技术领域
[0001] 提出用于保护网络防止网络攻击的方法,对此所设立的网络参与者以及对此所设立的
计算机程序。
背景技术
[0002] 从WO2012159940A2中已知一种方法,所述方法考虑将指纹用于表征车辆网络,以便能够用于确定车辆网络的操纵。指纹在此尤其从网络配置中获得。
[0003] EP2433457B1描述一种用于车辆的安全系统以及用于入侵识别(入侵探测)的方法以及如果确定相应的网络攻击,进行反应的措施。
发明内容
[0004] 提出方法,借助所述方法通过如下方式提高网络的保护:根据在网络中的传输能够识别并且尤其
定位对网络的网络攻击。对此,将传输的特征与至少一个指纹比较。在此,指纹起源于传输的之前确定的特征。在此,其优选为模拟特征。但是,这样建立的指纹优选被数字化。定位优选针对网络参与者、网络区段或网络的传输路段进行。网络或网络的参与者被设计成:通过其具有
电子存储和计算资源来实施相应方法的步骤的方式,执行所描述的方法。在这种参与者的存储介质上或在网络的分布的存储资源上也能够存储计算机程序,所述计算机程序被设立用于:当在参与者中或在网络中处理方法时,执行相应的方法的全部步骤。
[0005] 所提出的方法实现改进地识别网络攻击并且通过定位对网络的网络攻击的攻击点实现对攻击有针对性地做出反应。如果根据模型(其例如包括学习
算法,神经网络,随机模型或基于数据的模型)从传输的适当的特征中确定所考虑的指纹,那么该方法能够尤其可靠地且鲁棒地设计。
[0006] 作为所提出的方法的其他优点,对此不需要附加传输的数据,由此也不存在对于网络的实时要求的负面影响。网络之外的攻击者不能够改变传输的物理特征,因为所述物理特征从网络和其部件的
硬件特性中产生进而不可触及较高的
软件层。
[0007] 在优选的设计方案中,传输的所考虑的物理特征包括网络的物理特性,网络的传输介质或传输信道、如线缆、耦合网络、滤波
电路或连接点、参与者硬件、尤其收发器或微
控制器的物理特性、网络的拓扑的物理特性或网络终端的或终端
电阻的物理特性、传输的消息位的长度、传输的抖动、传输的
电流流动方向、网络参与者在传输期间的内电阻、在传输期间的
电压曲线、传输的
频率分量、传输的时钟偏移或时间点。
[0008] 如果考虑所述特征中的多个,那么该方法能够尤其可靠地识别攻击以及在网络中定位攻击点。定位的操纵显著变难。尤其使成功攻击的发送单元难于作为另一发送单元输出。
[0009] 在方法的一个尤其优选的设计方案中,在识别到操纵的情况下,有针对性地针对定位的网络参与者、定位的网络区段或针对网络的定位的传输路段执行错误处理。对此,定位的网络参与者、定位的网络区段或定位的传输路段尤其能够在网络中在功能上受到限制或去激活,经由去激活的网关从网络中排除或者不传输或丢弃来自所述定位的网络参与者、定位的网络区段或定位的传输路段的消息。
[0010] 通过有针对性的电路技术或硬件选择或网络部件的操纵,也能够将所考虑的特征引入到网络中,或者在网络中放大。由此能够进一步提高识别的可靠性和攻击点的定位。
附图说明
[0011] 下面,参考附图和借助
实施例详细描述本发明。在此:图1示意地示出具有多个网络参与者的示例性的网络,
图2示出用于保护网络防止网络攻击的示例性的方法的示意
流程图,
图3和图4示意地示出具有多个网络参与者的另外的示例性的网络,
图5和6示意地分别示出具有监控单元的网络参与者的示例性的结构。
具体实施方式
[0012] 本发明涉及一种用于保护网络防止网络攻击或用于在网络中定位这种网络攻击的攻击点的方法。
[0013] 网络、(通常并且特定)车辆中的网络防止网络攻击的安全性愈发重要。刚好对于联网的且自动化的车辆而言,这种攻击是关键的。研究人员能够示范对车辆控制设备成功进行远程攻击。由此攻击者可以通过将消息经由成功攻击的控制设备录入到车辆网络中的方式,来接管车辆中的控制功能。
[0014] 一方面,重要的是:识别对网络的攻击,并且辨认由此录入的有害的消息。另一方面,同样重要的是:辨认出攻击的源头、即被攻击的网络参与者或至少辨认出被攻击的网络区段,以便必要时能够采取有针对性的应对措施。如果将消息辨认为是恶意的,那么现在应根据消息传输的数字或模拟特征识别出:消息来自哪个网络参与者或者出自哪个网络区段。
[0015] 对此,应当将网络的,例如网络参与者的(或其收发器或
