CN110351295A - 报文检测方法和装置、电子设备、计算机可读介质 - Google Patents
报文检测方法和装置、电子设备、计算机可读介质 Download PDFInfo
- Publication number
- CN110351295A CN110351295A CN201910661229.2A CN201910661229A CN110351295A CN 110351295 A CN110351295 A CN 110351295A CN 201910661229 A CN201910661229 A CN 201910661229A CN 110351295 A CN110351295 A CN 110351295A
- Authority
- CN
- China
- Prior art keywords
- message
- semaphore
- determining
- abnormal
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000001514 detection method Methods 0.000 claims abstract description 32
- 230000004044 response Effects 0.000 claims abstract description 13
- 230000002159 abnormal effect Effects 0.000 claims description 86
- 238000004891 communication Methods 0.000 claims description 30
- 238000003745 diagnosis Methods 0.000 claims description 18
- 238000000605 extraction Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000013135 deep learning Methods 0.000 abstract description 4
- 230000000694 effects Effects 0.000 abstract description 2
- 230000008859 change Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 230000007717 exclusion Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开提供了一种报文检测方法,该方法包括:提取获取到的报文中携带的报文标识,根据报文标识确定报文的类型,根据报文的类型确定报文是否为异常报文。通过根据报文标识确定报文的类型,可快速对获取到的报文进行分类,以便快速根据报文的类型确定该报文是否异常报文,从而避免现有技术中基于深度学习检测模型对报文进行检测时,造成的数据运算量大,且响应时间长的技术弊端,实现了节约计算成本,提高检测效率的技术效果。本公开还提供了一种报文检测装置、电子设备、计算机可读介质、车辆控制系统。
Description
技术领域
本公开实施例涉及计算机技术领域,特别涉及报文检测方法和装置、
电子设备、计算机可读介质、车辆控制系统。
背景技术
随着互联网技术的发展和应用的普及,网络攻击逐渐成为了用户关注的交点。
在现有技术中,为避免网络攻击,通过设置防火墙的方式对接收到的报文进行检测,以便确定报文是否异常,即确定报文为正常报文或者为异常报文,如果为异常报文,则可直接对该异常报文进行屏蔽,并将发送该异常报文的账号添加至黑名单等。且,现有技术中采用的检测方式主要为基于深度学习检测模型对报文进行检测。
发明内容
本公开实施例提供一种报文检测方法和装置、电子设备、计算机可读介质、车辆控制系统。
第一方面,本公开实施例提供了一种报文检测方法包括:
提取获取到的报文中携带的报文标识;
根据所述报文标识确定所述报文的类型;
根据所述报文的类型确定所述报文是否为异常报文。
在一些实施例中,若所述报文的类型为诊断报文,则确定所述报文的意图;
根据所述报文的意图和所述报文的前一个诊断报文的意图确定所述报文是否为异常报文。
在一些实施例中,若所述报文的类型为通信报文,则根据预设参照信息和所述报文相邻帧的接收频率确定所述报文是否为异常报文;或者,
根据所述预设参照信息、所述报文相邻帧的接收频率和所述报文的信号量确定所述报文是否为异常报文。
在一些实施例中,所述预设参照信息包括第一阈值,所述根据预设参照信息和所述报文相邻帧的接收频率确定所述报文是否为异常报文包括:
将所述报文相邻帧的接收频率与所述第一阈值进行比较;
响应于所述报文相邻帧的接收频率小于所述第一阈值,将所述报文确定为异常报文。
在一些实施例中,所述预设参照信息包括第一阈值和匹配条件,所述根据所述预设参照信息、所述报文相邻帧的接收频率和所述报文的信号量确定所述报文是否为异常报文,包括:
将所述报文相邻帧的接收频率与所述第一阈值进行比较;
响应于所述报文相邻帧的接收频率等于所述第一阈值,判断所述报文的信号量是否满足所述匹配条件,若所述报文的信号量不满足所述匹配条件,则将所述报文确定为异常报文。
在一些实施例中,报文的信号量不满足所述匹配条件,包括:
