CN112953723A - 一种车载入侵检测方法及装置 - Google Patents

一种车载入侵检测方法及装置 Download PDF

Info

Publication number
CN112953723A
CN112953723A CN202110181127.8A CN202110181127A CN112953723A CN 112953723 A CN112953723 A CN 112953723A CN 202110181127 A CN202110181127 A CN 202110181127A CN 112953723 A CN112953723 A CN 112953723A
Authority
CN
China
Prior art keywords
message
time information
new
timestamp
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110181127.8A
Other languages
English (en)
Other versions
CN112953723B (zh
Inventor
徐国胜
徐国爱
郑凯玄
王浩宇
王晨宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN202110181127.8A priority Critical patent/CN112953723B/zh
Publication of CN112953723A publication Critical patent/CN112953723A/zh
Application granted granted Critical
Publication of CN112953723B publication Critical patent/CN112953723B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本说明书一个或多个实施例提供一种车载入侵检测方法及装置,包括接收新消息,提取新消息的新消息标识和新时间戳;根据新消息标识,查询时间信息队列,确定新消息标识对应的时间信息;根据新时间戳和时间信息,按照预设的检测条件,判断新消息是否为异常消息;当判断新消息为异常消息时,输出提示信息。本实施例能够对CAN总线上接收的消息进行轻量级的异常入侵检测,复杂度低,准确度高。

