CH714535B1 - In-vehicle network intrusion detection method and system. - Google Patents
In-vehicle network intrusion detection method and system. Download PDFInfo
- Publication number
- CH714535B1 CH714535B1 CH00436/18A CH4362018A CH714535B1 CH 714535 B1 CH714535 B1 CH 714535B1 CH 00436/18 A CH00436/18 A CH 00436/18A CH 4362018 A CH4362018 A CH 4362018A CH 714535 B1 CH714535 B1 CH 714535B1
- Authority
- CH
- Switzerland
- Prior art keywords
- module
- reception time
- clock shift
- shift value
- clock
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40078—Bus configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Die vorliegende Erfindung offenbart ein fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system. Das System umfasst ein Zeitgebermodul (1), ein Erfassungsmodul (4) und ein Untersuchungsmodul (3); wobei das Zeitgebermodul konfiguriert ist, um eine Systemlaufzeit an das Kommunikationsmodul (2) zu senden; wobei das Kommunikationsmodul einen Zeitstempel einer Empfangszeit eines empfangenen Pakets und die Identität eines paketsendenden Knotens entsprechend der Systemlaufzeit aufzeichnet; das Kommunikationsmodul die Identität und den Zeitstempel der Empfangszeit an das Untersuchungsmodul und an das Erfassungsmodul sendet; das Untersuchungsmodul konfiguriert ist, um einen theoretischen Taktverschiebungswert des Sendeknotens gemäss dem Zeitstempel der Empfangszeit unter normalen Netzwerkbedingungen zu bestimmen, und den theoretischen Taktverschiebungswert an die Identität des Sendeknotens zu binden; und das Erfassungsmodul konfiguriert ist, um eine Abweichung einer Taktverschiebung des Sendeknotens relativ zum theoretischen Taktverschiebungswert gemäss dem Zeitstempel der Empfangszeit während einer Intrusionserfassung zu bestimmen und daraus ableiten, ob das Netzwerk abnormal oder normal ist. Das Verfahren und das System, welche in der vorliegenden Erfindung offenbart sind, können unmittelbar in einem Kommunikationsmodul einer T-Box installiert werden, sind universell anwendbar und können die Netzwerksicherheit der meisten Fahrzeuge gewährleisten.The present invention discloses an in-vehicle network intrusion detection method and system. The system comprises a timer module (1), an acquisition module (4) and an examination module (3); wherein the timer module is configured to send a system runtime to the communication module (2); wherein the communication module records a time stamp of a received time of a received packet and the identity of a packet-sending node according to the system runtime; the communication module sends the identity and the time stamp of the reception time to the examination module and to the acquisition module; the examination module is configured to determine a theoretical clock shift value of the transmission node according to the time stamp of the reception time under normal network conditions, and to bind the theoretical clock shift value to the identity of the transmission node; and the detection module is configured to determine a deviation of a clock shift of the transmission node relative to the theoretical clock shift value according to the time stamp of the reception time during intrusion detection and to infer whether the network is abnormal or normal. The method and system disclosed in the present invention can be installed directly in a communication module of a T-Box, are universally applicable, and can ensure the network security of most vehicles.
Description
Beschreibung [0001] Die vorliegende Anmeldung beansprucht Prioritätsrechte aus der Chinesischen Anmeldung Nr. 2017 11 385 344.9, welche am 20. Dezember2017 unterder Bezeichnung FAHRZEUGINTERNES NETZWERKINTRUSIONSERFASSUNGSVERFAHREN UND -SYSTEM angemeldet worden ist. Die oben genannte Patentanmeldung wird hierin bezugnehmend in ihrer Gesamtheit übernommen.Description The present application claims priority rights from Chinese Application No. 2017 11 385 344.9, which was filed on December 20, 2017 under the name VEHICLE INTERNAL NETWORK INTRUSION DETECTION METHOD AND SYSTEM. The above patent application is hereby incorporated by reference in its entirety.
Technisches Gebiet [0002] Die vorliegende Erfindung bezieht sich auf das Gebiet der Automobilnetzwerksicherheit, und insbesondere auf ein fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system.Technical Field The present invention relates to the field of automotive network security, and more particularly, to an in-vehicle network intrusion detection method and system.
Stand der Technik [0003] Moderne Automobile werden allmählich im Sinne eines Ausbaus von Netzwerken und Intelligenz entwickelt, wobei die Anzahl von elektronischen Steuereinheiten (ECU, Electronic Control Unit) in jedem Automobil sehr schnell wächst, und wobei diese Anzahl zurzeit fast 100 erreicht hat. Um den Benutzern immer vorteilhaftere Funktionen und Dienste anzubieten, müssen die elektronischen und elektrischen Systeme der Fahrzeuge immer komplizierter werden, wobei diese auch mit Schnittstellen zur Kommunikation mit der Aussenwelt versehen werden müssen, wie zum Beispiel WLAN, Bluetooth, 3G/4G-Kommunikation und USB-Schnittstellen. Im Falle eines intelligenten vernetzten Fahrzeugs handelt es sich bei einem entfernten Informationenprozessor (T-Box, Telematics Box) um eine Gateway-Vorrichtung, welche das fahrzeuginterne Netzwerk mit einem externen Netzwerk verbindet und externe Kommunikationsfunktionen für das Fahrzeug bereitstellt, um eine Vernetzung mit der Aussenwelt zu ermöglichen, einschliesslich der Kommunikationssysteme wie V2I und V2V. Die Fahrzeugvernetzung kann viele Vorteile für den Benutzer mit sich bringen, kann aber auch das Fahrzeugsystem durch das Internet einer grösseren Wahrscheinlichkeit von Hacker-Angriffen aussetzen.PRIOR ART Modern automobiles are gradually being developed in the sense of expanding networks and intelligence, the number of electronic control units (ECU) growing rapidly in every automobile, and this number has currently reached almost 100. In order to offer users ever more advantageous functions and services, the electronic and electrical systems of vehicles have to become more and more complicated, whereby these also have to be provided with interfaces for communication with the outside world, such as WLAN, Bluetooth, 3G / 4G communication and USB interfaces. In the case of an intelligent networked vehicle, a remote information processor (T-Box, Telematics Box) is a gateway device that connects the vehicle's internal network to an external network and provides external communication functions for the vehicle, in order to network with the outside world to enable, including communication systems such as V2I and V2V. Vehicle networking can bring many benefits to the user, but can also expose the vehicle system to a greater likelihood of hacker attacks through the Internet.
[0004] Um die Gefahr von Hacker-Attacken zu reduzieren, ist es notwendig, ein gründliches Verteidigungsschichtensystem für Fahrzeuge so zu entwickeln, dass die Sicherheit der Fahrzeuge verbessert wird. In einem gründlichen Verteidigungsschichtensystem ist eine sichere Kommunikation in einem fahrzeuginternen Netz eine entscheidende Charakteristik für die gesamte Struktur des Sicherheitsverteidigungssystems, wobei nur wenn eine sichere Kommunikation in einem fahrzeuginternen Netz implementiert ist, kann ein sicheres elektronisches und elektrisches System für Fahrzeuge erstellt werden. Zurzeit basieren jedoch die meisten Fahrzeugkommunikationsnetze hauptsächlich auf einem Controller-Area-Netz-Bus (CAN, Controller Area Network).In order to reduce the risk of hacker attacks, it is necessary to develop a thorough defense layer system for vehicles so that the safety of the vehicles is improved. In a thorough defense layer system, secure communication in an in-vehicle network is a critical characteristic for the overall structure of the security defense system, and only when secure communication is implemented in an in-vehicle network can a secure electronic and electrical system for vehicles be created. Currently, however, most vehicle communication networks are mainly based on a controller area network bus (CAN, Controller Area Network).
[0005] Das Ziel bei der Entwicklung eines CAN-Netzwerkprotokolls ist es, seine Anwendung in einer geschlossenen Fahrzeugumgebung ohne Netzwerksicherheitsprobleme zu ermöglichen. Daher gibt es viele Vulnerabilitäten gegenüber Informationssicherheitsrisiko. Wenn diese Vulnerabilitäten von Hackern benutzt werden, können einige schädliche Operationen, wie der Diebstahl von Benutzerprivatdaten und Ähnliches durchgeführt werden, wodurch Probleme wie Eigentumsverlust, Privacy-Offenbarungen und Probleme für die persönliche Sicherheit des Fahrzeugbenutzers verursacht werden. Zum Beispiel, ein auf dem CAN 2.0 Standard basiertes Paket enthält keine Identitätsinformationen bezüglich des Senders oder Informationen bezüglich der Sendezeit, aber die Informationen in einem Datenfeld werden nicht verschlüsselt. In diesem Falle können Hacker einfach die gesendeten Daten überwachen.The goal in developing a CAN network protocol is to enable its use in a closed vehicle environment without network security problems. Therefore, there are many vulnerabilities to information security risk. When these vulnerabilities are used by hackers, some malicious operations, such as theft of user private data and the like, can be performed, causing problems such as loss of ownership, privacy revelations, and issues related to the personal safety of the vehicle user. For example, a packet based on the CAN 2.0 standard does not contain identity information regarding the sender or information regarding the transmission time, but the information in a data field is not encrypted. In this case, hackers can simply monitor the data sent.
