CN104320295B - Can报文异常检测方法及系统 - Google Patents
Can报文异常检测方法及系统 Download PDFInfo
- Publication number
- CN104320295B CN104320295B CN201410524529.3A CN201410524529A CN104320295B CN 104320295 B CN104320295 B CN 104320295B CN 201410524529 A CN201410524529 A CN 201410524529A CN 104320295 B CN104320295 B CN 104320295B
- Authority
- CN
- China
- Prior art keywords
- frames
- frame
- alarm
- identifier
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005856 abnormality Effects 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000001514 detection method Methods 0.000 claims abstract description 96
- 230000005540 biological transmission Effects 0.000 claims description 22
- 238000004891 communication Methods 0.000 claims description 11
- 230000008859 change Effects 0.000 claims description 8
- 238000007689 inspection Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 28
- 230000008569 process Effects 0.000 description 6
- 241000208340 Araliaceae Species 0.000 description 2
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 2
- 235000003140 Panax quinquefolius Nutrition 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 235000008434 ginseng Nutrition 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提出一种CAN报文的异常检测方法,包括以下步骤:建立与车辆的OBD‑II口的连接,从OBD‑II接收CAN帧;判断CAN帧的帧格式是否正确,如果CAN帧的帧格式错误,则丢弃CAN帧并报警;如果CAN帧的帧格式正确,则进一步调用检测函数对CAN帧进行合法性检测;如果CAN帧非法,则判定CAN帧异常并报警。本发明的CAN报文的异常检测方法简单高效、安全性高、实用性强。本发明还提出一种CAN报文的异常检测系统。
Description
技术领域
本发明涉及汽车内CAN总线通信安全技术领域,尤其涉及一种CAN报文异常检测方法及系统。
背景技术
汽车内的电子系统包括多个电控单元(electronic control unit,ECU),各个ECU之间通过控制器局域网(control area network,CAN)总线进行通信。CAN通信协议原本是为封闭环境下的CAN总线通信设计,ECU没有对外通信的接口。CAN通信协议中规定了数据帧的循环冗余校验码(cyclic redundancy check,CRC)段用于增强通信的可靠性,但未提供数据帧的加密和认证过程。目前CAN网络存在与外部通信的接口,通过外部接口发送的信息会向总线上的所有ECU广播,存在严重的安全隐患。设计一个可实际应用的异常检测系统非常必要。。
而现有的CAN总线异常检测方案,通常是设计一个应用于CAN总线的网关,网关将CAN总线划分为不同的子网,对于经过不同子网的数据帧进行检测,拦截非法数据帧并报警,同时只转发合法数据帧。目前实施这些CAN总线异常检测方案要求重新更改汽车网关的软硬件设计,成本较高。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的第一个目的在于提出一种简单高效、安全性高、实用性强的CAN报文的异常检测方法。
本发明的第二个目的在于提出一种CAN报文的异常检测系统。
为了实现上述目的,本发明第一方面的实施例中提出一种CAN报文的异常检测方法,包括以下步骤:建立与车辆的OBD-II口的连接,从所述OBD-II接收CAN帧,其中,所述CAN帧包括标识符和数据域;判断所述CAN帧的帧格式是否正确,如果所述CAN帧的帧格式错误,则丢弃所述CAN帧并报警;如果所述CAN帧的帧格式正确,则进一步调用检测函数对所述CAN帧进行合法性检测;如果所述CAN帧非法,则判定所述CAN帧异常,丢弃所述CAN帧并报警,其中,所述检测函数包括对所述CAN帧的标识符、统计特性、语义范围和语义相关性的检测。
根据本发明实施例的CAN报文的异常检测方法,通过建立与车辆的OBD-II口的连接,从OBD-II接收CAN帧。判断CAN帧的帧格式是否正确,如果CAN帧的帧格式错误,则丢弃CAN帧并报警。如果CAN帧的帧格式正确,则进一步调用检测函数对CAN帧进行合法性检测。如果CAN帧非法,则判定CAN帧异常并进行报警。本发明的CAN报文的异常检测方法简单高效、安全性高、实用性强。
在一些示例中,所述检测函数根据预设的CAN帧索引表对所述CAN帧进行检测,其中,所述CAN帧索引表包括:CAN帧的标识符、所述CAN帧的标识符对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的数据域语义值和相关性阈值。
在一些示例中,所述标识符检测包括:将所述帧格式正确的所述CAN帧的标识符与所述CAN帧索引表比对,若所述CAN帧索引表中不存在所述标识符,则丢弃所述CAN帧并报警,反之则判定所述CAN帧的标识符合法。
在一些示例中,所述统计检测包括:检测所述标识符相同的所述CAN帧的传输速率,若所述传输速率大于或者等于预设阈值且所述传输速率连续大于或者等于预设阈值的次数达到预定数值,则判定所述CAN帧非法并报警,反之,则判定所述CAN帧合法。
在一些示例中,所述语义范围检测包括:检测所述CAN帧的数据域语义值是否在预设范围内,若是,则判定所述CAN帧合法,反之,则判定所述CAN帧非法并报警。
在一些示例中,所述语义相关性检测包括:检测所述CAN帧的数据域语义值的变化速率是否大于预设相关性阈值,若是,则判定所述CAN帧非法并报警,反之,则判定所述CAN帧合法。
本发明第二方面的实施例中提出一种CAN报文的异常检测系统,包括:CAN收发器,所述CAN收发器通过所述OBD-II通信接口建立与车辆的OBD-II口的连接,从所述OBD-II接收CAN帧,其中,所述CAN帧包括标识符和数据域;CAN控制器,所述CAN控制器用于判断所述CAN帧的帧格式是否正确;过滤器,所述过滤器包括所述检测函数;报警器,所述报警器用于报警;和微控制器,所述微控制器分别与所述CAN控制器、所述过滤器和所述报警器相连,用于在所述CAN控制器判定所述CAN帧的帧格式错误时,丢弃所述CAN帧并控制所述报警器报警,以及在所述CAN帧的帧格式正确时,调用所述过滤器的检测函数对所述CAN帧进行合法性检测,如果所述CAN帧非法,则判定所述CAN帧异常,丢弃所述CAN帧并报警,其中,所述检测函数包括对所述CAN帧的标识符、统计特性、语义范围和语义相关性的检测。
根据本发明实施例的CAN报文的异常检测系统,通过CAN收发器建立与车辆的OBD-II口的连接,并从OBD-II接收CAN帧。CAN控制器判断CAN帧的帧格式是否正确,如果CAN帧的帧格式错误,则微控制器控制CAN控制器丢弃CAN帧并触发报警器报警。如果CAN帧的帧格式正确,则微控制器进一步控制过滤器调用检测函数对CAN帧进行合法性检测。如果CAN帧非法,则判定CAN帧异常,微控制器触发报警器报警。本发明的CAN报文的异常检测系统简单高效、安全性高、实用性强。
在一些示例中,还包括:与所述微控制器相连的CAN帧索引表,所述检测函数根据预设的CAN帧索引表对所述CAN帧进行检测,其中,所述CAN帧索引表包括:CAN帧的标识符、所述CAN帧的标识符对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的数据域语义值和相关性阈值。
在一些示例中,所述标识符检测包括:将所述帧格式正确的所述CAN帧的标识符与所述CAN帧索引表比对,若所述CAN帧索引表中不存在所述标识符,则丢弃所述CAN帧并报警,反之则判定所述CAN帧的标识符合法。
在一些示例中,所述统计检测包括:检测所述标识符相同的所述CAN帧的传输速率,若所述传输速率大于或者等于预设阈值且所述传输速率连续大于或者等于预设阈值的次数达到预定数值,,则判定所述CAN帧非法并报警,反之,则判定所述CAN帧合法。
在一些示例中,所述语义范围检测包括:检测所述CAN帧的数据域语义值是否在预设范围内,若是,则判定所述CAN帧合法,反之,则判定所述CAN帧非法并报警。
在一些示例中,所述语义相关性检测包括:检测所述CAN帧的数据域语义值的变化速率是否大于预设相关性阈值,若是,则判定所述CAN帧非法并报警,反之,则判定所述CAN帧合法。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是根据本发明一个实施例的CAN报文的异常检测方法的流程图;和
图2是根据本发明一个实施例的CAN报文的异常检测系统的结构框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
参照图1,本发明第一方面实施例的CAN报文的异常检测方法,包括以下步骤:建立与车辆的OBD-II口的连接,从OBD-II接收CAN帧,其中,CAN帧包括标识符和数据域;判断CAN帧的帧格式是否正确,如果CAN帧的帧格式错误,则丢弃CAN帧并报警;如果CAN帧的帧格式正确,则进一步调用检测函数对CAN帧进行合法性检测;如果CAN帧非法,则判定CAN帧异常,并进行报警,其中,检测函数包括对CAN帧的标识符、统计特性、语义范围和语义相关性的检测。本发明实施例的CAN报文的异常检测方法的具体实现过程如下:
步骤S101,建立与车辆的OBD-II口的连接,从OBD-II接收CAN帧,其中,CAN帧包括标识符和数据域。
步骤S102,判断CAN帧的帧格式是否正确,如果CAN帧的帧格式错误,则丢弃CAN帧并报警。
具体地,CAN帧的帧格式检测的目的为了判断CAN帧是否符合CAN通信协议,CAN总线的通信协议,包括ID域、控制域、数据域、校验域等各个部分位数、填充方式是否正确,同时也进行CRC校验,如果CAN帧的帧格式出现错误即丢弃此CAN帧并报警。
特别地,在步骤S102中还对来自网关和CAN子网的CAN帧进行所属帧类型的检测。即,判断接收到的CAN帧为数据帧、远程帧、错误帧、过载帧的一种。需要指出的是远程帧与数据帧的区别在于不包含数据域部分。对于错误帧和过载帧,仅进行帧格式检测。若错误帧和过载帧的帧格式无异常则使其通过检测,否则丢弃并报警。
步骤S103,如果CAN帧的帧格式正确,则进一步调用检测函数对CAN帧进行合法性检测。
具体地,如果CAN帧的帧格式正确,记录并存储此CAN帧的接收时间、标识符和数据域语义值。
进一步地,在本发明的一个实施例中,检测函数根据预设的CAN帧索引表对CAN帧进行检测。其中,CAN帧索引表中存储有车辆OBD-II允许接收的CAN帧的标识符(identifier,ID)及ID对应的语义的相关参数。如表1所示,CAN帧索引表包括:CAN帧合法的ID、CAN帧合法的ID对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的数据域语义值和相关性阈值等参数。在实现本发明的CAN报文异常检测方法之初,需对索引表进行初始化,其中,阈值计数值初始化为0。并在实施过程中,检测函数调用索引表,一个周期的检测结束后更新索引表。特别地,对于接收到的对应不同合法ID的第一个CAN帧,用第一个CAN帧的数据域语义值、接收时间更新索引表中上一帧的接收时间、上一帧的数据域语义值两个参数,但不进行与这两个参数相关的异常检测。
表1 CAN帧索引表
检测函数包括对CAN帧的ID、统计特性、语义范围和语义相关性的检测。具体地,
(1)ID检测为:将帧格式正确的CAN帧的ID与CAN帧索引表比对,若CAN帧索引表中不存在该ID,则判定CAN帧非法报警,反之则判定CAN帧的ID合法。
具体地,ID检测函数的输入参数为CAN帧的ID,利用二分法查找CAN帧索引表,如果在CAN帧索引表中未查到此ID,则判定该CAN帧为一个攻击帧,报警;如果查找到此ID,返回此ID在CAN帧索引表中的存储地址,并将存储地址作为基准地址,调用CAN帧索引表其它参数时可以直接利用此存储地址和其它参数的偏移地址。
(2)统计特性检测为:检测ID相同的CAN帧的传输速率,若传输速率大于或者等于预设阈值且所述传输速率连续大于或者等于预设阈的次数达到预设数值,即阈值计数值达到某一限值,则判定CAN帧非法并报警,反之,则判定CAN帧合法。
例如,检测ID相同的CAN帧的传输速率是否过高,可以通过比较相同ID的CAN帧的接收时间间隔与阈值帧时间间隔阈值进行判断。如果接收时间间隔大于阈值帧时间间隔阈值,则阈值计数值更新为0。如果接收时间间隔小于阈值帧时间间隔阈值,则阈值计数值增加1并在索引表中更新。当阈值计数值等于某个值n时,连续n个CAN帧的发送速率过高,则CAN帧遭到攻击,判定CAN非法并报警,并将阈值计数值更新为0。如果阈值计数值不为0且小于n,判定此CAN帧合法。
进一步地,可以通过调整统计特性检测函数中的n值设置不同的安全级别,n越小安全级别越高。
(3)语义范围检测:检测CAN帧的数据域语义值是否在预设范围内,若是,则判定CAN帧合法,反之,则判定CAN帧非法并报警。
如果CAN帧的数据域语义值超过其ID对应的CAN索引表中数据域语义值的最大值或者低于数据域语义值的最小值,则判定CAN帧遭到攻击并报警,反之,则判定CAN帧合法。
(4)语义相关性检测:检测CAN帧的数据域语义值的变化速率是否大于相关性阈值,若是,则判定CAN帧非法并报警,反之,则判定CAN帧合法。
具体地,CAN帧的ID对应的数据域语义值的变化速率即CAN帧与相同ID的上一CAN帧的数据域语义值的差值与接收时间间隔的比值,如果大于相关性阈值,判定该CAN帧非法并报警,反之,则判定CAN帧合法。
特别地,在实际运行中,检测结束后,需更新CAN帧索引表中上一CAN帧的接收时间、上一CAN帧的数据域语义值两个参数。
需要指出的是,由于远程帧不包含数据域部分,因此对远程帧只进行帧格式检测、标识符(ID)检测和统计检测。
根据本发明实施例的CAN报文的异常检测方法,通过建立与车辆的OBD-II口的连接,从OBD-II接收CAN帧。判断CAN帧的帧格式是否正确,如果CAN帧的帧格式错误,则丢弃CAN帧并报警。如果CAN帧的帧格式正确,则进一步调用检测函数对CAN帧进行合法性检测。如果CAN帧非法,则判定CAN帧异常并报警。本发明的CAN报文的异常检测方法简单高效、安全性高、实用性强。
参照图2,本发明第二方面实施例的CAN报文的异常检测系统100,包括:CAN收发器12、CAN控制器14、过滤器40、报警器50、微控制器20以及与微控制器20相连的CAN帧索引表30。
具体地,CAN收发器12通过OBD-II通信接口建立与车辆的OBD-II口的连接,即CAN收发器12的一端分别与OBD-II口的CAN-H和CAN-L相连,从OBD-II接收CAN帧,其中,CAN帧包括标识符(identifier,ID)和数据域。在具体实施过程中,CAN收发器12可以采用82C250等商用芯片实现。
CAN控制器14用于判断CAN帧的帧格式是否正确。在具体实施过程中,CAN控制器14可以采用独立控制器,例如SJA1000等商用芯片。
过滤器40包括所述检测函数。报警器50用于报警。
微控制器20分别与CAN控制器14、过滤器40和报警器50相连,用于在CAN控制器14判定CAN帧的帧格式错误时,丢弃CAN帧并控制报警器50报警,以及在CAN帧的帧格式正确时,调用过滤器40的检测函数对CAN帧进行合法性检测,如果CAN帧非法,则判定CAN帧异常并进行报警,其中,检测函数包括对CAN帧的标识符、统计特性、语义范围和语义相关性的检测。
特别地,对来自网关和CAN子网的CAN帧还进行所属帧类型的检测。即,判断接收到的CAN帧为数据帧、远程帧、错误帧、过载帧的一种。需要指出的是远程帧与数据帧的区别在于不包含数据域部分。对于错误帧和过载帧,仅进行帧格式检测。若错误帧和过载帧的帧格式无异常则使其通过检测,否则丢弃并报警。
与微控制器20相连的CAN帧索引表30,CAN帧索引表30中存储有车辆OBD-II允许接收的CAN帧的ID及ID对应的数据域语义值的相关参数,检测函数根据预设的CAN帧索引表30对CAN帧进行检测。如表2所示其中,CAN帧索引表30包括:CAN帧的标识符、CAN帧的标识符对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的数据域语义值和相关性阈值。
表2 CAN帧索引表
使用本发明的系统100与OBD-II口相连,供电后即在对CAN帧索引表30进行初始化。其中,阈值计数值初始化为0。并在实施过程中,过滤器40的检测函数调用CAN帧索引表,一个周期的检测结束后更新CAN帧索引表30。特别地,对于接收到的对应不同合法ID的第一个CAN帧,用第一个CAN帧的数据域语义值、接收时间更新索引表中上一帧的接收时间、上一帧的数据域语义值两个参数,但不进行与这两个参数相关的异常检测。
在本发明的一个实施例中,过滤器40的检测函数包括对CAN帧的ID、统计特性、语义范围和语义相关性的检测。具体地,
(1)ID检测为:将帧格式正确的CAN帧的ID与CAN帧索引表30比对,若CAN帧索引表30中不存在该ID,则判定CAN帧非法并报警,反之则判定CAN帧的ID合法。
具体地,ID检测函数的输入参数为CAN帧的ID,利用二分法查找CAN帧索引表30,如果在CAN帧索引表30中未查到此ID,则判定该CAN帧非法并报警;如果查找到此ID,返回此ID在CAN帧索引表30中的存储地址,并将存储地址作为基准地址,调用CAN帧索引表30其它参数时可以直接利用此存储地址和其它参数的偏移地址。
(2)统计特性检测为:检测ID相同的CAN帧的传输速率,若传输速率大于或者等于预设阈值且所述传输速率连续大于或者等于预设阈的次数达到预设数值,即阈值计数值达到某一限值,则判定CAN帧非法并报警,反之,则判定CAN帧合法。
例如,检测ID相同的CAN帧的传输速率是否过高,可以通过比较相同ID的CAN帧的接收时间间隔与时间间隔阈值进行判断。如果接收时间间隔大于阈值帧时间间隔阈值,则阈值计数值更新为0。如果接收时间间隔小于阈值帧时间间隔阈值,则阈值计数值增加1并在CAN帧索引表30中更新。当阈值计数值等于某个值n时,连续n个CAN帧的发送速率过高,判定CAN帧非法并报警,并将阈值计数值更新为0。如果阈值计数值不为0且小于n,判定此CAN帧合法。
进一步地,可以通过调整统计特性检测函数中的n值设置不同的安全级别,n越小安全级别越高。
(3)语义范围检测:检测CAN帧的数据域语义值是否在预设范围内,若是,则判定CAN帧合法,反之,则判定CAN帧非法并报警。
如果CAN帧的数据域语义值超过其ID对应的CAN索引表中数据域语义值的最大值或者低于数据域语义值的最小值,则判定CAN帧非法并报警,反之,则判定CAN帧合法。
(4)语义相关性检测:检测CAN帧的数据域语义的变化速率是否大于相关性阈值,若是,则判定CAN帧非法并报警,反之,则判定CAN帧合法。
具体地,CAN帧的ID对应的数据域语义值的变化速率即CAN帧与相同ID的上一CAN帧的数据域语义值的差值与接收时间间隔的比值,如果大于相关性阈值,判定该CAN帧非法并报警,反之,则判定CAN帧合法。
特别地,在实际运行中,检测结束后,需更新CAN帧索引表30中上一CAN帧的接收时间、上一CAN帧的数据域语义值两个参数。
需要指出的是,由于远程帧不包含数据域部分,因此对远程帧只进行帧格式检测、标识符(ID)检测和统计特性检测。
根据本发明实施例的CAN报文的异常检测系统,通过CAN收发器建立与车辆的OBD-II口的连接,并从OBD-II接收CAN帧。CAN控制器判断CAN帧的帧格式是否正确,如果CAN帧的帧格式错误,则微控制器控制CAN控制器丢弃CAN帧并触发报警器报警。如果CAN帧的帧格式正确,则微控制器进一步控制过滤器调用检测函数对CAN帧进行合法性检测。如果CAN帧非法,则判定CAN帧异常,微控制器触发报警器报警。本发明的CAN报文的异常检测系统简单高效、安全性高、实用性强。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (6)
1.一种CAN报文的异常检测方法,其特征在于,包括以下步骤:
建立与车辆的OBD-II口的连接,从所述OBD-II接收CAN帧,其中,所述CAN帧包括标识符和数据域;
判断所述CAN帧的帧格式是否正确,如果所述CAN帧的帧格式错误,则丢弃所述CAN帧并报警;
如果所述CAN帧的帧格式正确,则进一步调用检测函数对所述CAN帧进行合法性检测;
如果所述CAN帧非法,则判定所述CAN帧异常,并进行报警,其中,所述检测函数包括对所述CAN帧的标识符、统计特性、语义范围和语义相关性的检测,其中,统计特性检测包括:检测所述标识符相同的所述CAN帧的传输速率,若所述传输速率大于或者等于预设阈值且所述传输速率连续大于或者等于预设阈值的次数达到预定数值,则判定所述CAN帧非法并报警,反之,则判定所述CAN帧合法,所述语义范围检测包括:检测所述CAN帧的数据域语义值是否在预设范围内,若是,则判定所述CAN帧合法,反之,则判定所述CAN帧非法并报警,所述语义相关性检测包括:检测所述CAN帧的数据域语义值的变化速率是否大于预设相关性阈值,若是,则判定所述CAN帧非法并报警,反之,则判定所述CAN帧合法。
2.根据权利要求1所述的方法,其特征在于,所述检测函数根据预设的CAN帧索引表对所述CAN帧进行检测,其中,所述CAN帧索引表包括:CAN帧的标识符、所述CAN帧的标识符对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的数据域语义值和相关性阈值。
3.如权利要求1或2任意一项所述的方法,其特征在于,所述标识符检测包括:
将所述帧格式正确的所述CAN帧的标识符与所述CAN帧索引表比对,若所述CAN帧索引表中不存在所述标识符,则丢弃所述CAN帧并报警,反之则判定所述CAN帧的标识符合法。
4.一种CAN报文的异常检测系统,其特征在于,包括:
CAN收发器,所述CAN收发器通过OBD-II通信接口建立与车辆的OBD-II口的连接,从所述OBD-II接收CAN帧,其中,所述CAN帧包括标识符和数据域;
CAN控制器,所述CAN控制器用于判断所述CAN帧的帧格式是否正确;
过滤器,所述过滤器包括所述检测函数;
报警器,所述报警器用于报警;和
微控制器,所述微控制器分别与所述CAN控制器、所述过滤器和所述报警器相连,用于在所述CAN控制器判定所述CAN帧的帧格式错误时,丢弃所述CAN帧并控制所述报警器报警,以及在所述CAN帧的帧格式正确时,调用所述过滤器的检测函数对所述CAN帧进行合法性检测,如果所述CAN帧非法,则判定所述CAN帧异常,并进行报警,其中,所述检测函数包括对所述CAN帧的标识符、统计特性、语义范围和语义相关性的检测,其中,统计特性检测包括:检测所述标识符相同的所述CAN帧的传输速率,若所述传输速率大于或者等于预设阈值且所述传输速率连续大于或者等于预设阈值的次数达到预定数值,则判定所述CAN帧非法并报警,反之,则判定所述CAN帧合法,所述语义范围检测包括:检测所述CAN帧的数据域语义值是否在预设范围内,若是,则判定所述CAN帧合法,反之,则判定所述CAN帧非法并报警,所述语义相关性检测包括:检测所述CAN帧的数据域语义值的变化速率是否大于预设相关性阈值,若是,则判定所述CAN帧非法并报警,反之,则判定所述CAN帧合法。
5.根据权利要求4所述的系统,其特征在于,还包括:与所述微控制器相连的CAN帧索引表,所述检测函数根据预设的CAN帧索引表对所述CAN帧进行检测,其中,所述CAN帧索引表包括:CAN帧的标识符、所述CAN帧的标识符对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的数据域语义值和相关性阈值。
6.如权利要求4所述的系统,其特征在于,所述标识符检测包括:
将所述帧格式正确的所述CAN帧的标识符与所述CAN帧索引表比对,若所述CAN帧索引表中不存在所述标识符,则丢弃所述CAN帧并报警,反之则判定所述CAN帧的标识符合法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410524529.3A CN104320295B (zh) | 2014-10-08 | 2014-10-08 | Can报文异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410524529.3A CN104320295B (zh) | 2014-10-08 | 2014-10-08 | Can报文异常检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104320295A CN104320295A (zh) | 2015-01-28 |
| CN104320295B true CN104320295B (zh) | 2018-05-29 |
Family
ID=52375470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410524529.3A Active CN104320295B (zh) | 2014-10-08 | 2014-10-08 | Can报文异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104320295B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105117359B (zh) * | 2015-07-28 | 2019-03-08 | 厦门雅迅网络股份有限公司 | 一种can口复用装置及方法 |
| WO2017038005A1 (ja) * | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正検知方法、不正検知電子制御ユニット及び不正検知システム |
| JP6649215B2 (ja) * | 2015-12-14 | 2020-02-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、ネットワークシステム及び攻撃検知方法 |
| JP6684690B2 (ja) * | 2016-01-08 | 2020-04-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
| CN105631323B (zh) * | 2016-01-29 | 2018-12-28 | 大连楼兰科技股份有限公司 | 识别obd设备恶意行为并处理的方法及装置 |
| CN109076016B9 (zh) * | 2017-04-07 | 2022-02-15 | 松下电器(美国)知识产权公司 | 非法通信检测基准决定方法、决定系统以及记录介质 |
| CN110753912A (zh) * | 2017-06-23 | 2020-02-04 | 罗伯特·博世有限公司 | 用于通过检查通信中的异常来检测车辆的通信系统中的中断的方法 |
| CN107454107B (zh) * | 2017-09-15 | 2020-11-06 | 中国计量大学 | 一种检测注入式攻击的控制器局域网汽车总线报警网关 |
| CN110351295A (zh) * | 2019-07-22 | 2019-10-18 | 百度在线网络技术(北京)有限公司 | 报文检测方法和装置、电子设备、计算机可读介质 |
| CN111147313B (zh) * | 2019-12-31 | 2022-08-23 | 潍柴动力股份有限公司 | 一种报文异常监控方法、装置、存储介质及电子设备 |
| CN113536315A (zh) * | 2021-05-26 | 2021-10-22 | 联合汽车电子有限公司 | 车载电子控制器改装检测方法、存储介质和系统 |
| CN113507487B (zh) * | 2021-09-06 | 2021-12-24 | 蜂巢能源科技有限公司 | Can通信安全的检测方法、装置、电子设备及车辆 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102951107A (zh) * | 2011-08-25 | 2013-03-06 | 日产自动车株式会社 | 车辆系统的异常判断装置 |
| CN103129489A (zh) * | 2011-11-30 | 2013-06-05 | 苏州卡泰克电子科技有限公司 | 一种基于can/lin总线的红外车内环境监控系统 |
| EP2735969A1 (fr) * | 2012-11-27 | 2014-05-28 | Oberthur Technologies | Ensemble électronique comprenant un module de desactivation |
-
2014
- 2014-10-08 CN CN201410524529.3A patent/CN104320295B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102951107A (zh) * | 2011-08-25 | 2013-03-06 | 日产自动车株式会社 | 车辆系统的异常判断装置 |
| CN103129489A (zh) * | 2011-11-30 | 2013-06-05 | 苏州卡泰克电子科技有限公司 | 一种基于can/lin总线的红外车内环境监控系统 |
| EP2735969A1 (fr) * | 2012-11-27 | 2014-05-28 | Oberthur Technologies | Ensemble électronique comprenant un module de desactivation |
Non-Patent Citations (1)
| Title |
|---|
| "Enhancing Security in CAN Systems using a Star Coupling Router";Roland Kammerer etc;《7th IEEE International Symposium on Industrial Embedded Systems (SIES"12)》;20120622;第241页2-4段 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104320295A (zh) | 2015-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104320295B (zh) | Can报文异常检测方法及系统 | |
| CN104301177B (zh) | Can报文异常检测方法及系统 | |
| US9866570B2 (en) | On-vehicle communication system | |
| USRE40791E1 (en) | Method and system for verifying the authenticity of a first communication participants in a communications network | |
| CN109660502A (zh) | 异常行为的检测方法、装置、设备及存储介质 | |
| JP2017123639A (ja) | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム | |
| CN103746885A (zh) | 一种面向下一代防火墙的测试系统和测试方法 | |
| CN107508831B (zh) | 一种基于总线的入侵检测方法 | |
| CN107135127A (zh) | 一种网络流量异常检测方法及装置 | |
| CN109344609A (zh) | 一种tcu模块、tcu系统及保护方法 | |
| CN105260660A (zh) | 智能终端支付环境的监控方法、装置及系统 | |
| CN105578381A (zh) | 一种创建订阅资源的方法和装置 | |
| CN112769833A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| EP2916616A2 (en) | M2m gateway device and applying method thereof | |
| CN103929732A (zh) | 一种管理终端外设的方法及m2m网关 | |
| CN103823702B (zh) | 一种应用安装方法及电子设备 | |
| CN105577705A (zh) | 针对iec60870-5-104协议的安全防护方法及系统 | |
| CN103139219A (zh) | 基于可信交换机的生成树协议的攻击检测方法 | |
| CN112822209A (zh) | 一种单向数据传输的工业网络系统 | |
| CN115150209B (zh) | 数据处理方法、工业控制系统、电子设备及存储介质 | |
| CN104935556B (zh) | 一种网络安全处理方法、装置及系统 | |
| CN112152972A (zh) | 检测iot设备漏洞的方法和装置、路由器 | |
| CN105847234A (zh) | 可疑终端接入预警方法、网关管理平台及网关设备 | |
| CN114630329A (zh) | 用于在peps场景中识别中继攻击的方法和设备 | |
| CN108768996A (zh) | 一种sql注入攻击的检测防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |