CN108111510A

CN108111510A - 一种车内网络入侵检测方法及系统

Info

Publication number: CN108111510A
Application number: CN201711385344.9A
Authority: CN
Inventors: 秦洪懋; 周云水; 吴新开; 王云鹏; 余贵珍; 高哈尔; 王颖会; 魏磊
Original assignee: Beihang University
Current assignee: Beihang University
Priority date: 2017-12-20
Filing date: 2017-12-20
Publication date: 2018-06-01
Also published as: CH714535A2; CH714535B1

Abstract

本发明公开一种车内网络入侵检测方法及系统。系统包括：计时模块、检测模块和学习模块；计时模块用于将系统的运行时间发送到通信模块中，通信模块根据系统的运行时间记录接收到的报文的接收时间的时间戳和报文发送节点的身份标识；通信模块将身份标识和接收时间的时间戳发送给学习模块和检测模块；学习模块用于在网络正常的情况下根据接收时间的时间戳确定发送节点的时钟漂移理论值，并将时钟漂移理论值与发送节点的身份标识绑定；检测模块用于在入侵检测时根据接收时间的时间戳确定发送节点的时钟漂移相对于时钟漂移理论值的偏差。本发明公开的方法及系统，可直接安装于T‑Box的通信模块上，具有普遍适用性，能够保证大部分汽车的网络的安全。

Description

一种车内网络入侵检测方法及系统

技术领域

本发明涉及汽车网络安全领域，特别是涉及一种车内网络入侵检测方法及系统。

背景技术

现代汽车逐渐向网联化、智能化发展，每辆汽车上的电子控制单元(ECU，Electronic Control Unit)的数量迅速增多，已经达到近百个。为了让汽车为使用者提供更便利的功能和服务，汽车的电子电气系统越来越复杂的同时，也增加了与外界通信的接口，比如：WIFI、蓝牙、3G/4G通信、USB等接口。对于智能网联汽车来说，远程信息处理器(T-Box，Telematics Box)是连接汽车内部网络和外部网络的网关设备，为汽车提供外部通信功能，实现与外部的互联，包括V2I、V2V等通信。汽车互联可以给用户带来巨大便利，但同时也将汽车系统暴露在互联网中，增加了被黑客攻击的可能性。

为了降低汽车被黑客攻击的风险，需要针对汽车建立分层纵深防御体系，提升汽车的安全等级。在分层纵深防御体系中，车内网络的安全通信是整个安全防御体系建设中关键的一层，只有实现了车内网络安全通信才能构建安全的汽车电子电气系统。但是目前汽车上的通信网络大都以控制器局域网络(CAN，Controller Area Network)总线为主，CAN网络协议在设计之初的目的是运用在封闭的汽车环境中，没有考虑到网络安全问题，具有很多信息安全威胁漏洞，这些漏洞一旦被黑客利用，可以实现一些恶意的操作以及窃取用户的隐私数据等，对汽车使用者造成财产损失、隐私泄露、人身安全等问题。比如基于CAN2.0标准的报文中并不包含发送者的身份信息，也没有发送时间信息，数据域中的信息没有经过加密处理，黑客可以很容易的监听到发送的数据信息。

为了满足汽车信息安全需求，对于车内网络的入侵检测和防御是最关键的技术之一。车内网络入侵检测和防御可以及时的识别到外来的攻击，并且采取适当的防御措施，可以降低甚至消除恶意攻击带来的消极影响，保证汽车电子电气系统的正常安全运行。

目前的车内网络大多数是总线型的，有CAN、LIN、MOST、Flexray等总线，这些总线的带宽都比较小，比较难部署加密、认证等安全防护措施，入侵检测方法是最容易部署，最有效的车内网络安全防护方法之一。但是现有的入侵检测方法大多针对IT领域的网络，无法适用于车内网络入侵检测。

发明内容

本发明的目的是提供一种车内网络入侵检测方法及系统，能够实现针对总线型的汽车网络进行网络入侵检测，有效保证驾驶者及乘客的安全。

为实现上述目的，本发明提供了如下方案：

一种车内网络入侵检测方法，包括：

在T-Box每次接收到N条报文后，获取接收到的N条报文的发送节点身份标识、接收时间和相邻两条报文的接收时间间隔；其中N为正整数；

获取所述发送节点身份标识所对应的发送节点的时钟漂移，得到时钟漂移理论值；所述时钟漂移理论值是在网络正常情况下通过对各个发送节点发送报文的时间信息进行学习得到的，每个发送节点均对应一个时钟漂移；

