车辆环境中的入侵异常监控的制作方法

车辆环境中的入侵异常监控
相关申请的交叉引用
1.本技术要求于2019年7月24日提交的、题为“intrusion anomaly monitoring in a vehicle environment(车辆环境中的入侵异常监控)”的美国临时专利申请s/n 62/877,962的优先权，该美国临时专利申请的全部内容通过参引并入本文中。
技术领域
2.本发明总体上涉及安全设备的领域，并且更具体地涉及用于监控汽车环境中的入侵异常的系统和方法。


背景技术：

3.被安装在车辆中的电子设备的数量正迅速增加。过去，汽车中的电子设备是在独立环境中运行的处置特定功能的分立设备。在20世纪80年代，认识到需要为车辆开发网络操作标准，并且控制器区域网(can)总线应运而生。
4.随着时间推移，利用can总线的互连设备的数量已迅速增加。这些互连设备可以控制诸如发动机速度、制动控制和转向控制之类的驾驶特征以及诸如照明、窗户和天窗控制之类的舒适特征。
5.进一步发展的已经是互联网的扩展、以及对互联网的无线接入的不断增长的需求。蜂窝电话和无线互联网接入的扩展确保了未来车辆将连接至外部网络。在近来，对车辆的访问受限于使用专用的服务线缆，并且唯一的无线接入是用于递送新闻和音乐的无线电。现今，集成的信息娱乐系统正在被提供以向车辆递送娱乐和信息内容两者。
6.随着车辆中电子设备的数量已经倍增，许多汽车制造商已经就汽车电子控制单元(ecu)的开放标准软件体系结构达成一致。目前，德国慕尼黑的autosar联盟已经发布了汽车系统架构经典平台的4.3版本。汽车系统架构合规诊断被设计成检测一个或更多个ecu中的实际故障或缺陷。该诊断使用指定为“互联网协议诊断”(doip)或统一诊断服务(uds)的特定通信协议，该协议被设计成用于经由车载以太网交换机在测试设备与ecu之间的通信。doip是透明协议，并且不涉及测试装备与ecu之间的转换。doip在由瑞士日内瓦国际标准化组织出版的iso 13400的第2部分中定义。doip促成外部测试装备与汽车ecu之间的与诊断有关的通信。ecu内的诊断通信管理器(dcm)与测试装备通信，传递由汽车制造商定义的相关预定义诊断故障码(dtc)，该码代表相应的ecu中的检测到的故障。
7.尽管用于在各种ecu中产生和传达检测到的故障的系统，但是现有技术缺乏一种系统来监控和识别试图侵入汽车通信网络的任何部分的外部攻击者的攻击。这包括但不限于：通过网络传输的数据中的统计异常，例如，如下文将描述的分布式服务拒绝(ddos)攻击；欺骗ecu的mac地址的尝试；来自端口(port)的ip的订阅请求；some/ip信息中的错误值；偏离预定义模型或规则的信号；堆栈溢出；以及面向返回的编程攻击。另外，没有为车辆到车辆的doip通信提供任何机制，因此车辆彼此无法共享dtc。


技术实现要素：

8.因此，本发明的主要目的是克服现有技术总线控制方法和系统的至少一些缺点。这在一个实施方式中由一种用于监控机动车辆中的入侵异常的系统提供，该系统包括：至少一个电子控制单元；至少一个安全监控器，所述至少一个安全监控器设置成检测与至少一个电子控制单元相关联的入侵异常并且输出与检测到的入侵异常有关的信息；以及异常分析器，该异常分析器设置成：累积与检测到的入侵异常有关的输出信息；接收至少一个车辆状态信号；响应于接收到的至少一个车辆状态信号；将与检测到的入侵异常有关的累积的输出信息与异常事件列表进行比较，该异常事件列表包括至少一个异常事件；以及响应于所述比较的预定结果，输出预定事件信号。
9.在一个实施方式中，异常分析器还设置成确定车辆状态等级，该车辆状态等级响应于接收到的至少一个车辆状态信号的预定函数而确定，其中，异常事件列表包括多组异常事件列表参数值，所述比较针对多组异常事件列表参数值来执行，并且其中，响应于确定的车辆状态等级而选择异常事件列表参数值。在另一实施方式中，至少一个安全监控器被设置成响应于一个或更多个消息的预定属性不满足预定验证参数值而检测到入侵异常，并且其中，响应于所述比较的预定结果，异常分析器进一步设置成：生成调整信号；以及将生成的调整信号输出至所述至少一个安全监控器，所述至少一个安全监控器的预定验证参数值响应于生成的调整信号来调整。
10.在一个实施方式中，接收到的至少一个车辆状态信号包括指示车辆的至少一个内部系统的状态的至少一个信号。在另一实施方式中，指示车辆的至少一个内部系统的状态的接收到的至少一个车辆状态信号包括指示下述各者的状态的至少一个信号：车辆的速度；车辆的方向盘角度；车辆所处的档位；车辆的制动器；车辆的发动机；或者车辆的陀螺仪的位置。
11.在一个实施方式中，接收到的至少一个车辆状态信号包括指示车辆的外部环境的状态的至少一个信号。在另一实施方式中，接收到的至少一个车辆状态信号包括指示车辆周围的其他车辆的状态的至少一个信号。
12.在一个实施方式中，至少一个车辆状态信号包括多个车辆状态信号。在另一实施方式中，预定事件信号包括警报消息。
13.在一个实施方式中，该系统还包括通信控制单元，该通信控制单元被设置成控制与至少一个电子控制单元的数据通信，其中，预定事件信号包括禁用通信控制单元的通信功能的命令。在另一实施方式中，所述系统还包括通信控制单元，该通信控制单元被设置成控制与至少一个电子控制单元的数据通信，其中，至少一个异常事件包括多个异常事件，所述比较的预定结果包括识别出累积的输出信息指示多个异常事件中的一个异常事件的存在，其中，响应于多个异常事件中的相应的检测到的一个异常事件，从多个预定事件信号中选出预定事件信号，并且其中，多个预定事件信号包括：警报消息；以及禁用通信控制单元的通信功能的命令。
14.在一个实施方式中，其中，所述至少一个电子控制单元包括多个电子控制单元，并且其中，所述至少一个安全监控器包括多个本地安全监控器，所述多个本地安全监控器中的每一者与多个电子控制单元中的相应一者相关联。
15.在一个独立实施方式中，提供了一种监控机动车辆中的入侵异常的方法，该方法
包括：检测至少一个电子控制单元的入侵异常；输出与检测到的入侵异常有关的信息；累积与检测到的入侵异常有关的输出信息；接收至少一个预定车辆状态信号；响应于接收到的至少一个车辆状态信号，将累积的输出信息与异常事件列表进行比较，该异常事件列表包括至少一个异常事件；以及响应于所述比较的预定结果，输出预定事件信号。
16.在一个实施方式中，所述方法还包括确定车辆状态等级，该车辆状态等级响应于接收到的至少一个车辆状态信号的预定函数而确定，其中，异常事件列表包括多组异常事件列表参数值，所述比较针对多组异常事件列表参数值来执行，并且其中，响应于确定的车辆状态等级而选择异常事件列表参数值。在另一实施方式中，检测入侵异常响应于一个或更多个消息的预定属性不满足预定验证参数值，并且其中，响应于所述比较的预定结果，所述方法还包括：生成调整信号；以及输出生成的调整信号，预定验证参数值响应于输出调整信号而调整。
17.在一个实施方式中，接收到的至少一个车辆状态信号包括指示车辆的至少一个内部系统的状态的至少一个信号。在另一实施方式中，指示车辆的至少一个内部系统的状态的接收到的至少一个车辆状态信号包括指示下述各者的状态的至少一个信号：车辆的速度；车辆的方向盘角度；车辆所处的档位；车辆的制动器；车辆的发动机；或者车辆的陀螺仪的位置。
18.在一个实施方式中，接收到的至少一个车辆状态信号包括指示车辆外部环境的状态的至少一个信号。在另一实施方式中，接收到的至少一个车辆状态信号包括指示车辆周围的其他车辆的状态的至少一个信号。
19.在一个实施方式中，至少一个车辆状态信号包括多个车辆状态信号。在另一实施方式中，预定事件信号包括警报消息。
20.在一个实施方式中，预定事件信号包括禁用与至少一个电子控制单元的通信的命令。在另一实施方式中，至少一个异常事件包括多个异常事件，比较的预定结果包括识别出累积的输出信息指示多个异常事件中的一个异常事件的存在，其中，响应于相应的检测到的多个异常事件中的一个异常事件，从多个预定事件信号中选出预定事件信号，并且其中，多个预定事件信号包括：警报消息；以及禁用与至少一个电子控制单元的通信的命令。本发明的其他特征和优点将从以下附图和描述中变得明显。
附图说明
21.为了更好地理解本发明以及示出可以如何实施本发明，现在将仅通过示例的方式参照附图，在附图中，相同的附图标记始终表示相应的部分或元件。
22.现在具体参照附图，需要强调的是，所示的细节仅作为示例且出于对本发明的优选实施方式的说明性讨论的目的，并且是为了提供对本发明的原理及概念性方面被认为是最有用且容易理解的描述而给出的。就此，未做出尝试来示出比基本理解本发明所需更为具体的本发明的结构细节，结合附图的描述使得本领域技术人员明了本发明的若干形式可以如何在实践中实施。在附图中：
23.图1a至图1f图示了用于监控车辆环境中的入侵异常的系统的各种实施方式的高级框图；以及
24.图2图示了根据某些实施方式的用于监控车辆环境中的入侵异常的方法的高级流
程图。
具体实施方式
25.在详细说明本发明的至少一个实施方式之前，应当理解的是，本发明在其应用中并不限于以下描述中阐述或附图中图示的构造细节和组件布置。本发明可适用于其它实施方式或者以各种方式被实践或实行。另外，应当理解的是，本文中所采用的措辞和术语是为了描述并且不应被视为限制。
26.图1a图示了用于监控车辆环境中的入侵异常的系统10的高级框图，图1b图示了用于监控入侵异常的系统100的高级框图，图1c图示了用于监控入侵异常的系统200的高级框图，图1d示出了用于监控入侵异常的系统300的高级框图，图1e图示了用于监控入侵异常的系统400的高级框图，并且图1f图示了系统10、100、200和300的各个部分的高级框图。图1a至图1f被一起描述。
27.系统10包括：多个ecu 20，每个ecu 20包括相应的安全监控器30；以及异常分析器40。每个ecu 20被图示为包括相应的安全监控器30，然而这并不意味着以任何方式进行限制。在另一实施方式中，每个安全监控器30设置在相应的ecu 20外部并且与相应的ecu20通信。异常分析器40与安全监控器30通信。
28.系统100包括：多个ecu 110；安全监控器120；以及异常分析器40。安全监控器120与ecu 110通信，并且异常分析器40与安全监控器110通信。系统200包括：多个ecu 20，每个ecu 20包括相应的安全监控器30；多个ecu 110；安全监控器120；以及异常分析器40。安全监控器120与ecu 110通信。异常分析器40与ecu 20的安全监控器30以及安全监控器120通信。
29.系统300包括：以太网交换机/集线器310；通信控制单元320；通信控制单元330；总线340；多个ecu 350；多个ecu 360；以及安全监控器120。在一个实施方式中，以太网交换机/集线器310是以太网交换机或以太网集线器。在另一实施方式中，通信控制单元320包括智能天线。在一个实施方式中，通信控制单元320包括远程信息处理控制单元(tcu)。在另一实施方式中，通信控制单元320包括远程信息处理盒。在一个实施方式中，通信控制单元320包括无线数据链路，该无线数据链路可以由与全球移动通信系统(gsm)、演进数据优化(ev-do)、宽带码分多址(w-cdma)、高速分组接入(hspa)、全球微波接入互操作性(wimax)、和/或长期演进(lte)兼容的设备实现，但不限于此。
30.在一个实施方式中，通信控制单元330包括网关。在另一实施方式中，通信控制单元330包括域控制器单元(dcu)。在一个实施方式中，总线340是can总线。在又一个实施方式中，通信控制单元330充当can网关。通信控制单元320、通信控制单元330和ecu350中的每一者均与以太网交换机/集线器310通信。总线340与通信控制单元330通信并且ecu 360中的每一者均与总线340通信。在一个实施方式中，安全监控器120与以太网交换机/集线器310和/或通信控制单元330通信。在又一个实施方式中，安全监控器120耦接至以太网交换机/集线器310的相应端口。在另一实施方式(未示出)中，安全监控器120在以太网交换机/集线器310内实现，如在系统400中所示的。特别地，除了安全监控器120在以太网交换机/集线器310内实现之外，系统400在所有方面都类似于系统300。在另一实施方式中(未示出)，安全监控器120在通信控制单元320内实现。在另一实施方式(未示出)中，安全监控器120在通信
控制单元330内实现。系统300在提供单个安全监控器120的实施方式中图示，然而这并不意味着以任何方式进行限制。在另一实施方式中，提供了多个安全监控器120，每个安全监控器与以太网交换机/集线器310、通信控制单元320和/或通信控制单元330通信以及/或者在以太网交换机/集线器310、通信控制单元320和/或通信控制单元330内实现。
31.系统10、100、200和300在安全监控器30和120与异常分析器40分离的实施方式中图示和描述，然而这并不意味着以任何方式进行限制。在另一实施方式(未示出)中，异常分析器40和一个或更多个安全监控器30和/或120一起实现为单个组件，比如程序的不同代码段。
32.系统10、100、200和300的布置并不意味着是限制性的，并且可以实现其他布置，比如在于2018年12月30日公布的、题为“intrusion anomaly monitoring in a vehicle environment(车辆环境中的入侵异常监视)”的、其全部内容通过参引并入本文中的pct公开wo 2019/142180，以及于2019年6月6日公布的、题为“data bus protection device and method(数据总线保护设备和方法)”的、其全部内容通过参引并入本文中的美国专利申请公开s/n us 2019/0171813中描述的。
33.在一个实施方式中，异常分析器40位于第一车辆内并且与第二车辆(未示出)的安全监控器30和/或安全监控器120通信。在另一实施方式中，异常分析器40进一步与外部异常监控器(未示出)通信，任选地经由无线互联网连接与外部异常监控器(未示出)通信。
34.图1f图示了异常分析器40的详细实施方式的高级框图。在图示的实施方式中，异常分析器40包括：通信节点400；车辆信号功能410；异常功能420；调整功能430；以及存储器440。尽管通信节点400、车辆信号功能410、异常功能420和调整功能430在本文中被描述为单独组件，但是这并不意味着以任何方式进行限制。在一个特定实施方式中，通信节点400、车辆信号功能410、异常功能420和调整功能430各自均由处理器上的相应专用例程执行。在一个实施方式中，车辆信号功能410与以太网交换机/集线器310和/或通信控制单元330通信。异常分析器40可以在fpga、微控制器或具有相关存储器的处理器中实现，相关存储器保存在实施时执行所描述的任务的电子可读指令。
35.异常分析器40已经在其中存储异常事件列表。任选地，异常事件列表被存储在存储器440上。本文中使用的术语“列表”并不意味着限制异常事件列表的信息以任何方式存储和排列的方式。异常事件列表包括至少一个异常事件，优选地为多个异常事件。如本文中所使用的，术语异常事件列表是指与至少一个异常事件的预定属性有关的信息。在一个实施方式中，异常事件列表包括规则列表，其中，异常分析器40将接收到的入侵异常的不同属性与预定规则集进行比较，如下文将描述的。
36.在一个实施方式中，以太网交换机/集线器310被编程为向安全监控器120传输经过以太网交换机/集线器310的所有消息的副本，使得安全监控器120可以看到这些消息以进行探听。
37.在安全监控器120在通信控制单元330中被实现并且通信控制单元330被实现为网关的实施方式中，以太网交换机/集线器310任选地将所有或一些分组转发至网关330以进行路由。在这种情况下，在一个实施方式中，安全监控器120对所有分组或为检查而定义的某些分组执行分析。在另一实施方式中，以太网交换机/集线器310执行分组镜像以复制相应的分组并将副本发送至安全监控器120。
38.在另一实施方式中，以太网交换机/集线器310在硬件中实施预定义的安全策略。例如，网络设备环境中的三元内容可寻址存储器(tcam)允许将传入分组与硬件中的预定义模式进行有效的模式匹配。这些预定义模式中的每一者均可以具有附加至其的可配置动作。如果发生tcam命中，这意味着分组与预定义模式相匹配，则为相应的分组执行定义动作。在一个实施方式中，定义动作包括：1.丢弃产生tcam命中的分组；2.使计数器增量；3.改变产生tcam命中的分组的物理目的地端口；4.将产生tcam命中的分组分配给qos类标识符(qci)流；以及/或者5.更改相应分组的虚拟局域网(vlan)标记。
39.使用这些能力，以太网交换机/集线器310在这样的实施方式中被配置成将用于进一步分析或用于报告的定义分组转发给安全监控器120。在另一实施方式中，如上所述，安全监控器120在以太网交换机/集线器310内实现。在这样的实施方式中，当发生tcam命中时，入侵异常由安全监控器120识别，并且安全监控器120通知入侵异常的异常分析器40，如下文将描述的。
40.在一个非限制性示例中，使用qci流概念将预定速率限制执行配置到分组，如在其全部内容通过参引并入本文中的ieee p802.1qci标准中所述。在分组的数量超过预定速率限制的情况下，在以太网交换机/集线器310的内部cpu中实现的安全监控器120读取定义寄存器的值以检测分组是否由于违反速率限制而被丢弃。然后，以太网交换机/集线器310的内部cpu中的安全监控器120将该入侵异常通知给异常分析器40。
41.在另一个非限制性示例中，以太网交换机/集线器310中的tcam中的一者配置成在不允许的分组的情况下改变分组目的地。在一个实施方式中，新的分组目的地是安全监控器120。在如上所述的其中安全监控器120在以太网交换机/集线器310内被实现的另一实施方式中，响应于tcam命中，安全监控器120将此检测为入侵异常并且将与入侵异常有关的信息输出至异常分析器40，如下文将描述的那样。在又一个实施方式中，安全监控器120将分组的分组目的地改变至异常分析器40，从而向异常分析器40提供整个分组。
42.在另一个非限制性示例中，以太网交换机/集线器310中的tcam中的一者将vlan id改变为对与检测到的入侵异常有关的信息进行编码的唯一id。在这样的实施方式中，异常分析器40和/或安全监控器120是vlan id的成员，并且将接收相应的分组。
43.系统10、100、200、300各自在异常分析器40与安全监控器30和/或安全监控器120直接通信的实施方式中被图示，但是这并不意味着以任何方式进行限制。在另一实施方式(未示出)中，提供了一个或更多个附加组件，所述一个或更多个附加组件执行各种安全监控器30或安全监控器120与异常分析器40之间的通信，如下文将描述的。特别地，在一个实施方式中，提供了诊断通信管理器(dcm)，该诊断通信管理器执行下述各项之间的通信：安全监控器30和/或安全监控器120；以及异常分析器40。系统10、100、200、300在本文中各自被图示和描述为包括多个ecu，然而这并不意味着以任何方式进行限制。在另一实施方式(未示出)中，提供了单个ecu 20、110、350或360。系统10、100、200和300的操作被一起描述。
44.图2图示了根据某些实施方式的用于监控车辆环境中的入侵异常的方法的高级流程图。图2的方法在本文中针对系统10、100、200和300描述，然而这并不意味着以任何方式
进行限制，并且图2的方法可以通过任何合适的系统来实现，而不超出范围。在阶段1000中，安全监控器30和/或安全监控器120检测与相应的ecu 20、110、350和360相关联的入侵异常。如本文中所使用的，术语“入侵异常”被定义为与攻击者侵入汽车通信网络的任何部分的尝试相关联的异常。这包括但不限于：通过网络传输的数据中的统计异常，例如分布式服务拒绝(ddos)攻击；欺骗ecu的媒体访问控制(mac)地址的尝试；来自端口的互联网协议(ip)地址的订阅请求；基于ip的可扩展的面向服务的中间件(some/ip)信息中的错误值；偏离预定义模型或规则的信号；堆栈溢出；以及面向返回的编程攻击。
45.在一个实施方式中，安全监控器30和/或安全监控器120监控指向相应ecu 20、110、350和360的消息。在系统300的实施方式中，安全监控器120任选地通过监控以太网交换机/集线器310上的活动来探听或主动阻止寻址于相应的ecu 350和/或360的消息。在另一实施方式中，安全监控器120监控指向总线340的消息。在另一实施方式(未示出)中，一个或更多个安全监控器30和/或120监控指向通信控制单元320和/或通信控制单元330的消息以确定指向通信控制单元320和/或通信控制单元330的入侵异常。
46.在一个实施方式中，将一个或更多个消息的至少一个预定属性与一个或更多个预定验证参数的值进行比较以识别入侵异常。在又一个实施方式中，使用机器学习算法将信号的相关性与预定义模型进行比较。在信号偏离预定义模型的情况下，检测到入侵异常。在一个实施方式中，每个接收到的消息都被探听，并且将探听到的消息的源地址和目标地址与预定的可接受地址列表进行比较以确定有效性，即，预定属性是源地址和目标地址和/或端口号。特别地，在以太网分组中，存在与源和目的地的媒体访问控制(mac)和互联网协议(ip)地址以及相应端口号有关的信息。在一个实施方式中，相应的安全监控器30或120将这些地址与预定的可接受源和目的地地址列表进行比较。在另一实施方式中，相应的安全监控器30或120确定源的ip和mac地址是否属于同一组件。在另一实施方式中，相应的安全监控器30或120确定具有相应ip地址和端口号的源是否被授权向具有相应ip地址和端口号的目的地发送数据。在任何上述地址或地址关系无效——即消息的至少一个预定属性不满足预定验证参数的有效值——的情况下，该消息被确定为异常消息并且检测到入侵异常。