所述报文的信号量的长度、所述报文的信号量的连续性、所述报文的信号量对应的控制操作的互斥性和所述报文的信号量对应的控制操作的变化趋势中的任意一种不满足所述匹配条件。
第二个方面,本公开实施例还提供了一种报文检测装置,包括:
提取模块,用于提取获取到的报文中携带的报文标识;
类型确定模块,用于根据所述报文标识确定所述报文的类型;
报文确定模块,用于根据所述报文的类型确定所述报文是否为异常报文。
在一些实施例中,还包括:
意图确定模块,用于若所述报文的类型为诊断报文,则确定所述报文的意图;
所述报文确定模块还用于,根据所述报文的意图和所述报文的前一个诊断报文的意图确定所述报文是否为异常报文。
在一些实施例中,所述报文确定模块还用于,若所述报文的类型为通信报文,则根据预设参照信息和所述报文相邻帧的接收频率确定所述报文是否为异常报文;或者,
根据所述预设参照信息、所述报文相邻帧的接收频率和所述报文的信号量确定所述报文是否为异常报文。
在一些实施例中,所述预设参照信息包括第一阈值,所述报文确定模块具体用于,将所述报文相邻帧的接收频率与所述第一阈值进行比较;响应于所述报文相邻帧的接收频率小于所述第一阈值,将所述报文确定为异常报文。
在一些实施例中,所述预设参照信息包括第一阈值和匹配条件,所述报文确定模块具体用于,将所述报文相邻帧的接收频率与所述第一阈值进行比较;响应于所述报文相邻帧的接收频率等于所述第一阈值,判断所述报文的信号量是否满足所述匹配条件,若所述报文的信号量不满足所述匹配条件,则将所述报文确定为异常报文。
在一些实施例中,所述报文的信号量不满足所述匹配条件,包括:若所述报文的信号量的长度、所述报文的信号量的连续性、所述报文的信号量对应的控制操作的互斥性和所述报文的信号量对应的控制操作的变化趋势中的任意一种不满足所述匹配条件。
第三个方面,本公开实施例还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上任一实施例所述的方法。
第四个方面,本公开实施例还提供了一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如上任一实施例所述的方法。
第五个方面,本公开实施例还提供了一种车辆控制系统,所述车辆控制系统包括多个电子控制单元,其中,每个电子控制单元均包括:
存储器,被配置为存储数据及指令;
与所述存储器建立通信的处理器,其中,当执行所述存储器中的指令时,所述处理器被配置为:
提取获取到的报文中携带的报文标识;
根据所述报文标识确定所述报文的类型;
根据所述报文的类型确定所述报文是否为异常报文。
在一些实施例中,所述处理器还被配置为:
若所述报文的类型为诊断报文,则获取车辆的速度;
响应于所述速度不等于0,将所述报文确定为异常报文。
在一些实施例中,所述处理器还被配置为:
响应于所述速度等于0,确定所述报文的意图;
根据所述报文的意图和所述报文的前一个诊断报文的意图确定所述报文是否为异常报文。
根据本公开实施例提供的技术方案:提取获取到的报文中携带的报文标识,根据报文标识确定报文的类型,根据报文的类型确定报文是否为异常报文,通过根据报文标识确定报文的类型,可快速对获取到的报文进行分类,以便快速根据报文的类型确定该报文是否异常报文,从而避免现有技术中基于深度学习检测模型对报文进行检测时,造成的数据运算量大,且响应时间长的技术弊端,实现了节约计算成本,提高检测效率的技术效果。
附图说明
附图用来提供对本公开实施例的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开,并不构成对本公开的限制。通过参考附图对详细示例实施例进行描述,以上和其他特征和优点对本领域技术人员将变得更加显而易见,在附图中:
图1为本公开实施例的报文检测方法的流程示意图;
图2为本公开实施例的确定诊断报文是否为异常报文的流程示意图;
图3为本公开实施例的根据预设参照信息和报文相邻帧的接收频率确定通信报文是否为异常报文的流程示意图;
图4为本公开实施例的根据预设参照信息、相邻帧的接收频率和报文的信号量确定通信报文是否为异常报文的流程示意图;
图5为本公开实施例的报文检测装置的示意图;
图6为本公开另一实施例的报文检测装置的示意图;
图7为本公开实施例的报文检测装置的结构示意图;
1、提取模块,2、类型确定模块,3、报文确定模块,4、意图确定模块,701、存储器,702、处理器,703、输入/输出接口。
具体实施方式
为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的报文检测方法和装置、电子设备、计算机可读介质、车辆控制系统进行详细描述。
在下文中将参考附图更充分地描述示例实施例,但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之,提供这些实施例的目的在于使本公开透彻和完整,并将使本领域技术人员充分理解本公开的范围。
如本文所使用的,术语“和/或”包括一个或多个相关列举条目的任何和所有组合。
本文所使用的术语仅用于描述特定实施例,且不意欲限制本公开。如本文所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。还将理解的是,当本说明书中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其他特征、整体、步骤、操作、元件、组件和/或其群组。
本文所述实施例可借助本公开的理想示意图而参考平面图和/或截面图进行描述。因此,可根据制造技术和/或容限来修改示例图示。因此,实施例不限于附图中所示的实施例,而是包括基于制造工艺而形成的配置的修改。因此,附图中例示的区具有示意性属性,并且图中所示区的形状例示了元件的区的具体形状,但并不旨在是限制性的。
除非另外限定,否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本文明确如此限定。
根据本公开实施例的一个方面,本公开实施例提供了一种报文检测方法。
请参阅图1,图1为本公开实施例的报文检测方法的流程示意图。
如图1所示,该方法包括:
S1:提取获取到的报文中携带的报文标识。
其中,报文标识可为报文对应的ID,报文标识可以反映出报文的类型。
在该步骤中,当获取到报文时,则从报文中提取该报文携带的报文标识(如报文的ID等)。
S2:根据报文标识确定报文的类型。
其中,可基于报文标识将不同类型的报文进行区分,如根据某报文的报文标识确定该报文的类型为诊断报文,或者为通信报文等。
S3:根据报文的类型确定报文是否为异常报文。
在本公开实施例中,异常报文是指报文的不同帧的接收频率异常、报文的信号量异常的报文,不包括在传输过程中发生丢帧情况的报文。
后续结合图2详细说明确定诊断报文是否为异常报文的具体实现方式,并结合图3和图4详细说明确定通信报文是否为异常报文的具体实现方式。
在本公开实施例中,提供了一种新的报文检测方法,该方法包括:提取获取到的报文中携带的报文标识,根据报文标识确定报文的类型,根据报文的类型确定报文是否为异常报文。通过根据报文标识确定报文的类型,可快速对获取到的报文进行分类,以便快速根据报文的类型确定该报文是否异常报文,从而避免现有技术中基于深度学习检测模型对报文进行检测时,造成的数据运算量大,且响应时间长的技术弊端,实现了节约计算成本,提高检测效率的技术效果。
图2为本公开实施例的确定诊断报文是否为异常报文的流程示意图,如图2所示,在一些实施例中,若报文的类型为诊断报文,则该方法还包括:
S11:确定报文的意图。
具体地,当确定出当前接收到的报文为诊断报文时,对报文进行解析,得到报文的意图。
S12:根据报文的意图和报文的前一个诊断报文的意图确定报文是否为异常报文。
在该步骤中,确定当前接收到的报文的前一个诊断报文的意图,将当前接收到的报文的意图和前一个诊断报文的意图相比较,根据比较结果确定当前接收到的报文是否为异常报文。
在一些实施例中,S12具体包括:判断当前接收到的报文的意图和前一个诊断报文的意图是否相同,若相同,则将当前接收到的报文确定为异常报文。如,两个意图(即当前接收到的报文的意图和前一个诊断报文的意图)均为安全访问的登录的意图,则说明发送所述报文的设备企图连续登陆,尝试破解安全访问的登录密码的可能性较大,因此,将当前接收到的报文确定为异常报文。
在一些实施中,在确定出报文的类型为诊断报文之后,在S11之前,还包括:判断报文的结构是否正确,如果不正确,则将报文确定为异常报文。如,报文的请求数据不符合行业数据规则,则可确定该报文为异常报文;又如,报文的意图为请求切换会话模式,但是请求不符合行业规定,则可确定该报文为异常报文。
在一些实施例中,若报文的类型为通信报文,则确定报文是否为异常报文的步骤包括:根据预设参照信息和报文相邻帧的接收频率确定报文是否为异常报文;或者,根据预设参照信息、报文相邻帧的接收频率和报文的信号量确定报文是否为异常报文。
图3为本公开实施例的根据预设参照信息和报文相邻帧的接收频率确定通信报文是否为异常报文的流程示意图,如图3所示,在一些实施例中,预设参照信息包括第一阈值,当判断出报文的类型为通信报文时,根据预设参照信息和报文相邻帧的接收频率确定该通信报文是否为异常报文的步骤包括:
S31:将报文相邻帧的接收频率与第一阈值进行比较,若报文相邻帧的接收频率小于第一阈值,则执行S32。
S32:将报文确定为异常报文。
具体地,可通过设置计时器的方式确定报文相邻帧的接收频率,具体实现方法可参见现有技术,此处不再赘述。
需要说明的是,在本公开实施例中,若报文相邻帧的接收频率大于第一阈值,说明报文在传输过程中发生丢帧现象,这种情况不会判断为异常报文,而是认为发生了报文传输错误。
图4为本公开实施例的根据预设参照信息、相邻帧的接收频率和报文的信号量确定通信报文是否为异常报文的流程示意图,如图4所示,在一些实施例中,预设参照信息包括第一阈值和匹配条件,当判断出报文的类型为通信报文时,根据预设参照信息、报文相邻帧的接收频率和报文的信号量确定该通信报文是否为异常报文的步骤包括:
S41:将报文相邻帧的接收频率与第一阈值进行比较,若报文相邻帧的接收频率等于第一阈值,则执行S42。
S42:判断报文的信号量是否满足匹配条件,若不满足,则执行S43。
S43:将报文确定为异常报文。
在一些实施例中,报文的信号量不满足所述匹配条件,包括:报文的信号量的长度、报文的信号量的连续性、报文的信号量对应的控制操作的互斥性和报文的信号量对应的控制操作的变化趋势中的任意一种不满足匹配条件。
示范性地,由于报文的信号量的长度可以通过字节表示,因此可通过对字节进行移位等计算,得到报文的信号量的长度。将报文的信号量的长度与匹配条件中的第二阈值进行比较,如果报文的信号量的长度小于第二阈值,则说明报文的信号量的长度满足匹配条件;如果报文的信号量的长度大于或等于第二阈值,则说明报文的信号量的长度不满足匹配条件。
