriff auf das Fahrzeug (2) erkannt wird.
10. Verfahren nach Anspruch 9, bei welchem die Warnmeldung (134) mittels einer von einem Fahrzeugführer wahrnehmbaren Ausgabeeinrichtung (133) ausgegeben wird (P2).
11. Verfahren nach Anspruch 9 oder 10, bei welchem die Warnmeldung mittels einer von einem Betreiber des Fahrzeugs (2) wahrnehmbaren Ausgabeeinrichtung einer Betriebsleitzentrale ausgegeben wird (PP2).
12. Verfahren nach wenigstens einem der Ansprüche 9 bis 11, bei welchem die Warnmeldung von einer Datenverarbeitungseinrichtung einer Behörde der Exekutive empfangen wird (PPP1).
13. Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch eine Recheneinheit eines spurgebundenen Fahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 12 auszuführen.
14. Computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch eine Recheneinheit eines spurgebundenen Fahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 12 auszuführen.
15. System zum Erkennen eines datentechnischen Angriffs auf ein Fahrzeug (2), umfassend: eine Datenleseeinrichtung (16, 116, 216) des Fahrzeugs (2), welche ausgebildet ist, einen Datenstrom auszulesen, und/oder eine Ereigniserfassungseinrichtung (109) des Fahrzeugs (2), welche ausgebildet ist, ein sicherheitsbezogenes Ereignis, welches sich bei einem auf dem Fahrzeug (2) installierten Gerät (9) ereignet, aufzuzeichnen, eine Kommunikationsverbindung (7, 30, 130), über welche der ausgelesene Datenstrom und/oder eine Ereignisinformation, welche das aufgezeichnete Ereignis repräsentiert, an eine landseitige oder fahrzeugseitige Erkennungseinrichtung (19) übertragbar ist und eine landseitige Einrichtung (105), welche ausgebildet ist, mit Hilfe eines künstlichen neuronalen Netzes (106) ein Modell zu bilden, wobei das Modell ausgebildet ist, zu erkennen, ob der übertragene Datenstrom und/oder die Ereignisinformation einen datentechnischen Angriff auf das Fahrzeug (2) betreffen und wobei ein das Modell repräsentierendes Computerprogramm auf der landseitigen oder fahrzeugseitigen Erkennungseinrichtung (19) für eine Anwendung zum Erkennen eines datentechnischen Angriffs einsetzbar ist.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP22725710.2A EP4315751A1 (de) | 2021-05-06 | 2022-04-21 | Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102021204600 | 2021-05-06 | ||
DE102021204600.2 | 2021-05-06 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2022233584A1 true WO2022233584A1 (de) | 2022-11-10 |
Family
ID=81850337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2022/060536 WO2022233584A1 (de) | 2021-05-06 | 2022-04-21 | Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP4315751A1 (de) |
WO (1) | WO2022233584A1 (de) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102010052486A1 (de) * | 2010-11-26 | 2012-05-31 | Bombardier Transportation Gmbh | Steuerung des Betriebes eines spurgebundenen Fahrzeugs |
DE102015108109A1 (de) | 2015-05-22 | 2016-11-24 | Thyssenkrupp Ag | Vorrichtung und Verfahren zum unidirektionalen Übertragen von Daten |
US20180255082A1 (en) * | 2017-03-03 | 2018-09-06 | Hitachi, Ltd. | Cooperative cloud-edge vehicle anomaly detection |
WO2018162176A1 (de) | 2017-03-09 | 2018-09-13 | Siemens Aktiengesellschaft | Verfahren und vorrichtungen zur übertragung von daten zwischen einem ersten netz und einem zweiten netz eines schienenfahrzeugs |
WO2019063374A1 (de) * | 2017-09-27 | 2019-04-04 | Continental Teves Ag & Co. Ohg | Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs |
-
2022
- 2022-04-21 EP EP22725710.2A patent/EP4315751A1/de active Pending
- 2022-04-21 WO PCT/EP2022/060536 patent/WO2022233584A1/de active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102010052486A1 (de) * | 2010-11-26 | 2012-05-31 | Bombardier Transportation Gmbh | Steuerung des Betriebes eines spurgebundenen Fahrzeugs |
DE102010052486B4 (de) | 2010-11-26 | 2015-08-27 | Bombardier Transportation Gmbh | Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung |
DE102015108109A1 (de) | 2015-05-22 | 2016-11-24 | Thyssenkrupp Ag | Vorrichtung und Verfahren zum unidirektionalen Übertragen von Daten |
US20180255082A1 (en) * | 2017-03-03 | 2018-09-06 | Hitachi, Ltd. | Cooperative cloud-edge vehicle anomaly detection |
WO2018162176A1 (de) | 2017-03-09 | 2018-09-13 | Siemens Aktiengesellschaft | Verfahren und vorrichtungen zur übertragung von daten zwischen einem ersten netz und einem zweiten netz eines schienenfahrzeugs |
WO2019063374A1 (de) * | 2017-09-27 | 2019-04-04 | Continental Teves Ag & Co. Ohg | Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs |
Non-Patent Citations (1)
Title |
---|
KARATAS GOZDE ET AL: "Deep Learning in Intrusion Detection Systems", 2018 INTERNATIONAL CONGRESS ON BIG DATA, DEEP LEARNING AND FIGHTING CYBER TERRORISM (IBIGDELFT), IEEE, 3 December 2018 (2018-12-03), pages 113 - 116, XP033509034, DOI: 10.1109/IBIGDELFT.2018.8625278 * |
Also Published As
Publication number | Publication date |
---|---|
EP4315751A1 (de) | 2024-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102015200587A1 (de) | Vorrichtung und Verfahren zum Anfordern eines Notrufes bei einer Fahrzeugstörung unter Verwendung von Reiseinformationen über das Fahrzeug | |
DE4410709A1 (de) | Überwachungs-Einrichtung zur Überwachung der Flugsicherheit von Flugzeugen | |
DE102012215343A1 (de) | Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens | |
DE10326287A1 (de) | Fahrzeug-Kommunikationssystem, welches eine anormale Steuereinheit initialisiert | |
DE4446512A1 (de) | Vorrichtung zur Durchführung eines Fahrzeugtests oder zur Auswertung von Fahrzeugfehlern | |
EP3517398B1 (de) | Verfahren zur innenraumzustandsüberwachung, sowie fahrzeug mit einer innenraumzustandsüberwachungseinrichtung | |
EP3504697B1 (de) | Verfahren zum vermessen eines fahrereignisses, servervorrichtung und system aus der servervorrichtung und mehreren kraftfahrzeugen | |
EP3523941B1 (de) | Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug | |
DE102017214661A1 (de) | Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug | |
EP3732913A1 (de) | Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten | |
WO2016012387A1 (de) | Vorrichtung und verfahren zur fehler- und angriffserkennung für ein kraftfahrzeug | |
WO2018060250A1 (de) | Verfahren und system zum schutz eines bordkommunikationsnetzwerks eines kraftfahrzeugs | |
WO2013178298A1 (de) | Diagnoseverfahren und diagnoseeinrichtung für ein kraftfahrzeug | |
EP3688951B1 (de) | Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs | |
DE102007006227A1 (de) | Frühwarnsystem zur präventiven Erkennung und Korrektur von Mängeln in Fahrzeugen | |
DE102019214423A1 (de) | Verfahren zum Fernsteuern eines Kraftfahrzeugs | |
WO2017162395A1 (de) | Verfahren zur überwachung der sicherheit von kommunikationsverbindungen eines fahrzeugs | |
DE102016200775A1 (de) | Verfahren und Vorrichtung zum Schutz eines Fahrzeuges vor Cyberangriffen | |
WO2022233584A1 (de) | Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren | |
DE102017209556A1 (de) | Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung | |
DE102018212657A1 (de) | Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz | |
DE102021208459B4 (de) | Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug | |
EP3246778B1 (de) | Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät | |
DE112018004881T5 (de) | Überwachungsvorrichtung, Überwachungssystem und Computerprogramm | |
DE102016221378A1 (de) | Verfahren zum Übertragen von Daten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22725710 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2022725710 Country of ref document: EP |
|
ENP | Entry into the national phase |
Ref document number: 2022725710 Country of ref document: EP Effective date: 20231102 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |