基于存储器利用的系统入侵识别技术方案

基于存储器利用的系统入侵识别。本公开的第一方面涉及用于识别对系统的入侵的计算机实现的方法，所述方法包括在执行所述系统的软件的至少一部分时记录存储器利用信息；检验所述存储器利用信息是否与针对所述软件的至少一部分预定的参考存储器利用信息偏离；如果所述检验的结果是肯定的，则将所述软件评价为被操纵的。本公开的第二方面涉及用于记录和存储针对系统中的软件的参考存储器利用信息的计算机实现的方法，所述方法包括在执行软件的至少一部分时记录参考存储器利用信息并且存储针对系统中的软件的至少一部分的参考存储器利用信息。本公开的第三方面涉及一种系统，所述系统被设立用于执行本公开的方法。述系统被设立用于执行本公开的方法。述系统被设立用于执行本公开的方法。

【技术实现步骤摘要】
基于存储器利用的系统入侵识别


[0001]本专利技术涉及基于存储器利用的系统入侵识别。

技术介绍

[0002]系统、尤其是嵌入式系统可能是与安全相关的，并且应该被保护免受入侵。嵌入式系统可能包括硬件（例如电子计算器）和软件，所述硬件和软件两者都被合并（“嵌入”）在技术环境中。嵌入式系统可以（硬件和/或软件能够）例如被设计用于监测、控制和/或调节其他技术系统、诸如车辆或例如车辆的发动机控制装置。如果未识别到对系统的入侵，则系统和必要时其他技术系统可能以不希望的和/或不允许的方式被操纵。
[0003]（机电一体化）系统中电子控制单元的日益增加的数量以及电子控制单元的日益数字化或互操作性可能导致系统的越来越多的接口（例如车辆中的多媒体接口），并且从而导致变得越来越大的用于可能入侵的攻击面。入侵识别系统（英语：intrusion detection system，IDS）被开发，以便识别入侵并且尽可能防止入侵。
[0004]嵌入式系统、尤其是电子控制单元可以以限制性方式被设计。例如，嵌入式系统的功能性可以根据规范和/或标准被确定或认证。与例如如具有通用操作系统的通用计算机之类的系统相比，嵌入式系统的功能性可以通过（不太）大量的例程来实现。用于识别对系统的入侵的方法于是例如可以包括：在执行例程时记录电流消耗和/或其时间变化过程，并且将其与参考电流消耗或参考变化过程进行比较。这样的比较中的偏差可指出：例程（同时）已被操纵。因此可以识别到对系统的入侵并且采取对应的措施。然而，在执行例程期间测量电流需要为此所设计的附加硬件，并且因此与附加成本相关联。