[0006] Um die Anforderungen bezüglich der Informationssicherheit von Fahrzeugen zu erfüllen, wird als eine der kritischsten Technologien die fahrzeuginterne Netzwerkintrusionserfassung und Abwehr angesehen. Die fahrzeuginterne Netzwerkintrusionserfassung und Abwehr kann externe Angriffe rechtzeitig identifizieren, wobei durch geeignete Verteidigungsmassnahmen die negativen Auswirkungen von schädlichen Angriffen reduziert oder eliminiert werden können, wodurch ein normaler und sicherer Betrieb eines elektronischen und elektrischen Fahrzeugsystems gewährleistet wird.In order to meet vehicle information security requirements, one of the most critical technologies is in-vehicle network intrusion detection and defense. In-vehicle network intrusion detection and defense can identify external attacks in a timely manner, and suitable defense measures can be used to reduce or eliminate the negative effects of harmful attacks, thereby ensuring normal and safe operation of an electronic and electrical vehicle system.
[0007] Zurzeit sind die meisten fahrzeuginternen Netzwerke des Bus-Typs, wie zum Beispiel die Systeme CAN, UN, MOST, oder Flexray Bus. Die Bandbreite dieser Busse ist relativ gering, wobei es schwierig ist, Sicherheitsschutzmassnahmen wie die Verschlüsselung und Authentifizierung zu implementieren. Ein Intrusionserfassungsverfahren ist am einfachsten anzuwenden und ist eines der effektivsten fahrzeuginternen Netzwerksicherheitsschutzverfahren. Die meisten existierenden Intrusionserfassungsverfahren zielen jedoch auf Netzwerken im IT-Gebiet und können nicht für die fahrzeuginterne Netzwerkintrusionserfassung verwendet werden.Currently, most of the vehicle-internal networks of the bus type, such as the systems CAN, UN, MOST, or Flexray bus. The bandwidth of these buses is relatively small, and it is difficult to implement security measures such as encryption and authentication. An intrusion detection method is the easiest to use and is one of the most effective in-vehicle network security protection procedures. However, most existing intrusion detection methods target networks in the IT area and cannot be used for in-vehicle network intrusion detection.
Zusammenfassung [0008] Das Ziel der vorliegenden Erfindung besteht in der Bereitstellung eines fahrzeuginternen Netzwerkintrusionserfassungsverfahrens und -systems, welches eine Netzwerkintrusionserfassung für ein busartiges Automobilnetzwerk implementieren und die Sicherheit der Fahrer und der Passagiere gewährleisten kann.SUMMARY The object of the present invention is to provide an in-vehicle network intrusion detection method and system which can implement network intrusion detection for a bus-type automotive network and can ensure driver and passenger safety.
[0009] Um dieses Ziel zu erreichen, stellt die Erfindung die folgende Lösung bereit:[0009] To achieve this goal, the invention provides the following solution:
[0010] Fahrzeuginternes Netzwerkintrusionserfassungsverfahren zum Überwachen eines fahrzeuginternen CAN-Netzwerkes, umfassend:[0010] In-vehicle network intrusion detection method for monitoring an in-vehicle CAN network, comprising:
CH 714 535 B1 [0011] Jedes Mal nach dem Empfang von N Paketen in einer T-Box, Erfassen einer Identität (ID) eines Sendeknotens, einer Empfangszeit (t,) der empfangenen Pakete und eines Empfangszeitintervalls (x,) zwischen dem i-ten und dem ersten Paket (t—t-ι), wobei N eine positive Ganzzahl und 1 = 1 bis N ist;CH 714 535 B1 Each time after receiving N packets in a T-box, detecting an identity (ID) of a transmission node, a reception time (t,) of the received packets and a reception time interval (x,) between the i- ten and the first packet (t-t-ι), where N is a positive integer and 1 = 1 to N;
[0012] Erfassen eines theoretischen Taktverschiebungswertes (I) des Sendeknotens, welcher an die Identität (ID) des Sendeknotens in normalen Netzwerkbedingungen gebunden ist, wobei der theoretische Taktverschiebungswert (I) durch das Untersuchen einer Taktabweichung (o,) pro Zeiteinheit der durch den Sendeknoten gesendeten Pakete in normalen Netzwerkbedingungen erhalten wird;Detection of a theoretical clock shift value (I) of the transmission node, which is linked to the identity (ID) of the transmission node in normal network conditions, the theoretical clock shift value (I) by examining a clock deviation (o,) per unit time of that by the transmission node sent packets is received in normal network conditions;
[0013] Berechnen eines tatsächlichen Taktverschiebungswerts (s[k]), indem ein rekursives Verfahren der kleinsten Quadrate verwendet wird, und eines Identifizierungsfehlers (e[k]) mittels der Empfangszeit (t,) und dem Empfangszeitintervall (Xi), wobei der Identifizierungsfehler (e[k]) mittels eines linearen Regressionsmodells (oa00[k]) bestimmt wird, wobei k die Anzahl der Male zum Empfangen der N Pakete ist;Calculating an actual clock skew value (s [k]) using a recursive least squares method and an identification error (e [k]) using the receive time (t,) and the receive time interval (Xi), the identification error (e [k]) is determined using a linear regression model (o a00 [k]), where k is the number of times to receive the N packets;
[0014] Vergleichen des tatsächlichen Taktverschiebungswerts (s[k]) mit dem theoretischen Taktverschiebungswert (I) hinsichtlich abrupter Verschiebungen, um die Identität (ID) des ein Paket sendenden Sendeknotens zu bestimmen:[0014] Comparing the actual clock shift value (s [k]) with the theoretical clock shift value (I) for abrupt shifts to determine the identity (ID) of the sending node sending a packet:
- Berechnen, durch Verwenden eines Kumulativsummenverfahrens, welches die Differenzen zwischen den überwachten Werten und dem theoretischen Taktverschiebungswert (I) akkumuliert, eines Mittelwerts der bestimmten Identifizierungsfehler (e[k]) und einer Varianz der bestimmten Identifizierungsfehler (e[k]), welche mehrere Male empfangen worden sind;- Calculating, by using a cumulative sum method, which accumulates the differences between the monitored values and the theoretical clock shift value (I), an average of the determined identification errors (e [k]) and a variance of the determined identification errors (e [k]), which several Have been received;
- Berechnen eines kumulativen Identifizierungsfehlers mittels des Mittelwertes (μ0) der Identifizierungsfehler e[k], der Varianz (σ0 2 ) der Identifizierungsfehler e[k] und des theoretischen Taktverschiebungswertes (I); und wenn der kumulative Identifizierungsfehler eine bestimmte Schwelle überschreitet, Bestimmen, dass ein fahrzeuginternes Netzwerk abnormal ist; und wenn der kumulative Identifizierungsfehler die gegebene Schwelle nicht überschreitet, Bestimmen, dass das fahrzeuginterne Netzwerk normal ist.- Calculating a cumulative identification error using the mean value (μ 0 ) of the identification errors e [k], the variance (σ 0 2 ) of the identification errors e [k] and the theoretical clock shift value (I); and if the cumulative identification error exceeds a certain threshold, determining that an in-vehicle network is abnormal; and if the cumulative identification error does not exceed the given threshold, determine that the in-vehicle network is normal.
[0015] Optional ist ein spezifischer Vorgang zum Erhalten des theoretischen Taktverschiebungswerts durch Untersuchen der Zeitinformation der Paketsendung durch jeden Sendeknoten in normalen Netzwerkbedingungen wie folgt:[0015] Optionally, a specific procedure for obtaining the theoretical clock shift value by examining the time information of the packet sending by each sending node in normal network conditions is as follows:
[0016] Erfassen eines Zeitstempels der Empfangszeit der N Pakete;Acquiring a time stamp of the reception time of the N packets;
[0017] Berechnen einer Sendeperiode eines Pakets entsprechend dem Zeitstempel der Empfangszeit der N Pakete;Calculating a transmission period of a packet according to the time stamp of the reception time of the N packets;
[0018] Berechnen einer kumulativen Abweichung entsprechend der Sendeperiode und dem Zeitstempel der Empfangszeit; und [0019] Berechnen der Taktverschiebung entsprechend der kumulativen Abweichung, um den theoretischen Taktverschiebungswert zu erhalten.Calculating a cumulative deviation according to the transmission period and the time stamp of the reception time; and calculating the clock shift according to the cumulative deviation to obtain the theoretical clock shift value.
