CN114900347A - 一种基于以太网的入侵检测方法及数据包分发方法 - Google Patents

Abstract

本发明公开了一种基于以太网的入侵检测方法及数据包分发方法，入侵检测方法包括步骤1）所述态势感知模块将更新后的数据包发送给所述配置工具；步骤2）所述配置工具将更新后的数据包和制定的检测规则发送给所述中间件；步骤3）所述中间件根据接收到的检测规则对数据包进行处理；步骤4）所述中间件将数据包处理完成后，将处理信息记录到处理日志中，并将处理日志上传到所述日志管理模块；步骤5）结束。本发明可以对车载以太网进行网络安全防护，实现对车载以太网的检测和防御。

Description

一种基于以太网的入侵检测方法及数据包分发方法

技术领域

本发明涉及智能网联汽车安全技术领域，具体涉及一种基于以太网的入侵检测方法及数据包分发方法。

背景技术

网联化的发展使得越来越多的汽车接入互联网络，网络安全攻击对汽车的影响也越来越大，因此，网络安全防护对于现在的汽车来说尤为重要。如在申请号为201910326942.1的发明专利申请中公开了一种基于深度学习的车载CAN总线入侵检测方法，该方法分别从CAN协议数据包的ID域和数据载荷中提取特征，将提取到的两种特征分别输入两个不同结构的神经网络中进行训练，得到两个不同的判别器来协同地检测***异常。所述方法涉及两种判别器，第一种判别器利用攻击数据包对原有CAN数据包序列的影响来捕获异常，第二种判别器从攻击数据包本身的数据载荷区别于正常数据包的角度来检测异常，所以在入侵检测***中同时集成这两种判别器实现不同视角的入侵检测，有利于提高最后检测的准确度。

然而，随着网联化的不断发展，新一代的智能网联汽车采用车载以太网作为CAN总线的补充，因此，针对车载以太网的网络安全防护也日益重要。开放性通行***互连参考模型如附图1所示。现有技术中，针对车载以太网的网络安全防护主要有三种技术手段:

1、隔离和过滤:隔离和过滤位于0SI 7层模型中的L2-L4层，涉及到的网络安全技术为VLAN和Firewall。

2、检测和防御:检测和防御位于0SI7层模型中的L3-L7层,涉及到的网络安全技术为IDS、IPS、DPI。

3、认证和加密:认证和加密位于0SI 7层模型中的L2- L3、L5-L7层,涉及到的网络安全技术为MACSec、IPSec、SSL/TLS/DTLS 、Secoc。

其中隔离与访问控制、认证和加密技术在车载以太网中已较为成熟，在车载以太网中已规模应用部署，但是对于如何实现车载以太网的检测和防御仍然在本领域急需解决的技术问题。

发明内容

针对现有技术存在的上述不足，本发明要解决的技术问题是：如何提供一种基于以太网的入侵检测方法及数据包分发方法，以对车载以太网进行网络安全防护，实现对车载以太网的检测和防御。

为了解决上述技术问题，本发明采用如下技术方案：

一种基于以太网的入侵检测方法，包括态势感知模块和日志管理模块，所述态势感知模块包括配置工具和中间件，所述配置工具用于制定对数据包的检测规则，所述中间件用于根据所述配置工具制定的检测规则对数据包进行处理；

所述入侵检测方法包括以下步骤：

步骤1）所述态势感知模块将更新后的数据包发送给所述配置工具；

步骤2）所述配置工具将更新后的数据包和制定的检测规则发送给所述中间件；

步骤3）所述中间件根据接收到的检测规则对数据包进行处理；

步骤4）所述中间件将数据包处理完成后，将处理信息记录到处理日志中，并将处理日志上传到所述日志管理模块；

步骤5）结束。

优选的，步骤1）中，所述态势感知模块利用空间下载技术通道并通过调制解调器下发更新后的数据包给配置工具。

优选的，步骤3）中，所述中间件对数据包进行处理的方式包括：连接跟踪、修改网络目的IP的地址、修改数据包、阻断数据包。

优选的，所述中间件内设有预路由函数、前向传播函数、输入函数、本地进程函数、输出函数和二次路由函数；

步骤3）中包括以下步骤：

步骤3.1）数据包进入到所述中间件后，所述中间件对数据包进行IP校验，然后通过网卡将数据包发送给所述预路由函数进行处理；

步骤3.2）所述预路由函数判断数据包是否需要转发，若是则执行步骤3.3），若否则执行步骤3.4）；

步骤3.3）所述预路由函数将数据包转发给所述前向传播函数处理后执行步骤3.6）；

步骤3.4）所述预路由函数将数据包转发给所述输入函数进行处理；

步骤3.5）所述输入函数处理后的数据包发送给本地进程函数，所述本地进程函数将数据包处理后进一步发送给所述输出函数，所述输出函数将数据包处理后发送给所述二次路由函数，然后执行步骤3.7）；

