2. 专利查询
  3. 一种CAN总线入侵检测方法及装置与流程

一种CAN总线入侵检测方法及装置与流程

专利查询10月前  56

一种can总线入侵检测方法及装置
技术领域
1.本技术涉及通信技术领域,具体而言,涉及一种can总线入侵检测方法及装置。


背景技术:

2.can网络是明文传输,广播报文。在车内电子空置单元的内部通信中,一些重要的消息会选择使用secoc加密,例如,辅助驾驶系统,如果遭受攻击可能干扰用户的驾驶。现有的can总线入侵检测方法中,通常先收集车内正常的报文信号,分别从can协议数据包的id域和数据载荷中提取特征,将提取到的两种特征分别输入两个不同结构的神经网络中进行训练,得到两个不同的判别器来协同地检测系统异常。然而在实践中发现,现有方法需要深度了解can报文中内容的含义,而不同供应商和不同车厂,所定义的can报文内容完全不同,所以又一次加大了实现难度,同时,现有技术无法对加密数据进行入侵检测。可见,现有方法实现难度高,适用性差,同时无法对加密数据进行入侵检测。


技术实现要素:

3.本技术实施例的目的在于提供一种can总线入侵检测方法及装置,能够对加密数据进行入侵检测,实现难度低,适用性好。
4.本技术实施例第一方面提供了一种can总线入侵检测方法,包括:
5.获取can总线中的目标加密报文;
6.对所述目标加密报文进行基于无效字段的入侵检测,得到第一检测结果;
7.对所述目标加密报文进行基于相同报文的入侵检测,得到第二检测结果;
8.对所述目标加密报文进行基于报文周期的入侵检测,得到第三检测结果;
9.对所述目标加密报文进行基于负载率的入侵检测,得到第四检测结果;
10.根据所述第一检测结果、所述第二检测结果、所述第三检测结果以及所述第四检测结果生成告警信息并进行告警。
11.在上述实现过程中,先获取can总线中的目标加密报文;然后对目标加密报文进行基于无效字段的入侵检测,得到第一检测结果;以及对目标加密报文进行基于相同报文的入侵检测,得到第二检测结果;以及对目标加密报文进行基于报文周期的入侵检测,得到第三检测结果;以及对目标加密报文进行基于负载率的入侵检测,得到第四检测结果;最后根据第一检测结果、第二检测结果、第三检测结果以及第四检测结果生成告警信息并进行告警能够对加密数据进行入侵检测,实现难度低,适用性好。
12.进一步地,所述对所述目标加密报文进行基于无效字段的入侵检测,得到第一检测结果,包括:
13.计算每个所述目标加密报文的消息字段值;
14.从所有所述目标加密报文中确定所述消息字段值不符合预设加密标准的报文的目标数量;
15.判断所述目标数量是否超过预设数量阈值;
16.如果是,则确定第一检测结果为存在泛洪攻击。
17.进一步地,所述对所述目标加密报文进行基于相同报文的入侵检测,得到第二检测结果,包括:
18.获取预存的过去消息列表;
19.根据所述过去消息列表确定每个所述目标加密报文在预设时间段内的发送频率;
20.判断所有所述目标加密报文中是否存在有所述发送频率超过预设发送频率阈值的目标报文;
21.如果是,则抛弃所述目标报文,并确定第二检测结果为存在入侵攻击。
22.进一步地,所述对所述目标加密报文进行基于报文周期的入侵检测,得到第三检测结果,包括:
23.检测每个所述目标加密报文在第一预设单位时间段内的报文数量;
24.根据所述报文数量确定每个所述目标加密报文的报文周期;
25.从预设的报文周期库中确定每个所述目标加密报文的标准周期;
26.从所有所述目标加密报文中确定出报文周期与所述标准周期不同的报文,得到攻击报文;
27.生成包括所述攻击报文的第三检测结果。
28.进一步地,所述对所述目标加密报文进行基于负载率的入侵检测,得到第四检测结果,包括:
29.根据所述目标加密报文计算第二预设单位时间段内所述can总线的负载率;
30.判断所述负载率是否超过预设负载率阈值;
31.如果超过,则确定第四检测结果为存在入侵攻击。
32.进一步地,所述方法还包括:
33.当判断出所述负载率超过所述预设负载率阈值时,从所有所述目标加密报文中确定不符合预设加密标准的第一通信报文,并抛弃所述第一通信报文;
34.根据预设的过去消息列表从所有所述目标加密报文中确定超过预设发送频率阈值的第二通信报文,并抛弃所述第二通信报文。
35.进一步地,所述根据所述第一检测结果、所述第二检测结果、所述第三检测结果以及所述第四检测结果生成告警信息并进行告警,包括:
36.根据所述第一检测结果、所述第二检测结果、所述第三检测结果以及所述第四检测结果,判断是否存在入侵攻击;
37.如果是,则生成入侵攻击的告警信息,并根据所述告警信息向车内电子单元进行告警。
38.本技术实施例第二方面提供了一种can总线入侵检测装置,所述can总线入侵检测装置包括:
39.获取单元,用于获取can总线中的目标加密报文;
40.第一检测单元,用于对所述目标加密报文进行基于无效字段的入侵检测,得到第一检测结果;
41.第二检测单元,用于对所述目标加密报文进行基于相同报文的入侵检测,得到第二检测结果;
42.第三检测单元,用于对所述目标加密报文进行基于报文周期的入侵检测,得到第三检测结果;
43.第四检测单元,用于对所述目标加密报文进行基于负载率的入侵检测,得到第四检测结果;
44.告警单元,用于根据所述第一检测结果、所述第二检测结果、所述第三检测结果以及所述第四检测结果生成告警信息并进行告警。
45.在上述实现过程中,获取单元先获取can总线中的目标加密报文;然后第一检测单元对目标加密报文进行基于无效字段的入侵检测,得到第一检测结果;以及第二检测单元对目标加密报文进行基于相同报文的入侵检测,得到第二检测结果;以及第三检测单元对目标加密报文进行基于报文周期的入侵检测,得到第三检测结果;以及第四检测单元对目标加密报文进行基于负载率的入侵检测,得到第四检测结果;最后告警单元根据第一检测结果、第二检测结果、第三检测结果以及第四检测结果生成告警信息并进行告警能够对加密数据进行入侵检测,实现难度低,适用性好。
46.本技术实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本技术实施例第一方面中任一项所述的can总线入侵检测方法。
47.本技术实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本技术实施例第一方面中任一项所述的can总线入侵检测方法。
附图说明
48.为了更清楚地说明本技术实施例的技术方案,下面将对本技术实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
49.图1为本技术实施例提供的一种can总线入侵检测方法的流程示意图;
50.图2为本技术实施例提供的一种can总线入侵检测装置的结构示意图;
51.图3是本技术实施例提供一种can总线入侵检测装置嵌入车内ecu的结构示意图。
具体实施方式
52.下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行描述。
53.应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本技术的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
54.实施例1
55.请参看图1,图1为本技术实施例提供了一种can总线入侵检测方法的流程示意图。其中,该can总线入侵检测方法包括:
56.s101、获取can总线中的目标加密报文。
57.本技术实施例中,该方法的执行主体为入侵检测设备,对此本实施例中不作任何
限定。
58.本技术实施例中,该方法应用于secoc认证加密场景下的入侵检测。
59.本技术实施例中,目标加密报文为secoc报文。
60.本技术实施例中,secoc(security onboard communication,板端加密通讯),autosar标准中提出的针对ecu间通信安全提出的标准。
61.本技术实施例中,入侵检测设备可以包括数据嗅探装置和can总线入侵检测装置,通过数据嗅探装置嗅探can总线中的secoc报文,并传递给can总线入侵检测装置进行入侵检测,然后输出警报。
62.s102、对目标加密报文进行基于无效字段的入侵检测,得到第一检测结果。
63.本技术实施例中,基于无效字段的入侵检测,即通过检测无效mac来判定是否存在入侵。可以通过带有secoc功能的车内电子单元节点,同步车内ecu的密钥,从而可以实时计算mac值。
