[go: up one dir, main page]

DE102017208547A1 - Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff - Google Patents

Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff Download PDF

Info

Publication number
DE102017208547A1
DE102017208547A1 DE102017208547.9A DE102017208547A DE102017208547A1 DE 102017208547 A1 DE102017208547 A1 DE 102017208547A1 DE 102017208547 A DE102017208547 A DE 102017208547A DE 102017208547 A1 DE102017208547 A1 DE 102017208547A1
Authority
DE
Germany
Prior art keywords
network
transmission
message
fingerprint
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017208547.9A
Other languages
English (en)
Inventor
Hans LOEHR
Robert Szerwinski
Paulius Duplys
Rene GUILLAUME
Sebastien Leger
Clemens Schroff
Herve Seudie
Christopher Huth
Marcel Kneib
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017208547.9A priority Critical patent/DE102017208547A1/de
Priority to US15/967,157 priority patent/US20180337938A1/en
Priority to KR1020180056103A priority patent/KR102601578B1/ko
Priority to CN201810479181.9A priority patent/CN108965235A/zh
Publication of DE102017208547A1 publication Critical patent/DE102017208547A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/627Controller area network [CAN] identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Power Engineering (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Es wird ein Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff vorgeschlagen, bei welchem für eine Nachricht in dem Netzwerk erste Charakteristika einer ersten Übertragung der Nachricht bestimmt werden und durch einen Vergleich der ersten Charakteristika mit mindestens einem Fingerabdruck mindestens eines Teilnehmers oder eines Segments des Netzwerks oder einer Übertragungsstrecke eine Herkunft der Nachricht in dem Netzwerk festgestellt wird. Falls eine Manipulation der Nachricht erkannt wird, wird ein Angriffspunkt des Cyberangriffs im Netzwerk erkannt und insbesondere anhand der Herkunft der Nachricht lokalisiert.