[0020] Optional umfasst das Berechnen eines Identifizierungsfehlers und eines tatsächlichen Taktverschiebungswerts gemäss der Empfangszeit und dem Empfangszeitintervall insbesondere:Optionally, calculating an identification error and an actual clock shift value according to the reception time and the reception time interval comprises in particular:
[0021] Festlegen eines linearen Regressionsmodells O„„[£] = 5’[7c]*/[A]+e[A], wobei k die Anzahl der Male zum Empfangen der N Pakete ist; Oaoo[k] eine kumulative Taktabweichung ist, welche durch Analysieren der N Pakete zum k-ten Mal erhalten wird; S[k] den tatsächlichen Taktverschiebungswert bezeichnet; t[k] die Systemlaufzeit ist; und e[k] der Identifizierungsfehler ist; und [0022] Berechnen des Identifizierungsfehlers durch Verwenden eines rekursiven Kleinstquadratenverfahrens gemäss dem linearen Regressionsmodell, der Empfangszeit und dem Empfangszeitintervall.[0021] establishing a linear regression model O "" [£] = 5 '[7c] * / [A] + e [A], where k is the number of times to receive the N packets; O aoo [k] is a cumulative clock deviation obtained by analyzing the N packets for the k-th time; S [k] denotes the actual clock shift value; t [k] is the system runtime; and e [k] is the identification error; and calculating the identification error by using a recursive least squares method according to the linear regression model, the reception time and the reception time interval.
[0023] Die vorliegende Erfindung offenbart ferner ein fahrzeuginternes Netzwerkintrusionserfassungssystem, umfassend: ein Zeitgebermodul, ein Erfassungsmodul, ein Untersuchungsmodul, wobei ein Ausgangsende des Zeitgebermoduls mit einem Kommunikationsmodul einer T-Box verbunden ist, wobei ein Ausgangsende des Kommunikationsmoduls mit dem Untersuchungsmodul verbunden ist, das Kommunikationsmodul ferner bidirektional mit dem Erfassungsmodul verbunden ist und ein Ausgangsende des Untersuchungsmoduls mit dem Erfassungsmodul verbunden ist; und [0024] Das Zeitgebermodul konfiguriert ist, um eine Systemlaufzeit an das Kommunikationsmodul zu senden; wobei das Kommunikationsmodul einen Zeitstempel einer Empfangszeit eines empfangenen Pakets und die Identität eines paketsendenden Knotens entsprechend der Systemlaufzeit aufzeichnet; das Kommunikationsmodul die Identität und den Zeitstempel der Empfangszeit an das Untersuchungsmodul und an das Erfassungsmodul sendet; das Untersuchungsmodul konfiguriert ist, um einen theoretischen Taktverschiebungswert des Sendeknotens gemäss dem Zeitstempel der Empfangszeit in normalen Netzwerkbedingungen zu bestimmen, und den theoretischen Taktverschiebungswert an die Identität des Sendeknotens zu binden; und das Erfassungsmodul konfiguriert ist, um eine Abweichung einer Taktverschiebung des Sendeknotens relativ zum theoretischen Taktverschiebungswert gemäss dem Zeitstempel der Empfangszeit während einer Intrusionserfassung zu bestimmen.The present invention further discloses an in-vehicle network intrusion detection system comprising: a timer module, a detection module, an exam module, wherein an output end of the timer module is connected to a communication module of a T-Box, an output end of the communication module being connected to the exam module Communication module is further bidirectionally connected to the acquisition module and an output end of the examination module is connected to the acquisition module; and the timer module is configured to send a system runtime to the communication module; wherein the communication module records a time stamp of a received time of a received packet and the identity of a packet-sending node according to the system runtime; the communication module sends the identity and the time stamp of the reception time to the examination module and to the acquisition module; the examination module is configured to determine a theoretical clock shift value of the transmission node according to the time stamp of the reception time in normal network conditions, and to bind the theoretical clock shift value to the identity of the transmission node; and the detection module is configured to determine a deviation of a clock shift of the transmission node relative to the theoretical clock shift value according to the time stamp of the reception time during an intrusion detection.
[0025] Optional umfasst das System ferner eine Cloud-Steuerplattform, wobei das Kommunikationsmodul bidirektional mit der Cloud-Steuerplattform kommuniziert; und das Kommunikationsmodul konfiguriert ist, um Alarminformationen an die Cloud-Steuerplattform zu senden, wenn das Erfassungsmodul eine Netzwerkanomalie detektiert, und um eine online Aktualisierungsanweisung und ein Aktualisierungspaket zu empfangen, welche von der Cloud-Kontrollplattform gesendet werden.The system optionally further comprises a cloud control platform, the communication module communicating bidirectionally with the cloud control platform; and the communication module is configured to send alarm information to the cloud control platform when the detection module detects a network anomaly and to receive an online update instruction and an update packet sent from the cloud control platform.
CH 714 535 B1 [0026] Gemäss spezifischen Ausführungsformen der vorliegenden Erfindung offenbart die Erfindung die folgenden technischen Effekte; das Verfahren und das System der vorliegenden Erfindung überwachen, in dynamischer Weise das fahrzeuginterne Netzwerk auf der Basis des T-Box und eines Can-Bus, sind zum Überwachen von Anomalien im Grossteil der Automobilnetzwerken geeignet und besitzen eine universelle Anwendbarkeit; gemäss dem Verfahren der vorliegenden Erfindung wird eine Taktverschiebung eines Sendeknotens in normalen Netzwerkbedingungen erfasst, und die Taktverschiebung wird als Taktmarkierungsinformation des Sendeknotens verwendet, sodass die Identität identifiziert werden kann, Informationen, welche von einem nicht zugewiesenen Knoten gesendet werden, identifiziert werden können und ein schädlicher Angriff verhindert werden kann, wodurch die Sicherheit des Automobilnetzwerks verbessert wird.CH 714 535 B1 [0026] According to specific embodiments of the present invention, the invention discloses the following technical effects; monitor the method and system of the present invention, dynamically the in-vehicle network based on the T-Box and a Can-Bus, are suitable for monitoring anomalies in most automotive networks and are of universal applicability; in accordance with the method of the present invention, a transmit node clock skew is detected in normal network conditions, and the clock skew is used as the transmit node's clock tag information so that identity can be identified, information sent from an unassigned node can be identified, and malicious Attack can be prevented, which improves the security of the automotive network.
Kurze Beschreibung der Zeichnungen [0027] Um die technischen Lösungen in den Ausführungsformen der vorliegenden Erfindung oder im Stand der Technik besser zu beschreiben, werden im Folgenden kurz die anliegenden Zeichnungen beschrieben, welche zur Beschreibung der Ausführungsformen benötigt sind. Die der folgenden Beschreibung anliegenden Zeichnungen zeigen einige Ausführungsformen der vorliegenden Erfindung, wobei ein durchschnittlicher Fachmann in diesem Gebiet der Technik auch weitere Zeichnungen von diesen anliegenden Zeichnungen ohne kreative Leistung ableiten kann.BRIEF DESCRIPTION OF THE DRAWINGS In order to better describe the technical solutions in the embodiments of the present invention or in the prior art, the attached drawings which are required to describe the embodiments are briefly described below. The drawings attached to the following description show some embodiments of the present invention, and one of ordinary skill in the art can derive other drawings from these attached drawings without creative effort.
Fig. 1 zeigt ein Flussdiagramm eines Verfahrens gemäss einer Ausführungsform eines fahrzeuginternen Netzwerkintrusionserfassungsverfahrens der vorliegenden Erfindung; und1 shows a flowchart of a method according to an embodiment of an in-vehicle network intrusion detection method of the present invention; and
Fig. 2 zeigt ein strukturelles Diagramm eines fahrzeuginternen Netzwerkintrusionserfassungssystems gemäss der vorliegenden Erfindung.2 shows a structural diagram of an in-vehicle network intrusion detection system according to the present invention.
Beschreibung von Ausführungsformen [0028] Im Folgenden werden technische Lösungen in den Ausführungsformen der Erfindung in Bezug auf die anliegenden Zeichnungen in den Ausführungsformen der vorliegenden Erfindung klar und ausführlich beschrieben. Offenbar sind die beschriebenen Ausführungsformen nur ein Teil aller Ausführungsformen der Erfindung. Alle anderen Ausführungsformen, welche von einem durchschnittlichen Fachmann ohne schöpferische Bemühungen auf der Basis der Ausführungsformen der vorliegenden Erfindung erfasst werden können, fallen innerhalb des Schutzumfangs der vorliegenden Erfindung.DESCRIPTION OF EMBODIMENTS In the following, technical solutions in the embodiments of the invention are described clearly and in detail with reference to the accompanying drawings in the embodiments of the present invention. Apparently, the described embodiments are only part of all embodiments of the invention. All other embodiments that can be encompassed by one of ordinary skill in the art without creative efforts based on the embodiments of the present invention fall within the scope of the present invention.
[0029] Um Ziele, Merkmale und Vorteile der Erfindung besser zu erläutern, wird im Folgenden die Erfindung ausführlicher mit Bezug auf die anliegenden Zeichnungen und spezifischen Implementationen beschrieben.In order to better explain the objectives, features and advantages of the invention, the invention is described in more detail below with reference to the accompanying drawings and specific implementations.
[0030] Fig. 1 zeigt ein Flussdiagramm eines Verfahrens nach einer Ausführungsform eines fahrzeuginternen Netzwerkintrusionserfassungsverfahrens der vorliegenden Erfindung.1 shows a flow diagram of a method according to an embodiment of an in-vehicle network intrusion detection method of the present invention.
