本發(fā)明涉及用于在計算機網(wǎng)絡(luò)中識別攻擊的設(shè)備和方法，其中在硬件開關(guān)裝置的輸入端處接收數(shù)據(jù)分組，其中根據(jù)來自數(shù)據(jù)分組的數(shù)據(jù)鏈路層信息并且根據(jù)硬件地址來選擇硬件開關(guān)裝置的輸出端以用于發(fā)送數(shù)據(jù)分組或數(shù)據(jù)分組的副本，其中確定數(shù)據(jù)分組的上下文信息，其中在比較中通過硬件過濾器將來自數(shù)據(jù)分組的某字段的實際值與來自該字段的值的額定值進(jìn)行比較，其中該字段包括數(shù)據(jù)鏈路層數(shù)據(jù)或網(wǎng)絡(luò)層數(shù)據(jù)，并且其中根據(jù)比較的結(jié)果來觸發(fā)針對計算裝置的中斷，其中由中斷觸發(fā)地，通過微處理器根據(jù)數(shù)據(jù)分組的上下文信息來執(zhí)行分析，以識別計算機網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量中的攻擊模式。

技術(shù)領(lǐng)域

本發(fā)明基于用于在計算機網(wǎng)絡(luò)中識別攻擊的方法和設(shè)備。

背景技術(shù)

這種“網(wǎng)絡(luò)入侵檢測和防御系統(tǒng)”（Network Intrusion Detection andPrevention Systems，NIDPS）的任務(wù)是識別分布式計算機系統(tǒng)的網(wǎng)絡(luò)流量中的異常并對異常做出反應(yīng)。NIDPS是典型地用于檢測和阻止對企業(yè)網(wǎng)絡(luò)（所謂的Enterprise網(wǎng)絡(luò)）的攻擊的系統(tǒng)。NIDPS也可以用于汽車網(wǎng)絡(luò)。汽車網(wǎng)絡(luò)是具有“電子控制單元”（ElectronicControl Units，ECU）作為網(wǎng)絡(luò)節(jié)點的車輛內(nèi)部網(wǎng)絡(luò)。

由于企業(yè)網(wǎng)絡(luò)和汽車網(wǎng)絡(luò)之間的功能差異，用于企業(yè)網(wǎng)絡(luò)的NIDPS不能有效地用于汽車網(wǎng)絡(luò)。

因此，期望提供用于汽車網(wǎng)絡(luò)的NIDPS。

發(fā)明內(nèi)容

這通過獨立權(quán)利要求的主題來實現(xiàn)。為了提供用于汽車網(wǎng)絡(luò)的NIDPS，應(yīng)當(dāng)考慮汽車網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)之間的差異。這些差異可以在它們的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)動態(tài)性和網(wǎng)絡(luò)節(jié)點中找到。

網(wǎng)絡(luò)結(jié)構(gòu)：

企業(yè)網(wǎng)絡(luò)典型地遵循客戶端-服務(wù)器模型，在該模型中存在較少數(shù)量的專用服務(wù)器網(wǎng)絡(luò)節(jié)點，這些服務(wù)器網(wǎng)絡(luò)節(jié)點向典型地較多數(shù)量的客戶端網(wǎng)絡(luò)節(jié)點提供服務(wù)。汽車網(wǎng)絡(luò)由交換傳感器信號和致動器命令的ECU組成。

企業(yè)網(wǎng)絡(luò)一般比汽車網(wǎng)絡(luò)明顯更大和更復(fù)雜。企業(yè)網(wǎng)絡(luò)的整體被顯著地分割，即在物理上或邏輯上分離為不同的區(qū)域和子網(wǎng)。典型的汽車網(wǎng)絡(luò)中的ECU（如果有的話）通過“網(wǎng)關(guān)”分離為少量子網(wǎng)或在邏輯上經(jīng)由所謂的“虛擬局域網(wǎng)”（Virtual Local AreaNetworks，VLAN）在以太網(wǎng)層上分離。

網(wǎng)絡(luò)動態(tài)性：

企業(yè)網(wǎng)絡(luò)和汽車網(wǎng)絡(luò)在用于更改和運行所述網(wǎng)絡(luò)的動態(tài)性方面是不同的。

在企業(yè)網(wǎng)絡(luò)中，所連接的網(wǎng)絡(luò)節(jié)點會動態(tài)更改。對于服務(wù)器網(wǎng)絡(luò)節(jié)點的改變，可能的話還可以對安全系統(tǒng)（例如NIDPS）的配置進(jìn)行適配。相反，對于作為客戶端的網(wǎng)絡(luò)節(jié)點，一般不可能進(jìn)行這樣的適配。這是因為一些客戶端從變化的位置連接到所述網(wǎng)絡(luò)并且被相對頻繁地更換。此外，無法準(zhǔn)確預(yù)測哪些應(yīng)用在客戶端上執(zhí)行。

汽車網(wǎng)絡(luò)中的ECU（如果有的話）很少被更換，于是通常也只被相同的副本替換。因此，所述網(wǎng)絡(luò)的作用方式發(fā)生任何變化是不太可能的。在汽車網(wǎng)絡(luò)中網(wǎng)絡(luò)節(jié)點都是眾所周知的。同樣，運行在每個網(wǎng)絡(luò)節(jié)點上的應(yīng)用也是明確定義的，并且可以預(yù)給定關(guān)于網(wǎng)絡(luò)通信的細(xì)節(jié)。

在企業(yè)網(wǎng)絡(luò)中，來自外部的節(jié)點建立到企業(yè)網(wǎng)絡(luò)內(nèi)的連接并形成內(nèi)部數(shù)據(jù)流量的一部分也是常見的。在汽車網(wǎng)絡(luò)中，該網(wǎng)絡(luò)的負(fù)責(zé)車輛功能的所有通信節(jié)點都是內(nèi)部車輛網(wǎng)絡(luò)的一部分。外部節(jié)點僅被授予特定功能和在有限的范圍內(nèi)對所述內(nèi)部車輛網(wǎng)絡(luò)的接入，例如為了診斷或為了移動終端設(shè)備。

在企業(yè)網(wǎng)絡(luò)中，不同的用戶可能能夠使用相同的客戶端。汽車網(wǎng)絡(luò)的ECU中不存在用戶，而是只有完全自動地執(zhí)行其服務(wù)的應(yīng)用。

網(wǎng)絡(luò)節(jié)點：

就資源而言，企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點一般在資源上（例如在存儲器和性能方面）比汽車網(wǎng)絡(luò)的ECU高出許多倍。