Description

  • Technisches Gebiet
  • Vorgestellt werden Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff, hierzu eingerichtete Netzwerkteilnehmer sowie ein hierzu eingerichtetes Computerprogramm.
  • Stand der Technik
  • Aus der WO2012/159940 A2 ist ein Verfahren bekannt, einen Fingerabdruck zur Charakterisierung eines Fahrzeugnetzwerks heranzuziehen, um eine Manipulation des Fahrzeugnetzwerks feststellen zu können. Der Fingerabdruck wird dabei insbesondere aus einer Netzwerkkonfiguration gewonnen.
  • Die EP 2 433 457 B1 beschreibt ein Sicherheitssystem für Fahrzeuge sowie Methoden zur Eindringerkennung (Intrusion Dectection) sowie Maßnahmen zur Reaktion, falls ein entsprechender Cyberangriff festgestellt wird.
  • Offenbarung der Erfindung
  • Es werden Verfahren vorgeschlagen, mit denen der Schutz eines Netzwerkes erhöht wird, indem ein Cyberangriff auf das Netzwerk anhand einer Übertragung im Netzwerk erkannt und insbesondere lokalisiert werden kann. Dazu werden Charakteristika der Übertragung mit mindestens einem Fingerabdruck verglichen. Der Fingerabdruck geht dabei zurück auf zuvor bestimmte Charakteristika der Übertragung. Dabei handelt es sich vorzugsweise um analoge Charakteristika. Der derart erstellte Fingerabdruck ist aber vorzugsweise digitalisiert. Die Lokalisierung erfolgt vorzugsweise für einen Netzwerkteilnehmer, ein Netzwerksegment oder eine Übertragungsstrecke des Netzwerks. Ein Netzwerk oder ein Teilnehmer eines Netzwerks sind eingerichtet, die beschriebenen Verfahren durchzuführen, indem sie über elektronische Speicher- und Rechenressourcen verfügen, die Schritte eines entsprechenden Verfahrens auszuführen. Auf einem Speichermedium eines solchen Teilnehmers oder auf den verteilten Speicherressourcen eines Netzwerks kann auch ein Computerprogramm abgelegt sein, dass dazu eingerichtet ist, alle Schritte eines entsprechenden Verfahrens auszuführen, wenn es in dem Teilnehmer oder in dem Netzwerk abgearbeitet wird.
  • Die vorgeschlagenen Verfahren ermöglichen eine verbesserte Erkennung von Cyberangriffen und durch eine Lokalisierung des Angriffspunktes eines Cyberangriffes auf das Netzwerk eine gezieltere Reaktion auf den Angriff. Wird der herangezogene Fingerabdruck anhand eines Modells (z.B. umfassend einen Lernalgorithmus, ein neuronales Netz, ein stochastisches Modell oder ein datenbasiertes Modell) aus geeigneten Charakteristika einer Übertragung bestimmt, so kann das Verfahren besonders zuverlässig und robust gestaltet werden.
  • Als weitere Vorteile der vorgeschlagenen Verfahren sind hierfür keine zusätzlich übertragenen Daten nötig, wodurch es auch keinen negativen Einfluss auf Echtzeitanforderungen des Netzwerks gibt. Ein Angreifer außerhalb des Netzwerks kann die physikalischen Charakteristika der Übertragung nicht verändern, da diese sich aus Hardwareeigenschaften des Netzwerks und seiner Komponenten ergeben und damit höheren Softwareschichten nicht zugänglich sind.
  • In bevorzugten Ausgestaltungen umfassen die herangezogenen Charakteristika der Übertragung physikalische Eigenschaften des Netzwerks, von Übertragungskanälen oder Übertragungsmedien des Netzwerks wie Kabeln, Koppelnetzwerke, Filterschaltungen oder Anschlussstellen, der Teilnehmerhardware, insbesondere von Transceivern oder Mikrocontrollern, einer Topologie des Netzwerks oder von Netzabschlüssen oder Abschlusswiderständen, eine Länge übertragener Nachrichtenbits, einen Jitter der Übertragung, eine Stromflussrichtung der Übertragung, einen inneren Widerstand eines Netzwerkteilnehmers während der Übertragung, eines Spannungsverlaufs während der Übertragung, Frequenzanteile der Übertragung oder einen Uhrenversatz oder Zeitpunkte einer Übertragung.
  • Werden mehrere dieser Charakteristika herangezogen, so kann das Verfahren besonders zuverlässig einen Angriff erkennen sowie einen Angriffspunkt im Netzwerk lokalisieren. Eine Manipulation der Lokalisierung wird deutlich erschwert. Es wird insbesondere einer erfolgreich angegriffenen Sendeeinheit erschwert, sich als eine andere Sendeeinheit auszugeben.
  • In einer besonders bevorzugten Ausgestaltung des Verfahrens wird die Fehlerbehandlung bei erkannter Manipulation gezielt für einen lokalisierten Netzwerkteilnehmer, ein lokalisiertes Netzwerksegment oder für eine lokalisierte Übertragungsstrecke des Netzwerks durchgeführt. Dazu können insbesondere der lokalisierte Netzwerkteilnehmer, das lokalisierte Netzwerksegment oder die lokalisierte Übertragungsstrecke im Netzwerk in der Funktion eingeschränkt oder deaktiviert werden, über ein deaktiviertes Gateway aus dem Netzwerk ausgeschlossen werden oder von ihnen kommende Nachrichten nicht übertragen oder verworfen werden.
  • Durch gezielte Schaltungstechnik oder Hardwareauswahl oder Manipulation von Komponenten des Netzwerks können die herangezogenen Charakteristika auch ins Netzwerk eingebracht oder im Netzwerk verstärkt werden. Hierdurch kann die Zuverlässigkeit der Erkennung und Lokalisierung eines Angriffspunktes weiter erhöht werden.
  • Figurenliste
  • Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegende Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen
    • 1 schematisch ein beispielhaftes Netzwerk mit mehreren Netzwerkteilnehmer,
    • 2 einen schematischen Ablauf eines beispielhaften Verfahrens zum Schutz eines Netzwerks vor einem Cyberangriff,
    • 3 und 4 schematisch weitere beispielhafte Netzwerke mit mehreren Netzwerkteilnehmern,
    • 5 und 6 schematisch jeweils einen beispielhaften Aufbau eines Netzwerkteilnehmers mit einer Überwachungseinheit.
  • Beschreibung der Ausführungsbeispiele
  • Die vorliegende Erfindung bezieht sich auf ein Verfahren zum Schutz eines Netzwerks vor einem Cyberangriff bzw. zur Lokalisierung eines Angriffspunktes eines solchen Cyberangriffes im Netzwerk.
  • Die Sicherheit von Netzwerken allgemein und speziell von Netzwerken in Fahrzeugen gegen Cyberangriffe wird immer wichtiger. Gerade für vernetzte und automatisierte Fahrzeuge werden solche Angriffe relevanter. Forscher konnten erfolgreiche Remote-Angriffe auf Fahrzeug-Steuergeräte demonstrieren. Dadurch wird es Angreifern möglich Steuerungsfunktionen im Fahrzeug zu übernehmen, indem Nachrichten über die erfolgreich angegriffenen Steuergeräte in ein Fahrzeugnetzwerk eingespielt werden.
  • Zum einen ist es wichtig, einen Angriff auf ein Netzwerk zu erkennen und die dadurch eingespielten schädlichen Nachrichten zu identifizieren. Zum anderen ist es ebenfalls bedeutend, den Ursprung des Angriffs, also den angegriffenen Netzwerkteilnehmer oder zumindest das angegriffene Netzwerksegment zu identifizieren, u.a. um gezielte Gegenmaßnahmen einleiten zu können. Wird eine Nachricht als bösartig identifiziert, so soll nun anhand digitaler oder analoger Charakteristika der Übertragung der Nachricht erkannt werden, von welchem Netzwerkteilnehmer bzw. aus welchem Netzwerksegment die Nachricht kommt.
  • Hierzu sollen physikalische Eigenschaften des Netzwerks, beispielsweise von Netzwerkteilnehmern (bzw. deren Transceiver oder Mikrocontroller), statischer Einflüsse der Netzwerktopologie (insbesondere von Kabeln und Verbindungselementen) oder von Abschlusswiderständen dazu verwendet werden die Herkunft einer Nachricht im Netzwerk festzustellen. Werden aus diesen physikalischen Eigenschaften Charakteristika geeignet bestimmt, anhand derer zu einer Übertragung deren Herkunft festgestellt werden kann, so ist es einem entfernten Angreifer kaum möglich diese zu beeinflussen, ganz im Gegensatz zu Nachrichteninhalten einschließlich Absenderadressen etc. In einer weiteren Ausprägung können solche Charakteristika auch gezielt in das System eingebracht werden, zum Beispiel durch die Auswahl, die Zusammenstellung oder die gezielte Manipulation von Hardwarekomponenten des Netzwerks. Solche gezielten Charakteristika können so gewählt werden, dass sie unterscheidungskräftiger sind und die entsprechenden physikalischen Fingerabdrücke einfacher, eindeutiger oder robuster den entsprechenden Netzwerkteilnehmern oder Netzwerksegmenten zugeordnet werden können.
  • Dabei können die Fingerabdrücke
    • - ein Netzwerk oder Teilnetzwerk als Ganzes charakterisieren bzw. authentifizieren,
    • - einen bestimmten Übertragungsweg oder Übertragungskanal im Netzwerk charakterisieren bzw. authentifizieren oder
    • - individuelle Netzwerkteilnehmer (z.B. Steuergeräte in einem Fahrzeugnetzwerk oder Gateways eines Netzwerks) charakterisieren bzw. authentifizieren.