[0031] Mit Bezug auf Fig. 1 umfasst das fahrzeuginterne Netzwerkintrusionserfassungsverfahren Folgendes:[0031] Referring to FIG. 1, the in-vehicle network intrusion detection method includes:
[0032] Schritt 101. Jedes Mal, nachdem eine T-Box N Pakete empfangen hat, Erfassen einer Sendeknotenidentität und der Empfangszeit der N empfangenen Pakete und des Empfangszeitintervalls zweier anliegender Pakete, wobei N eine positive Ganzzahl ist.Step 101. Each time after a T-Box has received N packets, detecting a transmit node identity and the reception time of the N received packets and the reception time interval of two adjacent packets, N being a positive integer.
[0033] Schritt 102. Erfassen einer Taktverschiebung eines Sendeknotens entsprechend der Sendeknotenidentität, um einen theoretischen Taktverschiebungswert zu erhalten, wobei dertheoretische Taktverschiebungswert durch Untersuchen der Zeitinformationen der Sendepakete durch jeden Sendeknoten in normalen Netzwerkbedingungen erhalten wird, und wobei jeder Sendeknoten einer Taktverschiebung entspricht.Step 102. Detecting a clock shift of a transmission node according to the transmission node identity to obtain a theoretical clock shift value, the theoretical clock shift value being obtained by examining the time information of the transmission packets by each transmission node in normal network conditions, and wherein each transmission node corresponds to a clock shift.
[0034] Schritt 103. Berechnen eines Identifizierungsfehlers und eines tatsächlichen Taktverschiebungswertes gemäss der Empfangszeit und dem Empfangszeitintervall. Der Schritt ist insbesondere wie folgt:Step 103. Calculate an identification error and an actual clock shift value according to the reception time and the reception time interval. The step is particularly as follows:
[0035] Festlegen eines linearen Regressionsmodells o„J*] = S[fc]s'r[i.] + e[ÄJ, wobei k die Anzahl der Male zum Empfangen der N Pakete ist; Oaoo[k] eine kumulative Taktabweichung ist, welche durch Analysieren der N Pakete zum k-ten Mal erhalten wird; S[k] den tatsächlichen Taktverschiebungswert bezeichnet; t[k] die Systemlaufzeit ist; und e[k] der Identifizierungsfehler ist; und [0036] Berechnen des Identifizierungsfehlers durch Verwenden eines rekursiven Kleinstquadratenverfahrens gemäss dem linearen Regressionsmodell, der Empfangszeit und dem Empfangszeitintervall.Establishing a linear regression model o "J *] = S [fc] s ' r [i.] + E [ÄJ, where k is the number of times to receive the N packets; O aoo [k] is a cumulative clock deviation obtained by analyzing the N packets for the k-th time; S [k] denotes the actual clock shift value; t [k] is the system runtime; and e [k] is the identification error; and calculating the identification error using a recursive least squares method according to the linear regression model, the reception time and the reception time interval.
[0037] Schritt 104. Vergleichen des tatsächlichen Taktverschiebungswerts mit dem theoretischen Taktverschiebungswert, um eine Identität eines Sendeknotens zu bestimmen, der ein Paket sendet.Step 104. Compare the actual clock skew value to the theoretical clock skew value to determine an identity of a sending node sending a packet.
[0038] Schritt 105. Berechnen, unter Verwendung eines kumulativen Summenverfahrens eines Mittelwerts und einer Varianz der mehrfach empfangenen Identifizierungsfehler.Step 105. Calculate using a cumulative sum method of an average and a variance of the multiple received identification errors.
[0039] Schritt 106. Berechnen eines kumulativen Identifizierungsfehlers gemäss dem Mittelwert, der Varianz und dem theoretischen Taktverschiebungswert.Step 106. Calculate a cumulative identification error according to the mean, the variance and the theoretical clock shift value.
CH 714 535 B1 [0040] Schritt 107. Wenn der kumulative Identifizierungsfehler einen gegebenen Schwellenwert überschreitet, Bestimmen, dass ein fahrzeuginternes Netzwerk abnormal ist; und wenn der kumulative Identifizierungsfehler den gegebenen Schwellenwert nicht überschreitet, bestimmen, dass das fahrzeuginterne Netzwerk normal ist.CH 714 535 B1 Step 107. If the cumulative identification error exceeds a given threshold, determine that an in-vehicle network is abnormal; and if the cumulative identification error does not exceed the given threshold, determine that the in-vehicle network is normal.
[0041] Ein spezifischer Vorgang zum Erhalten des theoretischen Taktverschiebungswerts durch Untersuchen von Zeitinformationen zum Senden von Paketen durch jeden Sendeknoten in einem normalen Netzwerkzustand ist wie folgt:[0041] A specific process for obtaining the theoretical clock shift value by examining time information for sending packets by each sending node in a normal network state is as follows:
[0042] Erfassen eines Zeitstempels der Empfangszeit der N Pakete;[0042] acquiring a time stamp of the reception time of the N packets;
[0043] Berechnen einer Sendeperiode eines Pakets gemäss dem Zeitstempel der Empfangszeit der N Pakete; Berechnen einer kumulativen Abweichung gemäss der Sendeperiode und dem Zeitstempel der Empfangszeit; und [0044] Berechnen der Taktverschiebung gemäss der kumulativen Abweichung, um den theoretischen Taktverschiebungswert zu erhalten.Calculating a transmission period of a packet according to the time stamp of the reception time of the N packets; Calculating a cumulative deviation according to the transmission period and the time stamp of the reception time; and calculating the clock shift according to the cumulative deviation to obtain the theoretical clock shift value.
[0045] Fig. 2 zeigt ein Strukturdiagramm eines fahrzeuginternen Netzwerkintrusionserfassungssystems der vorliegenden Erfindung.Fig. 2 shows a structural diagram of an in-vehicle network intrusion detection system of the present invention.
[0046] Bezugnehmend auf Fig. 2, umfasst das fahrzeuginterne Netzwerkintrusionserfassungssystem ein Zeitgebermodul 1, ein Erfassungsmodul 4, ein Untersuchungsmodul 3 und eine Cloud-Steuerplattform 5, wobei ein Ausgangsende des Zeitgebermoduls 1 mit einem Kommunikationsmodul 2 einer T-Box verbunden ist, ein Ausgangsende des Kommunikationsmoduls 2 mit dem Untersuchungsmodul 3 verbunden ist, das Kommunikationsmodul 2 ferner in einer bidirektionalen Verbindung mit der Cloud-Steuerplattform 5 und dem Detektionsmodul 4 ist, und ein Ausgangsende des Untersuchungsmoduls 3 mit dem Erfassungsmodul 4 verbunden ist.2, the in-vehicle network intrusion detection system includes a timer module 1, a detection module 4, an investigation module 3, and a cloud control platform 5, wherein an output end of the timer module 1 is connected to a communication module 2 of a T-box, an output end of the communication module 2 is connected to the examination module 3, the communication module 2 is furthermore in a bidirectional connection with the cloud control platform 5 and the detection module 4, and an output end of the examination module 3 is connected to the detection module 4.
