CN110602031A - 用于处理通信网络中的异常的方法和设备 - Google Patents
用于处理通信网络中的异常的方法和设备 Download PDFInfo
- Publication number
- CN110602031A CN110602031A CN201910505458.5A CN201910505458A CN110602031A CN 110602031 A CN110602031 A CN 110602031A CN 201910505458 A CN201910505458 A CN 201910505458A CN 110602031 A CN110602031 A CN 110602031A
- Authority
- CN
- China
- Prior art keywords
- communication network
- detector
- anomaly
- information
- identified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 116
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000004590 computer program Methods 0.000 claims description 7
- 238000006243 chemical reaction Methods 0.000 description 21
- 238000004220 aggregation Methods 0.000 description 12
- 230000002776 aggregation Effects 0.000 description 12
- 230000005856 abnormality Effects 0.000 description 9
- 238000000926 separation method Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 8
- 230000004931 aggregating effect Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000015654 memory Effects 0.000 description 4
- 230000003936 working memory Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Environmental & Geological Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及用于处理通信网络中的异常的方法和设备。一种用于处理尤其是机动车的通信网络(100)中的异常的设备和方法,其特征在于,至少一个检测器(124,125,126)分析通信网络(100)中的数据流,其中,当针对数据流的数据包的至少一个参数偏离期望值时,所述至少一个检测器(124,125,126)通过基于规则的异常识别方法识别出至少一个异常,其中所述至少一个检测器(124,125,126)经由通信网络(100)发送关于至少一个所识别出的异常的信息。
Description
技术领域
本发明涉及一种用于处理通信网络中的异常的方法和设备、一种计算机程序和一种机器可读的存储介质。
背景技术
从未公开的DE 10 2017 210 787和DE 10 2017 213 119中已知了用于进行异常识别的方法。所述方法需要除了待监控的通信网络结构之外还必须添加的专用组件和静态架构。
与此相对照,值得期望的是给出一种改进的方法和一种改进的设备。
发明内容
这通过根据独立权利要求所述的方法和设备来实现。
与下列实施方案的各方面相关联地,在下文中,与正常行为的偏差被称作异常,所述偏差可能由于不同的原因在实际操作中而在用于数据的通信的系统的数据中出现。为此的原因例如可以是下列类型的原因:
故障的或者完全失效的传感器提供错误的数据或者根本不提供数据,
系统的组件是损坏的,
系统已被外部源(例如黑客攻击)操纵。
不仅在内部通信中而且在外部通信中对数据通信(Datenverkehr)中的数据中的异常的识别借助基于网络的入侵检测系统NIDS(Network-Based Intrusion DetectionSystem)来实现。在下文中,利用NIDS标明如下系统:该系统监控和分析通信网络中的整个数据通信,以便识别出在内部的和外部的数据交换中的所有异常。扩展了用于预防或者对所识别出的异常做出反应的部件的NIDS在下文中也称作基于网络的入侵检测和防御系统NIDPS(Network-Based Intrusion Detection and Prevention System)。
传统的NIDS或者NIDPS利用专用的硬件实现。要么数据通信由中央交换机转交给分离的NIDS或者NIDPS部件,要么给所选出的交换机扩展了分离的NIDS或者NIDPS部件。在第一解决方案中,使用特别快的交换机端口,以便将尽可能多的数据通信转交给NIDS或者NIDPS。第二解决方案直接在交换机上使用NIDS或者NIDPS功能性。
与此相对照,用于处理(尤其是机动车的)通信网络中的异常的方法设置了,至少一个检测器分析通信网络中的数据流,其中,当针对数据流的数据包的至少一个参数偏离期望值时,所述至少一个检测器通过基于规则的异常识别方法识别出至少一个异常,并且其中所述至少一个检测器经由通信网络发送关于至少一个所识别出的异常的信息。检测器是针对基于规则的异常识别的识别部件。这些识别部件实现攻击识别系统(尤其是NDIS)的核心任务。检测器经由通信网络的通信能够实现识别部件的分离及其在所监控的通信网络自身中的不同设备上的布局。经此,例如在汽车以太网络中实现分离的NIDS。通过分离,形成了关于存储器需求或者对计算资源的需求小的单元,在汽车以太网络中的控制设备上除了其另外的任务之外还可以布置所述单元。通信经由现有的通信网络进行。不需要针对检测器或者附加的通信基础设施的专用硬件。
有利地设置了,至少一个执行器经由通信网络接收到关于至少一个由至少一个检测器所识别出的异常的信息,并且其中,与关于至少一个由至少一个检测器所识别出的异常的信息有关地,所述至少一个执行器触发至少一个用于处理异常的对策。执行器是针对基于规则的异常识别和处理的反应部件。这些部件实现攻击识别系统的另一核心任务。在检测器与执行器之间经由通信网络的通信能够实现将在所监控的通信网络自身中的不同设备上的这些部件分离。经此,例如在汽车以太网络中实现分离的NIDPS,在该NIDPS中可能对所识别出的异常立即做出反应。为此不需要专用硬件或者附加的通信基础设施。
有利地设置了,至少一个聚合器从至少一个检测器接收到关于至少一个所识别出的异常的信息,并且经由通信网络向至少一个执行器发送至少一个所识别出的异常。聚合器是另一部件、即聚合部件,从来自通信网络的不同的子网络的检测器或者从通信网络的不同的检测器收集关于所识别出的异常的信息,并且将所述关于所识别出的异常的信息转交给执行器。这能够实现交换不同的子网络中的关于异常的信息。为此,聚合器例如被布置在通信网络中的子网络的连接部位处。
有利地设置了,至少两个检测器分析在通信网络中的和/或在同一子网络中的不同设备上的数据流的数据包。经此,识别的核心任务、也就是识别部件在该子网络中实施为分布于多个设备上。这减小了对在其上实施相应检测器的各个设备上的计算效率、工作存储器和或者存储器的需求。
有利地设置了,至少两个布置在通信网络中的不同设备上和/或在通信网络的两个不同的子网络中的不同设备上的执行器触发至少一个对策。经此,在通信网络中分布式地实施反应的核心任务、也就是反应部件。经此直接在设备上进行反应。附加的专用硬件不是必需的。
有利地设置了,至少两个布置在通信网络中的不同设备上和/或在通信网络的两个不同的子网络中的不同设备上的聚合器将关于所识别出的异常的信息聚合,其中另一聚合器将至少两个聚合器的关于所识别出的异常的信息聚合。这是在层级式通信网络中的层级聚合。经此,可以特别有效地监控通信网络的复杂的层级结构。
有利地设置了,接口将所识别出的异常尤其是传送给后端装置(Backend),和/或尤其是从后端装置接收到指示。经此实现了另一核心任务、即与后端装置的通信,也就是提供关于所识别出的异常的信息。例如由用户或者自动地从所识别出的异常导出的指示可以这样被引回(zurueckgefuehrt)。这能够实现,在待监控的通信网络之外进行关于计算时间、存储器位置或者工作存储器方面费事的计算,或者从在待监控的通信网络之外发生影响。
有利地设置了,在如下检测器中分析在通信网络的至少一个子网络之内的控制设备之间的数据流:所述检测器布置在所述控制设备中的一个控制设备上;和/或在来自通信网络的不同的子网络的控制设备之间的数据流为(um)检测器所分析,所述不同的子网络经由网关或者控制设备相互连接,所述检测器布置在所述网关或者控制设备上。经此,层级监控是可能的。所述布局在具有严重层级式通信网络的机动车中是特别有利的。
有利地设置了,至少一个检测器和/或至少一个聚合器在通信网络的至少一个子网络之内实施为分布于多个控制设备上,和/或实施为分布于至少一个控制设备和至少一个网关上。分布式实施能够实现使用在对计算资源需求低的控制设备或者网关上、例如在嵌入式硬件上。
有利地设置了,执行器中的一个执行器经由通信网络将对于至少一个对策的指示发送给多个其他执行器。通过执行器的层级式布局,协调地实施对策。
此外,设置了一种计算机程序,该计算机程序设立为,当所述计算机程序在计算机上实施时,实施这样的方法。同样设置了一种机器可读的存储介质,在该机器可读的存储介质上存储有计算机程序。
关于用于处理通信网络中的异常的设备设置了,至少一个检测器设立为,分析通信网络中的数据流,其中至少一个检测器设立为,当针对数据流的数据包的至少一个参数偏离期望值时,通过基于规则的异常识别方法识别出至少一个异常,其中所述至少一个检测器设立为,经由通信网络发送关于至少一个所识别出的异常的信息。由此,可以在本来就存在的嵌入式硬件中集成对通信网络中的异常的检测。
有利地,至少一个执行器设立为,经由通信网络接收到关于至少一个由检测器所识别出的异常的信息,并且其中所述至少一个执行器设立为,与关于至少一个由检测器所识别出的异常的信息有关地,触发至少一个用于处理异常的对策。由此,可以在本来就存在的嵌入式硬件中集成对通信网络中的异常的反应。
有利地,至少一个聚合器设立为,从至少一个检测器接收到关于至少一个所识别出的异常的信息,并且经由通信网络向至少一个执行器发送至少一个所识别出的异常。这是该设备的尤其是对于层级式通信网络特别适合的实施方案。
附图说明
其他有利的构建方案从下列描述和附图中得到。在附图中:
图1示意性地示出了根据第一实施形式的通信网络的部分,
图2示意性地示出了根据第二实施形式的通信网络的部分,
图3示意性地示出了根据第三实施形式的通信网络的部分,
图4示意性地示出了根据第四实施形式的通信网络的部分,
图5示意性地示出了根据第五实施形式的通信网络的部分,
图6示意性地示出了通信网络中的数据流的部分。
具体实施方式
在下文中,依据如下通信网络描述了用于处理通信网络中的异常的设备的各方面:所述通信网络根据以太网标准IEEE 802.3的版本来建立。在其他通信网络中的应用同样是可能的。
图1示意性地示出了用于机动车的根据第一实施形式的这样的通信网络100的部分。
通信网络100层级式地建立,而且包括中央网关101,所述中央网关101经由第一以太网连接102直接与第一域控制设备103连接,并且经由第二以太网连接104直接与第二域控制设备105连接。网关101经由第三以太网连接106直接与第一控制设备107连接。网关101经由第四以太网连接108直接与第二控制设备109连接。网关101经由第五以太网连接110直接与第三控制设备111连接。网关和这些控制设备形成通信网络100的第一子网络,所述第一子网络的部分可以仅仅经由网关101彼此进行通信。
第一域控制设备103经由第六以太网连接112直接与第四控制设备113连接。第一域控制设备103经由第七以太网连接114直接与第五控制设备115连接。第一域控制设备103经由第八以太网连接116直接与第六控制设备117连接。这些控制设备形成第二子网络,所述第二子网络的部分可以仅仅经由第一域控制设备103彼此进行通信。
第二域控制设备105经由第九以太网连接118直接与第七控制设备119连接。第七控制设备119经由第十以太网连接120直接与第八控制设备121连接。第八控制设备122经由第十一以太网连接122直接与第九控制设备123连接。第九控制设备123经由第八控制设备121和第七控制设备119与第二域控制设备105连接。这些控制设备形成第三子网络。
与这些连接相关联地,直接连接是如下这种连接:经由所述连接,在相互直接连接的连接端之间没有中间连接其他网关、交换机或者控制设备的情况下,传输数据。
所述网关和所述控制设备包括处理器、存储器、工作存储器和针对经由通信网络100的通信的接口。在每个所述控制设备的存储器中存储指令,在通过处理器实施所述指令时,除了控制设备经由以太网连接的通信之外,在本实例中为了操作机动车还实施特定的任务。该网关执行用于控制设备的数据连接的指令。通过通信形成数据流,所述数据流包括数据包。在正常状态下,遵守例如关于确定的数据包的时间戳、出现频度或者频率方面的期望值。为了完成特定的任务,在控制设备之间交换数据包。
域控制设备和直接与域控制设备连接的控制设备例如形成如下子网络:所述子网络由具有共同的上级任务的特定控制设备构成。为此,例如仅在该子网络中发送数据包。
在域控制设备的子网络中,可以使用以太网、尤其是汽车以太网或者另外的汽车典型的总线系统,诸如控制器局域网CAN总线。
为了处理通信网络100中的异常,与所采用的标准无关地,在通信网络100之内的不同的、可选为所有的控制设备上设置NIDPS的四个核心任务的分离、亦即识别、聚合、反应和通信的分离。这以唯一地借助已经存在的资源来实现NIDPS为目的来进行。
识别部件、例如一个检测器或者多个检测器分析数据流,并且当出现与期望值的偏差时识别出异常。
聚合部件、例如一个聚合器或者多个聚合器获得关于所识别出的异常、例如网络状态的信息。由此,可以生成关于子网络的整体概览,所述整体概览评价所识别出的异常。此外可能的是,聚合部件向另一聚合部件报告信息和关于异常的消息,并且因此经由多个级进行聚合。
反应部件、例如一个执行器或者多个执行器可以根据所识别出的异常触发对策。所识别出的异常部分地直接由识别部件并且部分地由聚合部件通知给反应部件。对策可以是主动反应、例如改变或者丢弃以太网数据包、锁闭端口或者排除网络参与者,或者可以是被动反应、例如通知或者警告另外的网络参与者。
第一实施形式涉及识别部件的分离。
在第一实施形式中,如在图1中所示的那样,设置有第一检测器124。第一检测器124是NIDPS的识别部件的在网关101上实施的部分。第一检测器124尽可能完整地分析第一子网络的数据流,并且当针对在第一子网络中的数据流的数据包的至少一个参数偏离期望值时,借助基于规则的异常识别来识别出异常。第一检测器124经由通信网络100发送关于所识别出的异常的信息。
在第一实施形式中,如在图1中所示的那样,设置有第二检测器125。第二检测器125是NIDPS的识别部件的如下部分:在第一域控制设备103上除了其特定任务之外还实施所述部分。第二检测器125尽可能完整地分析第二子网络的数据流,并且当针对在第二子网络中的数据流的数据包的至少一个参数偏离期望值时,借助基于规则的异常识别来识别出异常。第二检测器125经由通信网络100发送关于所识别出的异常的信息。
在第一实施形式中,如在图1中所示的那样,设置有第三检测器126。第三检测器126是NIDPS的识别部件的如下部分:在第二域控制设备105上除了其特定任务之外还实施所述部分。第三检测器126尽可能完整地分析第三子网络的数据流,并且当针对在第三子网络中的数据流的数据包的至少一个参数偏离期望值时,借助基于规则的异常识别来识别出异常。第三检测器126经由通信网络100发送关于所识别出的异常的信息。
NIDPS的另外的部件例如集中地布置在另外的控制设备中的一个控制设备上。
通过分布式实现识别部件保证了,可以尽可能完整地分析每个子网络的网络通信。这根据第一实施形式通过在每个子网络之内的单个识别部件来实现。
根据子网络和网络通信量的大小,对子网络的整个网络通信的分析仍旧是资源密集的。因此,识别部件根据第二实施形式可以进一步分布在子网络之内。
在此,识别功能性单独地与可用的控制设备的资源匹配。一个子网络的多个或者所有控制设备因此可以共同承担对识别部件的实现。
第二实施形式涉及分离的识别部件的分布。
在第二子网络的情况下,根据在图2中所示出的第二实施形式通过如下方式实现所述分布:第二检测器125实施为分布式检测器,所述分布式检测器具有在第一域控制设备103上的一部分125a和在第五控制设备115上的另一部分125b。
在第三子网络的情况下,这根据第二实施形式通过如下方式来实现:第三检测器126实施为分布式检测器,所述分布式检测器具有在第二域控制设备105上的第一部分126a、在第七控制设备119上的第二部分126b、在第八控制设备121上的第三部分126c和在第九控制设备123上的第四部分126d。
在第一子网络中的识别通过在网关101上的唯一的检测器124来实现。在第二子网络中的识别划分到两个控制设备上。在第三子网络中,所有控制设备都参与识别。
NIDPS的另外的部件例如集中地布置在另外的控制设备中的一个控制设备上。
第二实施形式的其余部分与第一实施形式相同地来实施。针对第二实施形式的与之相关的描述参考第一实施形式的描述。
第三实施形式涉及聚合部件的分离。
聚合部件在这种情况下包括多个聚合器,所述聚合器各个单独地与可用的控制设备的资源匹配,布置在通信网络100中。一个子网络的多个或者所有控制设备因此可以共同承担对聚合部件的实现。
对于多级聚合,聚合器可以在可能的和合理的地方到处予以采用。聚合器的放置完全与通信网络100的网络拓扑无关。多级聚合器的可能的分布在图3中示出。
第一聚合器127布置在第一控制设备107上。除了为了操作机动车而在第一控制设备107上运行的任务之外,运行针对第一聚合器127的指令。
第二聚合器128布置在第四控制设备113上。除了为了操作机动车而在第四控制设备113上运行的任务之外,运行针对第二聚合器128的指令。
第三聚合器129布置在第五控制设备115上。除了为了操作机动车而在第五控制设备115上运行的任务之外,运行针对第三聚合器129的指令。
第四聚合器130布置在第二域控制设备105上。除了为了操作机动车而在第二域控制设备105上运行的任务之外,运行针对第四聚合器130的指令。
第五聚合器131布置在第九控制设备123上。除了为了操作机动车而在第九控制设备123上运行的任务之外,运行针对第五聚合器131的指令。