示范性地,确定报文中每一帧信号量的值,根据接收到各帧信号量的时间顺序判断各帧信号量的值是否为连续性的值,如果是,则说明报文的信号量的连续性满足匹配条件;如果否,则说明报文的信号量的连续性不满足匹配条件。在本公开实施例中,报文的信号量具有连续性是指报文的各帧信号量的值依次递增或者依次递减。如:接收到一个用于将车辆速度由20km/h提升至60km/h的报文,该报文包括n帧信号量,确定每一帧信号量的值(即速度值),基于接收到n帧信号量的时间对n个值进行排序,以确定这n个值是否为连续的值。如果第3帧信号量的值为45,而第4帧信号量的值为40,则说明各帧信号量的值为非连续性的值,即报文的信号量不具有连续性,则将该报文确定为异常报文。
示范性地,确定报文中每帧信号量对应的控制操作,依次将两相邻帧信号量对应的控制操作进行比较,以确定两个控制操作是否存在互斥性,如果是,则说明报文的信号量对应的控制操作的互斥性不满足匹配条件;如果否,则说明报文的信号量对应的控制操作的互斥性满足匹配条件。在本公开实施例中,两个控制操作存在互斥性是指两个控制操作不能同时存在。例如,上一帧信号量对应的控制操作为控制车辆以120km/h速度行驶,当前一帧信号量对应的控制操作为开启车辆后备箱,显然,车辆以高速行驶时,是不可以开启后备箱的,即两个控制操作存在互斥性,则确定相应报文为异常报文。两个控制操作不存在互斥性是指两个控制操作可以同时存在,相互不影响,例如,加速行驶过程中打开雨刷器。
在一些实施例中,控制操作之间是否存在互斥性可基于匹配条件中的行业标准文件(例如车载协议数据库(dbc)文件)确定。
示范性地,确定报文中每帧信号量对应的控制操作,依次将相邻两帧信号对应的控制操作进行比较,以确定两个控制操作的变化趋势,判断变化趋势是否符合匹配条件中的控制操作的变化规则,如果符合,则说明报文的信号量对应的控制操作的变化趋势满足匹配条件;如果不符合,则说明报文的信号量对应的控制操作的变化趋势不满足匹配条件。在本公开实施例中,两个控制操作的变化趋势不符合匹配条件中的控制操作的变化规则是指,两个控制操作的变化趋势与控制操作的变化规则不匹配。例如,上一帧信号量对应的控制操作为控制车辆的运行速度调整至2档(10至20公里每小时),当前一帧信号量对应的控制操作为控制车辆的运行速度调整至4档(40至80公里每小时),而匹配条件中的控制操作的变化规则记载的为车辆的运行速度需由2档(10至20公里每小时)调整至3档(20至40公里每小时),再从3档(20至40公里每小时)调整至4档(40至80公里每小时),则两个控制操作的变化趋势不符合匹配条件中的控制操作的变化规则,将该报文确定为异常报文。
同理,在一些实施例中,控制操作的变化规则记录在行业标准文件(例如车载协议数据库(dbc)文件)中。
在一些实施例中,在判断报文的信号量是否满足匹配条件的过程中,是按照报文的信号量的长度、报文的信号量的连续性、报文的信号量对应的控制操作的互斥性和报文的信号量对应的控制操作的变化趋势的顺序依次判断是否满足匹配条件。即,对报文的信号量的长度是否满足匹配条件进行判断,并当报文的信号量的长度满足匹配条件时,执行判断报文的信号量的连续性是否满足匹配条件步骤,并当确定出报文的信号量的连续性满足匹配条件时,执行报文的信号量对应的控制操作的互斥性否满足匹配条件步骤,并当确定出报文的信号量对应的控制操作的互斥性满足匹配条件时,执行判断报文的信号量对应的控制操作的变化趋势是否满足匹配条件的步骤。
进一步地,在本公开另一实施例中,若报文的信号量对应的控制操作的变化趋势满足匹配条件,则该报文检测方法还包括以下步骤:
确定前一个通信报文,并依次判断该前一个通信报文的信号量对应的控制操作与当前报文的信号量对应的控制操作之间的互斥性和变化趋势是否满足匹配条件。即,确定当前报文的前一个通信报文,判断该前一个通信报文的信号量对应的控制操作与当前报文对应的控制操作之间是否存在互斥性,如果存在互斥性,则将当前报文确定为异常报文,如果不存在互斥性,则判断该前一个通信报文的信号量对应的控制操作与当前报文的信号量对应的控制操作之间的变化趋势是否满足匹配条件,如果不满足,则将当前报文确定为异常报文,如果满足,则说明当前报文为异常报文的可能性较小。
本公开实施例的报文检测方法可以应用于车辆控制系统,车辆包括多个电子控制单元,不同的电子控制单元实现不同的控制功能,且不同的电子控制单元可实现交互,即不同的电子控制单元可互相发送其接收到的报文,因此,上述示例中所述的前一个通信报文可能为当前通信报文对应的电子控制单元本身获取到的,也可能为其它电子控制单元发送至当前通信报文对应的电子控制单元的。
根据本公开实施例的另一个方面,本公开实施例还提供了一种报文检测装置。
请参阅图5,图5为本公开实施例的报文检测装置的示意图。
如图5所示,该装置包括:
提取模块1,用于提取获取到的报文中携带的报文标识;
类型确定模块2,用于根据所述报文标识确定所述报文的类型;
报文确定模块3,用于根据所述报文的类型确定所述报文是否为异常报文。
结合图6可知,在一些实施例中,该装置还包括:
意图确定模块4,用于若所述报文的类型为诊断报文,则确定所述报文的意图;
所述报文确定模块3还用于,根据所述报文的意图和所述报文的前一个诊断报文的意图确定所述报文是否为异常报文。
在一些实施例中,所述报文确定模块3还用于,若所述报文的类型为通信报文,则根据预设参照信息和所述报文相邻帧的接收频率确定所述报文是否为异常报文;或者,根据所述预设参照信息、所述报文相邻帧的接收频率和所述报文的信号量确定所述报文是否为异常报文。