[0047] Das fahrzeuginterne, basierend auf einem CAN-Bus der T-Box konstruierten und entwickelten (Netzwerk-Intrusionserfassungssystem ist für den netzwerkinternen Informationssicherheitsschutz intelligenter vernetzter Automobile geeignet, erfasst Intrusionen und Angriffe auf das fahrzeuginterne Netzwerk von Hackern in Echtzeit und ergreift frühzeitig entsprechende Abwehr- und Notfallmassnahmen, um die durch den Angriff verursachten Risiken und Schäden für die Fahrzeuge zu minimieren, in der vorliegenden Erfindung wird das fahrzeuginterne Netzwerkintrusionserfassungssystem in der T-Box eingesetzt, um das fahrzeuginterne CAN-Netzwerk zu überwachen, wobei die Klassifizierung gemäss Datensicherheitsbedrohungspegeln auf dem Netzwerkbus durchgeführt wird und ein zu schützendes Paket überwacht wird. Das Zeitgebermodul 1 des fahrzeuginternen Netzwerkintrusionserfassungssystems wird verwendet, um eine genaue Zeitsteuerung durchzuführen, und der Zeitstempel des von dem fahrzeuginternen Netzwerkintrusionserfassungssystem empfangenen Pakets wird aufgezeichnet. Der Zeitstempel, die Identität (oder ID) des Sendeknotens, der ein Paket sendet, und das Datenfeld sind in ein Erfassungspaket gepackt. Das Erfassungspaket wird in einer First-in-first-out-Warteschlange (FIFO, first-in first-out) gespeichert, und Daten im Erfassungspaket werden durch die FIFO-Warteschlange gelesen, um eine Taktverschiebung des Sendeknotens zu berechnen. Die Taktverschiebung wird als ein Fingerabdruckmerkmal des Sendeknotens verwendet, und dann wird unter Verwendung eines Erfassungsalgorithmus bestimmt, ob eine Intrusion auftritt. Der Typ einer Intrusion und eines Angriffs wird durch eine sich ändernde Situation des Fingerabdruckmerkmals bestimmt, und Echtzeitalarminformationen werden an die Cloud-Steuerplattform 5 gesendet, sodass die Cloud-Steuerplattform 5 auf der Grundlage der Alarminformation zeitnah Abwehrmassnahmen ergreifen kann. Ein Erfassungsergebnis wird in Form von Protokollen aufgezeichnet, in einem Lese-Speicher (ROM, Nur-Lese-Speicher) der T-Box gespeichert und zu einer geeigneten Zeit in die Cloud geladen, damit die Cloud eine Intrusionsangriffskette und Schwachstellen im System weiter bestimmen kann, die detailliertere Informationen für die nachfolgende Verteidigung liefern. Die Cloud-Steuerungsplattform 5 kann auch aus eigener Initiative die T-Box auffordern, das Erfassungsergebnis zu senden, wenn der Bedarf besteht.The in-vehicle, based on a CAN bus of the T-Box constructed and developed (network intrusion detection system is suitable for the internal information security protection of intelligent networked automobiles, detects intrusions and attacks on the in-vehicle network of hackers in real time and takes appropriate countermeasures at an early stage - and emergency measures to minimize the risks and damage to the vehicles caused by the attack, in the present invention the in-vehicle network intrusion detection system in the T-Box is used to monitor the in-vehicle CAN network, the classification according to data security threat levels on the The timer module 1 of the in-vehicle network intrusion detection system is used to perform accurate timing and the timestamp of that of the in-vehicle Network intrusion detection system received packet is recorded. The time stamp, the identity (or ID) of the sending node sending a packet, and the data field are packed in a capture packet. The capture packet is stored in a first-in, first-out (FIFO) queue, and data in the capture packet is read by the FIFO queue to calculate a transmit node clock skew. The clock skew is used as a fingerprint feature of the transmit node, and then it is determined whether an intrusion occurs using a detection algorithm. The type of intrusion and attack is determined by a changing situation of the fingerprint feature, and real-time alarm information is sent to the cloud control platform 5 so that the cloud control platform 5 can take timely countermeasures based on the alarm information. A detection result is recorded in the form of logs, stored in a read-only memory (ROM, read-only memory) of the T-Box and loaded into the cloud at a suitable time so that the cloud can further determine an intrusion attack chain and weak points in the system which provide more detailed information for subsequent defense. The cloud control platform 5 can also, on its own initiative, request the T-Box to send the acquisition result if there is a need.
1. Zeitgebermodul 1 [0048] Das Zeitsteuermodul 1 ist konfiguriert, um eine Systemlaufzeit an das Kommunikationsmodul 2 zu senden. Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung basiert auf einem Taktverschiebungsmerkmal eines Sendeknotens (meist ECU) und daher ist ein genaues Zeitgebermodul 1 notwendig, um eine genaue Zeitsteuerung für das gesamte fahrzeuginterne Netzwerkintrusionserfassungssystem bereitzustellen. Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung hat eine Zeitgenauigkeit von 100 Mikrosekunden. Die vorliegende Erfindung verwendet einen 32-Bit-Zeitgeber zum Auswählen eines geeigneten Vorskalierungskoeffizienten gemäss einer Systemtaktfrequenz und zum Erzeugen einer Zählung alle 10 Mikrosekunden. Ein Überlauf-Interrupt wird erzeugt, wenn ein Zähler überläuft, wobei die Anzahl von Interrupt aufgezeichnet wird, um eine Zeit zu erhalten, wobei die Zeit die Systemlaufzeit ist.1. Timer module 1 The timer module 1 is configured to send a system runtime to the communication module 2. The in-vehicle network intrusion detection system of the present invention is based on a clock shift feature of a transmit node (mostly ECU), and therefore an accurate timer module 1 is necessary to provide accurate timing for the entire in-vehicle network intrusion detection system. The in-vehicle network intrusion detection system of the present invention has a time accuracy of 100 microseconds. The present invention uses a 32-bit timer to select an appropriate pre-scaling coefficient according to a system clock frequency and to generate a count every 10 microseconds. An overflow interrupt is generated when a counter overflows, and the number of interrupts is recorded to obtain a time, the time being the system run time.
2. Kommunikationsmodul 2 [0049] Das Kommunikationsmodul 2 zeichnet einen Zeitstempel einer Empfangszeit eines empfangenen Pakets und eine Identität eines ein Paket sendenden Sendeknotens entsprechend der Systemlaufzeit; das Kommunikationsmodul 2 sendet die Identität und den Zeitstempel der Empfangszeit an das Untersuchungsmodul 3 und an das Erfassungsmodul 4. Für ein fahrzeuginternes CAN-Netzwerk muss das fahrzeuginterne Netzwerkintrusionserfassungssystem mit dem CAN-Bus und der Cloud-Steuerplattform 5 kommunizieren. Die T-Box kommuniziert mit dem CAN-Bus durch Interrupt. In einem separaten Thread wird, wenn immer eine CAN-Controller-FIFO-Mailbox ein Paket empfängt, ein CAN-Paketempfangs-In2. Communication module 2 The communication module 2 draws a time stamp of a reception time of a received packet and an identity of a transmission node sending a packet in accordance with the system runtime; The communication module 2 sends the identity and the time stamp of the reception time to the examination module 3 and to the detection module 4. For an in-vehicle CAN network, the in-vehicle network intrusion detection system must communicate with the CAN bus and the cloud control platform 5. The T-Box communicates with the CAN bus through an interrupt. In a separate thread, whenever a CAN controller FIFO mailbox receives a packet, a CAN packet reception in
CH 714 535 B1 terrupt ausgelöst. Wenn das Interrupt ausgelöst wird, kann die T-Box eine aktuelle Zeit lesen, Paketdaten und eine Identität eines Sendeknotens als ein Erfassungspaket aufzeichnen und dann das Erfassungspaket in eine einfach verknüpfte Liste zum Speichern einfügen und an das Untersuchungsmodul 3 und das Erfassungsmodul 4 senden. Das Untersuchungsmodul 3 und das Erfassungsmodul 4 können Informationen verarbeiten, die von dem Erfassungspaket übertragen werden, das Paket erkennen und feststellen, ob ein Angriff vorliegt. Das Kommunikationsmodul 2 kommuniziert ferner mit der Cloud-Steuerplattform 5, sendet einen Angriffsalarm an die Cloud-Steuerplattform 5, empfängt eine Anweisung von der Cloud-Steuerplattform 5 und ergreift Abwehrmassnahmen, wie zum Beispiel Online-Aktualisierungen. Das Kommunikationsmodul 2 besteht hauptsächlich aus einem 4G-Modul, stellt über eine Dial-up-Verbindung eine TCP-Verbindung mit der Cloud-Steuerplattform 5 her und definiert ein spezifisches Anwendungsprotokoll für die Kommunikation.CH 714 535 B1 triggered terrupt. When the interrupt is triggered, the T-Box can read a current time, record packet data and an identity of a sending node as a capture packet, and then insert the capture packet into a simply linked list for storage and send it to the exam module 3 and the capture module 4. The examination module 3 and the detection module 4 can process information that is transmitted by the detection packet, recognize the packet and determine whether there is an attack. The communication module 2 also communicates with the cloud control platform 5, sends an attack alarm to the cloud control platform 5, receives an instruction from the cloud control platform 5 and takes countermeasures, such as online updates. The communication module 2 mainly consists of a 4G module, establishes a TCP connection with the cloud control platform 5 via a dial-up connection and defines a specific application protocol for the communication.
3. Untersuchungsmodul 3 [0050] Das Untersuchungsmodul 3 ist konfiguriert, um einen theoretischen Taktverschiebungswert des Sendeknotens gemäss dem Zeitstempel der Empfangszeit in einem normalen Netzwerkzustand zu bestimmen und den theoretischen Taktverschiebungswert an die Identität des Sendeknotens zu binden. Die Funktion des Untersuchungsmoduls 3 besteht darin, das empfangene Paket zu verarbeiten, ein Taktverschiebungsmerkmal des Sendeknotens unter Verwendung des rekursiven Verfahrens die kleinsten Quadrate zu extrahieren, das Taktverschiebungsmerkmal als ein Fingerabdruckmerkmal des Sendeknotens zu verwenden und Identitätsinformationen des Sendeknotens gemäss dem Fingerabdruckmerkmal zu identifizieren. Um das Verfahren der Berechnung der Taktverschiebung des Sendeknotens zu erklären, sollten zuerst die Konzepte einer Taktabweichung und einer Taktverschiebungsrate geklärt werden. Die Taktabweichung bezieht sich auf eine Differenz zwischen einem realen Takt und einem lokalen Takt des Sendeknotens. Die Taktverschiebungsrate bezieht sich auf eine Taktabweichung pro Zeiteinheit.3. Examination module 3 The examination module 3 is configured to determine a theoretical clock shift value of the transmitting node in accordance with the time stamp of the reception time in a normal network state and to bind the theoretical clock shift value to the identity of the transmitting node. The function of the examination module 3 is to process the received packet, to extract a clock shift feature of the transmission node using the recursive method, the smallest squares, to use the clock shift feature as a fingerprint feature of the transmission node and to identify identity information of the transmission node according to the fingerprint feature. In order to explain the method of calculating the clock shift of the transmission node, the concepts of a clock deviation and a clock shift rate should first be clarified. The clock deviation relates to a difference between a real clock and a local clock of the transmission node. The clock shift rate relates to a clock deviation per unit of time.
