EP3682610A1 - Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem - Google Patents

Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem

Info

Publication number
EP3682610A1
EP3682610A1 EP18762061.2A EP18762061A EP3682610A1 EP 3682610 A1 EP3682610 A1 EP 3682610A1 EP 18762061 A EP18762061 A EP 18762061A EP 3682610 A1 EP3682610 A1 EP 3682610A1
Authority
EP
European Patent Office
Prior art keywords
message
sequence
states
serial communication
communication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP18762061.2A
Other languages
English (en)
French (fr)
Inventor
Birger Kamp
Anke Jentzsch
Viktor Bunimov
Steven Michna
Christoph Riechel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Publication of EP3682610A1 publication Critical patent/EP3682610A1/de
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Definitions

  • the present invention relates to the monitoring of communication systems. More particularly, the present invention relates to a method and apparatus for detecting an attack on a serial communication system.
  • a vehicle is a mobile means of transport for the transport of people or goods.
  • the vehicle may therefore be both a passenger and a commercial vehicle.
  • a vehicle may be a passenger car, a truck, a motorcycle or a tractor.
  • a vehicle may be understood as a device that includes an engine, a powertrain system, and wheels. The number of online
  • Vehicle-checked message then checked whether the contained therein message identifier (engl, message ID) and the therein contained network identifier (EN, network ID) are respectively known. If this is the case, then it is further checked whether the currently examined message as well as previous messages regarding their time behavior are normal or abnormal.
  • Document EP 3 1 13 529 A1 proposes a further method for detecting time-based anomalies in a vehicle communication network. For this purpose, the time interval between two consecutive messages of identical message identifier is compared with a time model.
  • the methods proposed in the aforementioned publications can not detect a large number of attacks. Thus, there is a need to provide a way to improve the detection of attacks on serial communication systems.
  • the present invention enables this by a method of detecting an attack on a serial communication system.
  • a serial communications system transmits individual bits in sequence (i.e., serial) - as opposed to parallel communication systems that transmit their data in parallel over multiple lines.
  • the method includes determining a respective state of a plurality of messages transmitted over the serial communication system to obtain a sequence of states.
  • the state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively.
  • the features can be understood as so-called.
  • the individual properties may be irrelevant in their own right, but their common consideration (i.e., viewing as a whole) allows the condition classification of a message.
  • the condition classification of a message is therefore e.g. possible via simple comparison operations. This results in a pattern of states - the sequence of states.
  • the characteristics of a message may include, for example, a content, a (temporal) beginning of the message, an end of the message (temporal) or an identification of the message as active or inactive.
  • the method further comprises comparing the sequence of states with at least one reference sequence.
  • a timing of the plurality of messages transmitted via the serial communication system is monitored.
  • the reference sequence of states indicates the order of states in normal (i.e., undisturbed) operation of the serial communication system. Deviations from the normal (i.e., fixed) timing of the messages represented by the reference sequence may therefore indicate a manipulation of the serial communication system.
  • the method further comprises determining that there is an attack on the serial communication system when the sequence of states from the
  • Reference sequence deviates. Since the comparison of the sequence of states with the at least one reference sequence can be carried out very efficiently and with low computing power, The method according to the invention enables a simple and efficient monitoring of a serial communication system.
  • the method may include determining that there is no attack on the serial communication system.
  • the state of the message may be determined at least on a first comparison of a content of the message with a content of the preceding message and on a second comparison of the time difference between a beginning of the message
  • the beginning of the first message is thus compared to the beginning of the preceding message in order to allow a time interval between the messages
  • the message content as well as the time interval between successive messages is characteristic and therefore suitable for the status description of the message.
  • the comparison value may be, for example, a cycle time used by the serial communication system or a blocking time between successive messages.
  • the state of the message may also be based on additional comparisons of the time difference between the beginning of the message and the beginning of the preceding message with at least one further comparison value.
  • the state of the message may also be based on a comparison of one or more attributes of the message with a comparison value independent of the plurality of messages.
  • the content of the message e.g., a status bit
  • a comparison value indicating whether a message is active or inactive.
  • such comparisons may represent suitable low-level descriptors to determine the state of a message, i. to characterize a message.
  • comparing the sequence of states to at least one reference sequence includes incrementing a counter when a first state occurs within the sequence of states. Further, the comparing includes resetting the counter to an output value when a second condition occurs within the sequence of states. If the counter exceeds a threshold, the compare includes
  • Determining that the sequence of states differs from the reference sequence Determining that the sequence of states differs from the reference sequence. Additional messages, ie inserted messages, change the characteristic pattern, ie the characteristic reference sequence.
  • the characteristic reference sequence can be mapped by the threshold for the counter associated with the first state. Due to the additional, injected message, it can happen that the counter is not reset or too late. Accordingly, by using a counter, the deviation of the sequence of states from the reference sequence can be easily deduced.
  • the method further comprises comparing a
  • the subarea of the sequence of states in this case only includes states that are different from the second state. If the portion of the sequence of states differs from the second reference sequence, then the method further comprises determining that an attack on the serial communication system exists. In other words, the sequence of states between a first state change from the second state to another state and a second state change from another state to the second state is checked. Thus, the correctness of the sequence (pattern) of states can be further secured.
  • the method further comprises comparing the content of a first message of the plurality of messages with the content of a second message of the plurality of messages.
  • the state of the first message is equal to the state of the second message, wherein between the first and the second message at least a third message is transmitted with a state different from the state of the first message state via the serial communication system. If the content of the second
  • the method further includes
  • the method further comprises sending a message to a receiving device of a monitoring site for the serial
  • the message includes information about the attack on the serial communication system. In this way, those responsible for the serial
  • the information about the attack on the serial communication system can be any kind of information regarding the attack and ranging from a simple notification that an attack took place to detailed information about eg type and extent of the attack or affected messages.
  • the information about the attack on the serial communication system includes information about at least a portion of the sequence of states.
  • the messages affected by the attack (and possibly a number of preceding and / or subsequent messages) of the plurality of messages of the serial communication system are transmitted to the monitoring station, so that they can be further analyzed.
  • the plurality of messages are each transmitted over a plurality of signals via the serial communication system.
  • the method then further comprises comparing a signal portion associated with the message of a first one of the plurality of signals with a signal portion of the first signal associated with the preceding message.
  • the information about the attack on the serial communication system then comprises information about a result of the comparison of the signal portion of the first signal associated with the message with the signal portion of the first signal associated with the preceding message.
  • a message can therefore be composed of several signals. For the analysis of an attack, it may be helpful to know which of the signals were attacked.
  • the result of the comparison of the signal portion of the first signal associated with the message with the signal portion of the first signal assigned to the preceding message can be transmitted in a compact form, so that the data volume required for the transmission is small.
  • the information about the result of the comparison is a binary information indicating whether the signal portion of the first signal associated with the message matches the signal portion of the first signal associated with the preceding message.
  • the information about the result of the comparison may be transmitted as a single bit for each of the plurality of signals. Accordingly, the data volume required for the transmission is very small.
  • the serial communication system is a CAN bus system. CAN bus systems, eg in vehicles, require effective monitoring due to their increasing availability via the World Wide Web.
  • the reference sequence is selected depending on a transmission type of the CAN bus system.
  • CAN bus systems support a variety of transmission modes (signal transmission types). For example, here are the transmission types “Cyclic”, “OnChange”, “OnChangeWithRepetition”, “IfActive”, “IfActiveWithRepetition”,
  • Attack detection can be adapted to the type of transmission of the CAN bus system used.
  • the comparison value for comparison with the time difference between the beginning of the message and the beginning of the preceding message is a first used cycle time (e.g., normal cycle time), a second cycle time used (e.g., fast cycle time), or a CAN bus system lock time.
  • the CAN bus system can use several cycle times, each of which is characteristic for one transmission type.
  • the blocking time represents a minimum time interval between two consecutive messages, the undershooting of which represents an indication of an attack.
  • the present invention further relates to a program having a program code for carrying out the method described herein, when the
  • Hardware component is executed.
  • the present invention also relates to an apparatus for detecting an attack on a serial communication system. It includes the
  • Apparatus comprising processor circuitry configured to determine a respective one of a plurality of messages transmitted over the serial communication system to obtain a sequence of statuses.
  • the state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively.
  • the processor circuit is arranged to set the sequence of states with at least one Compare reference sequence and determine that an attack on the serial communication system is present when the sequence of states deviates from the reference sequence.
  • the state classification of a message as well as the comparison of the sequence of states with the at least one reference sequence can be carried out very efficiently and with low computing power, so that the device according to the invention can also enable a simple and efficient monitoring of a serial communication system.
  • the processor circuitry may be further configured to include one or more of the associated with the
  • the present invention further relates in one aspect to a vehicle having a
  • serial communication system is a CAN bus system of the vehicle. Accordingly, attacks on the CAN bus system of the vehicle can be detected efficiently and with low computing power. A safety of the vehicle can thus be increased.
  • FIG. 1 is a flowchart of an embodiment of a method of detecting an attack on a serial communication system
  • Fig. 2 shows an embodiment of a data stream on a CAN bus system
  • Fig. 3 shows an embodiment of an undisturbed sequence of messages
  • Fig. 4 shows an embodiment of a disturbed sequence of messages
  • Fig. 5 shows an embodiment of a sequence of messages for different ones
  • Fig. 6 shows another embodiment of a disturbed sequence of messages
  • Fig. 7 shows an embodiment of a comparison of signals of a CAN bus system
  • Fig. 8 shows an embodiment of a device for detecting an attack on a serial communication system
  • Fig. 9 shows an embodiment of a vehicle.
  • the method 100 includes determining 102 a respective state of a plurality of messages transmitted over the serial communication system to obtain a sequence of states.
  • the state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively.
  • the method 100 includes comparing 104 the sequence of states with at least one reference sequence and determining 106a that an attack on the serial communication system is present if the sequence of states deviates from the reference sequence.
