1.本发明涉及一种用于监测机动车的控制器之间的数据流量(datenverkehr)的方法以及一种相应配备的机动车。监测在交换装置中进行,该交换装置在数据网络的网络分支之间传输数据包。在此在传送时不发生显著迟滞或延迟的情况下,应针对数据包或其中的至少一些检查是否是预定的、不期望的数据流量,例如其可能是黑客攻击的组成部分或由机动车的被操纵或有缺陷的控制器引起。
背景技术:
2.因为在机动车中这样的控制器可以经由数据网络或数据网彼此耦合,以便交换数据包,由此例如可以实现包括多个控制器的车辆功能。针对这样的数据网络的示例是以太网网络。这样的数据网络的网络分支可以经由交换装置(也简称为“交换机”或数据交换机)互连。为此,每个网络分支可以联接在交换装置的相应端口处。这样的端口可以是用于网络分支的网络线缆的物理联接部以及用于发送和接收数据包的电路。如果数据包从与此联接的网络分支到达这样的端口,则确定数据包必须被传送到哪个其他网络分支或哪几个其他网络分支。数据包然后借助于电路在交换装置内被传送或发送到相应的目标端处口,所述电路在此称为交换电路。通过数据包的如此交换的传送,网络分支可以在逻辑上彼此分开地保持,由此也可以实现防火墙功能。
3.为了确定接收到的数据包必须被传送至何处,即数据包必须在交换电路内被导引到哪个目标端口,可以使用所谓的关联存储器。针对这样的关联存储器的另一个名称是cam过滤器(内容可寻址存储器),例如tcam(三元内容可寻址存储器)。借助于关联存储器,可以在所述交换电路中设定所谓的交换或路由。但在关联存储器的情况下,作为输入数据仅可以输入来自相应所接收到的数据包的有限数量的比特或字节,以便获得目标端口数据,所述目标端口数据描述应使用的至少一个目标端口。
4.在分析控制器的数据流量以探测控制器中的一个控制器中的操纵和/或以探测附加地联接到数据网络处的、未授权的设备时,可能需要对在网络中传输的数据包进行耗费的分析。但这不可以导致在传输数据包时发生附加的延迟或等待时间,因为否则机动车中的与数据包有关的相应功能可能受到影响,例如倒车摄像头的控制。另一方面,用于进行详细分析的数据包的解耦或复制与如此大的数据量相关联,使得不能在机动车中以合理的成本耗费提供为此所需的计算能力。
5.由us 8 582 428 b1已知,在路由器中借助于关联存储器tcam特定包类型的数据包可以借助于计数器进行计数。数据包附加地可以设有时间戳,以便执行数据流量的分析。时间戳也用于测量通信连接的时效。
6.由wo 2019/116973 a1已知,在机动车中未授权的数据流量由此识别到,即控制器每秒产生比原来设置的更多数据。因此,不能识别对控制器的仅导致少量数据包在机动车中产生损坏的操纵。
7.由wo 2006/069041 a2和us 2007/022474 a1已知,在防火墙的情况下,如果每个给定时间单位某个发送者的某个类型的数据包数量超过阈值,那么数据包总是被删除。利用这种方式,只能阻止所谓的拒绝服务攻击,该拒绝服务攻击基于数据包的大量产生。
8.由us 2020/304532 a1已知,借助于tcam关联存储器分析机动车中的数据流量,以便监测来自设备的异常高的数据量。为了使微处理器在分析异常数据包时不过载,所有数据包都借助于第一规则进行预过滤,并且只有根据第一规则为异常的数据包被传送给微处理器以应用第二规则。
9.由us 2017/118041 a1已知一种防火墙计算机,该防火墙计算机借助于多个分布式tcam关联存储器过滤数据包并且在此将某些数据包传达给cpu。结合防火墙规则,acl可以在防火墙计算机中对哪个规则多少次被应用进行计数。
技术实现要素:
10.本发明目的在于,在机动车中识别控制器或附加联接的设备的不按计划的数据流量。