在一些实施例中,所述预设参照信息包括第一阈值,所述报文确定模块3具体用于,将所述报文相邻帧的接收频率与所述第一阈值进行比较;响应于所述报文相邻帧的接收频率小于所述第一阈值,将所述报文确定为异常报文。
在一些实施例中,所述预设参照信息包括第一阈值和匹配条件,所述报文确定模块3具体用于,将所述报文相邻帧的接收频率与所述第一阈值进行比较;响应于所述报文相邻帧的接收频率等于所述第一阈值,判断所述报文的信号量是否满足所述匹配条件,若所述报文的信号量不满足所述匹配条件,则将所述报文确定为异常报文。
在一些实施例中,所述报文的信号量不满足所述匹配条件,包括:若所述报文的信号量的长度、所述报文的信号量的连续性、所述报文的信号量对应的控制操作的互斥性和所述报文的信号量对应的控制操作的变化趋势中的任意一种不满足所述匹配条件,则将所述报文确定为异常报文。
请参阅图7,图7为本公开实施例的报文检测装置的结构示意图。
如图7所示,该报文检测装置包括:存储器701和至少一个处理器702。
存储器701,用于存储程序指令。
处理器702,用于在程序指令被执行时实现本实施例中的报文检测方法,具体实现原理可参见上述实施例,本实施例此处不再赘述。
该报文检测装置还可以包括输入/输出接口703。
输入/输出接口703可以包括独立的输出接口和输入接口,也可以为集成输入和输出的集成接口。其中,输出接口用于输出数据,输入接口用于获取输入的数据,上述输出的数据为上述方法实施例中输出的统称,输入的数据为上述方法实施例中输入的统称。
根据本公开实施例的另一个方面,本公开实施例还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上任一实施例所述的方法。
根据本公开实施例的另一个方面,本公开实施例还提供了一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如上任一实施例所述的方法。
根据本公开实施例的另一个方面,本公开实施例还提供了一种车辆控制系统,车辆控制系统包括多个电子控制单元,其中,每个电子控制单元均包括:
存储器,被配置为存储数据及指令;
与所述存储器建立通信的处理器,其中,当执行存储器中的指令时,处理器被配置为:
提取获取到的报文中携带的报文标识;
根据报文标识确定所述报文的类型;
根据报文的类型确定所述报文是否为异常报文。
在现有技术中,主要通过在车辆的车内通信总线(CAN)网络的网关上配置防火墙,以对报文进行检测,由于车辆的部分区域的报文是无需由网关进行转发,那么网关无法阻止该报文的传输,即网关无法对该报文进行检测,且由于网关的硬件存储资源和运算资源较少,处理报文的效率低。但是,在本公开实施例中,通过在电子控制单元上配置上述方案,在不增加成本,不改变现有车辆控制系统的网络拓扑架构的情况下,由各电子控制单元完成对自身接收到的报文进行检测处理,实现了检测报文的全面性,并实现了报文检测的轻量化,且提高了检测的高效性和准确性。
在一些实施例中,处理器还被配置为:
若报文的类型为诊断报文,则获取车辆的速度;
响应于速度不等于0,将报文确定为异常报文。
在本公开实施例中,在确定出报文的类型为诊断报文时,对车辆的速度进行获取,并判断车辆速度是否等于0,如果速度不等于0,即车辆处于行驶状态,则将该报文确定为异常报文。
在另一些实施例中,如果速度等于0,即车辆处于停止状态,则确定报文的意图,并根据报文的意图和报文的前一个诊断报文的意图确定报文是否为异常报文。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本文已经公开了示例实施例,并且虽然采用了具体术语,但它们仅用于并仅应当被解释为一般说明性含义,并且不用于限制的目的。在一些实例中,对本领域技术人员显而易见的是,除非另外明确指出,否则可单独使用与特定实施例相结合描述的特征、特性和/或元素,或可与其他实施例相结合描述的特征、特性和/或元件组合使用。因此,本领域技术人员将理解,在不脱离由所附的权利要求阐明的本公开的范围的情况下,可进行各种形式和细节上的改变。
Claims (17)
1.一种报文检测方法,包括:
提取获取到的报文中携带的报文标识;
根据所述报文标识确定所述报文的类型;
根据所述报文的类型确定所述报文是否为异常报文。
2.根据权利要求1所述的方法,其中,
若所述报文的类型为诊断报文,则确定所述报文的意图;
根据所述报文的意图和所述报文的前一个诊断报文的意图确定所述报文是否为异常报文。
3.根据权利要求1所述的方法,其中,
若所述报文的类型为通信报文,则根据预设参照信息和所述报文相邻帧的接收频率确定所述报文是否为异常报文;或者,
根据所述预设参照信息、所述报文相邻帧的接收频率和所述报文的信号量确定所述报文是否为异常报文。
4.根据权利要求3所述的方法,其中,所述预设参照信息包括第一阈值,所述根据预设参照信息和所述报文相邻帧的接收频率确定所述报文是否为异常报文包括:
将所述报文相邻帧的接收频率与所述第一阈值进行比较;
响应于所述报文相邻帧的接收频率小于所述第一阈值,将所述报文确定为异常报文。
5.根据权利要求3所述的方法,其中,所述预设参照信息包括第一阈值和匹配条件,所述根据所述预设参照信息、所述报文相邻帧的接收频率和所述报文的信号量确定所述报文是否为异常报文,包括:
将所述报文相邻帧的接收频率与所述第一阈值进行比较;
响应于所述报文相邻帧的接收频率等于所述第一阈值,判断所述报文的信号量是否满足所述匹配条件,若所述报文的信号量不满足所述匹配条件,则将所述报文确定为异常报文。