47.在另一实施方式中，每个接收到的消息被探听并且被探听的消息的分组被分析以确定消息中的任何异常。在又一个实施方式中，消息被分析以确定消息中的值对于相应目的地是否有效，即，消息的预定属性是相应值和目的地。例如，在针对方向盘的消息中，用于调整方向盘角度的值仅在预定方向盘角度范围内时才有效。在该值超出预定方向盘角度范围的情况下，该消息被确定为异常消息并且检测到入侵异常。
48.在又一实施方式中，在由之间具有特定关系的多个信号组成的消息中，相应的安全监控器30或120确定该关系是否有效，即，消息的预定属性是多个信号的值之间的关系。例如，接收到包括四个信号的与车轮速度有关的消息，这四个信号是：信号a-右前轮速度；信号b-左前轮速度；信号c-左后轮速度；信号d-左后轮速度。在一个非限制性实施方式中，在这样的示例中，消息分组的有效载荷是8字节并且每个信号包括分组的2字节。相应的安全监控器30或120确定但不限于：信号a的值与信号b的值之间的差；信号b的值与信号c的值之差；以及任选地，信号a、b、c和d中的每两者之间的差。相应的安全监控器30或120将确定的差与一个或更多个相应的预定阈值进行比较，即，预定验证参数的值是相应的阈值。在所确定的一个或多个差大于一个或多个相应阈值的情况下，该消息被确定为异常消息并且检
测到入侵异常。
49.在另一实施方式中，每个接收到的消息都被探听，并且对探听到的消息的分组进行统计分析以确定消息中的任何异常，即，预定属性与多个接收到的消息有关。在又一个实施方式中，预定属性是消息的时间戳并且与多个先前接收到的消息有关。例如，相应的安全监控器30或120确定在预定时间间隔内已经接收到多少消息。如果在预定时间间隔内接收到的总计数目或者寻址于特定ecu 20、110、350或360的的数量——包括当前消息——大于预定阈值，则检测到入侵异常。特别地，预定验证参数的值是在预定时间间隔内接收到的消息数量的相应阈值。如本领域技术人员已知的，在服务拒绝攻击的情况下，任何时间间隔的消息的总数都会增加，并且相应的安全监控器30或120可以检测到这种攻击。
50.在又一实施方式中，预定属性是第一消息的有效载荷信号的值与第二消息的相应有效载荷信号的值之间的差。例如，在系统300的实施方式中，发往总线340的第一消息包括车辆速度的信号，并且发往各个ecu 350的第二消息包括自主驾驶辅助系统(adas)的信号。安全监控器120确定第一消息的相应信号的值与第二消息的相应信号的值之间的差。在差值大于预定阈值的情况下，消息被确定为异常并且检测到入侵异常。
51.在另一实施方式中，对于周期性信号，即，为了正确操作而一次又一次地向特定系统发送的命令，当周期改变时检测到异常。具体地，如果接收到的消息的周期增大或减小超过预定阈值，则检测到入侵异常。
52.在一个实施方式中，每个安全监控器30和/或120根据一个或更多个预定严重度规则进一步确定任何检测到的入侵异常的严重度。在一个实施方式中，分配了3个不同的严重度级别，然而这并不意味着以任何方式进行限制。在另一实施方式中，预定严重度规则包括但不限于下述各项中的一项或更多项：对特定系统的命令与该系统的当前状态之间的差异；作为异常消息的目标的系统，即，针对关键系统和安全性(safety)系统的异常消息将被分配更高的严重度等级；以及对于周期性信号，周期被破坏的程度。
53.特别地，在一个实施方式中，通过将执行命令之后的系统的未来状态与系统的当前状态进行比较来测量对特定系统的命令与该系统的当前状态之间的差异。例如，将车辆在接收到特定命令之后将达到的速度与车辆的当前速度进行比较。如果该命令已被检测为入侵异常，则较大的差异将增加异常的严重度，并且将分配更高的严重度等级。在一个实施方式中，对于周期性信号，即，为了正确操作而一次又一次地向特定系统发送的命令，当周期改变时检测到入侵异常，如上所述。具体地，如果接收到的消息的周期增大或减小超过预定阈值，则检测到入侵异常。周期距离与预定阈值的距离决定了严重度。如果距离较大，则严重度等级较高。如果距离较小，严重度等级较低。
54.在一个实施方式中，较高的值被分配给较高的严重度等级并且较低的值被分配给较低的严重度等级，然而这并不意味着以任何方式进行限制。尽管上文已针对严重度由安全监控器30和/或120确定的实施方式进行了描述，但是这并不意味着以任何方式进行限制。在另一实施方式中，异常分析器40与安全监控器30和/或120配合地或者单独地确定入侵异常的严重度。
55.在阶段1010中，安全监控器30和/或120向异常分析器40输出与阶段1000的检测到的入侵异常有关的信息。在一个实施方式中，输出信息使用以下方式传输：互联网协议的诊断(doip)；传输控制协议(tcp)；统一诊断服务(uds)和/或用户数据报协议(udp)。