根据所述接收时间和所述接收时间间隔计算识别误差和时钟漂移实际值；

将所述时钟漂移实际值与所述时钟漂移理论值进行对比确定发送报文的发送节点的身份标识；

利用累计和的方法计算多次接收所述识别误差的平均值和方差；

根据所述平均值、所述方差和所述时钟漂移理论值计算累计识别误差；

当所述累计识别误差超过设定阈值时，确定车内网络异常；当所述累计识别误差满足所述设定阈值时，确定车内网络正常。

可选的，所述通过对各个发送节点发送报文的时间信息进行学习得到所述时钟漂移理论值的具体过程为：

获取N条报文的接收时间的时间戳；

根据N条报文的接收时间的时间戳计算报文的发送周期；

根据所述发送周期和所述接收时间的时间戳计算累计偏差；

根据所述累计偏差计算时钟漂移，得到时钟漂移理论值。

可选的，所述根据所述接收时间和所述接收时间间隔计算识别误差，具体包括：

建立线性回归模型O_acc[k]＝S[k]*t[k]+e[k]；其中k是接收到N条报文的次数；O_acc[k]是第k次分析N条报文得到的累积时钟偏差；S[k]表示时钟漂移实际值；t[k]为系统运行时间，e[k]为识别误差；

根据所述线性回归模型，根据所述接收时间和所述接收时间间隔，利用递归最小二乘法计算所述识别误差。

本发明还公开了一种车内网络入侵检测系统，包括：计时模块、检测模块和学习模块；所述计时模块的输出端与T-Box的通信模块连接；所述通信模块的输出端与所述学习模块连接；所述通信模块还与所述检测模块双向连接；所述学习模块的输出端与所述检测模块连接；

所述计时模块用于将系统的运行时间发送到所述通信模块中，所述通信模块根据所述系统的运行时间记录接收到的报文的接收时间的时间戳和报文发送节点的身份标识；所述通信模块将所述身份标识和所述接收时间的时间戳发送给所述学习模块和所述检测模块；所述学习模块用于在网络正常的情况下根据接收时间的时间戳确定所述发送节点的时钟漂移理论值，并将所述时钟漂移理论值与所述发送节点的身份标识绑定；所述检测模块用于在入侵检测时根据接收时间的时间戳确定所述发送节点的时钟漂移相对于时钟漂移理论值的偏差。

可选的，该系统还包括云控平台，所述通信模块与所述云控平台双向连接；所述通信模块用于在所述检测模块检测到网络异常时向所述云控平台发送报警信息，并且接收所述云控平台发送的在线升级指令和升级包。

根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明中的方法及系统基于T-Box和CAN总线对车内网络进行动态监测，适用于大部分的汽车网络的异常监测，具有普遍适用性；本发明的方法在网络正常的情况下获取发送节点的时钟漂移作为发送节点的时钟标记信息，从而可以实现身份的鉴别，识别非指定发送节点发送的信息并防止恶意攻击，提高了汽车网络的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明车内网络入侵检测方法实施例的方法流程图；

图2为本发明车内网络入侵检测系统的系统结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明车内网络入侵检测方法实施例的方法流程图。

参见图1，该车内网络入侵检测方法，包括：

步骤101：在T-Box每次接收到N条报文后，获取接收到的N条报文的发送节点身份标识、接收时间和相邻两条报文的接收时间间隔；其中N为正整数。

步骤102：获取所述发送节点身份标识所对应的发送节点的时钟漂移，得到时钟漂移理论值；所述时钟漂移理论值是在网络正常情况下通过对各个发送节点发送报文的时间信息进行学习得到的，每个发送节点均对应一个时钟漂移。

步骤103：根据所述接收时间和所述接收时间间隔计算识别误差和时钟漂移实际值。具体为：

建立线性回归模型O_acc[k]＝S[k]*t[k]+e[k]；其中k是接收到N条报文的次数；O_acc[k]是第k次分析N条报文得到的累积时钟偏差；S[k]表示时钟漂移实际值；t[k]为系统运行时间，e[k]为识别误差。