11.该目的通过独立专利权利要求的内容来实现。本发明的有利的实施方式通过从属专利权利要求、以下描述以及附图描述。
12.提供了一种用于监测机动车的控制器之间的数据流量的方法,其中,将待监测和/或待探测的包类型和/或数据内容的至少一个数据模式存储在关联存储器(例如tcam)中,从而通过关联存储器响应于包含相应的数据模式的输入数据产生相配属的命中信号,并且相应地网络处理器在预定的监测位置处从接收到的数据包中读取探测数据并且由此形成用于关联存储器的输入数据并且通过将输入数据输入到关联存储器中来检查是否产生命中信号,并且微处理器依据描述控制器的按照规定的发送方案的发送计划数据借助于预定的校准例程来识别命中信号偏离于发送方案。然后可以启动防御例程。数据模式可以是比特模式或字节模式。
13.为此,通过本发明描述了一种用于监测机动车的控制器之间的数据流量的方法。该方法由此出发:控制器经由数据网络连接,在该数据网络中,交换装置经由内部的交换电路或数据交换机将用于接收和发送数据包的物理端口互连。在该方法中设置成,针对经由端口中的一个端口接收到的相应的数据包通过网络处理器借助于关联存储器确定目标端口数据,并且根据所确定的目标端口数据从(总体上现有的)端口中选择至少一个端口作为目标端口,并且通过交换电路将接收到的数据包或其至少一部分导引到至少一个目标端口处。
14.因此,交换装置以本身已知的方式在内部具有用于选择性地将接收到的数据包从一个端口传输到至少一个目标端口的交换电路,以便如此在网络分支之间传输(交换或路由)数据包。为此,每个端口可以具有收发器电路,以便接收和/或发送数据包。在此提及的关联存储器可以作为cam(内容可寻址存储器)、尤其作为tcam(三元内容可寻址存储器)实现或提供。目标端口数据以本身已知的方式从相应联接到端口处的控制器或设备中得出。
15.为了实现该目的设置成,将待监测和/或待探测的包类型和/或数据内容的至少一个数据模式存储在关联存储器中,从而关联存储器响应于包含相应的数据模式的输入数据产生相配属的命中信号。相应地,网络处理器从相应的接收到的数据包中不仅读取用于确
定至少一个目标端口的数据,而且附加地网络处理器在数据包的预定的监测位置处(即在预设的比特位置或字节位置处)读取探测数据并将这些探测数据组合成用于关联存储器的另外的输入数据,并且然后通过将这些输入数据输入到关联存储器中来检查是否产生命中信号。因此,关联存储器也用于探测预设的包类型的数据包和/或具有预设的数据内容的数据包。在此,通过预设所述监测位置(即比特位置或字节位置)来确定应在数据包中的哪个位置处、即在哪个部位处从数据包中读取比特或字节作为探测数据,从所述探测数据中形成用于关联存储器的输入数据。用于关联存储器的这些输入数据那么不用于找到目标端口,而是这些输入数据应借助于关联存储器产生命中信号,这指示识别到相关数据模式。例如,这样的命中信号可以由如下标识组成,该标识报告相应的数据模式已由关联存储器在输入数据中识别。
16.附加地,提供至少一个计数器,通过所述计数器的相应的计数器值说明针对至少一个预定的数据模式多少次产生命中信号。将相应的计数器值和计数器值最后增加所经由的相应最后一个数据包作为读取存储器中的分析数据提供,并且微处理器经由数据接口读取当前的这些分析数据。因此,在此实现了:对产生数据包的某些监测位置的监测数据的至少一个预定的数据模式多少次被识别或探测进行计数。计数器还可以用于多个不同的命中信号,即用于多个不同的数据模式,其方式为,使单个计数器与关联存储器的多个条目耦合。在分析数据中存在关于哪个数据包最后增加了计数器值的信息,其中,计数器值附加地也被一同存储在读取存储器中的分析数据中。在需要时,这则可以由微处理器主动读取。因此,读取存储器中的分析数据可以随着每次计数器改变而更新。可以为每个计数器设置分开的存储空间,或者可以为多个计数器或所有计数器的分析数据设置共同的存储空间。
17.在机动车中,特殊之处在于,数据流量的至少一部分通过遵循固定编程的发送方案的控制器产生。仅数据流量的预先已知的份额是动态的,例如用于消费电子设备的控制器的数据流量。但该份额也可以为零。现在微处理器依据描述控制器的按照规定的发送方案的发送计划数据借助于预定的校准例程来识别分析数据偏离于发送方案,并且该微处理器在这种情况下触发预定的防御例程。
18.因此,本发明基于以下认识:在机动车未被操纵的情况下,即如果控制器中的每一个都不偏离于其发送方案并且也没有附加的设备联接到数据网络处并且产生附加的数据流量,那么也可以仅得出这样的分析数据,所述分析数据根据校准例程相应于如通过机动车的制造商例如可以说明的发送计划数据所描述的发送方案。校准例程可以要求与这些发送计划数据严格一致,或者可以允许针对最终分析数据的计数器值和/或数据内容的公差。所描述的方法可以尤其应用于以太网数据包。作为数据网络的以太网基于面向包的数据流量,从而(不同于在面向时隙的数据网络的情况下)数据流量中的发送时间点和/或数据量可以变化,因为没有设置预留的时隙。通过计数器值可以独立于确切的发送时间点识别针对某个数据模式数据包的数量是否超过阈值。由于附加地在最终分析数据中还一同包含触发覆盖阈值的相关数据包,因此可以得到关于发送器的结论,即识别被操纵的或有缺陷的控制器,或者可以识别使用了发送者地址,所述发送者地址不属于机动车的提供者侧的控制器,而是属于附加地联接到数据网络处的设备。作为防御例程或防御措施,例如可以进行对机动车中的功能的限制,例如功能范围的减少或功能的切断,例如媒体播放和/或电话功能和/或互联网连接。根据tcam条目或数据模式(针对其识别出发生与发送方案的偏差),可
以限制或断开机动车的其他功能。
19.相应的计数器(英文:counter)和/或关联存储器(tcam)可以分别是网络处理器的一部分,或者相应的计数器和/或关联存储器可以在网络处理器之外提供。
20.本发明还包括如下实施方式,通过所述实施方式得出附加优点。
21.一个实施方式包括:针对每个计数器,除了计数器值之外还存储计数器值的相应最后一次增加的时间戳并且将其作为读取存储器中的分析数据的一部分提供。因此,读取存储器中的分析数据包含计数器值、其时间戳和最后接收到的相关数据包。因此,在此使用的计数器值报告包含在分析数据中的数据包何时到达并触发命中信号。已经证实的是,这结合控制器的发送方案实现特别敏感的故障和操纵识别。如此,借助于校准例程检查分析数据的微处理器附加地还可以接收至少一个车辆部件和/或控制器的相应活动信号,并且然后依据时间戳来检查数据包是否基于车辆部件和/或控制器的该被报告的活动被发送,并且因此虽然被认定为位于发送方案之外但通过该活动触发的数据包,并且因此还是被归类为允许的,从而不必触发防御例程。活动信号例如可以经由can总线来接收。在此尤其可以是重要的是,由此可以使微处理器不过载,因为优选可以在微处理器本身中决定数据包是否实际上从读取存储器中/在数据接口处提取,或者数据包是否应由下一个数据包覆盖,因为微处理器目前没有用于实时处理的资源可用。在此,在微处理器中保留有概览,因为针对每个数据包,该数据包的序数(计数器)和/或时间戳是可用的。因此,申请主题为微处理器提供一种监测工具,该监测工具可以防止微处理器的过载,并且尽管如此还提供对“可疑的”或借助于关联存储器选择的数据包的详细了解(数据包本身也在数据接口处提供)。因此,优选设置成,所述数据包仅在数据接口处提供,因此微处理器可以总是本身决定当相应的计算能力待命时微处理器是否提取数据包。如果微处理器然后在数据接口处接受数据包,则通过计数器值和时间戳向微处理器报告存在哪个数据包并且/或者数据包时效如何。
22.一个实施方式包括:至少一个计数器分别对针对至少两个数据模式的命中信号进行计数。也就是说,在至少一个计数器的情况下,分别将用于至少两个不同的数据模式的命中信号联合。因此,计数器总是当两个数据模式中的任何一个被关联存储器识别是才产生增量。由此得出以下优点:也可以识别这样的操纵,在其中尝试将被操纵的数据流量划分成多个不同的包类型,例如通过使用两个不同的发送者地址和/或mac地址(mac-媒体访问控制)。
23.一个实施方式包括:如果满足预定的重置条件,则通过网络处理器和/或微处理器重置至少一个计数器的相应的计数器值。换言之,自机动车运行开始以来,不对某个数据模式的所有数据包的绝对数量进行计数,而是可以确定计数间隔。可能的计数间隔是时间单位,也就是说,可以设置重置条件,即在预定的持续时间过去之后,例如在一秒之后或在十秒或一分钟之后,重置相应的计数器。可以针对每个数据模式设置自身的重置条件。其他重置条件可以是,根据机动车的部件中(例如倒车摄像头中或媒体播放器中)的切换过程或活动的信号,重置用于与所述部件相配属的数据模式的计数器。
24.一个实施方式包括:为不同的监测位置提供多个位置数据项(即具有针对比特位置和/或字节位置的相应说明信息的数据项),并且通过网络处理器依据数据包(头部数据和/或用户数据)确定相应的数据包的包特性,并且根据包特性从位置数据项中选择一个位置数据项,从而得出变换的监测位置,并且在通过所选择的位置数据项说明的监测位置处
读取探测数据。换言之,针对不同的包特性可以确定哪些比特或字节,即在数据包内的哪些位置(监测位置)处读取针对探测数据的数据内容,以便由此形成用于关联存储器的输入数据。由此得出以下优点,即可以根据包特性检查不同监测位置。哪个包特性具有数据包可以例如在其头部数据和/或用户数据处来识别。就此而言,以下实施方式是有利的。
25.该实施方式包括:包特性说明协议类型(tcp或udp)和/或包类型(通信的第一包、后续包)和/或数据内容(发送器地址、接收器地址)。作为协议类型可以例如在tcp(传输控制协议)与udp(用户数据报协议)之间进行区分,以便仅示例性地列举用于机动车中的数据流量的两个可能的协议。例如,作为包类型可以区分其是通信的第一包还是通信的后续包。例如,在此可以评价所谓的syn标识。呈例如发送器地址和/或接收器地址的形式的数据内容也可以有利地用于形成用于关联存储器的输入数据。例如,在此可以探测未注册的发送器地址。
26.一个实施方式包括:监测位置描述数据包的不相交的数据字段。因此,用于形成用于关联存储器的输入数据的探测数据的读取不必包括来自数据包的连续的比特或字节序列,而是可以通过确定不相交的数据字段来读取这样的比特或字节,在其之间存在不成为探测数据的一部分的另外的比特或字节。由此,在数据包的分析方面更加灵活。
27.一个实施方式包括:输入数据的形成包括借助于移位运算重新排列探测数据和/或借助于至少一个组合规则组合探测数据。由此,可以进行预处理,其方式为,应用移位运算和/或组合规则。组合规则可以例如包括逻辑运算、如and(逻辑und)或or(逻辑oder)。由此,可以合并或压缩探测数据的比特或字节,以便例如获得预设的格式。此外,通过移位运算和/或组合规则也可以已经执行对数据网络中不期望的数据流量进行监测的第一步骤。如此,例如可以检查探测数据中的两个预定的比特是否具有预定的逻辑组合(例如,两个都被设置或两个都被删除)。然后,这可以通过单个比特代表,该单个比特可以成为输入数据的组成部分而不是原始比特。
28.本发明还提供一种用于机动车的数据网络的监测装置或交换装置,其中,交换装置具有网络处理器和关联存储器和计算单元,它们设立成执行根据本发明的方法的实施方式。关联存储器能够以所述方式是cam、尤其tcam。关联存储器可以集成在网络处理器中或设置在单独的存储元件中。对于交换装置已知的网络处理器类型可以设置为网络处理器,其能够以所述方法步骤来扩展。作为用于所描述的分析数据处理的计算单元可以设置所谓的cpu(中央处理单元)或微控制器或一般而言设置微处理器,其中,计算单元可以经由相应的数据接口与网络处理器和/或关联存储器耦合。网络处理器和计算单元可以分别是数据处理装置或处理器装置,其分别可以具有至少一个微处理器和/或至少一个微控制器和/或至少一个fpga(现场可编程门阵列)和/或至少一个dsp(数字信号处理器)。计算单元可以可自由编程地设计。此外,可以提供程序代码,其设立成在执行方法步骤时执行根据本发明的方法的一个实施方式的方法步骤。程序代码可以存储在至少一个数据存储器中,计算单元和/或网络处理器可以与所述数据存储器耦合。
29.本发明还提供一种具有数据网络的机动车,在该数据网络中多个网络分支经由根据本发明的监测装置的实施方式互连。根据本发明的机动车优选地设计为机动车、尤其乘用车或载货车,或公共汽车或摩托车。
30.本发明还包括所描述的实施方式的特征的组合。因此,本发明还包括分别具有多
个所述实施方式的特征的组合的实现方案,只要这些实施方式没有被描述为互斥的。
附图说明
31.下面描述本发明的实施例。其中:图1示出了根据本发明的机动车的示意性实施方式;图2示出了用于阐明tcam的简图,该tcam将命中信号发送给计数器;以及图3示出了读取存储器的示意图,tcam可以经由该读取存储器与微处理器耦合。
具体实施方式
32.下面阐释的实施例是本发明的优选实施方式。在这些实施例中,实施方式的所描述的部分分别是本发明的应彼此独立考虑的各个特征,所述特征分别也彼此独立地改进本发明。因此,本公开也应包括不同于实施方式的所阐述的特征组合的其他特征组合。此外,所描述的实施方式还可以通过本发明的已经描述的其他特征来补充。
33.在图中,相同的附图标记分别表示功能相同的元件。
34.图1示出了机动车10,该机动车可以是汽车、例如乘用车或载货车。在机动车10中可以提供数据网络11,该数据网络可以例如是以太网网络。用于数据通信或数据交换的控制器12,13可以经由数据网络11彼此耦合。为了将数据网络11的多个网络分支14彼此互连,可以提供交换装置15。每个网络分支14的相应网络线缆在此能够以本身已知的方式联接到交换装置15的相应端口16,17处。图1示例性地示出控制器12如何可以将数据包18发送到控制器13处。在此,交换装置15可以在端口16(控制器12的网络分支14联接到其处)处接收数据包18,并且从交换装置15的多个端口(还可能的其他端口未示出)中选择与控制器13的网络分支14联接的端口17,从而可以在该网络分支14中以及尤其仅在该网络分支14中传送数据包18。数据包18通常可以通过交换装置15尤其仅传送给控制器13所在的那些网络分支或那个网络分支,数据包18以本身已知的方式、例如经由所谓的ip地址和/或mac地址定址到该控制器处。
35.为了在交换装置15中将接收到的数据包18传送给正确的端口17、即目标端口19,可以在交换装置15中设置交换电路20(也称为交换引擎),所述交换电路能够以本身已知的方式设计。交换电路20可以通过网络处理器21控制。为了确定应在交换电路20中将哪个目标端口19设定用于接收到的数据包18,可以设置关联存储器22、尤其tcam。在关联存储器22中,相应的可能的数据模式23可以配属有输出数据24。数据或其数据内容可以例如通过网络处理器21从数据包18中在接收到的数据包18的预设的选择位置处来读取并且合并成输入数据25,所述输入数据可以被递交给关联存储器22。如果输入数据25包括数据模式23中的一个数据模式,则关联存储器22可以将相应的输出数据24作为目标端口数据26输出。例如,依据目标端口数据26,网络处理器21可以在交换电路20中设定或选择相应的目标端口19。
36.关联存储器可以集成在网络处理器中或不同于网络处理器。可以设置成,关联存储器22与交换电路20连接,使得目标端口数据26可以直接、即在没有网络处理器21的情况下由交换电路20评价,以选择目标端口19。
37.在机动车10中,借助于交换装置15也可以实现ids(针对软件错误和/或恶意软件
的入侵探测系统),即可以识别在数据网络11中控制器12,13(在此示例性地仅示出两个控制器)中的一个控制器是否被操纵或被数据病毒感染并且/或者未授权的设备是否联接在数据网络11处并经由交换装置15发送至少一个数据包。
38.为此,关联存储器22同样可以在交换装置15中使用,而该关联存储器不必具有附加功能。
39.为此,网络处理器21可以准备好至少一个位置数据项28,在该位置数据项中可以分别说明监测位置,所述监测位置可以对于接收到的数据包18中的比特或至少一个字节说明如下比特位置或字节位置,接收到的数据包18的数据或数据内容应在所述比特位置或字节位置处被读取。这产生被读取的探测数据31。这些探测数据31可用于产生用于监测数据网络11的输入数据25。在此之前,可以将至少一个运算31'应用于探测数据31,以便形成用于关联存储器22的输入数据25,但探测数据31也可以直接作为输入数据25来提供。输入数据25可以被馈入到关联存储器22中,以便针对至少一个数据模式23进行检查。如果数据模式23中的一个数据模式适用,则相应的输出数据24通过关联存储器22输出。但这些输出数据24然后是命中信号27'的命中数据27,所述命中数据可以分别与相应的数据模式23相配属并表示为命中信号。
40.每当用于监测数据网络的输入数据25触发关联存储器22中的命中信号时,可以更新由计数器c和时间戳t构成的相应的元组ct。针对相应的命中信号或其组合,可以分别提供元组ct,这在图1中示例性地阐明了七个计数器c0至c6和用于时间戳t0至t6的相关存储器,其中,数量在此示例性地选择。通过微处理器29,可以针对各个元组ct(即计数器c和时间戳t的相应组合)从读取存储器30中读取计数器c和时间戳t的相应的值以及这样的数据包18的同样存储在读取存储器30中的至少一部分,其为计数器c在时间戳或时间戳t的时间点的最后一个增量提供或引起触发信号或命中信号。为此,相应元组ct的相应最后一个数据包18也可以一同存储在读取存储器30中。
41.通过微处理器29那么可以借助于校准例程32来检查一定数量的命中信号(如在相应计数器c0至c6中针对相应数据模式23以及针对与相关时间戳t0至t6相应的描述按照规定的或针对控制器12编程的数据流量(在数据网络11的未被操纵状态下)的发送计划数据33存储的命中信号)是否满足一致性标准34。如果不满足一致性标准34,即如果在来自读取存储器30的分析数据30'与发送计划数据33之间产生偏差,则可以通过微处理器29触发或启动防御例程35。例如,可以限制机动车的功能范围和/或可以将信号发送给机动车的用户,以便告知该用户机动车10必须在车间进行检查。
42.图2阐明了在关联存储器22中数据模式23如何可以设置为相应的条目tcam_0至tcam_2^n-1,其中,2^n-1表示2的幂是总体上设置的条目的数量。例如,n可以是在0至10范围内的整数。如果借助于关联存储器22来过滤输入数据25,则可发生数据模式23中的一个数据模式与输入数据25的一致,接着作为命中数据27产生相关命中信号27'。每个数据模式23可以配属有计数器c中的一个计数器,该计数器通过相应的命中信号27'产生增量,使得计数器读数或计数器值c_0到c_2^n-1产生增量。附加地,针对最后接收到的数据包18(其最后触发命中信号27'),可以将接收物或命中信号27'的相关时间戳t存储为时间值t_0到t_2^n-1。图2示出了两个条目36的数据模式23也可以通过同一计数器c作为计数器值c_1(示例性)评价。由此,还可以在数据网络11中识别出被操纵的数据流量的分布到多个数据模式23
上的操纵。
43.图3示出了在读取存储器30中如何可以仅针对来自关联存储器22'的最后触发的命中信号27'存储相关数据包18和计数器c的计数器值以及时间戳t,其然后可以由微处理器29作为分析数据30'读取。由此,针对分析数据30'的一个条目仅需要单个读取存储器30,微处理器29然后可以在每个命中信号27'中串行地读取分析数据30'的更新内容。
44.为了分析数据流量,可以是有利的是,具有时间说明信息和/或统计评价,以便识别与机动车10的控制器的发送方案的偏差。这样的偏差是针对涉及机动车10和/或其数据网络11的可能的操纵或攻击的指示。利用所述方式可以提高探测的效率,其方式为,在关联存储器22中识别用于产生涉及控制器12,12的发送方案的可能偏差的命中信号27'的附加的数据模式。在此,主要构思在于,扩展交换装置15的现有的关联存储器22,而在此不必重新构建或开发关联存储器22本身。为此,将关联存储器、尤其tcam过滤器与至少一个计数器和用于时间戳的相关寄存器组合。这意味着,基于tcam的硬件不仅用于探测或选择目标端口,而且基于tcam的硬件也可用于产生涉及数据流量的统计数据。如果tcam过滤规则产生命中,即识别数据模式并产生相关命中信号,则可以使相关计数器的计数器值产生增量,并且可以将该事件的时间戳存储在时间戳的相关寄存器中。由计数器值和时间戳构成的元组可以由微处理器作为计算节点读取,为此进行所谓的原子访问(独占访问或在计算机的节拍周期内的访问)。作为扩展方案,还可以针对过滤规则设置成,数据包本身(即例如以太网帧)同样作为分析数据的一部分提供,即与由计数器值和时间戳构成的元组一起提供,或传输给微处理器。也可以将导致探测的数据模式23和/或说明哪个计数器值与哪个命中信号相关联或相组合的说明信息一同作为分析数据的一部分提供。
45.通过能够规定或控制用于tcam的数据模式或一般而言过滤规则的可能性,也可以针对特定的机动车优化地或适配地规定数据模式,从而可以考虑可针对未被操纵的数据网络11预期的发送方案。通过经由读取存储器将数据包和计数器值以及时间戳传输给微处理器,可以进行针对数据网络的可能的操纵的后置分析或检查,而在此不必遵循数据网络的传输速度,即数据包在预定的最大允许的延迟时间内再次离开交换装置。在此,通过时间戳还是可以维持分析的准确性,因为过程的时间点仍然是已知的。
46.因此,本发明可以通过提供用于时间戳的一组计数器和寄存器来实现,这表示交换装置中的低附加耗费。如果tcam过滤规则触发命中信号,即在输入数据25中识别数据模式23,则针对多个数据模式适用的情况,数据模式的优先化可导致:仅一个命中信号27'导致相应的计数器值的增加。以所描述的方式,一个计数器也可以与多个不同的过滤规则或命中信号27'相配属。数据分析软件可以利用微处理器运行,其中,由计数器值和时间戳构成的元组的读取可以通过所谓的原子访问(在节拍周期内的访问)或借助于阴影缓冲器(schattenpuffer)进行。由此,可以避免计数器值和时间戳的相关性的意外偏差。
47.校准例程可以基于机器学习方法,例如人工神经网络或深度学习方法,由此还可以补偿控制器可以根据情况改变其发送方案。
48.总体上,示例示出了如何通过交换装置中的tcam和静态计数器提供用于ids的信息。