56.在一个实施方式中，安全监控器30和/或120生成诊断异常代码(dac)以包含与检测到的入侵异常有关的信息。如本文中所使用的，术语dac意指指示偏离正确配置的异常的代码。与dtc相反，dac为复杂异常提供异常代码，比如安全漏洞、安全性漏洞和黑客标识，如下文将进一步描述的。例如，如果检测到ddos攻击，则这种攻击不会构成与标准dtc相关联的异常，因为每次访问尝试都是正确的。只有当检测到访问尝试的累积时，安全监控器30和/或120才检测到ddos攻击，并且生成适当的dac。此外，dtc通常大小有限，并且一般只包含2字节的数据，而dac可以更大并包含更多数据，如下文将描述的。
57.在一个实施方式中，每个dac指示相应的入侵异常。在另一实施方式中，为每个入侵异常生成相同的dac，并且dac的有效载荷携带指示检测到的相应入侵异常的信息。在一个实施方式中，安全监控器30和/或120将相关信息输出至诊断事件管理器(dem)，并且dem(未示出)生成相应的dac。在一个实施方式中，输出信息包括：入侵异常的类型；入侵异常的严重度；以及任何其他相关信息。
58.在一个实施方式中，安全监控器30和/或120将与检测到的入侵异常有关的信息存储在相应的存储器(未示出)上。在又一个实施方式中，异常分析器40周期性地请求与所有检测到的入侵异常有关的信息。在再一实施方式中，在没有接收到来自异常分析器40的请求的情况下，安全监控器30和/或120以预定时间间隔或响应于预定规则将存储的信息周期性地传输至异常分析器40。在又一个实施方式中，预定规则包括：一旦已检测到至少预定数量的入侵异常，就传输信息；一旦检测到至少预定数量的具有预定值的严重度的入侵异常，就传输信息；和/或一旦已检测到至少预定数量的与至少预定数量或类型的ecu 20、110、350和/或360相关联的入侵异常，就传输信息。在另一实施方式中，与检测到的入侵异常有关的信息连同与ecu 20、110、350和/或360相关联的任何dtc一起传输。在另一实施方式中，在检测到相应的入侵异常时，将与每个检测到的入侵异常有关的信息传输至异常分析器。
59.在一个非限制性实施方式中，包括每个相应入侵异常的信息的输出消息包括以下字段：消息长度，任选地大小为1字节的消息长度；消息标识符，任选地大小为4个字节的消息标识符；异常类型，任选地大小为1字节的异常类型；异常子类型，任选地大小为1字节的异常子类型；确定的异常严重度，任选地大小为1字节的确定的异常严重度；第一值字段，任选地大小为1字节的第一值字段；以及任选的第二值字段，任选地大小为4字节的第二值字段。
60.例如，对于指示方向盘角度的值比预定有效角度范围的最大值大10度的异常，并且该异常的严重度为2，消息任选地如下：“x”是消息的id。
61.在这样的示例中，不使用第二值字段。在另一示例中，对于指示信号“a”的值与信号“b”的值之间的差大于预定阈值并且严重度为3的异常，消息任选地如下：
62.在这样的示例中，第二值字段用于传输实际信号值以及实际偏差值。在同一消息另外包含信号“c”和“d”的情况下，如上所述，消息任选地如下：
63.因此，针对同一消息发送2个dac消息。
64.在另一示例中，在检测到无效mac地址的情况下，如上所述，消息任选地如下：
65.mac地址为6字节长，并且第一值字段仅为2字节长，因此第二值字段也用于mac地址。如上所述，可能的无效是具有相应mac地址的源无权向具有相应ip地址的相应目的地发送消息的情况。因此，异常子类型是mac与ip地址之间的错配。
66.在另一示例中，对于两个消息之间的值的错配的异常，如上所述，消息任选地如下：下：
67.尽管以上示例说明了消息具有15字节的长度的实施方式，但是这并不意味着以任何方式进行限制，并且可以生成具有多种长度的消息。尽管以上示例说明了在单个消息中传输异常的相关信息的实施方式，但是这并不意味着以任何方式进行限制，并且可以为每个检测到的入侵异常生成多个消息。
68.在阶段1020中，异常分析器40累积接收到的阶段1010的与检测到的入侵异常有关的输出信息。任选地，接收到的信息存储在存储器440上。在阶段1030中，异常分析器40接收至少一个车辆状态信号。在一个实施方式中，至少一个车辆状态信号由车辆信号功能410接收。在另一实施方式中，至少一个车辆状态信号是从以太网交换机/集线器310和/或通信控制单元330接收的。如本文中所使用的，术语“车辆状态信号”被定义为表示车辆的特定系统的当前状态的信号和/或表示车辆外部条件的信号。具体地，在一个实施方式中，所述至少一个车辆状态信号包括但不限于：车辆的速度；方向盘相对于初始位置的角度；车辆处于哪个档位；制动器的位置；车辆的发动机的状态，例如每分钟转数(rpm)；和/或车辆的陀螺仪相对于初始位置的位置。在又一个实施方式中，至少一个车辆状态信号还包括环境条件，例如天气的预定属性、车辆外部的照明量和/或车辆正在行驶的道路的类型或条件。这些信号从车辆的专用传感器接收和/或从诸如互联网之类的外部源接收。在另一实施方式中，至少一个车辆状态信号还包括周围车辆的状态，例如，与最近车辆的距离、周围车辆的速度和/或周围车辆的角动量。这些信号从雷达系统和/或经由通过车辆至车辆(v2v)通信接收。
69.在又一个实施方式中，所述至少一个车辆状态信号与相应的预定阈值相关。在一个示例中，将车辆的速度与预定速度阈值进行比较，并且确定车辆速度是大于预定速度阈值还是小于预定速度阈值。在另一示例中，将方向盘相对于初始位置的角度与预定角度阈值进行比较，并且确定方向盘角度是大于预定角度阈值还是小于预定角度阈值。
70.在另一示例中，将车辆的当前档位与预定档位阈值进行比较，并且确定车辆的当前档位是大于预定档位阈值还是小于预定档位阈值。在另一示例中，将制动器的位置与预定制动阈值进行比较，并且确定当前制动位置是大于预定制动阈值还是小于预定制动阈值。在一个非限制性实施方式中，预定制动阈值给出为：bth＝|max-min|/2等式1其中，max是制动器的在制动器完全压下时的位置，min是制动器的在制动器未按下时的位置。
71.在另一示例中，将发动机的rpm与预定rpm阈值进行比较，并且确定当前rpm值是大于预定rpm阈值还是小于预定rpm阈值。在另一示例中，将陀螺仪相对于初始位置的位置与预定陀螺仪阈值进行比较，并且确定当前陀螺仪位置值是大于预定陀螺仪阈值还是小于预定陀螺仪阈值。
72.在一个实施方式中，与预定阈值的比较由车辆信号功能410执行。在另一实施方式中，所述比较由车辆中的其他系统执行，并且车辆状态信号的相对值——即，每个系统与相应预定值的的关系——由车辆信号功能410接收。例如，异常分析器40外部的专用系统确定车辆是高速行驶还是低速行驶，并且车辆信号功能410接收指示车辆速度是高还是低的相应信号。
73.在任选阶段1040中，异常分析器40进一步响应于一个或更多个预定分级规则而确定每个接收到的至少一个车辆状态信号的等级。任选地，等级由车辆信号功能410确定。在一个非限制性实施方式中，当相应的车辆状态信号值等于0时，分配第一等级值。在这样的
实施方式中，当相应的车辆状态信号值大于零但小于相应的预定阈值时，分配第二等级值。例如，如果车辆的速度大于零，但小于预定速度阈值，则为车辆速度分配第二等级值。此外，当相应的车辆状态信号值大于或等于相应的预定阈值时，分配第三等级值。
74.在任选阶段1050中，当前车辆状态的总等级由异常分析器、任选地由车辆信号功能410响应于阶段1030的接收到的至少一个车辆状态信号和预定分级规则而确定。在一个实施方式中，预定分级规则给出为：tg＝f(speed_g，angle_g，gear_g，brake_g，engine_g，gyro_g)
ꢀꢀ
等式2其中，tg为当前车辆状态的总等级，speed_g为任选阶段1030的车辆速度等级，angle_g为方向盘角度等级，gear_g为档位等级，brake_g为制动等级，engine_g为发动机状态等级，并且gyro_g为陀螺仪状态等级，如上所述。f是优选地由原始设备制造商(oem)定义的函数。在非限制性的又一个实施方式中，总等级定义为：tg＝w1*(spe|ed_g) w2*(angle_g) w3*(gear_g) w4*(brake_g) w5*(engine_g) w6*(gyro_g)
ꢀꢀꢀꢀ
等式3其中，w1是任选阶段1040的车辆速度等级的预定权重，w2是任选阶段1040的方向盘角度等级的预定权重，w3是任选阶段1040的档位状态等级的预定权重，w4是任选阶段1040的制动状态等级的预定权重，w5是任选阶段1040的发动机状态等级的预定权重，并且w6是任选阶段1040的陀螺仪状态等级的预定权重。
75.如上所述，在一个实施方式中，至少一个车辆状态信号还包括环境条件和/或周围车辆的状态。在这样的实施方式中，等式2还包括任选地被分级的这些信号，如上文针对任选阶段1040所描述的。因此，实现了对车辆所处的危险等级的更精确指示。
76.尽管已经关于向接收到的车辆状态信号分配等级的实施方式描述了任选阶段1040至1050，但是这并不意味着以任何方式进行限制。在另一实施方式中，可以使用利用接收到的车辆状态信号的信息而不分配实际等级值的替代方法。
77.在任选阶段1060中，异常分析器40、任选地通过异常功能420确定每个异常的持续时间，即，相应系统的在预定时间段内的异常消息的数量。
78.在阶段1070中，异常分析器40响应于阶段1030的接收到的至少一个车辆状态信号将与阶段1020的检测到的入侵异常的累积的输出信息与异常事件列表进行比较。如上所述，在一个实施方式中，异常事件列表存储在存储器440上。任选地，比较由异常功能420执行。
79.比较并不意味着限于直接的逐项比较，并且值范围的识别或值的转换可以在不超出范围的情况下使用，并且依据一个或更多个预定异常事件列表规则。在一个特定实施方式中，异常事件列表中的每个异常事件包括一组预定参数，使得当检测到的一个或多个入侵异常的预定属性满足相应参数的值时，检测到异常事件。在一个实施方式中，预定规则集包括多个预定参数，所述多个预定参数包括但不限于：接收到的检测到的异常的数量；检测到的异常的严重度；检测到的异常的持续时间，如上所述；和/或检测到的异常所针对的ecu的数量。在一个实施方式中，严重度和/或持续时间分别与具有最高严重度和最长持续时间的异常相关地确定。在另一实施方式中，严重度和/或持续时间是相对于检测到的异常的预定数量或百分比来确定的。
80.例如，异常分析器40检查到不存在多于2个的严重度等级大于2的异常，等等。在一
个实施方式中，异常事件列表上的每个规则集具有指示警报指示符是否被发送和/或通信是否被禁用的相关联标志。在替代性实施方式中，提供了多个异常事件列表，每个异常事件列表具有一个或多个相关联动作。在另一实施方式中，相关联动作响应于检测到的异常的特定的一种或多种类型。
81.另外，如上所述，与异常事件列表的比较进一步针对阶段1030的接收到的至少一个车辆状态信号来执行。特别地，在一个实施方式中，所述比较针对车辆状态的确定的总等级tg来执行，如上述关于等式2所描述的。在又一个实施方式中，异常事件列表的预定事件的参数值根据总等级的值来确定。
82.异常事件列表中的多个异常事件的非限制性示例在表1中给出：表1表1
