用于在通信网络中的异常识别的设备和方法与流程

本发明的出发点是一种用于在尤其是车辆中的通信网络中的异常识别的设备和方法。

背景技术：

使用网络入侵检测与防范系统（networkintrusiondetectionandpreventionsysteme）nidps，以便识别异常并且必要时对所识别出的异常做出反应。这提供了通信网络尤其是关于攻击情形方面的运行安全性。

值得期望的是：进一步改善尤其是车辆的通信网络的运行安全性。

技术实现要素：

这通过根据独立权利要求的设备和方法来实现。

为了提供一种用于汽车网络的nidps，应考虑汽车网络与企业网络的区别。这些区别例如是它们的网络结构、网络动态性以及它们的网络节点。

网络结构：

企业网络通常遵循客户端-服务器模型（client-server-modell），在该客户端-服务器模型中存在数目较少的专用服务器网络节点，这些专用服务器网络节点向通常数目较多的客户端网络节点提供服务。汽车网络由ecu组成，在这些ecu上不仅实施服务器应用程序而且实施客户端应用程序。

企业网络通常比汽车网络大得多且复杂得多。整个企业网络通常细分程度更高，在物理上或在逻辑上被分成不同的区和子网。在典型的汽车网络中的ecu如果有的话通过所谓的“网关（gateways）”只是被分成很少的子网或者在逻辑上在以太网层通过所谓的“虚拟局域网（virtuallocalareanetworks，vlans）”来分开。

网络动态性：

企业网络和汽车网络在用来改变和运行网络的动态性方面有区别。

在企业网络中，网络节点可以任意地被更换。对于在服务器网络节点处的改变来说，通常还可以执行在防御系统、诸如nidps的配置方面的适配。而这种配置在客户端网络节点处是不可能的。原因在于，客户端从不断变化的位置被连接到网络并且常常被更换。此外，并不能精确地预测哪些应用程序在客户端上被实施。

在汽车网络中的ecu如果有的话很少被更换并且那么常常也只是被相同的复制品更换。因而，不太可能在网络的工作原理方面发生任何变化。在汽车网络中，网络节点是众所周知的。同样，在其上分别运行的服务器和客户端应用程序经过明确限定，并且关于网络通信的细节可以预先给定。

在企业网络中，外部节点可以建立到公司网络内部中的连接。在汽车网络中，网络的所有通信节点都是车辆内网的部分。

在企业网络中，通常不同的用户可以使用相同的客户端。在汽车网络的ecu中不存在用户，而是只有服务器和客户端应用程序在起作用。

网络节点：

就资源而言，企业网络的网络节点通常在资源方面（例如关于存储和性能方面）是汽车网络的ecu的很多倍。

就软件而言，在企业网络中，网络节点大多配备有广泛流行的标准操作系统和标准软件，安全漏洞对于这些标准操作系统和标准软件来说是已知的。因此，在企业网络中的nidps系统的重点在于：当尝试利用已知的安全漏洞时基于签名地识别出来。在汽车网络中的网络节点常常配备有不那么流行的软件。来自用于企业网络的nidps系统中的大部分签名无法使用，而且没有关于专门针对汽车网络已知的漏洞的较大数据库。

虽然，nidps的基本任务、也就是说检测在网络传输中的异常并且对在网络传输中的异常做出反应，在企业网络和汽车网络的情况下相同。但是，从上文提到的几点能看出：用于汽车网络的有效nidps的基本工作原理原则上必须不同于用于企业网络的nidps的基本工作原理。用于汽车网络的nidps必须利用已知的且静态的网络结构以及网络成员的低得多的动态性，以便可以利用有限的资源有效地检测异常。

用于在通信网络中的异常识别的方法规定：观测在该通信网络的端口处的至少两个消息，其中根据所述至少两个消息来确定网络成员的通信行为的特性，其中确定该特性与预期特性的偏差，而且其中如果该偏差偏离容许偏差，则识别出存在异常，其中该预期特性根据该通信网络的尤其是静态的网络架构来限定至少一个网络成员的通信行为。借此，在汽车以太网中分析在现有的以太网端口处的网络传输并且标识由攻击者在网络中所引起的异常。这例如可能会在汽车以太网交换机（automotiveethernetswitch）上、在该汽车以太网交换机的硬件端口、也就是说该汽车以太网交换机的交换机端口上被实现或者在车辆中的汽车以太网上的任意成员的硬件端口上被实现。异常识别例如基于对至少两个以太网包的分析和由此得到的对网络成员的通信行为的推导。如果网络成员的所观测到的通信行为与预期通信行为偏离得太大，则检测到异常。用该汽车以太网来表示例如按照100base-t1版本1.0、1000base-t1或100base-tx的以太网技术。

优选地，该预期特性基于模型被确定，该模型对网络成员的通信行为进行建模。该模型对该通信行为进行建模。在车辆中，该模型根据关于该车辆的知识被限定。

优选地，对异常严重程度的量度根据至少一个网络成员的通信行为的特性、该预期特性和/或该偏差来被确定，其中根据该异常严重程度来确定反应。借此，根据异常识别的结果能特别好地确定反应。

特别有利的是：该反应根据异常严重程度从多个所限定的反应中被选择。对于车辆来说，例如根据关于该车辆的知识来对反应进行限定。从这些反应中，选择最适合于相应的异常严重程度的反应并且将其付诸实施。这显著改善了车辆的运行安全性。

优选地规定：该反应包括：向中央机构报告；将这些消息中的尤其是一个消息的数据包丢弃；和/或将通信网络转变到安全状态下。借此来触发适当的反应。

优选地，该模型根据关于通信网络的静态部分、尤其是优选地车辆的静态的网络架构的信息来被限定，其中该预期特性根据关于通信网络的静态部分、尤其是静态的网络架构的信息来被限定。

优选地规定：该预期特性限定了尤其是在所限定的时间段内交换的数据中的第一数据量与第二数据量之间的比例，其中其发送方是第一网络成员而其接收方是第二网络成员的第一数据包或消息限定了第一数据量，而且其中其发送方是第二网络成员而其接收方是第一网络成员的第二数据包或消息限定了第二数据量。例如，通过系统知识来预先给定：在第一控制设备ecu_a与第二控制设备ecu_b之间第一数据量与第二数据量的比例应该为3:1。如果现在检测到在某个时间段内该比例为10:1，则该偏差在本例中为7。如果该容许偏差例如为4，则在本例中该偏差会超过该容许偏差。借此，在这种情况下会识别出异常。如果该容许偏差例如为8，则在这种情况下不会识别出异常。

优选地，在异常识别期间，在车辆所处的不同的系统状态之间进行区分，尤其是在系统状态点火、发动机空转、向前行驶、向后行驶或执行车辆诊断之间进行区分，其中该车辆的系统状态被确定，而且其中该预期特性根据该系统状态被确定。如果网络传输的行为虽然可能在不同的系统状态下显著不同，但是该网络传输在同一系统状态下统一以一种方式，则该区分特别有意义。接着，该网络传输能通过其基本特性被建模。例如，对于不同的系统状态来说，预先给定不同的容许偏差。

在一个方面，在同步或异步时间点确定该偏差的量度，而且执行该偏差的量度与限定了该容许偏差的阈值的比较。该量度可以是之前所描述的该比例与通过系统知识所预期的数据量的比例的偏差。在这种情况下，该阈值可以说明该容许偏差的数值参数。在同步时间点的比较例如可以每隔一段时间间隔就被执行。异步监控例如可以在分析固定数目个数据包之后被执行。

在一个方面，该模型根据在通信网络中所使用的网络协议的预先给定的期满来限定该预期特性。借此，替代系统状态或除了系统状态之外，针对不同协议的不同的处理是可能的。借此，在关于车辆的运行安全性方面不关键的协议中可以容许比在关于这方面安全相关的协议中有更高的偏差。

优选地规定：该模型限定了尤其是通过计数器或漏桶（leaky-bucket）机制来汇总的关于数据传输的度量数，尤其是每最后的时间单位和/或每个通信成员的关于数据传输的度量数，尤其是所传输的数据包的数目、所传输的数据包的平均大小、网络连接的平均数目、每个网络连接的平均数据量、被中断的网络连接的数目、响应时间或者所发送的数据与所接收到的数据之间的比例。在此，这些度量数可以针对不同的维度被计算。两个能示例性地使用的维度是每x个最后的时间单位和/或每个通信成员。对于每时间单位的计数来说，使用计数器是一种有利的机制，以便确定度量数何时过高，其中例如对某个事件出现的频率进行计数。另一种机制是漏桶机制，该漏桶机制使用漏桶计数器（leaky-bucket-counter）。该漏桶计数器（counter）具有如下优点：与计数器不同，在一定的时间段期间将容许在度量数方面的暂时升高。由此，如果将网络活动用作度量数，则并不由于例如网络活动暂时增加而立即检测到异常。

优选地规定：该偏差根据关于网络成员所使用的网络协议的信息来被确定，尤其是根据网络协议以太网、ipv4/ipv6、tcp/udp、some/ip、dds、doip和avb之一来被确定。该区分能够实现对协议特定的区别的考虑。

用于在通信网络中的异常识别的设备规定：该设备包括端口和计算装置，该端口和该计算装置被构造为实施该方法。

附图说明

其它有利的实施方式从如下的描述和附图中得到。在附图中：

图1示出了在车辆中的通信网络的示意图；

图2示出了用于该通信网络的异常识别系统的示意图；

图3示出了用于在该通信网络中的异常识别的方法中的步骤。

具体实施方式

图1示意性地示出了在车辆102中的通信网络100。通信网络100包括第一网络成员104、第二网络成员106和连接元件108。连接元件108例如是交换机、尤其是汽车以太网交换机。连接元件108包括至少一个端口110、尤其是硬件端口。该端口也被称作硬件交换机端口。在图1中示意性地示出了两个端口110，也可以设置更多或更少的端口110。连接元件108被构造为：处理在这些端口110之一上进入的消息。这些消息可以在该端口110或另一端口110上被输出或丢弃。连接元件108包括计算装置112，该计算装置被构造为处理这些消息。计算装置112可以实现为交换机硬件114的部分。计算装置112可以分布式地布置，尤其是分布到交换机硬件114的一部分和微控制器116上地布置，该微控制器与交换机硬件114的该部分通过数据线118来连接或能连接。

在下文详细描述的用于异常识别的设备包括端口110和计算装置112。该设备是在图2中示意性示出的用于通信网络100的异常识别系统200的至少一部分。该异常识别系统在下文被称作网络入侵检测与防范系统（networkintrusiondetectionandpreventionsystem）nidps。

nidps200包括用于预期网络行为的模型202。在本例中，模型202对每个端口110、在本例中是每个以太网端口的预期网络行为进行建模。也可以对两个网络成员、尤其是第一网络成员104与第二网络成员106之间的网络行为进行建模。在本例中，模型202基于关于通信网络100的系统知识。该系统知识例如涉及通信网络100的拓扑或者关于在通信网络100中的网络成员之间的数据交换的信息。

nidps200包括用于所观测到的网络行为的观测器204。在本例中，观测器204对每个端口110、在本例中是每个以太网端口的预期网络行为进行观测。也可以对两个网络成员、尤其是第一网络成员104与第二网络成员106之间的网络行为进行观测。

nidps200包括预给定装置206，该预给定装置在本例中被构造为预先给定容许偏差。该容许偏差可以静态地预先给定或者根据系统状态来预先给定。针对不同的网络成员或不同的网络行为，可以预先给定不同的容许偏差。

nidps200包括用于系统状态的第一输入端208。nidps200也可以在第一输入端208上被构造为接收关于系统状态的信息并且根据该信息来确定该系统状态。在这种情况下，可以规定：预给定装置206根据该系统状态来确定和/或预先给定该容许偏差。

nidps200包括用于数据包的第二输入端210。在本例中，这些数据包从端口110被传送给第二输入端210。

nidps200包括用于关于异常识别的结果的信息的第一输出端212。在本例中，输出关于异常的信息、也就是说关于该异常的类型或其严重程度的量度的说明。也可以输出其它附加信息或者用于触发对该异常的反应的信息。也可以规定输出异常识别的状态，该状态说明了是否存在异常。

nidps200可包括用于数据包的第二输出端214。nidps200可以被构造为：在第二输出端214上输出数据包，用于在通信网络100中进行转发。nidps200可以被构造为：只有当不曾识别出异常时才输出数据包来在通信网络100中进行转发；而否则将该数据包丢弃。nidps200可以被构造为：基于数据包的内容来分析该数据包；而且根据检查的结果来转发该数据包或将该数据包丢弃。nidps200可以被构造为：替代该数据包本身，在第二输出端上输出信号，该信号准许对该数据包的转发或者触发对该数据包的丢弃。

在下文，依据图3来描述用于异常识别的方法。该方法例如在信号302将nidps置于状态304“活跃”下时开始。在状态304“活跃”下，观测在通信网络100的端口110处的消息。例如，接收和/或观测在端口110处的如下数据包，所述数据包被分配给这些消息和/或至少部分地或完全地包括这些消息。在本例中，观测按照汽车以太网标准的数据包作为消息。

在第一方面，在步骤306中，在同步或异步时间点变换到状态308“计算”下。

在第二方面，如果接收到第x个消息，则在步骤310中变换到状态308“计算”下。在一个示例中，x表示消息的整数。例如，通过计数器来检测有多少个消息自从上次变换到状态308“计算”下以来已被观测到，并且在自从该变换以来接收到至少两个消息之后变换到状态308“计算”下。