[0051] Wenn die T-Box N Pakete empfängt, welche vom Sendeknoten gesendet worden sind, wobei t0 = 0 ein Zeitstempel beim Senden eines ersten Rahmenpakets durch den Sendeknoten, T die Sendeperiode des Pakets, d, eine Netzwerkverzögerung, ti ein Zeitstempel des Empfangs des i-ten Pakets, O, eine Taktabweichung des i-ten Pakets, x, ein Empfangszeitintervall des i-ten Pakets und des ersten Pakets ist, ergibt sich:If the T-Box receives N packets that have been sent by the sending node, where t 0 = 0 is a time stamp when the first node sends a first frame packet, T the sending period of the packet, d, a network delay, ti a time stamp of the Reception of the i-th packet, O, a clock deviation of the i-th packet, x, a reception time interval of the i-th packet and the first packet results in:
= ti - ÉJ.= ti - ÉJ.
0; = ((i * T + dj) — dj) ~ (£;· — tj) [0052] Die Netzwerkverzögerung ist im Wesentlichen fest, das heisst, d, = d^ daher ergibt sich:0; = ((i * T + dj) - dj) ~ (£; · - tj) The network delay is essentially fixed, i.e. d, = d ^ therefore:
0. =£ *T-(ti - Ci) [0053] Um den Wert von T zu berechnen, werden jeweils N empfangene Pakete in eine Gruppe getrennt, eine durchschnittliche Sendeperiode der N Pakete wird als Sendeperiode T der Pakete berechnet, und eine mittlere Taktverschiebung jedes Pakets wird relativ zum ersten Paket berechnet. Die absoluten Werte der durchschnittlichen Taktverschiebungen werden summiert, um eine kumulative Taktabweichung zu erhalten. Aus der Definition kann bekannt sein, dass eine Neigung einer geraden Linie der kumulativen Taktverschiebung die Taktverschiebungsrate ist, und die für jeden Sendeknoten erhaltene Taktverschiebungsrate ist eine Konstante. Die Taktverschiebungsrate ist ein theoretischer Taktverschiebungswert. Daher kann die Taktverschiebungsrate jedes Sendeknotens entsprechend dem empfangenen Paket berechnet werden, wobei das Taktverschiebungsmerkmal des Sendeknotens zur Anomalie-Erfassung bereitgestellt ist, und als Fingerabdruckmerkmal des Sendeknotens verwendet wird.0. = £ * T- (ti - Ci) In order to calculate the value of T, N received packets are separated into a group, an average transmission period of the N packets is calculated as the transmission period T of the packets, and an average one The clock shift of each packet is calculated relative to the first packet. The absolute values of the average clock shifts are summed to obtain a cumulative clock deviation. From the definition, it can be known that an inclination of a straight line of the cumulative clock shift is the clock shift rate, and the clock shift rate obtained for each transmitting node is a constant. The clock shift rate is a theoretical clock shift value. Therefore, the clock shift rate of each transmission node can be calculated in accordance with the received packet, the clock shift characteristic of the transmission node being provided for anomaly detection, and used as a fingerprint characteristic of the transmission node.
4. Erfassungsmodul 4 [0054] Das Erfassungsmodul 4 ist konfiguriert, um eine Abweichung einer Taktverschiebung des Sendeknotens relativ zum theoretischen Taktverschiebungswert gemäss dem Zeitstempel der Empfangszeit während einer Intrusionserfassung zu bestimmen. Die Funktion des Erfassungsmoduls 4 basiert auf dem Fingerabdruckmerkmal, welches vom Untersuchungsmodul 3 extrahiert wird, und identifiziert, ob ein Angriff vorliegt durch Kombinieren eines Zustands des Pakets auf dem CAN-Bus. Man legt vorerst ein Modell eines normalen Zustands des CAN-Bus fest. Zur Identität eines Sendeknotens erhält man eine kumulative Taktabweichung des Sendeknotens basierend auf der Empfangszeit des Pakets. Die Taktverschiebungsrate, welche für jeden Sendeknoten erhalten ist, ist eine Konstante, und die kumulative Taktabweichung wächst linear mit der Zeit, sodass ein lineares Regressionsmodell festgelegt werden kann. Die Formel ist wie folgt ausgedrückt:4. Acquisition module 4 The acquisition module 4 is configured to determine a deviation of a clock shift of the transmission node relative to the theoretical clock shift value according to the time stamp of the reception time during an intrusion detection. The function of the acquisition module 4 is based on the fingerprint feature that is extracted by the examination module 3 and identifies whether there is an attack by combining a state of the packet on the CAN bus. A model of a normal state of the CAN bus is initially defined. For the identity of a sending node, a cumulative clock deviation of the sending node is obtained based on the time the packet was received. The clock shift rate obtained for each sending node is a constant, and the cumulative clock deviation grows linearly with time, so that a linear regression model can be established. The formula is expressed as follows:
=£[&]* t[fc] +e[fc], k ist die Anzahl von Male zum Empfang der N Pakete, und die N Pakete werden jedes Mal analysiert, Oacc[k] ist eine kumulative Taktabweichung, welche durch Analysieren der N Pakete für das k-te Mal erhalten wird, t[k] ist eine Systemlaufzeit, e[k] ist ein Identifizierungsfehler, das heisst ein Fehler, welcher während der Iteration erzeugt wird. S[k] ist eine Taktverschiebungsrate, welche die Neigung des linearen Regressionsmodells darstellt. Die Taktverschiebungsrate S[k] wird berechnet, indem das rekursive Verfahren die kleinsten Quadrate (RLS) verwendet wird. Der Identifizierungsfehler wird als eine Zielfunktion verwendet, um das Quadrat des Identifizierungsfehlers zu minimieren. Daher wird im rekursiven Verfahren der kleinsten Quadrate, der Identifizierungsfehler gegen null gehen. Die Empfangszeit der N Pakete und das= £ [&] * t [fc] + e [fc], k is the number of times to receive the N packets, and the N packets are analyzed each time, O a cc [k] is a cumulative clock deviation caused by Analyzing the N packets for the kth time obtained, t [k] is a system runtime, e [k] is an identification error, that is an error that is generated during the iteration. S [k] is a clock skew rate that represents the slope of the linear regression model. The clock shift rate S [k] is calculated using the recursive least squares method (RLS). The identification error is used as an objective function to minimize the square of the identification error. Therefore, in the least square recursive method, the identification error will go to zero. The reception time of the N packets and that
CH 714 535 B1CH 714 535 B1
Empfangszeitintervall jeder zwei Pakete sind durch Detektieren erhalten. Falls das vom Sendeknoten ausgesandte Paket für eine lange Zeitperiode nicht empfangen wird, zeigt dies, dass ein Denial-of-Service-Angriff (DOS, Denial of Service) vorliegt und der CAN-Bus sich in einem nicht normalen Zustand befindet. Nachdem die N Pakete empfangen worden sind, werden die kumulative Taktabweichung und der entsprechende Identifizierungsfehler und ein Verstärkungskoeffizient 6 und eine Kovarianz P in der rekursiven Methode der kleinsten Quadrate berechnet, nachdem der Zeitstempel der N Pakete erfasst worden ist, um die Taktverschiebungsrate S[k] zu erhalten. Eine Iteration wird ausgeführt, wenn die N Pakete jedes Mal empfangen werden, und die Taktverschiebungsrate S[k] und ein Identifizierungsfehlerwerden jedes Mal ausgegeben. Falls kein Angriff vorliegt, wird der Identifizierungsfehler Null erreichen, und die Taktverschiebungsrate ist konstant.Receive time interval of every two packets are obtained by detection. If the packet sent by the sending node is not received for a long period of time, this indicates that there is a denial of service (DOS) attack and the CAN bus is in an abnormal state. After the N packets have been received, the cumulative clock deviation and the corresponding identification error and a gain coefficient 6 and a covariance P in the least squares recursive method are calculated after the time stamp of the N packets has been acquired by the clock shift rate S [k] to obtain. An iteration is performed when the N packets are received every time, and the clock shift rate S [k] and an identification error are output every time. If there is no attack, the identification error will reach zero and the clock shift rate is constant.