  • In einem System können Fingerabdrücke dieser drei verschiedenen Ausprägungen auch gemeinsam eingesetzt werden.
  • In 1 ist als beispielhaftes Netzwerk ein Bus 1 mit Abschlusswiderständen 10 und 11 gezeigt. An den Bus 1 angeschlossen sind als Netzwerkteilnehmer eine ECU 101, eine ECU 102 sowie ein Netzwerkwächter bzw. eine Netzwerküberwachungseinheit 103. Der Netzwerkwächter 103 verfügt vorzugsweise über Sende- und Empfangsmittel, Nachrichten des Bus 1 zu empfangen sowie Nachrichten auf den Bus 1 zu senden. Zudem verfügt er vorzugsweise über Auswertemittel, physikalische Charakteristika einer Übertragung einer Nachricht auf dem Bus zu bestimmen, sowie über eine Recheneinheit, um mit einem Modell aus den bestimmten Charakteristika und vorbestimmten Fingerabdrücken eine Herkunft der Nachricht zu ermitteln.
  • In 2 ist ein beispielhafter Ablauf eines Verfahrens zum Schutz eines Netzwerks gegen Cyberangriffe gezeigt. Zunächst wird in einem ersten Schritt 201 insbesondere mittels eines Modells ein physikalischer Fingerabdruck erstellt. Das kann über Messungen der nötigen physikalischen Charakteristika mit externen Messgeräten erfolgen (zum Beispiel einem Oszilloskop), insbesondere in einer sicheren Umgebung (zum Beispiel im Werk). Alternativ können auch mit internen Messvorrichtungen physikalische Charakteristika bestimmt werden (z.B. mit Mitteln eines Netzwerkteilnehmers, z.B. eines Steuergeräts an einem Fahrzeugnetz, oder in Messvorrichtungen eines Netzwerkknotens speziell für die Netzwerküberwachung). Alternativ dazu können Modell bzw. Fingerabdrücke auch von extern empfangen und abgespeichert werden, z.B. von einem Internetserver.
  • Das Modell kann auf verschiedene Arten angelernt werden bzw. die Fingerabdrücke bestimmen. Zum Beispiel kann ein bestimmtes Prüfmuster im Netzwerk übertragen werden, welches insbesondere unkorreliert zu anderen auf dem Bus erwarteten Nachrichten sein kann. Alternativ können die Fingerabdrücke auch anhand während des normalen Betriebs des Netzwerks übertragener regulärer Nachrichten oder aus Teilen dieser Nachrichten bestimmt werden. Auch können bestimmte Netzwerkteilnehmer per Nachricht dazu aufgefordert werden, auf bestimmte Art zu antworten, und anhand der Übertragung der bestimmten Antworten Fingerabdrücke bestimmt werden. Optimalerweise werden die Fingerabdrücke mittels des Modells auf Basis der gemessenen physikalischen Charakteristika wiederholter und unterschiedlicher Übertragungen angelernt, um später anhand der Fingerabdrücke eine robuste Authentifizierung zu ermöglichen.
  • Vorzugsweise werden für die Erstellung der Fingerabdrücke eine Sprungantwort oder eine Impulsantwort eines Netzwerks auf eine Übertragung ausgenutzt. Damit können insbesondere auch die auftretenden Reflektionen im System beschrieben werden, welche aus der Struktur des Netzwerks, seiner Übertragungsmittel, seiner Widerstände und seiner angeschlossenen Hardwareelemente resultieren. Ein Testimpuls kann hierbei von einem gewöhnlichen Teilnehmer oder von einem speziellen Testteilnehmer erzeugt werden. Der Testimpuls kann hierbei aus einem oder einer beliebigen Anzahl von Pegelwechsel bestehen, bei denen die Zeiten zwischen den Pegelwechsel bestimmt oder unbestimmt sind. Auch ist es denkbar, dass das Netzwerk hierfür in einen speziellen Lernmodus versetzt wird, während dessen beispielsweise keine normale Datenübertragung stattfindet. Der Sender des Testimpulses kann zur Erzeugung des Testimpulses über spezielle Module aus HW und/oder SW verfügen.
  • Für ein CAN-Netzwerk könnte ein Fingerabdruck beispielsweise bestimmt werden, indem nur eine der CAN-High- und CAN-Low-Leitungen gemessen wird (Messung gegen Masse). Das wäre mit relativ niedrigem Messaufwand verbunden. Alternativ können auch die Fingerabdrücke aus der Messung beider erstellt werden, oder es kann auch das differentielle Signal herangezogen werden. Hierdurch könnten hochwertigere Fingerabdrücke bestimmt werden.
  • Im Schritt 202 liegt ein valides Modell bzw. liegen valide Fingerabdrücke vor, so dass Kommunikation im Netzwerk in Schritt 203 durch Vergleich mit dem Modell bzw. den Fingerabdrücken auf ihre Herkunft überprüft werden kann. Konkret bestimmt werden können in diesem Schritt einzelne Nachrichten und deren Inhalte (z.B. einzelne Nachrichtenrahmen auf einem CAN-Bus oder einzelne Bits innerhalb eines solchen Rahmens), die Übertragungszeitpunkte, Muster höherer Ordnung im Nachrichtenverkehr eines oder mehrere Übertragungsteilnehmer (insbesondere Transceiver) und die physikalischen Charakteristika der Übertragung. Mit diesen Informationen können schädliche oder unerwartete Nachrichten identifiziert werden und als (mutmaßliche) Nachrichten aufgrund eines Cyberangriffs erkannt werden. Durch einen Vergleich der bestimmten physikalischen Charakteristika mit dem angelernten Modell bzw. den ermittelten Fingerabdrücken kann zudem, insbesondere für solche Nachrichten, die Herkunft der Nachricht bestimmt, und damit ein Cyberangriff identifiziert oder ein Angriffspunkt des Cyberangriffs bestimmt werden. Letzteres ermöglicht wiederrum eine gezielte Reaktion auf den Angriff am Angriffspunkt.
  • Die Ermittlung und Auswertung der Daten in Schritt 203 kann durch einzelne Netzwerkteilnehmern, z.B. von einzelnen Steuergeräten eines Fahrzeugnetzes erfolgen. Alternativ können auch separat vorgesehene Überwachungseinheiten als Netzwerkteilnehmer hierzu eingesetzt werden. Einzelne Eigenschaften, z.B. Übertragungszeitpunkte aber auch weitere physikalische Charakteristika, können ohne spezielle Hardware erfasst werden. Für andere Eigenschaften, vor allem im gewünschten Detailgrad, ist zusätzliche Hardware in den Einheiten sinnvoll. Daher ist es vorzugsweise sinnvoll, einzelnen Netzwerkteilnehmer die Erfassung und Auswertung zu übertragen und diese entsprechend auszustatten. Diese können auch über zusätzliche Absicherungsmechanismen verfügen, z.B. ein TPM (Trusted Platform Module). Die Auswertung der Daten kann auch kooperativ durch mehrere Netzwerkteilnehmer erfolgen.
  • Die Erfassung und Auswertung der Daten kann periodisch oder dynamisch, insbesondere zur Reduzierung des benötigten Speicherplatzes bei festgestelltem Bedarf, stattfinden. Eine Speicherung der Daten ermöglicht es, auch für vergangene Nachrichten eine Analyse der Herkunft durchzuführen, falls ein Verdacht auf einen erfolgten Cyberangriff auf das Netzwerk besteht. Für eine möglichst schnelle Reaktion auf Angriffe sind Echtzeiterfassung und -berechnung optimal.
  • Die erfassten Daten können in jedem Steuergerät einzeln, in einem oder mehreren Netzwerküberwachungseinheiten oder auch Netzwerk-extern gespeichert werden. In einer vorteilhaften Ausgestaltung werden die Daten an verschiedenen Stellen abgespeichert, um einen Angriff auf die Daten zu erschweren. Im Fall eines Fahrzeugnetzwerks können die Daten auch Fahrzeug-extern, z.B. auf einem Server gespeichert werden. Das hat den Vorteil, dass auch für andere Fahrzeuge oder von einer übergeordneten Stelle eine Auswertung und Reaktion erfolgen kann sowie dass die Daten bei einem Cyberangriff auf das Fahrzeug nicht (ohne weiteres) Gegenstand des Angriffes sein können.
  • Wird eine Nachricht in Schritt 203 als unbedenklich eingestuft, wird zu Schritt 204 verzweigt und die Nachricht kann ohne Gegenmaßnahmen im Netzwerk übertragen und ausgewertet werden. Von Schritt 204 kann in Schritt 202 verzweigt werden und für weitere Nachrichtenübertragungen eine Datenerfassung und eine Analyse erfolgen. Zusätzlich oder alternativ können nach einer Verzweigung zu Schritt 207 die erfassten Daten dazu verwendet werden, das Modell bzw. die Fingerabdrücke anzupassen bzw. zu verfeinern. Dies kann auch dazu beisteuern, dass potentielle Angriffe erkannt werden, bei denen die einzelnen Nachrichten nicht schädlich sind, aber in ihrer Gesamtheit sehr wohl schädlich sein können. Das kann sinnvoll sein, da sich physikalische Charakteristika auch über die Zeit ändern können, z.B. aufgrund von Alterungseffekten. Von Schritt 207 wird dann wieder in Schritt 201 verzweigt.
  • Wird eine Nachricht als bedenklich, also als Teil eines Cyberangriffs gewertet wird aus Schritt 203 in Schritt 205 verzweigt. Dort werden geeignete Gegenmaßnahmen bzw. Reaktionen angestoßen. In einer besonders bevorzugten Ausgestaltung werden die Gegenmaßnahmen bzw. Reaktionen auf Basis der erkannten Herkunft der Nachricht hin speziell angepasst.
