用于基于边信道的网络攻击检测的系统和方法技术方案

描述了一种基于边信道的网络攻击检测系统。在操作时，系统将来自平台(例如，交通工具平台)的数据总线信号转换成系统状态的第一时间序列。系统进一步将来自平台的模拟边信道信号转换为系统状态的第二时间序列。通过比较系统状态的第一时间序列和系统状态的第二时间序列以检测平台的异常行为，来识别预定约束的违反。在检测时，将该异常行为指定为对平台的网络攻击，根据检测到的网络攻击使得平台发起动作。这些动作包括实现安全模式等。

【技术实现步骤摘要】
【国外来华专利技术】用于基于边信道的网络攻击检测的系统和方法政府权利本专利技术是在美国政府合同号D15PC00223“Side-ChannelCausalAnalysisforDesignofCyber-PhysicalSecurity(用于网络物理安全的设计的边信道因果分析)”的政府支持下完成的。政府拥有本专利技术的特定权利。相关申请的交叉引用本申请是2018年2月14日提交的美国临时申请No.62/630,675的非临时专利申请，其全部内容通过引用并入本文。本申请还是2018年6月12日提交的美国临时申请No.62/684,181的非临时专利申请，其全部内容通过引用并入本文。专利技术背景(1)
本专利技术涉及入侵检测，并且更具体地涉及用于基于边信道的网络攻击检测的系统。(2)相关技术的描述网络攻击是困扰许多行业的问题而且是通过各种技术来实现的。例如，对汽车的许多已知攻击涉及某些形式的欺骗或更改CAN总线消息。控制器局域网(CAN)总线是一种健壮的交通工具总线标准，该交通工具总线标准被设计成允许微控制器与设备在没有主机的应用中彼此通信。这种CAN总线攻击可以通过交通工具无线接口远程地发生，或者它们可以通过对交通工具硬件接口的非法访问而发生。在任一情况下，一旦攻击者获得对一个交通工具子系统的控制，他们就可以通过获得对CAN总线的访问而对其它交通工具子系统造成严重破坏。例如，如果攻击者可以使用CAN总线来使另一个模块进入诊断模式，他们就可以停止该模块的消息出现在总线上，然后他们可以用他们自己的消息来替换这些消息。根据模块，这些欺骗消息可以通过在不适当的时刻禁用制动或触发自动化特征(诸如，停车辅助)而潜在地使乘客处于严重的危险中。在本专利技术中，我们利用边信道(side-channel)信息来提供检测这种攻击的手段。边信道信息的最常见用途是使攻击者能够发现隐藏加密密钥以便侵入系统(参见所并入的参考文献列表，参考文献1)。通常，这些方法涉及将加密设备的边信道发射与各种另选输入相关联，使得这些变化可以一次揭示一位隐藏密钥。在实际使用中，攻击者必须能够访问设备硬件的边信道测量，诸如功耗、RF发射或声发射。这些发射中的变化虽然有很大噪声，但是可以指示在硬件中处理的不同比特串，并且因此可以揭示隐藏信息。这些方法的缺点是它们通常需要在非常大量的重复试验中对样本进行求平均，以便恢复所需的状态信息。其它技术已利用边信道信息作为检查计算系统中的软件完整性的手段。在Gonzalez等人的工作结果中，使用互相关方法来比较处理器边信道功率签名与从重复运行中获得的边信道轨迹(参见参考文献2)。通过手动选择所捕获的功率轨迹中的对应于特定代码执行片段的特定区段来获得签名。在一些情况下，轨迹的选定区段从多次运行中被获得，被对准，然后被一起求平均，以创建签名。在Gonzalez等人的工作结果中，他们需要捕获恶意软件的签名以及正常软件的签名来区分差异。在Clark等人的工作结果中，在由分类器处理之前，首先提取边信道信号的统计特征集(参见参考文献3)。然后训练分类器以区分正常行为和反常行为。Gonzalez等人和Clark等人的工作的缺点是，他们需要正常行为和反常行为的多个预先存在示例，以便执行他们对入侵的检测。因此，持续需要用于网络攻击检测的系统，该系统被设计为在多模块系统的背景下工作，这些模块通过数据总线通信，并且该系统能够检测异常而无需训练异常行为的先前示例。
技术实现思路
本公开提供了一种用于基于边信道的网络攻击检测的系统。该系统可以是具有一个或更多个处理器和存储器的嵌入式系统。在各个方面，存储器是非暂时性计算机可读介质，该非暂时性计算机可读介质编码有可执行指令，使得在执行指令时，一个或多个处理器执行若干操作。例如，在操作中，系统将来自平台(例如，交通工具平台)的数据总线信号转换成系统状态的第一时间序列。该系统还将来自平台的模拟边信道信号转换成系统状态的第二时间序列。通过将系统状态的第一时间序列与系统状态的第二时间序列进行比较以识别对预定约束的违反，来检测平台的异常行为。在检测时，异常行为被指定为对平台的网络攻击，基于检测到的网络攻击使得平台发起动作。这些动作包括实现安全模式等。在另一方面，平台是交通工具，并且在检测到网络攻击时，该交通工具执行从包括去激活互联网网络连接和将交通工具切换到安全模式以禁用一个或多个交通工具功能的组中选择的一个或多个动作。在又一方面，数据总线是交通工具CAN总线。此外，通过识别以下各项来检测异常行为：预定约束的违反、边信道状态和数据总线状态的不允许组合的集合、以及在系统状态的第一时间序列和系统状态的第二时间序列内同时且重复出现的不允许组合的同现。在又一方面，在识别预定约束的违反时，数据总线状态与对应的边信道状态之间的可允许状态转变被指定为预定约束，使得对系统状态的第一时间序列和系统状态的第二时间序列中的预定约束的违反的观察被分类为对平台的网络攻击。此外，将来自平台的数据总线信号转换成系统状态的第一时间序列还包括以下操作：保持具有通过数据总线上的消息发送的状态变量的值的k状态存储器，使得存储器中的所有值表示在数据总线上最新接收的值；以及以周期性间隔输出k状态存储器中的所有k状态变量作为系统状态的第一时间序列。在又一方面，将来自平台的模拟边信道信号转换成系统状态的第二时间序列还包括以下操作：捕获模拟边信道信号；将模拟信号转换成数字表示；以表示针对不同系统状态的预期模式的所存储的至少一个模板对所述模拟信号的数字表示进行归一化和卷积；选择用于数字表示的最佳匹配模板；以及以周期性间隔输出所述最佳匹配模板的标识。在另一方面，通过对跨子组件熔断器测量的电压进行放大来捕获模拟边信道信号。在又一方面，通过使用射频接收器来执行捕获模拟边信道信号。最后，本专利技术还包括计算机程序产品和计算机实现的方法。计算机程序产品可以被实现为交通工具嵌入式系统，该交通工具嵌入式系统包括存储在非暂时性计算机可读介质上的计算机可读指令，所述计算机可读指令能够由具有一个或更多个处理器的计算机执行，使得在执行所述指令时，一个或多个处理器执行本文列出的操作。或者，计算机实现的方法包括使计算机执行这些指令并执行所得操作的动作。附图说明通过以下结合附图对本专利技术的各个方面的详细描述，本专利技术的目的、特征和优点将变得显而易见，其中：图1是描绘根据本专利技术的各种实施方式的系统的组件的框图；图2是具体实现本专利技术的一方面的计算机程序产品的例示；图3A是示出根据本专利技术的各个实施方式的用于基于边信道的网络攻击检测的处理的流程图；图3B是描绘根据本专利技术的各个实施方式的系统组件的例示，其中系统提供检测从系统模块之间的数据通信识别出的交通工具状态与从子系统边信道识别出的状态之间的失配的能力；图4是描绘了示出典型消息结构的CAN总线消息的短序列的示例的例示；图5是根据本专利技术的各个实施方式的数据总线时间序列提取器的例示；<本文档来自技高网...

