DE102019210227A1 - Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk - Google Patents

Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk Download PDF

Info

Publication number
DE102019210227A1
DE102019210227A1 DE102019210227.1A DE102019210227A DE102019210227A1 DE 102019210227 A1 DE102019210227 A1 DE 102019210227A1 DE 102019210227 A DE102019210227 A DE 102019210227A DE 102019210227 A1 DE102019210227 A1 DE 102019210227A1
Authority
DE
Germany
Prior art keywords
network
deviation
determined
data
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019210227.1A
Other languages
English (en)
Inventor
Jens Gramm
Andreas Weber
Janin Wolfinger
Michael Herrmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019210227.1A priority Critical patent/DE102019210227A1/de
Priority to US16/921,126 priority patent/US11700271B2/en
Priority to CN202010656062.3A priority patent/CN112217785A/zh
Publication of DE102019210227A1 publication Critical patent/DE102019210227A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk, wobei wenigstens zwei Nachrichten an einem Port des Kommunikationsnetzwerks beobachtet werden (304), wobei eine Eigenschaft eines Kommunikationsverhaltens eines Netzwerkteilnehmers abhängig von den wenigstens zwei Nachrichten bestimmt wird (308), wobei eine Abweichung der Eigenschaft von einer erwarteten Eigenschaft bestimmt wird (308), und wobei ein Vorliegen einer Anomalie erkannt wird (314), wenn die Abweichung einer zulässigen Abweichung abweicht, wobei die erwartete Eigenschaft ein Kommunikationsverhalten des wenigstens einen Netzwerkteilnehmers abhängig von einer insbesondere statischen Netzwerkarchitektur des Kommunikationsnetzwerks definiert.

