计算机系统中的入侵检测技术方案

提供了计算机系统中的入侵检测。一种用于在第一计算节点(30)处执行的入侵检测的计算机实现的方法(10)，包括：

【技术实现步骤摘要】
计算机系统中的入侵检测


[0001]本说明书涉及用于计算机系统中的入侵检测的方法，以及相关联的装置、系统、计算机程序元件和计算机可读介质。

技术介绍

[0002]嵌入式设备与外部通信网络(例如，车辆中的引擎控制单元ECU)日益增长的连接性增加了针对这种连接的嵌入式设备的攻击面(例如，来自网络攻击)。入侵检测是一种被应用于检测正在进行对连接的嵌入式设备或网络的入侵的被证实的方法。在车辆应用中使用的嵌入式设备经常具有有限的计算和/或连接性预算。因此，执行入侵检测的需求必须针对嵌入式设备必须本地执行的例如与车辆操作相关联的任务进行权衡。因此，可以进一步改进用于嵌入式设备的入侵检测方法，尤其是在应用于车辆通信网络时。

技术实现思路

[0003]根据第一方面，提供了一种用于在第一计算节点处执行的入侵检测的计算机实现的方法，包括：
[0004]‑
在与第一计算节点(30)的状态迭代相关联的第一计算节点的操作期间，在第一计算节点处获得第一计算节点的至少一个被监视特性，其中第一被监视特性指示入侵；以及
[0005]‑
从第一计算节点向第二计算节点传送第一计算节点的至少一个被监视特性。
[0006]根据第二方面，提供了一种用于在第二计算节点处执行的入侵检测的计算机实现的方法，包括：
[0007]‑
在第二计算节点处接收由第一计算节点传送到第二计算节点的第一计算节点的处理器的至少一个被监视特性；
[0008]‑
在第二计算节点处，执行第一计算节点的至少一部分的数字模型的至少一个状态迭代，其中所述数字模型的状态迭代提供至少一个模拟特性作为输出，所述至少一个模拟特性类似于从第一计算节点接收的至少一个被监视特性；
[0009]‑
将第一计算节点的处理器的所述至少一个被监视特性与由数字模型输出的所述至少一个模拟特性进行比较；以及
[0010]‑
如果检测到第一计算节点的处理器的所述至少一个被监视特性和由数字模型输出的所述至少一个模拟特性之间的差异，则执行响应。
[0011]换句话说，本说明书提出了一种入侵检测方法，该方法包括在由第二计算节点操作的所谓的数字孪生或数字模型中的、第一计算节点的由第二节点操作的功能和/或行为模型，和/或其软件栈。功能模型是由与应用于第一计算节点相同的指令驱动的由第一计算节点执行的软件栈的精确拷贝。行为模型不是由第一计算节点执行的软件栈的精确拷贝，而是代替地包括计时定义、功耗模型以及诸如此类。行为模型可以接收与应用于第一计算节点相同的指令，并使用所述指令来预测预期的计时或功耗行为。
[0012]数字模型包括第一计算节点的处理器、软件栈和/或IO配置的最新表示。如果软件更新被应用于由第一计算节点操作的软件栈，则由第二计算节点操作的数字模型也利用相同的软件更新或者被修改以反映软件更新的行为模型来更新。当第一计算节点执行处理任务时，第二计算节点处的数字模型可以执行相同的处理任务。假定第二计算节点处的数字模型被保护免受能够以第一计算节点为目标的网络入侵。在功能模型的情况下，假定由第二节点作为数字孪生的执行受到有效防火墙的保护，该防火墙防止到第一计算节点的入侵者也干扰数字孪生。在由第二计算节点操作的第一计算节点的行为模型的情况下，行为模型将不响应网络入侵尝试，因为行为模型将不包含对网络入侵者可访问的软件模块。
[0013]因此，第二计算节点可以监视第一计算节点的特性，并且将第一计算节点处的差异报告为网络入侵的潜在指示。
[0014]根据第三方面，提供了一种用于入侵检测的第一计算节点，包括第一处理器、第一存储器、第一通信接口和监视引擎。第一处理器被配置为执行根据第一方面或其实施例的方法。
[0015]根据第四方面，提供了包括第二处理器、第二存储器和第二通信接口的第二计算节点。第二处理器被配置为执行根据第二方面或其实施例的方法。
[0016]根据第五方面，提供了一种入侵检测的计算机实现的方法，包括：
[0017]‑
在指示入侵的处理器的操作期间，在第一计算节点处获得第一计算节点的处理器的至少一个被监视特性；
[0018]‑
从第一计算节点向第二计算节点传送第一计算节点的处理器的至少一个特性；
[0019]‑
在第二计算节点处执行第一计算节点的至少一部分的数字模型的至少一个状态迭代，其中数字模型的状态迭代提供至少一个模拟特性作为输出，所述至少一个模拟特性类似于从第一计算节点的处理器接收的所述至少一个特性；
[0020]‑
将第一计算节点的处理器的所述至少一个特性与由数字模型输出的所述至少一个模拟特性进行比较；以及
[0021]‑
如果检测到第一计算节点的处理器的所述至少一个特性与由数字模型输出的所述至少一个模拟特性之间的差异，则执行响应。
[0022]根据第六方面，提供了一种系统，包括根据第三方面的第一计算节点、根据第四方面的第二计算节点、以及被配置为可通信地耦合至少第一和第二计算节点的通信网络。
[0023]根据第七方面，提供了一种包括机器可读指令的计算机程序元件，当由处理器执行时，所述机器可读指令使处理器执行根据(i)第一方面或其实施例和/或(ii)第二方面或其实施例的步骤。
[0024]根据第八方面，提供了一种包括根据第七方面的计算机程序元件的计算机可读介质。
附图说明
[0025]图1示意性地图示了第一入侵检测概念；
[0026]图2示意性地图示了第二入侵检测概念；
[0027]图3示意性地图示了根据第一方面的第一计算节点的方法；
[0028]图4示意性地图示了根据第二方面的第二计算节点的方法；
[0029]图5示意性地图示了根据第三方面的第一计算节点；
[0030]图6示意性地图示了根据第四方面的第二计算节点；
[0031]图7示意性地图示了根据第五方面的方法；
[0032]图8示意性地图示了可以指示入侵的在第一计算节点处被监视的特性的示例；
[0033]图9示意性地图示了根据第六方面的系统。
具体实施方式
[0034]A.概述
[0035]随着嵌入式系统的连接性的日益增长，保护嵌入式设备免受网络攻击成为优先事项。例如，车辆包括数十或数百个微控制器、微处理器和计算机，它们被称为电子控制单元(ECU)。ECU通过使用例如CAN、LIN、汽车以太网或其他网络技术的车载网络(in
‑
vehicle network，IVN)连接。一种趋势是从车辆网络到诸如无线基站或其他车辆网络的外部实体的连接性日益增长。ECU本身越来越多地被具有更高性能的更集中的处理器所替代。进而，这些改进的ECU运行逐步变得更加复杂的软件。因此，车载网络正在成为对于网络罪犯和对损害车载网络感兴趣的其他团体而言越来越有吸引力的目标。例如，现有的消息可以被操控，或者额外的消息可以被注入到IVN中，并且这样的事件本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于在第一计算节点(30)处执行的入侵检测的计算机实现的方法(10)，包括：
‑
在与第一计算节点(30)的状态迭代相关联的第一计算节点的操作期间，在第一计算节点(30)处获得(12)第一计算节点的至少一个被监视特性，其中第一被监视特性指示入侵；以及
‑
从第一计算节点(30)向第二计算节点(50)传送(14)第一计算节点(30)的所述至少一个被监视特性。2.根据权利要求1所述的计算机实现的方法(10)，进一步包括：
‑
从第二计算节点(50)接收执行第一计算节点(30)处的处理操作的指令和监视与执行处理操作的所述至少一个指令相关联的第一计算节点(30)的特性的至少一个对应指令；
‑
执行如在指令中定义的第一计算节点(30)处的处理操作；和其中从第一计算节点(30)向第二计算节点(50)传送第一计算节点(30)的所述至少一个特性包括在已经执行了如在指令中定义的第一计算节点(30)处的处理操作之后，向第二计算节点(50)传送所述至少一个被监视特性。3.根据权利要求1所述的计算机实现的方法(10)，进一步包括：
‑
在第一计算节点(30)处接收第一计算节点(30)中的包括执行第一计算节点(30)处的处理操作的至少一个指令的存储器位置的第一标识符，以及第一计算节点(30)中的包括监视与执行处理操作的所述至少一个指令相关联的第一计算节点(30)的特性的至少一个对应指令的存储器位置的第二标识符；以及
‑
检索执行处理操作的所述至少一个指令，以及监视第一计算节点(30)的特性的所述至少一个对应指令。4.根据前述权利要求中的一项所述的计算机实现的方法(10)，其中执行第一计算节点(30)处的处理操作的至少一个指令包括执行预定义代码段内的代码、访问预定义存储器位置或通信总线、或者访问或切换预定义输出接口的指令。5.根据前述权利要求中的一项所述的计算机实现的方法(10)，其中所述至少一个被监视特性是第一计算节点(30)的寄存器散列、第一计算节点(30)的硬件的功耗、总线电压、总线电流或温度测量，或者在第一计算节点(30)处完成预定义任务所需的经过时间。6.一种用于检测第一计算节点(30)处的入侵的在第二计算节点(50)处执行的计算机实现的方法(20)，包括：
‑
在第二计算节点(50)处接收(22)由第一计算节点传送到第二计算节点的、与第一计算节点(30)的对应状态迭代相关联的第一计算节点(30)的处理器的至少一个被监视特性；
‑
在第二计算节点(50)处执行(24)模仿第一计算节点(30)的状态迭代的第一计算节点(30)的至少一部分的数字模型的至少一个状态迭代，其中数字模型的状态迭代提供至少一个模拟特性作为输出，所述至少一个模拟特性类似于从第一计算节点(30)接收的所述至少一个被监视特性；
‑
将第一计算节点(30)的处理器的所述至少一个被监视特性与由数字模型输出的所述至少一个模拟特性进行比较(26)；以及
‑
如果检测到第一计算节点(30)的处理器的所述至少一个被监视特性与由数字模型输出的所述至少一个模拟特性之间的差异，则执行(28)响应。7.根据权利要求6所述的计算机实现的方法(20)，进一步包括：
‑
向第一计算节点(30)传输执行第一计算节点(30)处的处理操作的至少一个指令，以及监视与执行处理操作的所述至少一个指令相关联的第一计算节点(30)的特性的至少一个对应指令；其中基于执行第一计算节点...

【专利技术属性】
技术研发人员：P，
申请(专利权)人：罗伯特，
类型：发明
国别省市：