64.作为一种可选的实施方式,对目标加密报文进行基于无效字段的入侵检测,得到第一检测结果,包括:
65.计算每个目标加密报文的消息字段值;
66.从所有目标加密报文中确定消息字段值不符合预设加密标准的报文的目标数量;
67.判断目标数量是否超过预设数量阈值;
68.如果是,则确定第一检测结果为存在泛洪攻击。
69.在上述实施方式中,消息字段值具体为消息认证码,即message authentication code,简称mac值,用于进行消息认证,证明消息的真实性,如消息确实来源于所声称的sender;以及保护消息数据的完整性,拥有密钥的receiver(或verifier)可发现对消息内容的任何篡改。
70.上述实施方式中,通过对目标加密报文的过滤检测,计算每一条目标加密报文的mac值,当带有无效mac值的报文消息数量达到预设数量阈值(预设数量阈值的确定可以由客户定义也可自定义),一旦检测到,会警告网络中的其他节点有泛洪攻击。
71.在上述实施方式中,当判断出目标数量不超过预设数量阈值时,则可以确定第一检测结果为不存在泛洪攻击。
72.本技术实施例中,攻击者可能会采用猜测模式,使用泛洪攻击来猜测正确的mac值,基于无效字段的入侵检测能够检测是否受到泛洪攻击。
73.s103、对目标加密报文进行基于相同报文的入侵检测,得到第二检测结果。
74.本技术实施例中,基于相同报文的入侵检测可以检测相同报文以判定是否存在入侵。
75.作为一种可选的实施方式,对目标加密报文进行基于相同报文的入侵检测,得到第二检测结果,包括:
76.获取预存的过去消息列表;
77.根据过去消息列表确定每个目标加密报文在预设时间段内的发送频率;
78.判断所有目标加密报文中是否存在有发送频率超过预设发送频率阈值的目标报文;
79.如果是,则抛弃目标报文,并确定第二检测结果为存在入侵攻击。
80.上述实施方式中,假设攻击者捕捉到了带有正确mac值的can报文,就能够用捕捉到的一条或者多条攻击报文向can总线发送,尝试获得相应响应,从而进行入侵攻击。通过步骤s103能够针对这种入侵攻击进行检测。
81.在上述实施方式中,预先设置过去消息列表,为每一条验证成功的can报文设计消息计数器。在检测时,如果某一目标报文在预设时间段内的发送频率超过预设发送频率阈值(预设发送频率阈值可以由客户定义或者自定义),则会抛弃此条目标报文,并且向其他的车内电子单元告警。
82.在上述实施方式中,当判断出不存在有发送频率超过预设发送频率阈值的目标报文时,则可以确定第二检测结果为不存在入侵攻击。
83.在步骤s103之后,还包括以下步骤:
84.s104、对目标加密报文进行基于报文周期的入侵检测,得到第三检测结果。
85.本技术实施例中,基于报文周期的入侵检测可以通过周期检测以判定是否存在入侵。
86.作为一种可选的实施方式,对目标加密报文进行基于报文周期的入侵检测,得到第三检测结果,包括:
87.检测每个目标加密报文在第一预设单位时间段内的报文数量;
88.根据报文数量确定每个目标加密报文的报文周期;
89.从预设的报文周期库中确定每个目标加密报文的标准周期;
90.从所有目标加密报文中确定出报文周期与标准周期不同的报文,得到攻击报文;
91.生成包括攻击报文的第三检测结果。
92.在上述实施方式中,预存有报文周期库,报文周期库包括其每条报文的标准周期。
93.在上述实施方式中,可以检测每条目标加密报文在第一预设单位时间段内的报文数量,从而计算该目标加密报文的报文周期,然后同报文周期库中该报文的标准周期进行比对,如果不相同,则会识别为攻击报文,同时还可以向其他的车内电子单元告警。
94.在上述实施方式中,当不存在报文周期与标准周期不同的报文时,则可以确定第三检测结果为不存在入侵攻击。
95.s105、对目标加密报文进行基于负载率的入侵检测,得到第四检测结果。
96.本技术实施例中,基于负载率的入侵检测能够通过检测负载率以判定是否存在入侵。
97.作为一种可选的实施方式,对目标加密报文进行基于负载率的入侵检测,得到第四检测结果,包括:
98.根据目标加密报文计算第二预设单位时间段内can总线的负载率;
99.判断负载率是否超过预设负载率阈值;
100.如果超过,则确定第四检测结果为存在入侵攻击。
