用于处理控制设备处的异常的方法和装置与流程

[0001]
本发明涉及一种用于处理控制设备处的异常的方法、一种用于处理控制设备处的异常的装置和一种计算机程序以及计算机程序产品。


背景技术：

[0002]
用于攻击识别的方法使用网络入侵探测（network intrusion detection）系统，以便基于异常来识别出攻击。由此，可良好地识别出具有确定的攻击向量的攻击。值得追求的是，进一步改进用于攻击识别的方法，并且根据汽车领域的特定的情况来适配（anpassen）用于攻击识别的方法。


技术实现要素：

[0003]
这通过按照独立权利要求所述的方法和装置来实现。
[0004]
用于处理对用于控制机器（尤其是车辆或者车辆的部件）的设备的攻击的方法设置：检测至少一个参量（groesse），所述参量限定该设备尤其是在车辆中的运行或者该设备尤其是在车辆中的环境；其中根据所述参量，确定表征该设备在其中运行的环境的信息；其中根据关于环境的信息与关于针对设备尤其是在车辆中的运行的额定环境（soll-umgebung）的信息的比较来检查，在设备运行中是否存在异常；其中当没有识别出异常时，所述设备在第一运行模式中运行，所述第一运行模式具有尤其是针对车辆的第一功能范围；并且其中当识别出异常时，所述设备在第二运行状态中运行，所述第二运行状态具有相对于第一功能范围减小的或者另外的第二功能范围。由此，当在车辆自身之外或者在仅不充分精确地模拟车辆的环境中实施攻击时，识别出对车辆的控制设备的攻击。功能的限制使得攻击的分析和继续变得困难，或者完全挫败相对处于正常运行中的控制设备的攻击。
[0005]
优选地，参量表征设备尤其是在通信网络中的通信。具有经常采用的攻击向量的攻击由此变得困难或者被挫败。
[0006]
优选地设置了，设备在其中运行的环境通过针对通信的消息来表征，所述消息以用密码（kryptographisch）来保护的方式被发送，其中如果查明以未知的或者不允许的方式用密码来保护所接收到的消息，则识别出异常。允许的密钥对于攻击者而言通常是未知的。具有另外的密钥的攻击由此变得困难或者被挫败。利用用密码写的密钥对进行加密和解密是针对这样的用密码保护的实例。当利用未知的密钥对所接收到的消息加密时，该消息例如是不允许的。
[0007]
优选地，设备在其中运行的环境通过至少一个在设备之外的针对通信的远程站来表征，其中如果查明由未知的远程站接收到消息或者不发生对远程站的期望的消息的接收，则识别出异常。攻击变得困难，因为已知的设备同样必须存在于常见的周围环境之外，以便实施攻击。该方法可以任意地被扩展到车辆的所有控制设备上，以便以此使整个车辆得到保障。
[0008]
优选地，在用密码来保护的通信中，采用消息计数器，该消息计数器评估关于在通
信中的消息之间的关联的信息，其中如果根据消息计数器的评估而查明在通信中的消息之间的不允许的或者未知的关联，则识别出异常。这极为有效地阻止通信的记录和之后的播放。这是特别地极为有效的识别方法。
[0009]
优选地，参量表征设备尤其是在车辆的供电网络中的电压或者电流供给，其中如果查明电压或者电流供给的变化过程与期望的变化过程的偏差，则识别出异常。车辆的电压或者电流供给根据各个部件的运行状态而波动。关于所容许的波动的知识对于攻击者而言是未知的。通过该监控，附加地使攻击变得困难。
[0010]
优选地设置了，设备在其中运行的环境通过电压或者电流供给的变化过程来表征，其中如果电压或者电流供给的变化过程至少暂时具有恒定的值，或者如果电压或者电流供给至少暂时具有在围绕恒定值的范围之内的波动，则识别出偏差。在车辆之外采用的电压或者电流供给以此特别简单地是可识别的。
[0011]
优选地，参量表征来自光电二极管或者经过电路的电流，其中设备在其中运行的环境通过电流的变化过程来表征，其中如果查明通过光电二极管产生电流或者没有电流流经该电路，则识别出异常。由此，可简单地识别出控制设备的在许多攻击向量中所必需的断开。
[0012]
优选地，参量表征设备的接通或者断路过程，其中设备在其中运行的环境通过设备的接通或者断路过程的变化过程来表征，其中如果查明如下情况则识别出异常：与预先给定的最小数目相比更鲜少地在时间间隔中实施设备的接通或者断路过程，或者与预先给定的最大数目相比更频繁地在时间间隔中实施设备的接通或者断路过程，或者关于达到第一运行模式仅不完全地实施或者中断设备的接通或者断路过程。控制设备在车辆中按照确定的预先给定而被接通或者被断路。对于攻击者而言并不存在关于所述预先给定的认知。由此，简单地识别出要求控制设备的频繁的接通或者断路过程或者长的运行持续时间的攻击。
[0013]
优选地，在已查明异常之后，所述设备在预先给定的持续时间内在第二运行模式中运行。在第二运行模式中，功能可能是断路的。以此，阻止对这些功能的攻击。
[0014]
优选地，在第二功能范围中缺少来自第一功能范围的表征设备的特许功能的功能。特许功能在第二运行模式中优选地被断路。以此，阻止对这些特许功能的攻击。
[0015]
优选地，如果识别出异常，则故障被存储在故障存储器中。以此，攻击也是可事后识别的。
[0016]
用于处理设备（尤其是针对机器或者车辆的控制设备）处的异常的装置的特征在于，所述装置集成到该设备中，并且所述装置包括处理器、接口和针对指令的存储器，而且所述装置构造为，当处理器实施指令时，实施该方法。
[0017]
优选地设置了，接口构造为针对尤其是用密码来保护的与在设备之外的远程站的通信的通信接口；或者针对断开识别（oeffnungserkennung）构造所述接口，尤其是所述接口包括光电二极管或者电路；在设备的壳体打开时，通过所述光电二极管产生电流；在设备的壳体打开时，所述电路断开，而在壳体闭合时，所述电路接通；或者所述接口构造为电流或者电压测量装置，用于识别来自设备之外的电流或者电压供给的电流或者电压变化过程的变化过程。
附图说明
[0018]
其他有利的实施形式从以下描述和附图中得到。在附图中：图1示出了用于处理异常的装置的示意图，图2示出了用于处理异常的方法中的步骤。
具体实施方式
[0019]
图1示意性地示出了用于处理设备110处的异常的装置100。异常在下文中标明特性（verhalten）与期望的特性的偏差。期望的特性可以是预先给定的，或者可以在正常运行中（也就是在无异常的运行中）学习到。在正常运行中，设备110在额定环境中运行。设备110在该实例中是车辆的控制设备。额定环境在该实例中通过如下车辆来限定：对于该车辆，设备110按照道路交通规则是许可的，并且在所述车辆中，基于针对许可的系统测试来测试设备110。术语“额定环境”包括被限定的状态，并且不仅包括设备110的模拟接口，而且包括设备110的数字接口。例如如果车辆被模拟环境替代，或者设备110在实验室中单独运行，则设备110在其中运行的环境可能与之有偏差。也可以这样构建针对另外的机器的控制设备。在该情况下，例如在工业的周围环境中观察机器的环境。工业的周围环境同样具有已知的、被限定的状态。
[0020]
装置100在该实例中集成到设备110中。装置100的部分也可以布置在设备110之外。
[0021]
装置100包括处理器102、接口104和针对指令的存储器106。
[0022]
装置100构造为，当处理器102实施指令时，实施下文所描述的方法。处理器102可以是微控制器。在下文所描述的识别方法可以组合。以此，识别品质相对于单个识别方法得到进一步改进，并且明显使攻击者的对策变得困难。
[0023]
接口104可以构造为针对尤其是用密码来保护的与在设备110之外的远程站122的通信的通信接口114。
[0024]
接口104可以针对断开识别来构造。在该情况下，接口104可以包括光电二极管116，在设备110的壳体112打开时，通过该光电二极管116产生电流。附加地或者替选于此地，接口104可以包括电路118，在设备110的壳体112打开时，所述电路118断开，而在壳体112闭合时，所述电路118接通。