Description

一种车载入侵检测方法及装置
技术领域
本说明书一个或多个实施例涉及信息安全技术领域,尤其涉及一种车载入侵检测方法及装置。
背景技术
目前,车载网络基于CAN总线实现各电子控制单元(Electronic Control Unit,ECU)的数据通信,各电子控制单元通过向CAN总线发送车辆控制数据、车辆状态数据等数据,实现车载相关功能。随着车载网络的发展,车载网络所受到的安全风险加剧,对车载网络进行安全性检测是保证车辆安全行驶的关键技术。
发明内容
有鉴于此,本说明书一个或多个实施例的目的在于提出一种车载入侵检测方法及装置,能够实现车载入侵检测。
基于上述目的,本说明书一个或多个实施例提供了一种车载入侵检测方法,包括:
接收新消息,解析新消息的新消息标识和新时间戳;
根据所述新消息标识,查询预先构建的时间信息队列,确定新消息标识对应的时间信息;
根据所述新时间戳和所述时间信息,按照预设的检测条件,判断所述新消息是否为异常消息;
如果所述新消息为异常消息,输出提示信息。
可选的,所述接收新消息之前,还包括:
根据已接收消息,构建所述时间信息队列。
可选的,所述根据已接收消息,构建所述时间信息队列,包括:
解析已接收消息的消息标识和时间戳;
根据所述消息标识,查询所述时间信息队列,判断是否存在所述消息标识对应的时间信息;
如果不存在,以所述时间戳为所述消息标识对应的时间信息,将所述消息标识及其对应的时间信息添加在所述时间信息队列中;
如果已存在,判断所述消息标识对应的时间信息是否达到预设的数量阈值;如果未达到,根据所述时间戳更新所述时间信息队列中所述消息标识对应的时间信息;如果已达到,将所述消息标识对应的过期时间信息删除,根据所述时间戳更新所述时间信息队列中所述消息标识对应的时间信息。
可选的,所述如果不存在,以所述时间戳为所述消息标识对应的时间信息,将所述消息标识及其对应的时间信息添加在所述时间信息队列中之后,还包括:
输出提示信息。
可选的,所述时间信息包括距离当前时间最近的消息的时间戳;
所述如果未达到,根据所述时间戳更新所述时间信息队列中所述消息标识对应的时间信息,包括:
计算所述时间戳与所述距离当前时间最近的消息的时间戳之间的中间时间间隔;
删除所述距离当前时间最近的消息的时间戳;
将所述时间戳与所述中间时间间隔添加于所述时间信息队列中。
可选的,所述时间信息包括距离当前时间最近的消息的时间戳以及按时间顺序接收的数量为所述数量阈值的消息中,两两相邻消息之间的时间间隔;
将所述消息标识对应的过期时间信息删除,根据所述时间戳更新所述时间信息队列中所述消息标识对应的时间信息,包括:
将距离当前时间最远的两两相邻消息的时间间隔删除;
计算所述时间戳与所述距离当前时间最近的消息的时间戳之间的中间时间间隔;
删除所述距离当前时间最近的消息的时间戳;
将所述时间戳与所述中间时间间隔添加于所述时间信息队列中。
可选的,所述时间信息包括距离当前时间最近的消息的时间戳以及至少一个时间间隔,所述时间间隔是按照时间顺序接收的相邻两两消息之间的时间间隔;
根据所述新时间戳和所述时间信息,按照预设的检测条件,判断所述新消息是否为异常消息,包括:
计算所有时间间隔的间隔平均值;
计算所述新时间戳与所述距离当前时间最近的消息的时间戳之间的新时间间隔:
根据所述间隔平均值与所述新时间间隔之间的关系,判断所述新消息是否为异常消息。
可选的,根据所述间隔平均值与所述新时间间隔之间的关系,判断所述新消息是否为异常消息,包括:
设所述间隔平均值为t1,所述新时间间隔为t2,波动阈值为μ;当满足以下关系时,所述新消息为正常消息,否则为异常消息;
(1-μ)t1≤t2≤(1+μ)t1 (1)。
可选的,所述方法还包括:
检测消息的传输速率;
检测所述时间信息队列中消息标识及其对应的时间信息的活跃程度;
当判断所述传输速率大于预设的速率阈值,且所述活跃程度低于预设的活跃程度阈值时,输出提示信息。