  • the method 100 may still include determining 106b that there is no attack on the serial communication system.
  • the state classification of a message as well as the comparison of the sequence of states with the at least one reference sequence in the method 100 can be performed very efficiently and with low computational power so that the method 100 can enable simple and efficient monitoring of a serial communication system.
  • the method 100 may include one or more optional features according to one or more of the further embodiments.
  • serial communication system is in each case designed as a CAN bus system.
  • CAN bus system may also be used in conjunction with other serial communication systems.
  • Fig. 2 shows a data stream on a CAN bus system.
  • the proposed monitoring of the CAN bus system is based essentially on the control of the time behavior (combined with a comparison of
  • Messages can be detected in the data stream.
  • monitoring is based on the principle of pattern recognition.
  • the characteristic properties or characteristics, ie the states of a message, derive from two consecutive messages. For example, a first attribute of a message can be obtained by comparing whether the message contents are identical. Further properties can be derived from the time span between the two messages. For example, the observance of the normal and the fast cycle time t Zy kius or t Zy kius, schneii and compliance with the inhibit (inhibit) tinmbit be checked. In summary, the state of a message can be determined at least from the following comparisons:
  • the low-level descriptors can be understood as a set of suitable comparison operators, from which a characteristic state can be derived. It is understood that the comparisons are not limited to those of the above comparison operators, but e.g. may also be represented by ">", “ ⁇ ", “>”, “ ⁇ ” comparisons and / or combinations thereof.
  • the truth table 1 can be used both for transmission types of the CAN bus, which send messages only with a constant cycle time, as well as for transmission types, the
  • the former type of transmission (with a constant cycle time) is a special case, because here only the observance of the normal cycle time has to be monitored in order to recognize additionally introduced messages.
  • States B and J immediately indicate a timing error.
  • the states D and H each contain redundant information and can be combined.
  • the states E and F are illogical and can not occur.
  • a state can now be assigned to all messages in FIG. 2.
  • Message 220 has a normal cycle time and therefore corresponds to state A (see Table 1 or 2).
  • message 230 corresponds to state D because it is an on-chain message.
  • the messages 240 and 250 mark repetitions with fast cycle time and therefore have state G.
  • Message 260 is again associated with state A.
  • a state change is thus shown.
  • the sequence of states is ... A A D G G A A ....
  • time behavior and message behavior are represented by a time sequence of states, i. a typical pattern.
  • Each signal transmission type has its own, typical pattern over time in undisturbed operation.
  • Each transmission type thus has a reference sequence of states.
  • the reference sequences to states may look like this: Send Type Reference Sequence
  • A, C, D and G each again designate a state of a message.
  • the letters u, v, x respectively denote a variable and n a constant indicating the number of allowed repetitions.
  • the bracket ⁇ ... ⁇ indicates one each
  • Pattern block repeated according to the preceding variable u, v.
  • OnChange states can occur consecutively, this is taken into account for the respective transmission types with xD. If, as in transmission mode 3, the old clock can be resumed after an on-hook, state C occurs. State G recognizes repetitions with a fast cycle time.
  • An attack can e.g. insist that be in close proximity message with the
  • CAN ID CAN identification
  • the desired content e.g., a message with the corresponding CAN ID
  • another message with this ID and a customized content can be introduced.
  • each message with the corresponding CAN ID another message with this ID and the adapted content, whereby the blocking period is adhered to.
  • the current, original message can always be inserted taking into account the blocking time.
  • several messages can be introduced in a fast cycle time. An original OnChange will not intervene.
  • Fig. 3 an undisturbed sequence of messages 310, 320, 380 is shown. Each message has a respective content 301. In addition, each message is assigned a state 302 according to the principles described above. This results in the following sequence (or pattern) 303 of the states: A A D D A A.
  • State counter can be realized. For this purpose, a counter is incremented if a first state occurs within the sequence of states. If a second state occurs within the sequence of states, the counter is reset to its initial value. For example, for the states B, C, D and G, a state counter can be used in each case. If one of the states B, C, D or G occurs, the respective state counter is incremented. State A in this example causes the counters to be reset. Exceeding the respective permissible limit values (threshold values) is a direct indication of a manipulation.
  • Fig. 4 shows a distorted sequence of messages.
  • the inserted messages 410, 420, 480 are shown in FIG. 4.
  • the message contents are again shown as numbers and the states as letters.
  • the state counter for the state D is always incremented and not reset. After exceeding the threshold value for the state counter of the
  • the pattern can still be checked during a state change in order to ensure the correctness of the pattern (the sequence of states) or the correct order of the individual states.
  • An additionally introduced message also leads to a change in the course of the pattern (the sequence of states), which can be interpreted and checked as a change of state. From the possible variants, a catalog with permitted state patterns (second reference sequences) can be created, against which the state changes are compared.
  • FIG. 5 shows different transmission modes 2 to 5 of a CAN bus system over time.
  • transmission mode 2 represents "OnChange” (cycle restart), transmission mode 3 "OnChange” (cycle maintenance), transmission mode 4 "OnChangeWithRepetition” (cycle restart) and transmission mode 5 "OnChangeWithRepetition” (maintenance of the cycle).
  • a state change from A to D occurs.
  • the state change 510 ends for transmission type 2 at time t 4 and for the other types of transmission shown at time t 5 , since then again the state A occurs.
  • the pattern to be checked now covers the period from the beginning to the conclusion of a detected state change, ie states other than A.
  • the sub-region 520 of the sequence of states in this case comprises only states that are different from a second state (here A). If the portion 520 of the sequence of states deviates from the second reference sequence, it is determined that there is an attack on the CAN bus system.
  • FIG. 6 also shows monitoring by means of extended pattern recognition.
  • the above-described attacks are reliably detected. Individual, targeted attacks may not.
  • the content of a first message of the plurality of messages may be compared to the content of a second message of the plurality of messages.
  • the state of the first message 630 or 670 is equal to the state of the second message 660 or 690 (namely A).
  • Messages 640 and 650 or 601 and 602 are transmitted between the first message 630 or 670 and the second message 660 or 690, respectively, with a state different from the state of the first message 630 or 670 (here D) via the CAN bus system ,
  • the message content changes. While the message 630 has the content 1, the second message 660 has the content 3.
  • the messages 630 and 660 are separated only by the regular messages 640 and 650, each having state D.
  • the message content does not change.
  • Both the first message 670 and the second message 690 have the content 3.
  • the messages 670 and 690 are separated by the irregular messages 601 and 602, each having state D. The comparison of the message contents thus enables the detection of the irregular (injected) messages 601 and 602.
  • the message content may be stored prior to a state change.
  • a controller e.g., a central office or control room. For example, a message to a controller
  • Receiving device a monitoring point for the CAN bus system are sent when it is determined that an attack on the CAN bus system is present.
  • the message then includes e.g. Information about the attack on the serial communication system. However, not only the attack can be reported, but also a certain period before and / or after the attack. In other words, the information about the attack on the CAN
  • Bus system can provide information about at least a portion of the investigated sequence at states.
  • the data volume required for this can become so large that a transfer is not possible and / or the storage space of
  • a message can be composed of several signals. For example, it is shown in FIG. 7 that the message 710 is composed of the plurality of signals A, B, C,.
  • the further messages 720 and 730 at the times t1 and t2 are also transmitted by means of this plurality of signals A, B, C,... Via the CAN bus system.
  • a plurality of messages are each transmitted via a plurality of signals via the CAN bus system.
  • the method according to the invention can therefore comprise comparing a signal portion of a first of the plurality of signals associated with a message with a signal portion of the first signal assigned to a preceding message. This comparison may be carried out for some or all of the plurality of signals used.
  • the information transmitted to the monitoring point for the CAN bus system about the attack on the CAN bus system can provide information about a result of the comparison of the message assigned to the message
  • Information about the attack on the CAN bus system also includes information about results of comparisons of the further signals.
  • the CAN bus system information 721 transmitted to the CAN bus system includes state 722 of the message 720 as 4-bit Information and the information 723 on the results of comparisons of the message 720 associated signal sections of the plurality of signals A, B, C, ... with the
  • the information 731 transmitted to the monitoring point for the CAN bus system via the attack on the CAN bus system for the message 730 includes the state 732 of the message 730 as associated with preceding message 710 4-bit information and the information 733 on the results of comparisons of the signal portions of the plurality of signals A, B, C,... Associated with the message 730 with those associated with the preceding message 720
  • the coincidence of two signals can be e.g. are encoded with a "1" while the mismatch is encoded with a "0" (or vice versa).
  • the information about the result of the comparison transmitted to the monitoring point for the CAN bus system can be binary information which indicates whether the signal portion of a signal assigned to the message matches the signal portion of the signal assigned to the preceding message. In this way, a data reduction can be achieved.
  • the number of bits required for transmission is determined by the number of signals used to transmit the message.
  • the state patterns (sequences of states) as well as the comparison information can provide indications of the course of an attack on a particular message content and, in accordance with the principles described in connection with FIG. a control station is reported or stored in the recognition system (i.e., a device implementing the method of the invention).
  • the apparatus 800 comprises a processor circuit 810 which is adapted to connect a respective state of a plurality via the serial
  • Communication system 820 transmitted messages to obtain a sequence of states.
  • the state of one of the plurality of messages is based on a plurality of attributes of the message and a plurality of characteristics of a preceding message of the plurality of messages, respectively.
  • the processor circuit 810 is configured to compare the sequence of states to at least one reference sequence and to determine that there is an attack on the serial communication system 820 if the sequence of states deviates from the reference sequence.
  • the state classification of a message as well as the comparison of the sequence of states with the at least one Reference sequence through the processor circuitry 810 may be performed very efficiently and with low computational power so that the apparatus 800 may facilitate easy and efficient monitoring of the serial communication system 820.
  • the device 800 may include one or more optional features according to one or more of the further embodiments.
  • FIG. 9 also shows a vehicle 900 including a CAN bus system 920 of the vehicle 900.
  • the vehicle further comprises a device 910 according to the invention for detecting an attack on a serial communication system. Via the device 910, attacks on the CAN bus system 920 of the vehicle 900 can be efficiently and with less
  • Computing power can be detected.
  • a method for detecting an attack on a serial communication system 102 determining a respective state

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Vorgeschlagen wird ein Verfahren zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem. Das Verfahren beinhaltet dabei ein Bestimmen eines jeweiligen Zustands einer Mehrzahl an über das serielle Kommunikationssystem übertragener Botschaften, um eine Abfolge an Zuständen zu erhalten (102). Der Zustand einer der Mehrzahl an Botschaften basiert jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften. Weiterhin beinhaltet das Verfahren ein Vergleichen der Abfolge an Zuständen mit zumindest einer Referenzabfolge (104) sowie ein Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht (106a).