步骤104：将所述时钟漂移实际值与所述时钟漂移理论值进行对比确定发送报文的发送节点的身份标识。

步骤105：利用累计和的方法计算多次接收所述识别误差的平均值和方差。

步骤106：根据所述平均值、所述方差和所述时钟漂移理论值计算累计识别误差。

步骤107：当所述累计识别误差超过设定阈值时，确定车内网络异常；当所述累计识别误差满足所述设定阈值时，确定车内网络正常。

其中，所述通过对各个发送节点发送报文的时间信息进行学习得到所述时钟漂移理论值的具体过程为：

获取N条报文的接收时间的时间戳。

根据N条报文的接收时间的时间戳计算报文的发送周期。

根据所述发送周期和所述接收时间的时间戳计算累计偏差。

根据所述累计偏差计算时钟漂移，得到时钟漂移理论值。

图2为本发明车内网络入侵检测系统的系统结构图。

参见图2，该车内网络入侵检测系统，包括：计时模块1、检测模块4、学习模块3和云控平台5；所述计时模块1的输出端与T-Box的通信模块2连接；所述通信模块2的输出端与所述学习模块3连接；所述通信模块2还与所述云控平台5和所述检测模块4双向连接；所述学习模块3的输出端与所述检测模块4连接；

该车内网络入侵检测系统基于T-Box的CAN总线设计开发，以适用于智能网联汽车的车内网络信息安全防护，对黑客对车辆内部网络的入侵攻击进行实时的检测，并及时采取相应的防御应急措施，将车辆受到攻击的风险和危害降到最低。本发明通过将车内网络入侵检测系统部署在T-Box上，对车内CAN网络进行监控，根据网络总线上的数据安全威胁等级进行分类，对需要保护的报文进行监控，并利用车内网络入侵检测系统的计时模块1进行准确的计时，记录车内网络入侵检测系统接收到报文的时间戳，将时间戳和发送报文的发送节点的身份标识(即ID)以及数据域打包成检测包，存入先入先出(FIFO，first infirst out)队列，通过FIFO队列读取检测包中的数据，计算出发送节点的时钟漂移，作为发送节点的指纹特征，再利用检测算法判断是否有入侵行为发生，并且通过指纹特征的变化情况判断出入侵攻击的种类，并且实时的发送警报信息给云控平台5，云控平台5会根据警报信息做出及时的防御措施。检测结果会以日志形式记录下来，存储在T-Box的只读存储器(ROM，Read-Only Memory)中，在合适的时间上传到云端，以供云端进一步的判断入侵攻击链以及系统的漏洞，为后期的防御提供更加详细的信息，云控平台5也可以在有需求时主动的请求T-Box发送检测结果。

1、计时模块1：

所述计时模块1用于将系统的运行时间发送到所述通信模块2中。本发明中的车内网络入侵检测系统是基于发送节点(多为ECU)的时钟漂移特征的，因此需要拥有一个准确的计时模块1，能够为整个车内网络入侵检测系统提供精确的计时。本发明的车内网络入侵检测系统的计时精度为100微秒。本发明运用一个32位的定时器，根据系统时钟频率选择合适的预分频系数，每10微秒产生一个计数，计数器溢出时产生溢出中断，记录中断次数即可以得到时间，该时间是指系统运行的时间。

2、通信模块2：

所述通信模块2根据所述系统的运行时间记录接收到的报文的接收时间的时间戳和报文发送节点的身份标识；所述通信模块2将所述身份标识和所述接收时间的时间戳发送给所述学习模块3和所述检测模块4。针对于车辆内部CAN网络，车内网络入侵检测系统需要与CAN总线和云控平台5进行通信。T-Box以中断的方式与CAN总线通信，作为一个单独的线程，每当CAN控制器FIFO信箱里接收到报文时，将会触发CAN报文接收中断，中断触发时，将读取当前时间，并将报文数据和发送节点身份标识记录下来，作为检测包，然后将检测包插入单链表存储，输出给学习模块3和检测模块4，学习模块3和检测模块4将对检测包携带的信息进行处理，对报文进行检测，判断是否有攻击行为产生。所述通信模块2还与云控平台5建立通信，向云控平台5发送攻击警报，并接收云控平台5的指令，进行在线升级等防御措施。通信模块2主要由4G模块组成，通过拨号连接与云控平台5建立TCP连接，定义具体的应用协议进行通信。