本说明书实施例还提供一种车载入侵检测装置,包括:
解析模块,用于接收新消息,解析新消息的新消息标识和新时间戳;
查询模块,用于根据所述新消息标识,查询时间信息队列,确定新消息标识对应的时间信息;
判断模块,用于根据所述新时间戳和所述时间信息,按照预设的检测条件,判断所述新消息是否为异常消息;
输出模块,用于当判断所述新消息为异常消息时,输出提示信息。
从上面所述可以看出,本说明书一个或多个实施例提供的车载入侵检测方法及装置,通过接收新消息,提取新消息的新消息标识和新时间戳;根据新消息标识,查询时间信息队列,确定新消息标识对应的时间信息;根据新时间戳和时间信息,按照预设的检测条件,判断新消息是否为异常消息;当判断新消息为异常消息时,输出提示信息。本实施例能够对CAN总线上接收的消息进行轻量级的异常入侵检测,复杂度低,准确度高。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一些实施例的时间窗口示意图;
图2为本说明书一个或多个实施例的方法流程示意图;
图3为本说明书一个或多个实施例的时间信息队列示意图;
图4为本说明书一个或多个实施例的装置结构示意图;
图5为本说明书一个或多个实施例的电子设备结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术部分所述,当前车载网络所受到的安全风险加剧,攻击者可通过无线接入方式控制车载***或电子控制单元,也可以通过总线接入方式入侵车辆总线,两种方式均需通过CAN总线上的消息读写实现。
申请人在实现本公开的过程中发现,通过对CAN总线上的消息进行检测能够实现入侵检测功能。例如,基于机器学习算法预先训练用于识别异常消息的检测模型,能够实现入侵检测,但是实现复杂,对车载终端的性能要求较高,成本较高;按照时间顺序检测报文内容能够降低检测复杂度,但是准确性较低,误报率较高,结合图1所示,影响准确性的原因主要是,这种方法一般需要设定时间窗口,窗口大小无法统一,且同一消息标识的消息因发送频率、发送时间不同,可能划分在不同的时间窗口内,对每个时间窗口内的消息进行检测时,无法检测完整的消息,导致漏报或者误报。
以下,通过具体的实施例进一步详细说明本公开的技术方案。
如图2所示,本说明书一个或多个实施例提供一种车载入侵检测方法,包括:
S101:接收新消息,解析新消息的新消息标识和新时间戳;
本实施例中,在车载网络中,每个电子控制单元接入CAN总线,并按照预定频率向CAN总线发送预定消息,每个消息标识对应的消息具有一定的时间间隔。
本实施例中,当CAN总线上接收到新消息时,从新消息中解析出信息消息标识和新时间戳。其中,CAN总线上的消息按照预定的封装格式进行传输,消息包括消息标识、时间戳、消息内容等数据段,通过对消息进行解析可以获取消息的消息标识和时间戳等内容。
S102:根据新消息标识,查询预先构建的时间信息队列,确定新消息标识对应的时间信息;
本实施例中,根据新消息的新消息标识,查询已构建的时间信息队列,从时间信息队列中获取新消息标识所对应的时间信息。
一些实施例中,时间信息队列是根据CAN总线上已经接收的消息所构建的,时间信息队列中包括至少一条消息标识以及各消息标识所对应记录的时间信息,所记录的时间信息包括距离当前时间最近的消息的时间戳,如果消息数量已经大于一条,所记录的时间信息还包括按时间顺序接收的两两相邻消息之间的时间间隔。
S103:根据新时间戳和所述时间信息,按照预设的检测条件,判断新消息是否为异常消息;
S104:如果新消息为异常消息,输出提示信息。
本实施例中,根据新消息的新时间戳和新消息标识所对应记录的时间信息,按照预设的检测条件进行判断,根据判断结果判断新消息是否为异常消息。当判断结果为新消息为异常消息是,输出提示信息,实现异常监测。