微控制器的)物理特性、网络拓扑的静态影响(尤其线缆和连接元件)或
终端电阻的物理特性用于:在网络中确定消息的来源。如果从所述物理特性中适当地确定如下特征,根据所述特征能够关于传输确定其来源,那么与包括发送者地址等的消息内容完全相反,对于距离远的攻击者几乎不可能影响所述特征。在另一表现形式中,这样的特征也能够有针对性地引入到系统中,例如通过对网络的硬件部件进行选择、组合或有针对性地进行操控。这种有针对性的特征能够选择成,使得其是差异性更强的且能够将相应的物理指纹更简单地、更单义地或更鲁棒地与相应的网络参与者或网络区段相关联。
[0016] 在此,指纹能够-表征或证明网络或子网络整体
-表征或证明网络中的确定的传输路径或传输信道,或者
-表征或证明个体的网络参与者(例如车辆网络中的控制设备或者网络的网关)。
[0017] 在系统中,也能够共同地使用这三种不同的表现形式的指纹。
[0018] 在图1中示出具有终端电阻10和11的总线1作为示例性的网络。将ECU 101、ECU 102以及网络监视器或网络监控单元103作为网络参与者连接到总线1上。网络监视器103优选具有发送和接收机构,以接收总线1的消息以及将消息发送到总线1上。此外,所述网络监视器优选具有分析机构,以确定总线上消息传输的物理特征,以及具有计算单元,以便借助模型从确定的特征和预先确定的指纹中确定消息的来源。
[0019] 在图2中示出用于保护网络防止网络攻击的方法的示例性的流程。首先,在第一步骤201中尤其借助模型建立物理指纹。这能够尤其在安全的环境中(例如在工厂中)经由借助外部测量设备(例如示波器)测量所需要的物理特征来进行。替代地,也能够借助内部的测量设备确定物理特征(例如借助网络参与者,例如车辆网络上的控制设备或在专
门用于网络监控的网络
节点的测量设备中的控制设备)。替代于此,也能够从外部接收模型或指纹并进行存储,例如从因特网
服务器。
[0020] 能够以不同的方式训练模型或者确定指纹。例如,能够在网络中传输确定的试样,所述试样尤其能够与另外的在总线上预期的消息无关联。替代地,指纹也能够根据在网络正常运行期间传输的正规消息中或从所述消息的部分中确定。也能够通过消息对确定的网络参与者要求:以确定方式进行响应,并且根据确定响应的传输来确定指纹。最佳地,借助于基于重复的且不同的传输的所测量的物理特征的模型来训练指纹,以便稍后根据指纹实现鲁棒的证明。
[0021] 优选地,为了建立指纹而充分利用网络对传输的阶跃响应或者脉冲响应。借此尤其也能够描述系统中的所出现的反射,所述反射从网络的结构、其传输机构、其电阻和其所连接的硬件元件中得出。在此,测试脉冲能够由常规的参与者或由专门的测试参与者产生。测试脉冲在此能够由一个或任意数量的电平切换构成,其中电平切换之间的时间是确定的或不确定的。也可以设想的是:对此将网络置于专门的学习模式中,而在此期间,例如不发生正常的数据传输。测试脉冲的发送者为了产生测试脉冲而能够具有由硬件和/或软件构成的专门的模
块。
[0022] 对于CAN网络,例如能够通过如下方式确定指纹:即仅测量CAN高和CAN低线路中的一个(相对于地测量)。这会与相对低的测量耗费联系在一起。替代地,也能够从这两者的测量中建立指纹,或者也能够考虑差分(differentiell)
信号。由此,能够确定
质量更高的指纹。
[0023] 在步骤202中,存在有效的模型或存在有效的指纹,使得网络中的通信在步骤203中可以通过与模型或指纹比较来对其来源进行检查。具体地,能够在该步骤中确定各个消息和其内容(例如CAN总线上的消息
帧或这种帧之内的各个位)、传输时间点、一个或多个传输参与者(尤其收发器)的消息传输中的更高阶的样本和传输的物理特征。借助所述信息能够辨认有害的或不期望的消息并且识别为由于网络攻击产生的(推测的)消息。通过将确定的物理特征与所训练的模型或所确定的指纹比较,特别是对于这样的消息,还能够确定消息的来源,进而辨认出网络攻击或确定网络攻击的攻击点。后者又实现对攻击点处的攻击做出有针对性的反应。
[0024] 在步骤203中数据的确定和分析,能够通过各个网络参与者,例如由车辆网络的各个控制设备来进行。替代地,也能够对其使用单独设置的监控单元作为网络参与者。各个特性,例如传输时间点,但是还有其他的物理特征能够在没有专门硬件的情况下检测。对于其他特性、特别是以期望的细节程度的其他特性,在单元中的附加的硬件是有意义的。因此优选地有意义的是:给各个网络参与者传输检测和分析并且相应地对网络参与者进行配设。所述网络参与者也能够具有附加的保险机制,例如TPM(可信平台模块)。数据的分析也能够协作地通过多个网络参与者来进行。
[0025] 尤其为了降低在需求确定的情况下的所需的存储空间,数据的检测和分析能够周期地或动态地进行。数据的存储能够实现:如果存在对网络进行网络攻击的猜测,那么也对于之前的消息执行来源分析。为了尽可能快地对攻击做出反应,实时检测和计算是最佳的。
[0026] 所检测的数据能够单独地存储在每个控制设备中,存储在一个或多个网络监控单元中或也存储在网络外部。在一个有利的设计方案中,将数据存储在不同的地点,以便使对数据的攻击变难。在车辆网络的情况下,数据也能够存储在车辆外部,例如存储在服务器上。这具有的优点是:也能够对于其他车辆或从上级部门进行分析和反应,以及在对车辆进行网络攻击时数据不能(容易地)是攻击的对象。
[0027] 如果消息在步骤203中分级为不使人生疑的,那么转向步骤204,并且消息能够在没有应对措施的情况下在网络中传输和分析。从步骤204能够转入步骤202并且为了进一步的消息传输进行数据检测和分析。附加地或替代地,在转向步骤207之后,能够将所检测的数据用于:调整或优化模型或指纹。这也能够有助于识别潜在的攻击,其中个别消息是无害的,但是其整体可能是极其有害的。这能够是有意义的,因为物理特征也能够随时间改变,例如由于老化效应。随后从步骤207又转入步骤201。
[0028] 如果消息被评价为是令人生疑的,即评价为网络攻击的一部分,那么从步骤203中转入步骤205。在那里,采取适当的应对措施或反应。在一个尤其优选的设计方案中,应对措施或反应基于所识别的消息来源专门进行调整。
[0029] 作为反应,例如能够在步骤206中通过将显性信号发送到消息信道上的方式(所述显性信号使得消息不可读或至少有错,例如通过覆写校验序列),或通过直接随消息之后发送错误帧的方式,能防止消息进一步传输(尤其在实时反应中)或至少防止进一步分析消息。所述反应也能够与消息源自何处相关地设计。
[0030] 作为另外的应对措施,在步骤206中替代地或附加地也能够从网络中移除(尤其去激活)(推测的)被败坏的网络参与者,尤其将辨认为消息发送者的网络参与者或者将辨认为消息来源的网络区段中的网络参与者从网络中移除。同样地,能够截断传输路段,经由所述传输路段传输消息。此外,也能够通过在确定的网络或网络区段之间的网关阻挡消息,以便避免攻击蔓延到相邻的或附加的网络或网络区段上。
[0031] 车辆中的网络例如能够划分成逻辑和/或物理分离的区段。例如,车辆的音响主机所连接的网络区段能够经由网关与另外的网络区段分离,其中该另外的网络区段由安全关键的控制设备(例如用于
发动机控制,用于ABS或ESP功能)使用。如果这种将两个网络区段分离的网关关于传输的特征或相应的指纹而被辨认为区段之一中的消息的源头,所述源头不可由攻击者经由软件来操纵,那么能有针对性地丢弃来自该网关(进而来自其他网络区段)的消息,或者同样能够将网关本身去激活。因此,能够对安全关键的网络区段进行保护防止对于其他的网络区段的攻击的影响。
[0032] 步骤206中的另一应对措施也能够是切断消息的主观想象的接收者。在此,除了完全去激活之外也可设想的是:切换到具有功能减少的运行模式上,例如切换到紧急运行。
[0033] 最后,替代地或附加地,也能够在网络之内传输警告信号或错误报告或向网络外部传输,所述警告信号或错误报告包含识别到的攻击和优选包含所确定的来源。
[0034] 在随后的步骤207中,又能够基于所检测和分析的数据调整或优化模型或指纹。
[0035] 如所描述的那样,所提出的方法能够通过网络参与者的不同的情况来执行。图1中示出单独地或与网络参与者101和102一起执行所描述的方法的分开的总线监控单元103,而在图3中示出替代的配置。在此,示出具有终端电阻30和31以及两个网络参与者301和302的总线3。相对于网络参与者301,网络参与者302具有用于支持或执行所提出的方法的附加的硬件部件3021。对此,硬件部件具有用于测量网络中的传输的物理特征的附加的测量设备和/或用于分析所检测的数据的附加的分析单元。测量设备以及分析单元能够部分地或也完全地由计算单元构成。
[0036] 在图4中,将类似的硬件部件4011集成到网络参与者401中。然而,网络参与者401在此是域控制设备,所述域控制设备连接到网络骨干4上。网关402或403将网络骨干与网络区段或网络41或42连接。将网络参与者411和412或421和422连接到网络41或42上。现在,域控制设备能够单独地或与其他网络参与者组合地确定和定位攻击并且采取相应的应对措施。优选地,属于此的是经由网关之一禁止来自一个网络或网络区段的消息。
[0037] 在图5和6中示出用于执行或支持所提出的方法的硬件部件可以如何集成到网络参与者中的优选的设计方案。
[0038] 在此,图5简要地示出控制设备5作为网络参与者,所述控制设备包括微控制器510以及CAN收发器520。微控制器510包括CPU 511、
存储器512、CAN控制器513以及安全模块514(例如硬件安全模块,即具有被保护的存储器和分开的被保护的计算单元的模块),它们分别借助内部的通信线路51(主机
接口)连接。此外,安全模块514也与附加的安全通信连接52(安全接口)连接。在该设计方案中,微控制器510包括监控单元515作为用于执行或支持所提出的方法的硬件部件,所述监控单元同样与安全通信连接52连接。从CAN收发器520侧的接
收线路(CAN-Rx)从所述CAN收发器分别引导至CAN控制器513和监控模块515。朝CAN收发器520方向的发送线路(CAN-Tx)分别从CAN控制器513和监控模块515经由共同的与模块(&)引导至CAN收发器520。CAN收发器520与CAN总线(CAN-H,CAN-L)连接。
[0039] 图6以一个替代的设计方案同样简要地示出控制设备6作为网络参与者,所述控制设备包括微控制器610以及CAN收发器620。微控制器610包括CPU 611、存储器612、CAN控制器613以及安全模块614(例如硬件安全模块,即具有被保护的存储器和分开的被保护的计算单元的模块),它们分别与内部的通信线路61(主机接口)连接。此外,安全模块614也与附加的安全通信连接62(安全接口)连接。SPI接口模块615同样与安全通信连接62连接。在该设计方案中,CAN收发器620包括监控单元621作为用于执行或支持所提出的方法的硬件部件,所述监控单元经由微控制器的SPI接口单元615与微控制器的安全通信连接62连接。从CAN收发器620的接收和发送机构622侧的接收线路(CAN-Rx)从所述CAN收发器分别引导至CAN控制器613和监控模块621。朝CAN收发器620的接收和发送机构622方向的发送线路(CAN-Tx)分别从CAN控制器613和监控模块621经由共同的与模块(&)引导至接收和发送机构622,所述接收和发送机构与CAN总线(CAN-H,CAN-L)连接。
[0040] 为了识别操纵能够考虑不同的特征。
[0041] 例如,能够确定和分析所传输的位的长度,或网络线路上的电平的长度。在有利的实施方案中,将用于检测电平的实际测量点例如限定在名义位长的大约3/4处。这使得可能的是,位的长度能够
波动并且尽管如此还可靠地识别位。所述波动(抖动)能够对于每个模块是单独的,进而能够作为特征来进行分析。也能够通过选择或操纵网络或网络参与者的硬件来将这种波动有针对性地引入网络中,以便使消息的来源被更好地辨认。
[0042] 如果例如在关键总线上的控制设备具有相对长的“1”,但在相同关键总线上的网关具有相对短的“1”,那么能够对如下情况进行区分:消息是否来自控制设备之一或经由网关到达关键总线。在后一种情况下,作为反应例如能够将网关去激活,但是维持总线上的控制设备的通信。
[0043] 不同的位长例如能够从收发器的硬件特性、从线缆特性或和从两者中产生。对于收发器而言,例如装入的电容中或电线路的电容中的不对称性能够对于位长的不对称性负责。
[0044] 代替仅考虑位长本身,也能够考虑隐性和显性位份额之间的比例作为特征。
[0045] 传输的抖动特性适合作为指纹或模型建立的另外的特征。抖动例如能够通过由于不同的线缆长度与网络拓扑之内的有错的终止相互作用引起的反射而形成。
[0046] 也能够将电荷经由网络的通信连接的流动方向用作为特征。当传输信号时,由此也决定电子流或电荷流动。如果所述流的方向结合其电平被检测到,那么能够区分:信号从哪个方向起传输。流的检测优选感应式地进行,例如借助于测量线圈进行。但是也能够设想使用测量电阻(分流)。
[0047] 对此,优选地在网络的通信连接处设有附加的测量点。电荷流动与如下相关:传输哪种类型的信号(例如CAN总线上的高或低)并且谁发送信号(即谁是源和谁是宿)。
[0048] 为了对在传输时的不同信号源进行区分,源的内电阻也能够发挥作用。例如,也能够有针对性地进行网络参与者或其部件的内电阻的改变。内电阻例如影响电压曲线和电荷流动。
[0049] 提出关于时间的电压曲线作为传输的另一特征。不同的网络参与者或网络区域之间传输的电压曲线中的变化的原因例如能够是相应的收发器或线缆连接(过渡电阻,阻抗)。
[0050] 在另一优选的设计方案中,能够考虑信号的频率分量作为特征。每个网络参与者或每个网络区域能够在网络中在传输时引入或衰减不同的频率,例如经由相应的收发器的不同的特性或经由线缆特性。能够测量所述频率或者确定不同的频率分量。对此,能够在频域中代替在时域中确定频率。不同的频率分量也从网络中的信号反射和信号
叠加中得出。为了提高网络参与者的可证明性,也能够将不同的频率特征有针对性地引入到网络中。
[0051] 网络的参与者之间的时钟偏移也能够属于适当的传输特征。
[0052] 在一个优选的设计方案中,考虑至少两种不同的特性,由此提高操纵的关联的可靠性并且显著地降低可
操纵性。
[0053] 在改变网络或其部件的硬件时可能需要:调整或重新学习指纹。这例如能够在返厂检查(更换、改变、补充或取下部件)时是这种情况或也由于系统老化而是这种情况。优选地,在此,调整或重新学习系统范围的指纹,因为这种变化通常也对其他部件或区段的指纹产生影响。这种调整过程或学习过程能够自动地启动,例如也当由系统自动地识别到特征改变时,自动地启动。替代地,也能够由授权的部门行使这种调整过程。
[0054] 在一个优选的设计方案中,从各个接收的位中确定特征,尤其针对每个所接收的位确定特征。对于该设计方案尤其能够存储传输的所测量的模拟值,而不仅仅存储所提取的数字值。对此,能够将消息的位根据相应的位开始和末端处的数字值来划分成四组:00、01、10、11。对于序列“01101”为X0、01、11、10、01。在不了解第一位之前的测量结果的情况下,对于该示例不可能的是:确定所述测量结果在所述组中的一个中的成员身份。如果测量值在开始时是高电平(1),那么将该位分类为组10,否则分类为组00。在真实系统中,通常不存在所述问题,因为在位序列的开始存在测量值。对于具有8字节有用数据,而不具有延长的CAN-ID和不具有填充位的CAN消息而言,其例如能够是大约100个测量的位,所述位划分成相应的组。
[0055] 在该划分之后,对于每个组单独地统计地分析分别包含的位。作为统计参量例如能够确定平均值、标准偏差、平均偏差、对称系数、
曲率度、均方根、所测量的参量的、例如电压值的最大值和最小值。也能够确定多个或全部所述参量。
[0056] 能够缩放和归一化结果。对于每个组,于是根据该分析和结果能够计算概率:特征能够与哪个参与者、网络区段或哪个传输路段相关联。对此,对于参与者、区段和路段能够形成等级。借助已知的机器-学习算法(例如逻辑回归,
支持向量机,神经网络)能够确定每个组的结果与等级之一的关联。
[0057] 对于资源受限的网络参与者,能够通过
机器学习根据情况相应地减少分析,例如降低到每个组一个向量乘法。如果例如存在已经能够指配给确定的参与者的消息ID,那么在第一步骤中,通过确定该特征实际上能够与相应的等级关联的概率的方式,能够首次检查该推测的来源。即使不是这种情况,也能够确定其余等级的概率,以便发现:该消息由哪个另外的已知的参与者、另外的网络区段或另外的传输路段传输或者是否必须从未知的来源出发。
[0058] 各个组的概率还能够被加权,例如基于不同组的不同的
精度或预测能
力来加权。对于位序列或消息与参与者、网络区段或传输路段的关联,于是能够从单独概率中确定总概率。一个等级的最高概率确定相应的关联。从该概率的大小中能够推导出关联的不确定性。如果全部概率都低于预先给定的
阈值,那么不进行关联,并且能够将未知的源认作为消息的来源。所述信息又能够被考虑用于确定网络攻击。