  • Als Reaktion kann in Schritt 206 eine weitere Übertragung (insbesondere bei einer Echtzeitreaktion) oder zumindest eine weitere Auswertung einer Nachricht verhindert werden, z.B. indem auf einen Nachrichtenkanal dominante Signale gesendet werden (die die Nachricht unleserlich oder zumindest fehlerhaft machen, z.B. durch Überschreiben einer Prüfungssequenz) oder direkt im Anschluss an die Nachricht einen Fehlerrahmen versendet wird. Diese Reaktionen können auch abhängig davon gestaltet werden, woher die Nachricht kam.
  • Als weitere Gegenmaßnahme können in Schritt 206 alternativ oder zusätzlich auch (mutmaßlich) korrumpierte Netzwerkteilnehmer aus dem Netzwerk entfernt werden (insbesondere deaktiviert werden), insbesondere der Netzwerkteilnehmer, welcher als Sender der Nachricht identifiziert wurde, bzw. Netzwerkteilnehmer aus dem Netzwerksegment, das als Herkunft der Nachricht identifiziert wurde. Ebenso können Übertragungsstrecken gesperrt werden, über welche die Nachricht übertragen wurde. Es können des Weiteren auch Nachrichten durch Gateways zwischen bestimmten Netzwerken oder Netzwerksegmenten geblockt werden, um ein Übergreifen eines Angriffs auf benachbarte oder zusätzliche Netzwerke oder Netzwerksegmente zu vermeiden.
  • Das Netzwerk in einem Fahrzeug kann beispielsweise in logisch und / oder physikalisch getrennte Segmente unterteilt werden. Zum Beispiel kann das Netzwerksegment, an welches eine Head Unit des Fahrzeugs angeschlossen ist, über ein Gateway von einem weiteren Netzwerksegment getrennt sein, wobei das weitere Netzwerksegment von sicherheitskritischen Steuergeräten (z.B. zur Motorsteuerung, für ABS- oder ESP-Funktionen) genutzt wird. Wird ein solches Gateway, welches zwei Netzwerksegmente trennt, über Charakteristika der Übertragung bzw. entsprechende Fingerabdrücke als Quelle einer Nachricht in einem der Segmente identifiziert, welche nicht von einem Angreifer über Software manipulierbar sind, so können gezielt Nachrichten von diesem Gateway (und damit aus dem anderen Netzwerksegment) verworfen werden oder es kann gleich das Gateway selbst deaktiviert werden. So kann ein sicherheitskritisches Netzwerksegment von den Auswirkungen eines Angriffs auf ein anderes Netzwerksegment geschützt werden.
  • Eine weitere Gegenmaßnahme in Schritt 206 könnte auch das Abschalten der vermeintlichen Empfänger der Nachricht sein. Denkbar wäre hierbei neben einer kompletten Deaktivierung auch ein Umschalten auf einen Betriebsmodus mit reduzierter Funktionalität, z.B. in einen Notlauf-Betrieb.
  • Schließlich können alternativ oder zusätzlich auch Warnsignale oder Fehlerberichte innerhalb des Netzwerks oder nach Netzwerk-extern übertragen werden, welche den erkannten Angriff und vorzugsweise die ermittelte Herkunft enthalten.
  • Im folgenden Schritt 207 können wiederum das Modell bzw. die Fingerabdrücke auf Basis der erfassten und ausgewerteten Daten angepasst bzw. verfeinert werden.
  • Wie beschrieben können die genannten Verfahren durch verschiedene Konstellationen an Netzwerkteilnehmern durchgeführt werden. Während in 1 eine separate Busüberwachungseinheit 103 gezeigt ist, welche allein oder gemeinsam mit den Netzwerkteilnehmern 101 und 102 die beschriebenen Verfahren durchführen, ist in 3 eine alternative Konfiguration gezeigt. Dabei ist ein Bus 3 mit Abschlusswiderständen 30 und 31 gezeigt sowie zwei Netzwerkteilnehmer 301 und 302. Im Gegensatz zu Netzwerkteilnehmer 301 verfügt Netzwerkteilnehmer 302 um eine zusätzliche Hardwarekomponente 3021 zur Unterstützung oder Durchführung der vorgeschlagenen Verfahren. Dazu verfügt die Hardwarekomponente über zusätzliche Messvorrichtungen zur Messung physikalischer Charakteristika einer Übertragung im Netzwerk und / oder über eine zusätzliche Auswerteeinheit zur Analyse der erfassten Daten. Die Messvorrichtung wie auch die Auswerteeinheit kann teilweise oder auch vollständig aus einer Recheneinheit bestehen.
  • In 4 ist eine vergleichbare Hardwarekomponente 4011 in den Netzwerkteilnehmer 401 integriert. Allerdings ist Netzwerkteilnehmer 401 hier ein Domänensteuergerät, welches an ein Netzwerk-Backbone 4 angeschlossen ist. Gateways 402 bzw. 403 verbinden die Netzwerk-Backbone mit den Netzwerksegmenten bzw. Netzwerken 41 bzw. 42. An die Netzwerke 41 bzw. 42 sind die Netzwerkteilnehmer 411 und 412 bzw. 421 und 422 angeschlossen. Das Domänensteuergerät kann nun allein oder in Kombination mit den anderen Netzwerkteilnehmern einen Angriff feststellen und lokalisieren und entsprechende Gegenmaßnahmen einleiten. Dazu gehören vorzugsweise die Sperrung von Nachrichten aus einem Netzwerk oder Netzwerksegment über eines der Gateways.
  • In den 5 und 6 sind bevorzugte Ausgestaltungen gezeigt, wie eine Hardwarekomponente zur Durchführung oder Unterstützung der vorgeschlagenen Verfahren in einen Netzwerkteilnehmer integriert werden können.
  • Dabei zeigt 5 als Netzwerkteilnehmer auszugsweise ein Steuergerät 5 gezeigt umfassend einen Mikrocontroller 510 sowie einen CAN-Transceiver 520. Der Mikrocontroller 510 umfasst eine CPU 511, einen Speicher 512, einen CAN-Controller 513 sowie einen Sicherheitsbaustein 514 (z.B. ein Hardware-Security-Modul, d.h. ein Modul mit abgesichertem Speicher und separater abgesicherter Recheneinheit), welche jeweils mit einer internen Kommunikationsleitung 51 verbunden sind (Host-Interface). Der Sicherheitsbaustein 514 ist zudem auch mit einer zusätzlichen sicheren Kommunikationsverbindung 52 verbunden (Secure Interface). In dieser Ausgestaltung umfasst der Mikrocontroller 510 als Hardwarekomponente zur Durchführung oder Unterstützung der vorgeschlagenen Verfahren eine Überwachungseinheit 515, welche ebenfalls mit der sicheren Kommunikationsverbindung 52 verbunden ist. Eine Empfangsleitung (CAN-Rx) von Seiten des CAN-Transceivers 520 führt von diesem jeweils zu dem CAN-Controller 513 und dem Überwachungsbaustein 515. Eine Sendeleitung (CAN-Tx) in Richtung des CAN-Transceivers 520 führt jeweils von dem CAN-Controller 513 und dem Überwachungsbaustein 515 über einen gemeinsamen UND-Block (&) zum CAN-Transceiver 520. Der CAN-Transceiver 520 ist mit einem CAN-Bus verbunden (CAN-H, CAN-L).
  • 6 zeigt in einer alternativen Ausgestaltung als Netzwerkteilnehmer ebenfalls auszugsweise ein Steuergerät 6 gezeigt umfassend einen Mikrocontroller 610 sowie einen CAN-Transceiver 620. Der Mikrocontroller 610 umfasst eine CPU 611, einen Speicher 612, einen CAN-Controller 613 sowie einen Sicherheitsbaustein 614 (z.B. ein Hardware-Security-Modul, d.h. ein Modul mit abgesichertem Speicher und separater abgesicherter Recheneinheit), welche jeweils mit einer internen Kommunikationsleitung 61 verbunden sind (Host-Interface). Der Sicherheitsbaustein 614 ist zudem auch mit einer zusätzlichen sicheren Kommunikationsverbindung 62 verbunden (Secure Interface). Ebenfalls mit der sicheren Kommunikationsverbindung 62 verbunden ist ein SPI-Schnittstellenbaustein 615. In dieser Ausgestaltung umfasst der CAN-Transceiver 620 als Hardwarekomponente zur Durchführung oder Unterstützung der vorgeschlagenen Verfahren eine Überwachungseinheit 621, welche über die SPI-Schnittstelleneinheit 615 des Mikrocontrollers mit der sicheren Kommunikationsverbindung 62 des Mikrocontrollers verbunden ist. Eine Empfangsleitung (CAN-Rx) von Seiten der Empfangs- und Sendemittel 622 des CAN-Transceivers 620 führt von diesen jeweils zu dem CAN-Controller 613 und dem Überwachungsbaustein 621. Eine Sendeleitung (CAN-Tx) in Richtung der Empfangs- und Sendemittel 622 des CAN-Transceivers 620 führt jeweils von dem CAN-Controller 613 und dem Überwachungsbaustein 621 über einen gemeinsamen UND-Block (&) zu den Empfangs- und Sendemitteln 622, welche mit einem CAN-Bus verbunden sind (CAN-H, CAN-L).
  • Für die Manipulationserkennung können verschiedene Charakteristika herangezogen werden.
  • Beispielsweise kann die Länge der übertragenen Bits, bzw. die Länge der Pegel auf der Netzwerkleitung ermittelt und ausgewertet werden. In günstigen Implementierungen ist der tatsächliche Messpunkt zur Erfassung des Pegels z.B. bei ca. ¾ der nominalen Bitlänge definiert. Dies macht es möglich, dass Bits in ihrer Länge schwanken können und trotzdem zuverlässig erkannt werden. Diese Schwankungen (Jitter) können für jeden Baustein individuell sein und können daher als Charakteristika ausgewertet werden. Auch können derartige Schwankungen durch Auswahl oder Manipulation der Hardware des Netzwerks oder eines Netzwerkteilnehmers gezielt in das Netzwerk eingebracht werden, um die Herkunft einer Nachricht besser identifizierbar zu machen.