本实施例提供的车载入侵检测方法,包括接收新消息,提取新消息的新消息标识和新时间戳;根据新消息标识,查询时间信息队列,确定新消息标识对应的时间信息;根据新时间戳和时间信息,按照预设的检测条件,判断新消息是否为异常消息;当判断新消息为异常消息时,输出提示信息。本实施例的方法,能够对CAN总线上接收的消息进行轻量级的异常入侵检测,复杂度低,准确度高。
可以理解,该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。
一些实施例中,在接收新消息之前,还包括:根据已接收消息,构建时间信息队列。即,根据CAN总线上已经接收的消息,解析消息的消息标识和时间戳,根据消息的消息标识和时间戳,构建包括消息标识及及对应的时间信息的时间信息队列。
一些实施例中,根据已接收消息,构建时间信息队列,包括:
解析已接收消息的消息标识和时间戳;
根据消息标识,查询时间信息队列,判断是否存在消息标识对应的时间信息;
如果不存在,以时间戳为消息标识对应的时间信息,将消息标识及其对应的时间信息添加在时间信息队列中;
如果已存在,判断消息标识对应的时间信息是否达到预设的数量阈值;如果未达到,根据时间戳更新时间信息队列中消息标识对应的时间信息;如果已达到,将消息标识对应的过期时间信息删除,根据时间戳更新时间信息队列中消息标识对应的时间信息。
本实施例中,构建时间信息队列的方法具体为:对于CAN总线上接收的消息,先解析出消息标识和时间戳,然后根据消息标识查询时间信息队列,判断目前的时间信息队列中是否存在该消息标识及其对应的时间信息;若没有找到,目前的时间信息队列中不存在该消息标识及其对应的时间信息,则在时间信息队列中添加该消息标识及其时间信息,添加的时间信息即为该消息的时间戳。若找到了,即目前的时间信息队列中已经存在该消息标识及其对应的时间信息,进一步根据该消息标识所对应的已记录的时间信息,确定更新当前的时间信息队列的方法;一种情况是,当前的时间信息队列中已记录的时间信息的数量未达到预设的数量阈值,这时,将解析出的时间戳添加于时间信息队列中;另一种情况是,当前的时间信息队列中已记录的时间信息的数量已达到数量阈值,这时,先将过期时间信息删除,然后将解析出的时间戳添加于时间信息队列中。这样,根据接收的消息创建时间信息队列,并在CAN总线接收消息的过程中,根据消息更新时间信息队列,利用完整的时间信息判断消息是否为异常消息,能够保证检测的准确性。
一些实施例中,根据消息标识,查询时间信息队列,当判断不存在消息标识对应的时间信息时,以时间戳为消息标识对应的时间信息,将消息标识及其对应的时间信息添加在时间信息队列中之后,还包括:
输出提示信息。
本实施例中,对于时间信息队列中不存在的消息标识,将消息标识及对应的时间戳添加在时间信息队列中,同时需要进行提示。一种情况是,在车辆状态改变的情况下(例如,由上电状态转换为打火状态,由打火状态转换为启动状态等状态转换过程),CAN总线上会出现部分新类型的消息,各类型的消息各自携带对应的消息标识,这些消息标识是状态转换前CAN总线上所未出现过的,即时间信息队列中没有记录这些消息标识的时间信息,此时,将这些消息标识及对应的时间信息添加于时间信息队列中,并进行提示,结合提示,如果车辆确实发生状态改变,则不会认为发生异常。另一种情况是,车辆状态并未改变,如果CAN总线上出现了新类型的消息,结合提示,可以判断有可能发生异常,例如,产生了针对未知消息标识的注入攻击,这样,通过提示信息,可以及时进一步检查是否确实发生异常以及异常产生原因。
一些实施例中,在添加消息标识及其对应的时间信息时,首先判断该消息标识所对应的时间信息是否已经达到数量阈值,如果还没有达到,根据时间戳更新时间信息队列中消息标识对应的时间信息,包括:
计算时间戳与距离当前时间最近的消息的时间戳之间的中间时间间隔;
删除距离当前时间最近的消息的时间戳;
将时间戳与所述中间时间间隔添加于所述时间信息队列中。