Description

  • Stand der Technik
  • Die Erfindung geht aus von einer Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk insbesondere in einem Fahrzeug.
  • Network Intrusion Detection and Prevention Systeme, NIDPS, werden verwendet, um Anomalieen zu erkennen und gegebenenfalls auf erkannte Anomalien zu reagieren. Dies erhöht die Betriebssicherheit von Kommunikationsnetzwerken insbesondere im Hinblick auf Angriffsszenarien.
  • Wünschenswert ist es, die Betriebssicherheit eines Kommunikationsnetzwerks insbesondere eines Fahrzeugs weiter zu verbessern.
  • Offenbarung der Erfindung
  • Dies wird erreicht durch eine Vorrichtung und ein Verfahren nach den unabhängigen Ansprüchen.
  • Um ein NIDPS für ein Automotive-Netzwerk bereitzustellen, sind Unterschiede von Automotive- zu Enterprise-Netzwerken zu berücksichtigen. Diese sind beispielsweise deren Netzwerkstruktur, Netzwerkdynamik und deren Netzwerkknoten.
  • Netzwerkstruktur:
  • Ein Enterprise-Netzwerk folgt typischerweise einem Client-Server-Modell, in dem es eine kleinere Anzahl an dedizierten Server-Netzwerkknoten gibt, die Dienste an eine typischerweise höhere Anzahl an Client-Netzwerkknoten anbieten. Automotive-Netzwerke bestehen aus ECUs, auf denen sowohl Server- wie auch Client-Applikationen ausgeführt werden.
  • Enterprise-Netzwerke sind im Allgemeinen wesentlich größer und komplexer als Automotive-Netzwerke. Die Gesamtheit eines Enterprise-Netzwerks ist typischerweise wesentlich segmentierter, physisch oder logisch separiert in verschiedene Zonen und Sub-Netzwerke. ECUs in typischen Automotive-Netzwerken sind, falls überhaupt, durch sogenannte „Gateways“ nur in sehr wenige Teilnetzwerke separiert oder logisch auf Ethernet-Ebene über sogenannte „Virtual Local Area Networks“ (VLANs) getrennt.
  • Netzwerkdynamik:
  • Enterprise- und Automotive-Netzwerken unterscheiden sich in der Dynamik, mit der sich das Netzwerk verändert und betrieben wird.
  • In Enterprise-Netzwerken können Netzwerkknoten beliebig ausgetauscht werden. Für Veränderungen bei Server-Netzwerkknoten kann typischerweise noch eine Anpassung in der Konfiguration der Verteidigungssysteme, wie bspw. das NIDPS, durchgeführt werden. Dagegen sind solche Anpassungen bei Netzwerknoten, die Clients sind, nicht möglich. Dies liegt daran, dass Clients sich von wechselnden Standorten zum Netzwerk verbinden und häufig ausgetauscht werden. Weiterhin lässt sich nicht genau vorhersagen, welche Applikationen auf einem Client ausgeführt werden.
  • ECUs in Automotive Netzwerken werden, wenn überhaupt, sehr selten ausgetauscht und werden dann häufig auch nur durch eine identische Kopie ausgetauscht. Daher ist es sehr unwahrscheinlich, dass sich an der Funktionsweise des Netzwerks etwas ändert. In einem Automotive-Netzwerk sind die Netzwerkknoten durchweg bekannt. Ebenso sind die darauf jeweils laufenden Server- und Client-Applikationen wohldefiniert und Details über die Netzwerkkommunikation können vorgegeben sein.
  • In Enterprise-Netzwerken können Knoten von Außerhalb Verbindungen in ein Unternehmensnetzwerk hinein aufbauen. In einem Automotive-Netzwerk sind alle Kommunikationsknoten des Netzwerks Teil des internen Fahrzeugnetzwerks.
  • In Enterprise-Netzwerken können typischerweise verschiedene Benutzer den gleichen Client verwenden können. In ECUs von Automotive-Netzwerken gibt es keine Benutzer, sondern lediglich Server- und Client-Applikationen, die ihren Dienst verrichten.
  • Netzwerkknoten:
  • Hinsichtlich der Ressourcen sind die Netzwerkknoten eines Enterprise-Netzwerks im Allgemeinen um ein vielfaches ressourcenstärker - zum Beispiel in Bezug auf Speicher und Performanz - als ECUs eines Automotive-Netzwerks.
  • Hinsichtlich der Software sind in Enterprise-Netzwerken die Netzwerkknoten meist mit weit verbreiteten Standard-Betriebssystemen und Standard-Software ausgestattet, für die Security-Schwachstellen bekannt sind. Deshalb liegt ein Schwerpunkt von NIDPS-Systemen in Enterprise-Netzwerken darin, signaturbasiert zu erkennen, wenn versucht wird, bekannte Security-Schwachstellen auszunutzen. Die Netzwerkknoten in Automotive-Netzwerken sind oft mit weniger verbreiteter Software ausgestattet. Ein Großteil der Signaturen aus NIDPS-Systemen für Enterprise-Netzwerke ist nicht anwendbar, und es gibt keine größeren Datenbanken über spezifisch für Automotive-Netzwerke bekannte Schwachstellen.
  • Zwar ist die grundsätzliche Aufgabe eines NIDPS, d.h. Detektieren und Reagieren auf Anomalien im Netzwerkverkehr, bei Enterprise- und Automotive-Netzwerken gleich. Aus den oben genannten Punkten wird allerdings ersichtlich, dass sich die grundsätzliche Funktionsweise eines effizienten NIDPS für Automotive-Netzwerke grundsätzlich von der eines NIDPS für Enterprise-Netzwerke unterscheiden muss. Ein NIDPS für ein Automotive-Netzwerk muss sich die bekannte und statische Netzwerkstruktur sowie die wesentlich geringere Dynamik der Netzwerkteilnehmer zunutze machen, um Anomalien mit begrenzten Ressourcen effizient detektieren zu können.