  • Haben beispielsweise die Steuergeräte an einem kritischen Bus eine relativ lange „1“, ein Gateway an demselben kritischen Bus aber eine relativ kurze „1“, so kann daran unterschieden werden, ob eine Nachricht von einem der Steuergeräte oder über das Gateway an den kritischen Bus gekommen ist. Als Reaktion könnte beispielsweise in letzterem Fall das Gateway deaktiviert werden, aber die Kommunikation der Steuergeräte am Bus aufrechterhalten werden.
  • Eine unterschiedliche Bitlänge kann beispielsweise aus Hardwareeigenschaften eines Transceivers, aus Kabeleigenschaften oder aus beidem resultieren. Für einen Transceiver kann z.B. eine Asymmetrie in den eingebauten Kapazitäten oder in den Kapazitäten der elektrischen Leitungen für die Asymmetrie der Bitlänge verantwortlich sein.
  • Statt lediglich die Bitlänge an sich zu betrachten, könnte man auch das Verhältnis zwischen rezessiven und dominanten Bitanteilen als Charakteristika heranziehen.
  • Als weitere Charakteristika für einen Fingerabdruck oder die Erstellung eines Modells bieten sich die Jittereigenschaften von Übertragungen an. Jitter kann beispielsweise durch Reflexionen aufgrund unterschiedlichen Kabellängen im Zusammenspiel mit fehlerhafter Terminierung innerhalb einer Netzwerktopologie entstehen.
  • Auch die Flussrichtung einer Ladung über einer Kommunikationsverbindung des Netzwerks kann als Charakteristikum dienen. Wenn ein Signal übertragen wird, wird hierdurch auch ein Fluss von Elektronen bzw. ein Ladungsfluss bedingt. Wird die Richtung dieses Flusses im Zusammenhang mit seinem Pegel detektiert, kann unterschiedenen werden, von welcher Richtung aus ein Signal übertragen wurde. Die Detektion des Flusses geschieht vorzugsweise induktiv, zum Beispiel mit Hilfe einer Messspule. Denkbar wäre aber auch die Verwendung von Messwiderständen (Shunt).
  • Vorzugsweise werden hierzu zusätzliche Messstellen an einer Kommunikationsverbindungen des Netzwerkes vorgesehen. Der Ladungsfluss ist davon abhängig, welche Art von Signal (z.B. high oder low auf einem CAN-Bus) übertragen wird und wer das Signal aussendet (wer also Quelle und wer Senke ist).
  • Für die Unterscheidung verschiedener Signalquellen bei einer Übertragung kann auch der innere Widerstand der Quelle eine Rolle spielen. Z.B. kann auch gezielt eine Variation der inneren Widerstände von Netzwerkteilnehmern bzw. ihrer Komponenten erfolgen. Der innere Widerstand beeinflusst z.B. Spannungsverläufe und Ladungsflüsse.
  • Als ein weiteres Charakteristikum einer Übertragung wird der Spannungsverlauf über die Zeit vorgeschlagen. Grund für Variationen im Spannungsverlauf einer Übertragung zwischen verschiedenen Netzwerkteilnehmern oder Netzwerkbereichen können beispielsweise die jeweiligen Transceiver oder Kabelverbindungen sein (Übergangswiderstände, Impedanzen).
  • In einer weiteren bevorzugten Ausgestaltung können die Frequenzanteile des Signals als Charakteristika herangezogen werden. Jeder Netzwerkteilnehmer bzw. jeder Netzwerkbereich kann verschiedene Frequenzen bei der Übertragung im Netzwerk einbringen oder dämpfen, z.B. über unterschiedliche Eigenschaften der jeweiligen Transceiver oder über Kabeleigenschaften. Diese Frequenzen können gemessen werden bzw. die verschiedenen Frequenzanteile bestimmt werden. Hierzu können die Frequenzen im Frequenzbereich anstatt im Zeitbereich bestimmt werden. Die unterschiedlichen Frequenzanteile resultieren auch aus Signalüberlagerungen und Signalreflexionen im Netzwerk. Um die Authentifizierbarkeit von Netzwerkteilnehmern zu erhöhen, könnten unterschiedliche Frequenzcharakteristika auch gezielt ins Netzwerk eingebracht werden.
  • Auch ein Uhrenversatz zwischen Teilnehmern des Netzwerks kann zu geeigneten Übertragungscharakteristika gehören.
  • In einer bevorzugten Ausgestaltung werden mindestens zwei unterschiedliche Charakteristika herangezogen, wodurch die Zuverlässigkeit der Zuordnung der Manipulation erhöht wird und die Manipulierbarkeit deutlich reduziert wird.
  • Bei einer Veränderung der Hardware eines Netzwerks oder seiner Komponenten kann es erforderlich sein, dass die Fingerabdrücke angepasst bzw. neu gelernt werden. Das kann z.B. der Fall sein bei einem Werkstattbesuch (Austausch, Veränderung, Ergänzung oder Wegnahme einer Komponente) oder auch durch Alterung des Systems. Vorzugsweise werden dabei die systemweiten Fingerabdrücke angepasst oder neu gelernt, da derartige Änderungen oft auch Auswirkungen auf die Fingerabdrücke anderer Komponenten oder Segmente haben. Ein solcher Anpass- oder Lernvorgang kann automatisch starten, z.B. auch, wenn durch das System automatisch eine Veränderung von Charakteristika erkannt wurde. Alternativ kann ein solcher Anpassvorgang auch von einer autorisierten Stelle angestoßen werden.
  • In einer bevorzugten Ausgestaltung werden die Charakteristika aus einzelnen empfangenen Bits ermittelt, insbesondere für jedes empfangene Bit. Für diese Ausgestaltung können insbesondere die gemessenen Analogwerte einer Übertragung gespeichert werden, nicht nur die extrahierten Digitalwerte. Dazu können die Bits einer Nachricht in vier Gruppen aufgeteilt werden, abhängig von dem digitalen Wert zu Beginn und am Ende des jeweiligen Bits: 00, 01, 10, 11. Für eine Sequenz „01101“ wäre das X0, 01, 11, 10, 01. Ohne Wissen über das Messergebnis vor dem ersten Bit, ist es für das Beispiel nicht möglich, dessen Mitgliedschaft in einer der Gruppen festzulesen. Wenn der Messwert zu Beginn ein hoher Pegel ist (1), wird das Bit in die Gruppe 10 eingeordnet, ansonsten in die Gruppe 00. Im realen System besteht dieses Problem in der Regel nicht, da ein Messwert zu Beginn einer Bitfolge vorliegt. Für eine CAN-Botschaft mit 8 Bytes Nutzdaten, ohne verlängerte CAN-ID und ohne Stuffbits könnten das beispielsweise ca. 100 gemessene Bits sein, die in die entsprechenden Gruppen aufgeteilt werden.
  • Nach dieser Aufteilung werden für jede Gruppe separat die jeweils enthalten Bits statistisch ausgewertet. Als statistische Größen können z.B. Mittelwerte, Standardabweichungen, durchschnittliche Abweichungen, Symmetriekoeffizienten, Kurtosis, quadratischer Mittelwert, Maximum und Minimum der gemessenen Größen, z.B. der Spannungswerte, ermittelt werden. Es können auch mehrere oder alle dieser Größen bestimmt werden.
  • Die Ergebnisse können skaliert und normalisiert werden. Für jede Gruppe kann dann aufgrund dieser Auswertungen und Ergebnisse Wahrscheinlichkeiten berechnet werden, welchem Teilnehmer, Netzwerksegment oder welcher Übertragungsstrecke die Charakteristika zugeordnet werden können. Hierzu können für die Teilnehmer, Segmente und Strecken Klassen gebildet werden. Mit bekannten Machine-Learning-Algorithmen (z.B. Logistische Regression, Support Vector Machine, Neuralem Netzwerk) kann eine Zuordnung der Ergebnisse für jede Gruppe zu einer der Klassen bestimmt werden.
  • Für Ressourcen-limitierte Netzwerkteilnehmer kann die Auswertung durch Maschine Learning je nach Fall entsprechend reduziert werden, z.B. auf eine Vektormultiplikation pro Gruppe. Liegt z.B. eine Nachrichten-ID vor, welche bereits einem bestimmten Teilnehmer zugewiesen werden kann, kann in einem ersten Schritt erst einmal diese vermutete Herkunft überprüft werden, indem die Wahrscheinlichkeit bestimmt wird, dass die Charakteristika tatsächlich der entsprechenden Klasse zugeordnet werden können. Erst wenn das nicht der Fall ist, können auch die Wahrscheinlichkeiten für die übrigen Klassen bestimmt werden, um herauszufinden, von welchem anderen bekannten Teilnehmer, anderen Netzwerksegment oder anderer Übertragungsstrecke die Nachricht übertragen wurde bzw. ob von einer unbekannten Herkunft ausgegangen werden muss.
  • Die Wahrscheinlichkeiten der einzelnen Gruppen können noch gewichtet werden, zum Beispiel aufgrund unterschiedlicher Genauigkeit bzw. Voraussagekraft der unterschiedlichen Gruppen. Aus den Einzelwahrscheinlichkeiten kann dann eine Gesamtwahrscheinlichkeit ermittelt werden für die Zuordnung einer Bitfolge bzw. Nachricht zu einem Teilnehmer, einem Netzwerksegment oder einer Übertragungsstrecke. Die höchste Wahrscheinlichkeit für eine Klasse bestimmt die entsprechende Zuordnung. Aus der Höhe dieser Wahrscheinlichkeit kann eine Unsicherheit der Zuordnung abgeleitet werden. Liegen alle Wahrscheinlichkeiten unter einer vorgegebenen Schwelle, erfolgt keine Zuordnung, und eine unbekannte Quelle kann als Herkunft der Nachricht angenommen werden. Diese Information kann wiederum herangezogen werden, um einen Cyberangriff festzustellen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2012/159940 A2 [0002]
    • EP 2433457 B1 [0003]