本实施例中,如果时间信息队列中已经存在消息标识及其对应的时间信息,且所记录的时间信息未达到数量阈值,先计算消息标识对应的时间戳与所记录的距离当前时间最近的消息的时间戳之间的中间时间间隔,然后将记录的距离当前时间最近的消息的时间戳删除,将消息标识对应的时间戳及中间时间间隔添加于时间信息队列中,更新时间信息队列,更新后的时间信息队列中,消息标识所对应的时间戳作为记录的距离当前时间最近的消息的时间戳。这样,通过时间信息队列能够有效记录具有相同的消息标识的消息所对应的时间信息,无需要设置时间窗口,避免因同一消息标识的消息分别记录而导致漏报、误报的情况,提高检测准确性。
一些实施例中,在添加消息标识及其对应的时间信息时,当判断该消息标识所对应的时间信息已经达到数量阈值时,将消息标识对应的过期时间信息删除,根据时间戳更新时间信息队列中消息标识对应的时间信息,包括:
将距离当前时间最远的两两相邻消息的时间间隔删除;
计算时间戳与距离当前时间最近的消息的时间戳之间的中间时间间隔;
删除距离当前时间最近的消息的时间戳;
将时间戳与中间时间间隔添加于时间信息队列中。
本实施例中,如果时间信息队列中已经存在消息标识及其对应的时间信息,且所记录的时间信息已达到数量阈值,先将所记录的距离当前时间最远的两两相邻消息的时间间隔删除,然后计算消息标识所对应的时间戳与距离当前时间最近的消息的时间戳之间的中间时间间隔,之后将距离当前时间最近的消息的时间戳删除,将消息标识所对应的时间戳与中间时间间隔添加于时间信息队列中,更新时间信息队列。这样,更新后的时间信息队列所记录的时间戳为更新的距离当前时间最近的消息的时间戳,所记录的时间间隔为按照距离当前时间由近至远的数量为数量阈值的消息中,两两相邻消息之间的时间间隔。通过设置时间信息的数量阈值,保证消息的时间信息的实时性,既能保证检测准确性又可降低对车载的性能要求。
如图3所示,一些实施方式中,可基于缓冲队列构建时间信息队列。时间信息队列包括各消息标识所分别对应的缓冲队列,每个消息标识的缓冲队列中,至少存储距离当前时间最近的消息的时间戳,如果CAN总线上已经接收到多个同一消息标识的消息,则该消息标识的缓冲队列中,按照时间顺序存储距离当前时间最近的消息的时间戳和至少一个时间间隔。
举例来说,CAN总线按时间顺序接收消息标识ID1的m条消息,m条消息的时间戳分别为T1、T2、T3……、Tm,时间戳T1距离当前时间最远,时间戳Tm距离当前时间最近,则,计算的时间间隔T2-T1最先进入消息标识ID1的缓冲队列中,时间间隔T3-T2之后进入该缓冲队列,……时间间隔Tm-1-Tm-2进入缓冲队列,Tm作为距离当前时间最近的时间戳保存于缓冲队列的队尾。当接收到消息标识ID1的消息时,若该消息的时间戳为Tm+1,判断缓冲队列中时间间隔的数量是否已经达到数量阈值,如果未达到,删除队尾的时间戳Tm,将时间间隔Tm+1-Tm加入缓冲队列,将时间戳Tm+1加入缓冲队列并成为缓冲队列的队尾;如果已达到数量阈值,先删除缓冲队列队首的时间间隔T2-T1,然后删除队尾的时间戳Tm,将时间间隔Tm+l-Tm加入缓冲队列,将时间戳Tm+1加入缓冲队列并成为缓冲队列的队尾。
一些实施例中,根据新时间戳和时间信息,按照预设的检测条件,判断新消息是否为异常消息,包括:
计算所有时间间隔的间隔平均值;
计算新时间戳与距离当前时间最近的消息的时间戳之间的新时间间隔;
根据间隔平均值与新时间间隔之间的关系,判断新消息是否为异常消息。
本实施例中,基于已接收的消息构建、更新时间信息队列之后,当接收到新消息时,解析出新消息的新消息标识及新时间戳,根据新消息的新消息标识查询时间信息队列,获得时间信息队列中所记录的新消息标识所对应的时间信息,根据获得的时间信息,如果时间信息包括至少一条时间间隔,计算所有时间间隔的间隔平均值,计算新时间戳与所记录的距离当前时间最近的消息的时间戳之间的新时间间隔,之后,根据新时间间隔和间隔平均值之间的关系,判断新消息是否为异常消息。由于车辆处于不同状态下,不同的电子控制单元会按照预定频率向CAN总线发送预定消息,通过分析总线上消息的时间信息变化情况,能够检测出可能出现异常消息的情况。