  • Ein Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk, sieht vor, dass wenigstens zwei Nachrichten an einem Port des Kommunikationsnetzwerks beobachtet werden, wobei eine Eigenschaft eines Kommunikationsverhaltens eines Netzwerkteilnehmers abhängig von den wenigstens zwei Nachrichten bestimmt wird, wobei eine Abweichung der Eigenschaft von einer erwarteten Eigenschaft bestimmt wird, und wobei ein Vorliegen einer Anomalie erkannt wird, wenn die Abweichung einer zulässigen Abweichung abweicht, wobei die erwartete Eigenschaft ein Kommunikationsverhalten des wenigstens einen Netzwerkteilnehmers abhängig von einer insbesondere statischen Netzwerkarchitektur des Kommunikationsnetzwerks definiert. Damit wird in einem Automotive Ethernet Netzwerk der Netzwerkverkehr an einem vorhandenen Ethernet-Ports analysiert und eine Anomalie identifiziert, die durch einen Angreifer im Netzwerk verursacht wird. Dies könnte beispielsweise an einem Automotive Ethernet Switch, an dessen Hardware-Ports, d.h. dessen Switch-Ports, umgesetzt sein oder an Hardware-Ports eines beliebigen Teilnehmers am Automotive Ethernet Netzwerk in einem Fahrzeug. Die Anomalie-Erkennung beruht beispielsweise auf einer Analyse von mindestens zwei Ethernet Paketen und der daraus resultierenden Ableitung des Kommunikationsverhaltens eines Netzwerkteilnehmers. Weicht das beobachtete Kommunikationsverhaltens eines Netzwerkteilnehmers zu sehr von dem erwarteten Kommunikationsverhaltens ab, so wird eine Anomalie detektiert. Mit Automotive Ethernet wird Ethernet Technologie beispielsweise gemäß 100BASE-T1 Version 1.0, 1000BASE-T1 oder 100BASE-TX bezeichnet.
  • Vorzugsweise wird die erwartete Eigenschaft auf Basis eines Modells bestimmt, das ein Kommunikationsverhalten von Netzwerkteilnehmern modelliert. Das Modell modelliert das Kommunikationsverhalten. In einem Fahrzeug ist das Modell abhängig von Wissen über das Fahrzeug definiert.
  • Vorzugsweise wird ein Maß für eine Schwere der Anomalie abhängig von der Eigenschaft des Kommunikationsverhaltens des wenigstens einen Netzwerkteilnehmers, der erwarteten Eigenschaft und/oder der Abweichung bestimmt, wobei abhängig von der Schwere der Anomalie eine Reaktion bestimmt wird. Damit ist eine Reaktion abhängig von dem Ergebnis der Anomalieerkennung besonders gut bestimmbar.
  • Besonders vorteilhaft ist es, wenn die Reaktion abhängig von der Schwere der Anomalie aus einer Vielzahl definierter Reaktionen ausgewählt. Für das Fahrzeug sind beispielsweise Reaktionen abhängig von Wissen über das Fahrzeug definiert. Von diesen Reaktionen wird die für die jeweilige Schwere der Anomalie am besten geeignete Reaktion ausgewählt und umgesetzt. Dies verbessert die Betriebssicherheit des Fahrzeugs signifikant.
  • Vorzugsweise ist vorgesehen, dass die Reaktion eine Meldung an eine zentrale Stelle, ein Verwerfen eines Datenpakets insbesondere einer der Nachrichten und/oder ein Übergang des Kommunikationsnetzwerks in einen sicheren Zustand umfasst. Damit wird eine angemessene Reaktion ausgelöst.
  • Vorzugsweise ist das Modell abhängig von Information über einen statischen Teil des Kommunikationsnetzwerks, insbesondere eine statische Netzwerkarchitektur vorzugsweise eines Fahrzeugs, definiert, wobei die erwartete Eigenschaft abhängig von Information über den statischen Teil des Kommunikationsnetzwerks, insbesondere die statischen Netzwerkarchitektur definiert ist.
  • Vorzugsweise ist vorgesehen, dass die erwartete Eigenschaft ein Verhältnis zwischen einer ersten Datenmenge und einer zweiten Datenmenge insbesondere in einem definierten Zeitraum ausgetauschter Daten, definiert, wobei erste Datenpakete oder Nachrichten, deren Absender ein erster Netzwerkteilnehmer und deren Empfänger ein zweiter Netzwerkteilnehmer ist, die erste Datenmenge definiert, und wobei zweite Datenpakete oder Nachrichten, deren Absender der zweite Netzwerkteilnehmer und deren Empfänger der erste Netzwerkteilnehmer ist, die zweite Datenmenge definiert. Zum Beispiel wird durch ein Systemwissen vorgegeben, dass zwischen einem ersten Steuergerät ECU_A und einem zweiten Steuergerät ECU_B ein Verhältnis der ersten Datenmenge zur zweiten Datenmenge 3:1 betragen soll. Falls nun detektiert wird, dass in einer bestimmten Zeitperiode dieses Verhältnis 10:1 ist, so beträgt die Abweichung im Beispiel 7. Wenn die zulässige Abweichung beispielsweise 4 beträgt, würde in diesem Beispiel die Abweichung diese zulässige Abweichung überschreiten. Damit würde in diesem Fall eine Anomalie erkannt. Wenn die zulässige Abweichung beispielsweise 8 beträgt, würde in diesem Fall keine Anomalie erkannt.
  • Vorzugsweise wird während der Anomalieerkennung zwischen verschiedenen Systemzuständen unterscheiden, in denen sich das Fahrzeug befindet, insbesondere zwischen den Systemzuständen, Zündung an, Motor läuft im Leerlauf, Vorwärtsfahrt, Rückwärtsfahrt, oder Fahrzeugdiagnose wird durchgeführt, wobei ein Systemzustand des Fahrzeugs bestimmt wird, und wobei die erwartete Eigenschaft abhängig von dem Systemzustand bestimmt wird. Diese Unterscheidung ist besonders sinnvoll, wenn sich das Verhalten des Netzwerkverkehrs zwar in verschiedenen Systemzuständen signifikant unterscheiden kann, aber der Netzwerkverkehr im gleichen Systemzustand in einer Weise einheitlich ist. Dann ist der Netzwerkverkehr durch seine wesentlichen Eigenschaften modellierbar. Beispielsweise wird für unterschiedliche Systemzustände eine unterschiedliche zulässige Abweichung vorgegeben.
  • In einem Aspekt wird zu synchronen oder asynchronen Zeitpunkten ein Maß für die Abweichung bestimmt, und ein Vergleich des Maßes für die Abweichung mit einem Schwellwert durchgeführt wird, der die zulässige Abweichung definiert. Das Maß kann die zuvor beschriebene Abweichung des Verhältnisses von dem durch Systemwissen erwarteten Verhältnis der Datenmengen sein. In diesem Fall kann der Schwellwert die numerische Angabe der zulässigen Abweichung angeben. Vergleiche zu synchronen Zeitpunkten können beispielsweise in regelmäßigen zeitlichen Abständen durchgeführt werden. Asynchrone Überwachungen können beispielsweise nach Analyse einer festen Anzahl an Datenpaketen durchgeführt werden.
  • In einem Aspekt definiert das Modell die erwartete Eigenschaft abhängig von einem vorgegebenen Ablauf eines im Kommunikationsnetzwerk verwendeten Netzwerkprotokolls. Anstelle oder zusätzlich zum Systemzustand ist damit eine unterschiedliche Behandlung für unterschiedliche Protokolle möglich. Damit können in bezüglich der Betriebssicherheit des Fahrzeugs unkritischeren Protokollen höhere Abweichungen toleriert werden als in diesbezüglich sicherheitsrelevanten Protokollen.
  • Vorzugsweise ist vorgesehen, dass das Modell eine insbesondere durch einen Zähler oder Leaky-Bucket Mechanismus aggregierten Maßzahl zum Datenverkehr, insbesondere pro letzte Zeiteinheiten und/oder pro Kommunikationsteilnehmer, definiert, insbesondere, eine Anzahl der übertragenen Datenpakete, eine Durchschnittliche Größe der übertragenen Datenpakete, eine Durchschnittliche Anzahl der Netzwerkverbindungen, eine Durchschnittliche Datenmenge pro Netzwerkverbindung, eine Anzahl der abgebrochenen Netzwerkverbindungen, eine Antwortzeit, oder ein Verhältnis zwischen gesendeten und empfangenen Daten. Dabei können diese Maßzahlen für verschiedene Dimensionen berechnet werden. Zwei beispielhaft verwendbare Dimensionen sind pro x letzte Zeiteinheiten und/oder pro Kommunikationsteilnehmer. Für das Zählen pro Zeiteinheiten ist die Verwendung eines Zählers ein vorteilhafter Mechanismus, um zu bestimmen wann eine Maßzahl zu hoch ist, wobei beispielsweise gezählt wird, wie oft ein bestimmtes Ereignis auftritt. Ein weiterer Mechanismus ist der Leaky-Bucket-Mechanismus, der einen Leaky-Bucket-Counter verwendet. Dieser Counter hat den Vorteil, dass im Gegensatz zu einem Zähler ein temporärer Anstieg in der Maßzahl über einen gewissen Zeitraum tolerieren wird. Dadurch wird, wenn eine Netzwerkaktivität als Maßzahl verwendet wird, nicht sofort durch beispielsweise temporär vermehrte Netzwerkaktivität eine Anomalie detektiert.
  • Vorzugsweise ist vorgesehen, dass die Abweichung abhängig von Information über ein von einem Netzwerkteilnehmer verwendeten Netzwerkprotokoll bestimmt wird, insbesondere abhängig von einem der Netzwerkprotokolle Ethernet, IPv4/IPv6, TCP/UDP, SOME/IP, DDS, DolP und AVB. Diese Unterscheidung ermöglicht eine Berücksichtigung protokollspezifischer Unterschiede.
  • Eine Vorrichtung zur Anomalieerkennung in einem Kommunikationsnetzwerk sieht vor, dass die Vorrichtung einen Port und eine Recheneinrichtung umfasst, die ausgebildet sind, das Verfahren auszuführen.
  • Weitere vorteilhafte Ausführungsformen ergeben sich aus der folgenden Beschreibung und der Zeichnung. In der Zeichnung zeigt
    • 1 eine schematische Darstellung eines Kommunikationsnetzwerks in einem Fahrzeug,
    • 2 eine schematische Darstellung eines Anomalieerkennungssystems für das Kommunikationsnetzwerk,
    • 3 Schritte in einem Verfahren zur Anomalieerkennung in dem Kommunikationsnetzwerk.
  • 1 stellt ein Kommunikationsnetzwerks 100 in einem Fahrzeug 102 schematisch dar. Das Kommunikationsnetzwerk 100 umfasst einen ersten Netzwerkteilnehmer 104, einen zweiten Netzwerkteilnehmer 106 und ein Verbindungselement 108. Das Verbindungselement 108 ist beispielsweise ein Switch, insbesondere ein Automotive-Ethernet-Switch. Das Verbindungselement 108 umfasst wenigstens einen Port 110, insbesondere einen Hardware-Port. Dieser wird auch als Hardware-Switch-Port bezeichnet. In 1 sind schematisch zwei Ports 110 dargestellt, es können auch mehr oder weniger Ports 110 vorgesehen sein. Das Verbindungselemente 108 ist ausgebildet, an einem der Ports 110 eingehende Nachrichten zu verarbeiten. Diese Nachrichten können an diesem oder einem anderen Port 110 ausgegeben oder verworfen werden. Das Verbindungselement 108 umfasst eine Recheneinrichtung 112, die ausgebildet ist die Nachrichten zu verarbeiten. Die Recheneinrichtung 112 kann als Teil der Switch-Hardware 114 implementiert sein. Die Recheneinrichtung 112 kann verteilt angeordnet sein, insbesondere auf einen Teil der Switch-Hardware 114 und einen Mikrocontroller 116 der mit diesem Teil der Switch-Hardware 114 über eine Datenleitung 118 verbunden oder verbindbar ist.
  • Eine im Folgenden genauer beschriebene Vorrichtung zur Anomalieerkennung umfasst den Port 110 und die Recheneinrichtung 112. Die Vorrichtung stellt zumindest einen Teil eines in 2 schematisch dargestellten Anomalieerkennungssystems 200 für das Kommunikationsnetzwerk 100 dar. Dieses wird im Folgenden als Network Intrusion Detection and Prevention System, NIDPS, bezeichnet.
  • Das NIDPS 200 umfasst ein Modell 202 für erwartetes Netzwerkverhalten. Das Modell 202 modelliert im Beispiel das erwartete Netzwerkverhalten pro Port 110, im Beispiel pro Ethernet Port. Es kann auch das Netzwerkverhalten zwischen zwei Netzwerkteilnehmern, insbesondere dem ersten Netzwerkteilnehmer 104 und dem zweiten Netzwerkteilnehmer 106 modelliert sein. Das Modell 202 basiert im Beispiel auf Systemwissen über das Kommunikationsnetzwerk 100. Das Systemwissen betrifft beispielsweise eine Topologie des Kommunikationsnetzwerks 100 oder Information über den Datenaustausch zwischen Netzwerkteilnehmern im Kommunikationsnetzwerk 100
  • Das NIDPS 200 umfasst einen Beobachter 204 für beobachtetes Netzwerkverhalten. Der Beobachter 204 beobachtet im Beispiel das erwartete Netzwerkverhalten pro Port 110, im Beispiel pro Ethernet Port. Es kann auch das Netzwerkverhalten zwischen zwei Netzwerkteilnehmern, insbesondere dem ersten Netzwerkteilnehmer 104 und dem zweiten Netzwerkteilnehmer 106 beobachtet werden.
  • Das NIDPS 200 umfasst eine Vorgabeeinrichtung 206, die im Beispiel ausgebildet ist, eine zulässige Abweichung vorzugeben. Die zulässige Abweichung kann statisch oder abhängig von einem Systemzustand vorgegeben sein. Für unterschiedliche Netzwerkteilnehmer oder unterschiedliches Netzwerkverhalten können unterschiedliche zulässige Abweichungen vorgegeben sein.
  • Das NIDPS 200 umfasst einen ersten Eingang 208 für einen Systemzustand. Das NIDPS 200 kann am ersten Eingang 208 auch ausgebildet sein, Information über den Systemzustand empfangen, und den Systemzustand abhängig von dieser Information bestimmen. In diesem Fall kann vorgesehen sein, dass die Vorgabeeinrichtung 206 die zulässige Abweichung abhängig vom Systemzustand bestimmt und/oder vorgibt.
  • Das NIDPS 200 umfasst einen zweiten Eingang 210 für Datenpakete. Die Datenpakete werden im Beispiel vom Port 110 an den zweiten Eingang 210 übermittelt.
  • Das NIDPS 200 umfasst einen ersten Ausgang 212 für Information über ein Ergebnis der Anomalieerkennung. Im Beispiel wird Information über eine Anomalie, d.h. Angaben zu deren Art oder ein Maß für deren Schwere ausgegeben. Es kann auch weitere Zusatzinformation oder Information zum Auslösen einer Reaktion auf die Anomalie ausgegeben werden. Es kann auch eine Ausgabe eines Zustands der Anomalieerkennung vorgesehen sein, der angibt, ob eine Anomalie vorliegt oder nicht.
  • Das NIDPS 200 kann einen zweiten Ausgang 214 für Datenpakete umfassen. Das NIDPS 200 kann ausgebildet sein, die Datenpakete am zweiten Ausgang 214 für eine Weiterleitung im Kommunikationsnetzwerk 100 auszugeben. Das NIDPS 200 kann ausgebildet sein, ein Datenpaket nur dann zur Weiterleitung im Kommunikationsnetzwerk 100 auszugeben, wenn keine Anomalie erkannt wurde, und das Datenpaket anderenfalls zu verwerfen. Das NIDPS 200 kann ausgebildet sein, ein Datenpaket basierend auf dem Inhalt des Datenpakets zu analysieren, und das Datenpaket abhängig vom Ergebnis der Prüfung weiterzuleiten oder zu verwerfen. Das NIDPS 200 kann ausgebildet sein, am zweiten Ausgang statt dem Datenpaket selbst, ein Signal auszugeben, das die Weiterleitung des Datenpakets freigibt, oder das Verwerfen des Datenpakets auslöst.
  • Ein Verfahren zur Anomalieerkennung wird im Folgenden anhand der 3 beschrieben. Das Verfahren beginnt beispielsweise, wenn ein Signal 302 das NIDPS in einen Zustand 304 „aktiv“ versetzt. Im Zustand 304 „aktiv“ werden Nachrichten am Port 110 des Kommunikationsnetzwerks 100 beobachtet. Beispielsweise werden Datenpakete am Port 110, die den Nachrichten zugeordnet sind und/oder diese zumindest teilweise oder vollständig umfassen, empfangen und/oder beobachtet. Im Beispiel werden als Nachrichten Datenpakete gemäß dem Automotive-Ethernet Standard beobachtet.
  • In einem ersten Aspekt wird zu synchronen oder asynchronen Zeitpunkten in einem Schritt 306 in einen Zustand 308 „berechnen“ gewechselt.
  • In einem zweiten Aspekt wird, wenn eine X-te Nachricht empfangen wird in einem Schritt 310 in den Zustand 308 „berechnen“ gewechselt. X bezeichnet in einem Beispiel eine ganzzahlige Anzahl Nachrichten. Beispielsweise wird durch einen Zähler erfasst, wie viele Nachrichten seit dem letzten Wechsel in den Zustand 308 „berechnen“ beobachtet wurden, und nach dem Empfang von wenigstens zwei Nachrichten seit diesem Wechsel in den Zustand 308 „berechnen“ gewechselt.
  • Die Anzahl Nachrichten, die vor dem Wechsel beobachtet werden, ist im Beispiel 1 < X und kann insbesondere X=2, X=5 oder X=10 sein. Es kann vorgesehen sein, nur die Nachrichten zu beobachten, die von einem bestimmten Netzwerkteilnehmer empfangen werden, oder an einen bestimmten Netzwerkteilnehmer adressiert sind. Es können auch nur Nachrichten eines bestimmten Nachrichtentyps oder mit einem bestimmten Nachrichtenprotokoll ausgetauschte Nachrichten für die Bestimmung der Anzahl X beobachtet werden.
  • Im Zustand 308 „berechnen“ wird eine Eigenschaft eines Kommunikationsverhaltens eines Netzwerkteilnehmers oder mehrere Netzwerkteilnehmer abhängig von wenigstens zwei Nachrichten bestimmt. Anschließend wird eine Abweichung der Eigenschaft von einer erwarteten Eigenschaft bestimmt.
  • Die erwartete Eigenschaft definiert ein Kommunikationsverhalten wenigstens eines Netzwerkteilnehmers abhängig von einer insbesondere statischen Netzwerkarchitektur des Kommunikationsnetzwerks 100.
  • Die erwartete Eigenschaft wird beispielsweise auf Basis des Modells 202 bestimmt das das Kommunikationsverhalten von Netzwerkteilnehmern modelliert.
  • Das Modell 202 ist in einem Aspekt abhängig von Information über einen statischen Teil des Kommunikationsnetzwerks 100 definiert. Insbesondere kann durch das Modell 202 eine statische Netzwerkarchitektur des Fahrzeugs vorgegeben sein. Die erwartete Eigenschaft wird in diesem Fall abhängig von Information über den statischen Teil des Kommunikationsnetzwerks 100, insbesondere die statischen Netzwerkarchitektur definiert.
  • Das Modell 202 definiert in einem Aspekt die erwartete Eigenschaft abhängig von einem vorgegebenen Ablauf eines im Kommunikationsnetzwerk 100 verwendeten Netzwerkprotokolls.
  • Beispielsweise wird ein Maß für die Abweichung bestimmt und ein Vergleich des Maßes für die Abweichung mit einem Schwellwert durchgeführt, der die zulässige Abweichung definiert.
  • Beispielsweise wird das Maß für die Abweichung im ersten Aspekt für die synchronen oder asynchronen Zeitpunkte bestimmt, und ein Vergleich des Maßes für die Abweichung mit dem Schwellwert durchgeführt, der die zulässige Abweichung definiert.
  • Beispielsweise wird im zweiten Aspekt nach dem Empfang der X-ten Nachricht der Vergleich des Maßes für die Abweichung mit dem Schwellwert durchgeführt, der die zulässige Abweichung definiert.
  • In dem in 1 dargestellten Beispiel definieren erste Datenpakete oder Nachrichten, deren Absender der erste Netzwerkteilnehmer 104 und deren Empfänger der zweite Netzwerkteilnehmer 106 ist, eine erste Datenmenge. Zweite Datenpakete oder Nachrichten, deren Absender der zweite Netzwerkteilnehmer 106 und deren Empfänger der erste Netzwerkteilnehmer 104 ist, definieren eine zweite Datenmenge.
  • Die erwartete Eigenschaft definiert in diesem Beispiel ein Verhältnis zwischen der ersten Datenmenge und der zweiten Datenmenge. Das Verhältnis wird insbesondere abhängig von Daten bestimmt, die in einem definierten Zeitraum ausgetauscht werden. Information über das Verhältnis wird beispielsweise durch beobachten ausgetauschter Daten im Kommunikationsnetzwerk 100 bestimmt.
  • Beispielsweise wird eines der Netzwerkprotokolle Ethernet, IPv4/IPv6, TCP/UDP, SOME/IP, DDS, DolP und AVB eingesetzt. Die Anzahl X und die Datenmengen werden beispielsweise abhängig von Nachrichten bestimmt, die gemäß einem dieser Netzwerkprotokolle übertragen werden. Die zulässige Abweichung beispielsweise des Verhältnisses wird in diesem Fall abhängig von Information über das dafür verwendete Netzwerkprotokoll bestimmt.
  • Das Modell 202 verwendet beispielsweise einen Zähler oder Leaky-Bucket Mechanismus, der eine Maßzahl zum Datenverkehr aggregiert. Beispielsweise wird pro letzte Zeiteinheiten und/oder pro Kommunikationsteilnehmer aggregiert.
  • Es kann vorgesehen sein, für den Datenverkehr im Kommunikationsnetzwerk 100 eine Anzahl der übertragenen Datenpakete, eine durchschnittliche Größe der übertragenen Datenpakete, eine Durchschnittliche Anzahl der Netzwerkverbindungen, eine Durchschnittliche Datenmenge pro Netzwerkverbindung, eine Anzahl der abgebrochenen Netzwerkverbindungen, eine Antwortzeit, oder ein Verhältnis zwischen gesendeten und empfangenen Daten zu aggregieren und ins Verhältnis zu einem dafür modellierten Größe zu setzten.
  • Das Vorliegen einer Anomalie wird erkannt, wenn die Abweichung von der zulässigen Abweichung abweicht. Die zulässige Abweichung wird mittels des Modells 202 abhängig von der erwarteten Eigenschaft bestimmt.
  • Wenn keine Anomalie erkannt wird, wird in einem Schritt 312 vom Zustand 308 „berechnen“ in den Zustand 304 „aktiv“ gewechselt.
  • Wenn eine Anomalie erkannt wird, wird in einem Schritt 314 vom Zustand 308 „berechnen“ in den Zustand 316 „antworten“ gewechselt.
  • Im Zustand 316 „antworten“ wird eine Reaktion auf eine erkannte Anomalie bestimmt. In einem Aspekt wird ein Maß für eine Schwere der Anomalie bestimmt und die Reaktion abhängig von der Schwere der Anomalie bestimmt. Beispielsweise wird das Maß für die Schwere der Anomalie abhängig von der Eigenschaft des Kommunikationsverhaltens des Netzwerkteilnehmers oder der Netzwerkteilnehmer, der erwarteten Eigenschaft und/oder der Abweichung bestimmt.
  • Im Beispiel wird die Reaktion abhängig von der Schwere der Anomalie aus einer Vielzahl definierter Reaktionen ausgewählt.
  • Die Reaktion kann eine Meldung an eine zentrale Stelle, ein Verwerfen eines Datenpakets insbesondere einer der Nachrichten und/oder ein Übergang des Kommunikationsnetzwerks 100 in einen sicheren Zustand umfassen. Die Reaktion wird beispielsweise durch eine Ausgabe am ersten Ausgang 212 des NIDPS ausgelöst.
  • Es kann vorgesehen sein, dass während der Anomalieerkennung zwischen verschiedenen Systemzuständen unterscheiden wird, in denen sich das Fahrzeug befindet. Beispielsweise werden folgende Systemzustände unterschieden: „Zündung an“, „Motor läuft im Leerlauf“, „Vorwärtsfahrt“, „Rückwärtsfahrt“, oder „Fahrzeugdiagnose wird durchgeführt“. Die Systemzustände werden beispielsweise über den ersten Eingang 208 bereitgestellt. Die zulässige Abweichung wird von der Vorgabeeinrichtung 206 abhängig von den Systemzuständen vorgegeben. Ein Systemzustand des Fahrzeugs kann auch abhängig von der Information am ersten Eingang 208 bestimmt werden. Die erwartete Eigenschaft wird in diesem Aspekt abhängig vom Systemzustand bestimmt. Beispielsweise wird gegenüber dem Zustand „Fahrzeugdiagnose wird durchgeführt“ eine geringere Abweichung zugelassen, wenn das Fahrzeug in einem der Zustände „Zündung an“, „Motor läuft im Leerlauf“, „Vorwärtsfahrt“, „Rückwärtsfahrt“ festgestellt wird.
  • Nach der Reaktion wird in einem Schritt 318 zum Zustand 304 „aktiv“ gewechselt.
  • Das Verfahren endet beispielsweise aufgrund eines entsprechenden Signals.

Claims (15)

  1. Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk (100), dadurch gekennzeichnet, dass wenigstens zwei Nachrichten an einem Port (110) des Kommunikationsnetzwerks (100) beobachtet werden (304), wobei eine Eigenschaft eines Kommunikationsverhaltens eines Netzwerkteilnehmers (104, 106) abhängig von den wenigstens zwei Nachrichten bestimmt wird (308), wobei eine Abweichung der Eigenschaft von einer erwarteten Eigenschaft bestimmt wird (308), und wobei ein Vorliegen einer Anomalie erkannt wird (314), wenn die Abweichung einer zulässigen Abweichung abweicht, wobei die erwartete Eigenschaft ein Kommunikationsverhalten des wenigstens einen Netzwerkteilnehmers (104, 106) abhängig von einer insbesondere statischen Netzwerkarchitektur des Kommunikationsnetzwerks (100) definiert.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die erwartete Eigenschaft auf Basis eines Modells (202) bestimmt wird das ein Kommunikationsverhalten von Netzwerkteilnehmern (104, 106) modelliert.
  3. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein Maß für eine Schwere der Anomalie abhängig von der Eigenschaft des Kommunikationsverhaltens des wenigstens einen Netzwerkteilnehmers (104, 106), der erwarteten Eigenschaft und/oder der Abweichung bestimmt wird (316), wobei abhängig von der Schwere der Anomalie eine Reaktion bestimmt wird (316).
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Reaktion abhängig von der Schwere der Anomalie aus einer Vielzahl definierter Reaktionen ausgewählt wird (316).
  5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die Reaktion eine Meldung an eine zentrale Stelle, ein Verwerfen eines Datenpakets insbesondere einer der Nachrichten und/oder ein Übergang des Kommunikationsnetzwerks in einen sicheren Zustand umfasst (212).
  6. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass das Modell (202) abhängig von Information über einen statischen Teil des Kommunikationsnetzwerks (100), insbesondere eine statische Netzwerkarchitektur vorzugsweise eines Fahrzeugs (102), definiert ist, wobei die erwartete Eigenschaft abhängig von Information über den statischen Teil des Kommunikationsnetzwerks (100), insbesondere die statischen Netzwerkarchitektur definiert ist.
  7. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die erwartete Eigenschaft ein Verhältnis zwischen einer ersten Datenmenge und einer zweiten Datenmenge insbesondere in einem definierten Zeitraum ausgetauschter Daten, definiert, wobei erste Datenpakete oder Nachrichten, deren Absender ein erster Netzwerkteilnehmer (104) und deren Empfänger ein zweiter Netzwerkteilnehmer (106) ist, die erste Datenmenge definiert, und wobei zweite Datenpakete oder Nachrichten, deren Absender der zweite Netzwerkteilnehmer (106) und deren Empfänger der erste Netzwerkteilnehmer (104) ist, die zweite Datenmenge definiert.
  8. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass während der Anomalieerkennung zwischen verschiedenen Systemzuständen unterscheiden wird, in denen sich das Fahrzeug (102) befindet, insbesondere zwischen den Systemzuständen, Zündung an, Motor läuft im Leerlauf, Vorwärtsfahrt, Rückwärtsfahrt, oder Fahrzeugdiagnose wird durchgeführt, wobei ein Systemzustand des Fahrzeugs bestimmt wird, und wobei die erwartete Eigenschaft abhängig von dem Systemzustand bestimmt wird (308).
  9. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass zu synchronen oder asynchronen Zeitpunkten (308) ein Maß für die Abweichung bestimmt wird, und ein Vergleich des Maßes für die Abweichung mit einem Schwellwert durchgeführt wird, der die zulässige Abweichung definiert.
  10. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass das Modell (202) die erwartete Eigenschaft abhängig von einem vorgegebenen Ablauf eines im Kommunikationsnetzwerk (100) verwendeten Netzwerkprotokolls definiert.
  11. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass das Modell (202) eine insbesondere durch einen Zähler oder Leaky-Bucket Mechanismus aggregierten Maßzahl zum Datenverkehr, insbesondere pro letzte Zeiteinheiten und/oder pro Kommunikationsteilnehmer, definiert, insbesondere, eine Anzahl der übertragenen Datenpakete, eine Durchschnittliche Größe der übertragenen Datenpakete, eine Durchschnittliche Anzahl der Netzwerkverbindungen, eine Durchschnittliche Datenmenge pro Netzwerkverbindung, eine Anzahl der abgebrochenen Netzwerkverbindungen, eine Antwortzeit, oder ein Verhältnis zwischen gesendeten und empfangenen Daten.
  12. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Abweichung abhängig von Information über ein von einem Netzwerkteilnehmer (104, 106) verwendeten Netzwerkprotokoll bestimmt wird, insbesondere abhängig von einem der Netzwerkprotokolle Ethernet, IPv4/IPv6, TCP/UDP, SOME/IP, DDS, DolP und AVB.
  13. Vorrichtung zur Anomalieerkennung in einem Kommunikationsnetzwerk, dadurch gekennzeichnet, dass die Vorrichtung einen Port (110) und eine Recheneinrichtung (112) umfasst, die ausgebildet sind, das Verfahren nach einem der Ansprüche 1 bis 12 auszuführen.
  14. Computerprogramm, dadurch gekennzeichnet, dass das Computerprogramm computerlesbare Instruktionen umfasst, bei deren Ausführung durch einen Computer das Verfahren nach einem der Ansprüche 1 bis 12 abläuft.
  15. Computerprogrammprodukt, dadurch gekennzeichnet, dass das Computerprogrammprodukt ein computerlesbares Speicher-Medium umfasst, auf dem das Computerprogramm nach Anspruch 14 gespeichert ist.
DE102019210227.1A 2019-07-10 2019-07-10 Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk Pending DE102019210227A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102019210227.1A DE102019210227A1 (de) 2019-07-10 2019-07-10 Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk
US16/921,126 US11700271B2 (en) 2019-07-10 2020-07-06 Device and method for anomaly detection in a communications network
CN202010656062.3A CN112217785A (zh) 2019-07-10 2020-07-09 用于在通信网络中的异常识别的设备和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019210227.1A DE102019210227A1 (de) 2019-07-10 2019-07-10 Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk

Publications (1)

Publication Number Publication Date
DE102019210227A1 true DE102019210227A1 (de) 2021-01-14

Family

ID=74059141

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019210227.1A Pending DE102019210227A1 (de) 2019-07-10 2019-07-10 Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk

Country Status (3)

Country Link
US (1) US11700271B2 (de)
CN (1) CN112217785A (de)
DE (1) DE102019210227A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112666932A (zh) * 2021-03-16 2021-04-16 奥特酷智能科技(南京)有限公司 基于DDS和DoIP技术的自动驾驶远程诊断方法及***

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12010131B2 (en) * 2020-11-24 2024-06-11 Panasonic Automotive Systems Company Of America, Division Of Panasonic Corporation Of North America Link anomaly detector

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7657935B2 (en) * 2001-08-16 2010-02-02 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US7672814B1 (en) * 2004-03-03 2010-03-02 Emc Corporation System and method for baseline threshold monitoring
JP4352998B2 (ja) * 2004-05-31 2009-10-28 トヨタ自動車株式会社 異常検出装置
JP4252500B2 (ja) * 2004-06-22 2009-04-08 三菱電機株式会社 車両制御装置
US7540025B2 (en) * 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
CA2531410A1 (en) * 2005-12-23 2007-06-23 Snipe Network Security Corporation Behavioural-based network anomaly detection based on user and group profiling
US8397284B2 (en) * 2006-01-17 2013-03-12 University Of Maryland Detection of distributed denial of service attacks in autonomous system domains
US7719410B2 (en) * 2007-01-08 2010-05-18 Gm Global Technology Operations, Inc. Threat assessment state processing for collision warning, mitigation and/or avoidance in ground-based vehicles
US8085681B2 (en) * 2008-10-21 2011-12-27 At&T Intellectual Property I, Lp Centralized analysis and management of network packets
KR101107742B1 (ko) * 2008-12-16 2012-01-20 한국인터넷진흥원 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
US8666382B2 (en) * 2010-04-28 2014-03-04 Tango Networks, Inc. Controlling mobile device calls, text messages and data usage while operating a motor vehicle
US9058486B2 (en) * 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
US9106687B1 (en) * 2011-11-01 2015-08-11 Symantec Corporation Mechanism for profiling user and group accesses to content repository
US9081653B2 (en) * 2011-11-16 2015-07-14 Flextronics Ap, Llc Duplicated processing in vehicles
US9797801B2 (en) * 2012-02-10 2017-10-24 Appareo Systems, Llc Frequency-adaptable structural health and usage monitoring system
US9112895B1 (en) * 2012-06-25 2015-08-18 Emc Corporation Anomaly detection system for enterprise network security
WO2014172322A1 (en) * 2013-04-15 2014-10-23 Flextronics Ap, Llc Vehicle intruder alert detection and indication
US10445311B1 (en) * 2013-09-11 2019-10-15 Sumo Logic Anomaly detection
US9521973B1 (en) * 2014-02-14 2016-12-20 Ben Beiski Method of monitoring patients with mental and/or behavioral disorders using their personal mobile devices
US9503477B2 (en) * 2014-03-27 2016-11-22 Fortinet, Inc. Network policy assignment based on user reputation score
US20190259033A1 (en) * 2015-06-20 2019-08-22 Quantiply Corporation System and method for using a data genome to identify suspicious financial transactions
US10298612B2 (en) * 2015-06-29 2019-05-21 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10116674B2 (en) * 2015-10-30 2018-10-30 Citrix Systems, Inc. Framework for explaining anomalies in accessing web applications
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
US10239456B1 (en) * 2016-02-10 2019-03-26 Ambarella, Inc. Apparatus to adjust a field of view displayed on an electronic mirror using an automobile state or a driver action
US10275955B2 (en) * 2016-03-25 2019-04-30 Qualcomm Incorporated Methods and systems for utilizing information collected from multiple sensors to protect a vehicle from malware and attacks
US11044260B2 (en) * 2016-04-01 2021-06-22 The Regents Of The University Of Michigan Fingerprinting electronic control units for vehicle intrusion detection
CN106203626A (zh) * 2016-06-30 2016-12-07 北京奇虎科技有限公司 汽车驾驶行为检测方法及装置、汽车
CN106184068A (zh) * 2016-06-30 2016-12-07 北京奇虎科技有限公司 汽车内部网络安全检测方法及装置、汽车
US10771487B2 (en) * 2016-12-12 2020-09-08 Gryphon Online Safety Inc. Method for protecting IoT devices from intrusions by performing statistical analysis
CN106899614B (zh) * 2017-04-14 2019-09-24 北京梆梆安全科技有限公司 基于报文周期的车内网络入侵检测方法及装置
US11044533B1 (en) * 2017-06-02 2021-06-22 Conviva Inc. Automatic diagnostics alerts
JP6889059B2 (ja) * 2017-07-19 2021-06-18 株式会社東芝 情報処理装置、情報処理方法及びコンピュータプログラム
US20190195525A1 (en) * 2017-12-21 2019-06-27 At&T Intellectual Property I, L.P. Method and apparatus for operating heating and cooling equipment via a network
US10742399B2 (en) * 2017-12-28 2020-08-11 Intel Corporation Context-aware image compression
US11159564B2 (en) * 2018-06-28 2021-10-26 Google Llc Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time
US11037428B2 (en) * 2019-03-27 2021-06-15 International Business Machines Corporation Detecting and analyzing actions against a baseline
US11757906B2 (en) * 2019-04-18 2023-09-12 Oracle International Corporation Detecting behavior anomalies of cloud users for outlier actions
US11558408B2 (en) * 2019-05-03 2023-01-17 EMC IP Holding Company LLC Anomaly detection based on evaluation of user behavior using multi-context machine learning
US11479263B2 (en) * 2019-06-25 2022-10-25 Marvell Asia Pte Ltd Automotive network switch with anomaly detection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112666932A (zh) * 2021-03-16 2021-04-16 奥特酷智能科技(南京)有限公司 基于DDS和DoIP技术的自动驾驶远程诊断方法及***

Also Published As

Publication number Publication date
US20210014254A1 (en) 2021-01-14
US11700271B2 (en) 2023-07-11
CN112217785A (zh) 2021-01-12

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP3097506B1 (de) Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur
DE102016219848A1 (de) Verfahren und Vorrichtung zum Bereitstellen einer gesicherten Kommunikation innerhalb eines echtzeitfähigen Kommunikationsnetzwerkes
DE102018209407A1 (de) Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
WO2016008778A1 (de) Verfahren zum erkennen eines angriffs in einem computernetzwerk
DE102020201988A1 (de) Vorrichtung zur Verarbeitung von Daten mit wenigstens zwei Datenschnittstellen und Betriebsverfahren hierfür
DE102019210229A1 (de) Verfahren und Vorrichtung zur Analyse dienste-orientierter Kommunikation
DE102019210227A1 (de) Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk
DE102018215945A1 (de) Verfahren und Vorrichtung zur Anomalie-Erkennung in einem Fahrzeug
EP3028409B1 (de) Filtern eines datenpaketes durch eine netzwerkfiltereinrichtung
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
EP3641231A1 (de) Verfahren und vorrichtung zur überwachung einer datenkommunikation
DE102019210224A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
DE102019210225A1 (de) Verfahren und Vorrichtung zur Analyse dienste-orientierter Kommunikation
DE102019210226A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk
EP3616381A1 (de) Verfahren und vorrichtung zum übermitteln einer nachricht in einer sicherheitsrelevanten anlage
DE102019210230A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
DE102017217301A1 (de) Verfahren und Vorrichtung zum unmittelbaren und rückwirkungsfreien Übertragen von Log-Nachrichten
DE102019210223A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
DE102020200850A1 (de) Verfahren und Vorrichtung zum Verarbeiten von Datenrahmen eines Bussystems
DE202019102856U1 (de) Vorrichtung zur Aufbereitung von Alarmmeldungen
DE102019207579A1 (de) Verfahren und Vorrichtung zum Überwachen von Datenaustausch in einem Kommunikationssystem
WO2004112341A2 (de) Verfahren und vorrichtung zur verarbeitung von echtzeitdaten

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000