技术实现思路

[0005]本公开的第一一般性方面涉及一种用于识别对系统的入侵的计算机实现的方法。该方法包括在执行系统的软件的至少一部分时记录存储器利用信息。该方法此外包括检验存储器利用信息是否与针对软件的至少一部分预定的参考存储器利用信息偏离。该方法此外包括如果检验的结果是肯定的，则将软件评价为被操纵的。该方法可以包括如果软件已经被评价为被操纵的，则采取至少一种措施。
[0006]本公开的第二一般性方面涉及用于记录和存储针对系统中的软件的参考存储器利用信息的计算机实现的方法。该方法包括在执行软件的至少一部分时记录参考存储器利用信息。该方法此外包括存储针对系统中的软件的至少一部分的参考存储器利用信息。
[0007]在根据第一一般性方面（或其实施方式）的用于识别对系统的入侵的方法中的针对软件的至少一部分的预定的参考存储器利用信息可以按照根据第二一般性方面（或其实施方式）的用于记录和存储针对系统中的软件的参考存储器利用信息的方法被产生。
[0008]本公开的第三一般性方面涉及一种系统，所述系统被设计用于执行根据第一一般性方面（或其实施方式）的用于识别对系统的入侵的计算机实现的方法和/或根据第二一般性方面（或其实施方式）的用于记录和存储针对系统中的软件的参考存储器利用信息的计
算机实现的方法。
[0009]本公开的第四一般性方面涉及一种计算机程序，所述计算机程序被设计用于执行根据第一一般性方面（或其实施方式）的用于识别对系统的入侵的计算机实现的方法和/或根据第二一般性方面（或其实施方式）的用于记录和存储针对系统中的软件的参考存储器利用信息的计算机实现的方法。
[0010]本公开的第五一般方面涉及一种存储和/或包含根据第四一般性方面的计算机程序的计算机可读介质或信号。
[0011]本公开的第六一般性方面涉及一种计算机系统，所述计算机系统被设计用于执行根据第四一般性方面的计算机程序。
[0012]在本公开中提出的方法针对识别对系统的入侵。如果识别到入侵，则可以采取至少一种措施（对策），所述措施（对策）例如针对防止入侵和/或通知上级电子控制单元。
[0013]该方法对于限制性设计的系统可以是特别有利的。限制性设计的系统例如可以是（具有软件的）嵌入式系统，其中功能性和/或其实现遭受（严格的）规则。这些规则可以例如由规范和/或标准预先给定。例如，规则可以是存储器不能动态地被分配（例如通过C中的malloc）。在这种情况下，例如固定的存储器地址被写入软件的编程代码中（“硬编码”）。此外，软件例如可以包括（不太）大量的清楚定义的例程。对限制性设计的系统的关注只能表述仅无关紧要的限制，因为恰好与安全相关的系统通常是限制性设计的。
[0014]检验存储器利用信息是否与针对软件的至少一部分（例如针对软件的例程）预定的参考存储器利用信息偏离包括将在执行软件的至少一部分时记录的存储器利用信息与针对软件的至少一部分预定的（事先同样例如在标准条件下记录的）参考存储器利用信息进行比较。由此，在执行该软件的至少一部分时，可以检验该软件的至少一部分是否对应于针对该软件设置的部分，或者所述至少一部分是否已经例如通过外部（编程）代码被操纵。入侵的识别可以非常准确并且因此是可靠的。由此可以改善系统的安全性。此外，入侵识别可以在系统本身中进行（英语：“host
‑
based（基于主机）”），并且例如不取决于与系统连接的其他系统和/或网络。
[0015]与在现有技术中已知的基于电流消耗和/或其变化过程的入侵识别（所述识别在系统中基于用于电流测量的附加传感器系统硬件）相比，本公开中提出的方法不一定需要系统中的附加硬件。也即在执行系统的软件的至少一部分时记录（英语也为：logging）存储器利用信息和/或记录与此有关的参考存储器利用信息可以仅仅在软件中实现。软件改变可能比硬件扩展成本更低。
[0016]此外，系统（例如车辆领域中的电子控制单元）也可以事后（例如通过更新软件并且在无硬件扩展的情况下）被适配为使得可以在系统中应用在本公开中提出的方法。由此，也可以事后保护系统免受入侵。
[0017]在记录存储器利用信息/参考存储器利用信息时和/或在检验存储器利用信息是否与针对软件的至少一部分预定的参考存储器利用信息偏离时，可以有针对性地设定计算耗费和/或存储器需求。例如，通过以下方式可以在记录时以及在比较时减少计算耗费和存储器需求，即分别不记录和/或比较完整的存储器地址，而是代替地仅记录和/或比较存储器地址的特定位。在详细的描述中公开了其他可能性。通过这种可能性减少计算耗费原则上可以随着存储器利用信息和参考存储器利用信息的比较的较低精度和从而随着入侵识
别的较低精度而发生。然而，通过这种可能性并不一定影响识别的精度。尤其是在限制性设计的系统中，存储器利用信息和参考存储器利用信息可以具有对于比较来说大的冗余，所述冗余可以被减小，而不显著影响入侵识别的精度。例如，在识别入侵时的差错（假正或假负）于是例如可以是非常不可能的。在任何情况下，根据软件或根据软件的例程，可以有针对性地（搜索和）设定效率和精度之间的最佳。
[0018]为了检验存储器利用信息是否与针对软件的至少一部分预定的参考存储器利用信息偏离，如果存储器利用信息和参考存储器利用信息中的存储器地址分别都具有绝对意义，则可能是有利的。另一方面，如果例如存储器地址在时本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于识别对系统（300）的入侵的计算机实现的方法（100），所述方法包括：
‑
在执行所述系统（300）的软件的至少一部分时记录（110）存储器利用信息；
‑
检验（120）所述存储器利用信息是否与针对所述软件的至少一部分预定的参考存储器利用信息偏离；
‑
如果所述检验（120）的结果是肯定的，则将所述软件评价（130）为被操纵的。2.根据权利要求1所述的方法（100），所述方法包括：
‑
如果所述软件已被评价（130）为被操纵的，则采取（140）至少一种措施。3.根据权利要求1或2所述的方法（100），其中所述系统（300）的软件的至少一部分是所述软件的例程。4.根据前述权利要求中任一项所述的方法（100），其中如果所述存储器利用信息和针对所述软件的至少一部分预定的参考存储器利用信息满足预定的准则，则所述存储器利用信息与针对所述软件的至少一部分预定的参考存储器利用信息偏离。5.根据前述权利要求中任一项所述的方法（100），所述方法包括：
‑
如果所述检验（120）的结果是否定的，则将所述软件评价（150）为未被操纵的。6.一种用于记录和存储针对系统（300）中的软件的参考存储器利用信息的计算机实现的方法（200），所述方法包括：
‑
在执行所述软件的至少一部分时记录（210）参考存储器利用信息；
‑
存储（220）针对所述系统（300）中的软件的至少一部分的参考存储器利用信息。7.根据权利要求1至5中任一项所述的方法（100），其中按照根据权利要求6所述的用于记录和存储针对系统（300）中的软件的参考存储器利用信息的方法（200）产生针对所述软件的所述至少一部分的预定的参考存储器利用信息。8.根据前述权利要求中任一项所述的方法（100、200），其中针对所述软件的至少一部分的存储器利用信息和/或针对所述软件的至少一部分的参考存储器利用信息包括所述系统（300）的存储器中的存储器地址的至少一个时间序列，所述存储器地址在执行所述软件的至少一部分时被执行、读取和/或写入。9.根据前...

【专利技术属性】
技术研发人员：P，
申请(专利权)人：罗伯特，
类型：发明
国别省市：