一些实施例中,根据间隔平均值与新时间间隔之间的关系,判断新消息是否为异常消息,可以表示为:
(1-μ)t1≤t2≤(1+μ)t1 (1)
其中,t1为间隔平均值,t2为新时间间隔,μ为波动阈值。当满足公式(1)所示间隔平均值与新时间间隔的关系时,确定新消息为正常消息,否则新消息为异常消息。可选的,波动阈值取值为0.5。
一些方式中,对于异常消息,当满足公式(2)时,确定异常消息为注入攻击异常消息;当满足公式(3)时,确定异常消息为延时异常消息。
t2<(1-μ)t1 (2)
t2>(1+μ)t1 (3)
一些实施例中,车载入侵检测方法还包括:
检测消息的传输速率;
检测时间信息队列中消息标识及其对应的时间信息的活跃程度;
当传输速率大于预设速率阈值,且活跃程度低于活跃程度阈值时,输出提示信息。
本实施例中,通过检测CAN总线上的消息的传输速率和时间信息队列中消息标识及其对应的时间信息的活跃程度,判断CAN总线上是否存在异常消息。当传输速率大于速率阈值,而且时间信息队列中的消息标识的时间信息的活跃程度低于活跃程度阈值时,判断总线上出现了总线Dos攻击,输出提示信息,及时进行异常提示。
一些实施例中,车载入侵检测方法还包括:
检测消息的传输速率;
检测时间信息队列中消息标识及其对应的时间信息的活跃程度;
当判断传输速率低于预设的速率阈值和/或活跃程度低于预设的活跃程度阈值时,输出状态改变提示信息。
本实施例中,通过实时检测CAN总线上的消息的传输速率以及时间信息队列中消息标识及其对应的时间信息的活跃程度,判断车载状态的变化情况。当CAN总线上的消息的传输速率低于速率阈值时,和/或时间信息队列中消息标识所对应的时间信息的活跃程度低于活跃程度阈值时,判断车载状态发生改变,输出状态改变提示信息;例如,当车辆由行驶状态转换为刹车状态时,CAN总线上的消息数量减少,有些电子控制单元不再向总线发生消息,有些消息标识对应的时间信息不再更新,通过总线上的传输速率和时间信息队列的活跃程度,可判断车载状态变化情况。
一些方式中,可依据消息标识所对应的时间信息的更新频率判断时间信息的活跃程度,对于更新缓慢,活跃程度低于活跃程度阈值的消息标识的时间信息,可删除该消息标识及其对应的时间信息,保持时间信息队列的实时性和有效性,降低车载资源占用量。
一些实施例中,车载入侵检测方法还包括:
对异常消息进行分析,确定异常消息类型。
本实施例中,通过检测确定出异常消息后,进一步对异常消息进行分析与统计,根据分析与统计的结果,确定异常消息类型。一些方式中,如果按照公式(2)确定异常消息为注入攻击,且在预定时间内注入攻击出现在同一个消息标识的消息上,则判断异常消息类型为单消息标识的注入攻击;如果在预定时间内注入攻击出现在多个消息标识的多条消息上,则判断异常消息类型为多消息标识的注入攻击。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
如图4所示,本说明书实施例还提供一种车载检测装置,包括:
解析模块,用于接收新消息,解析新消息的新消息标识和新时间戳;
查询模块,用于根据新消息标识,查询时间信息队列,确定新消息标识对应的时间信息;
判断模块,用于根据新时间戳和时间信息,按照预设的检测条件,判断新消息是否为异常消息;
输出模块,用于当判断新消息为异常消息时,输出提示信息。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作***和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本说明书一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本说明书一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (10)