Description

Beschreibung
Verfahren und Vorrichtung zum Erkennen eines Angriffs auf ein serielles
Kommunikationssystem
Die vorliegende Erfindung bezieht sich auf die Überwachung von Kommunikationssystemen. Insbesondere bezieht sich die vorliegende Erfindung auf ein Verfahren und eine Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem.
Das Fahrzeug ist inzwischen zu einem festen Bestandteil des World Wide Web geworden. Ein Fahrzeug ist ein mobiles Verkehrsmittel für den Transport von Personen oder Gütern. Bei dem Fahrzeug kann es sich daher sowohl um ein Personen- als auch um ein Nutzfahrzeug handeln. Zum Beispiel kann ein Fahrzeug ein Personenkraftwagen, ein Lastkraftwagen, ein Motorrad oder ein Traktor sein. Allgemein kann ein Fahrzeug als eine Vorrichtung aufgefasst werden, die einen Motor, ein Antriebsstrangsystem sowie Räder umfasst. Die Anzahl der Online
verfügbaren Zugänge zum Fahrzeug wächst rapide an. In gleicher Weise steigt auch das Bedrohungspotenzial durch Angriffe auf das Fahrzeug und dessen Kernbestandteil - die Elektronik. Dies betrifft insbesondere die Bussysteme, die die Kommunikation zwischen den Steuergeräten des Fahrzeugs realisieren. Ein Eingriff in diese Kommunikationsstruktur kann das komplexe System Fahrzeug in ungeplante Zustände stürzen. Die Überwachung der Bussysteme des Fahrzeugs ist daher wünschenswert.
Druckschrift US 2016/0188396 A1 schlägt ein Verfahren zur Erkennung zeitlicher Anomalien in Fahrzeugnetzen vor. Dabei wird jede über einen Controller Area Network (CAN) Bus im
Fahrzeug übertragene Nachricht daraufhin geprüft, ob die darin enthaltene Nachrichtenkennung (engl, message ID) sowie die darin enthaltene Netzwerkkenn ung (engl, network ID) jeweils bekannt sind. Ist dies der Fall, so wird weiterhin geprüft, ob die aktuell untersuchte Nachricht sowie vorangehende Nachrichten bzgl. ihres Zeitverhaltens normal oder anomal sind.
In Druckschrift EP 3 1 13 529 A1 wird ein weiteres Verfahren vorgeschlagen, um zeitbasiert Anomalien in einem Fahrzeugkommunikationsnetz zu Erkennen. Dazu wird der zeitliche Abstand zweier aufeinanderfolgender Nachrichten identischer Nachrichtenkennung mit einem Zeitmodell verglichen. Die in den vorgenannten Druckschriften vorgeschlagenen Verfahren können eine Vielzahl an Angriffen nicht detektieren. Es besteht somit ein Erfordernis, eine Möglichkeit bereitzustellen, um die Erkennung von Angriffen auf serielle Kommunikationssystem zu verbessern.
Die vorliegende Erfindung ermöglicht dies durch ein Verfahren zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem. Ein serielles Kommunikationssystem überträgt einzelne Bits nacheinander (d.h. seriell) - im Gegensatz zu parallelen Kommunikationssystemen, die ihre Daten über mehrere Leitungen parallel übertragen.
Das Verfahren umfasst ein Bestimmen eines jeweiligen Zustands einer Mehrzahl an über das serielle Kommunikationssystem übertragener Botschaften, um eine Abfolge an Zuständen zu erhalten. Der Zustand einer der Mehrzahl an Botschaften basiert jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften. Die Merkmale können als sog. Low-Level-Deskriptoren aufgefasst werden. Die einzelnen Eigenschaften können für sich gesehen ohne Bedeutung sein, deren gemeinsame Betrachtung (d.h. die Betrachtung im Ganzen) ermöglicht jedoch die Zustandsklassifizierung einer Botschaft. Die Zustandsklassifizierung einer Botschaft ist daher z.B. über einfache Vergleichsoperationen möglich. Derart ergibt sich ein Muster an Zuständen - die Abfolge an Zuständen. Die Eigenschaften einer Botschaft können beispielsweise einen Inhalt, einen (zeitlichen) Beginn der Botschaft, ein (zeitliches) Ende der Botschaft oder eine Kennzeichnung der Botschaft als aktiv bzw. inaktiv umfassen.
Das Verfahren umfasst im Weiteren ein Vergleichen der Abfolge an Zuständen mit zumindest einer Referenzabfolge. Mit anderen Worten: Ein Zeitverhalten der Mehrzahl an über das serielle Kommunikationssystem übertragenen Botschaften wird überwacht. Die Referenzabfolge an Zuständen gibt die Reihenfolge an Zuständen bei einem normalen (d.h. ungestörten) Betrieb des seriellen Kommunikationssystems an. Abweichungen von dem durch die Referenzabfolge wiedergegebenen normalen (d.h. festgelegten) Zeitverhalten der Botschaften können daher auf eine Manipulation des seriellen Kommunikationssystems hinweisen.
Entsprechend umfasst das Verfahren daher ferner ein Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn die Abfolge an Zuständen von der
Referenzabfolge abweicht. Da der Vergleich der Abfolge an Zuständen mit der zumindest einen Referenzabfolge sehr effizient und mit geringer Rechenleistung ausgeführt werden kann, ermöglicht das erfindungsgemäße Verfahren eine einfache und effiziente Überwachung eines seriellen Kommunikationssystems.
Wenn die Abfolge an Zuständen mit der Referenzabfolge übereinstimmt, kann das Verfahren ein Bestimmen, dass kein Angriff auf das serielle Kommunikationssystem vorliegt, umfassen.
Gemäß einigen Ausführungsbeispielen kann der Zustand der Botschaft zumindest auf einem ersten Vergleich eines Inhalts der Botschaft mit einem Inhalt der vorangehenden Botschaft sowie auf einem zweiten Vergleich der zeitlichen Differenz zwischen einem Beginn der
Botschaft und einem Beginn der vorangehenden Botschaft mit einem Vergleichswert basieren. Neben dem Botschaftsinhalt wird somit der Beginn der ersten Botschaft mit dem Beginn der vorangehenden Botschaft verglichen, um einen zeitliche Abstand der Botschaften zu
bestimmen. Der Botschaftsinhalt als auch der zeitliche Abstand aufeinanderfolgender Nachricht ist charakteristisch und eignet sich daher für die Zustandsbeschreibung der Botschaft. Bei dem Vergleichswert kann es sich beispielsweise um eine von dem seriellen Kommunikationssystem verwendete Zykluszeit oder Sperrzeit zwischen aufeinanderfolgenden Botschaften handeln. Der Zustand der Botschaft kann ferner auch auf zusätzlichen Vergleichen der zeitlichen Differenz zwischen dem Beginn der Botschaft und dem Beginn der vorangehenden Botschaft mit zumindest einem weiteren Vergleichswert basieren.
In einigen Ausführungsformen kann der Zustand der Botschaft zudem auch auf einem Vergleich einer oder mehrerer Eigenschaften der Botschaft mit einem von der Mehrzahl an Botschaften unabhängigen Vergleichswert beruhen. Beispielsweise kann der Inhalt der Botschaft (z.B. ein Statusbit) mit einem Vergleichswert verglichen werden, der anzeigt, ob eine Botschaft aktiv oder inaktiv ist. Auch solche Vergleiche können geeignete Low-Level-Deskriptoren darstellen, um den Zustand einer Botschaft zu bestimmen, d.h. eine Botschaft zu charakterisieren.
Gemäß einigen Ausführungsbeispielen umfasst das Vergleichen der Abfolge an Zuständen mit zumindest einer Referenzabfolge ein Inkrementieren eines Zählers, wenn innerhalb der Abfolge an Zuständen ein erster Zustand auftritt. Ferner umfasst das Vergleichen ein Zurücksetzen des Zählers auf einen Ausgangswert, wenn innerhalb der Abfolge an Zuständen ein zweiter Zustand auftritt. Wenn der Zähler einen Schwellwert überschreitet, umfasst das Vergleichen ein
Bestimmen, dass die Abfolge an Zuständen von der Referenzabfolge abweicht. Zusätzliche Botschaften, d.h. eingeschleuste Botschaften, ändern das charakteristische Muster, d.h. die charakteristische Referenzabfolge. Die charakteristische Referenzabfolge kann durch den Schwellwert für den dem ersten Zustand zugeordneten Zähler abgebildet werden. Aufgrund der zusätzlichen, eingeschleusten Botschaft kann es nun passieren, dass der Zähler nicht bzw. zu spät zurückgesetzt wird. Entsprechend kann durch die Verwendung eines Zählers auf einfach Weise auf die Abweichung der Abfolge an Zuständen von der Referenzabfolge geschlossen werden.
In einigen Ausführungsbeispielen umfasst das Verfahren ferner ein Vergleichen eines
Teilbereichs der Abfolge an Zuständen mit zumindest einer zweiten Referenzabfolge. Der Teilbereich der Abfolge an Zuständen umfasst dabei nur Zustände, die von dem zweiten Zustand verschieden sind. Wenn der Teilbereich der Abfolge an Zuständen von der zweiten Referenzabfolge abweicht, umfasst das Verfahren dann ferner ein Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt. Mit anderen Worten: Es wird die Abfolge an Zuständen zwischen einem ersten Zustandswechsel vom zweiten Zustand hin zu einem anderen Zustand und einem zweiten Zustandswechsel von einem anderen Zustand hin zum zweiten Zustand überprüft. Derart kann die Korrektheit der Abfolge (des Musters) an Zuständen weiter abgesichert werden.
Gemäß einigen Ausführungsbeispielen umfasst das Verfahren ferner ein Vergleichen des Inhalts einer ersten Botschaft der Mehrzahl an Botschaften mit dem Inhalt einer zweiten Botschaft der Mehrzahl an Botschaften. Der Zustand der ersten Botschaft ist dabei gleich dem Zustand der zweiten Botschaft, wobei zwischen der ersten und der zweiten Botschaft zumindest eine dritte Botschaft mit einem von dem Zustand der ersten Botschaft verschiedenen Zustand über das serielle Kommunikationssystem übertragen wird. Wenn der Inhalt der zweiten
Botschaft gleich dem Inhalt der ersten Botschaft ist, umfasst das Verfahren ferner ein
Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt. Der weitere Vergleich der Botschaftsinhalte kann das Erkennen von intelligenteren Angriffen ermöglichen. Beispielsweise können so Angriffe auf das serielle Kommunikationssystem erkannt werden, bei denen Botschaften eingeschleust werden, die einen Zustandswechsel zwischen
aufeinanderfolgenden Botschaften vortäuschen. Da sich bei einem regulären Zustandswechsel jedoch der Botschaftsinhalt ändert, können auch diese Angriffe effektiv erkannt werden.
In einigen Ausführungsbeispielen umfasst das Verfahren weiterhin ein Senden einer Nachricht an eine Empfangsvorrichtung einer Überwachungsstelle für das serielle
Kommunikationssystem, wenn bestimmt wird, dass ein Angriff auf das serielle
Kommunikationssystem vorliegt. Dabei umfasst die Nachricht Informationen über den Angriff auf das serielle Kommunikationssystem. Derart können Verantwortliche für das serielle
Kommunikationssystem auf den Angriff aufmerksam gemacht werden, so dass Gegenmaßnahmen (z.B. Ignorieren von Botschaften, Deaktivieren des Systems etc.) ergriffen werden können. Die Informationen über den Angriff auf das serielle Kommunikationssystem können dabei jede Art von Informationen bzgl. des Angriffs sein und von einer einfachen Benachrichtigung, dass ein Angriff stattfand, bis zu detaillierten Informationen über z.B. Art und Umfang des Angriffs oder betroffene Botschaften reichen.
Gemäß einigen Ausführungsbeispielen umfassen die Informationen über den Angriff auf das serielle Kommunikationssystem Informationen über zumindest einen Teilbereich der Abfolge an Zuständen. Derart können z.B. die von dem Angriff betroffenen Botschaften (und evtl. eine Anzahl an vorausgehenden und/oder nachfolgenden Botschaften) der Mehrzahl an Botschaften des seriellen Kommunikationssystems an die Überwachungsstelle übertragen werden, so dass diese näher ausgewertet werden können.
In einigen Ausführungsbeispielen wird die Mehrzahl an Botschaften jeweils über eine Mehrzahl an Signalen über das serielle Kommunikationssystem übertragen. Das Verfahren umfasst dann ferner ein Vergleichen eines der Botschaft zugeordneten Signalabschnitts eines ersten der Mehrzahl an Signalen mit einem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals. Die Informationen über den Angriff auf das serielle Kommunikationssystem umfassen dann eine Information über ein Ergebnis des Vergleichs des der Botschaft zugeordneten Signalabschnitts des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals. Eine Botschaft kann sich also aus mehreren Signalen zusammensetzen. Für die Analyse eines Angriffs kann es hilfreich sein, zu wissen, welche der Signale angegriffen wurden. Das Ergebnis des Vergleichs des der Botschaft zugeordneten Signalabschnitts des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals kann in kompakter Form übermittelt werden, so dass das für die Übertragung benötigte Datenvolumen klein ist.
Gemäß einigen Ausführungsbeispielen ist die Information über das Ergebnis des Vergleichs eine binäre Information, die anzeigt, ob der der Botschaft zugeordnete Signalabschnitt des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals übereinstimmt. Derart kann die Information über das Ergebnis des Vergleichs als einzelnes Bit für jedes der Mehrzahl an Signalen übertragen werden. Entsprechend ist das für die Übertragung benötigte Datenvolumen sehr klein. In einigen Ausführungsbeispielen ist das serielle Kommunikationssystem ein CAN Bussystem. CAN Bussysteme z.B. in Fahrzeugen bedürfen aufgrund ihrer zunehmenden Erreichbarkeit über das World Wide Web einer effektiven Überwachung.
Gemäß einigen Ausführungsbeispielen ist die Referenzabfolge abhängig von einer Sendeart des CAN Bussystems gewählt. CAN Bussystem unterstützen eine Vielzahl von Sendearten (Signalsendearten). Rein beispielhaft seien hier die Sendearten„Cyclic",„OnChange", „OnChangeWithRepetition",„IfActive",„IfActiveWithRepetition",
„OnChangeAndlfActiveWithRepetition", "OnWrite", "OnWriteAnd IfActiveWithRepetition" oder "NoSigSendType" genannt. Jede der Sendearten des CAN Bussystems hat eine oder mehrere charakteristische Referenzabfolgen der Botschaftszustände. Entsprechende kann die
Angriffserkennung an die verwendete Sendeart des CAN Bussystems angepasst werden.
In einigen Ausführungsbeispielen ist der Vergleichswert für den Vergleich mit der zeitlichen Differenz zwischen dem Beginn der Botschaft und dem Beginn der vorangehenden Botschaft eine erste verwendete Zykluszeit (z.B. normale Zykluszeit), eine zweite verwendete Zykluszeit (z.B. schnelle Zykluszeit) oder eine Sperrzeit des CAN Bussystems. Das CAN Bussystem kann mehrere Zykluszeiten verwenden, die jeweils charakteristisch für eine Sendeart sind.
Entsprechend kann aus dem Vergleich des zeitlichen Abstands aufeinanderfolgender
Botschaften mit einer der Zykluszeiten auf Angriffe geschlossen werden. Entsprechend stellt die Sperrzeit einen minimalen zeitlichen Abstand zweier aufeinanderfolgender Botschaften dar, dessen Unterschreitung einen Hinweis auf einen Angriff darstellt.
In einem weiteren Aspekt betrifft die vorliegende Erfindung zudem ein Programm mit einem Programmcode zum Durchführen des hierin beschriebenen Verfahrens, wenn der
Programmcode auf einem Computer, einem Prozessor oder einer programmierbaren
Hardwarekomponente ausgeführt wird.
Die vorliegende Erfindung betrifft in einem weiteren Aspekt zudem eine Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem. Dabei umfasst die
Vorrichtung eine Prozessorschaltung, die eingerichtet ist, einen jeweiligen Zustand einer Mehrzahl an über das serielle Kommunikationssystem übertragener Botschaften zu bestimmen, um eine Abfolge an Zuständen zu erhalten. Der Zustand einer der Mehrzahl an Botschaften basiert jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften. Ferner ist die Prozessorschaltung eingerichtet, die Abfolge an Zuständen mit zumindest einer Referenzabfolge zu vergleichen und zu bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht. Die Zustandsklassifizierung einer Botschaft wie auch der Vergleich der Abfolge an Zuständen mit der zumindest einen Referenzabfolge kann sehr effizient und mit geringer Rechenleistung ausgeführt werden, so dass auch die erfindungsgemäße Vorrichtung eine einfache und effiziente Überwachung eines seriellen Kommunikationssystems ermöglichen kann.
In einigen Ausführungsbeispielen der vorliegenden Erfindung kann die Prozessorschaltung zudem eingerichtet sein, einen oder mehrere der in Zusammenhang mit dem
erfindungsgemäßen Verfahren genannten Verfahrensschritte auszuführen.
Die vorliegende Erfindung betrifft in einem Aspekt ferner ein Fahrzeug mit einer
erfindungsgemäßen Vorrichtung zum Erkennen eines Angriffs auf ein serielles
Kommunikationssystem, wobei das serielle Kommunikationssystem ein CAN Bussystem des Fahrzeugs ist. Entsprechend können Angriffe auf das CAN Bussystem des Fahrzeugs effizient und mit geringer Rechenleistung erkannt werden. Eine Sicherheit des Fahrzeugs kann somit erhöht sein.
Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend, Bezug nehmend auf die beigefügten Figuren, näher erläutert. Es zeigen:
Fig. 1 zeigt ein Flussdiagram eines Ausführungsbeispiels eines Verfahrens zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem;
Fig. 2 zeigt ein Ausführungsbeispiel eines Datenstroms auf einem CAN Bussystem;
Fig. 3 zeigt ein Ausführungsbeispiel einer ungestörten Sequenz von Botschaften;
Fig. 4 zeigt ein Ausführungsbeispiel einer gestörten Sequenz von Botschaften;
Fig. 5 zeigt ein Ausführungsbeispiel einer Abfolge von Botschaften für verschiedene
Sendearten eines CAN Bussystems;
Fig. 6 zeigt ein weiteres Ausführungsbeispiel einer gestörten Sequenz von Botschaften; Fig. 7 zeigt ein Ausführungsbeispiel eines Vergleichs von Signalen eines CAN Bussystems;
Fig. 8 zeigt ein Ausführungsbeispiel einer Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem; und
Fig. 9 zeigt ein Ausführungsbeispiel eines Fahrzeugs.
In Fig. 1 ist ein Verfahren 100 zum Erkennen eines Angriffs auf ein serielles