第一聚合器127、第二聚合器128、第三聚合器129、第四聚合器130和第五聚合器131形成聚合的第一级。第一级的这些聚合器将经聚合的关于所识别出的异常的信息例如作为网络状态向第二级的聚合器发送。
在该实例中,第二级由第六聚合器132和由第七聚合器133形成,该第六聚合器132布置在第二控制设备109上,该第七聚合器133布置在第八控制设备121上。除了为了操作机动车而在第二控制设备109上运行的任务之外,运行针对第六聚合器132的指令。除了为了操作机动车而在第八控制设备121上运行的任务之外,运行针对第七聚合器133的指令。
第二级的聚合器将第一级的聚合器的信息聚合,并且向第三级的至少一个聚合器发送经聚合的关于所识别出的异常的信息。在该实例中,第八聚合器134设置在第三级中,该第八聚合器134布置在第三控制设备111上。除了为了操作机动车而在第三控制设备111上运行的任务之外,运行针对第八聚合器134的指令。
NIDPS的另外的部件例如集中地布置在另外的控制设备中的一个控制设备上。
此外,通信网络100如在第一实施形式中那样来建立。对于第三实施形式的与之相关的描述参考第一实施形式的描述。
第四实施形式涉及反应部件的分离。
反应部件在这种情况下(如在图4中所示的那样)包括多个执行器,所述执行器各个单独地与可用的控制设备的资源匹配,布置在通信网络100中。一个子网络的多个或者所有控制设备因此可以共同承担对反应部件的实现。
在该实例中,执行器根据子网络来分组。
在第一子网络中,第一执行器135布置在网关101中。除了为了操作机动车而在网关101上运行的任务之外,运行针对第一执行器135的指令。
在第一子网络中,第二执行器136布置在第一控制设备107中。除了为了操作机动车而在第一控制设备107上运行的任务之外,运行针对第二执行器136的指令。
在第一子网络中,第三执行器137布置在第三控制设备111中。除了为了操作机动车而在第三控制设备111上运行的任务之外,运行针对第三执行器137的指令。
在第二子网络中,第四执行器138布置在第一域控制设备103中。除了为了操作机动车而在第一域控制设备103上运行的任务之外,运行针对第四执行器138的指令。
在第三子网络中,第五执行器139布置在第二域控制设备105中。除了为了操作机动车而在第二域控制设备105上运行的任务之外,运行针对第五执行器139的指令。
在第三子网络中,第六执行器140布置在第八控制设备121中。除了为了操作机动车而在第八控制设备121上运行的任务之外,运行针对第六执行器140的指令。
NIDPS的另外的部件例如布置在另外的控制设备中的一个控制设备上。此外,通信网络100如在第一实施形式中所描述那样来建立。
第五实施形式涉及NIDPS的所有核心任务的分离和分布。根据NIDPS的所有核心任务的分布,可能特别有效地对所识别出的异常直接做出反应。通过使用存在的硬件,不产生附加的费用。
如在图5中所示,之前所描述的检测器、聚合器和执行器分离地并且分布式地来布置和构造。
在网关101上布置有第一检测器124和第一执行器135。在第一控制设备107上布置有第一聚合器127和第二执行器136。在第二控制设备109上布置有第六聚合器132。在第三控制设备111上布置有第八聚合器134和第三执行器137。在第四控制设备113上布置有第二聚合器128。在第五控制设备115上布置有第三聚合器129。在第一域控制设备103上布置有第四执行器138。在第二域控制设备105上布置有第三检测器126和第五执行器139。
第二子网络中的分布式检测器利用在第一域控制设备103上的一部分125a和在第五控制设备115上的另一部分125b来实施。第三子网络中的分布式检测器利用在第二域控制设备105上的第一部分126a、在第七控制设备119上的第二部分126b、在第八控制设备121上的第三部分126c和在第九控制设备123上的第四部分126d来实施。
在第六控制设备117上布置有通信部件141。通信部件141承担NIDPS对后端装置的通信。所述通信部件为后端装置提供关于所识别出的异常的信息和网络状态,并且从后端装置获得指示。
NIDPS的每个之前所描述的NIDPS核心任务都可以被分离,并且完全由控制设备中的一个控制设备来实现。同样可能的是,这些核心任务分布于多个控制设备上。控制设备的部分或者完全承担NIDPS的核心任务的能力可以借助特性、诸如可用的自由资源、网络拓扑中的位置或者存在的通信接口来确定。
在第五实施形式中,示范性地示出了在汽车网络之内的所有核心任务的这样的分离和分布。所有控制设备和网关都参与实现,并且被分配有不同的任务部分。示例性地示出的分布可以与每个另外的架构的可用资源匹配,并且这样可以单独地实现。
在控制设备之间的数据流例如通过在通信网络的至少一个子网络之内的检测器来分析。在来自通信网络的不同子网络的控制设备之间的数据流例如通过布置在网关或者控制设备上的检测器来分析,所述子网络经由所述网关或者控制设备相互连接。
通常,分离NIDPS的核心任务。此外,在通信网络的至少一个子网络之内的检测器和/或至少一个聚合器可以实施为分布于多个控制设备上,或者实施为分布于至少一个控制设备和至少一个网关上。
在图6中示意性示出在NIDPS之内的数据流程。
检测器作为识别部件共同起作用。聚合器作为聚合部件共同起作用。执行器作为反应部件共同起作用。通信部件与后端装置进行通信。
在步骤601中,分析识别部件的数据流,并且识别出关于异常的信息。例如,如在第二和第五实施形式中所示出的那样,在第一域控制设备103和第五控制设备115上的两个分布式检测器125a、125b分析在通信网络100中的在同一子网络中的不同设备上的数据流。例如,如在第一实施形式中所示出的那样,不同的检测器124、125、126分析在通信网络100中的在不同子网络中的不同设备上的数据流。
例如,通过如下事实识别出有缺陷的或者完全失效的传感器:传感器发送错误的数据或者根本不发送数据。也可以识别出有缺陷的组件或者通过外部源的操纵,所述有缺陷的组件和通过外部源的操纵导致有错误的数据。各个数据包的时间戳、出现频度或者出现间隔例如与期望值进行比较,所述期望值表征正常状态。通常,执行基于规则的异常识别,所述异常识别识别出与期望值的偏差。
在步骤602中,由识别部件向聚合部件发送关于所识别出的异常的信息。
在步骤603中,由识别部件向反应部件发送关于所识别出的异常的信息。