1.一种车载入侵检测方法,其特征在于,包括:
接收新消息,解析新消息的新消息标识和新时间戳;
根据所述新消息标识,查询预先构建的时间信息队列,确定新消息标识对应的时间信息;
根据所述新时间戳和所述时间信息,按照预设的检测条件,判断所述新消息是否为异常消息;
如果所述新消息为异常消息,输出提示信息。
2.根据权利要求1所述的方法,其特征在于,所述接收新消息之前,还包括:
根据已接收消息,构建所述时间信息队列。
3.根据权利要求2所述的方法,其特征在于,所述根据已接收消息,构建所述时间信息队列,包括:
解析已接收消息的消息标识和时间戳;
根据所述消息标识,查询所述时间信息队列,判断是否存在所述消息标识对应的时间信息;
如果不存在,以所述时间戳为所述消息标识对应的时间信息,将所述消息标识及其对应的时间信息添加在所述时间信息队列中;
如果已存在,判断所述消息标识对应的时间信息是否达到预设的数量阈值;如果未达到,根据所述时间戳更新所述时间信息队列中所述消息标识对应的时间信息;如果已达到,将所述消息标识对应的过期时间信息删除,根据所述时间戳更新所述时间信息队列中所述消息标识对应的时间信息。
4.根据权利要求3所述的方法,其特征在于,所述如果不存在,以所述时间戳为所述消息标识对应的时间信息,将所述消息标识及其对应的时间信息添加在所述时间信息队列中之后,还包括:
输出提示信息。
5.根据权利要求3所述的方法,其特征在于,所述时间信息包括距离当前时间最近的消息的时间戳;
所述如果未达到,根据所述时间戳更新所述时间信息队列中所述消息标识对应的时间信息,包括:
计算所述时间戳与所述距离当前时间最近的消息的时间戳之间的中间时间间隔;
删除所述距离当前时间最近的消息的时间戳;
将所述时间戳与所述中间时间间隔添加于所述时间信息队列中。
6.根据权利要求3所述的方法,其特征在于,所述时间信息包括距离当前时间最近的消息的时间戳以及按时间顺序接收的数量为所述数量阈值的消息中,两两相邻消息之间的时间间隔;
将所述消息标识对应的过期时间信息删除,根据所述时间戳更新所述时间信息队列中所述消息标识对应的时间信息,包括:
将距离当前时间最远的两两相邻消息的时间间隔删除;
计算所述时间戳与所述距离当前时间最近的消息的时间戳之间的中间时间间隔;
删除所述距离当前时间最近的消息的时间戳;
将所述时间戳与所述中间时间间隔添加于所述时间信息队列中。
7.根据权利要求1所述的方法,其特征在于,所述时间信息包括距离当前时间最近的消息的时间戳以及至少一个时间间隔,所述时间间隔是按照时间顺序接收的相邻两两消息之间的时间间隔;
根据所述新时间戳和所述时间信息,按照预设的检测条件,判断所述新消息是否为异常消息,包括:
计算所有时间间隔的间隔平均值;
计算所述新时间戳与所述距离当前时间最近的消息的时间戳之间的新时间间隔;
根据所述间隔平均值与所述新时间间隔之间的关系,判断所述新消息是否为异常消息。
8.根据权利要求7所述的方法,其特征在于,根据所述间隔平均值与所述新时间间隔之间的关系,判断所述新消息是否为异常消息,包括:
设所述间隔平均值为t1,所述新时间间隔为t2,波动阈值为μ;当满足以下关系时,所述新消息为正常消息,否则为异常消息;
(1-μ)t1≤t2≤(1+μ)t1 (1)。
9.根据权利要求1-8中任意一项所述的方法,其特征在于,还包括:
检测消息的传输速率;
检测所述时间信息队列中消息标识及其对应的时间信息的活跃程度;
当判断所述传输速率大于预设的速率阈值,且所述活跃程度低于预设的活跃程度阈值时,输出提示信息。
10.一种车载入侵检测装置,其特征在于,包括:
解析模块,用于接收新消息,解析新消息的新消息标识和新时间戳;
查询模块,用于根据所述新消息标识,查询时间信息队列,确定新消息标识对应的时间信息;
判断模块,用于根据所述新时间戳和所述时间信息,按照预设的检测条件,判断所述新消息是否为异常消息;
输出模块,用于当判断所述新消息为异常消息时,输出提示信息。
CN202110181127.8A 2021-02-08 2021-02-08 一种车载入侵检测方法及装置 Active CN112953723B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110181127.8A CN112953723B (zh) 2021-02-08 2021-02-08 一种车载入侵检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110181127.8A CN112953723B (zh) 2021-02-08 2021-02-08 一种车载入侵检测方法及装置

