用于检测对网络的分布式现场总线的入侵的方法及其系统技术方案

本公开涉及用于检测对车辆网络的分布式现场总线的入侵的方法和系统。入侵检测系统(IDS)被用于检测网络的入侵。在包括多个节点的网络中，IDS被配置在多个节点中的每个节点中。在第一传输模式中配置的第一节点中的IDS接收至少一个消息信号。在至少一个消息信号上执行哈希函数以生成第一蜜罐(HPT)信号。同时，第一节点向第二节点发送第一HPT信号。第一节点和第二节点分别使用回声哈希函数生成参考HPT和第二HPT。IDS基于参考HPT与第二HPT的比较检测入侵。该方法独立于网络流量时序并且可以实时执行。

【技术实现步骤摘要】
【国外来华专利技术】用于检测对网络的分布式现场总线的入侵的方法及其系统说明书前言以下说明尤其描述本专利技术及其实现方法：
本文涉及网络安全。确切地说但非具体地，本文涉及用于检测对分布式现场总线车载网络的入侵的方法和系统。
技术介绍
汽车通常配备有多个电子控制单元(ECU)用于控制和操作汽车。汽车的车载网络由通过多个分布式现场总线网络连接的几个ECU组成。ECU相互通信，或使用标准车载现场总线协议，如控制器局域网(CAN)、LIN(本地互连网络)、FlexRayTM和MOSTTM(面向媒体的系统传输)，与网关/主控制器单元(MCU)通信。汽车的最新创新要求车对车(V2V)和车对基础设施(V2I)的短程通信以及借助嵌入式调制解调器或蓝牙配对用户设备的车对互联网的通信。互联车辆技术也包括与像智能手机和平板电脑这样的外部设备的连接。当车辆被连接到外网时，它们有更大的攻击面，这使其易受网络攻击。车辆远程连接给恶意行为人提供了经由外通信接口利用漏洞的途径，这造成破坏和安全隐患。例如黑客可以通过外接口访问车载网络并利用造成安全关键系统出故障或超出安全限制的漏洞。这样的攻击会对车辆、车辆中的人员以及周围人员和基础设施造成严重损害。因此，车辆与外接口的连接带来严重的安全风险。现有现场总线安全机制需要专用硬件来实现通过分布式现场总线协议的安全通信。专用硬件做法导致开发成本增加。此外，由于一次性可编程性的限制，当前正处于开发中的车辆体系结构可能难以适应硬件解决方案，且这些解决方案需要专用调试接口(调试用专用电子设备)。因此，已开发或当前正开发的车辆体系结构不能使用基于专用硬件的安全机制，因为它们将不得不进行显著改动以适应网络架构。因此，专用硬件的使用使得在车辆生产之后重新配置/再更新硬件安全机制变得困难。很少有其它传统的现场总线安全解决方案使用低级密码算法如对称密钥密码学、公钥密码学来确保消息的完整性和验证。但是，密钥的生成和管理面临挑战，因为非对称密钥(每条消息的独特性是计算昂贵的)，而对称密钥随时间推移易受暴力攻击而破解。此外，常规现场总线安全解决方案也包括诸如将输入消息分组至多个逻辑块以分配对于逻辑块独特的非对称密钥和使用截断密码消息验证码(MAC)的方法。因此，黑客可利用现有现场总线安全机制。现有解决方案均未提供采用用于车载网络应用的分布式现场总线协议的安全鲁棒的通信方式。车辆所用的一种这样的传统布置在WO2016151566A1[以下称为PA1]中被公开。PA1披露了通过分析正在总线上传输的一帧或多帧的时序来分析车辆CAN总线网络中的异常流量。因此，PA1仅使用时序分析来检测网络入侵。利用如PA1所公开的方法会导致缺点，因为入侵探测系统应以安全方式针对因功能需求变化而引起的所有时序变化被调整和更新。在本文背景部分中所公开的信息仅用于增强对本专利技术的一般背景的理解，而不应被视为承认或以任何形式表明该信息构成本领域技术人员已知的现有技术。
技术实现思路