在步骤604中,聚合部件将所接收到的关于异常的信息聚合。如果多个检测器识别出异常,则其信息由聚合器在步骤604中聚合。所述信息可以被评估、被评价或者按照异常的类型和方式被分类,并且与执行器关联。
在步骤605中,由聚合部件向反应部件发送经聚合的关于所识别出的异常的信息。
在步骤606中,反应部件触发对策,所述对策与关于所识别出的异常的信息有关。
反应的第一方面涉及对所识别出的异常的直接反应。
识别部件的检测器在步骤603中例如借助第二连接向反应部件的执行器直接发送关于所识别出的异常的信息。
经此,执行器从检测器直接接收到关于所识别出的异常的信息。在该实例中与关于所识别出的异常的信息有关地,该执行器直接触发用于处理异常的对策。
第二方面涉及关于异常的信息的聚合,并且涉及根据经聚合的信息的反应。经此,执行器从聚合器接收到关于所识别出的异常的信息。在该实例中与经聚合的关于所识别出的异常的信息有关地,该执行器直接触发用于处理异常的对策。由此,例如不能由单个检测器识别出的异常也导致反应,但是所述不能由单个检测器识别出的异常依据经聚合的信息可由多个检测器识别出。
例如,如在第三和第五实施形式中所示出的那样,至少两个布置在通信网络100中的不同设备上的聚合器127、...、134将关于所识别出的异常的信息聚合。这些聚合器可以通过如下方式层级式地来构造:例如最高级的聚合器134将较低级的聚合器127、...、133的关于所识别出的异常的信息聚合。
例如,如在第四和第五实施形式中所示出的那样,至少两个布置在通信网络100中的不同设备上的执行器135、...、140触发至少一个对策。这些执行器可以布置在通信网络的两个不同的子网络中。
可以设置的是,执行器中的一个执行器经由通信网络100将对于对策的指示发送给多个其他执行器。
在可选的步骤607中,由聚合部件向通信部件发送经聚合的关于所识别出的异常的信息。在可选的步骤608中,由反应部件经由第五连接和通信部件向他发送关于反应的信息。
通信部件是如下接口:所述接口在可选的步骤609中尤其是向后端装置传送所识别出的异常。通信部件也可以构造为,尤其是从后端装置接收到指示并且向另外的部件发送所述指示。通信网络100中的连接在该情况下双向地构造。
连接经由通信网络100进行。经此,对于通信而言不需要分离的硬件。例如使用汽车以太网络或者总线系统、如控制器局域网(CAN)总线。
Claims (15)
1.一种用于处理尤其是机动车的通信网络(100)中的异常的方法,其特征在于,至少一个检测器(124,125,126)分析(601)所述通信网络(100)中的数据流,其中,当针对所述数据流的数据包的至少一个参数偏离期望值时,所述至少一个检测器(124,125,126)通过基于规则的异常识别方法识别出至少一个异常,其中所述至少一个检测器(124,125,126)经由所述通信网络(100)发送(602,603)关于至少一个所识别出的异常的信息。
2.根据权利要求1所述的方法,其特征在于,至少一个执行器(135,...,140)经由所述通信网络(100)接收到(603,605)关于至少一个由所述至少一个检测器(124,125,126)所识别出的异常的信息,并且其中,与所述关于至少一个由所述至少一个检测器(124,125,126)所识别出的异常的信息有关地,所述至少一个执行器(135,...,140)触发(606)至少一个用于处理所述异常的对策。
3.根据上述权利要求中任一项所述的方法,其特征在于,至少一个聚合器(127,...,134)从至少一个检测器(124,125,126)接收到(602)关于至少一个所识别出的异常的信息,并且经由所述通信网络(100)向至少一个执行器(135,...,140)发送(605)至少一个所识别出的异常。
4.根据上述权利要求中任一项所述的方法,其特征在于,至少两个检测器分析(601)在所述通信网络(100)中的和/或在同一子网络中的不同设备上的所述数据流的数据包。
5.根据上述权利要求中任一项所述的方法,其特征在于,至少两个布置在所述通信网络(100)中的不同设备上和/或在所述通信网络(100)的两个不同的子网络中的不同设备上的执行器触发(606)至少一个对策。
6.根据上述权利要求中任一项所述的方法,其特征在于,至少两个布置在所述通信网络(100)中的不同设备上和/或在所述通信网络(100)的两个不同的子网络中的不同设备上的聚合器将关于所识别出的异常的信息聚合(604),其中其他聚合器将所述至少两个聚合器的所述关于所识别出的异常的信息聚合(604)。
7.根据上述权利要求中任一项所述的方法,其特征在于,接口尤其是向后端装置传送(609)所识别出的异常和/或尤其是从后端装置接收到指示。
8.根据上述权利要求中任一项所述的方法,其特征在于,由如下检测器分析在所述通信网络(100)的至少一个子网络之内的控制设备之间的所述数据流:所述检测器布置在所述控制设备中的一个控制设备上;和/或由布置在网关(101)或者控制设备(103,105)上的检测器分析在来自所述通信网络(100)的不同的子网络的控制设备之间的所述数据流,所述不同的子网络经由所述网关或者所述控制设备相互连接。
9.根据上述权利要求中任一项所述的方法,其特征在于,至少一个检测器(125a,125b;126a,...,126d)和/或至少一个聚合器在所述通信网络的至少一个子网络之内实施为分布于多个控制设备上,和/或实施为分布于至少一个控制设备和至少一个网关(101)上。
10.根据上述权利要求中任一项所述的方法,其特征在于,所述执行器中的一个执行器经由所述通信网络将对于至少一个对策的指示发送给多个其他执行器。
11.一种计算机程序,其设立为,当所述计算机程序在计算机上实施时,实施根据上述权利要求中任一项所述的方法。
12.一种机器可读的存储介质,在所述机器可读的存储介质上存储有根据权利要求11所述的计算机程序。
13.一种用于处理尤其是机动车的通信网络中的异常的设备,其特征在于,至少一个检测器(124,125,126)设立为,分析所述通信网络中的数据流,其中所述至少一个检测器(124,125,126)设立为,当针对所述数据流的数据包的至少一个参数偏离期望值时,通过基于规则的异常识别方法识别出至少一个异常,其中所述至少一个检测器(124,125,126)设立为经由所述通信网络发送关于至少一个所识别出的异常的信息。