【技术保护点】
1.一种用于基于边信道的网络攻击检测的系统，所述系统包括：/n存储器和一个或更多个处理器，所述存储器是编码有可执行指令的非暂时性计算机可读介质，使得在执行所述指令时，所述一个或更多个处理器执行以下操作：/n将来自平台的数据总线信号转换成系统状态的第一时间序列；/n将来自所述平台的模拟边信道信号转换成系统状态的第二时间序列；/n通过将系统状态的所述第一时间序列与系统状态的所述第二时间序列进行比较以识别对预定约束的违反，来检测所述平台的异常行为，所述异常行为被指定为对所述平台的网络攻击；以及/n基于所述网络攻击使得所述平台发起动作。/n

【技术特征摘要】
【国外来华专利技术】20180214 US 62/630,675;20180612 US 62/684,1811.一种用于基于边信道的网络攻击检测的系统，所述系统包括：
存储器和一个或更多个处理器，所述存储器是编码有可执行指令的非暂时性计算机可读介质，使得在执行所述指令时，所述一个或更多个处理器执行以下操作：
将来自平台的数据总线信号转换成系统状态的第一时间序列；
将来自所述平台的模拟边信道信号转换成系统状态的第二时间序列；
通过将系统状态的所述第一时间序列与系统状态的所述第二时间序列进行比较以识别对预定约束的违反，来检测所述平台的异常行为，所述异常行为被指定为对所述平台的网络攻击；以及
基于所述网络攻击使得所述平台发起动作。


2.根据权利要求1所述的系统，其中，所述动作包括以下各项中的至少一者：停用互联网网络连接以及将所述平台切换到安全模式以禁用一个或更多个功能。


3.根据权利要求1所述的系统，其中，所述数据总线是交通工具CAN总线。


4.根据权利要求1所述的系统，其中，所述异常行为还通过识别以下各项来检测：
预定约束的违反，
边信道状态和数据总线状态的不允许组合的集合，以及
在系统状态的所述第一时间序列和系统状态的所述第二时间序列内同时且重复出现的不允许组合的同现。


5.根据权利要求4所述的系统，其中，检测所述异常行为还包括：将数据总线状态与对应的边信道状态之间的允许状态转变识别为预定约束，并且其中，所述处理器还执行以下操作：观察在系统状态的所述第一时间序列和系统状态的所述第二时间序列中的对所述预定约束的违反。


6.根据权利要求1所述的系统，其中，将来自平台的数据总线信号转换成系统状态的第一时间序列还包括以下操作：
按照以下方式保持具有通过所述数据总线上的消息发送的状态变量的值的k状态存储器：所述存储器中的所有值表示在所述数据总线上最新接收的值；以及
以周期性间隔输出所述k状态存储器中的所有k状态变量作为系统状态的所述第一时间序列。


7.根据权利要求1所述的系统，其中，将来自所述平台的模拟边信道信号转换成系统状态的第二时间序列还包括以下操作：
捕获模拟边信道信号；
将所述模拟边信道信号转换成数字表示；
利用所存储的至少一个模板对所述模拟边信道信号的所述数字表示进行归一化和卷积，所述至少一个模板表示针对不同系统状态的预期模式；
选择针对所述数字表示的最佳匹配模板；以及
以周期性间隔输出所述最佳匹配模板的标识。


8.根据权利要求7所述的系统，其中，捕获所述模拟边信道信号包括：对跨子组件熔断器测量的电压进行放大。


9.根据权利要求7所述的系统，其中，所述模拟边信道信号是由射频接收器捕获的。


10.一种用于基于边信道的网络攻击检测的计算机程序产品，所述计算机程序产品包括：
非暂时性计算机可读介质，所述非暂时性计算机可读介质上编码有可执行指令，使得在由一个或更多个处理器执行所述指令时，所述一个或更多个处理器执行以下操作：
将来自平台的数据总线信号转换成系统状态的第一时间序列；
将来自所述平台的模拟边信道信号转换成系统状态的第二时间序列；
通过将系统状态的所述第一时间序列与系统状态的所述第二时间序列进行比较以识别对预定约束的违反，来检测所述平台的异常行为，所述异常行为被指定为对所述平台的网络攻击；以及
基于所述网络攻击使所述平台发起动作。


11.根据权利要求10所述的计算机程序产品，其中，所述动作包括以下各项中的至少一者：停用互联网网络连接以及将所述平台切换到安全模式以禁用一个或更多个功能。


12.根据权利要求10所述的计算机程序产品，其中，所述数据总线是交通工具CAN总线。


13.根据权利要求10所述的计算机程序产品，其中，所述异常行为还通过识别以下各项来检测：
预定约束的违反，
边信道状态和数据总线状态的不允许组合的集合，以及
在系统状态的所述第一时间序列和系统状态的所述第二时间序列内同时且重复出现的不允许组合的同现。


1...

【专利技术属性】
技术研发人员：D·W·佩顿，
申请(专利权)人：赫尔实验室有限公司，
类型：发明
国别省市：美国;US