[0025]
接口104也可以构造为电流或者电压测量装置120，用于识别来自设备110之外的电流或者电压供给124的电流或者电压变化过程的变化过程。
[0026]
图2示出了用于处理异常的方法中的步骤。
[0027]
该方法适合于处理对设备110的攻击。设备110在该实例中构造用于控制车辆或者用于控制车辆的部件。当车辆运行时，优选地连续地实施该方法。
[0028]
在步骤202中，检测如下参量：所述参量限定了设备110尤其是在车辆中的运行，或者限定了设备110尤其是在车辆中的环境。当针对来自车辆的攻击而扩建设备110时，该参量表征攻击环境。例如，该参量表征设备110尤其是在通信网络中的通信。
[0029]
在紧接着的步骤204中，根据所述参量确定表征所述设备在其中运行的环境的信息。所述设备110在其中运行的环境例如通过针对通信的如下消息来表征：所述消息以用密码来保护的方式被发送。所述设备在其中运行的环境也可以通过在设备之外的针对通信的
远程站来表征。
[0030]
在用密码来保护的通信中，可以采用消息计数器，所述消息计数器评估关于在通信中的消息之间的关联的信息。
[0031]
根据关于环境的信息与关于针对设备尤其是在车辆中的运行的额定环境的信息的比较，在紧接着的步骤206中检查，在设备运行中是否存在异常。例如，如果查明以未知的或者不允许的方式用密码来保护所接收到的消息，则识别出异常。如果查明由未知的远程站接收到消息或者不发生对远程站的期望的消息的接收，则也可以识别出异常。
[0032]
如果根据消息计数器的评估而查明在通信中的消息之间的不允许的或者未知的关联，则可以识别出异常。
[0033]
如果没有识别出异常，则实施步骤208。要不然，实施步骤210。
[0034]
在步骤208中，如果没有识别出异常，则设备110在第一运行模式中运行，所述第一运行模式具有尤其是针对车辆的第一功能范围。紧接着，实施步骤202。
[0035]
在步骤210中，如果识别出异常，则设备在第二运行状态中运行，所述第二运行状态具有相对于第一功能范围减小的或者另外的第二功能范围。在第二功能范围中，例如缺少来自第一功能范围的表征设备的特许功能的功能。
[0036]
在紧接着的步骤212中，如果识别出异常，则故障被存储在故障存储器中。该步骤是可选的。可以存储关于故障类型的信息。
[0037]
紧接着，在步骤214中检查，在已查明异常之后，所述设备110在预先给定的持续时间内是否已在第二运行模式中运行。该步骤是可选的。当达到或者超过该持续时间时，实施步骤202。要不然，实施步骤210。
[0038]
代替对通信的监控，或者除此之外，可以使用另外的监控。
[0039]
参量可以表征设备110尤其是在车辆的供电网络中的电压或者电流供给。在该情况下，设备在其中运行的环境可以通过电压或者电流供给的变化过程来表征。
[0040]
如果查明电压或者电流供给的变化过程与期望的变化过程的偏差，则在该情况下识别出异常。例如，如果电压或者电流供给的变化过程至少暂时具有恒定的值，或者如果电压或者电流供给至少暂时具有在围绕恒定值的范围之内的波动，则识别出偏差。
[0041]
参量可以通过来自光电二极管的或者经过电路的电流来表征。在该情况下，设备在其中运行的环境通过电流的变化过程来表征。如果查明通过光电二极管产生电流或者没有电流流经电路，则例如识别出异常。
[0042]
参量可以表征设备的接通或者断路过程。在该情况下，设备在其中运行的环境可以通过设备110的接通或者断路过程的变化过程来表征。如果查明与预先给定的最小数目相比更鲜少地在时间间隔中实施设备的接通或者断路过程，或者查明与预先给定的最大数目相比更频繁地在时间间隔中实施设备的接通或者断路过程，则例如识别出异常。如果关于达到第一运行模式仅不完全地实施或者中断设备110的接通或者断路过程，则例如可以识别出异常。