在存在攻击者的情况下再训练入侵检测指纹制造技术

本发明专利技术标题为“在存在攻击者的情况下再训练入侵检测指纹”。本发明专利技术提供了用于在存在在诸如车载网络总线之类的通信总线上传送伪造消息的攻击者电子控制单元的情况下为入侵检测系统建立真值的系统、设备和方法。设备和方法。设备和方法。

【技术实现步骤摘要】
在存在攻击者的情况下再训练入侵检测指纹

技术介绍

[0001]在诸如汽车、公共汽车、火车、工业交通工具、农业交通工具、船舶、飞机、航天器、制造业、工业、医疗器械、医疗保健系统、零售等的各种各样的现代系统中实现了通信网络。通常，使用联网协议来有助于在系统中的组件之间的信息通信。例如，可以使用像CAN总线之类的车载网络（IVN）来提供基于消息的协议，以有助于在电子控制单元（例如，微控制器、传感器、致动器等）之间的通信。然而，随着在此类网络上通信的电子控制单元的数量增加，整个系统暴露于各种类型的安全风险和攻击向量。因此，识别传送消息的电子控制单元（ECU）对于入侵检测系统（IDS）或主动攻击预防（AAP）系统是重要的。
附图说明
[0002]为了容易地识别任何特定元素或动作的讨论，附图标记中的一个或多个最高有效数位是指第一次介绍该元素的图号。
[0003]图1A示出了根据本公开的至少一个实施例的用于在存在攻击者的情况下再训练指纹的系统。
[0004]图1B更详细地示出了图1A的系统的一部分。
[0005]图2示出了根据本公开的至少一个实施例的图解。
[0006]图3示出了根据本公开的至少一个实施例的用于在上下文切换后在再训练指纹期间识别攻击者的方法。
[0007]图4示出了根据本公开的至少一个实施例的用于在存在攻击者的情况下再训练指纹的方法。
[0008]图5示出了根据本公开的至少一个实施例的用于在存在攻击者的情况下再训练指纹的另一种方法。
[0009]图6示出了根据本公开的至少一个实施例的存储装置。
[0010]图7示出了根据本公开的至少一个实施例的系统。
[0011]图8示出了根据本公开的至少一个实施例的车载通信体系结构800。
具体实施方式
[0012]现代入侵检测系统使用装置指纹法，这通常依赖于被采指纹的装置的物理特性。例如，交通工具中的IDS可利用在IVN上传送的ECU的电压特性来为每个ECU生成指纹，随后可以使用所述指纹来识别在IVN上传送的ECU。然而，随着被采指纹的装置的物理特性发生变化（例如，由于操作环境的变化、上下文的切换等），必定需要重新生成指纹，这通常称为“再训练”。要认识到，在存在恶意实体（“攻击者”）的情况下，再训练会有问题，因为攻击者可误导再训练过程。本公开提供了用于在甚至存在攻击者的情况下训练和/或再训练指纹的系统和方法。
[0013]在一些系统中，可以基于ECU的模拟电压波形对ECU进行采指纹。例如，可以捕获模拟波形数据（例如，与在总线上传送的各种ECU相关联的数据等），并且可以从模拟波形数据
生成多个直方图。可以将这些直方图分隔成唯一组，然后使用所述唯一组来识别消息来自唯一源。使用模拟波形的基于内核的密度函数（例如，概率密度函数（PDF）等），可以推导出密度，并且随后可以基于累积分布函数（CDF）来识别单独ECU的唯一分布。基于这些CDF，可以对单独ECU进行采指纹。
[0014]本公开提供：对于（例如，基于CDF等）被识别为源自相同源的每组消息，可以从直方图中外推和去除可能的攻击消息，以便甚至在存在攻击者的情况下准确地完成指纹法过程。
[0015]注意，本公开可以应用于针对各种通信总线对ECU进行采指纹，所述通信总线可以在许多不同的上下文中实现，诸如例如工业网络、交通工具网络、制造网络、零售运营网络、仓储网络等。例如，本公开可以应用于对在IVN（例如，CAN总线等）上传送的ECU进行采指纹（或再训练指纹）。将要进行采指纹的ECU可以包括用于以下系统的多个ECU：引擎控制、变速器、安全气囊、防抱死制动、巡航控制、电动助力转向、音频系统、电动窗、电动门、电动镜调节、电池、混动/电动汽车的充电系统、环境控制系统、自动启停系统、盲点监测、车道保持辅助系统、防撞系统以及自动或半自动驾驶交通工具情况下的更复杂的系统。虽然在本描述中经常使用交通工具网络作为示例实现，但是权利要求不限于在交通工具中实现的网络，而是可以应用于许多上下文。
[0016]在以下描述中，阐述了诸如处理器和系统配置之类的众多具体细节，以便提供对所描述的实施例的更充分的理解。然而，所描述的实施例可以在没有此类具体细节的情况下实践。另外，没有详细示出一些众所周知的结构、电路等，以免不必要地混淆所描述的实施例。
[0017]图1A示出了示例系统100，它可以在诸如例如汽车、摩托车、飞机、船只、个人船艇、全地形交通工具等的交通工具中实现。系统100包括多个ECU，例如，描绘了ECU 102a、ECU 102b和ECU 102c。系统100进一步包括ECU识别装置104。系统100包括通信总线106，通信总线106可以是CAN总线、FlexRay总线、CAN FD总线、汽车以太网总线或本地互连网络（LIN）总线。另外，在汽车空间之外的上下文中实现的情况下，通信总线106可以是适于特定实现（诸如例如用于制造设备的通信网络等）的网络总线。
[0018]一般来说，ECU 102a、ECU 102b和ECU 102c中的每一个都包括布置成生成消息并将消息传送到通信总线106上和/或消费来自通信总线106的消息的电路模块。所描绘的ECU（例如，ECU 102a、ECU 102b和ECU 102c）可以是各种各样的装置中的任一装置，诸如例如传感器装置、致动器装置、微处理器控制装置等。例如，ECU包括布置成操纵通信总线106上的电压电平的电路模块（例如，见图2），以经由通信总线106传递消息。如所描绘，系统100包括ECU 102a、ECU 102b和ECU 102c。这样做是为了表达清晰。然而，在实践中（例如，在现代汽车等中），可在系统100中提供数百个ECU。
[0019]如所述，ECU布置成生成和/或消费消息，其中，消息可以包括数据或命令。具体来说，ECU可以经由通信总线106来传达消息。因此，将消息描绘在通信总线106上。特别地，该图描绘了多个消息（MSG），诸如消息108a、消息108b、消息108c和消息108d。为了清晰和易于解释的目的，描绘了消息的数量。然而，许多IVN标准不规定在总线上指示源信息。要认识到，许多广播通信网络（例如，IVN方案等）没有足够的带宽来使传统的加密技术有用于指示消息的源，该指示可以用于认证消息。因此，消息（例如，消息108a等）通常包括消息识别
（MIDI）（未示出），接收者可以利用所述MIDI来确定消息是否相关。
[0020]本公开提供了ECU识别装置104，装置104布置成甚至在存在攻击者（例如，恶意ECU等）的情况下为ECU 102a、102b和102c训练指纹或再训练指纹，以使得AAP系统或IDS可以利用指纹来确定消息源的真实性，检测攻击者的存在，等等。为此，ECU识别装置104包括处理电路模块110、观测电路模块112和存储器114。存储器114包括指令116（例如，固件等），指令116可以由处理电路模块110和/或观测电路模块112来执行。在操作过程中，观测电路模块112本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，包括：基于预期的真实消息的数量和使用唯一消息识别（MID）接收的多个消息的总数，从由受攻击的电子控制单元（ECU）利用所述唯一MID传送的一个或多个真实消息生成均衡分布；从利用所述唯一MID传送的消息的累计分布中减去所述均衡分布，以生成攻击者分布；对于多个其它分布中的一个或多个分布，确定所述攻击者分布和所述多个其它分布中的一个分布之间的误差是否小于或等于阈值误差；以及响应于确定所述攻击者分布和所述多个其它分布中的所述一个分布之间的所述误差小于或等于所述阈值误差，基于所述攻击者分布和使用所述唯一MID传送的消息的所述累计分布之间的差，为所述唯一MID生成再训练的分布。2.如权利要求1所述的方法，包括基于所述再训练的分布更新与所述唯一MID相关联的指纹。3.如权利要求2所述的方法，包括：响应于确定所述攻击者分布和所述多个其它分布中的所述一个分布之间的所述误差小于或等于所述阈值误差，将与所述多个其它分布中的所述一个分布相关联的所述ECU标记为攻击者ECU。4.如权利要求2至3中任一项所述的方法，包括：响应于确定受攻击的分布和所述多个其它分布中的所述一个或多个分布之间的所述误差不小于或等于所述阈值误差，为所述唯一MID生成所述再训练的分布，包括：基于预期的真实消息的所述数量和使用所述唯一MID接收的所述多个消息的所述总数，从由攻击者ECU利用所述唯一MID传送的不真实消息生成第二均衡分布；从利用所述唯一MID传送的消息的所述累计分布中减去所述第二均衡分布，以生成真实分布；确定利用所述唯一MID接收的所述多个消息中的第一消息的分布和所述真实分布之间的误差是否小于或等于所述阈值误差；以及响应于确定利用所述唯一MID接收的所述多个消息中的所述第一消息的所述分布和所述真实分布之间的所述误差小于或等于所述阈值误差，基于所述第一消息的所述分布更新与所述唯一MID相关联的所述指纹。5.如权利要求4所述的方法，响应于确定所述受攻击的分布和所述多个其它分布中的所述一个或多个分布之间的所述误差不小于或等于所述阈值误差为所述唯一MID生成所述再训练的分布，包括：确定利用所述唯一MID接收的所述多个消息中的第二消息的分布和所述真实分布之间的误差是否小于或等于所述阈值误差；以及响应于确定利用所述唯一MID接收的所述多个消息中的所述第二消息的所述分布和所述真实分布之间的所述误差小于或等于所述阈值误差，基于所述第二消息的所述分布更新与所述唯一MID相关联的所述指纹。6.如权利要求3所述的方法，包括：观测在再训练周期期间在通信总线上传送的多个消息的物理特性，其中，所述多个消息中的每个消息包含多个唯一MID中的一个唯一MID的指示，所述唯一MID是所述多个唯一MID中的一个唯一MID；对于所述多个唯一MID中的每个MID，基于所述多个消息的所观测的物理特性，更新与
所述多个唯一MID相关联的分布；以及对于所述多个消息中的每个消息：确定基于所述多个消息中的所述一个消息的所观测的物理特性的分布是否在对与所述多个MID相关联的所更新的分布中的一个分布的所述阈值误差内，以及基于确定基于所述多个消息中的所述一个消息的所观测的物理特性的所述分布在对与所述多个MID相关联的所更新的分布中的所述一个分布的所述阈值误差内，递增恶意帧计数器。7.如权利要求6所述的方法，其中，所观测的物理特性是与所述消息传输相关联的模拟电压。8.如权利要求6至7中任一项所述的方法，其中，所述通信总线是车载网络。9.一种计算设备，包括：处理电路模块；和存储指令的存储器，所述指令在由所述处理电路模块执行时使所述设备：基于预期的真实消息的数量和使用唯一消息识别（MID）接收的多个消息的总数，从由受攻击的电子控制单元（ECU）利用所述唯一MID传送的一个或多个真实消息生成均衡分布；从利用所述唯一MID传送的消息的累计分布中减去所述均衡分布，以生成攻击者分布；对于多个其它分布中的一个或多个分布，确定所述攻击者分布和所述多个其它分布中的一个分布之间的误差是否小于或等于阈值误差；以及响应于确定所述攻击者分布和所述多个其它分布中的所述一个分布之间的所述误差小于或等于所述阈值误差，基于所述攻击者分布和使用所述唯一MID传送的消息的所述累计分布之间的差，为所述唯一MID生成再训练的分布。10.如权利要求9所述的计算设备，所述指令在由所述处理电路模块执行时使所述设备基于所述再训练的分布更新与所述唯一MID相关联的指纹。11.如权利要求10所述的计算设备，所述指令在由所述处理电路模块执行时使所述设备响应于确定所述攻击者分布和所述多个其它分布中的所述一个分布之间的所述误差小于或等于所述阈值误差而将与所述多个其它分布中的所述一个分布相关联的所述ECU标记为攻击者ECU。12.如权利要求10至11中任一项所述的计算设备，所述指令在由所述处理电路模块执行时使所述设备：响应于确定受攻击的分布和所述多个其它分布中的所述一个或多个分布之间的所述误差不小于或等于所述阈值误差，为所述唯一MID生成所述再训练的分布，包括：基于预期的真实消息的所述数量和使用所述唯一MID接收的所述多个消息的所述总数，从由攻击者ECU利用所述唯一MID传送的不真实消息生成第二均衡分布；从利用所述唯一MID传送的消息的所述累计分布中减去所述第二均衡分布，以生成真实分布；确定利用所述唯一MID接收的所述多个消息中的第一消息的分布和所述真实分布之间的误差是否小于或等于所述阈值误差；以及响应于确定利用所述唯一MID接收的所述多个消息中的所述第一消息的所述分布和所述真实分布之间的所述误差小于或等...

【专利技术属性】
技术研发人员：S，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：