2. 技术
  3. CAN总线入侵检测方法及装置与流程

CAN总线入侵检测方法及装置与流程

xiaoxiao21小时前  3

本技术实施例涉及车辆,尤其涉及一种can总线入侵检测方法及装置。


背景技术:

1、can(controller area network),是iso国际标准化的串行通信协议,是一种多主方式的串行通信总线,广泛应用于汽车工业中。can总线具有优越的实时性能,适用于需要及时传输数据的应用,如汽车控制系统、工业自动化等。

2、相关技术中,对于can总线的入侵检测,可以通过支持向量机模型或者神经网络模型去识别关联数据之间的特征是否正确,从而识别can总线是否被入侵。can总线被入侵的形式包括但不限于can报文被篡改,can报文被伪造,can报文被重放等中至少一种。但是基于支持向量机模型或者神经网络模型,需要人为识别哪些数据是关联数据,并且强关联性的数据并不多,对弱关联性数据篡改识别率很低,人工成本高,整体检测对控制器的计算资源占用也很大。


技术实现思路

1、本技术实施例提供一种can总线入侵检测方法及装置,以解决相关技术中对于can总线的入侵检测需要人为介入,入侵识别率低,人工成本高、对控制器的计算资源占用大的技术问题。

2、本技术实施例提供了一种can总线入侵检测方法,所述方法包括:获取待检测控制器向can总线发送的当前待检测报文组,所述当前待检测报文组包括一个或多个当前待检测报文;读取每一个当前待检测报文的can协议预留填充位的当前填充内容,得到当前待检测数据特征数组;将所述当前待检测数据特征数组与当前预设数据特征数组进行比对;根据比对结果确定所述can总线的当前入侵状态,以进行can总线入侵检测。

3、于本技术一实施例中,获取待检测控制器向can总线发送的当前待检测报文组之前,所述方法包括:所述待检测控制器接收网关发送的入侵检测结果报文组,所述入侵检测结果报文组包括表征入侵次数的入侵数据特征数组对;如果所述入侵数据特征数组对没有发生变化,所述待检测控制器根据前一待检测报文组中采用的前一待检测数据特征数组、当前的待检测数据特征数组集合、预设循环顺序和待检测数据特征数组循环周期确定当前待检测数据特征数组,所述前一待检测数据特征数组和所述当前待检测数据特征数组同属于当前的待检测数据特征数组集合,每一个待检测数据特征数组集合包括多个待检测数据特征数组,所述多个待检测数据特征数组具有预设循环顺序,所述当前的待检测数据特征数组集合基于所述入侵检测结果报文组中的入侵数据特征数组对确定,不同的入侵数据特征数组对预先设置有不同的待检测数据特征数组集合;所述待检测控制器根据所述当前待检测数据特征数组确定需要发送的当前待检测报文组中的每一个当前待检测报文的can协议预留填充位的当前填充内容,并基于所述当前填充内容对每一个当前待检测报文的can协议预留填充位进行填充,得到所述当前待检测报文组。

4、于本技术一实施例中,所述方法还包括:如果所述入侵数据特征数组对发生变化,所述待检测控制器根据所述入侵检测结果报文中的入侵数据特征数组对确定变化后的待检测数据特征数组集合;将变化后的待检测数据特征数组集合中预设循环顺序为第一的待检测数据特征数组确定为当前待检测数据特征数组;所述待检测控制器根据所述当前待检测数据特征数组确定需要发送的当前待检测报文组中的每一个当前待检测报文的can协议预留填充位的当前填充内容,并基于所述当前填充内容对每一个当前待检测报文的can协议预留填充位进行填充,得到所述当前待检测报文组。

5、于本技术一实施例中,所述待检测数据特征数组循环周期的确定方式包括:如果所述待检测控制器的待检测报文组中存在至少两个待检测报文的发送频率不同,根据全部的发送频率确定所述待检测控制器的待检测数据特征数组循环周期。

6、于本技术一实施例中,如果所述待检测控制器的数量为多个,各待检测控制器对应的待检测数据特征数组均不同。

7、于本技术一实施例中,一个待检测控制器的can协议预留填充位的确定方式包括:获取一个待检测控制器向can总线发送的全部类型的控制器报文;将全部类型的控制器报文中的至少一部分确定为待检测报文;在每一所述待检测报文中选择至少一个比特的预留填充位,所述预留填充位用于填充构成待检测数据特征数组的对应的填充内容,以完成每一个待检测报文的can协议预留填充位的确定。

8、于本技术一实施例中,将所述当前待检测数据特征数组与当前预设数据特征数组进行比对之前,所述方法还包括:根据网关当前发送的入侵检测结果报文组确定当前的待检测数据特征数组集合,所述入侵检测结果报文组包括表征入侵次数的入侵数据特征数组对,不同的入侵数据特征数组对预先设置有不同的待检测数据特征数组集合,每一个待检测数据特征数组集合包括多个待检测数据特征数组,所述多个待检测数据特征数组具有预设循环顺序;如果网关当前发送的入侵检测结果报文组与所述网关前一次发送的入侵检测结果报文组相同,根据获取的前一次待检测报文组确定的前一待检测数据特征数组、所述当前的待检测数据特征数组集合以及预设循环顺序确定所述当前预设数据特征数组;如果网关当前发送的入侵检测结果报文组与所述网关前一次发送的入侵检测结果报文组不同,将当前的待检测数据特征数组集合中预设循环顺序为第一的待检测数据特征数组确定为所述当前预设数据特征数组。