6.根据权利要求5所述的方法,其中,所述报文的信号量不满足所述匹配条件,包括:
所述报文的信号量的长度、所述报文的信号量的连续性、所述报文的信号量对应的控制操作的互斥性和所述报文的信号量对应的控制操作的变化趋势中的任意一种不满足所述匹配条件。
7.一种报文检测装置,包括:
提取模块,用于提取获取到的报文中携带的报文标识;
类型确定模块,用于根据所述报文标识确定所述报文的类型;
报文确定模块,用于根据所述报文的类型确定所述报文是否为异常报文。
8.根据权利要求7所述的装置,其中,还包括:
意图确定模块,用于若所述报文的类型为诊断报文,则确定所述报文的意图;
所述报文确定模块还用于,根据所述报文的意图和所述报文的前一个诊断报文的意图确定所述报文是否为异常报文。
9.根据权利要求7所述的装置,其中,
所述报文确定模块还用于,若所述报文的类型为通信报文,则根据预设参照信息和所述报文相邻帧的接收频率确定所述报文是否为异常报文;或者,根据所述预设参照信息、所述报文相邻帧的接收频率和所述报文的信号量确定所述报文是否为异常报文。
10.根据权利要求9所述的装置,其中,所述预设参照信息包括第一阈值,所述报文确定模块具体用于,将所述报文相邻帧的接收频率与所述第一阈值进行比较;响应于所述报文相邻帧的接收频率小于所述第一阈值,将所述报文确定为异常报文。
11.根据权利要求9所述的装置,其中,所述预设参照信息包括第一阈值和匹配条件,所述报文确定模块具体用于,将所述报文相邻帧的接收频率与所述第一阈值进行比较;响应于所述报文相邻帧的接收频率等于所述第一阈值,判断所述报文的信号量是否满足所述匹配条件,若所述报文的信号量不满足所述匹配条件,则将所述报文确定为异常报文。
12.根据权利要求11所述的装置,其中,所述报文的信号量不满足所述匹配条件,包括:所述报文的信号量的长度、所述报文的信号量的连续性、所述报文的信号量对应的控制操作的互斥性和所述报文的信号量对应的控制操作的变化趋势中的任意一种不满足所述匹配条件。
13.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至6中任一所述的方法。
14.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1至6中任一所述的方法。
15.一种车辆控制系统,所述车辆控制系统包括多个电子控制单元,其中,每个电子控制单元均包括:
存储器,被配置为存储数据及指令;
与所述存储器建立通信的处理器,其中,当执行所述存储器中的指令时,所述处理器被配置为:
提取获取到的报文中携带的报文标识;
根据所述报文标识确定所述报文的类型;
根据所述报文的类型确定所述报文是否为异常报文。
16.根据权利要求15所述的车辆控制系统,其中,所述处理器还被配置为:
若所述报文的类型为诊断报文,则获取车辆的速度;
响应于所述速度不等于0,将所述报文确定为异常报文。
17.根据权利要求16所述的车辆控制系统,其中,所述处理器还被配置为:
响应于所述速度等于0,确定所述报文的意图;
根据所述报文的意图和所述报文的前一个诊断报文的意图确定所述报文是否为异常报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910661229.2A CN110351295A (zh) | 2019-07-22 | 2019-07-22 | 报文检测方法和装置、电子设备、计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910661229.2A CN110351295A (zh) | 2019-07-22 | 2019-07-22 | 报文检测方法和装置、电子设备、计算机可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110351295A true CN110351295A (zh) | 2019-10-18 |
Family
ID=68179750
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910661229.2A Pending CN110351295A (zh) | 2019-07-22 | 2019-07-22 | 报文检测方法和装置、电子设备、计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110351295A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111880515A (zh) * | 2020-07-30 | 2020-11-03 | 深圳市元征科技股份有限公司 | 一种车辆系统扫描方法以及相关装置 |
| CN112514351A (zh) * | 2020-10-31 | 2021-03-16 | 华为技术有限公司 | 异常检测方法及装置 |
| CN113691432A (zh) * | 2021-08-10 | 2021-11-23 | 一汽解放汽车有限公司 | 汽车can网络报文监测方法、装置、计算机设备和存储介质 |
| CN114095271A (zh) * | 2021-11-30 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 通信总线检测方法、装置、电子设备和存储介质 |