Kommunikationssystem gezeigt. Das Verfahren 100 umfasst ein Bestimmen 102 eines jeweiligen Zustands einer Mehrzahl an über das serielle Kommunikationssystem übertragener Botschaften, um eine Abfolge an Zuständen zu erhalten. Der Zustand einer der Mehrzahl an Botschaften basiert jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften. Weiterhin umfasst das Verfahren 100 ein Vergleichen 104 der Abfolge an Zuständen mit zumindest einer Referenzabfolge sowie ein Bestimmen 106a, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht.
Wenn die Abfolge an Zuständen mit der Referenzabfolge übereinstimmt, kann das Verfahren 100 noch ein Bestimmen 106b, dass kein Angriff auf das serielle Kommunikationssystem vorliegt, umfassen.
Die Zustandsklassifizierung einer Botschaft wie auch der Vergleich der Abfolge an Zuständen mit der zumindest einen Referenzabfolge in dem Verfahren 100 kann sehr effizient und mit geringer Rechenleistung ausgeführt werden, so dass das Verfahren 100 eine einfache und effiziente Überwachung eines seriellen Kommunikationssystems ermöglichen kann.
Weitere Details und Aspekte des Verfahrens 100 sind in Zusammenhang mit einem oder mehreren weiteren Ausführungsbeispielen beschrieben. Das Verfahren 100 kann eines oder mehrere optionale Merkmale gemäß einem oder mehreren der weiteren Ausführungsbeispiele umfassen.
Nachfolgend werden unter Bezugnahme auf die Figs. 2 bis 7 einige Ausführungsbeispiele des erfindungsgemäßen Verfahrens erläutert. Das serielle Kommunikationssystem ist dabei jeweils als CAN Bussystem ausgeführt. Es versteht sich jedoch von selbst, dass die in Zusammenhang mit dem CAN Bussystem diskutierten Merkmale des Verfahrens auch in Zusammenhang mit anderen seriellen Kommunikationssystemen verwendet werden können.
Fig. 2 zeigt einen Datenstrom auf einem CAN Bussystem. Zur Zeit T=15ms findet ein Ereignis s=0 statt, so dass eine Botschaft 210 mit dem Inhalt s=0 zur T=15ms über das CAN Bussystem übertragen wird. Bei der Zeit T=75ms, d.h. nach einer normalen Zykluszeit von 60ms wird eine zweite Botschaft 220 mit demselben Inhalt s=0 über das CAN Bussystem übertragen.
Bei T=100ms wird der normale Zyklus unterbrochen und eine OnChange Botschaft 230 mit Inhalt s=1 wird eingeleitet, da zur Zeit T=100ms ein Ereignis s=1 stattfindet. Zu den Zeiten T=140ms und T=180ms wird die Botschaft wiederholt, d.h. die Botschaften 240 und 250 werden mit einer schnellen Zykluszeit T=40ms des CAN Bussystems übertragen.
Bei T=240ms wird die Botschaft 260 übertragen, die den Inhalt s=1 aufweist. Somit wird wieder die normale Zykluszeit T=75ms verwendet.
Wie bereits oben dargestellt, beruht die vorgeschlagene Überwachung des CAN Bussystems im Wesentlichen auf der Kontrolle des Zeitverhaltens (kombiniert mit einem Vergleich von
Botschaftsinhalten), da derart Anomalien, d.h. zusätzlich eingeschleuste Botschaften
(Nachrichten), im Datenstrom erkannt werden können. Mit anderen Worten: Die Überwachung basiert auf dem Prinzip der Mustererkennung.
Die charakteristischen Eigenschaften oder Merkmale, d.h. die Zustände einer Botschaft, leiten sich dabei aus zwei aufeinanderfolgenden Botschaften ab. Beispielsweise kann ein erstes Merkmal einer Botschaft durch den Vergleich, ob die Botschaftsinhalte/Signalinhalte (engl, payload) identisch sind, erhalten werden. Weitere Eigenschaften können aus der Zeitspanne zwischen beiden Botschaften abgeleitet werden. Beispielsweise kann die Einhaltung der normalen und der schnellen Zykluszeit tZykius bzw. tZykius,schneii sowie der Einhaltung der Sperrzeit (Inhibit) tinmbit überprüft werden. Zusammengefasst kann der Zustand einer Botschaft zumindest aus den Folgenden Vergleichen bestimmt werden:
4. lst At=t0-tl<t|nhibit? Wobei pi den Inhalt einer Botschaft und t den Zeitpunkt des Beginns einer Botschaft bezeichnet mit i={0, 1}. Die Indizes 0 und 1 kennzeichnen die beiden aufeinanderfolgenden Botschaften. Bei den Vergleichszeiten tzykius, tzykius,schneii und tmhibit kann noch ein Toleranzbereich berücksichtigt werden. Für jeden zu überwachenden Botschaftsinhalt können die Vergleichszeiten tzykius, tzyklus.schnell und tinhibit im Uberwachungssystem hinterlegt werden.
Die gefundenen Merkmale können als sog. Low Level Deskriptoren verstanden werden. Die einfachen Abfragen können einzeln für sich gesehen ohne Bedeutung sein. Aber die
Betrachtung zusammen, d.h. ihre Betrachtung im Ganzen liefert jedoch die gewünschte
Information über den Zustand einer Botschaft. Auf diese Weise kann die Erkennung von Bus- Anomalien auf einfachen Abfragen reduziert werden.
Wie bereits oben angedeutet, können die Low Level Deskriptoren als ein Satz geeigneter Vergleichsoperatoren aufgefasst werden, aus denen ein charakteristischer Zustand abgeleitet werden kann. Es ist dabei selbstverständlich, dass die Vergleiche nicht auf die den obigen Vergleichsoperatoren beschränkt sind, sondern z.B. auch durch„>", , <",„>",„Φ" -Vergleiche und/oder Kombination davon dargestellt werden können.
Ebenso ist die Verwendung von Low Level Deskriptoren, die nicht auf einen Vergleich der beiden Botschaften miteinander beruhen, möglich. Rein beispielhaft sei hier die
Inaktivitätsbedingung bei bestimmten Signalsendearten des CAN Bussystems genannt:
5. Ist Pl =Pinaktiv?
Betrachtet man lediglich die vier oben genannten charakteristischen Eigenschaften der beiden Botschaften, wird durch diese ein Zustand definiert. Die verschiedenen möglichen Zustände sind in der nachfolgenden Wahrheitstabelle dargestellt:
Zustand At-tzyklus At— tzyklus.schnell At<t|nhibit
A 1 1 0 0
B 0 1 0 0
C 1 0 0 0
D 0 0 0 0
E 1 1 1 0
F 0 1 1 0
G 1 0 1 0
H 0 0 1 0
J X X X 1
Tabelle 1
Dabei zeigt„0" jeweils an, dass die Bedingung nicht erfüllt ist.„1 " zeigt jeweils an, dass die Bedingung erfüllt ist.„X" zeigt an, dass die Bedingung erfüllt oder nicht erfüllt sein kann (d.h. das Ergebnis des Vergleichs beliebig sein kann).
Die Wahrheitstabelle 1 kann sowohl für Sendearten des CAN Busses verwendet werden, die Botschaften nur mit einer konstanten Zykluszeit senden, als auch für Sendearten, die
Botschaften mit normalen und kurzen Zykluszeiten senden. Die erstgenannte Sendeart (mit einer konstanten Zykluszeit) stellt einen Sonderfall dar, weil hier lediglich die Einhaltung der normalen Zykluszeit überwacht werden muss, um zusätzlich eingeschleuste Botschaften zu erkennen.
Die Zustände B und J kennzeichnen unmittelbar einen Fehler im Zeitverhalten. Die Zustände D und H enthalten jeweils redundante Informationen und können zusammengefasst werden. Die Zustände E und F sind unlogisch und können nicht auftreten.
Für eine vollständige Zustandsbeschreibung können daher die Informationen einer reduzierten Wahrheitstabelle reichen: Zustand At-tzyklus At— tzyklus.schnell At<t|nhibit Anmerkung
J X X X 1 Fehler
B 0 1 0 0 Fehler
G 1 0 1 0 Wiederholungen
A 1 1 0 0 normaler Betrieb
C 1 0 0 0 OnChange bzw. ifActive beendet
D 0 0 0 0 OnChange bzw. ifActive beendet
Tabelle 2
Mittels Tabelle 2 kann eine 4-Bit Information erhalten werden, die den Zustand zweier aufeinanderfolgender Botschaften widergibt und Zeitverhalten wie Botschaftsinhalt
charakterisiert. Wenn die Überprüfung der Sperrzeit (tinhibit) unabhängig durchgeführt wird (z.B. im Rahmen eines anderen Verfahrens), kann sogar die aus den Spalten 2 bis 4 gebildete 3-Bit Information zur Charakterisierung einer Botschaft ausreichen. Der Vorteil hieran liegt in der Speicherplatzsparenden 4-Bit bzw. 3-Bit Information und der Anwendung einfacher
Vergleichsoperatoren. Es versteht sich von selbst, dass auch weitere Vergleichsoperatoren und entsprechend Informationen mit mehr Bits verwendet werden können.
Basierend auf den vorbeschriebenen Vergleichen zur Zustandsbestimmung kann nun allen Botschaften in Fig. 2 ein Zustand zugeordnet werden. Botschaft 220 weist eine normale Zykluszeit auf und entspricht daher Zustand A (siehe Tabelle 1 oder 2). Entsprechend entspricht Botschaft 230 Zustand D, da es sich um eine OnChange-Botschaft handelt. Die Botschaften 240 und 250 markieren Wiederholungen mit schneller Zykluszeit und weisen daher Zustand G auf. Botschaft 260 ist wiederum der Zustand A zugeordnet. In Fig. 2 ist somit ein Zustandswechsel gezeigt. Bei dem in Fig. 2 dargestellten Datenstrom lautet die Abfolge der Zustände somit ... A A D G G A A .... Zeitverhalten und Botschaftsverhalten werden also durch eine zeitliche Abfolge von Zuständen, d.h. einem typischen Muster, dargestellt.
Jede Signalsendeart hat im ungestörten Betrieb ein eigenes, typisches Muster über die Zeit. Jede Sendeart weist also eine Referenzabfolge an Zuständen auf. Beispielsweise können die Referenzabfolgen an Zuständen wie folgt aussehen: Sendeart Referenzabfolge
1 Cyclic uA vB
2 OnChange, Neustart des Zyklus A xD A
3 OnChange, Beibehaltung des Zyklus A xD C A
4 OnChangeWithRepetition, Neustart des Zyklus A xD nG A
5 OnChangeWithRepetition, Beibehaltung des Zyklus A xD nG A
6 IfActiv A u{xD yG} A
7 IfActivWithRepetition A u{xD yG} D nG A
8 OnChangeAndlfActiv A u{xD yG} D A
9 OnChangeAndlfActivWithRepetition A u{xD yG} v{D nG} A
Tabelle 3
In Tabelle 3 bezeichnet A, C, D und G wiederum jeweils einen Zustand einer Botschaft. Die Buchstaben u, v, x bezeichnen jeweils eine Variable und n eine Konstante, welche die Anzahl der erlaubten Wiederholungen angeben. Die Klammer {...} bezeichnet jeweils einen
Musterblock, der entsprechend der vorangestellten Variable u, v wiederholt wird.
Da mehrere OnChange Zustände hintereinander auftreten können, ist dies für die jeweiligen Sendearten mit xD berücksichtigt. Wenn wie bei Sendeart 3 nach einem OnChange der alte Takt wieder aufgenommen werden kann, tritt der Zustand C auf. Mit dem Zustand G werden Wiederholungen mit schneller Zykluszeit erkannt.
Wenn es sich nun bei dem in Fig. 2 gezeigten Datenstrom, um einen Datenstrom des CAN Bussystems für Signalsendeart 4 handelt, stimmt die Abfolge der Zustände mit der
Referenzabfolge gemäß Tabelle 3 überein (hier ist x=1 und n=2). Würde es sich bei dem Datenstrom um einen Datenstrom des CAN Bussystems für Signalsendeart 3 handeln, würde die Abfolge der Zustände nicht mit der Referenzabfolge gemäß Tabelle 3 übereinstimmen. Somit wäre ein Hinweis auf einen Angriff gegeben, da Abweichungen von dem typischen Muster bzw. Überschreitungen der zulässigen Wiederholungen (d.h. Abweichungen von der Referenzabfolge) direkt auf einen Fehler im Zeitverhalten, d.h. eine Manipulation, hinweisen.
Ein Angriff kann z.B. darin bestehen, dass in geringem Abstand Nachricht mit der
entsprechenden CAN Identifikation (CAN ID) und dem gewünschten Inhalt eingeschleust werden. Ebenso kann z.B. nach einer Botschaft mit der entsprechenden CAN ID eine weitere Botschaft mit dieser ID und einem angepassten Inhalt eingeschleust werden. Auch kann nach jeder Botschaft mit der entsprechenden CAN ID eine weitere Botschaft mit dieser ID und dem angepassten Inhalt eingeschleust werden, wobei die Sperrzeit eingehalten wird. Zusätzlich kann vor dem nächsten Takt immer die aktuelle, originale Nachricht unter Beachtung der Sperrzeit eingeschleust werden. Alternativ können auch mehrere Botschaften in schneller Zykluszeit eingeschleust werden. Bei einem originalen OnChange wird nicht eingegriffen.
In Zusammenhang mit Figs. 3 und 4 wird nachfolgend ausgeführt, wie durch das bereits oben dargestellt Zählen der Zustände auf einen Angriff geschlossen werden kann.
In Fig. 3 ist eine ungestörte Sequenz von Botschaften 310, 320, 380 gezeigt. Jede Botschaft hat einen jeweiligen Inhalt 301. Zudem ist jeder Botschaft gemäß den vorbeschriebenen Grundsätzen ein Zustand 302 zugeordnet. Daraus ergibt sich folgende Abfolge (bzw. Muster) 303 der Zustände: A A D D A A A.
Wie bereits oben dargestellt, kann eine einfache Form der Mustererkennung durch
Zustandszähler realisiert werden. Dazu wird ein Zähler inkrementiert, wenn innerhalb der Abfolge an Zuständen ein erster Zustand auftritt. Wenn innerhalb der Abfolge an Zuständen ein zweiter Zustand auftritt, wird der Zähler auf seinen Ausgangswert zurückgesetzt. Beispielsweise kann für die Zustände B, C, D und G jeweils ein Zustandszähler verwendet werden. Wenn einer der Zustände B, C, D oder G auftritt, wird der jeweilige Zustandszähler inkrementiert. Der Zustand A bewirkt in diesem Beispiel die Rücksetzung der Zähler. Das Überschreiten der jeweils zulässigen Grenzwerte (Schwellwerte) ist ein direkter Hinweis auf eine Manipulation.
Während in Fig. 3 das charakteristische Muster eines ungestörten Signals gezeigt ist, zeigt Fig. 4 eine gestörte Sequenz von Botschaften. Neben den auch in Fig. 3 gezeigten originalen Botschaften 310, 320, 380 sind die eingeschleusten Botschaften 410, 420, 480 in Fig. 4 dargestellt. Die Botschaftsinhalte sind wiederum als Ziffern und die Zustände als Buchstaben dargestellt.
Zusätzlich Botschaften ändern das charakteristische Muster, d.h. sie weichen von der
Referenzabfolge der Botschaften ab. Im Beispiel der Fig. 4 kommt im Vergleich zu Fig. 3 der Zustand A aufgrund der zusätzlichen Botschaften 410, 420, 480 nicht mehr vor.
Entsprechend wird der Zustandszähler für den Zustand D immer weiter inkrementiert und nicht mehr zurückgesetzt. Nach Überschreiten des Schwellwerts für den Zustandszähler des
Zustands D bei der Zeit T=170ms wird festgestellt, dass eine Abweichung von der
Referenzabfolge und somit ein Angriff auf das CAN Bussystem vorliegt. Ergänzend zum Zählverfahren kann noch das Muster während eines Zustandswechsel überprüft werden, um die Korrektheit des Musters (der Abfolge an Zuständen) bzw. die richtige Reihenfolge der einzelnen Zustände abzusichern. Eine zusätzlich eingeschleuste Botschaft führt nämlich auch zu einer Änderung im Musterverlauf (der Abfolge an Zuständen), die als Zustandswechsel interpretiert und geprüft werden kann. Aus den möglichen Varianten kann ein Katalog mit erlaubten Zustandsmustern (zweite Referenzabfolgen) erstellt werden, gegen den die Zustandswechsel verglichen werden.
In Fig. 5 sind verschiedene Sendearten 2 bis 5 eines CAN Bussystems über die Zeit dargestellt. Dabei repräsentiert die Sendeart 2„OnChange" (Neustart des Zyklus), die Sendeart 3 „OnChange" (Beibehaltung des Zyklus), die Sendeart 4„OnChangeWithRepetition" (Neustart des Zyklus) und die Sendeart 5„OnChangeWithRepetition" (Beibehaltung des Zyklus). Zum Zeitpunkt t3 tritt ein Zustandswechsel von A nach D auf. Der Zustandswechsel 510 endet für Sendeart 2 zum Zeitpunkt t4 und für die anderen dargestellten Sendearten zum Zeitpunkt t5, da ab dann wieder der Zustand A auftritt. Das nun zu überprüfende Muster umfasst den Zeitraum vom Beginn bis zum Abschluss eines erkannten Zustandswechsels, d.h. Zustände ungleich A.
Das heißt, für jede Signalsendeart wird ein Teilbereich 520 der dargestellten Abfolge an
Zuständen mit einer zweiten Referenzabfolge verglichen. Der Teilbereich 520 der Abfolge an Zuständen umfasst dabei nur Zustände, die von einem zweiten Zustand (hier A) verschieden sind. Wenn der Teilbereich 520 der Abfolge an Zuständen von der zweiten Referenzabfolge abweicht, wird bestimmt, dass ein Angriff auf das CAN Bussystem vorliegt.
In Fig. 6 ist noch eine Überwachung mittels erweiterter Mustererkennung gezeigt. Mit dem vorbeschriebenen Verfahren können z.B. die vorbeschriebenen Angriffe zuverlässig erkannt werden. Einzelne, gezielte Angriffe unter Umständen jedoch nicht.
Neben den originalen Botschaften 610, 620, 690 sind in den Datenstrom der Fig. 6 ab dem Zeitpunkt T=340ms noch die Botschaften 601 und 602 eingeschleust, die einen
Zustandswechsel vortäuschen sollen.
Mit dem Zählverfahren und der Mustererkennung basierend auf dem Vergleich zweier direkt aufeinanderfolgender Botschaften kann diese Anomalie unter Umständen nicht erkannt werden, da die jeweiligen Zustandszähler ihren Schwellwert nicht überschreiten. Jedoch kann ein Vergleich der Botschaftsinhalte vor und nach einem regulären oder manipulierten
Zustandswechsel Abhilfe schaffen. Wie durch die Pfeile 603 und 604 angedeutet, kann der Inhalt einer ersten Botschaft der Mehrzahl an Botschaften mit dem Inhalt einer zweiten Botschaft der Mehrzahl an Botschaften verglichen werden. Der Zustand der ersten Botschaft 630 bzw. 670 ist gleich dem Zustand der zweiten Botschaft 660 bzw. 690 (nämlich A). Zwischen der ersten Botschaft 630 bzw. 670 und der zweiten Botschaft 660 bzw. 690 werden jeweils Botschaften 640 und 650 bzw. 601 und 602 mit einem von dem Zustand der ersten Botschaft 630 bzw. 670 verschiedenen Zustand (hier D) über das CAN Bussystem übertragen.
Bei einem regulären Zustandswechsel ändert sich der Botschaftsinhalt. Während die Botschaft 630 den Inhalt 1 hat, hat die zweite Botschaft 660 den Inhalt 3. Die Botschaften 630 und 660 sind nur durch die regulären Botschaften 640 und 650 mit jeweils Zustand D getrennt.
Bei einem irregulären Zustandswechsel ändert sich der Botschaftsinhalt nicht. Sowohl die erste Botschaft 670 als auch die zweite Botschaft 690 haben den Inhalt 3. Die Botschaften 670 und 690 sind durch die irregulären Botschaften 601 und 602 mit jeweils Zustand D getrennt. Der Vergleich der Botschaftsinhalte ermöglicht somit die Detektion der irregulären (eingeschleusten) Botschaften 601 und 602.
Somit kann zuverlässig bestimmt werden, ob ein Angriff auf das CAN Bussystem vorliegt.
Für den Vergleich der Botschaftsinhalte kann beispielsweise der Botschaftsinhalt vor einem Zustandswechsel gespeichert werden.
In Fig. 7 ist nun dargestellt, wie detektierte Angriffe effektiv gespeichert und zu einem
Verantwortlichen für das CAN Bussystem übertragen werden können.
Um einen Angriff umfassend analysieren zu können, kann es hilfreich sein, möglichst detaillierte Informationen zu speichern und/oder an einen Verantwortlichen (z.B. an eine zentrale Stelle bzw. einen Leitstand) zu übertragen. Beispielsweise kann eine Nachricht an eine
Empfangsvorrichtung einer Überwachungsstelle für das CAN Bussystem gesendet werden, wenn bestimmt wird, dass ein Angriff auf das CAN Bussystem vorliegt. Die Nachricht umfasst dann z.B. Informationen über den Angriff auf das serielle Kommunikationssystem. Dabei kann aber nicht nur der Angriff gemeldet werden, sondern auch ein bestimmter Zeitraum vor und/oder nach dem Angriff. Mit anderen Worten: Die Informationen über den Angriff auf das CAN
Bussystem können Informationen über zumindest einen Teilbereich der untersuchten Abfolge an Zuständen umfassen. Das hierfür benötigte Datenvolumen kann dabei jedoch so groß werden, dass eine Übertragung nicht möglich ist und/oder der Speicherplatz des
Erkennungssystems nicht ausreicht.
Wie bereits oben beschrieben, lässt sich aus den Zustandsmustern (Abfolgen der Zustände) eine einfache und speicherplatzsparende Möglichkeit zur Verlaufsdatenspeicherung ableiten. Mit den oben beschriebenen 4-Bit Informationen (oder Informationen anderer Bitlänge - siehe oben) kann das Zeitverhalten bzw. der Botschaftsinhalt näherungsweise beschrieben werden. Durch Übertragung der 4-Bit Information an eine Empfangsvorrichtung einer
Überwachungsstelle für das CAN Bussystem kann eine effektive Speicherung bzw.
Übermittlung ermöglicht werden.
Eine Botschaft kann sich aus mehreren Signalen zusammensetzten. Beispielsweise ist in Fig. 7 gezeigt, dass sich die Botschaft 710 zum Zeitpunkt tO aus den mehreren Signalen A, B, C, ... zusammensetzt. Auch die weiteren Botschaften 720 und 730 zu den Zeitpunkten t1 und t2 werden mittels dieser Mehrzahl an Signal A, B, C, ... über das CAN Bussystem übertragen. Mit anderen Worten: Eine Mehrzahl an Botschaften wird jeweils über eine Mehrzahl an Signalen über das CAN Bussystem übertragen.
Für die Analyse eines Angriffs kann es hilfreich sein, zu wissen, welche Signale angegriffen worden sind. Diese Information kann z.B. über einen Vergleich der Signale für zwei
aufeinanderfolgende Botschaften erhalten werden. Das erfindungsgemäße Verfahren kann daher ein Vergleichen eines einer Botschaft zugeordneten Signalabschnitts eines ersten der Mehrzahl an Signalen mit einem einer vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals umfassen. Dieser Vergleich kann für einen Teil oder sämtliche der Mehrzahl an verwendeten Signalen ausgeführt werden. Entsprechend kann die an Überwachungsstelle für das CAN Bussystem übermittelte Informationen über den Angriff auf das CAN Bussystem eine Information über ein Ergebnis des Vergleichs des der Botschaft zugeordneten
Signalabschnitts des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals umfassen. Entsprechend kann die übermittelte
Informationen über den Angriff auf das CAN Bussystem auch Informationen über Ergebnisse der Vergleiche der weiteren Signale umfassen.
Dies ist in Fig. 7 beispielhaft für die Botschaften 720 und 730 dargestellt. Für die Botschaft 720 umfassen die an die Überwachungsstelle für das CAN Bussystem übermittelten Informationen 721 über den Angriff auf das CAN Bussystem den Zustand 722 der Botschaft 720 als 4-Bit Information und die Information 723 über die Ergebnisse der Vergleiche der der Botschaft 720 zugeordneten Signalabschnitte der Mehrzahl an Signalen A, B, C, ... mit den der
vorangehenden Botschaft 710 zugeordneten Signalabschnitte der Mehrzahl an Signalen A, B, C, .... Entsprechend umfassen die an die Überwachungsstelle für das CAN Bussystem übermittelten Informationen 731 über den Angriff auf das CAN Bussystem für die Botschaft 730 den Zustand 732 der Botschaft 730 als 4-Bit Information und die Information 733 über die Ergebnisse der Vergleiche der der Botschaft 730 zugeordneten Signalabschnitte der Mehrzahl an Signalen A, B, C, ... mit den der vorangehenden Botschaft 720 zugeordneten
Signalabschnitte der Mehrzahl an Signalen A, B, C, ....
Die Übereinstimmung zweier Signale (bzw. Signalabschnitte) kann z.B. mit einer„1 " kodiert werden, während die Nichtübereinstimmung mit einer„0" kodiert wird (oder umgekehrt). Mit anderen Worten: Die an Überwachungsstelle für das CAN Bussystem übermittelte Information über das Ergebnis des Vergleichs kann eine binäre Information sein, die anzeigt, ob der der Botschaft zugeordnete Signalabschnitt eines Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des Signals übereinstimmt. Derart kann eine Datenreduktion erreicht werden. Die Anzahl der für die Übertragung benötigten Bits ergibt sich aus der Anzahl der für die Übertragung der Botschaft verwendeten Signale.
Die Zustandsmuster (Abfolgen der Zustände) als auch die Vergleichsinformationen können Hinweise zum Verlauf eines Angriffs auf einen bestimmten Botschaftsinhalt bzw. -signal liefern und gemäß den in Zusammenhang mit Fig. 7 beschriebenen Grundsätzen effektiv an z.B. einen Leitstand gemeldet werden bzw. im Erkennungssystem (d.h. einer Vorrichtung, die das erfindungsgemäße Verfahren ausführt) gespeichert werden.
Im Weiteren zeigt Fig. 8 eine Vorrichtung 800 zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem 810. Die Vorrichtung 800 umfasst eine Prozessorschaltung 810, die eingerichtet ist, einen jeweiligen Zustand einer Mehrzahl an über das serielle
Kommunikationssystem 820 übertragener Botschaften zu bestimmen, um eine Abfolge an Zuständen zu erhalten. Der Zustand einer der Mehrzahl an Botschaften basiert jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften. Ferner ist die Prozessorschaltung 810 eingerichtet, die Abfolge an Zuständen mit zumindest einer Referenzabfolge zu vergleichen und zu bestimmen, dass ein Angriff auf das serielle Kommunikationssystem 820 vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht. Die Zustandsklassifizierung einer Botschaft wie auch der Vergleich der Abfolge an Zuständen mit der zumindest einen Referenzabfolge durch die Prozessorschaltung 810 kann sehr effizient und mit geringer Rechenleistung ausgeführt werden, so dass die Vorrichtung 800 eine einfache und effiziente Überwachung des seriellen Kommunikationssystems 820 ermöglichen kann.
Weitere Details und Aspekte der Vorrichtung 800 sind in Zusammenhang mit einem oder mehreren weiteren Ausführungsbeispielen beschrieben. Die Vorrichtung 800 kann eines oder mehrere optionale Merkmale gemäß einem oder mehreren der weiteren Ausführungsbeispiele umfassen.
Zuletzt zeigt Fig. 9 noch ein Fahrzeug 900 samt eines CAN Bussystems 920 des Fahrzeugs 900. Das Fahrzeug umfasst ferner eine erfindungsgemäße Vorrichtung 910 zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem. Über die Vorrichtung 910 können Angriffe auf das CAN Bussystem 920 des Fahrzeugs 900 effizient und mit geringer
Rechenleistung erkannt werden.
Bezugszeichenliste
100 Verfahren zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem 102 Bestimmen eines jeweiligen Zustands
104 Vergleichen der Abfolge an Zuständen
106a Bestimmen, dass ein Angriff vorliegt
106b Bestimmen, dass kein Angriff vorliegt
210 Botschaft
220 Botschaft
230 Botschaft
240 Botschaft
250 Botschaft
260 Botschaft
301 Inhalt einer Botschaft
302 Zustand
303 Abfolge an Zuständen
310 originale Botschaft
320 originale Botschaft
330 originale Botschaft
340 originale Botschaft
350 originale Botschaft
360 originale Botschaft
370 originale Botschaft
380 originale Botschaft
410 eingeschleuste Botschaft 420 eingeschleuste Botschaft
430 eingeschleuste Botschaft
440 eingeschleuste Botschaft
450 eingeschleuste Botschaft
460 eingeschleuste Botschaft
470 eingeschleuste Botschaft
480 eingeschleuste Botschaft
510 Zustandswechsel
520 Teilbereich einer Abfolge an Zuständen
601 eingeschleuste Botschaft
602 eingeschleuste Botschaft
603 Pfeil
604 Pfeil
610 originale Botschaft
620 originale Botschaft
630 originale Botschaft
640 originale Botschaft
650 originale Botschaft
660 originale Botschaft
670 originale Botschaft
680 originale Botschaft
690 originale Botschaft
710 Botschaft
720 Botschaft
721 Informationen über den Angriff auf das CAN Bussystem
722 Zustand der Botschaft
723 Information über die Ergebnisse der Vergleiche 730 Botschaft
731 Informationen über den Angriff auf das CAN Bussystem
732 Zustand der Botschaft
733 Information über die Ergebnisse der Vergleiche
800 Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem
810 Prozessorschaltung
820 serielles Kommunikationssystem
900 Fahrzeug
910 Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem 920 CAN Bussystem

Claims

Patentansprüche
1. Verfahren (100) zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem, umfassend:
Bestimmen (102) eines jeweiligen Zustands einer Mehrzahl an über das serielle
Kommunikationssystem übertragener Botschaften, um eine Abfolge an Zuständen zu erhalten, wobei der Zustand einer der Mehrzahl an Botschaften jeweils auf einer Mehrzahl an
Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften basiert;
Vergleichen (104) der Abfolge an Zuständen mit zumindest einer Referenzabfolge; und
Bestimmen (106a), dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht.
2. Verfahren nach Anspruch 1 , wobei der Zustand der Botschaft zumindest auf einem ersten Vergleich eines Inhalts der Botschaft mit einem Inhalt der vorangehenden Botschaft sowie auf einem zweiten Vergleich der zeitlichen Differenz zwischen einem Beginn der Botschaft und einem Beginn der vorangehenden Botschaft mit einem Vergleichswert basiert.
3. Verfahren nach Anspruch 1 oder Anspruch 2, wobei das Vergleichen (104) der Abfolge an Zuständen mit zumindest einer Referenzabfolge Folgendes umfasst:
Inkrementieren eines Zählers, wenn innerhalb der Abfolge an Zuständen ein erster Zustand auftritt;
Zurücksetzen des Zählers auf einen Ausgangswert, wenn innerhalb der Abfolge an Zuständen ein zweiter Zustand auftritt; und
Bestimmen, dass die Abfolge an Zuständen von der Referenzabfolge abweicht, wenn der Zähler einen Schwellwert überschreitet.
4. Verfahren nach Anspruch 3, wobei das Verfahren ferner Folgendes umfasst:
Vergleichen eines Teilbereichs der Abfolge an Zuständen mit zumindest einer zweiten
Referenzabfolge, wobei der Teilbereich der Abfolge an Zuständen nur Zustände umfasst, die von dem zweiten Zustand verschieden sind; und
Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn der Teilbereich der Abfolge an Zuständen von der zweiten Referenzabfolge abweicht.
5. Verfahren nach einem der Ansprüche 1 bis 4, wobei das Verfahren ferner Folgendes umfasst:
Vergleichen des Inhalts einer ersten Botschaft der Mehrzahl an Botschaften mit dem Inhalt einer zweiten Botschaft der Mehrzahl an Botschaften, wobei der Zustand der ersten Botschaft gleich dem Zustand der zweiten Botschaft ist, und wobei zwischen der ersten und der zweiten Botschaft zumindest eine dritte Botschaft mit einem von dem Zustand der ersten Botschaft verschiedenen Zustand über das serielle Kommunikationssystem übertragen wird; und
Bestimmen, dass ein Angriff auf das serielle Kommunikationssystem vorliegt, wenn der Inhalt der zweiten Botschaft gleich dem Inhalt der ersten Botschaft ist.
6. Verfahren nach einem der Ansprüche 1 bis 5, wobei das Verfahren Folgendes umfasst:
Senden einer Nachricht an eine Empfangsvorrichtung einer Überwachungsstelle für das serielle Kommunikationssystem, wenn bestimmt wird, dass ein Angriff auf das serielle
Kommunikationssystem vorliegt, wobei die Nachricht Informationen über den Angriff auf das serielle Kommunikationssystem umfasst.
7. Verfahren nach Anspruch 6, wobei die Informationen über den Angriff auf das serielle Kommunikationssystem Informationen über zumindest einen Teilbereich der Abfolge an Zuständen umfassen.
8. Verfahren nach Anspruch 6 oder Anspruch 7, wobei die Mehrzahl an Botschaften jeweils über eine Mehrzahl an Signalen über das serielle Kommunikationssystem übertragen wird, wobei das Verfahren ferner ein Vergleichen eines der Botschaft zugeordneten Signalabschnitts eines ersten der Mehrzahl an Signalen mit einem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals umfasst, und wobei die Informationen über den Angriff auf das serielle Kommunikationssystem eine Information über ein Ergebnis des Vergleichs des der Botschaft zugeordneten Signalabschnitts des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals umfasst.
9. Verfahren nach Anspruch 8, wobei die Information über das Ergebnis des Vergleichs eine binäre Information ist, die anzeigt, ob der der Botschaft zugeordnete Signalabschnitt des ersten Signals mit dem der vorangehenden Botschaft zugeordneten Signalabschnitt des ersten Signals übereinstimmt.
10. Verfahren nach einem der vorhergehenden Ansprüche, wobei das serielle
Kommunikationssystem ein Controller Area Network Bussystem ist.
1 1. Verfahren nach Anspruch 10, wobei die Referenzabfolge abhängig von einer Sendeart des Controller Area Network Bussystems gewählt ist.
12. Verfahren nach Anspruch 10 oder Anspruch 1 1 , wobei der Vergleichswert eine erste verwendete Zykluszeit, eine zweite verwendete Zykluszeit oder eine Sperrzeit des Controller Area Network Bussystems ist.
13. Programm mit einem Programmcode zum Durchführen eines der Verfahren gemäß einem der Ansprüche 1 bis 12, wenn der Programmcode auf einem Computer, einem Prozessor oder einer programmierbaren Hardwarekomponente ausgeführt wird.
14. Vorrichtung (800) zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem (820), wobei die Vorrichtung (800) eine Prozessorschaltung (810) umfasst, die eingerichtet ist: einen jeweiligen Zustand einer Mehrzahl an über das serielle Kommunikationssystem (820) übertragener Botschaften zu bestimmen, um eine Abfolge an Zuständen zu erhalten, wobei der Zustand einer der Mehrzahl an Botschaften jeweils auf einer Mehrzahl an Eigenschaften der Botschaft und einer Mehrzahl an Eigenschaften einer vorangehenden Botschaft der Mehrzahl an Botschaften basiert; die Abfolge an Zuständen mit zumindest einer Referenzabfolge zu vergleichen; und zu bestimmen, dass ein Angriff auf das serielle Kommunikationssystem (820) vorliegt, wenn die Abfolge an Zuständen von der Referenzabfolge abweicht.
15. Fahrzeug (900) mit einer Vorrichtung (910) zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem gemäß Anspruch 14, wobei das serielle Kommunikationssystem ein Controller Area Network Bussystem (920) des Fahrzeugs (900) ist.
EP18762061.2A 2017-09-12 2018-08-27 Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem Pending EP3682610A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017216096.9A DE102017216096A1 (de) 2017-09-12 2017-09-12 Verfahren und Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem
PCT/EP2018/073031 WO2019052798A1 (de) 2017-09-12 2018-08-27 Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem

Publications (1)

Publication Number Publication Date
EP3682610A1 true EP3682610A1 (de) 2020-07-22

Family

ID=63407213

Family Applications (1)

Application Number Title Priority Date Filing Date
EP18762061.2A Pending EP3682610A1 (de) 2017-09-12 2018-08-27 Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem

Country Status (5)

Country Link
US (1) US11522876B2 (de)
EP (1) EP3682610A1 (de)
CN (1) CN111133727B (de)
DE (1) DE102017216096A1 (de)
WO (1) WO2019052798A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017218134B3 (de) * 2017-10-11 2019-02-14 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge
US11487872B2 (en) * 2018-12-07 2022-11-01 Hewlett Packard Enterprise Development Lp Detection of hardware security attacks
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
EP3726776A1 (de) * 2019-04-18 2020-10-21 Xantaro Deutschland GmbH Verfahren zur autonomen oder ki-unterstützten validierung und/oder ablehnung und/oder entscheidungsfindung bezüglich busnachrichten auf einem controller-area-network-bus-system, controller-area-network-bus-system, erkennungs- und/oder entscheidungseinheit, computerprogramm und computerlesbares medium
DE102020214945A1 (de) * 2020-11-27 2022-06-02 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3113529B1 (de) * 2015-06-29 2020-09-16 Argus Cyber Security Ltd. System und verfahren zur zeitbasierten anomaliedetektion in einem fahrzeuginternen kommunikationsnetz

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7116668B2 (en) * 2001-10-09 2006-10-03 Telefunaktiebolaget Lm Ericsson (Publ) Method for time stamp-based replay protection and PDSN synchronization at a PCF
EP2299650A1 (de) * 2009-09-21 2011-03-23 Siemens Aktiengesellschaft Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk
US9401923B2 (en) * 2013-10-23 2016-07-26 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
US9734121B2 (en) * 2014-04-28 2017-08-15 Qualcomm Incorporated Sensors global bus
US20160173513A1 (en) * 2014-12-10 2016-06-16 Battelle Energy Alliance, Llc. Apparatuses and methods for security in broadcast serial buses
US10083071B2 (en) 2014-12-30 2018-09-25 Battelle Memorial Institute Temporal anomaly detection on automotive networks
DE102015205670A1 (de) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
KR101714520B1 (ko) * 2015-10-30 2017-03-09 현대자동차주식회사 차량 내 네트워크 공격 탐지 방법 및 장치
WO2017104106A1 (ja) * 2015-12-14 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 評価装置、評価システム及び評価方法
WO2018104929A1 (en) * 2016-12-07 2018-06-14 Arilou Information Security Technologies Ltd. System and method for using signal waveform analysis for detecting a change in a wired network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3113529B1 (de) * 2015-06-29 2020-09-16 Argus Cyber Security Ltd. System und verfahren zur zeitbasierten anomaliedetektion in einem fahrzeuginternen kommunikationsnetz

Also Published As

Publication number Publication date
WO2019052798A1 (de) 2019-03-21
US11522876B2 (en) 2022-12-06
CN111133727A (zh) 2020-05-08
US20210067523A1 (en) 2021-03-04
CN111133727B (zh) 2022-09-06
DE102017216096A1 (de) 2019-03-14

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP3682610A1 (de) Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem
DE112012006879B4 (de) Neuer Ansatz zum Handhaben eines Controller-Area-Network Bus-Off
EP3684015B1 (de) Vorrichtung und verfahren zur klassifizierung von daten insbesondere für ein controller area netzwerk oder ein automotive ethernet netzwerk
DE102019207423A1 (de) Verfahren und System zur Erfassung eingekoppelter Nachrichtenanomalien
DE102017202176B4 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE112018001489T5 (de) Fahrzeuggebundene Kommunikationsvorrichtung, Computerprogramm und Nachrichtenermittlungsverfahren
DE102018201718A1 (de) Verfahren und Vorrichtung zur Erkennung einer Anomalie in einem Datenstrom in einem Kommunikationsnetzwerk
DE102017208553A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
EP3432507B1 (de) Überwachung einer blockchain
EP3641231A1 (de) Verfahren und vorrichtung zur überwachung einer datenkommunikation
WO2018060250A1 (de) Verfahren und system zum schutz eines bordkommunikationsnetzwerks eines kraftfahrzeugs
DE102022201899A1 (de) Mitigation einer manipulation von software eines fahrzeugs
EP2618226B1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
DE102018221349A1 (de) Verfahren zur Verwaltung eines Speichers
WO2016169646A1 (de) System und verfahren zur überwachung der integrität einer von einem serversystem an ein clientsystem ausgelieferten komponente
DE102010028485A1 (de) Verfahren und Vorrichtung zur Absicherung von über eine Schnittstelle zu übertragenden Datenpaketen
DE102010026392A1 (de) Verfahren zur sicheren Parametrierung eines Sicherheitsgeräts
DE102021210429A1 (de) Verfahren zum Erkennen einer Manipulation eines Bussystems
DE102022209766A1 (de) COMPUTERIMPLEMENTIERTES VERFAHREN ZUR EINLEITUNG VON MITIGATIONSMAßNAHMEN IN EINEM SYSTEM
DE102021210902A1 (de) Techniken zum detektieren eines eindringens in ein bussystem
DE102023204623A1 (de) Verfahren zum Mindern von Attacken auf einem Bussystem
DE102023134387A1 (de) Verfahren zum Bereitstellen von Analyseinformationen eines Fahrzeugs, computerlesbares Medium, und System
DE112024000423T5 (de) Informationsverarbeitungsvorrichtung

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20200414

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20210610