Claims (32)

  1. Verfahren zum Schutz eines Netzwerkes (1) vor einem Cyberangriff, dadurch gekennzeichnet, dass für eine Nachricht in dem Netzwerk (1) erste Charakteristika einer ersten Übertragung der Nachricht bestimmt werden, durch einen Vergleich der ersten Charakteristika mit mindestens einem Fingerabdruck mindestens eines Teilnehmers (101, 102, 103) oder eines Segments des Netzwerks (1) oder einer Übertragungsstrecke eine Herkunft der Nachricht in dem Netzwerk (1) festgestellt wird und abhängig von der festgestellten Herkunft ein Cyberangriff auf das Netzwerk (1) erkannt wird oder ein Angriffspunkt des Cyberangriffs lokalisiert wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der mindestens eine Fingerabdruck aus zweiten Charakteristika mindestens einer zweiten Übertragung durch den Netzwerkteilnehmer (101, 102, 103) oder einer zweiten Übertragung aus dem Netzwerksegment oder einer zweiten Übertragung über die Übertragungsstrecke durch ein Modell ermittelt wird.
  3. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Modell einen Lernalgorithmus, ein neuronales Netz, ein stochastisches Modell oder ein datenbasiertes Modell oder ein automatenbasiertes Modell umfasst.
  4. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die zweiten Charakteristika mit externem Messequipment und/oder in einer sicheren Umgebung bestimmt werden.
  5. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die zweiten Charakteristika mit internem Messequipment und/oder in bestimmten Systemzuständen des Netzwerks (1) oder des das Netzwerk (1) umfassenden Systems bestimmt werden.
  6. Verfahren nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass bei der zweiten Übertragung ein vorbestimmtes Prüfmuster übertragen wird.
  7. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass der mindestens eine Fingerabdruck von einer externen Quelle eingelesen wird, insbesondere aus dem Internet empfangen wird oder in einer Werksumgebung in das Netzwerk (1) übertragen wird.
  8. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass in Abhängigkeit eines Vergleichs zwischen einer Charakteristik, insbesondere einem Inhalt der ersten Nachricht mit mindestens einer erwarteten Charakteristik, insbesondere einem erwarteten Inhalt oder eines Vergleichs eines Übertragungszeitpunkts der ersten Nachricht mit einem erwarteten Übertragungszeitpunkt die Manipulation erkannt wird.
  9. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Manipulation in Abhängigkeit einer Herkunft der ersten Nachricht erkannt wird.
  10. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Netzwerk (1) ein CAN-Bussystem ist.
  11. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Netzwerk (1) ein Fahrzeug-internes Netzwerk ist und der Fahrzeug-interne eines Angriffspunktes eines Cyberangriff von Fahrzeug-extern auf das Netzwerk lokalisiert wird.
  12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass die Bestimmung der ersten Charakteristika und/oder der Vergleich mit dem mindestens einem Fingerabdruck von mindestens einem Fahrzeugsteuergerät (101, 102), welches an das Netzwerk angeschlossen ist, durchgeführt werden.
  13. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass das Fahrzeugsteuergerät (101, 102) dazu über eine Überwachungseinheit verfügt, welche in einen Mikrocontroller oder einen Transceiver des Fahrzeugsteuergeräts (101, 102) integriert ist.
  14. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass das Fahrzeugsteuergerät ein zentrales Steuergerät oder ein Domänensteuergerät des Fahrzeugs ist.
  15. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass die Bestimmung der ersten Charakteristika und/oder der Vergleich mit dem mindestens einem Fingerabdruck von mindestens einem speziell zur Überwachung vorgesehenen Netzwerkteilnehmer (103) oder von einer verbundenen Fahrzeugexternen Recheneinheit durchgeführt werden.
  16. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die ersten Charakteristika anhand einer Sprungantwort oder einer Impulsantwort des Netzwerks (1) während der Übertragung bestimmt werden.
  17. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die ersten Charakteristika physikalische Eigenschaften des Netzwerks (1), von Übertragungskanälen oder Übertragungsmedien des Netzwerks wie Kabeln oder Anschlussstellen, einer Hardware der Netzwerkteilnehmer (101, 102, 103), insbesondere von Transceivern oder Mikrocontrollern, einer Topologie des Netzwerks (1) oder von Netzabschlüssen oder Abschlusswiderständen (10, 11) umfassen.
  18. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die ersten Charakteristika eine Länge übertragener Nachrichtenbits, einen Jitter der Übertragung, eine Stromflussrichtung der Übertragung, einen inneren Widerstand eines Netzwerkteilnehmers während der Übertragung, eines Spannungsverlaufs während der Übertragung, Frequenzanteile der Übertragung oder einen Uhrenversatz während der Übertragung umfassen.
  19. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die ersten Charakteristika Zeitpunkte einer Übertragung umfassen.
  20. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass über Hardwareauswahl oder Hardwaremanipulation die ersten Charakteristika in das Netzwerk (1) eingebracht werden oder im Netzwerk (1) verstärkt werden.
  21. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass für den mindestens einen Fingerabdruck mehrere verschiedene zweite Charakteristika herangezogen werden.
  22. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass das Modell anhand einer Variabilität festgestellter Charakteristika bestimmte zuverlässige Charakteristika als zweite Charakteristika für den mindestens einen Fingerabdruck heranzieht.
  23. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass Daten zu den ersten Charakteristika oder zu dem mindestens einen Fingerabdruck im Fahrzeug verteilt oder Fahrzeug-extern auf einem Server abgelegt werden.
  24. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass bei einer erkannten Manipulation der Nachricht eine Fehlerbehandlung erfolgt, insbesondere ein Abbruch der Übertragung der Nachricht, eine Kenntlichmachung der Nachricht als ungültig, ein Ausschluss des lokalisierten Angriffspunkts aus dem Netzwerk (1), ein Deaktivieren eines Gateways des Netzwerks (1), um einen lokalisierten Angriffspunkt des Netzwerks von anderen Teilen des Netzwerks (1) zu trennen, oder ein Versenden einer Warnmeldung zur erkannten Manipulation.
  25. Verfahren nach Anspruch 24, dadurch gekennzeichnet, dass die Fehlerbehandlung gezielt für einen lokalisierten Netzwerkteilnehmer (101, 102, 103), ein lokalisiertes Netzwerksegment oder für eine lokalisierte Übertragungsstrecke des Netzwerks (1) durchgeführt wird.
  26. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass der mindestens eine Fingerabdruck angepasst, neu erstellt oder neu empfangen und gespeichert wird, wenn eine Nachricht mit einer hierzu ausreichenden Autorisierung empfangen wird.
  27. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass der Fingerabdruck in vorgegebenen zeitlichen Abständen, in vorbestimmten Systemzuständen angepasst, neu erstellt oder neu empfangen und gespeichert wird.
  28. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die ersten Charakteristika für einzelne Bits der Nachricht bestimmt werden.
  29. Verfahren nach Anspruch 28, dadurch gekennzeichnet, dass die einzelnen Bits der Nachricht hierzu abhängig von einem digitalen Wert zu Beginn und am Ende des jeweiligen einzelnen Bits in eine von vier Gruppen eingeteilt werden und der Vergleich mit dem mindestens einen Fingerabdruck für jede Gruppe separat erfolgt.
  30. Vorrichtung, welche dazu eingerichtet ist, als Teilnehmer (101, 102, 103) an einem Netzwerk (1) ein Verfahren nach einem der Ansprüche 1 bis 29 durchzuführen.
  31. Computerprogramm, welches dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 29 durchzuführen.
  32. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 31.
DE102017208547.9A 2017-05-19 2017-05-19 Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff Pending DE102017208547A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102017208547.9A DE102017208547A1 (de) 2017-05-19 2017-05-19 Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
US15/967,157 US20180337938A1 (en) 2017-05-19 2018-04-30 Method for protecting a network against a cyberattack
KR1020180056103A KR102601578B1 (ko) 2017-05-19 2018-05-16 사이버 공격에 대한 네트워크 보호 방법
CN201810479181.9A CN108965235A (zh) 2017-05-19 2018-05-18 用于保护网络防止网络攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017208547.9A DE102017208547A1 (de) 2017-05-19 2017-05-19 Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff

Publications (1)

Publication Number Publication Date
DE102017208547A1 true DE102017208547A1 (de) 2018-11-22

Family

ID=64272677

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017208547.9A Pending DE102017208547A1 (de) 2017-05-19 2017-05-19 Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff

Country Status (4)

Country Link
US (1) US20180337938A1 (de)
KR (1) KR102601578B1 (de)
CN (1) CN108965235A (de)
DE (1) DE102017208547A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112448996A (zh) * 2019-08-27 2021-03-05 罗伯特·博世有限公司 用于针对在网络中的发送方的标识优化网络参数的方法
DE102020213893A1 (de) 2020-11-04 2022-05-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102020214099A1 (de) 2020-11-10 2022-05-12 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102022214195A1 (de) 2022-12-21 2024-06-27 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Recheneinheit zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805331B2 (en) 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
US9438615B2 (en) 2013-09-09 2016-09-06 BitSight Technologies, Inc. Security risk management
US11182720B2 (en) 2016-02-16 2021-11-23 BitSight Technologies, Inc. Relationships among technology assets and services and the entities responsible for them
US10425380B2 (en) 2017-06-22 2019-09-24 BitSight Technologies, Inc. Methods for mapping IP addresses and domains to organizations using user activity data
EP3646253A4 (de) * 2017-07-27 2021-03-31 Upstream Security Ltd. System und verfahren zur cybersicherheit eines verbundenen fahrzeugs
KR102017218B1 (ko) * 2017-10-19 2019-09-02 재단법인 대구경북과학기술원 네트워크 보안 방법 및 장치
US10257219B1 (en) 2018-03-12 2019-04-09 BitSight Technologies, Inc. Correlated risk in cybersecurity
US10812520B2 (en) 2018-04-17 2020-10-20 BitSight Technologies, Inc. Systems and methods for external detection of misconfigured systems
US11354406B2 (en) * 2018-06-28 2022-06-07 Intel Corporation Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles
US11200323B2 (en) 2018-10-17 2021-12-14 BitSight Technologies, Inc. Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios
DE102018217964A1 (de) * 2018-10-19 2020-04-23 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung einer Datenkommunikation
US10521583B1 (en) 2018-10-25 2019-12-31 BitSight Technologies, Inc. Systems and methods for remote detection of software through browser webinjects
DE102018221348A1 (de) * 2018-12-10 2020-06-10 Robert Bosch Gmbh Verfahren zur Verwaltung eines Speichers
DE102019200565A1 (de) * 2019-01-17 2020-07-23 Robert Bosch Gmbh Vorrichtung und Verfahren zur Klassifizierung von Daten insbesondere für ein Controller Area Netzwerk oder ein automotive Ethernet Netzwerk.
FR3092953B1 (fr) 2019-02-15 2021-10-15 Thales Sa Dispositif electronique et procede de reception de donnees via un reseau de communication asynchrone, systeme de communication et programme d'ordinateur associes
US10726136B1 (en) 2019-07-17 2020-07-28 BitSight Technologies, Inc. Systems and methods for generating security improvement plans for entities
US11956265B2 (en) 2019-08-23 2024-04-09 BitSight Technologies, Inc. Systems and methods for inferring entity relationships via network communications of users or user devices
DE102019212825A1 (de) * 2019-08-27 2021-03-04 Robert Bosch Gmbh Verfahren zur Erkennung von Verschlechterung in einem Netzwerk
US11128655B2 (en) 2019-09-06 2021-09-21 Wipro Limited Method and system for managing security vulnerability in host system using artificial neural network
US10848382B1 (en) 2019-09-26 2020-11-24 BitSight Technologies, Inc. Systems and methods for network asset discovery and association thereof with entities
US11032244B2 (en) 2019-09-30 2021-06-08 BitSight Technologies, Inc. Systems and methods for determining asset importance in security risk management
US11388598B2 (en) * 2019-12-19 2022-07-12 Intel Corporation Recover from vehicle security breach via vehicle to anything communication
US10791140B1 (en) 2020-01-29 2020-09-29 BitSight Technologies, Inc. Systems and methods for assessing cybersecurity state of entities based on computer network characterization
US10893067B1 (en) 2020-01-31 2021-01-12 BitSight Technologies, Inc. Systems and methods for rapidly generating security ratings
US10764298B1 (en) 2020-02-26 2020-09-01 BitSight Technologies, Inc. Systems and methods for improving a security profile of an entity based on peer security profiles
US11824881B2 (en) 2020-04-15 2023-11-21 T-Mobile Usa, Inc. On-demand security layer for a 5G wireless network
US11799878B2 (en) 2020-04-15 2023-10-24 T-Mobile Usa, Inc. On-demand software-defined security service orchestration for a 5G wireless network
US11444980B2 (en) 2020-04-15 2022-09-13 T-Mobile Usa, Inc. On-demand wireless device centric security for a 5G wireless network
US11070982B1 (en) 2020-04-15 2021-07-20 T-Mobile Usa, Inc. Self-cleaning function for a network access node of a network
US11115824B1 (en) 2020-05-14 2021-09-07 T-Mobile Usa, Inc. 5G cybersecurity protection system
US11057774B1 (en) 2020-05-14 2021-07-06 T-Mobile Usa, Inc. Intelligent GNODEB cybersecurity protection system
US11206542B2 (en) 2020-05-14 2021-12-21 T-Mobile Usa, Inc. 5G cybersecurity protection system using personalized signatures
US11023585B1 (en) 2020-05-27 2021-06-01 BitSight Technologies, Inc. Systems and methods for managing cybersecurity alerts
KR102650732B1 (ko) * 2020-08-06 2024-03-26 한국전자통신연구원 컴퓨터 네트워크의 공격 취약점 예측 방법 및 장치
DE102020214945A1 (de) * 2020-11-27 2022-06-02 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
US11122073B1 (en) 2020-12-11 2021-09-14 BitSight Technologies, Inc. Systems and methods for cybersecurity risk mitigation and management
US12079347B2 (en) 2021-03-31 2024-09-03 BitSight Technologies, Inc. Systems and methods for assessing cybersecurity risk in a work from home environment
DE102021204409A1 (de) * 2021-05-03 2022-11-03 Robert Bosch Gesellschaft mit beschränkter Haftung Erkennung/bewertung eines eindringens in ein elektronisches datensystem eines fahrzeugs
CN113359666B (zh) * 2021-05-31 2022-11-15 西北工业大学 基于Deep SVDD的车辆外部入侵检测方法及系统
US12353563B2 (en) 2021-07-01 2025-07-08 BitSight Technologies, Inc. Systems and methods for accelerating cybersecurity assessments
US12425437B2 (en) 2021-09-17 2025-09-23 BitSight Technologies, Inc. Systems and methods for precomputation of digital asset inventories
US12282564B2 (en) 2022-01-31 2025-04-22 BitSight Technologies, Inc. Systems and methods for assessment of cyber resilience
CN117061143A (zh) 2022-05-11 2023-11-14 开利公司 使用动态生成的波特率保护网络访问
US12452044B2 (en) 2022-05-17 2025-10-21 Kidde Fire Protection, Llc Securing network communications using dynamically and locally generated secret keys
EP4636623A1 (de) * 2024-04-19 2025-10-22 Nxp B.V. Sicheres element und betriebsverfahren

