【技术实现步骤摘要】
在存在攻击者的情况下再训练入侵检测指纹
技术介绍
[0001]在诸如汽车、公共汽车、火车、工业交通工具、农业交通工具、船舶、飞机、航天器、制造业、工业、医疗器械、医疗保健系统、零售等的各种各样的现代系统中实现了通信网络。通常,使用联网协议来有助于在系统中的组件之间的信息通信。例如,可以使用像CAN总线之类的车载网络(IVN)来提供基于消息的协议,以有助于在电子控制单元(例如,微控制器、传感器、致动器等)之间的通信。然而,随着在此类网络上通信的电子控制单元的数量增加,整个系统暴露于各种类型的安全风险和攻击向量。因此,识别传送消息的电子控制单元(ECU)对于入侵检测系统(IDS)或主动攻击预防(AAP)系统是重要的。
附图说明
[0002]为了容易地识别任何特定元素或动作的讨论,附图标记中的一个或多个最高有效数位是指第一次介绍该元素的图号。
[0003]图1A示出了根据本公开的至少一个实施例的用于在存在攻击者的情况下再训练指纹的系统。
[0004]图1B更详细地示出了图1A的系统的一部分。
[0005]图2示出了根据本公开的至少一个实施例的图解。
[0006]图3示出了根据本公开的至少一个实施例的用于在上下文切换后在再训练指纹期间识别攻击者的方法。
[0007]图4示出了根据本公开的至少一个实施例的用于在存在攻击者的情况下再训练指纹的方法。
[0008]图5示出了根据本公开的至少一个实施例的用于在存在攻击者的情况下再训练指纹的另一种方法。
[0009]图6示出了根据本公开的至 ...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:基于预期的真实消息的数量和使用唯一消息识别(MID)接收的多个消息的总数,从由受攻击的电子控制单元(ECU)利用所述唯一MID传送的一个或多个真实消息生成均衡分布;从利用所述唯一MID传送的消息的累计分布中减去所述均衡分布,以生成攻击者分布;对于多个其它分布中的一个或多个分布,确定所述攻击者分布和所述多个其它分布中的一个分布之间的误差是否小于或等于阈值误差;以及响应于确定所述攻击者分布和所述多个其它分布中的所述一个分布之间的所述误差小于或等于所述阈值误差,基于所述攻击者分布和使用所述唯一MID传送的消息的所述累计分布之间的差,为所述唯一MID生成再训练的分布。2.如权利要求1所述的方法,包括基于所述再训练的分布更新与所述唯一MID相关联的指纹。3.如权利要求2所述的方法,包括:响应于确定所述攻击者分布和所述多个其它分布中的所述一个分布之间的所述误差小于或等于所述阈值误差,将与所述多个其它分布中的所述一个分布相关联的所述ECU标记为攻击者ECU。4.如权利要求2至3中任一项所述的方法,包括:响应于确定受攻击的分布和所述多个其它分布中的所述一个或多个分布之间的所述误差不小于或等于所述阈值误差,为所述唯一MID生成所述再训练的分布,包括:基于预期的真实消息的所述数量和使用所述唯一MID接收的所述多个消息的所述总数,从由攻击者ECU利用所述唯一MID传送的不真实消息生成第二均衡分布;从利用所述唯一MID传送的消息的所述累计分布中减去所述第二均衡分布,以生成真实分布;确定利用所述唯一MID接收的所述多个消息中的第一消息的分布和所述真实分布之间的误差是否小于或等于所述阈值误差;以及响应于确定利用所述唯一MID接收的所述多个消息中的所述第一消息的所述分布和所述真实分布之间的所述误差小于或等于所述阈值误差,基于所述第一消息的所述分布更新与所述唯一MID相关联的所述指纹。5.如权利要求4所述的方法,响应于确定所述受攻击的分布和所述多个其它分布中的所述一个或多个分布之间的所述误差不小于或等于所述阈值误差为所述唯一MID生成所述再训练的分布,包括:确定利用所述唯一MID接收的所述多个消息中的第二消息的分布和所述真实分布之间的误差是否小于或等于所述阈值误差;以及响应于确定利用所述唯一MID接收的所述多个消息中的所述第二消息的所述分布和所述真实分布之间的所述误差小于或等于所述阈值误差,基于所述第二消息的所述分布更新与所述唯一MID相关联的所述指纹。6.如权利要求3所述的方法,包括:观测在再训练周期期间在通信总线上传送的多个消息的物理特性,其中,所述多个消息中的每个消息包含多个唯一MID中的一个唯一MID的指示,所述唯一MID是所述多个唯一MID中的一个唯一MID;对于所述多个唯一MID中的每个MID,基于所述多个消息的所观测的物理特性,更新与
所述多个唯一MID相关联的分布;以及对于所述多个消息中的每个消息:确定基于所述多个消息中的所述一个消息的所观测的物理特性的分布是否在对与所述多个MID相关联的所更新的分布中的一个分布的所述阈值误差内,以及基于确定基于所述多个消息中的所述一个消息的所观测的物理特性的所述分布在对与所述多个MID相关联的所更新的分布中的所述一个分布的所述阈值误差内,递增恶意帧计数器。7.如权利要求6所述的方法,其中,所观测的物理特性是与所述消息传输相关联的模拟电压。8.如权利要求6至7中任一项所述的方法,其中,所述通信总线是车载网络。9.一种计算设备,包括:处理电路模块;和存储指令的存储器,所述指令在由所述处理电路模块执行时使所述设备:基于预期的真实消息的数量和使用唯一消息识别(MID)接收的多个消息的总数,从由受攻击的电子控制单元(ECU)利用所述唯一MID传送的一个或多个真实消息生成均衡分布;从利用所述唯一MID传送的消息的累计分布中减去所述均衡分布,以生成攻击者分布;对于多个其它分布中的一个或多个分布,确定所述攻击者分布和所述多个其它分布中的一个分布之间的误差是否小于或等于阈值误差;以及响应于确定所述攻击者分布和所述多个其它分布中的所述一个分布之间的所述误差小于或等于所述阈值误差,基于所述攻击者分布和使用所述唯一MID传送的消息的所述累计分布之间的差,为所述唯一MID生成再训练的分布。10.如权利要求9所述的计算设备,所述指令在由所述处理电路模块执行时使所述设备基于所述再训练的分布更新与所述唯一MID相关联的指纹。11.如权利要求10所述的计算设备,所述指令在由所述处理电路模块执行时使所述设备响应于确定所述攻击者分布和所述多个其它分布中的所述一个分布之间的所述误差小于或等于所述阈值误差而将与所述多个其它分布中的所述一个分布相关联的所述ECU标记为攻击者ECU。12.如权利要求10至11中任一项所述的计算设备,所述指令在由所述处理电路模块执行时使所述设备:响应于确定受攻击的分布和所述多个其它分布中的所述一个或多个分布之间的所述误差不小于或等于所述阈值误差,为所述唯一MID生成所述再训练的分布,包括:基于预期的真实消息的所述数量和使用所述唯一MID接收的所述多个消息的所述总数,从由攻击者ECU利用所述唯一MID传送的不真实消息生成第二均衡分布;从利用所述唯一MID传送的消息的所述累计分布中减去所述第二均衡分布,以生成真实分布;确定利用所述唯一MID接收的所述多个消息中的第一消息的分布和所述真实分布之间的误差是否小于或等于所述阈值误差;以及响应于确定利用所述唯一MID接收的所述多个消息中的所述第一消息的所述分布和所述真实分布之间的所述误差小于或等...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。