3、学习模块3：

所述学习模块3用于在网络正常的情况下根据接收时间的时间戳确定所述发送节点的时钟漂移理论值，并将所述时钟漂移理论值与所述发送节点的身份标识绑定。学习模块3的功能是通过对接收到的报文进行处理，利用递归最小二乘法提取发送节点的时钟漂移特征，将所述时钟漂移特征作为发送节点的指纹特征，从而根据指纹特征识别发送节点的身份信息。为了说明发送节点的时钟漂移的计算方法，先明确时钟偏差和时钟漂移率的概念。时钟偏差是指真实时钟与发送节点本地时钟的差值；时钟漂移率是指单位时间内的时钟偏差。

当T-Box接收到发送节点发送的n条报文时，设t₀＝0为发送节点发送第一帧报文时的时间戳，T为报文的发送周期，d_i为网络延迟，ti为接收到第i条报文时的时间戳，o_i为第i条报文的时钟偏差，x_i为第i条报文与第1条报文接收时间间隔，即：

x_i＝t_i-t₁

o_i＝((i*T+d_i)-d₁)-(t_i-t₁)

网络延迟是基本固定的，即d_i＝d₁，因此可以得出：

o_i＝i*T-(t_i-t₁)

为了计算T的值，将接收到的每N条报文分为一组，计算N条报文的报文的平均发送周期作为报文的发送周期T，计算每个报文相对于第一个报文的平均时钟偏差。将平均时钟偏差绝对值相加得到累积时钟偏差，由定义可知，累积时钟偏差直线的斜率即为时钟漂移率，对于每一个发送节点得出来的时钟漂移率为一个常量，该时钟漂移率即为时钟漂移理论值。因此可以根据接收到的报文计算出每一个发送节点的时钟漂移率，为异常检测提供发送节点的时钟漂移特征，作为发送节点的指纹特征。

4、检测模块4：

所述检测模块4用于在入侵检测时根据接收时间的时间戳确定所述发送节点的时钟漂移相对于时钟漂移理论值的偏差。检测模块4的功能是基于学习模块3提取的指纹特征，结合CAN总线上报文的状态识别是否有攻击产生。我们首先建立CAN总线的正常状态模型。对于一个发送节点的身份标识，我们基于报文接收时间得到发送节点的累积时钟偏差。对于每一个发送节点得出来的时钟漂移率为一个常量，累积时钟偏差是随着时间增加而线性增加，因此可以建立线性回归模型。用公式表达如下：

O_acc[k]＝S[k]*t[k]+e[k]，

其中，k为接收到N条报文的次数，每一次中分析N条报文。O_acc[k]是第k次分析N条报文得到的累积时钟偏差，t[k]为系统运行的时间，e[k]为识别误差，即迭代中产生的误差。S[k]为时钟漂移率，代表线性回归模型的斜率。。我们使用递归最小二乘法(RLS)计算时钟漂移率S[k]。将识别误差作为目标函数，使识别误差的平方最小。因此，在递归最小二乘法里识别误差趋近于零，检测时，获取N条报文的接收时间，和每两条报文接收时间的间隔。如果很长一段时间没有接收到发送节点发送的报文，则认为受到了拒绝服务(DOS，Denialof Service)攻击，判定CAN总线为异常状态。一旦接收到N条报文，获取到N条报文的时间戳后计算出累积时钟偏差和相应的识别误差，以及递归最小二乘法中的增益系数G和协方差P，从而得到时钟漂移率S[k]。每接收到N条报文迭代一次，每次输出时钟漂移率S[k]和识别误差，如果没有攻击出现，识别误差趋近于零，时钟漂移率为一个常数。

利用累计和的方法来判断时钟漂移率是否出现异常的变化。该方法将监测值与理论值的差进行累加从而检测突然的漂移。因为是计算累积和，即使监测到一个与理论值比较小的偏离也会导致累积值稳定的增加或减小。每一步对时钟漂移率进行估计后，将更新识别误差的方差和平均值μ_e。识别误差的方差和平均值μ_e代表着CAN网络的状态，也是累计和算法中的理论值，所以需要对这些值进行监测。

为了预防攻击对理论值造成影响，只有当时对平均值和方差进行更新。在累计和算法中设定两个参数识别误差累计识别误差最大值和累计识别误差最小值，并按以下方式进行更新：

其中其中L_k-1-为上一次获取N条报文后计算得到的累计识别误差最小值，L_k-为当前次获取N条报文后计算得到的累计识别误差最小值，L_k-1+为上一次获取N条报文后计算得到的累计识别误差最大值，L_k+为当前次获取N条报文后计算得到的累计识别误差最大值。K代表预期检测的标准偏离。K可以由线下学习获得，或者通过监测总线正常情况下获得。K的取值应该在网络正常的情况下使得的值趋近于0。当L_k-或者L_k+的绝对值超过设定阈值时就判断为网络异常。所述设定阈值为5。

5、云控平台5：

所述云控平台5用于在所述检测模块4检测到网络异常时接收所述通信模块2发送报警信息，还用于向所述通信模块2发送的在线升级指令和升级包。

本发明中的方法及系统基于T-Box和CAN总线对车内网络进行动态监测，适用于大部分的汽车网络的异常监测，具有普遍适用性；本发明的方法在网络正常的情况下获取发送节点的时钟漂移作为发送节点的时钟标记信息，从而可以实现身份的鉴别，识别非指定发送节点发送的信息并防止恶意攻击，提高了汽车网络的安全性。另外，本发明还具有以下技术效果：

(1)本发明能实时的有效检测出车内CAN总线上的常见攻击，包括注入攻击、拒绝服务攻击、伪装攻击、重放攻击等多种攻击方式。

(2)本发明的车内网络入侵检测系统容易部署于任何车型的车辆上，不需要对汽车原有电子电气架构进行改变，不需要增加额外的硬件资源，成本低，适合于后装，同样适合于前装。

(3)本发明中的检测方法可以根据发送节点的时钟特征识别报文的发送节点，对发送节点进行身份认证。

(4)本发明中车内网络入侵检测系统是运行于T-Box上的轻量级检测方法，占用的硬件资源很少，且检测的实时性高，检测响应时间短

(5)本发明中的车内网络入侵检测方法不需要更改车辆CAN总线协议矩阵。

(6)本发明中的车内网络入侵检测方法具有高的检测率及低误报率。

(7)本发明中的车内网络入侵检测系统和云控平台实时通信，将检测到的攻击行为记录并上传到云控平台，云控平台根据攻击行为记录制定新的防御措施，对车内网络入侵检测系统进行远程更新。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种车内网络入侵检测方法，其特征在于，包括：

2.根据权利要求1所述的一种车内网络入侵检测方法，其特征在于，通过对各个发送节点发送报文的时间信息进行学习得到所述时钟漂移理论值的具体过程为：

获取N条报文的接收时间的时间戳；

根据N条报文的接收时间的时间戳计算报文的发送周期；

根据所述发送周期和所述接收时间的时间戳计算累计偏差；

根据所述累计偏差计算时钟漂移，得到时钟漂移理论值。

3.根据权利要求1所述的一种车内网络入侵检测方法，其特征在于，所述根据所述接收时间和所述接收时间间隔计算识别误差，具体包括：

建立线性回归模型O_acc[k]＝S[k]*t[k]+e[k]；其中k是接收到N条报文的次数；O_acc[k]为第k次分析N条报文得到的累积时钟偏差；S[k]表示时钟漂移实际值；t[k]为系统运行时间，e[k]为识别误差；

4.一种车内网络入侵检测系统，其特征在于，包括：计时模块、检测模块和学习模块；所述计时模块的输出端与T-Box的通信模块连接；所述通信模块的输出端与所述学习模块连接；所述通信模块还与所述检测模块双向连接；所述学习模块的输出端与所述检测模块连接；

5.根据权利要求4所述的一种车内网络入侵检测系统，其特征在于，还包括云控平台，所述通信模块与所述云控平台双向连接；所述通信模块用于在所述检测模块检测到网络异常时向所述云控平台发送报警信息，并且接收所述云控平台发送的在线升级指令和升级包。