49.本发明因此总而言之尤其涉及以下方面:1. 一种用于监测机动车(10)的控制器(12,13)之间的数据流量的方法,其中,所
述控制器(12,13)经由具有交换装置(15)的数据网络(11)连接,在所述交换装置中,用于接收和发送数据包(18)的物理端口(16,17)经由交换电路(20)互连,并且在所述方法中,使经由所述端口(16,17)中的一个端口接收到的相应的数据包(18)通过网络处理器(21)借助于关联存储器(22)配属目标端口数据(26),并且根据所述目标端口数据(26)选择所述端口(16,17)中的至少一个作为相应的目标端口(19),并且通过所述交换电路(20)将接收到的数据包(18)导引到所述至少一个目标端口(19)处,其特征在于,将待监测的和/或待探测的包类型和/或待监测的数据内容的至少一个预定的数据模式(23)存储在所述关联存储器(22)中,从而在输入数据(25)包含相应的数据模式(23)的情况下响应于输入数据(25)通过所述关联存储器(22)产生相配属的命中信号(27),并且所述网络处理器(21)在所述数据包(18)的预定的监测位置处从接收到的数据包(18)中读取探测数据(31),并且从所述探测数据(31)中形成用于所述关联存储器(22)的输入数据(25),并且通过将所述输入数据(25)输入到所述关联存储器(22)中来检查是否产生命中信号(27),并且提供至少一个计数器(c),在所述计数器中通过相应的计数器值来说明针对至少一个预定的数据模式(23)多少次产生命中信号(27),并且将相应的计数器值和所述计数器值最后增加所经由的相应最后一个数据包(18)作为读取存储器(30)中的分析数据(30')提供,微处理器(29)经由数据接口读取相应当前的分析数据(30'),并且依据描述所述控制器(12,13)的按照规定的发送方案的发送计划数据(33)借助于预定的校准例程(32)来识别所述分析数据(30')偏离于所述发送方案,并且在这种情况下触发预定的防御例程(35)。
50.2. 根据方面1所述的方法,其中,针对所述至少一个计数器(c)中的每个计数器,除了所述计数器值之外还存储所述计数器值的相应最后一次增加的时间戳(t)并且将其作为所述读取存储器(30)中的分析数据(30')的一部分提供。
51.3. 根据方面1所述的方法,其中,至少一个计数器(c)对针对至少两个数据模式的命中信号(27)进行计数。
52.4. 根据前述方面中任一项所述的方法,其中,如果满足预定的重置条件,则通过所述网络处理器(21)和/或所述微处理器(29)重置所述至少一个计数器(c)的相应的计数器值。
53.5. 根据前述方面中任一项所述的方法,其中,为不同的监测位置提供多个数据项,并且通过所述网络处理器(21)依据所述数据包(18)确定相应的数据包(18)的包特性,并且根据所述包特性从所述数据项中选择一个数据项,并且在通过所选择的数据项(28)说明的监测位置处读取所述探测数据(31)。
54.6. 根据方面5所述的方法,其中,所述包特性说明协议类型和/或包类型和/或数据内容。
55.7. 根据前述方面中任一项所述的方法,其中,所述监测位置描述所述数据包(18)的不相交的数据字段。
56.8. 根据前述方面中任一项所述的方法,其中,所述输入数据(25)的形成包括借助
于移位运算重新排列所述探测数据(31)和/或借助于至少一个组合规则组合所述探测数据。
57.9. 用于机动车(10)的数据网络(11)的交换装置(15),其中,所述交换装置(15)具有网络处理器(21)和关联存储器(22)和微处理器(29),它们一起设立成执行根据前述方面中任一项所述的方法。
58.10. 具有数据网络(11)的机动车(10),在所述数据网络中多个网络分支经由根据方面9所述的交换装置(15)互连。