[0055] Eine eventuelle abnormale Veränderung der Taktverschiebungsrate wird durch Verwendung des kumulativen Summenverfahrens bestimmt. Das Verfahren akkumuliert die Differenzen zwischen den überwachten Werten und den theoretischen Werten, um abrupte Verschiebungen zu erfassen. Da die kumulative Summe berechnet wird, werden auch kleine Abweichungen vom theoretischen Wert erfasst, wodurch der kumulative Wert stetig wächst oder abfällt. Die Varianz σ; und der Mittelwert μ„ des Identifizierungsfehlers werden nach jedem Schritt der Schätzung der Taktverschiebungsrate aktualisiert. Die Varianz σ; und der Mittelwert μβ des Identifizierungsfehlers stellen einen Zustand des CAN-Netzwerks dar, und sind auch theoretische Werte im Algorithmus der kumulativen Summe. Daher müssen diese Werte überwacht werden.A possible abnormal change in the clock shift rate is determined using the cumulative sum method. The method accumulates the differences between the monitored values and the theoretical values to detect abrupt shifts. Since the cumulative sum is calculated, even small deviations from the theoretical value are recorded, which means that the cumulative value increases or decreases steadily. The variance σ; and the mean value μ "of the identification error are updated after each step of estimating the clock shift rate. The variance σ; and the mean value μ β of the identification error represent a state of the CAN network, and are also theoretical values in the cumulative sum algorithm. Therefore these values must be monitored.
[0056] Um Auswirkungen eines Angriffs auf die theoretischen Werte zu verhindern, werden der Mittelwert und die Varianz nur aktualisiert, wenn μβ In order to prevent effects of an attack on the theoretical values, the mean value and the variance are only updated if μ β
Im Algorithmus der kumulativen Summe werden zwei Identifizierungsfehlerparameter eingestellt: einen maximalen Wert des kumulativen Identifizierungsfehlers und einen minimalen Wert des kumulativen Identifizierungswerts, wobei die Aktualisierung wie folgt durchgeführt wird:In the cumulative sum algorithm, two identification error parameters are set: a maximum value of the cumulative identification error and a minimum value of the cumulative identification value, the update being carried out as follows:
Lk_ = max{0,£( L k _ = max {0, £ (
Lk+ = max{0, Lk_i+ + - K}L k + = max {0, L k _ i + + - K}
Lk_-i_ ist ein minimaler Wert des kumulativen Identifizierungsfehlers, welcher durch Berechnung erhalten wird, nachdem die N Pakete zum letzten Mal empfangen werden, Lk_ ist ein minimaler Wert des kumulativen Identifizierungsfehlers, welcher durch Berechnung erhalten wird, nachdem die N Pakete zur jetzigen Zeit erhalten sind, Lk_1+ ist ein maximaler Wert des kumulativen Identifizierungsfehlers, welcher durch Berechnung erhalten wird, nachdem die N Pakete zum letzten Mal empfangen werden, und Lk+ ist ein maximaler Wert des kumulativen Identifizierungsfehlers, welcher durch Berechnung erhalten wird, nachdem die N Pakete zur jetzigen Zeit erhalten sind. K stellt die Standardabweichung einer vorgesehenen Erfassung. K kann durch Offline-Lernen oder durch Überwachung des Busses unter normalen Umständen erhalten werden. Der Wert von K sollte ermöglichen, dass der Wert von rL k _-i_ is a minimum value of the cumulative identification error obtained by calculation after the last time the N packets are received, L k _ is a minimum value of the cumulative identification error obtained by calculation after the N packets currently received, L k _ 1+ is a maximum value of the cumulative identification error obtained by calculation after the last time the N packets are received, and L k + is a maximum value of the cumulative identification error obtained by calculation after the N packets are received at the current time. K represents the standard deviation of an intended acquisition. K can be obtained by learning offline or by monitoring the bus under normal circumstances. The value of K should allow the value of r
Null erreicht, wenn das Netzwerk normal ist. Wenn der absolute Wert von Lk_ oder Lk+ eine gegebene Schwelle überschreitet, wird das Netzwerk als abnormal erklärt. Die vorgegebene Schwelle ist 5.Reached zero when the network is normal. If the absolute value of L k _ or L k + exceeds a given threshold, the network is declared abnormal. The default threshold is 5.
5. Cloud-Steuerplattform 5 [0057] Die Cloud-Steuerplattform 5 ist konfiguriert, um Alarminformationen zu empfangen, die durch das Kommunikationsmodul 2 gesendet werden, wenn das Erfassungsmodul 4 eine Netzwerkanomalie detektiert und ferner konfiguriert ist, um eine Online-Aktualisierungs-Anweisung und ein Aktualisierung-Paket an das Kommunikationsmodul 2 zu senden.5. Cloud control platform 5 The cloud control platform 5 is configured to receive alarm information sent by the communication module 2 when the detection module 4 detects a network anomaly and is further configured to provide an online update instruction and to send an update packet to the communication module 2.
[0058] Das Verfahren und das System der vorliegenden Erfindung überwachen dynamisch das fahrzeuginterne Netzwerk, basierend auf der T-Box und dem CAN-Bus, sind zum Überwachen von Anomalien in den meisten Automobilnetzwerken geeignet und haben universelle Anwendbarkeit; gemäss dem Verfahren der vorliegenden Erfindung wird eine Taktverschiebung eines Sendeknotens in einem normalen Netzwerkzustand erfasst, und die Taktverschiebung wird als Taktmarkierungsinformation des Sendeknotens verwendet, sodass eine Identifizierung einer Identität realisiert werden kann sowie eine von einem nicht zugewiesenen Sendeknoten identifiziert werden kann, und ein böswilliger Angriff kann verhindert werden, wodurch die Sicherheit des automobilen Netzwerks verbessert wird. Darüber hinaus weist die vorliegende Erfindung auch die folgenden technischen Effekte auf:The method and system of the present invention dynamically monitor the in-vehicle network based on the T-Box and the CAN bus, are suitable for monitoring anomalies in most automotive networks and have universal applicability; According to the method of the present invention, a clock shift of a transmission node is detected in a normal network state, and the clock shift is used as the clock marking information of the transmission node so that identification of an identity can be realized and one of an unassigned transmission node can be identified, and a malicious attack can be prevented, which improves the security of the automotive network. In addition, the present invention also has the following technical effects:
[0059] (1) Die vorliegende Erfindung kann wirksam Angriffe auf den CAN-Bus in dem Fahrzeug in Echtzeit erfassen, einschliesslich Injektionsangriffen, Denial-of-Service-Angriffen, Maskerade-Angriffen, Replay-Angriffen und anderen Angriffen.(1) The present invention can effectively detect attacks on the CAN bus in the vehicle in real time, including injection attacks, denial of service attacks, masquerade attacks, replay attacks and other attacks.
CH 714 535 B1 [0060] (2) Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung kann leicht in Fahrzeugen eines beliebigen Modells eingesetzt werden, ohne die ursprüngliche elektronische und elektrische Architektur des Fahrzeugs zu ändern oder zusätzliche Hardwareressourcen hinzuzufügen, hat geringe Kosten und ist zum Nachladen und auch zum Vorladen geeignet.CH 714 535 B1 (2) The in-vehicle network intrusion detection system of the present invention can be easily implemented in vehicles of any model without changing the original electronic and electrical architecture of the vehicle or adding additional hardware resources, is low in cost, and is reloadable and also suitable for preloading.
[0061] (3) Das Erfassungsverfahren der vorliegenden Erfindung kann einen Sendeknoten eines Pakets gemäss dem Taktmerkmal des Sendeknotens identifizieren und die Identität des Sendeknotens identifizieren.(3) The detection method of the present invention can identify a sending node of a packet according to the clock characteristic of the sending node and identify the identity of the sending node.
[0062] (4) Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung verwendet ein leichtes Erfassungsverfahren, das auf derT-Box läuft, nimmt wenig Hardwareressourcen ein und weist eine Echtzeiterfassung und eine kurze Erfassungsreaktionszeit auf.(4) The in-vehicle network intrusion detection system of the present invention uses an easy detection method that runs on the T-Box, consumes little hardware resources, and has real-time detection and a short detection response time.
[0063] (5) Das fahrzeuginterne Netzwerkintrusionserfassungsverfahren der vorliegenden Erfindung erfordert keine Änderung der Fahrzeug-CAN-Bus-Protokollmatrix.(5) The in-vehicle network intrusion detection method of the present invention does not require changing the vehicle CAN bus protocol matrix.
[0064] (6) Das fahrzeuginterne Netzwerkintrusionserfassungsverfahren der vorliegenden Erfindung weist eine hohe Detektionsrate und eine niedrige Fehlalarmrate auf.(6) The in-vehicle network intrusion detection method of the present invention has a high detection rate and a low false alarm rate.
[0065] (7) Das fahrzeuginterne Netzwerkintrusionserfassungssystem der vorliegenden Erfindung kommuniziert in Echtzeit mit der Cloud-Steuerplattform, zeichnet erfasste Angriffe auf und lädt diese auf die Cloud-Steuerplattform hoch. Die CloudSteuerplattform entwickelt neue Abwehrmassnahmen gemäss den Aufzeichnungen des Angriffsverhaltens und führt eine Fernaktualisierung des fahrzeuginternen Intrusionserfassungssystems durch.(7) The in-vehicle network intrusion detection system of the present invention communicates in real time with the cloud control platform, records captured attacks, and uploads them to the cloud control platform. The cloud control platform develops new countermeasures in accordance with the records of the attack behavior and carries out a remote update of the intrusion detection system inside the vehicle.