步骤3.6）所述前向传播函数将数据包转发给所述二次路由函数后执行步骤3.7）；

步骤3.7）所述二次路由函数将数据包通过网卡重新发送到网络上。

优选的，所述中间件内还设有IP信息包过滤模块；

步骤3.3）中，所述IP信息包过滤模块利用所述前向传播函数的规则链表来对数据包进行规则匹配的筛选；

步骤3.4）中，所述IP信息包过滤模块利用所述输入函数的规则链表来对数据包进行规则匹配的筛选。

优选的，步骤3.1）中，所述预处理函数对数据包作报头检测处理，以捕获数据包的异常情况。

一种基于以太网的数据包分发方法，包括第一控制器和第二控制器，所述第一控制器和所述第二控制器均包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层；

所述数据包分发方法包括以下步骤：

步骤S1）采用上述基于以太网的入侵检测方法对数据包进行处理；

步骤S2）所述态势感知模块利用空间下载技术通道将更新处理后的数据包发送给第一控制器；

步骤S3）判断数据包的目的地是否是本机，若是则执行步骤S4），若否则执行步骤S5）；

步骤S4）所述第一控制器将更新后的数据包转发给自身，且所述第一控制器依次通过数据链路层、网络层、传输层、会话层、表示层和应用层组层向上传递数据包，并将处理过程形成日志上传到所述日志管理模块，然后执行步骤S7）；

步骤S5）数据包在所述第一控制器的数据链路层经路由转发到所述第二控制器；

步骤S6）所述第二控制器在其数据链路层对数据包进行过滤处理，并将处理过程形成日志上传到所述日志管理模块；

步骤S7）结束。

与现有技术相比，本发明具有以下优点：

1、本发明利用配置工具来制定对数据包的检测规则，当数据包达到态势感知模块时，态势感知模块将数据包发送给配置工具，再由配置工具将数据包和制定的检测规则共同发送给中间件，最后由中间件根据制定的检测规则对数据包进行处理，当数据包中存在入侵数据时，该入侵数据能够被中间件及时发现并处理，从而实现数据包的入侵检测效果。

2、本发明的数据包处理过程中设置有多个关键点，分别为：PRE_ROUTING、INPUT、FORWARD、LOCAL PROCESS、OUTPUT、POST_ROUTING，在每个关键点上，有很多已经按照优先级预先注册了的回调函数(称为“钩子函数”)埋伏在这些关键点，形成了一条链，这些关键点处的钩子函数分别为：预路由函数、输入函数、前向传播函数、本地进程函数、输出函数和二次路由函数。对于每个到来的数据包会依次被那些回调函数检测一番再视情况处理，处理的方式包括但不限于将其放行、丢弃、忽视，但是无论如何，这些回调函数最后必须向中间件报告一下该数据包的处理情况。

3、本发明中，中间件主要通过表、链实现规则，中间件是表的容器，表是链的容器，链是规则的容器，最终形成对数据包处理规则的实现。

4、本发明的数据包在协议栈里的发送过程中，从上至下依次是“加头”的过程，每到达一层数据就被会加上该层的头部；与此同时，接受数据方就是个“剥头”的过程，从网卡收上数据包之后，在往协议栈的上层传递过程中依次剥去每层的头部，最终到达用户那儿的就是裸数据了。

附图说明

图1为现有技术中开放性通行***的互连参考模型图；

图2为本发明基于以太网的入侵检测方法的流程图；

图3为本发明基于以太网的入侵检测方法中中间件对数据包的处理流程图；

图4为本发明基于以太网的数据包分发方法的构架图。

具体实施方式

下面将结合附图及实施例对本发明作进一步说明。

如附图2所示，一种基于以太网的入侵检测方法，包括态势感知模块和日志管理模块，态势感知模块包括配置工具和中间件，配置工具用于制定对数据包的检测规则，中间件用于根据配置工具制定的检测规则对数据包进行处理；

入侵检测方法包括以下步骤：

步骤1）态势感知模块将更新后的数据包发送给配置工具；具体的，态势感知模块利用空间下载技术通道（OTA通道）并通过LTE调制解调器下发更新后的数据包给配置工具。

步骤2）配置工具将更新后的数据包和制定的检测规则发送给中间件。

步骤3）中间件根据接收到的检测规则对数据包进行处理；具体的，中间件对数据包进行处理的方式包括：连接跟踪、修改网络目的IP的地址、修改数据包、阻断数据包。

步骤4）中间件将数据包处理完成后，将处理信息记录到处理日志中，并将处理日志上传到日志管理模块。

步骤5）结束。

在本实施例中，中间件内设有预路由函数、前向传播函数、输入函数、本地进程函数、输出函数、二次路由函数和IP信息包过滤模块；

如附图3所示，步骤3）中包括以下步骤：

步骤3.1）数据包进入到中间件后，中间件对数据包进行IP校验，然后通过网卡（NTEWORK CARD）将数据包发送给第一个HOOK（钩子函数）预路由函数（即PRE_ROUTING）进行处理；具体的，预处理函数对数据包作报头检测处理，以捕获数据包的异常情况。