在一个实施例中，本文涉及一种用于检测网络中的入侵或异常流量的方法，该网络包括被配置为通过分布式现场总线协议进行通信的多个节点。在车辆网络中，节点是电子控制单元(ECU)的一部分，它被配置为允许ECU之间的通信。可以在多个节点中的每个节点中配置入侵探测系统(IDS)。该方法包括通过由按传输模式配置的第一节点中的IDS接收多个消息信号。第一节点将多个消息信号打包在配置用于传输的协议数据单元(PDU)中。此外，通过对多个消息信号中的至少一个信号执行哈希函数来生成第一蜜罐(HPT)信号。第一HPT信号被打包在PDU中并被配置为通过分布式现场总线被发送到多个节点中的第二节点，该第二节点被配置为接收PDU。此外，在PDU中发送的HPT信号被存储在第一/发送方节点的存储器中。第二/接收方节点将经过哈希的HPT信号回声并用不同的哈希函数来哈希，并且来自第二节点的HPT信号被称为第二蜜罐信号。接着，从第二节点接收第二HPT信号。第二HPT信号由第二节点通过使用回声哈希函数回声第一HPT信号来生成。第二HPT信号可以由在第二节点中配置的IDS或由在第二节点中被配置用于在第二节点所收到的第一HPT上执行回声哈希函数的单元来生成。最后，将参考HPT信号和第二HPT信号进行比较，并且将比较值用于检测对分布式现场总线的入侵。在一个实施例中，本文公开一种入侵探测系统(IDS)，用于检测网络入侵，该网络包括被配置为通过分布式现场总线进行通信的多个节点。在车辆网络中，节点是在车辆中所配置的电子控制单元(ECU)。IDS包括处理器和通信连接至处理器的存储器，该存储器存储处理器可执行指令，其在执行时使处理器接收多个消息信号。IDS被配置在以传输模式配置的第一节点中。第一节点将多个消息信号打包在被配置用于由第一节点传输的PDU中。此外，处理器被配置为通过对多个消息信号中的至少一个消息信号执行哈希函数来生成第一蜜罐(HPT)信号。此外，处理器被配置为将第一HPT信号打包在PDU中，以通过分布式现场总线传输到多个节点中的第二节点，该第二节点被配置为接收PDU。此后，处理器被配置为通过用回声哈希函数回声第一HPT信号来生成参考HPT信号。参考HPT信号被存储在与IDS相关联的存储器中。此外，处理器被配置为从第二节点接收第二HPT信号。第二HPT信号由第二节点通过用回声哈希函数回声第一HPT信号来生成。第二HPT信号可以由在第二节点中配置的IDS或在第二节点中的被配置用于对由第二节点接收的第一HPT执行回声哈希函数的单元生成。最后，处理器被配置为比较参考HPT信号和第二HPT信号，并且比较值被用于检测对分布式现场总线的入侵。前面的概述仅是说明性的，而无意于以任何方式进行限制。除了上述的说明性方面、实施例和特征之外，通过参考附图和以下详细描述，其它方面、实施例和特征将变得一清二楚。附图说明本文的新颖特征和特点在所附权利要求书中有所阐述。但是，在结合随附的附图来阅读时，通过参考以下对说明性实施例的详细描述将会最好地理解本文本身以及优选使用方式、其它的目的和优点。现在仅举例并参考附图来描述一个或多个实施例，其中相同的附图标记表示相同的零部件，其中：图1示出根据本文的一些实施例的网络架构100；图2示出根据本文的一些实施例的用于检测对车载网络的分布式现场总线的入侵的入侵探测系统(IDS)的内部架构；图3示出示例性流程图，其示出了根据本文的一些实施例的用于检测对车载网络的分布式现场总线的入侵的方法步骤。图4表示根据本文的一些实施例的用于检测对车载网络的分布式现场总线的入侵的在发送方节点与接收方节点之间的通信。图5A表示根据本文的一些实施例的以传输模式配置的节点的框图。图5B表示根据本文的一些实施例的接收方节点对PDU的处理。图5C表示根据本文的一些实施例的以接收模式配置的节点的框图。图5D表示根据本文的一些实施例的表示蜜罐循环产生的流程图。本领域技术人员应该认识到，在此的任何框图表示实现本主题原理的说明性系统的概本文档来自技高网...