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012159940A2 (de) 2011-05-24 2012-11-29 Siemens Aktiengesellschaft Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk
EP2433457B1 (de) 2009-05-20 2014-03-19 Robert Bosch GmbH Security system and method for wireless communication within a vehicle

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101743721B (zh) * 2007-11-30 2014-03-12 株式会社自动网络技术研究所 车载通信系统
US20130144657A1 (en) * 2011-11-16 2013-06-06 Flextronics Ap, Llc Insurance tracking
SG190090A1 (en) * 2010-11-03 2013-06-28 Virginia Tech Intell Prop Using power fingerprinting (pfp) to monitor the integrity and enhance security of computer based systems
US8925083B2 (en) * 2011-10-25 2014-12-30 GM Global Technology Operations LLC Cyber security in an automotive network
US9173100B2 (en) * 2011-11-16 2015-10-27 Autoconnect Holdings Llc On board vehicle network security
CN102497362B (zh) * 2011-12-07 2018-01-05 北京润通丰华科技有限公司 异常网络流量的攻击源追踪方法及装置
US9106693B2 (en) * 2013-03-15 2015-08-11 Juniper Networks, Inc. Attack detection and prevention using global device fingerprinting
US9401923B2 (en) * 2013-10-23 2016-07-26 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
US9616828B2 (en) * 2014-01-06 2017-04-11 Argus Cyber Security Ltd. Global automotive safety system
US9560060B2 (en) * 2014-06-02 2017-01-31 Bastille Networks, Inc. Cross-modality electromagnetic signature analysis for radio frequency persona identification
DE102014215465A1 (de) * 2014-08-05 2016-02-11 Robert Bosch Gmbh Teilnehmerstation für ein Bussystem und Verfahren zur breitbandigen CAN-Kommunikation
US20160173513A1 (en) * 2014-12-10 2016-06-16 Battelle Energy Alliance, Llc. Apparatuses and methods for security in broadcast serial buses
US10083071B2 (en) * 2014-12-30 2018-09-25 Battelle Memorial Institute Temporal anomaly detection on automotive networks
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US11252180B2 (en) * 2015-06-29 2022-02-15 Argus Cyber Security Ltd. System and method for content based anomaly detection in an in-vehicle communication network
US10530605B2 (en) * 2015-08-06 2020-01-07 Tower-Sec Ltd. Means and methods for regulating can communication
KR101669946B1 (ko) * 2015-08-28 2016-10-28 고려대학교 산학협력단 전력 신호를 이용한 ecu 식별 장치 및 방법
KR101714520B1 (ko) * 2015-10-30 2017-03-09 현대자동차주식회사 차량 내 네트워크 공격 탐지 방법 및 장치
US11044260B2 (en) * 2016-04-01 2021-06-22 The Regents Of The University Of Michigan Fingerprinting electronic control units for vehicle intrusion detection
KR101734505B1 (ko) * 2016-04-29 2017-05-11 재단법인대구경북과학기술원 차량용 네트워크의 공격탐지 방법 및 그 장치
US10645104B2 (en) * 2016-05-01 2020-05-05 Argus Cyber Security Ltd. Net sleuth
KR102756684B1 (ko) * 2016-07-15 2025-01-17 더 리젠츠 오브 더 유니버시티 오브 미시건 전압 핑거프링팅을 통한 손상된 전자 제어 유닛 식별 방법
EP3554015B1 (de) * 2016-12-06 2020-12-30 Panasonic Intellectual Property Corporation of America Informationsverarbeitungsverfahren, informationsverarbeitungssystem und programm
EP3535625B1 (de) * 2016-12-07 2021-02-24 Arilou Information Security Technologies Ltd. System und verfahren zur verwendung von signalwellenformanalyse zur erkennung einer änderung in einem kabelnetzwerk
US10382466B2 (en) * 2017-03-03 2019-08-13 Hitachi, Ltd. Cooperative cloud-edge vehicle anomaly detection
US10587635B2 (en) * 2017-03-31 2020-03-10 The Boeing Company On-board networked anomaly detection (ONAD) modules
US10476902B2 (en) * 2017-04-26 2019-11-12 General Electric Company Threat detection for a fleet of industrial assets

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2433457B1 (de) 2009-05-20 2014-03-19 Robert Bosch GmbH Security system and method for wireless communication within a vehicle
WO2012159940A2 (de) 2011-05-24 2012-11-29 Siemens Aktiengesellschaft Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112448996A (zh) * 2019-08-27 2021-03-05 罗伯特·博世有限公司 用于针对在网络中的发送方的标识优化网络参数的方法
DE102020213893A1 (de) 2020-11-04 2022-05-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
US11709971B2 (en) 2020-11-04 2023-07-25 Robert Bosch Gmbh Method for detecting an unauthorized physical access to a bus system
DE102020214099A1 (de) 2020-11-10 2022-05-12 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
US11899785B2 (en) 2020-11-10 2024-02-13 Robert Bosch Gmbh Method for detecting an unauthorized physical access to a bus system
DE102022214195A1 (de) 2022-12-21 2024-06-27 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Recheneinheit zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
WO2024133238A1 (de) 2022-12-21 2024-06-27 Robert Bosch Gmbh Verfahren und recheneinheit zur erkennung eines unerlaubten physischen zugriffs auf ein bussystem

Also Published As

Publication number Publication date
CN108965235A (zh) 2018-12-07
KR20180127221A (ko) 2018-11-28
KR102601578B1 (ko) 2023-11-14
US20180337938A1 (en) 2018-11-22

Similar Documents

Publication Publication Date Title
DE102017208547A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE112015006541T5 (de) Angriffsdetektionsvorrichtung
DE102015108333B4 (de) Kurzschlussfehlerisolierung in einem controller area network
DE10349600B4 (de) Verfahren zur Überprüfung von Leitungsfehlern in einem Bussystem und Bussystem
WO2018068965A1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
DE102013210102A1 (de) Vorrichtung und verfahren zum erfassen eines angriffes auf ein fahrzeugseitiges netzwerk
WO2015193007A1 (de) Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur
DE102017208553A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102017200826A1 (de) Verfahren zum Betreiben einer Überwachungsvorrichtung eines Datennetzwerks eines Kraftfahrzeugs sowie Überwachungsvorrichtung, Steuergerät und Kraftfahrzeug
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE102018201718A1 (de) Verfahren und Vorrichtung zur Erkennung einer Anomalie in einem Datenstrom in einem Kommunikationsnetzwerk
DE102017208545A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE112018003971T5 (de) Detektor, Detektionsverfahren und Detektionsprogramm
DE102017208551A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102018208118A1 (de) Verfahren und Vorrichtung zum Authentifizieren einer über einen Bus übertragenen Nachricht
DE102018217964A1 (de) Verfahren und Vorrichtung zur Überwachung einer Datenkommunikation
DE102019210227A1 (de) Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102016204999A1 (de) Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs
DE69325359T2 (de) Verfahren und mittel für automatische detektion und korrektur eines polaritätsfehlers in einem aus verdrillten paaren bestehenden medium
DE102020214099A1 (de) Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102017216096A1 (de) Verfahren und Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102016221378A1 (de) Verfahren zum Übertragen von Daten
EP0890109B1 (de) Verfahren zur prüfung und sicherung der verfügbarkeit eines vernetzten systems

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R012 Request for examination validly filed