步骤3.2）预路由函数判断数据包是否需要转发，具体的，由路由代码判断该数据包是需要转发还是发给本机，若是则执行步骤3.3），若否则执行步骤3.4）；

步骤3.3）预路由函数将数据包转发给前向传播函数处理，IP信息包过滤模块（IPTables模块）利用前向传播函数（FORWARD）的规则链表来对数据包进行规则匹配的筛选，具体的，对于目的地非本地主机的数据包，包括被NAT修改过地址的数据包，都要被FORWARD（前向传播函数）处理。IPTables模块可以利用这个HOOK对应的FORWARD规则链表来对数据报进行规则匹配的筛选，然后执行步骤3.6）。

步骤3.4）预路由函数将数据包转发给输入函数（INPUT）进行处理，IP信息包过滤模块利用输入函数的规则链表来对数据包进行规则匹配的筛选。具体的，若该数据包是发给本机的，则该数据包经过HOOK函数INPUT处理以后传递给上层协议，从数据链路层出发，经过网络层、传输层、会话层、表示层，最终到达应用层。IPTables模块可以利用这个HOOK对应的INPUT规则链表来对数据报进行规则匹配的筛选，防火墙一般建立在这个HOOK上。

步骤3.5）输入函数处理后的数据包发送给本地进程函数（LOCAL PROCESS），本地进程函数将数据包处理后进一步发送给输出函数(OUTPUT)，输出函数将数据包处理后发送给二次路由函数（POST_ROUTING），然后执行步骤3.7）；

步骤3.6）前向传播函数将数据包转发给二次路由函数（POST_ROUTING）后执行步骤3.7）；

步骤3.7）二次路由函数将数据包通过网卡（NTEWORK CARD）重新发送到网络上。

具体的，所有数据包，包括源地址为本地主机和非本地主机的，在通过网络设备离开本地主机之前，都要经过二次路由函数（POST_ROUTING）这个HOOK。

经过转发的数据包经过最后一个HOOK函数POST_ROUTING处理以后，再传输到网络上。而本地产生的数据经过HOOK函数OUTPUT处理后，进行路由选择处理，然后经过POST_ROUTING处理后发送到网络上。

另外，如附图4所示，本发明还提供一种基于以太网的数据包分发方法，包括第一控制器和第二控制器，第一控制器和第二控制器均包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层；

数据包分发方法包括以下步骤：

步骤S1）采用上述基于以太网的入侵检测方法对数据包进行处理；

步骤S2）态势感知模块利用空间下载技术通道将更新处理后的数据包发送给第一控制器；

步骤S3）判断数据包的目的地是否是本机，若是则执行步骤S4），若否则执行步骤S5）；

步骤S4）第一控制器将更新后的数据包转发给自身，且第一控制器依次通过数据链路层、网络层、传输层、会话层、表示层和应用层组层向上传递数据包，并将处理过程形成日志上传到日志管理模块，然后执行步骤S7）；

步骤S5）数据包在第一控制器的数据链路层经路由转发到第二控制器；

步骤S6）第二控制器在其数据链路层对数据包进行过滤处理，并将处理过程形成日志上传到日志管理模块；

步骤S7）结束。

与现有技术相比，本发明利用配置工具来制定对数据包的检测规则，当数据包达到态势感知模块时，态势感知模块将数据包发送给配置工具，再由配置工具将数据包和制定的检测规则共同发送给中间件，最后由中间件根据制定的检测规则对数据包进行处理，当数据包中存在入侵数据时，该入侵数据能够被中间件及时发现并处理，从而实现数据包的入侵检测效果。本发明的数据包处理过程中设置有多个关键点，分别为：PRE_ROUTING、INPUT、FORWARD、LOCAL PROCESS、OUTPUT、POST_ROUTING，在每个关键点上，有很多已经按照优先级预先注册了的回调函数(称为“钩子函数”)埋伏在这些关键点，形成了一条链，这些关键点处的钩子函数分别为：预路由函数、输入函数、前向传播函数、本地进程函数、输出函数和二次路由函数。对于每个到来的数据包会依次被那些回调函数检测一番再视情况处理，处理的方式包括但不限于将其放行、丢弃、忽视，但是无论如何，这些回调函数最后必须向中间件报告一下该数据包的处理情况。本发明中，中间件主要通过表、链实现规则，中间件是表的容器，表是链的容器，链是规则的容器，最终形成对数据包处理规则的实现。本发明的数据包在协议栈里的发送过程中，从上至下依次是“加头”的过程，每到达一层数据就被会加上该层的头部；与此同时，接受数据方就是个“剥头”的过程，从网卡收上数据包之后，在往协议栈的上层传递过程中依次剥去每层的头部，最终到达用户那儿的就是裸数据了。