| CN114679309A (zh) * | 2022-03-22 | 2022-06-28 | 北京经纬恒润科技股份有限公司 | 报文检测方法及装置 |
| CN116030550A (zh) * | 2023-03-24 | 2023-04-28 | 中国汽车技术研究中心有限公司 | 车辆状态数据的异常识别和处理方法、设备及介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051612A (zh) * | 2012-12-13 | 2013-04-17 | 华为技术有限公司 | 防火墙及防止网络攻击方法 |
| CN103607328A (zh) * | 2013-12-04 | 2014-02-26 | 国电南京自动化股份有限公司 | 一种采样数据输入接口异常工况柔性自适应判断方法 |
| CN104301177A (zh) * | 2014-10-08 | 2015-01-21 | 清华大学 | Can报文异常检测方法及系统 |
| CN104320295A (zh) * | 2014-10-08 | 2015-01-28 | 清华大学 | Can报文异常检测方法及系统 |
| CN106130950A (zh) * | 2016-05-20 | 2016-11-16 | 南京理工大学 | 针对iec61850协议sv报文的异常检测方法 |
| CN106950864A (zh) * | 2017-04-11 | 2017-07-14 | 重庆长安汽车股份有限公司 | 一种整车控制器的can通信程序生成方法及装置 |
| CN107426285A (zh) * | 2017-05-19 | 2017-12-01 | 北京软安科技有限公司 | 一种车载can总线安全防护方法和装置 |
| CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
| CN109033829A (zh) * | 2018-07-27 | 2018-12-18 | 北京梆梆安全科技有限公司 | 车辆网络入侵检测辅助方法、装置及系统 |
| CN109617764A (zh) * | 2018-12-27 | 2019-04-12 | 百度在线网络技术(北京)有限公司 | Can报文检测方法和装置 |
-
2019
- 2019-07-22 CN CN201910661229.2A patent/CN110351295A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051612A (zh) * | 2012-12-13 | 2013-04-17 | 华为技术有限公司 | 防火墙及防止网络攻击方法 |
| CN103607328A (zh) * | 2013-12-04 | 2014-02-26 | 国电南京自动化股份有限公司 | 一种采样数据输入接口异常工况柔性自适应判断方法 |
| CN104301177A (zh) * | 2014-10-08 | 2015-01-21 | 清华大学 | Can报文异常检测方法及系统 |
| CN104320295A (zh) * | 2014-10-08 | 2015-01-28 | 清华大学 | Can报文异常检测方法及系统 |
| CN106130950A (zh) * | 2016-05-20 | 2016-11-16 | 南京理工大学 | 针对iec61850协议sv报文的异常检测方法 |
| CN106950864A (zh) * | 2017-04-11 | 2017-07-14 | 重庆长安汽车股份有限公司 | 一种整车控制器的can通信程序生成方法及装置 |
| CN107426285A (zh) * | 2017-05-19 | 2017-12-01 | 北京软安科技有限公司 | 一种车载can总线安全防护方法和装置 |
| CN107547507A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
| CN109033829A (zh) * | 2018-07-27 | 2018-12-18 | 北京梆梆安全科技有限公司 | 车辆网络入侵检测辅助方法、装置及系统 |
| CN109617764A (zh) * | 2018-12-27 | 2019-04-12 | 百度在线网络技术(北京)有限公司 | Can报文检测方法和装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111880515A (zh) * | 2020-07-30 | 2020-11-03 | 深圳市元征科技股份有限公司 | 一种车辆系统扫描方法以及相关装置 |
| CN112514351A (zh) * | 2020-10-31 | 2021-03-16 | 华为技术有限公司 | 异常检测方法及装置 |
| CN113691432A (zh) * | 2021-08-10 | 2021-11-23 | 一汽解放汽车有限公司 | 汽车can网络报文监测方法、装置、计算机设备和存储介质 |
| CN114095271A (zh) * | 2021-11-30 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 通信总线检测方法、装置、电子设备和存储介质 |
