CN116112252A - 一种基于报文时钟周期的车载can总线入侵检测与防御*** - Google Patents

Abstract

本发明公开一种基于报文时钟周期的车载CAN总线入侵检测与防御***，不需要更改原车结构、只需旁路接入即可实现安全防护功能。防护过程中，不增加车内CAN总线通信负载，能够及时响应车内ECU设备随环境、运行时间变化而造成的CAN报文周期特征变化，减少设备长时间运行后产生的误检、漏检问题并能够识别定位可能出现异常的ECU模块，方便用户排障维修。同时能够对部分非法报文进行实时阻断，减小非法报文造成危害的风险。

Description

一种基于报文时钟周期的车载CAN总线入侵检测与防御***

技术领域

本发明涉及移动通信领域，具体涉及一种基于报文时钟周期的车载CAN总线入侵检测与防御***。

发明内容

本发明的目的在于提供一种基于报文时钟周期的车载CAN总线入侵检测与防御***，不需要更改原车结构、只需旁路接入即可实现安全防护功能。防护过程中，不增加车内CAN总线通信负载，能够及时响应车内ECU设备随环境、运行时间变化而造成的CAN报文周期特征变化，减少设备长时间运行后产生的误检、漏检问题并能够识别定位可能出现异常的ECU模块，方便用户排障维修。同时能够对部分非法报文进行实时阻断，减小非法报文造成危害的风险。

一种基于报文时钟周期的车载CAN总线入侵检测与防御***，包括CAN收发器模块、入侵检测模块、异常ECU节点定位模块和非法报文阻断模块，所述异常ECU节点定位模块与入侵检测模块连接，所述CAN收发器模块、入侵检测模块和非法报文阻断模块两两连接；

所述CAN收发器模块用于将车内CAN总线上电信号转化为数据报文，并发送至入侵检测模块，同时接收非法报文阻断模块提供的CAN数据报文，并将其转换成电信号，通过车内CAN总线发送出去；

所述入侵检测模块用于对CAN总线上的数据报文合法性进行实时检测，并动态更新各ECU模块CAN报文周期特征参数；

所述异常ECU节点定位模块用于对入侵检测模块检测出的非法报文进行进一步分析，定位出可能出现异常的ECU模块，以便操作者及时发现故障源；

所述非法报文阻断模块具有一定的阻断CAN总线上非法报文数据传输的能力，降低非法报文对车辆、乘客造成的危害；

上述车载CAN总线入侵检测与防御***的工作方法包括如下步骤：

步骤一：进行初始化检测参数，

对每个ID号，均连续记录N组报文到达时间，利用递归最小二乘法估计各ID号对应CAN节点的平均周期μ_ID与标准差σ_ID，并保存；

步骤二：监听目标CAN总线，直至监测到新的报文出现，进入步骤三；

步骤三：逐一计算该报文到达时间与各ID上一报文的间隔时间t_ID，并计算|t_ID-μ_ID|/σ_ID的值，并与各ID的***自定义阈值v_ID进行比较，如果均大于各ID的阈值v_ID，则判断该报文为非法报文，同步进行步骤五、步骤六；否则进入步骤四；

步骤四：解析该条新报文的ID号，如果该ID号在步骤一中未曾出现过，则判定该报文为非法报文，进入步骤五，如果该ID号存在记录，进入步骤七；

步骤五：比较各ID对应的|t_ID-μ_ID|/σ_ID值，记录其中最小值对应的ID号，则定位该ID号节点为可能的异常CAN节点，即异常ECU节点，重新进入步骤二，

步骤六：针对正在发送过程中的非法报文，在后续仲裁段ID位连续发送显性位0，获取CAN总线高优先级，从而赢得CAN总线使用权，之后发送一个数据段内容为空的数据帧报文；

步骤七：断该报文为合法报文，舍弃该ID号N组报文周期数据中最早的一个，并增加该报文的周期信息，更新该ID对应的平均周期μ_ID与标准差σ_ID，重新进入步骤二。

优选的，所述入侵检测模块在车载CAN总线入侵检测与防御***首次部署到目标CAN总线上后，入侵检测模块需要先对CAN总线上所有CAN节点设备报文时钟周期进行统计建模。

报文时钟周期统计建模的具体方法为：对每个ID号，均连续记录N组报文到达时间，利用递归最小二乘法估计各ID号对应CAN节点的平均周期μ_ID与标准差σ_ID，并保存。