在该变换之前被观测到的消息数目在本例中为1<x而且尤其可以是x=2、x=5或x=10。可以规定：只观测被某个网络成员接收或者被寻址到某个网络成员处的消息。也可以只观测某种消息类型的消息或者利用某个消息协议来交换的消息，用于确定数目x。

在状态308“计算”下，根据至少两个消息来确定一个网络成员或多个网络成员的通信行为的特性。紧接着，确定该特性与预期特性的偏差。

该预期特性根据通信网络100的尤其是静态的网络架构来限定至少一个网络成员的通信行为。

该预期特性例如基于模型202被确定，该模型对网络成员的通信行为进行建模。

在一个方面，模型202根据关于通信网络100的静态部分的信息来被限定。尤其可以通过模型202来预先给定车辆的静态的网络架构。在这种情况下，该预期特性根据关于通信网络100的静态部分、尤其是静态的网络架构的信息来被限定。

在一个方面，模型202根据在通信网络100中所使用的网络协议的预先给定的期满来限定该预期特性。

例如，确定该偏差的量度，而且执行该偏差的量度与限定了该容许偏差的阈值的比较。

例如，在第一方面针对同步或异步时间点来确定该偏差的量度，而且执行该偏差的量度与限定了该容许偏差的阈值的比较。

例如，在第二方面，在接收到第x个消息之后执行该偏差的量度与限定了该容许偏差的阈值的比较。

在图1中所示出的示例中，其发送方是第一网络成员104而其接收方是第二网络成员106的第一数据包或消息限定了第一数据量。其发送方是第二网络成员106而其接收方是第一网络成员104的第二数据包或消息限定了第二数据量。

在本例中，该预期特性限定了第一数据量与第二数据量之间的比例。该比例尤其是根据在所限定的时间段内被交换的数据来予以确定。例如通过观测在通信网络100中被交换的数据来确定关于该比例的信息。

例如采用网络协议以太网、ipv4/ipv6、tcp/udp、some/ip、dds、doip和avb之一。数目x和这些数据量例如根据按照这些网络协议之一所传输的消息来予以确定。在这种情况下，例如该比例的容许偏差根据关于为此所使用的网络协议的信息来被确定。

模型202例如使用计数器或漏桶机制，该计数器或漏桶机制将关于数据传输的度量数汇总。例如，对于每最后的时间单位和/或对于每个通信成员进行汇总。

可以规定：对于在通信网络100中的数据传输来说，将所传输的数据包的数目、所传输的数据包的平均大小、网络连接的平均数目、每个网络连接的平均数据量、被中断的网络连接的数目、响应时间或者所发送的数据与所接收到的数据之间的比例汇总并且使它们与为此所建模的参量建立关系。

如果该偏差偏离该容许偏差，则识别出存在异常。该容许偏差借助于模型202根据该预期特性来被确定。

如果没有识别出异常，则在步骤312中从状态308“计算”变换到状态304“活跃”下。

如果识别出异常，则在步骤314中从状态308“计算”变换到状态316“响应”下。

在状态316“响应”下，确定对所识别出的异常的反应。在一个方面，确定异常严重程度的量度并且根据该异常严重程度来确定该反应。例如，该异常严重程度的量度根据一个或多个网络成员的通信行为的特性、该预期特性和/或该偏差来被确定。

在本例中，该反应根据该异常严重程度从多个所限定的反应中被选择。

该反应可包括：向中央机构报告；将这些消息中的尤其是一个消息的数据包丢弃；和/或将通信网络100转变到安全状态下。该反应例如通过在nidps的第一输出端212上输出来被触发。

可以规定：在异常识别期间，在车辆所处的不同的系统状态之间进行区分。例如对如下系统状态进行区分：“点火”、“发动机空转”、“向前行驶”、“向后行驶”或“执行车辆诊断”。这些系统状态例如通过第一输入端208来提供。该容许偏差由预给定装置206根据这些系统状态来预先给定。车辆的系统状态也可以根据在第一输入端208处的信息来被确定。在该方面，该预期特性根据系统状态来被确定。例如，如果查明车辆处在“点火”、“发动机空转”、“向前行驶”、“向后行驶”状态之一下，则相对于“执行车辆诊断”状态而言容许更小的偏差。

在该反应之后，在步骤318中变换到状态304“活跃”。

该方法例如由于相对应的信号而结束。