14.根据权利要求13所述的设备,其特征在于,其中至少一个执行器设立为,经由所述通信网络接收到关于至少一个由所述检测器(124,125,126)所识别出的异常的信息,并且其中所述至少一个执行器(135,...,140)设立为,与所述关于至少一个由所述检测器(124,125,126)所识别出的异常的信息有关地,触发至少一个用于处理所述异常的对策。
15.根据权利要求12或者13所述的设备,其特征在于,至少一个聚合器设立为,从至少一个检测器(124,125,126)接收到关于至少一个所识别出的异常的信息,并且经由所述通信网络向至少一个执行器(135,...,140)发送至少一个所识别出的异常。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102018209407.1 | 2018-06-13 | ||
| DE102018209407.1A DE102018209407A1 (de) | 2018-06-13 | 2018-06-13 | Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110602031A true CN110602031A (zh) | 2019-12-20 |
| CN110602031B CN110602031B (zh) | 2024-01-09 |
Family
ID=68724556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910505458.5A Active CN110602031B (zh) | 2018-06-13 | 2019-06-12 | 用于处理通信网络中的异常的方法和设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11228605B2 (zh) |
| CN (1) | CN110602031B (zh) |
| DE (1) | DE102018209407A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021137182A1 (en) * | 2019-12-31 | 2021-07-08 | Edgehawk Security Ltd. | Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks |
| DE102020204059A1 (de) | 2020-03-28 | 2021-09-30 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug |
| DE102020204053A1 (de) | 2020-03-28 | 2021-09-30 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug |
| DE102020204054A1 (de) | 2020-03-28 | 2021-09-30 | Robert Bosch Gesellschaft mit beschränkter Haftung | Vorrichtung zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug |
| DE102020204057A1 (de) | 2020-03-28 | 2021-09-30 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug |
| DE102020204055A1 (de) | 2020-03-28 | 2021-09-30 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug |
| DE102020204058A1 (de) | 2020-03-28 | 2021-09-30 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug |
| DE102020204056A1 (de) | 2020-03-28 | 2021-09-30 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug |
| DE102020204052A1 (de) | 2020-03-28 | 2021-09-30 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug |
| US12273386B2 (en) * | 2021-11-12 | 2025-04-08 | Whitelint Global Pvt Ltd | Methods and system for providing security to Critical Systems connected to a computer network |
| DE102022206821A1 (de) | 2022-07-04 | 2024-01-04 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Testen eines Steuergeräts |
| DE102023213194A1 (de) | 2023-12-21 | 2025-06-26 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur paketbasierten Netzüberwachung in einem O-RAN-System |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105634552A (zh) * | 2014-11-24 | 2016-06-01 | 通用汽车环球科技运作有限责任公司 | 检测和分析车辆电力线通信网络中的异常的方法和系统 |
| CN106023586A (zh) * | 2015-03-28 | 2016-10-12 | 英特尔公司 | 用于检测车辆交通模式中的异常的技术 |
| US20170013005A1 (en) * | 2015-06-29 | 2017-01-12 | Argus Cyber Security Ltd. | System and method for consistency based anomaly detection in an in-vehicle communication network |
| CN107077782A (zh) * | 2014-08-06 | 2017-08-18 | 李宗志 | 自适应和/或自主交通控制系统和方法 |
| CN108028790A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 异常检测方法、异常检测装置及异常检测系统 |
| CN108028784A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 不正常检测方法、监视电子控制单元以及车载网络系统 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9009084B2 (en) * | 2002-10-21 | 2015-04-14 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
| JP5904163B2 (ja) * | 2013-06-19 | 2016-04-13 | 株式会社オートネットワーク技術研究所 | 接続検出装置及び車載中継装置 |
| US20150200964A1 (en) * | 2014-01-13 | 2015-07-16 | Safe Frontier Llc | Method and apparatus for advanced security of an embedded system and receptacle media |
| US20160155098A1 (en) * | 2014-12-01 | 2016-06-02 | Uptake, LLC | Historical Health Metrics |
| EP3281491B1 (en) * | 2015-04-08 | 2023-06-14 | Defence Innovations IP Pty Ltd. | A wireless sensor system for a vehicle and remote management system |
| JP6228962B2 (ja) * | 2015-11-09 | 2017-11-08 | 矢崎総業株式会社 | 照明制御装置 |
| JP6578224B2 (ja) * | 2016-02-22 | 2019-09-18 | ルネサスエレクトロニクス株式会社 | 車載システム、プログラムおよびコントローラ |
| US10249103B2 (en) * | 2016-08-02 | 2019-04-02 | Centurylink Intellectual Property Llc | System and method for implementing added services for OBD2 smart vehicle connection |
| US11055615B2 (en) * | 2016-12-07 | 2021-07-06 | Arilou Information Security Technologies Ltd. | System and method for using signal waveform analysis for detecting a change in a wired network |
| DE102017210787A1 (de) | 2017-06-27 | 2018-12-27 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk |
| DE102017213119A1 (de) | 2017-07-31 | 2019-01-31 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk |
| EP3668756B1 (en) * | 2017-08-17 | 2023-08-02 | Red Bend Ltd. | Systems and methods for disabling a malicious ecu in a controller area network (can) bus |
| US20190056707A1 (en) * | 2017-08-18 | 2019-02-21 | The Boeing Company | Methods and Systems for Controlling Operation of Equipment Based on Biometric Data |
| WO2019116054A1 (en) * | 2017-12-15 | 2019-06-20 | GM Global Technology Operations LLC | Ethernet network-profiling intrusion detection control logic and architectures for in-vehicle controllers |
| JP7048008B2 (ja) * | 2018-03-22 | 2022-04-05 | 東芝デジタルソリューションズ株式会社 | 混載輸送方法および混載ターミナル |
| US12101338B2 (en) * | 2018-06-08 | 2024-09-24 | Nvidia Corporation | Protecting vehicle buses from cyber-attacks |
-
2018
- 2018-06-13 DE DE102018209407.1A patent/DE102018209407A1/de active Pending
-
2019
- 2019-05-29 US US16/424,889 patent/US11228605B2/en active Active
- 2019-06-12 CN CN201910505458.5A patent/CN110602031B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107077782A (zh) * | 2014-08-06 | 2017-08-18 | 李宗志 | 自适应和/或自主交通控制系统和方法 |
| CN105634552A (zh) * | 2014-11-24 | 2016-06-01 | 通用汽车环球科技运作有限责任公司 | 检测和分析车辆电力线通信网络中的异常的方法和系统 |
| CN106023586A (zh) * | 2015-03-28 | 2016-10-12 | 英特尔公司 | 用于检测车辆交通模式中的异常的技术 |
| US20170013005A1 (en) * | 2015-06-29 | 2017-01-12 | Argus Cyber Security Ltd. | System and method for consistency based anomaly detection in an in-vehicle communication network |
| CN108028790A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 异常检测方法、异常检测装置及异常检测系统 |
| CN108028784A (zh) * | 2016-01-08 | 2018-05-11 | 松下电器(美国)知识产权公司 | 不正常检测方法、监视电子控制单元以及车载网络系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190387010A1 (en) | 2019-12-19 |
| DE102018209407A1 (de) | 2019-12-19 |
| CN110602031B (zh) | 2024-01-09 |
| US11228605B2 (en) | 2022-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110602031B (zh) | 用于处理通信网络中的异常的方法和设备 | |
| US11479263B2 (en) | Automotive network switch with anomaly detection | |
| Antao et al. | Requirements for testing and validating the industrial internet of things | |
| Meshram et al. | Anomaly detection in industrial networks using machine learning: a roadmap | |
| US7284162B2 (en) | Agent based router monitoring, diagnostic and maintenance | |
| US9813448B2 (en) | Secured network arrangement and methods thereof | |
| CN104850093B (zh) | 用于监控自动化网络中的安全性的方法以及自动化网络 | |
| WO2017083024A1 (en) | Methods, systems, and computer readable media for testing network function virtualization (nfv) | |
| US20200220846A1 (en) | Automation and/or Communications Appliance and Method for Checking Datagrams Transmitted in An Industrial Automation System | |
| CN112217785B (zh) | 用于在通信网络中的异常识别的设备和方法 | |
| EP2041920A2 (en) | Electronic device, system on chip and method of monitoring data traffic | |
| CN110933021A (zh) | 用于在车辆中进行异常识别的方法和设备 | |
| CN111327587A (zh) | 用于运行通信网络的方法和设备 | |
| CN106464520B (zh) | 对网络中的有故障的节点的检测 | |
| US20170026341A1 (en) | Automation network and method for monitoring the security of the transfer of data packets | |
| CN105610594A (zh) | 业务链的故障诊断方法及装置 | |
| Colelli et al. | Securing connection between IT and OT: the Fog Intrusion Detection System prospective | |
| CN105580323A (zh) | 通过网络过滤装置过滤数据包 | |
| Specht et al. | Cyberattack impact reduction using software-defined networking for cyber-physical production systems | |
| CN106972953A (zh) | 通信处理方法及装置 | |
| WO2014042636A1 (en) | Packet intrusion inspection in an industrial control network | |
| US20240146659A1 (en) | Collaborative telemetry engineering | |
| JP5402304B2 (ja) | 診断プログラム、診断装置、診断方法 | |
| TWI823161B (zh) | 用於在機動車輛中監測資料網路之方法,以及切換裝置和機動車輛 | |
| CN111988233B (zh) | 用于监控通信网络中的数据交换的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |