| 专利名称: | 用于基于反射测量法的通信网络监测、入侵检测以及消息认证的方法和系统 | ||
| 专利名称(英文): | Based on the reflection measuring method used for the communication network monitoring, intrusion detection and method and system for message authentication | ||
| 专利号: | CN201610019922.6 | 申请时间: | 20160113 |
| 公开号: | CN105791266A | 公开时间: | 20160720 |
| 申请人: | 通用汽车环球科技运作有限责任公司 | ||
| 申请地址: | 美国密执安州 | ||
| 发明人: | M.莱芬菲尔德; Y.波列沃伊; T.D.朱尔森; K.M.巴尔特斯; O.科亨 | ||
| 分类号: | H04L29/06; H04L9/32 | 主分类号: | H04L29/06 |
| 代理机构: | 中国专利代理(香港)有限公司 72001 | 代理人: | 李晨; 董均华 |
| 摘要: | 本发明涉及用于基于反射测量法的通信网络监测、入侵检测以及消息认证的方法和系统。提供了用于在车辆的通信网络上监测和检测入侵以及认证消息的系统和方法。监测在电子控制模块和远程电子模块之间在通信网络上传输的多个信号。发射测量法特征集从所述多个信号中抽出并且与预定通信网络特征集的储存库相比较以产生不匹配值。所述不匹配值与预定阈值范围相比较并且当所述不匹配值在所述预定阈值范围之内时认证事件发生。当所述不匹配值在所述预定阈值范围之外时,标记事件发生并被记录。 | ||
| 摘要(英文): | Systems and methods are provided for monitoring and detecting intrusions and authenticating messages on a communication network of a vehicle. A plurality of signals transmitted over communications network between an electronic control module and a remote electronic module are monitored. Reflectometry feature sets are extracted from the plurality of signals and compared to a repository of predetermined communication network feature sets to generate a mismatch value. The mismatch value is compared to a predetermined threshold range and an authenticated event occurs when the mismatch value is within the predetermined threshold range. When the mismatch value is outside the predetermined threshold range, a flagged event occurs and is recorded. | ||
1.一种在通信网络上监测和检测入侵的方法,其包括: 利用反射仪监测在所述通信网络上的多个通信通道,所述通信通道的每个均在电子控 制模块和远程电子控制模块之间传输多个信号; 从在所述通信通道的每个上传输的所述多个信号中的每个中抽出发射测量法特征集; 将所述抽出的发射测量法特征集与预定通信网络特征集的储存库相比较以生产不匹 配值; 当所述不匹配值在预定阈值范围之内时确定认证事件已经发生并且继续监测所述多 个通信通道; 当所述不匹配值在所述预定阈值范围之外时确定标记事件已经发生;并且 将所述标记事件记录在存储器模块中。
2.根据权利要求1所述的方法,其进一步包括: 当所述标记事件已经发生时发送所述抽出的发射测量法特征集到网络安全异常检测 模块;以及 基于至少一个所抽出的发射测量法特征集,利用所述网络安全异常检测模块,确定入 侵已经发生。
3.根据权利要求2所述的方法,其进一步包括: 通过所述网络安全异常检测模块,存储标记事件的历史和对应的所抽出的发射测量法 特征集;以及 基于标记事件的所述历史和对应的所抽出的发射测量法特征集,利用所述网络安全异 常检测模块,确定所述入侵已经发生。
4.根据权利要求1所述的方法,其进一步包括建立基于初始通信网络基线的预定通信 网络特征集的所述储存库。
5.根据权利要求1所述的方法,其进一步包括基于重新校准事件重新校准预定通信网 络特征集的所述储存库。
6.根据权利要求1所述的方法,其进一步包括: 识别与对应于所述认证事件的所述信号相关的所述远程电子控制模块; 将对应于所述认证事件的所述信号的内容和与所述远程电子控制模块相关的多个命 令的命令储存库相比较; 当对应于所述认证事件的所述信号的所述内容与在所述命令储存库中的至少一个命 令相匹配时,确认所述认证事件已经发生并且继续监测所述多个通信通道; 当对应于所述认证事件的所述信号的所述内容与在所述命令储存库中的至少一个命 令不匹配时,确认所述标记事件已经发生;并且 将所述标记事件记录在存储器模块中。
7.用于在通信网络上监测和检测入侵的系统,其包括: 电子控制模块,所述电子控制模块具有第一处理器模块和第一存储器模块,所述电子 控制模块被构造成发送和接收在所述通信网络的多个通信通道上的多个信号; 远程电子控制模块,所述远程电子控制模块被构造成发送和接收来自在所述通信通道 上所述电子控制模块的所述多个信号; 预定通信网络特征集的储存库;以及 反射仪,所述反射仪具有第二处理器模块和第二存储器模块,所述反射仪被构造成从 在所述通信通道上传输的所述多个信号的每个中抽出发射测量法特征集并且计算对应于 所述发射测量法特征集和所述对应的通信网络特征集之间的差异的不匹配值, 其中,当所述不匹配值在预定阈值范围之内时认证事件发生以及当所述不匹配值在所 述预定阈值范围之外时标记事件发生,所述标记事件被记录在所述第一存储器模块和所述 第二存储器模块中的至少一个中。