【技术保护点】
1.一种用于探测对包含多个节点的现场总线网络的入侵的方法，该方法包括：/n通过在所述多个节点中的第一节点内的入侵探测系统(IDS)接收多个消息信号，其中，所述第一节点被配置成发送所述多个消息信号；/n通过使用所述多个消息信号中的至少一个消息信号执行哈希函数而由所述IDS生成第一蜜罐(HPT)信号，其中，所述第一HPT信号连同所述多个消息信号一起被发送至所述多个节点中的第二节点；/n通过对所生成的第一HPT信号计算回声哈希函数而由所述IDS生成参考HPT信号，其中，所述参考HPT信号被存储在与所述IDS相关的存储器中；/n由所述IDS自所述第二节点接收第二HPT信号，其中，所述第二HPT信号是通过对所发送的第一HPT信号执行所述回声哈希函数来生成的；和/n由所述IDS比较所述参考HPT信号与所述第二HPT信号以探测网络入侵。/n

【技术特征摘要】
【国外来华专利技术】20181210 IN 2018410466261.一种用于探测对包含多个节点的现场总线网络的入侵的方法，该方法包括：
通过在所述多个节点中的第一节点内的入侵探测系统(IDS)接收多个消息信号，其中，所述第一节点被配置成发送所述多个消息信号；
通过使用所述多个消息信号中的至少一个消息信号执行哈希函数而由所述IDS生成第一蜜罐(HPT)信号，其中，所述第一HPT信号连同所述多个消息信号一起被发送至所述多个节点中的第二节点；
通过对所生成的第一HPT信号计算回声哈希函数而由所述IDS生成参考HPT信号，其中，所述参考HPT信号被存储在与所述IDS相关的存储器中；
由所述IDS自所述第二节点接收第二HPT信号，其中，所述第二HPT信号是通过对所发送的第一HPT信号执行所述回声哈希函数来生成的；和
由所述IDS比较所述参考HPT信号与所述第二HPT信号以探测网络入侵。


2.根据权利要求1所述的方法，其中，所述多个消息信号被存储在所述存储器中，并且其中，所述多个消息信号中的至少一个消息信号被基于随机私钥、门函数和哈希函数所产生的堆栈索引访问以生成所述第一HPT信号。


3.根据权利要求2所述的方法，其中，所述门函数基于所述随机私钥计算门序列以确定生成所述第一HPT信号的时间间隔，所述门序列确定何时允许信号变化，所述门序列是二进制比特流，其中比特1代表此时第一HPT信号的变化被允许，比特0代表第一HPT信号的变化不被允许。


4.根据权利要求3所述的方法，其中，基于所述门序列和所述随机私钥生成所述堆栈索引是通过以下至少之一来进行的：
将所述门序列的数位和初始化至任意值，并确定源自针对消息周期所确定的所述门序列的所有布尔数位和之和的数。


5.根据权利要求1所述的方法，其中，所述第一HPT信号和所述多个消息信号被打包在协议数据单元(PDU)中，并且所述PDU被配置成在消息周期时间内发送。


6.根据权利要求1所述的方法，其中，在由所述第二节点计算所述第二HPT信号与发送所述第二HPT信号至所述第一节点的所述IDS所耗用的时间量之间的时延被补偿以探测对所述分布式现场总线的入侵，对于每个消息周期，其中，通过与所述参考HPT信号的时间实例相比较来同步所述第二HPT信号的时间实例，所述第二HPT信号被时间补偿，并且其中，利用时间同步参数来执行时间同步，所述时间同步参数包含在所述第二节点上的生成所述第二HPT信号的所述回声哈希函数的时间同步常数、从所述第二节点至所述第一节点的周期性通信的时间同步常数、将来自所述发送方节点的所述第二HPT信号与来自所述第一节点的所述参考HPT信号相比较的验证逻辑的时间同步常数和所述第一HPT信号的传输的时间实例。

【专利技术属性】
技术研发人员：C·波图里，A·克吕格尔，
申请(专利权)人：戴姆勒股份公司，
类型：发明
国别省市：德国;DE