完成报文时钟周期统计建模后，入侵检测模块开始对CAN总线上的报文进行实时入侵检测，具体方法如下：

①当检测到CAN总线上出现新报文后，记录该报文的到达时间；

②逐一计算该报文与各ID上一报文的间隔时间t_ID，并计算|t_ID-μ_ID|/σ_ID的值，并与各ID的***自定义阈值v_ID进行比较，如果均大于各ID的阈值v_ID，则判断该报文为非法报文，该报文检测完毕，等待下一条报文出现；否则进行步骤③；

③解析该条新报文的ID号，如果该ID号在报文时钟周期统计建模阶段中未曾出现过，则判定该报文为非法报文，该报文检测完毕，等待下一条报文出现；如果该ID号存在记录，进行步骤④；

④判断该报文为合法报文，舍弃该ID号N组报文周期数据中最早的一个，并增加该报文的周期信息，更新该ID对应的平均周期μ_ID与标准差σ_ID，该报文检测完毕，等待下一条报文出现。

优选的，所述异常ECU节点定位模块实现异常ECU节点定位的具体方法如下：

①获取非法报文与各ID上一报文的间隔时间t_ID，以及|t_ID-μ_ID|/σ_ID的值；

②比较各ID对应的|t_ID-μ_ID|/σ/_ID值，记录其中最小值对应的ID号，则定位该ID号节点为可能的异常CAN节点，即异常ECU节点。

优选的，所述非法报文阻断模块能够阻断入侵检测模块在步骤三中检测出的非法报文，具体方法如下：

①非法报文阻断模块针对正在发送过程中的非法报文，在后续仲裁段ID位连续发送显性位0，获取CAN总线高优先级，从而赢得CAN总线使用权；

②赢得CAN总线使用权后，发送一个数据段内容为空的数据帧报文。

本发明的优点在于：1、不需要更改原车CAN总线结构、CAN报文格式与各ECU模块，旁路接入即可实现安全防护功能。

2、防护过程中，不增加车内CAN总线通信负载。

3、能够及时响应车内ECU设备随环境、运行时间变化而造成的CAN报文周期特征变化，减少设备长时间运行后产生的误检、漏检问题。

4、能够识别定位可能出现异常的ECU模块，方便用户排障维修。

5、能够对部分非法报文进行实时阻断，减小非法报文造成危害的风险。

附图说明

图1为本发明的***结构原理示意图；

图2为本发明的车载CAN总线入侵检测与防御***的典型工作流程图；

图3为本发明的车载CAN总线入侵检测与防御***的一种典型实施方式的***组成框图；

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

如图1至图3所示，本发明描述的一种基于报文时钟周期的车载CAN总线入侵检测与防御***主要由以下四部分构成：1)CAN收发器模块；2)入侵检测模块；3)点定位模块；4)非法报文阻断模块。

(一)各部分的主要功能

CAN收发器模块

CAN收发器模块用于将车内CAN总线上电信号转化为数据报文，并发送至入侵检测模块；同时接收非法报文阻断模块提供的CAN数据报文，并将其转换成电信号，通过车内CAN总线发送出去。

入侵检测模块

入侵检测模块主要用于对CAN总线上的数据报文合法性进行实时检测，并动态更新各ECU模块CAN报文周期特征参数。

当车载CAN总线入侵检测与防御***首次部署到目标CAN总线上后，入侵检测模块需要先对CAN总线上所有CAN节点设备报文时钟周期进行统计建模。

报文时钟周期统计建模的具体方法为：对每个ID号，均连续记录N组报文到达时间，利用递归最小二乘法估计各ID号对应CAN节点的平均周期μID与标准差σ_ID，并保存。

完成报文时钟周期统计建模后，入侵检测模块开始对CAN总线上的报文进行实时入侵检测，具体方法如下：

①当检测到CAN总线上出现新报文后，记录该报文的到达时间；

②逐一计算该报文与各ID上一报文的间隔时间t_ID，并计算|t_ID-μ_ID|/σ_ID的值，并与各ID的***自定义阈值v_ID进行比较，如果均大于各ID的阈值v_ID，则判断该报文为非法报文，该报文检测完毕，等待下一条报文出现；否则进行步骤③；

③解析该条新报文的ID号，如果该ID号在报文时钟周期统计建模阶段中未曾出现过，则判定该报文为非法报文，该报文检测完毕，等待下一条报文出现；如果该ID号存在记录，进行步骤④；

④判断该报文为合法报文，舍弃该ID号N组报文周期数据中最早的一个，并增加该报文的周期信息，更新该ID对应的平均周期μ_ID与标准差σ_ID，该报文检测完毕，等待下一条报文出现。

异常ECU节点定位模块

异常ECU节点定位模块用于对入侵检测模块检测出的非法报文进行进一步分析，定位出可能出现异常的ECU模块，以便操作者及时发现故障源。

实现异常ECU节点定位的具体方法如下：

①获取非法报文与各ID上一报文的间隔时间t_ID，以及|t_ID-μ_ID|/σ_ID的值；

②比较各ID对应的|t_ID-μ_ID|/σ_ID值，记录其中最小值对应的ID号，则定位该ID号节点为可能的异常CAN节点，即异常ECU节点。

非法报文阻断模块

非法报文阻断模块具有一定的阻断CAN总线上非法报文数据传输的能力，降低非法报文对车辆、乘客造成的危害。

非法报文阻断模块能够阻断入侵检测模块在步骤②中检测出的非法报文，具体方法如下：

①非法报文阻断模块针对正在发送过程中的非法报文，在后续仲裁段ID位连续发送显性位0，获取CAN总线高优先级，从而赢得CAN总线使用权；

②赢得CAN总线使用权后，发送一个数据段内容为空的数据帧报文。

具体实施方式及原理：

本发明所述***部署到车内CAN总线上之后，执行非法报文检测与防御工作的具体流程如下：

阶段1：初始化检测参数

对每个ID号，均连续记录N组报文到达时间，利用递归最小二乘法估计各ID号对应CAN节点的平均周期μ_ID与标准差σ_ID，并保存。

阶段2：循环检测CAN总线报文

步骤①：监听目标CAN总线，直至监测到新的报文出现，进入步骤②。

步骤②：逐一计算该报文到达时间与各ID上一报文的间隔时间t_ID，并计算|t_ID-μ_ID|/σ_ID的值，并与各ID的***自定义阈值v_ID进行比较，如果均大于各ID的阈值v_ID，则判断该报文为非法报文，同步进行步骤④、步骤⑤；否则进入步骤③。

步骤③：解析该条新报文的ID号，如果该ID号在阶段1中未曾出现过，则判定该报文为非法报文，进入步骤④；如果该ID号存在记录，进入步骤⑥。

步骤④：比较各ID对应的|t_ID-μ_ID|/σ_ID值，记录其中最小值对应的ID号，则定位该ID号节点为可能的异常CAN节点，即异常ECU节点，重新进入步骤①。

步骤⑤：针对正在发送过程中的非法报文，在后续仲裁段ID位连续发送显性位0，获取CAN总线高优先级，从而赢得CAN总线使用权，之后发送一个数据段内容为空的数据帧报文。

步骤⑥：判断该报文为合法报文，舍弃该ID号N组报文周期数据中最早的一个，并增加该报文的周期信息，更新该ID对应的平均周期μ_ID与标准差σ_ID，重新进入步骤①。

基于上述，本发明不需要更改原车结构、只需旁路接入即可实现安全防护功能。防护过程中，不增加车内CAN总线通信负载，能够及时响应车内ECU设备随环境、运行时间变化而造成的CAN报文周期特征变化，减少设备长时间运行后产生的误检、漏检问题并能够识别定位可能出现异常的ECU模块，方便用户排障维修。同时能够对部分非法报文进行实时阻断，减小非法报文造成危害的风险。

由技术常识可知，本发明可以通过其它的不脱离其精神实质或必要特征的实施方案来实现。因此，上述公开的实施方案，就各方面而言，都只是举例说明，并不是仅有的。所有在本发明范围内或在等同于本发明的范围内的改变均被本发明包含。

Claims (4)

1.一种基于报文时钟周期的车载CAN总线入侵检测与防御***，其特征在于，包括CAN收发器模块、入侵检测模块、异常ECU节点定位模块和非法报文阻断模块，所述异常ECU节点定位模块与入侵检测模块连接，所述CAN收发器模块、入侵检测模块和非法报文阻断模块两两连接；

所述CAN收发器模块用于将车内CAN总线上电信号转化为数据报文，并发送至入侵检测模块，同时接收非法报文阻断模块提供的CAN数据报文，并将其转换成电信号，通过车内CAN总线发送出去；

所述入侵检测模块用于对CAN总线上的数据报文合法性进行实时检测，并动态更新各ECU模块CAN报文周期特征参数；

所述异常ECU节点定位模块用于对入侵检测模块检测出的非法报文进行进一步分析，定位出可能出现异常的ECU模块，以便操作者及时发现故障源；

所述非法报文阻断模块具有一定的阻断CAN总线上非法报文数据传输的能力，降低非法报文对车辆、乘客造成的危害；

上述车载CAN总线入侵检测与防御***的工作方法包括如下步骤：

步骤一：进行初始化检测参数，

对每个ID号，均连续记录N组报文到达时间，利用递归最小二乘法估计各ID号对应CAN节点的平均周期μ_ID与标准差σ_ID，并保存；

步骤二：监听目标CAN总线，直至监测到新的报文出现，进入步骤三；

步骤三：逐一计算该报文到达时间与各ID上一报文的间隔时间t_ID，并计算|t_ID-μ_ID|/σ_ID的值，并与各ID的***自定义阈值v_ID进行比较，如果均大于各ID的阈值v_ID，则判断该报文为非法报文，同步进行步骤五、步骤六；否则进入步骤四；

步骤四：解析该条新报文的ID号，如果该ID号在步骤一中未曾出现过，则判定该报文为非法报文，进入步骤五，如果该ID号存在记录，进入步骤七；

步骤五：比较各ID对应的|t_ID-μ_ID|/σ_ID值，记录其中最小值对应的ID号，则定位该ID号节点为可能的异常CAN节点，即异常ECU节点，重新进入步骤二，

步骤六：针对正在发送过程中的非法报文，在后续仲裁段ID位连续发送显性位0，获取CAN总线高优先级，从而赢得CAN总线使用权，之后发送一个数据段内容为空的数据帧报文；

步骤七：断该报文为合法报文，舍弃该ID号N组报文周期数据中最早的一个，并增加该报文的周期信息，更新该ID对应的平均周期μ_ID与标准差σ_ID，重新进入步骤二。

2.根据权利要求1所述的一种基于报文时钟周期的车载CAN总线入侵检测与防御***，其特征在于：所述入侵检测模块在车载CAN总线入侵检测与防御***首次部署到目标CAN总线上后，入侵检测模块需要先对CAN总线上所有CAN节点设备报文时钟周期进行统计建模。

报文时钟周期统计建模的具体方法为：对每个ID号，均连续记录N组报文到达时间，利用递归最小二乘法估计各ID号对应CAN节点的平均周期μ_ID与标准差σ_ID，并保存。

完成报文时钟周期统计建模后，入侵检测模块开始对CAN总线上的报文进行实时入侵检测，具体方法如下：

①当检测到CAN总线上出现新报文后，记录该报文的到达时间；

②逐一计算该报文与各ID上一报文的间隔时间t_ID，并计算|t_ID-μ_ID|/σ_ID的值，并与各ID的***自定义阈值v_ID进行比较，如果均大于各ID的阈值v_ID，则判断该报文为非法报文，该报文检测完毕，等待下一条报文出现；否则进行步骤③；

③解析该条新报文的ID号，如果该ID号在报文时钟周期统计建模阶段中未曾出现过，则判定该报文为非法报文，该报文检测完毕，等待下一条报文出现；如果该ID号存在记录，进行步骤④；

④判断该报文为合法报文，舍弃该ID号N组报文周期数据中最早的一个，并增加该报文的周期信息，更新该ID对应的平均周期μ_ID与标准差σ_ID，该报文检测完毕，等待下一条报文出现。

3.根据权利要求1所述的一种基于报文时钟周期的车载CAN总线入侵检测与防御***，其特征在于：所述异常ECU节点定位模块实现异常ECU节点定位的具体方法如下：

①获取非法报文与各ID上一报文的间隔时间t_ID，以及|t_ID-μ_ID|σ_ID的值；

②比较各ID对应的|t_ID-μ_ID|/_ID值，记录其中最小值对应的ID号，则定位该ID号节点为可能的异常CAN节点，即异常ECU节点。

4.根据权利要求1所述的一种基于报文时钟周期的车载CAN总线入侵检测与防御***，其特征在于：所述非法报文阻断模块能够阻断入侵检测模块在步骤三中检测出的非法报文，具体方法如下：

①非法报文阻断模块针对正在发送过程中的非法报文，在后续仲裁段ID位连续发送显性位0，获取CAN总线高优先级，从而赢得CAN总线使用权；

②赢得CAN总线使用权后，发送一个数据段内容为空的数据帧报文。

Images