9、于本技术一实施例中,根据比对结果确定所述can总线的当前入侵状态,包括:如果所述比对结果为比对失败,在预设时长内获取所述待检测控制器向can总线发送的新的当前待检测报文组;对每一个新的当前待检测报文组所得到的新的当前待检测数据特征数组与新的当前预设数据特征数组进行比对;如果在所述预设时长内得到的比对结果中存在大于预设失败阈值数量的比对失败的结果,将所述can总线的当前入侵状态确定为入侵;如果在所述预设时长内得到的比对结果中存在小于或等于预设失败阈值数量的比对失败的结果,将所述can总线的当前入侵状态确定为安全。

10、于本技术一实施例中,所述方法还包括:如果所述can总线的当前入侵状态确定为入侵,触发网关确定新的入侵检测结果报文组作为当前发送的入侵检测结果报文组,所述新的入侵检测结果报文组中包括新的入侵数据特征数组对,所述新的入侵数据特征数组对基于所述can总线的当前入侵状态确定为入侵的入侵次数确定,每一入侵次数预先设定有对应的入侵数据特征数组对;如果所述can总线的当前入侵状态尚未确定为入侵,触发网关沿用上一次发送的入侵检测结果报文组作为当前发送的入侵检测结果报文组。

11、本技术实施例还提供了一种can总线入侵检测装置,所述装置包括:获取模块,用于获取待检测控制器向can总线发送的当前待检测报文组,所述当前待检测报文组包括一个或多个当前待检测报文;读取模块,用于读取每一个当前待检测报文的can协议预留填充位的当前填充内容,得到当前待检测数据特征数组;比对模块,用于将所述当前待检测数据特征数组与当前预设数据特征数组进行比对;检测模块,用于根据比对结果确定所述can总线的当前入侵状态,以对所述待检测控制器进行can总线入侵检测。

12、本技术实施例还提供了一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述任一项实施例所述的方法。

13、本技术实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述任一项实施例所述的方法。

14、上述提供的can总线入侵检测方法及装置,该方法通过获取待检测控制器向can总线发送的一个或多个当前待检测报文,对其中的当前填充内容进行读取,得到当前待检测数据特征数组,并将当前待检测数据特征数组与当前预设数据特征数组进行比对,基于比对结果来确定can总线的当前入侵状态,以实现can总线入侵检测,通过使用can协议的预留位构建数据特征,可以准确检测出异常入侵,且当前待检测数据特征数组所提供的数据特征是报文内部数据变化的特征,提高了被破解的难度,不需要人工过多的参与,节约了人力,提升了入侵的识别率,相较于通过支持向量机模型或者神经网络模型去识别关联数据之间的特征是否正确的方式,对控制器的计算资源占用也较小。


技术特征:

1.一种can总线入侵检测方法,其特征在于,所述方法包括:

2.如权利要求1所述的can总线入侵检测方法,其特征在于,获取待检测控制器向can总线发送的当前待检测报文组之前,所述方法包括:

3.如权利要求2所述的can总线入侵检测方法,其特征在于,所述方法还包括:

4.如权利要求2所述的can总线入侵检测方法,其特征在于,所述待检测数据特征数组循环周期的确定方式包括:如果所述待检测控制器的待检测报文组中存在至少两个待检测报文的发送频率不同,根据全部的发送频率确定所述待检测控制器的待检测数据特征数组循环周期。

5.如权利要求2所述的can总线入侵检测方法,其特征在于,如果所述待检测控制器的数量为多个,各待检测控制器对应的待检测数据特征数组均不同。

6.如权利要求1-5任一项所述的can总线入侵检测方法,其特征在于,一个待检测控制器的can协议预留填充位的确定方式包括:

7.如权利要求1-5任一项所述的can总线入侵检测方法,其特征在于,将所述当前待检测数据特征数组与当前预设数据特征数组进行比对之前,所述方法还包括:

8.如权利要求1-5任一项所述的can总线入侵检测方法,其特征在于,根据比对结果确定所述can总线的当前入侵状态,包括:

9.如权利要求8所述的can总线入侵检测方法,其特征在于,所述方法还包括:

10.一种can总线入侵检测装置,其特征在于,所述装置包括:


技术总结
本申请涉及车辆技术领域,提出了一种CAN总线入侵检测方法及装置,该方法通过获取待检测控制器向CAN总线发送的一个或多个当前待检测报文,对其中的当前填充内容进行读取,得到当前待检测数据特征数组,并将其与当前预设数据特征数组进行比对,基于比对结果来确定CAN总线的当前入侵状态,以实现CAN总线入侵检测,通过使用CAN协议的预留位构建数据特征,可以准确检测出异常入侵,且当前待检测数据特征数组所提供的数据特征是报文内部数据变化的特征,提高了被破解的难度,不需要人工过多的参与,节约了人力,提升了入侵的识别率,相较于通过支持向量机模型或者神经网络模型去识别关联数据之间的特征是否正确的方式,对控制器的计算资源占用也较小。

技术研发人员:阳国庆,陈轶,居婷,张洪剑
受保护的技术使用者:重庆赛力斯凤凰智创科技有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)