最后需要说明的是，以上实施例仅用以说明本发明的技术方案而非限制技术方案，本领域的普通技术人员应当理解，那些对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.一种基于以太网的入侵检测方法，其特征在于，包括态势感知模块和日志管理模块，所述态势感知模块包括配置工具和中间件，所述配置工具用于制定对数据包的检测规则，所述中间件用于根据所述配置工具制定的检测规则对数据包进行处理；

所述入侵检测方法包括以下步骤：

步骤1）所述态势感知模块将更新后的数据包发送给所述配置工具；

步骤2）所述配置工具将更新后的数据包和制定的检测规则发送给所述中间件；

步骤3）所述中间件根据接收到的检测规则对数据包进行处理；

步骤4）所述中间件将数据包处理完成后，将处理信息记录到处理日志中，并将处理日志上传到所述日志管理模块；

步骤5）结束。

2.根据权利要求1所述的基于以太网的入侵检测方法，其特征在于，步骤1）中，所述态势感知模块利用空间下载技术通道并通过调制解调器下发更新后的数据包给配置工具。

3.根据权利要求1所述的基于以太网的入侵检测方法，其特征在于，步骤3）中，所述中间件对数据包进行处理的方式包括：连接跟踪、修改网络目的IP的地址、修改数据包、阻断数据包。

4.根据权利要求1所述的基于以太网的入侵检测方法，其特征在于，所述中间件内设有预路由函数、前向传播函数、输入函数、本地进程函数、输出函数和二次路由函数；

步骤3）中包括以下步骤：

步骤3.1）数据包进入到所述中间件后，所述中间件对数据包进行IP校验，然后通过网卡将数据包发送给所述预路由函数进行处理；

步骤3.2）所述预路由函数判断数据包是否需要转发，若是则执行步骤3.3），若否则执行步骤3.4）；

步骤3.3）所述预路由函数将数据包转发给所述前向传播函数处理后执行步骤3.6）；

步骤3.4）所述预路由函数将数据包转发给所述输入函数进行处理；

步骤3.5）所述输入函数处理后的数据包发送给本地进程函数，所述本地进程函数将数据包处理后进一步发送给所述输出函数，所述输出函数将数据包处理后发送给所述二次路由函数，然后执行步骤3.7）；

步骤3.6）所述前向传播函数将数据包转发给所述二次路由函数后执行步骤3.7）；

步骤3.7）所述二次路由函数将数据包通过网卡重新发送到网络上。

5.根据权利要求4所述的基于以太网的入侵检测方法，其特征在于，所述中间件内还设有IP信息包过滤模块；

步骤3.3）中，所述IP信息包过滤模块利用所述前向传播函数的规则链表来对数据包进行规则匹配的筛选；

步骤3.4）中，所述IP信息包过滤模块利用所述输入函数的规则链表来对数据包进行规则匹配的筛选。

6.根据权利要求5所述的基于以太网的入侵检测方法，其特征在于，步骤3.1）中，所述预处理函数对数据包作报头检测处理，以捕获数据包的异常情况。

7.一种基于以太网的数据包分发方法，其特征在于，包括第一控制器和第二控制器，所述第一控制器和所述第二控制器均包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层；

所述数据包分发方法包括以下步骤：

步骤S1）采用如权利要求1所述的基于以太网的入侵检测方法对数据包进行处理；

步骤S2）所述态势感知模块利用空间下载技术通道将更新处理后的数据包发送给第一控制器；

步骤S3）判断数据包的目的地是否是本机，若是则执行步骤S4），若否则执行步骤S5）；

步骤S4）所述第一控制器将更新后的数据包转发给自身，且所述第一控制器依次通过数据链路层、网络层、传输层、会话层、表示层和应用层组层向上传递数据包，并将处理过程形成日志上传到所述日志管理模块，然后执行步骤S7）；

步骤S5）数据包在所述第一控制器的数据链路层经路由转发到所述第二控制器；

步骤S6）所述第二控制器在其数据链路层对数据包进行过滤处理，并将处理过程形成日志上传到所述日志管理模块；

步骤S7）结束。

Images