101.在上述实施方式中,车内电子单元能够通过故障模式以应对大量带有错误mac值或者正确mac值的报文的负载攻击,假设攻击者制造拒绝服务攻击,例如制造大量带有错误mac值或者正确mac值的报文发送到can总线,车内电子单元节点可能会触发故障模式。根据该原理,可以在第二预设单位时间段内计算can总线的负载率。
102.在上述实施方式中,计算can总线的负载率的公式为:
103.总线负载率=(第二预设单位时间段的数量*帧总长)/(波特率*单位时间*100%)。
104.在上述实施方式中,当判断出不超过预设负载率阈值时,则确定第四检测结果为不存在入侵攻击,可以接受具有带有无效mac值的can报文。
105.作为进一步可选的实施方式,当判断出负载率超过预设负载率阈值时,还包括以下步骤:
106.从所有目标加密报文中确定不符合预设加密标准的第一通信报文,并抛弃第一通信报文;
107.根据预设的过去消息列表从所有目标加密报文中确定超过预设发送频率阈值的第二通信报文,并抛弃第二通信报文。
108.在上述实施方式中,如果负载率超过预设负载率阈值,首先计算mac值,将带有错误mac值的目标加密报文抛弃,其次,根据预设的过去消息列表将超过预设发送频率阈值的第二通信报文抛弃。
109.本技术实施例中,步骤s102、步骤s103、步骤s104、步骤s105可以以并行的方式同时进行入侵检测,也可以以串行的方式进行入侵检测,以串行的方式进行入侵检测时,其检测步骤顺序可以任意先后组合,本技术仅给出其中一种执行顺序。
110.在步骤s105之后,还包括以下步骤:
111.s106、根据第一检测结果、第二检测结果、第三检测结果以及第四检测结果,判断是否存在入侵攻击,如果是,执行步骤s107;如果否,结束本流程。
112.s107、生成入侵攻击的告警信息,并根据告警信息向车内电子单元进行告警。
113.本技术实施例中,实施上述步骤s106~步骤s107,能够根据第一检测结果、第二检测结果、第三检测结果以及第四检测结果生成告警信息并进行告警。
114.本技术实施例中,相比于深度学习算法框架下的检测方法,本方法能够通过四种检测方法进行并行或者串行入侵检测,从而得到第一检测结果、第二检测结果、第三检测结果以及第四检测结果,该四种检测方法全部基于secoc标准协议提出,无需大量训练数据进行比对。
115.本技术实施例中,该方法能够检测黑客对secoc报文的攻击,该四种检测方法分别为:对目标加密报文进行基于无效字段的入侵检测、对目标加密报文进行基于相同报文的入侵检测、对目标加密报文进行基于报文周期的入侵检测以及对目标加密报文进行基于负载率的入侵检测。
116.可见,实施本实施例所描述的can总线入侵检测方法,能够对加密数据进行入侵检测,实现难度低,适用性好。
117.实施例2
118.请参看图2,图2为本技术实施例提供的一种can总线入侵检测装置的结构示意图。如图2所示,该can总线入侵检测装置包括:
119.获取单元210,用于获取can总线中的目标加密报文;
120.第一检测单元220,用于对目标加密报文进行基于无效字段的入侵检测,得到第一检测结果;
121.第二检测单元230,用于对目标加密报文进行基于相同报文的入侵检测,得到第二
检测结果;
122.第三检测单元240,用于对目标加密报文进行基于报文周期的入侵检测,得到第三检测结果;
123.第四检测单元250,用于对目标加密报文进行基于负载率的入侵检测,得到第四检测结果;
124.告警单元260,用于根据第一检测结果、第二检测结果、第三检测结果以及第四检测结果生成告警信息并进行告警。
125.作为进一步可选的实施方式,第一检测单元220包括:
126.第一计算子单元221,用于计算每个目标加密报文的消息字段值;
127.第一确定子单元222,用于从所有目标加密报文中确定消息字段值不符合预设加密标准的报文的目标数量;
128.第一判断子单元223,用于判断目标数量是否超过预设数量阈值;
129.第一确定子单元222,还用于当判断出超过预设数量阈值时,则确定第一检测结果为存在泛洪攻击。
130.作为进一步可选的实施方式,第二检测单元230包括:
131.获取子单元231,用于获取预存的过去消息列表;
132.第二确定子单元232,用于根据过去消息列表确定每个目标加密报文在预设时间段内的发送频率;
133.第二判断子单元233,用于判断所有目标加密报文中是否存在有发送频率超过预设发送频率阈值的目标报文;
134.第二确定子单元232,还用于当判断出存在有发送频率超过预设发送频率阈值的目标报文,则抛弃目标报文,并确定第二检测结果为存在入侵攻击。
135.作为进一步可选的实施方式,第三检测单元240包括:
136.检测子单元241,用于检测每个目标加密报文在第一预设单位时间段内的报文数量;
137.第三确定子单元242,用于根据报文数量确定每个目标加密报文的报文周期;以及从预设的报文周期库中确定每个目标加密报文的标准周期;以及从所有目标加密报文中确定出报文周期与标准周期不同的报文,得到攻击报文;
138.生成子单元243,用于生成包括攻击报文的第三检测结果。
139.作为进一步可选的实施方式,第四检测单元250包括:
140.第二计算子单元251,用于根据目标加密报文计算第二预设单位时间段内can总线的负载率;
141.第三判断子单元252,用于判断负载率是否超过预设负载率阈值;
142.第四确定子单元253,用于当判断出超过预设负载率阈值时,则确定第四检测结果为存在入侵攻击。
143.作为进一步可选的实施方式,第四确定子单元253,还用于当判断出负载率超过预设负载率阈值时,从所有目标加密报文中确定不符合预设加密标准的第一通信报文,并抛弃第一通信报文;以及根据预设的过去消息列表从所有目标加密报文中确定超过预设发送频率阈值的第二通信报文,并抛弃第二通信报文。
144.作为进一步可选的实施方式,告警单元260包括:
145.第四判断子单元261,用于根据第一检测结果、第二检测结果、第三检测结果以及第四检测结果,判断是否存在入侵攻击;
146.告警子单元262,用于当判断出存在入侵攻击时,则生成入侵攻击的告警信息,并根据告警信息向车内电子单元进行告警。
147.请一并参阅图3,图3是本技术实施例提供一种can总线入侵检测装置嵌入车内ecu的结构示意图。如图3所示,can总线入侵检测装置可嵌入车内网关或者其他车内电子单元节点。
148.本技术实施例中,对于can总线入侵检测装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
149.可见,实施本实施例所描述的can总线入侵检测装置,能够对加密数据进行入侵检测,实现难度低,适用性好。
150.本技术实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本技术实施例1中任一项can总线入侵检测方法。
151.本技术实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本技术实施例1中任一项can总线入侵检测方法。
152.在本技术所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
153.另外,在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
154.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-only memory)、随机存取存储器(ram,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
155.以上所述仅为本技术的实施例而已,并不用于限制本技术的保护范围,对于本领域的技术人员来说,本技术可以有各种更改和变化。凡在本技术的精神和原则之内,所作的
任何修改、等同替换、改进等,均应包含在本技术的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
156.以上所述,仅为本技术的具体实施方式,但本技术的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本技术揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本技术的保护范围之内。因此,本技术的保护范围应所述以权利要求的保护范围为准。
157.需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

技术特征:
1.一种can总线入侵检测方法,其特征在于,包括:获取can总线中的目标加密报文;对所述目标加密报文进行基于无效字段的入侵检测,得到第一检测结果;对所述目标加密报文进行基于相同报文的入侵检测,得到第二检测结果;对所述目标加密报文进行基于报文周期的入侵检测,得到第三检测结果;对所述目标加密报文进行基于负载率的入侵检测,得到第四检测结果;根据所述第一检测结果、所述第二检测结果、所述第三检测结果以及所述第四检测结果生成告警信息并进行告警。2.根据权利要求1所述的can总线入侵检测方法,其特征在于,所述对所述目标加密报文进行基于无效字段的入侵检测,得到第一检测结果,包括:计算每个所述目标加密报文的消息字段值;从所有所述目标加密报文中确定所述消息字段值不符合预设加密标准的报文的目标数量;判断所述目标数量是否超过预设数量阈值;如果是,则确定第一检测结果为存在泛洪攻击。3.根据权利要求1所述的can总线入侵检测方法,其特征在于,所述对所述目标加密报文进行基于相同报文的入侵检测,得到第二检测结果,包括:获取预存的过去消息列表;根据所述过去消息列表确定每个所述目标加密报文在预设时间段内的发送频率;判断所有所述目标加密报文中是否存在有所述发送频率超过预设发送频率阈值的目标报文;如果是,则抛弃所述目标报文,并确定第二检测结果为存在入侵攻击。4.根据权利要求1所述的can总线入侵检测方法,其特征在于,所述对所述目标加密报文进行基于报文周期的入侵检测,得到第三检测结果,包括:检测每个所述目标加密报文在第一预设单位时间段内的报文数量;根据所述报文数量确定每个所述目标加密报文的报文周期;从预设的报文周期库中确定每个所述目标加密报文的标准周期;从所有所述目标加密报文中确定出报文周期与所述标准周期不同的报文,得到攻击报文;生成包括所述攻击报文的第三检测结果。5.根据权利要求1所述的can总线入侵检测方法,其特征在于,所述对所述目标加密报文进行基于负载率的入侵检测,得到第四检测结果,包括:根据所述目标加密报文计算第二预设单位时间段内所述can总线的负载率;判断所述负载率是否超过预设负载率阈值;如果超过,则确定第四检测结果为存在入侵攻击。6.根据权利要求5所述的can总线入侵检测方法,其特征在于,所述方法还包括:当判断出所述负载率超过所述预设负载率阈值时,从所有所述目标加密报文中确定不符合预设加密标准的第一通信报文,并抛弃所述第一通信报文;根据预设的过去消息列表从所有所述目标加密报文中确定超过预设发送频率阈值的
第二通信报文,并抛弃所述第二通信报文。7.根据权利要求1所述的can总线入侵检测方法,其特征在于,所述根据所述第一检测结果、所述第二检测结果、所述第三检测结果以及所述第四检测结果生成告警信息并进行告警,包括:根据所述第一检测结果、所述第二检测结果、所述第三检测结果以及所述第四检测结果,判断是否存在入侵攻击;如果是,则生成入侵攻击的告警信息,并根据所述告警信息向车内电子单元进行告警。8.一种can总线入侵检测装置,其特征在于,所述can总线入侵检测装置包括:获取单元,用于获取can总线中的目标加密报文;第一检测单元,用于对所述目标加密报文进行基于无效字段的入侵检测,得到第一检测结果;第二检测单元,用于对所述目标加密报文进行基于相同报文的入侵检测,得到第二检测结果;第三检测单元,用于对所述目标加密报文进行基于报文周期的入侵检测,得到第三检测结果;第四检测单元,用于对所述目标加密报文进行基于负载率的入侵检测,得到第四检测结果;告警单元,用于根据所述第一检测结果、所述第二检测结果、所述第三检测结果以及所述第四检测结果生成告警信息并进行告警。9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至7中任一项所述的can总线入侵检测方法。10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至7任一项所述的can总线入侵检测方法。

技术总结
本申请实施例提供一种CAN总线入侵检测方法及装置,涉及通信技术领域,该CAN总线入侵检测方法包括:先获取CAN总线中的目标加密报文;然后对目标加密报文进行基于无效字段的入侵检测,得到第一检测结果;以及对目标加密报文进行基于相同报文的入侵检测,得到第二检测结果;以及对目标加密报文进行基于报文周期的入侵检测,得到第三检测结果;以及对目标加密报文进行基于负载率的入侵检测,得到第四检测结果;最后根据第一检测结果、第二检测结果、第三检测结果以及第四检测结果生成告警信息并进行告警能够对加密数据进行入侵检测,实现难度低,适用性好。适用性好。适用性好。


技术研发人员:穆可心 杨威 陈强
受保护的技术使用者:北京天融信科技有限公司 北京天融信软件有限公司
技术研发日:2021.12.02
技术公布日:2022/3/8

专利

最新回复(0)