| CN114679309A (zh) * | 2022-03-22 | 2022-06-28 | 北京经纬恒润科技股份有限公司 | 报文检测方法及装置 |
| CN114679309B (zh) * | 2022-03-22 | 2023-07-07 | 北京经纬恒润科技股份有限公司 | 报文检测方法及装置 |
| CN116030550A (zh) * | 2023-03-24 | 2023-04-28 | 中国汽车技术研究中心有限公司 | 车辆状态数据的异常识别和处理方法、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110351295A (zh) | 报文检测方法和装置、电子设备、计算机可读介质 | |
| US10902109B2 (en) | Misuse detection method, misuse detection electronic control unit, and misuse detection system | |
| US10999248B2 (en) | Information processing method, information processing system, and non-transitory computer-readable recording medium storing a program | |
| CN111448787B (zh) | 用于提供安全的车载网络的系统及方法 | |
| CN111492625B (zh) | 非法检测方法以及非法检测装置 | |
| CA3071776C (en) | System and method for preventing malicious can bus attacks | |
| US11184377B2 (en) | Malicious port scan detection using source profiles | |
| CN108965267B (zh) | 网络攻击处理方法、装置及车辆 | |
| US11770396B2 (en) | Port scan detection using destination profiles | |
| CN110750790B (zh) | Can总线漏洞的检测方法、装置、终端设备及介质 | |
| CN111147437A (zh) | 基于错误帧归因总线断开攻击 | |
| CN111355817B (zh) | 域名解析方法、装置、安全服务器及介质 | |
| CN112182579B (zh) | 进程名单生成方法及装置、异常进程检测方法及装置 | |
| CN113098852A (zh) | 一种日志处理方法及装置 | |
| CN116527391A (zh) | 端口扫描检测 | |
| CN112751822B (zh) | 通信装置及操作方法、异常判定装置及方法、存储介质 | |
| CN113056017B (zh) | 一种基于5g系统的智慧楼宇监控信息的收集方法及系统 | |
| EP3640830B1 (en) | Method and system for determining risk in automotive ecu components | |
| US20240340776A1 (en) | Apparatus and method for providing user plane function event exposure service in wireless communication system | |
| CN107104856B (zh) | 一种hub设备识别方法及装置 | |
| CN115664788A (zh) | 一种通信数据劫持监控方法及系统、存储介质、电子设备 | |
| CN117097685A (zh) | 一种网络环路检测方法、装置、可读存储介质及网络设备 | |
| CN117640614A (zh) | 一种远程诊断方法、通信设备以及系统 | |
| CN118732639A (zh) | 车辆的内部安全性测试方法、装置、电子设备 | |
| CN116521471A (zh) | 场景应对方法、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20211019 Address after: 100176 101, floor 1, building 1, yard 7, Ruihe West 2nd Road, Beijing Economic and Technological Development Zone, Daxing District, Beijing Applicant after: Apollo Intelligent Connectivity (Beijing) Technology Co., Ltd. Address before: 100085 Baidu Building, 10 Shangdi Tenth Street, Haidian District, Beijing Applicant before: BAIDU ONLINE NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191018 |