8.根据权利要求7所述的系统,其进一步包括具有第三处理器模块和第三存储器模块 的网络安全异常检测模块,所述网络安全异常检测模块被构造成当标记事件已经发生时接 收所述发射测量法特征集并且基于至少一个发射测量法特征集确定入侵已经发生。
9.根据权利要求8所述的系统,其中,所述网络安全异常检测模块被构造成基于标记事 件的历史和对应的所抽出的发射测量法特征集确定所述入侵已经发生。
10.一种车辆,其包括: 通信网络;以及 用于在所述通信网络上监测和检测入侵的系统,所述系统包括: 电子控制模块,所述电子控制模块具有第一处理器模块和第一存储器模块,所述电子 控制模块被构造成发送和接收在所述通信网络的多个通信通道上的多个信号; 远程电子控制模块,所述远程电子控制模块被构造成发送和接收来自在所述通信通道 上所述电子控制模块的所述多个信号; 预定通信网络特征集的储存库;以及 反射仪,所述反射仪具有第二处理器模块和第二存储器模块,所述反射仪被构造成从 在所述通信通道上传输的所述多个信号的每个中抽出发射测量法特征集并且计算对应于 所述发射测量法特征集和所述对应的通信网络特征集之间的所述差异的不匹配值, 其中,当所述不匹配值在预定阈值范围之内时认证事件发生,以及当所述不匹配值在 所述预定阈值范围之外时标记事件发生,所述标记事件被记录在所述第一存储器模块和所 述第二存储器模块中的至少一个中。
1.一种在通信网络上监测和检测入侵的方法,其包括: 利用反射仪监测在所述通信网络上的多个通信通道,所述通信通道的每个均在电子控 制模块和远程电子控制模块之间传输多个信号; 从在所述通信通道的每个上传输的所述多个信号中的每个中抽出发射测量法特征集; 将所述抽出的发射测量法特征集与预定通信网络特征集的储存库相比较以生产不匹 配值; 当所述不匹配值在预定阈值范围之内时确定认证事件已经发生并且继续监测所述多 个通信通道; 当所述不匹配值在所述预定阈值范围之外时确定标记事件已经发生;并且 将所述标记事件记录在存储器模块中。
2.根据权利要求1所述的方法,其进一步包括: 当所述标记事件已经发生时发送所述抽出的发射测量法特征集到网络安全异常检测 模块;以及 基于至少一个所抽出的发射测量法特征集,利用所述网络安全异常检测模块,确定入 侵已经发生。
3.根据权利要求2所述的方法,其进一步包括: 通过所述网络安全异常检测模块,存储标记事件的历史和对应的所抽出的发射测量法 特征集;以及 基于标记事件的所述历史和对应的所抽出的发射测量法特征集,利用所述网络安全异 常检测模块,确定所述入侵已经发生。
4.根据权利要求1所述的方法,其进一步包括建立基于初始通信网络基线的预定通信 网络特征集的所述储存库。
5.根据权利要求1所述的方法,其进一步包括基于重新校准事件重新校准预定通信网 络特征集的所述储存库。
6.根据权利要求1所述的方法,其进一步包括: 识别与对应于所述认证事件的所述信号相关的所述远程电子控制模块; 将对应于所述认证事件的所述信号的内容和与所述远程电子控制模块相关的多个命 令的命令储存库相比较; 当对应于所述认证事件的所述信号的所述内容与在所述命令储存库中的至少一个命 令相匹配时,确认所述认证事件已经发生并且继续监测所述多个通信通道; 当对应于所述认证事件的所述信号的所述内容与在所述命令储存库中的至少一个命 令不匹配时,确认所述标记事件已经发生;并且 将所述标记事件记录在存储器模块中。
7.用于在通信网络上监测和检测入侵的系统,其包括: 电子控制模块,所述电子控制模块具有第一处理器模块和第一存储器模块,所述电子 控制模块被构造成发送和接收在所述通信网络的多个通信通道上的多个信号; 远程电子控制模块,所述远程电子控制模块被构造成发送和接收来自在所述通信通道 上所述电子控制模块的所述多个信号; 预定通信网络特征集的储存库;以及 反射仪,所述反射仪具有第二处理器模块和第二存储器模块,所述反射仪被构造成从 在所述通信通道上传输的所述多个信号的每个中抽出发射测量法特征集并且计算对应于 所述发射测量法特征集和所述对应的通信网络特征集之间的差异的不匹配值, 其中,当所述不匹配值在预定阈值范围之内时认证事件发生以及当所述不匹配值在所 述预定阈值范围之外时标记事件发生,所述标记事件被记录在所述第一存储器模块和所述 第二存储器模块中的至少一个中。
8.根据权利要求7所述的系统,其进一步包括具有第三处理器模块和第三存储器模块 的网络安全异常检测模块,所述网络安全异常检测模块被构造成当标记事件已经发生时接 收所述发射测量法特征集并且基于至少一个发射测量法特征集确定入侵已经发生。
9.根据权利要求8所述的系统,其中,所述网络安全异常检测模块被构造成基于标记事 件的历史和对应的所抽出的发射测量法特征集确定所述入侵已经发生。
10.一种车辆,其包括: 通信网络;以及 用于在所述通信网络上监测和检测入侵的系统,所述系统包括: 电子控制模块,所述电子控制模块具有第一处理器模块和第一存储器模块,所述电子 控制模块被构造成发送和接收在所述通信网络的多个通信通道上的多个信号; 远程电子控制模块,所述远程电子控制模块被构造成发送和接收来自在所述通信通道 上所述电子控制模块的所述多个信号; 预定通信网络特征集的储存库;以及 反射仪,所述反射仪具有第二处理器模块和第二存储器模块,所述反射仪被构造成从 在所述通信通道上传输的所述多个信号的每个中抽出发射测量法特征集并且计算对应于 所述发射测量法特征集和所述对应的通信网络特征集之间的所述差异的不匹配值, 其中,当所述不匹配值在预定阈值范围之内时认证事件发生,以及当所述不匹配值在 所述预定阈值范围之外时标记事件发生,所述标记事件被记录在所述第一存储器模块和所 述第二存储器模块中的至少一个中。
翻译:技术领域
本技术领域一般涉及通信网络安全,以及更具体地涉及用于使用时域反射测量法 的车辆通信网络安全的方法和系统。
背景技术
大多数车辆,例如汽车,包含通信网络以促进各种车辆系统之间的电通信。例如, 通信网络允许电子控制模块、设备、车辆致动器、或者在所述通信网络上的类似设备在没有 主机的情况下在车辆之内互相通信。另外,多个独立车辆子系统例如变速器、安全气袋、防 抱死制动、巡航控制、动力转向、动力窗、或者动力锁也可以在公用通信网络上互相通信。随 着越来越多的车辆子系统在通信网络上互相连接,这些通信网络的可靠性和安全性就变得 重要了。
因此,需要提供用于在车辆通信网络上监测和检测入侵的系统和方法。结合附图 以及上述技术领域和背景技术,本发明的其他期望的特征和特性将从下述具体实施方式和 所附权利要求书中变得明显。
发明内容
本文公开了用于在通信网络上检测入侵和认证消息的方法和系统的各种的实施 例以及装备有用于在通信网络上检测入侵和认证消息的系统的车辆的实施例。
在第一非限制性实施例中,所述方法包括,但不限于,利用反射仪监测在通信网络 上的多个通信通道的步骤。所述通信通道各自在电子控制模块和远程电子控制模块之间传 输多个信号。所述方法进一步包括,但不限于,从在所述通信通道中的每个上传输的所述多 个信号中的每个中抽出发射测量法特征集。所述方法进一步包括,但不仅限于,将所抽出的 发射测量法特征集与预定的通信网络特征集的储存库进行比较以产生不匹配值。所述方法 进一步包括,但不限于,确定当所述不匹配值在预定阈值范围之内时认证事件已经发生并 且继续监测所述多个通信通道。所述方法进一步包括,但不限于,确定当所述不匹配值在所 述预定阈值范围之外时标记事件已经发生。所述方法进一步包括,但不限于,在存储器模块 中记录所述标记事件。
在另一个非限制性实施例中,所述系统包括,但不限于,具有第一处理器模块和第 一存储器模块的电子控制模块。所述电子控制模块被构造成发送并接收在所述通信网络的 多个通信通道上多个信号。远程电子控制模块被构造成在所述通信通道上发送并接收来自 所述电子控制模块的所述多个信号。所述系统进一步包括,但不限于,预定通信网络特征集 的储存库。所述系统进一步包括,但不限于,具有第二处理器模块和第二存储器模块的反射 仪。所述反射仪被构造成从在所述通信通道上传输的所述多个信号中的每个中抽出发射测 量法特征集,并且计算与在所述发射测量法特征集和对应的通信网络特征集之间的差异相 对应的不匹配值。当所述不匹配值在预定阈值范围之内时,认证事件发生;以及当所述不匹 配值在所述预定阈值范围之外时,标记事件发生。所述标记事件被记录在所述第一存储器 模块和所述第二存储器模块中的至少一个中。
在另一个非限制性实施例中,所述车辆包括,但不限于,通信网络。所述车辆进一 步包括,但不限于,用于在所述通信网络上监测和检测入侵的系统。所述系统包括,但不限 于,具有第一处理器模块和第一存储器模块的电子控制模块。所述电子控制模块被构造成 发送并接收在所述通信网络的多个通信通道上多个信号。远程电子控制模块被构造成在所 述通信通道上发送并接收来自所述电子控制模块的所述多个信号。所述系统进一步包括, 但不限于,预定通信网络特征集的储存库。所述系统进一步包括,但不限于,具有第二处理 器模块和第二存储器模块的反射仪。所述反射仪被构造成从在所述通信通道上传输的所述 多个信号中的每个中抽出发射测量法特征集,并且计算与在所述发射测量法特征集和对应 的通信网络特征集之间的差异相对应的不匹配值。当所述不匹配值在预定阈值范围之内 时,认证事件发生;以及当所述不匹配值在所述预定阈值范围之外时,标记事件发生。所述 标记事件被记录在所述第一存储器模块和所述第二存储器模块中的至少一个中。
本发明还包括以下方案:
方案1.一种在通信网络上监测和检测入侵的方法,其包括:
利用反射仪监测在所述通信网络上的多个通信通道,所述通信通道的每个均在电子控 制模块和远程电子控制模块之间传输多个信号;
从在所述通信通道的每个上传输的所述多个信号中的每个中抽出发射测量法特征集;
将所述抽出的发射测量法特征集与预定通信网络特征集的储存库相比较以生产不匹 配值;
当所述不匹配值在预定阈值范围之内时确定认证事件已经发生并且继续监测所述多 个通信通道;
当所述不匹配值在所述预定阈值范围之外时确定标记事件已经发生;并且
将所述标记事件记录在存储器模块中。
方案2.根据方案1所述的方法,其进一步包括:
当所述标记事件已经发生时发送所述抽出的发射测量法特征集到网络安全异常检测 模块;以及
基于至少一个所抽出的发射测量法特征集,利用所述网络安全异常检测模块,确定入 侵已经发生。
方案3.根据方案2所述的方法,其进一步包括:
通过所述网络安全异常检测模块,存储标记事件的历史和对应的所抽出的发射测量法 特征集;以及
基于标记事件的所述历史和对应的所抽出的发射测量法特征集,利用所述网络安全异 常检测模块,确定所述入侵已经发生。
方案4.根据方案1所述的方法,其进一步包括建立基于初始通信网络基线的预定 通信网络特征集的所述储存库。
方案5.根据方案1所述的方法,其进一步包括基于重新校准事件重新校准预定通 信网络特征集的所述储存库。
方案6.根据方案1所述的方法,其进一步包括:
识别与对应于所述认证事件的所述信号相关的所述远程电子控制模块;
将对应于所述认证事件的所述信号的内容和与所述远程电子控制模块相关的多个命 令的命令储存库相比较;
当对应于所述认证事件的所述信号的所述内容与在所述命令储存库中的至少一个命 令相匹配时,确认所述认证事件已经发生并且继续监测所述多个通信通道;
当对应于所述认证事件的所述信号的所述内容与在所述命令储存库中的至少一个命 令不匹配时,确认所述标记事件已经发生;并且
将所述标记事件记录在存储器模块中。
方案7.用于在通信网络上监测和检测入侵的系统,其包括:
电子控制模块,所述电子控制模块具有第一处理器模块和第一存储器模块,所述电子 控制模块被构造成发送和接收在所述通信网络的多个通信通道上的多个信号;
远程电子控制模块,所述远程电子控制模块被构造成发送和接收来自在所述通信通道 上所述电子控制模块的所述多个信号;
预定通信网络特征集的储存库;以及
反射仪,所述反射仪具有第二处理器模块和第二存储器模块,所述反射仪被构造成从 在所述通信通道上传输的所述多个信号的每个中抽出发射测量法特征集并且计算对应于 所述发射测量法特征集和所述对应的通信网络特征集之间的差异的不匹配值,
其中,当所述不匹配值在预定阈值范围之内时认证事件发生以及当所述不匹配值在所 述预定阈值范围之外时标记事件发生,所述标记事件被记录在所述第一存储器模块和所述 第二存储器模块中的至少一个中。
方案8.根据方案7所述的系统,其进一步包括具有第三处理器模块和第三存储器 模块的网络安全异常检测模块,所述网络安全异常检测模块被构造成当标记事件已经发生 时接收所述发射测量法特征集并且基于至少一个发射测量法特征集确定入侵已经发生。
方案9.根据方案8所述的系统,其中,所述网络安全异常检测模块被构造成基于标 记事件的历史和对应的所抽出的发射测量法特征集确定所述入侵已经发生。
方案10.根据方案7所述的系统,其中,预定通信网络特征集的所述储存库基于初 始通信网络基线被建立。
方案11.根据方案7所述的系统,其中,预定通信网络特征集的所述储存库基于重 新校准事件被重新校准。
方案12.根据方案7所述的系统,其进一步包括:
多个命令的命令储存库,其每个均对应于所述至少一个远程电子控制模块中的一个,
其中,所述电子控制模块被构造成识别与对应于所述认证事件的所述信号相关的所述 远程电子控制模块并且将所述信号的内容和对应于所述被识别的远程电子控制模块的所 述命令相比较,以及当所述信号的所述内容与来自所述命令储存库的所述命令相匹配时所 述认证事件被确认,以及当所述信号的所述内容与在所述命令储存库中的所述命令不匹配 时所述标记事件发生,所述标记事件被记录在所述电子控制模块和所述反射仪中的至少一 个中。
方案13.根据方案7所述的系统,其进一步包括:
预定信号签名的储存库,其每个均对应于所述至少一个远程电子控制模块中的一个,
其中,所述反射仪被构造成抽出对应于由所述电子控制模块所接收的每个信号的信号 签名并且计算对应于所述信号签名和所述预定信号签名之间的所述差异的签名不匹配值, 以及当签名不匹配值在预定签名范围之内时所述认证事件发生,以及当所述签名不匹配值 在所述预定签名范围之外时所述标记事件发生,所述标记事件被记录在所述电子控制模块 和所述反射仪中的至少一个中。
方案14.一种车辆,其包括:
通信网络;以及
用于在所述通信网络上监测和检测入侵的系统,所述系统包括:
电子控制模块,所述电子控制模块具有第一处理器模块和第一存储器模块,所述电子 控制模块被构造成发送和接收在所述通信网络的多个通信通道上的多个信号;
远程电子控制模块,所述远程电子控制模块被构造成发送和接收来自在所述通信通道 上所述电子控制模块的所述多个信号;
预定通信网络特征集的储存库;以及
反射仪,所述反射仪具有第二处理器模块和第二存储器模块,所述反射仪被构造成从 在所述通信通道上传输的所述多个信号的每个中抽出发射测量法特征集并且计算对应于 所述发射测量法特征集和所述对应的通信网络特征集之间的所述差异的不匹配值,
其中,当所述不匹配值在预定阈值范围之内时认证事件发生,以及当所述不匹配值在 所述预定阈值范围之外时标记事件发生,所述标记事件被记录在所述第一存储器模块和所 述第二存储器模块中的至少一个中。
方案15.根据方案14所述的车辆,其进一步包括具有第三处理器模块和第三存储 器模块的网络安全异常检测模块,所述网络安全异常检测模块被构造成当标记事件已经发 生时接收所述发射测量法特征集并且基于至少一个发射测量法特征集确定入侵已经发生。
方案16.根据方案15所述的车辆,其进一步包括标记事件的历史和所述对应的发 射测量法特征集,其中,所述网络安全异常检测模块被构造成基于标记事件的所述历史和 对应的所抽出的发射测量法特征集确定所述入侵已经发生。
方案17.根据方案14所述的车辆,其中,预定通信网络特征集的所述储存库基于初 始通信网络基线建立。
方案18.根据方案14所述的车辆,其中,预定通信网络特征集的所述储存库基于重 新校准事件重新校准。
方案19.根据方案14所述的车辆,其进一步包括:
多个命令的命令储存库,其每个均对应于所述至少一个远程电子控制模块中的一个,
其中,所述电子控制模块被构造成识别与对应于所述认证事件的所述信号相关的所述 远程电子控制模块并且将所述信号的内容和对应于所述被识别的远程电子控制模块的所 述命令相比较,以及当所述信号的所述内容与来自所述命令储存库的所述命令相匹配时所 述认证事件被确认,以及当所述信号的所述内容与在所述命令储存库中的所述命令不匹配 时所述标记事件发生,所述标记事件被记录在所述电子控制模块和所述反射仪中的至少一 个中。
方案20.根据方案14所述的车辆,其进一步包括:
预定信号签名的储存库,其每个均对应于所述至少一个远程电子控制模块中的一个,
其中,所述反射仪被构造成抽出对应于由所述电子控制模块接收的每个信号的信号签 名并且计算对应于所述信号签名和所述预定信号签名之间的所述差异的签名不匹配值,以 及当签名不匹配值在预定签名范围之内时所述认证事件发生,以及当所述签名不匹配值在 所述预定签名范围之外时所述标记事件发生,所述标记事件被记录在所述电子控制模块和 所述反射仪中的至少一个中。
附图说明
将下文结合下面的附图描述示例性实施例,其中,相同的数字表示相同的要素,并 且其中:
图1示出了根据示例性实施例具有用于在通信网络上监测和检测入侵和认证消息的系 统的车辆;
图2是示出了带有在图1中示出的系统的用于在通信网络上监测和检测入侵和认证消 息的非限制性方法的流程图;
图3示出了根据示例性实施例用于在所述通信网络上监测和检测入侵和认证消息的所 述系统;以及
图4示出了根据示例性实施例用于在所述通信网络上监测和检测入侵和认证消息的所 述系统。
具体实施方式
下述详细说明本质上仅仅是示例性的且并不旨在限制本申请及其使用。而且,也 不旨在受限于在前述技术领域、背景技术、发明内容或者下述具体实施方式中所提出的任 何明示或者暗示的理论。应理解的是贯穿附图,对应的参考数字指示相同或者对应的部件 和特征。如本文使用的,术语模块指的是任何硬件、软件、固件、电子控制部件、处理逻辑、 和/或处理器设备,单独地或者以任何组合的形式,包括但不限于:专用集成电路(ASIC)、电 子电路、处理器模块(共享的、专用的、或者组的)以及执行一个或者多个软件或者固件程序 的存储器模块、组合的逻辑电路、和/或提供所描述的功能的其他适当的部件。
参照附图,其中,贯穿几个视图,相同的数字表示相同的部件,在本文中示出具有 系统100的车辆10,系统100用于在通信网络110上监测和检测入侵和认证消息。在示例性实 施例中,车辆10是汽车。然而,系统100可以在其他类型的车辆或者在非车辆应用中实施和/ 或利用。例如,其他车辆包括,但不限于,航空器、航天器、公共汽车、火车等等。如在图1中所 示,系统100包括通信网络110和电子控制模块120,电子控制模块120具有第一处理器模块 122、第一存储器模块124、和通信网络收发器126。系统100还包括具有第二处理器模块132 和第二存储器模块134的反射仪130以及具有第三处理器模块142和第三存储器模块144的 网络安全异常检测模块140。多个远程电子模块150a-d也与所述通信网络110通信。
参照图1,提供了系统100的非限制性实施例。车辆10包括通信网络110以允许电子 控制模块120和各种车辆子系统150-153互相通信。在示例中,通信网络110是CAN网络,然 而,本领域的技术人员将理解的是各种通信网络例如FlexRay、A2B、交换式以太网或者其他 已知的通信网络可以被实施为通信网络110。因此,本公开不受限于任何具体类型的通信网 络或者协议。另外,尽管系统100的部件为简单起见通过直接连接来描述通信,本领域的技 术人员将理解的是系统100可以在通信网络110上实施为各种布置和电连接。对于本领域的 技术人员众所周知的是,系统100可以包括在它的实施中以及在通信系统110上的各种电子 部件(未示出)。
车辆10使用通信网络110以促进在电子控制模块120和各种车辆子系统150a-d之 间的通信。本领域的技术人员将理解的是车辆子系统150a-d可以包括变速器、安全气袋、防 抱死制动、巡航控制、和动力转向、传感器、致动器、或者特定设备,例如动力窗和动力锁。车 辆子系统150a-d可以包括处理器模块152a-d和存储器模块154a-d以促进发送和接收在通 信网络110上的信号。在示例中,描述了四个车辆子系统150a-d,然而本领域的技术人员将 理解的是另外的子系统可以连接到通信网络110。
对于本领域的技术人员众所周知的是,CAN通信网络110包括CAN-高线112和CAN- 低线114。在图1的一个非限制性实施例中,电子控制模块120、反射仪130和车辆子系统 150a-d都被连接到CAN通信网络110的CAN-高线112和CAN-低线114。根据CAN协议,在CAN通 信网络110上传输的信号将被传输到与CAN通信网络110相连接的所有系统。因此,在CAN通 信网络110上的所有信号对于在CAN通信网络110上的所有所述系统都是“可见的”。换句话 说,在CAN通信网络110上的每个系统都能消耗和传播广播信号到在CAN通信网络110上的其 他系统并且消耗和传播来自在CAN通信网络110上的其他系统的信号。也就是说,CAN通信网 络110是在CAN通信网络110上的节点之间的共享媒介。
电子控制模块120具有第一处理器模块122、第一存储器模块124和通信网络收发 器126。通信网络收发器126将来自处理器模块122的数据流转换成用于在CAN通信网络110 上传输的所述CAN协议。电子控制模块120传输指令信号到车辆子系统150a-d以例如锁定车 门/解锁车门、致动窗户等等。电子控制模块120还可以接收来自车辆子系统150a-d的反馈 信号、来自在CAN通信网络110上的传感器的数据、或者来自车辆子系统150a-d的指令。
反射仪130包括第二处理器模块132和第二存储器模块134。在图1的所述非限制性 实施例中,反射仪130被连接到CAN通信网络110以监测在CAN-高线112和CAN-低线114上传 输的信号。在非限制性实施例中,反射仪130是时域反射仪。反射仪130的其他非限制性示例 包括频域反射仪、扩频时域反射仪、以及噪声域反射仪。
反射测量法测量沿导体的反射。测量这些反射允许反射仪130产生与所述信号和 通信本身的物理性能相对应的特征集。CAN通信网络110的所述物理性能例如负载、晶体管、 线路等等影响在CAN通信网络110上发送的所述信号和通信。在CAN通信网络110中的两个点 或两个节点之间的反射、吸收以及其他影响可能以独特的方式使所述信号和通信失真。如 此,通过观察在CAN通信网络110上发送的所述信号和通信的所述失真,反射测量法可以被 用于表征并定位在CAN通信网络110的线路、连接和电通路中的故障。另外地,反射测量法可 以被用于监测半导体设备并且确定在通信网络110中的开路和短路的位置。本领域的技术 人员将理解的是有很多算法和方法来实施反射测量法。
开放系统互连(OSI)模型是通过将通信系统分区成抽象层来表征且标准化所述通 信系统的内部功能的概念模型。本领域的技术人员将理解的是,一层服务在其上的那一层 并且所述层又被在其下的一层服务。最下面的层是物理层,所述物理层与在物理媒介上原 始比特流的传输和的接收有关。它描述了到所述物理媒介的电/光的、机械的、以及功能的 界面,并且携带用于所有更高的层的信号。
如上所述,反射测量方法可以被用于监测在CAN通信网络110上通信的所述信号的 物理特性以抽出发射测量法特征集。然后所述发射测量法特征集能用于将在所述信号中的 物理变化与在整个系统中的误差和故障相关联。
当在CAN通信网络110上的设备之间的所述电连接改变时,例如当入侵或者外部设 备被添加到CAN通信网络110时,在CAN通信网络110上传输的信号的所述发射测量法特征集 将相对于之前传输的同样的信号改变。如此,信号的所述发射测量法特征集可以作为在CAN 通信网络110上的入侵的指示器使用。
发射测量法特征集还可以被用于认证在CAN通信网络110上传输的信号的源。一旦 CAN通信网络110初始地被建立,预定CAN通信网络特征集的储存库能被建立。因此,能假定 在CAN通信网络110上传输的信号的所述发射测量法特征集将在系统中没有误差、故障或者 入侵的CAN通信网络110的整个正常操作过程基本上不改变。然而,例如,在预定阈值范围之 内的一些变化是可预期的。本领域的技术人员将理解的是,所述预定阈值范围是设计选择 并且应该足够宽以包含指示入侵的物理变化,但是也不应过宽以避免识别大量的误报或者 不适当地归类为真的系统故障。
如此,在非限制性实施例中,通过反射仪130抽出的所述发射测量法特征集将与所 述预定CAN通信网络特征集相比较以产生不匹配值。当所述不匹配值在所述预定阈值范围 之内时,认证事件发生并且所述信号被归类为可信的。然而,当所述不匹配值在所述预定阈 值范围之外时,标记事件发生,所述信号被标记,并且存储在第一存储器模块124和第二存 储器模块134中的至少一个中以用于进一步分析。
在非限制性实施例中,当所述标记事件发生时,所述发射测量法特征集被发送到 网络安全异常检测模块140。然后网络安全异常检测模块140可以被用于基于所述发射测量 法特征集做出入侵是否发生的确定。在非限制性实施例中,网络安全异常检测模块140在第 三存储器模块144中存储多个发射测量法特征集作为标记事件的历史并且基于所述标记事 件的所述历史确定入侵是否发生。
在非限制性实施例中,多个反射仪130在整个CAN通信网络110上被定位。所述多个 反射仪130中的每个均产生被发送到单个网络安全异常检测模块140的发射测量法特征集。 组合的发射测量法特征集被网络安全异常检测模块140利用以做出入侵是否发生的确定以 及另外地做出所述入侵在通信网络110之内的定位。
在非限制性实施例中,预定通信网络特征集的所述储存库基于初始通信网络基 线,例如当车辆10被组装时,第一时间激活所述通信网络基线或者另一个基线事件。在非限 制性实施例中,预定通信网络特征集的所述储存库基于重新校准事件被重新校准。重新校 准事件的示例包括,但不限于,车辆维护,车辆子系统150a-d的更换、或者将影响在CAN通信 网络110上传输的信号的所述物理性质的对于CAN通信网络110做出的其他改变。
在非限制性实施例中,建立了预定信号签名的储存库。所述预定信号签名的每个 均与车辆子系统150a-d中的一个相对应,使得每个车辆子系统150a-d均具有唯一的预定信 号签名。反射仪130为由在通信网络110上的电子控制模块120接收的每个信号抽出信号签 名。所述信号签名将与所述预定签名信号相比较以产生签名不匹配值。当所述签名不匹配 值在所述预定签名范围之内时,所述认证事件发生,所述信号被归类为可信的,并且系统 100返回以注视另外的信号。然而,当所述签名不匹配值在所述预定签名范围之外时,所述 标记事件发生,所述信号被标记,并且被存储在第一存储器模块124和第二存储器模块134 中的至少一个中以用于进一步分析。
在非限制性实施例中,反射仪130为在通信网络110上传输的每个信号抽出所述信 号签名。所述信号签名将与所述预定信号签名相比较以产生签名不匹配值。当所述签名不 匹配值在所述预定签名范围之内时,所述认证事件发生,所述信号被归类为可信的,并且系 统100返回以注视另外的信号。然而,当所述签名不匹配值在所述预定签名范围之外时,所 述标记事件发生,所述信号被标记,并且被存储在第一存储器模块124和第二存储器模块 134中的至少一个中以用于进一步分析。
在非限制性实施例中,当所述信号不匹配值在所述预定签名范围之内并且所述认 证事件已经发生后,所述信号的内容与通常与所述信号的源相关的信号和命令的类型相比 较。与对应于所述认证事件的信号相关的车辆子系统150a-d被识别。对应于所述认证事件 的所述信号的内容与来自与所述被识别的车辆子系统150a-d相关的命令储存库的命令相 比较。所述命令储存库被存储在第一存储器模块124和第二存储器模块134中的至少一个中 并且具有多个命令。当所述信号的所述内容与来自所述命令储存库的命令相匹配时,所述 认证事件被确认。当所述信号的所述内容与在所述命令储存库中的命令不匹配时,所述标 记事件发生。
非限制性示例是当“解锁车门”的信号在CAN通信网络110上发送时,所述信号被认 证为真的。系统100识别到所述信号来自于汽车收音机。系统100将所述“解锁车门”命令和 与所述汽车收音机相关的命令的类型相比较。如果所述信号的内容与在所述命令储存库中 的命令相匹配,那么所述认证事件被确认。如果所述信号的所述内容与所述命令储存库中 的命令不匹配,那么所述标记事件发生。当这发生时,所述信号被标记,并且被存储在第一 存储器模块124和第二存储器模块134中的至少一个中以用于进一步分析。在非限制性实施 例中,与在CAN通信网络110上的设备相关的信号和命令的储存库被存储在第一存储器模块 124和第二存储器模块134中的至少一个中,以便在CAN通信网络110上发送的所述信号的所 述内容可以进一步被验证。
现在参照图2,并且继续参照图1,流程图示出了由根据本公开的图1的系统100执 行的方法。根据本公开应理解的是,在所述方法之内的操作顺序不限于在图2中示出的顺序 执行,而可以以一种或者更多变化的顺序来执行,如可应用的并且是根据给定应用的要求。
在各种示例性实施例中,系统100和方法基于预定事件被运行,和/或可在车辆10 的操作中持续地运行。所述方法在200处以基于初始通信网络基线建立预定通信网络特征 集的所述储存库开始。在210处,如果重新校准事件例如更换电子控制模块120发生,那么方 法继续进行到220并且在继续进行到230之前重新校准预定通信网络特征集的所述储存库。 如果所述重新校准事件还未发生,那么所述方法绕过220的所述重新校准并且继续进行到 230。在230处,预定通信网络特征集的所述储存库是最新的并且准备好被系统100使用。
在240处,信号或者通信在CAN通信网络110上传输并且由系统100监测。在250处, 所述发射测量法特征集从所述信号抽出并且将和来自230的所述储存库的所述预定通信网 络特征集相比较以生产对于给定信号的不匹配值。在260处,如果所述不匹配值在所述预定 阈值范围之内,那么认证事件已经发生并且所述方法继续进行返回到240以注视待在CAN通 信网络110上传输的另一个信号。如果所述不匹配值在所述预定阈值范围之外,那么标记事 件已经发生并且所述方法继续进行到270。在270处,所述标记事件被记录在第一存储器模 块124和第二存储器模块134中的至少一个中以用于进一步分析并且所述方法继续进行返 回到240以注视待在CAN通信网络110上传输的另一个信号。
在非限制性实施例中,在270处,所抽出的时域发射测量法特征集可以被发送到网 络安全异常检测模块140。然后网络安全异常检测模块140可用于基于所述发射测量法特征 集做出入侵是否发生的确定。在非限制性实施例中,在270处,网络安全异常检测模块140存 储多个发射测量法特征集作为标记事件的历史并且基于所述标记事件的所述历史确定是 否发生入侵。在非限制性实施例中,所述标记事件被记录在网络安全异常检测模块140的第 三存储器模块144中。
在非限制性实施例中,在270处,所抽出的时域发射测量法特征集可以被发送到远 程网络安全异常检测网络服务器(未示出)或者云计算网络。所述远程网络安全异常检测网 络服务器可以用于从多个车辆收集所抽出的时域发射测量法特征集,从而基于所抽出的时 域发射测量法特征集做出入侵是否发生的确定。所述远程网络安全异常检测网络服务器可 以被用于生产分析、威胁警告以及可能从所述远程网络安全异常检测网络服务器发送到所 述多个车辆的对策。
以这种方式,系统100使用所述反射测量法来监测在CAN通信网络110上传输的信 号的所述物理特性。所抽出的发射测量法特征集与预定通信网络特征集的所述储存库相比 较以产生所述不匹配值。当所述不匹配值在所述预定阈值范围之内时,关于所述信号的所 述认证事件已经发生。当所述不匹配值在所述预定阈值范围之外时,所述标记事件已经发 生并且所述标记事件被存储在第一存储器模块124和第二存储器模块134中的至少一个中 以用于进一步分析。
现在参照图3,提供了用于在通信网络110上监测和检测入侵的系统101的非限制 性实施例。在这个实施例中,系统101具有包括反射仪330的电子控制模块320。由于系统101 关于系统100使用了类似的部件,因此将使用类似的附图标记。正如来自图1的非限制性实 施例,系统101包括通信网络110、网络安全异常检测模块140和车辆子系统150a-d。
电子控制模块320具有第四处理器模块322、第四存储器模块324、以及收发器模块 326。电子控制模块还包括具有第五处理器模块332和第五存储器模块334的反射仪330。反 射仪330监测由电子控制模块320传输且接收的信号并且在非限制性实施例中当信号由收 发器模块326接收并且传输时,反射仪330接收所述信号。
在这个实施例中,电子控制模块320以及更具体地反射仪330与网络安全异常检测 模块140通信。
类似于图1的所述非限制性实施例,系统101监测在通信网络110上传输的信号。由 反射仪330抽出的所述发射测量法特征集将与所述预定通信网络特征集相比较以产生所述 不匹配值。当所述不匹配值在所述预定阈值范围之内时,所述认证事件发生,并且所述信号 被归类为可信的。然而,当所述不匹配值在所述预定阈值范围之外时,所述标记事件发生, 所述信号被标记,并且被存储在第四存储器模块324和第五存储器模块334中的至少一个中 以用于进一步分析。
在非限制性实施例中,当所述标记事件发生时,所述发射测量法特征集被发送到 网络安全异常检测模块140。然后网络安全异常检测模块140可以被用于基于所述发射测量 法特征集做出所述入侵是否发生的确定。在非限制性实施例中,网络安全异常检测模块140 存储多个发射测量法特征集作为标记事件的所述历史并且基于所述标记事件的所述历史 确定所述入侵是否发生。在非限制性实施例中,所述标记事件被记录在网络安全异常检测 模块140的第三存储器模块144中。
在非限制性实施例中,预定通信网络特征集的所述储存库基于初始通信网络基 线,例如当车辆10被组装时,第一时间激活所述初始通信网络基线,或者其他基线事件。在 非限制性实施例中,预定通信网络特征集的所述储存库基于重新校准事件被重新校准。重 新校准事件的示例包括,但不限于,车辆维护,车辆子系统150a-d的更换、或者那些将影响 在CAN通信网络110上传输的信号的所述物理性质的对于CAN通信网络110做出的其他改变。
在非限制性实施例中,建立了预定信号签名的储存库。所述预定信号签名的每个 均与车辆子系统150a-d中的一个相对应,使得每个车辆子系统150a-d均具有唯一的预定信 号签名。反射仪330为由在通信网络110上电子控制模块320接收的每个信号抽出信号签名。 所述信号签名与所述预定信号签名相比较以产生签名不匹配值。当所述签名不匹配值在所 述预定签名范围之内时,所述认证事件发生,所述信号被归类为可信的,并且系统101返回 以注视另外的信号。然而,当所述签名不匹配值在所述预定签名范围之外时,所述标记事件 发生,所述信号被标记,并且被存储在第四存储器模块324和第五存储器模块334中的至少 一个中以用于进一步分析。
在非限制性实施例中,反射仪330为在通信网络110上传输的每个信号抽出所述信 号签名。所述信号签名与所述预定信号签名相比较以产生签名不匹配值。当所述签名不匹 配值在所述预定签名范围之内时,所述认证事件发生,所述信号被归类为可信的,并且系统 101返回以注视另外的信号。然而,当所述签名不匹配值在所述预定签名范围之外时,所述 标记事件发生,所述信号被标记,并且被存储在第四存储器模块324和第五存储器模块334 中的至少一个中以用于进一步分析。
在非限制性实施例中,当所述信号不匹配值在所述预定签名范围之内并且所述认 证事件已经发生后,所述信号的内容与通常与所述信号的源相关的信号和命令的类型相比 较。与对应于所述认证事件的信号相关的车辆子系统150a-d被识别。对应于所述认证事件 的所述信号的内容与来自与所述被识别的车辆子系统150a-d相关的命令储存库的命令相 比较。所述命令储存库被存储在第四存储器模块324和第五存储器模块334中的至少一个中 并且具有多个命令。当所述信号的所述内容与来自所述命令储存库的命令相匹配时,所述 认证事件被确认。当所述信号的所述内容与在所述命令储存库中的命令不匹配时,所述标 记事件发生。
非限制性示例是当“解锁车门”的信号在CAN通信网络110上发送时,所述信号被认 证为真的。系统101识别到所述信号来自于所述汽车收音机。系统101将所述“解锁车门”命 令和与所述汽车收音机相关的命令的类型相比较。如果所述信号的内容与在所述命令储存 库中的命令相匹配,那么所述认证事件被确认。如果所述信号的所述内容与在所述命令储 存库中的命令不匹配,那么所述标记事件发生。当这发生时,所述信号被标记,并且被存储 在第四存储器模块324和第五存储器模块334中的至少一个中以用于进一步分析。在非限制 性实施例中,与在CAN通信网络110上的设备相关的信号和命令的储存库被存储在第四存储 器模块324和第五存储器模块334中的至少一个中,以便在CAN通信网络110上发送的所述信 号的所述内容可进一步被验证。
现在参照图4,提供了用于在通信网络110上监测和检测入侵的系统102的非限制 性实施例。在这个实施例中,系统102具有包括反射仪430和网络安全异常检测模块440的电 子控制模块420。由于系统102关于系统100、101使用了类似的部件,因此将使用类似的附图 标记。正如来自图1和图3的非限制性实施例,系统102包括通信网络110和车辆子系统150a- d。
电子控制模块420具有第六处理器模块422,第六存储器模块424,以及收发器模块 426。电子控制模块420还包括反射仪430和网络安全异常检测模块440。反射仪430具有第七 处理器模块432和第七存储器模块434。反射仪430监测由电子控制模块420传输且接收的信 号以及在非限制性实施例中当信号由收发器模块426接收且传输时,反射仪430接收所述信 号。
网络安全异常检测模块140包括第八处理器模块442和第八存储器模块444。在这 个实施例中,在电子控制模块420之内,反射仪430与网络安全异常检测模块440通信。
类似于图1和图3的所述非限制性实施例,系统102监测在通信网络110上传输的信 号。由反射仪430抽出的所述发射测量法特征集与所述预定通信网络特征集相比较以产生 所述不匹配值。当所述不匹配值在所述预定阈值范围之内时,所述认证事件发生,并且所述 信号被归类为可信的。然而,当所述不匹配值在所述预定阈值范围之外时,所述标记事件发 生,所述信号被标记,并且被存储在第六存储器模块424和第七存储器模块434中的至少一 个中以用于进一步分析。
在非限制性实施例中,当所述标记事件发生时,所述发射测量法特征集被发送到 网络安全异常检测模块440。然后网络安全异常检测模块440可以基于所述发射测量法特征 集被用于做出所述入侵是否发生的确定。在非限制性实施例中,网络安全异常检测模块440 将多个发射测量法特征集存储在第八存储器模块444中作为标记事件的所述历史并且基于 所述标记事件的所述历史确定所述入侵是否发生。在非限制性实施例中,所述标记事件被 记录在网络安全异常检测模块440的第八存储器模块444中。
在非限制性实施例中,预定通信网络特征集的所述储存库基于初始通信网络基 线,例如当车辆10被组装时,第一时间激活所述初始通信网络基线,或者其他基线事件。在 非限制性实施例中,预定通信网络特征集的所述储存库基于重新校准事件被重新校准。重 新校准事件的示例包括,但不限于,车辆维护,车辆子系统150a-d的更换、或者将影响在CAN 通信网络110上传输的信号的所述物理性质的对于CAN通信网络110做出的其他改变。
在非限制性实施例中,建立了预定信号签名的所述储存库。所述预定信号签名的 每个均与车辆子系统150a-d中的一个相对应,使得每个车辆子系统150a-d均具有唯一的预 定信号签名。反射仪430为由在通信网络110上电子控制模块420接收的每个信号抽出信号 签名。所述信号签名与所述预定信号签名相比较以产生签名不匹配值。当所述签名不匹配 值在所述预定签名范围之内时,所述认证事件发生,所述信号被归类为可信的,并且入侵检 测系统102返回以注视另外的信号。然而,当所述签名不匹配值在所述预定签名范围之外 时,所述标记事件发生,所述信号被标记并且被存储在第六存储器模块424和第七存储器模 块434中的至少一个中以用于进一步分析。
在非限制性实施例中,反射仪430为在通信网络110上传输的每个信号抽出所述信 号签名。所述信号签名与所述预定信号签名相比较以产生签名不匹配值。当所述签名不匹 配值在所述预定签名范围之内时,所述认证事件发生,所述信号被归类为可信的,并且系统 102返回以注视另外的信号。然而,当所述签名不匹配值在所述预定签名范围之外时,所述 标记事件发生,所述信号被标记,并且被存储在第六存储器模块424和第七存储器模块434 中的至少一个中以用于进一步分析。
在非限制性实施例中,当所述信号不匹配值在所述预定签名范围之内并且所述认 证事件已经发生时,所述信号的所述内容与通常与所述信号的源相关的信号和命令的类型 相比较。与对应于所述认证事件的信号相关的车辆子系统150a-d被识别。对应于所述认证 事件的所述信号的内容与来自与被识别的车辆子系统150a-d相关的命令储存库的命令相 比较。所述命令储存库被存储在第六存储器模块424和第七存储器模块434中的至少一个中 并且具有多个命令。当所述信号的所述内容与来自所述命令储存库的命令相匹配时,所述 认证事件被确认。当所述信号的所述内容与在所述命令储存库中的命令不匹配时,所述标 记事件发生。
非限制性示例是当“解锁车门”的信号在CAN通信网络110上发送时,所述信号被认 证为真的。系统102识别到所述信号来自于所述汽车收音机。系统102将所述“解锁车门”命 令和与所述汽车收音机相关的命令的类型相比较。如果所述信号的所述内容与在所述命令 储存库中的命令相匹配,那么所述认证事件被确认。如果所述信号的所述内容与在所述命 令储存库中的命令不匹配,那么所述标记事件发生。当这发生时,所述信号被标记,并且被 存储在第六存储器模块424和第七存储器模块434中的至少一个中以用于进一步分析。在非 限制性实施例中,与在CAN通信网络110上的设备相关的信号和命令的所述储存库被存储在 第六存储器模块424和第七存储器模块434中的至少一个中,以便在CAN通信网络110上发送 的所述信号的所述内容可进一步被验证。
尽管已经在上述具体实施方式中介绍了各种示例性实施例,应理解的是存在大量 的变型。还应被理解的是所述示例性实施例仅仅是示例,并不以任何形式限制本公开的范 围、适用性或者构造。不如说,上述具体实施方式将为本领域的技术人员提供实施所述示例 性实施例的方便的路线图。应理解的是在不偏离如在所附权利要求书及其合法等同方案所 提出的本公开的范围的情况下,可以对要素的功能和布置做出各种变化。