[0066] Mehrere Beispiele sind zur Veranschaulichung der Prinzipien und Implementierungsverfahren der vorliegenden Erfindung verwendet worden. Die Beschreibung der Ausführungsformen wird verwendet, um die Veranschaulichung des Verfahrens und seiner Kernprinzipien gemäss der vorliegenden Erfindung zu vereinfachen. Zudem können Fachleute auf dem Gebiet verschiedene Modifikationen hinsichtlich spezifischer Ausführungsformen und Anwendungsbereiche entsprechend den Lehren der vorliegenden Erfindung vornehmen. Zusammenfassend soll der Inhalt dieser Beschreibung nicht als eine Einschränkung der Erfindung verstanden werden.[0066] Several examples have been used to illustrate the principles and implementation methods of the present invention. The description of the embodiments is used to simplify the illustration of the method and its core principles according to the present invention. In addition, those skilled in the art can make various modifications to specific embodiments and areas of application in accordance with the teachings of the present invention. In summary, the content of this description should not be understood as a limitation of the invention.
Claims (5)
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711385344.9A CN108111510A (en) | 2017-12-20 | 2017-12-20 | A kind of in-vehicle network intrusion detection method and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CH714535A2 CH714535A2 (en) | 2019-06-28 |
| CH714535B1 true CH714535B1 (en) | 2020-01-15 |
Family
ID=62211379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CH00436/18A CH714535B1 (en) | 2017-12-20 | 2018-04-04 | In-vehicle network intrusion detection method and system. |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108111510A (en) |
| CH (1) | CH714535B1 (en) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2706887C2 (en) * | 2018-03-30 | 2019-11-21 | Акционерное общество "Лаборатория Касперского" | System and method for blocking computer attack on vehicle |
| CN109150847B (en) * | 2018-07-27 | 2021-08-17 | 北京梆梆安全科技有限公司 | Method and device for detecting network intrusion risk of vehicle |
| CN109117632B (en) * | 2018-07-27 | 2021-05-07 | 北京梆梆安全科技有限公司 | Method and device for determining risk of vehicle intrusion |
| CN108881486A (en) * | 2018-08-01 | 2018-11-23 | 北京航空航天大学 | Intelligent network connection vehicle remote communication means and system based on trusted technology |
| CN111343062B (en) * | 2018-12-18 | 2022-11-08 | 厦门雅迅网络股份有限公司 | In-vehicle electronic control unit identification method, system and storage medium |
| CN110505134B (en) * | 2019-07-04 | 2021-10-01 | 国家计算机网络与信息安全管理中心 | Internet of vehicles CAN bus data detection method and device |
| KR20220041075A (en) * | 2019-08-08 | 2022-03-31 | 스미토모 겐키 가부시키가이샤 | shovel, information processing device |
| CN110830435A (en) * | 2019-08-27 | 2020-02-21 | 国家电网有限公司信息通信分公司 | Method and device for extracting network flow space-time characteristics and detecting abnormity |
| CN111107623A (en) * | 2019-12-10 | 2020-05-05 | 陕西凌云电器集团有限公司 | System clock synchronization method |
| CN111355714A (en) * | 2020-02-20 | 2020-06-30 | 杭州电子科技大学 | Attacker identification method based on fingerprint feature learning of vehicle control unit |
| CN111311912B (en) * | 2020-02-25 | 2021-08-24 | 北京天融信网络安全技术有限公司 | Internet of vehicles detection data determination method and device and electronic equipment |
| CN113627215B (en) * | 2020-05-07 | 2024-04-23 | 厦门雅迅网络股份有限公司 | ECU (electronic control unit) identification method based on CAN (controller area network) signal characteristics and storage medium |
| CN111464772B (en) * | 2020-05-22 | 2023-08-18 | 北京罗克维尔斯科技有限公司 | Method and device for setting time stamp on recorded video and electronic equipment for vehicle |
| CN113810339A (en) * | 2020-06-12 | 2021-12-17 | 广州汽车集团股份有限公司 | Automobile internal network safety early warning method and system |
| CN112550281B (en) * | 2020-12-29 | 2022-05-13 | 广州小鹏自动驾驶科技有限公司 | Automatic parking control method and device |
| CN112953723B (en) * | 2021-02-08 | 2023-04-18 | 北京邮电大学 | Vehicle-mounted intrusion detection method and device |
| CN113179195A (en) * | 2021-04-28 | 2021-07-27 | 重庆长安汽车股份有限公司 | CAN message embedded point detection method, system, device and computer readable storage medium |
| CN114430308A (en) * | 2021-12-09 | 2022-05-03 | 西安昆仑工业(集团)有限责任公司 | Method for correcting time sequence accidental dislocation caused by software timing transmission time drift |
| CN114422181A (en) * | 2021-12-11 | 2022-04-29 | 浙江吉利控股集团有限公司 | Vehicle data message safety communication method |
| CN114615086B (en) * | 2022-04-14 | 2023-11-03 | 合肥工业大学 | Vehicle-mounted CAN network intrusion detection method |
| CN115118493B (en) * | 2022-06-27 | 2023-11-10 | 北京天融信网络安全技术有限公司 | Message query method and device, electronic equipment and storage medium |
| CN115320538A (en) * | 2022-07-20 | 2022-11-11 | 国汽智控(北京)科技有限公司 | Intelligent network automobile intrusion detection system and method |
| CN115150198B (en) * | 2022-09-01 | 2022-11-08 | 国汽智控(北京)科技有限公司 | Vehicle-mounted intrusion detection system, method, electronic device and storage medium |
| CN116319146B (en) * | 2023-02-01 | 2024-07-05 | 南京航空航天大学 | Implementation method and storage medium for function management of vehicle-mounted CAN (controller area network) message |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103237308B (en) * | 2013-05-15 | 2015-05-06 | 西华大学 | Distributed intrusion detection method of vehicle ad hoc network |
| KR101638613B1 (en) * | 2015-04-17 | 2016-07-11 | 현대자동차주식회사 | In-vehicle network intrusion detection system and method for controlling the same |
| CN106603578B (en) * | 2017-02-15 | 2018-03-23 | 北京航空航天大学 | A kind of centralized T BOX Information Security Defending Systems |
| CN106899614B (en) * | 2017-04-14 | 2019-09-24 | 北京梆梆安全科技有限公司 | In-vehicle network intrusion detection method and device based on the message period |
-
2017
- 2017-12-20 CN CN201711385344.9A patent/CN108111510A/en active Pending
-
2018
- 2018-04-04 CH CH00436/18A patent/CH714535B1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| CN108111510A (en) | 2018-06-01 |
| CH714535A2 (en) | 2019-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CH714535B1 (en) | In-vehicle network intrusion detection method and system. | |
| EP3278529B1 (en) | Attack detection method, attack detection device and bus system for a motor vehicle | |
| DE102016101327B4 (en) | Method for responding to unauthorized electronic access to a vehicle | |
| CN108520187B (en) | Industrial control system physical intrusion attack detection method based on serial communication bus signal analysis | |
| DE102018122152A1 (en) | SYSTEMS AND METHOD FOR IMPACT DETECTION INTO THE NETWORK IN THE VEHICLE | |
| DE102017208547A1 (en) | Method for protecting a network from cyber attack | |
| DE112012006919B4 (en) | A communication device and method for predicting idle times of a bus based on usage state information | |
| DE102012109212B4 (en) | Methods, apparatus and products of manufacture for providing firewalls for process control systems | |
| DE102013210102A1 (en) | DEVICE AND METHOD FOR DETECTING AN ATTACK TO A VEHICLE-SIDED NETWORK | |
| DE102015109057A1 (en) | Lock access to confidential vehicle diagnostic data | |
| DE102014200558A1 (en) | Secure network access protection via authenticated timekeeping | |
| DE112018005352T5 (en) | INFORMATION PROCESSING DEVICE, MOVING DEVICE, METHOD AND PROGRAM | |
| DE102019207423A1 (en) | Method and system for detecting coupled message anomalies | |
| DE102018115266A1 (en) | MALWARE DETECTION SYSTEM FOR ATTACKING PREVENTION | |
| WO2018077528A1 (en) | Detection of manipulations in a can network by checking can identifiers | |
| DE112019005529T5 (en) | On-vehicle communication device, communication control method, and communication control program | |
| DE102015207050A1 (en) | Method for determining a channel load and method for setting a preprocessing in a vehicle-to-X communication, vehicle-to-X communication system and computer-readable storage medium | |
| DE102020127631A1 (en) | IMPROVING VEHICLE SAFETY | |
| EP3734930A1 (en) | Attack detection on comptersystems | |
| DE102014214300A1 (en) | Device and method for error and attack detection for a motor vehicle | |
| EP3655909B1 (en) | Methods and devices for communication which is interoperable between subscribers | |
| DE102015218373A1 (en) | Monitor an integrity of a test record | |
| WO2017162395A1 (en) | Method for monitoring the security of communication connections of a vehicle | |
| DE102016214279A1 (en) | Method and device for operating a bus system | |
| DE102021202075A1 (en) | Procedures for validating messages |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PK | Correction |
Free format text: BERICHTIGUNG ERFINDER |