Publications (2)

Publication Number Publication Date
CN112953723A true CN112953723A (zh) 2021-06-11
CN112953723B CN112953723B (zh) 2023-04-18

Family

ID=76245110

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110181127.8A Active CN112953723B (zh) 2021-02-08 2021-02-08 一种车载入侵检测方法及装置

Country Status (1)

Country Link
CN (1) CN112953723B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277051A (zh) * 2022-06-01 2022-11-01 北京邮电大学 一种控制器局域网总线攻击检测方法和设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516186A (zh) * 2015-12-31 2016-04-20 华为技术有限公司 一种防止重放攻击的方法和服务器
CN106059987A (zh) * 2015-04-17 2016-10-26 现代自动车株式会社 车载网络入侵检测***及其控制方法
CN108111510A (zh) * 2017-12-20 2018-06-01 北京航空航天大学 一种车内网络入侵检测方法及***
CN111355714A (zh) * 2020-02-20 2020-06-30 杭州电子科技大学 一种基于车辆控制单元指纹特征学习的攻击者识别方法
CN111464415A (zh) * 2020-04-02 2020-07-28 昆易电子科技(上海)有限公司 用于can总线消息异常预警的方法及电子设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106059987A (zh) * 2015-04-17 2016-10-26 现代自动车株式会社 车载网络入侵检测***及其控制方法
CN105516186A (zh) * 2015-12-31 2016-04-20 华为技术有限公司 一种防止重放攻击的方法和服务器
CN108111510A (zh) * 2017-12-20 2018-06-01 北京航空航天大学 一种车内网络入侵检测方法及***
CN111355714A (zh) * 2020-02-20 2020-06-30 杭州电子科技大学 一种基于车辆控制单元指纹特征学习的攻击者识别方法
CN111464415A (zh) * 2020-04-02 2020-07-28 昆易电子科技(上海)有限公司 用于can总线消息异常预警的方法及电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277051A (zh) * 2022-06-01 2022-11-01 北京邮电大学 一种控制器局域网总线攻击检测方法和设备
CN115277051B (zh) * 2022-06-01 2024-06-07 北京邮电大学 一种控制器局域网总线攻击检测方法和设备

Also Published As

Publication number Publication date
CN112953723B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
US20210152287A1 (en) In-vehicle information processing for unauthorized data
CN108763031B (zh) 一种基于日志的威胁情报检测方法及装置
CN109033829A (zh) 车辆网络入侵检测辅助方法、装置及***
CN112636957B (zh) 基于日志的预警方法、装置、服务器及存储介质
CN108965267B (zh) 网络攻击处理方法、装置及车辆
CN112953971B (zh) 一种网络安全流量入侵检测方法和***
US11444891B2 (en) Electronic control unit, abnormality determination program, and abnormality determination method
EP2819015B1 (en) Method, terminal, and server for synchronizing terminal mirror
CN102956238B (zh) 用于在音频帧序列中检测重复模式的方法及设备
WO2019093098A1 (ja) 情報処理装置、移動装置、および方法、並びにプログラム
US20200014758A1 (en) On-board communication device, computer program, and message determination method
CN112953723B (zh) 一种车载入侵检测方法及装置
US11694489B2 (en) Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit
CN113791792B (zh) 应用调用信息的获取方法、设备以及存储介质
CN110737565A (zh) 一种数据监控方法、装置、电子设备及存储介质
CN109561045B (zh) 数据拦截方法及装置、存储介质和电子设备
CN113703996A (zh) 基于用户和yang模型分组的访问控制方法、设备及介质
CN109816993B (zh) 一种车辆急加速行为的识别方法及相关设备
WO2019207764A1 (ja) 抽出装置、抽出方法および記録媒体、並びに、検知装置
CN113886192B (zh) 日志数据的获取方法、装置、终端设备及可读存储介质
CN116125853A (zh) 集成电路的安全控制方法、装置、存储介质及电子设备
CN112702227B (zh) 心跳事件检测方法、装置、设备及计算机可读存储介质
CN108683716B (zh) 基于大数据的业务逻辑学习、防护方法及学习、防护装置
CN103618689A (zh) 一种网络入侵检测的方法、装置和***
CN116010068A (zh) 一种转发任务异常自诊断的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant