技术领域
[0001] 提出一种用于保护网络免受网络攻击的方法、为此设立的网络用户以及为此设立的
计算机程序。
背景技术
[0002] 由W02012/159940 A2中已知一种方法,考虑将指纹用于表征(Charakterisierung)车辆网络,以便能够确定出对车辆网络的操纵(Manipulation)。该指纹在此尤其由网络配置获得。
[0003] EP 2 433 457 Bl描述一种用于车辆的安全系统以及用于侵入识别(Intrusion Dectection(入侵探测))的方法以及在确定出相应的网络攻击的情况下用于反应的措施。
发明内容
[0004] 提出一些方法,利用这些方法提高对网络的保护,其方式是,根据在网络中的传输能够识别对该网络的网络攻击并且对其
定位。为此,将传输特性与至少一个指纹进行比较。指纹在此回溯到先前所确定的传输特性。在此优选地涉及模拟的特性。但如此创建的指纹优选地被数字化。首先优选地对于所述网络的网络用户、网络区段或传输路段进行定位。基于定位可以确定所涉及的网络区段并且基于该确定可以保护其余网络免受来自所涉及的网络区段的恶意消息。所提出的方法因此能够实现对网络攻击的经改善的识别,并且通过对于所述网络的网络攻击的攻击点的定位能够实现对所述攻击的有针对性的反应。在已识别的操纵的情况下的错误处理在此因此有针对性地对于所定位的网络区段来执行。为此可以在功能方面限制或去活来自所定位的网络区段中的网络用户、所定位的整个网络区段或者来自所定位的网络区段的传输路段;经由去活的网关来从所述网络中排除所定位的网络区段;或者不传输来自其的消息,或由网络用户摒弃来自其的消息。
[0005] 如果所考虑的指纹根据模型(例如包括学习
算法、神经元网络、随机模型或基于数据的或基于自动装置的模型)从传输的合适的特性中被确定,则可以将所述方法设计得特别可靠并且鲁棒性。
[0006] 作为所提出的方法的另外的优点,对此不需要附加地传输的数据,由此也不存在对网络的实时要求的负面影响。在网络之外的攻击者不能够改变所述传输的物理特性,因为所述物理特性由网络的和其部件的
硬件属性得出并且因此对于更高的
软件层而言是不能得到的(nicht zugänglich)。
[0007] 在优选的构型中,所述所考虑的传输特性包括:所述网络的物理属性、所述网络的传输信道的物理属性或所述网络的传输介质如线缆或连接点的物理属性、用户硬件,尤其收发器或微
控制器的物理属性、所述网络的拓扑的物理属性或网络终端或终端
电阻的物理属性、所传输的消息比特的长度、所述传输的抖动、所述传输的
电流流动方向、在所述传输期间网络用户的内部电阻、在所述传输期间的
电压变化过程、所述传输的
频率份额(Frequenzanteil)或传输的时钟偏移或时间点。如果考虑这些特性其中的多个,则所述方法可以特别可靠地识别攻击以及在网络中定位攻击点。对定位的操纵明显变得困难。尤其对于被成功地攻击的发送单元而言变得困难的是,作为其他发送单元进行输出。
[0008] 通过网络的部件的有针对性的
电路技术、硬件选择或操纵可以将所考虑的特性也引入到网络中或者在网络中对其加强。由此可以进一步提高对攻击点的识别的和定位的可靠性。
[0009] 网络或网络的用户被设立用于执行所描述的方法,其方式是,使其拥有
电子的
存储器资源与计算资源,用于实施相应的方法的步骤。在这样的用户的存储介质上或者在网络的分布式的存储器资源上也可以保存计算机程序,其被设立用于,当在用户中或者在网络中完成所述方法时实施相应的方法的所有步骤。
附图说明
[0010] 下面参照所附附图并且根据
实施例进一步描述本发明。其中在此:图1示意性地示出具有多个网络区段的示例性的网络;
图2示出用于保护网络免受网络攻击的示例性的方法的示意性流程。
具体实施方式
[0011] 本发明涉及一种用于保护网络免受网络攻击的或用于定位所涉及的网络区段以便保护其余网络免遭网络攻击的方法。
[0012] 针对网络攻击的一般而言的网络的安全性和专
门而言的车辆中的网络的安全性变得越来越重要。恰恰是对于联网的车辆和自动化的车辆而言,这样的攻击变得越来越相关。研究人员可能演示对车辆控制设备的成功的远程攻击。由此对于攻击者而言可能的是,接管车辆中的控制功能,其方式是,经由已成功地攻击的控制设备来将消息加载(einspielen)到车辆网络中。
[0013] 一方面重要的是,识别对网络的攻击并且标识(identifizieren)由此加载的有害消息。另一方面同样意义重大的是,标识攻击的起源,尤其是以便能够采取(einleiten)有针对性的对应措施。如果将消息标识为恶意的,则现在应根据消息传输的数字的或模拟的特性来识别出:该消息来自于哪个网络区段,以便能够保护其余网络免受来自所涉及的网络区段的消息的影响。
[0014] 对此应将网络的物理属性,例如网络用户(或者其收发器或
微控制器)的物理属性、网络拓扑(尤其线缆和连接元件)的静态影响的物理属性或
终端电阻的物理属性用于,确定出网络中的消息的来源。如果由这些物理属性合适地确定如下特性,根据传输的所述特性来确定其来源,则与包括发送方地址等等在内的消息内容完全地不同,对于远程攻击者而言几乎不可能影响所述特性。在另一种表现形式中,也可以将这样的特性有针对性地引入到系统中,例如通过对网络的硬件部件的选择、组装或有针对性的操纵。可以如此选择这样的有针对性的特性,使得所述特性是更有区别性的并且使得能够更简单地、更明确地或更鲁棒性地将相应的物理指纹分配给相应的网络用户或网络区段。
[0015] 在此,指纹:- 将网络或部分网络作为整体来表征或验证;
- 表征或验证网络中的确定的传输路径或传输信道;或
- 表征或验证个别的网络用户(例如车辆网络中的控制设备或网络的网关)。
[0016] 在系统中也可以共同地使用这三个不同的表现形式的指纹。
[0017] 在图1中示出网络用户101,所述网络用户被构造为域控制设备,其连接到网络基干(Netzwerk-Backbone)1上。网关102或103将网络骨干与总线11或12连接。网络用户111、112或121、122被连接到总线11或12上。因此总体上可以区分三个网络区段:具有网络骨干1和网络用户101的第一网络区段、具有总线11和网络用户111、112的第二网络区段以及具有总线12和网络用户121、122的第三网络区段。网关102和103将这些网络区段连接。
[0018] 网络用户101具有硬件部件1011,用于支持或执行所提出的用于保护网络免遭网络攻击的方法。对此,硬件部件1011拥有用于测量网络中的传输的物理特性的附加的测量装置和/或拥有用于分析所检测的数据的附加的评估单元。所述测量装置以及所述评估单元可以部分地或者也可以完全地由计算单元组成。
[0019] 域控制设备101现在可以单独地或与其他网络用户111、112、121、122相结合地确定出攻击并对其定位并且采取特定的对应措施。优选地,其中包括:在所述网关之一中阻止来自于所涉及的网络区段的消息,从而保护不涉及的网络区段免受来自所涉及的网络区段的恶意消息的影响。在没有在网关中的封
锁的情况下,各个网络区段也可以忽视或摒弃来自于所涉及的网络区段的消息。也可以有针对性地去活所涉及的网络区段,例如通过上一级的网络用户。
[0020] 在图2中示出用于保护网络免遭网络攻击的方法的示例性的流程。首先,在第一步骤201中借助模型来创建物理上的指纹。这可以经由利用外部测量设备(例如示波器)来对所需的物理特性的测量来进行,尤其在安全的周围环境中(例如在工厂中)。可替代地,也可以利用内部的测量装置来确定物理特性(例如利用网络用户的机构,例如车辆网上的控制设备的机构,或者在网络
节点的专门用于网络监控的测量装置中)。对此替代地,也可以从外部接收和存储模型或指纹,例如从互联网
服务器。
[0021] 该模型可以通过不同的方式被学习(anlernen)或者确定指纹。例如,可以在网络中传输确定的检查样本(Prüfmuster),所述检查样本尤其可以是与在总线上所预期的其他消息没有相关性的。可替代地,也可以根据在网络的正常运行期间所传输的常规消息或者由这些消息的部分来确定指纹。通过消息也可以要求确定的网络用户,通过确定的方式进行答复,并且根据确定的答复的传输来确定指纹。通过最优的方式,借助模型基于重复的和不同的传输的所测量的物理特性学习所述指纹,以便稍后根据这些指纹能够实现鲁棒性的认证。
[0022] 优选地,对于指纹的创建,充分利用网络对传输的阶跃响应和脉冲响应。因此,尤其也可以描述系统中出现的反射,所述反射由网络的结构、其传输机构、其电阻和其所连接的硬件元件引起。
[0023] 测试脉冲在此可以由一般的用户或者由特殊的测试用户产生。测试脉冲在此可以由一定数目的或任意数目的电平变换(Pegelwechsel)组成,在其中,在电平变换之间的时间是确定的或未确定的。也可能的是,为此,将该网络置于(versetzen)特殊的学习模式中,在此期间例如不进行一般的数据传输。测试脉冲的发送方可以为了产生测试脉冲而拥有由HW和/或SW组成的特殊的模
块。
[0024] 对于CAN网络可以例如确定指纹,其方式是,仅仅测量CAN高位线路和CAN低位线路(CAN-High-und CAN-Low-Leitung)中的一个(相对地来测量)。这与相对低的测量耗费相关联。可替代地,也可以由两者的测量来建立指纹,或者也可以考虑差分的
信号。由此可以确定更高
质量的指纹。
[0025] 在步骤202中,存在有效的(valid)模型或有效的指纹,从而在步骤203中通过与模型或指纹的比较可以鉴于其来源来检查网络中的通信。具体地,可以在该步骤中确定各个消息和其内容(例如在CAN总线上的各个消息
帧或者在这样的帧内的各个比特)、传输时间点、在一个或多个传输用户(尤其收发器)的消息通信(Nachrichtenverkehr)中的更高阶的模式(Muster)和传输的物理特性。有害的或未预期的消息可以利用这些信息被标识并且被识别为基于网络攻击的(推测的)消息。
[0026] 此外,通过确定的物理特性与所学习的模型或所确定的指纹的比较,尤其对于这样的消息可以确定消息的来源并且因此可以标识网络攻击并且确定作为网络攻击的攻击点的网络区段。后者又能够实现对该攻击的有针对性的反应。所涉及的网络区段被确定,其方式为,基于特性与指纹的比较,该消息的来源导致以下结果:该消息来自于该网络区段的网络用户、来自于该网络区段的传输路段或刚好来自于所确定的网络区段。
[0027] 在步骤203中的数据的确定和评估可以通过各个网络用户,例如由车辆网的各个控制设备来进行。可替代地,也可以将单独设置的监控单元为此作为网络用户来使用。可以在没有专门的硬件的情况下检测各个属性,例如传输时间点,但也可以检测另外的物理特性。对于其他属性,主要以所期望的详细程度,在这些单元中的附加的硬件是有意义的。因此优选有意义的是,给各个网络用户传输并且相应地配备所述检测和所述评估。其也可以拥有附加的保证机制,例如TPM(Trusted Platform Module(可信平台模块))。数据的评估也可以协同地通过多个网络用户来进行。
[0028] 数据的检测和评估可以周期性地或动态地进行,尤其用于在所确定出的需求的情况下减少所需的存储器空间。数据的存储实现:如果存在对已发生的对于网络的网络攻击的怀疑,则对于过去的消息也执行来源的分析。对于对攻击的尽可能快的反应而言,实时检测与实时计算是最佳的。
[0029] 如果消息在步骤203中被归入为毫无疑问的,则分支到步骤204并且消息可以在无对应措施的情况下在网络中被传输和评估。从步骤204可以分支到步骤202中并且对于进一步的消息传输可以进行数据检测和分析。附加地或可替代地,可以在分支到步骤207之后,将所检测的数据用于匹配或改善模型或指纹。这也可以造成,识别潜在的攻击,在所述攻击中,各个消息并非有害,而是在其总体方面可能是非常有害的。这可能是有意义的,因为物理特性也可能随时间发生改变,例如基于老化效应。由步骤207然后又分支到步骤201中。
[0030] 如果消息被评价为可疑的,即评估为网络攻击的一部分,则由步骤203分支到步骤205中。在那里发起合适的对应措施或反应。在此,基于所识别的消息来源专门匹
配对应措施或反应。
[0031] 作为反应,可以阻止进一步的传输(尤其在实时反应的情况下)或者阻止至少第一消息的进一步评估,例如其方式是,发送显性信号到消息信道上(所述显性信号使消息不可读或至少有错误,例如通过改写校验序列)或者以紧接着该消息的方式发送错误帧。这些反应也可以根据消息来自于哪里来设计。
[0032] 可替代地或附加地,作为另外的对应措施也可以从该网络移除(尤其是去活)(推测的)已受损(korrumpiert)的网络用户、尤其以下网络用户:该网络用户已被标识为该消息的发送方,或者该网络用户来自于如下网络区段,该网络区段已被标识为该消息的来源。同样可以阻塞以下传输路段:通过所述传输路段传输了该消息。此外,也可以在确定的网络或网络区段之间的网关处封锁消息,以便避免对相邻的或附加的网络或网络区段的攻击的蔓延。
[0033] 车辆中的网络可以例如划分成逻辑上和/或物理上分离的区段。例如,车辆的头单元(Head Unit)所连接到的网络区段可以通过网关与另外的网络区段分离,其中,所述另外的网络区段由安全关键的控制设备所使用(例如用于
发动机控制、ABS功能或ESP功能)。如果确定的网络区段通过传输的特性或相应的指纹而被标识为受损的消息的来源,则可以例如在网络区段之间的网关中有针对性地摒弃或封锁来自所涉及的网络区段的消息。因此,可以保护例如安全关键的网络区段免受对其他例如安全较不关键的网络区段的攻击的作用。
[0034] 对应措施在此优选地通过通信控制器(例如CAN网络中的CAN控制器)或收发器(例如CAN网络中的CAN收发器)来实现。由此不产生与网络用户的软件的冲突。硬件单元(控制器或收发器)可以利
用例如中断来对受损的消息作出反应,网络用户的软件可以仅仅对该中断合适地作出反应。通信控制器也可以如此设立,使得通信控制器直接摒弃恶意的消息,而不利用中断来打扰(behelligen)网络用户。此外,通信控制器也可以发送警告通知,所述警告通知对攻击的或相应的恶意消息的探测进行通知。
[0035] 可替代地或附加地,最后也可以通过其他途径通过网络用户来在网络之内或向网络外部传输警告信号或错误报告,所述警告信号或错误报告包含所识别的攻击以及优选地包含关于被标识已涉及的网络区段的信息。
[0036] 在下面的步骤207中又可以基于所检测的和所评估的数据来匹配或改善模型或指纹。
[0037] 对于操纵识别可以考虑不同的特性。
[0038] 例如可以确定和评估所传输的比特的长度或在网络线路上的电平的长度。在有利的实现方案中,例如在标称比特长度的大约3/4处定义用于检测电平的实际测量点。这使得可能的是,比特在其长度方面可能
波动并且尽管如此仍可靠地被识别。这种波动(抖动)可以是对于每个组件而言个别的并且因此可以被作为特性来评估。通过选择或操纵网络的或网络用户的硬件也可以将这类波动有针对性地引入到网络中,以便使消息的来源能够更好地被标识。
[0039] 如果在关键总线上的控制设备具有相对长的“1”,但在同一关键总线上的网关具有相对短的“1”,则可以区分:消息是来源于控制设备之一还是通过网关到达该关键总线。作为反应,例如可以在后一种情况下去活网关,但维持在总线上的控制设备的通信。
[0040] 不同的比特长度可以例如由收发器的硬件属性、由线缆属性或由这两者所引起。对于收发器,例如在所装入的电容中的或在电线路的电容中的不对称性导致比特长度的不对称性。
[0041] 替代仅仅考虑比特长度自身地,也可以考虑隐性的比特部分和显性的比特部分之间的比例(Verhältnis)作为特性。
[0042] 传输的抖动属性适合作为对于指纹或模型创建而言的另外的特性。抖动例如可以通过基于不同的线缆长度的反射与在网络拓扑内的有错误的终止的相互作用地来产生。
[0043] 经由网络的通信连接的电荷的流向也可以用作特性。如果传输信号,则由此也引起电子流或电荷流。如果与其电平相关联地探测到流的方向,则可以区分,从哪个方向传输了信号。流的探测优选电感式地进行,例如借助测量线圈。但测量电阻(分流器)的应用也是可能的。优选地,对此在网络的通信连接上设置附加的测量点。电荷流取决于,传输什么类型的信号(例如在CAN总线上的高或低)以及谁发送该信号(谁是源,并且谁是宿(Senke))。
[0044] 对于在传输中的不同的信号源的区分,源的内部电阻也可以起重要的作用。例如,网络用户的或其部件的内部电阻的变化也可以有针对性地进行。内部电阻影响例如电压变化过程和电荷流。
[0045] 作为传输的另一个特性,提出在时间上的电压变化过程。对于在不同的网络用户或网络区域之间的传输的电压变化过程中的变化的原因例如可能是相应的收发器或线缆连接(过渡电阻、阻抗)。
[0046] 在另一种优选的构型中,可以考虑信号的频率份额作为特性。每个网络用户或每个网络区域可以在网络中的传输情况下引入或抑制(dämpfen)不同的频率,例如通过相应的收发器的或通信控制器的不同的属性或通过线缆属性。可以测量这些频率或确定不同的频率份额。对此,可以在
频率范围中而不是在时间范围中进行评估。不同的频率份额也由网络中的信号
叠加和信号反射引起。为了提高网络用户的可认证性,也可以将不同的频率特性有针对性地引入到网络中。
[0047] 在网络的用户之间的时钟偏移也可以属于合适的传输特性。
[0048] 在一种优选的构型中,考虑至少两种不同的特性,由此提高操纵的分配的可靠性并且明显减小可
操纵性。
[0049] 在网络的硬件或其部件的改变中可能需要的是,匹配或重新学习指纹。这可以例如在车间巡视(更换、改变、补充或去除部件)的情况下或也可以由于系统的老化而是这种情况。优选地,在此匹配或重新学习全系统范围的(systemweit)指纹,因为这类改变通常也具有对其他部件或区段的指纹的作用。这样的匹配过程或学习过程可以自动地开始,例如也可以当通过系统已自动地识别了特性的改变的时候开始。可替代地,这样的匹配过程也可以从经授权的
位置发起。