83.tgl和tg2是不同的总等级tg，其中，tg2大于tgl。t1是预定持续时间阈值。此示例中的异常事件根据相应的等级tg由不同的规则集定义。如果接收到的检测到的异常符合规则集的参数值，则确定已发生异常事件。如表1所示，对于不同等级tg，存在不同的规则集。例如，如上所示，如果总等级tg较大，则需要较多数量的类型和/或异常来识别异常事件。这是因为总等级tg越高表明车辆的危险状态越多，因此规则集设置成减少误报的数量。然而这并不意味着以任何方式进行限制，并且不同的规则集根据任何预定的相关联规则与不同的相应总等级tg相关联。例如，对于严重度较高的异常，较高的总等级tg需要较少的异常，以便快速地响应于明显且可能迅速导致车辆危险情况的异常，如规则集3中所描述的。
84.在一个示例中，在接收到总共2个消息时：以及对于总车辆等级tg1，入侵异常满足异常事件列表的各个参数，因为入侵异常满足规则集1的条件，即，存在2个不同类型的异常，并且严重度大于2。
85.然而，以下异常将不满足异常事件列表的各个参数，即，以下异常将不满足任何规则集的条件：以及
虽然有2个严重度大于2的异常，但异常的类型相同，因此不满足规则集1、规则集2或规则集3的条件。
86.尽管上文已经对关于异常的类型进行了描述，但是这并不意味着以任何方式进行限制。在另一实施方式中，异常事件列表的规则集除了包括与异常的类型有关的条件之外，还包括与异常的子类型有关的条件。
87.在阶段1080中，响应于阶段1070的所述比较的预定结果，异常分析器40输出至少一个预定事件信号。预定事件信号包括已检测到异常事件的指示。在一个实施方式中，响应于阶段1070的所述比较的第一结果，输出预定事件信号，并且响应于阶段1070的所述比较的第二结果，不输出预定事件信号。第一结果是确定已检测到异常事件，第二结果是确定未检测到异常事件。在所述比较确定各个入侵异常的预定属性是否满足异常事件列表中的异常事件的预定参数的值的上述实施方式中，所述比较的第一结果是确定各个入侵异常的预定属性满足异常事件的预定参数的值，并且所述比较的第二结果是确定各个入侵异常的预定属性不满足异常事件的预定参数的值。
88.在一个实施方式中，预定事件信号选自多个预定事件信号。多个预定事件信号包括：警报消息；以及在预定时间间隔内禁用与ecu20、110、350和/或360的通信的命令。在一个实施方式中，禁用所述通信包括禁用通信控制单元320或通信控制单元330的通信功能。在又一个实施方式中，警报消息被传输至服务器。在另一实施方式中，向车辆的驾驶员显示警报消息。任选地，显示的警报消息可以提示驾驶员靠边停车。进一步任选地，在自动驾驶汽车中，警报消息可以使汽车靠边停车。在一个实施方式中，禁用通信控制单元320或通信控制单元330的通信功能的命令是通过利用如在iso 14229-1中定义的统一诊断服务(uds)协议消息来执行的。在该特定实施方式中，异常分析器40使用uds上的服务0x31请求与通信控制单元320或通信控制单元330作为消息的目标来修改通信控制单元320或通信控制单元330的状态以阻止任何传入请求。
89.在一个实施方式中，响应于多个异常事件中的相应的检测到的异常事件，从多个事件信号中选择预定事件信号，即，对于每个检测到的异常事件，选择不同的预定事件信号。在另一实施方式中，总是生成警报消息并且仅响应于以下情况而生成禁用通信控制单元320或通信控制单元330的通信功能的命令：检测到某些预定异常事件；和/或接收到的至少一个车辆信号满足一个或更多个预定参数，比如预定车辆等级。
90.在任选阶段1090中，响应于阶段1080的检测到的异常事件，异常分析器40及其任选的调整功能430生成调整信号，该调整信号被输出至下述各者中的一者或更多者：ecu 20、110、350或360；安全监控器30和/或120；或者通信控制单元320和/或330。响应于生成的调整信号，根据调整的一组验证值来执行未来异常识别。特别地，如上所述，响应于预定的
一组异常规则来检测异常。如果已检测到异常事件，则使用更严格的一组异常规则，因为安全风险已增加。例如，如果已检测到服务拒绝攻击，则生成的调整信号使安全监控器30和/或120调整相应的验证值，使得在预定时间间隔内触发异常检测的消息数量减少。
91.应当理解的是，为了清楚起见，在单独实施方式的上下文中描述的本发明的某些特征也可以在单个实施方式中组合地提供。相反，为简洁起见，在单个实施方式的上下文中描述的本发明的各个特征也可以单独地提供或以任何合适的子组合提供。特别地，本发明已经描述了每个电力设备按类别的标识，然而这并不意味着以任何方式进行限制。在替代性实施方式中，所有电力设备都被平等对待，因此不需要识别类别及其相关的功率要求。
92.除非另有定义，否则本文使用的所有技术和科学术语具有与本发明所属领域的普通技术人员通常理解的含义相同的含义。尽管在本发明的实践或测试中可以使用与本文中描述的那些相似或等效的方法，但本文中描述了合适的方法。
93.本文中提及的所有出版物、专利申请、专利和其他参考文献通过引用整体并入。如有冲突，以包括定义的专利说明书为准。此外，材料、方法和示例仅是说明性的而非意在限制。
94.本领域技术人员将理解的是，本发明不限于上文中已具体示出和描述的内容。相反，本发明的范围由所附权利要求限定并且包括上文中描述的各种特征的组合和子组合以及本领域技术人员在阅读上述描述后将会想到的变型和改型。