CN110752977A - 一种车联网can总线的异常入侵检测方法及装置 - Google Patents

Abstract

本发明公开了一种车联网CAN总线的异常入侵检测方法，包括：收集正常状态下汽车各个ECU的温度时钟偏差数据；构建各个ECU的温度时钟指纹模型；获取车内CAN总线的当前消息和当前汽车状态对应的ECU的温度，根据所述消息对应的ECU的温度通过所述模型计算温度时钟偏差，以及时钟偏差对应的标准差；获得所述消息的平均时钟偏差与温度时钟偏差的差值的绝对值，将绝对值与标准差进行比较；若绝对值大于标准差，则判断发生异常入侵事件；若发生入侵事件，通过所述模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度，若攻击温度在当前汽车状态下ECU的温度范围内，则此ECU为入侵源，用于解决现有入侵检测方法受温度的影响导致检测失败的问题，并能够识别入侵源ECU。

Description

一种车联网CAN总线的异常入侵检测方法及装置

技术领域

本申请涉及车联网安全技术领域，具体的涉及一种车联网CAN总线的异常入侵检测方法，同时涉及一种车联网CAN总线的异常入侵检测装置。

背景技术

随着汽车控制系统的智能化发展，汽车上多功能的电子控制单元(ECU)得到了广泛的开发和安装，为汽车提供各种便捷和安全保证功能。例如，车内的预碰撞系统就是由电子控制单元ECU控制，能够根据汽车前面物体状态控做出相应的动作。通常，车内控制器局域网(CAN)为电子控制单元ECU之间提供经济可靠的有线连接。然而，由于便捷性需求，某些电子控制单元需要通过无线的方式连接外部设备，例如，无线连接智能手机、基站和其他车辆。又由于控制器局域网络CAN协议本身缺乏安全性设计，使得黑客有机会通过物理接触或者远程控制一些易受攻击的电子控制单元ECU，进而对控制器局域网络CAN总线实施入侵攻击。由于汽车的安全直接关乎人们的生命财产安全，因此车内联网的入侵检测和入侵源识别十分重要。

现有的基于CAN消息的入侵检测方法包括基于消息识别的入侵检测方法和基于源识别的入侵检测方法。基于消息识别的入侵检测方法通过分析消息特征来判断CAN总线是否被入侵，这下特征包括CAN总线上消息的频率、CAN总线熵值和CAN消息的时间信息。由于黑客的入侵消息是通过被破解电子控制单元发送的，这些入侵消息发送源是被破解的ECU而不是车内原本发送这个消息的ECU。又由于CAN帧中没有消息的源地址和目的地址，很难直接从CAN帧中直接得到入侵消息的真正发送端。因此这些基于消息识别的入侵检测方法虽然能够检测入侵，但是不能识别入侵消息真正的发送源。随后，针对源识别的入侵检测方法被提出来。这类的方法利用ECU的独特的物理特征区分不同的ECU。这些物理特征包括ECU所固有的时钟偏差和ECU发送消息独有的电压信号特征。但是不管是时钟偏差和电压信号都会受到温度的影响，汽车内部并不是一个恒温环境，且温度变化跨度较大。因此现有的基于识别的入侵检测方法都会在一定程度上受到温度的影响，特别是时钟偏差受温度影响后会失效。

发明内容

针对现有技术的不足，本申请提供一种车联网CAN总线的异常入侵检测方法，用于解决现有入侵检测方法受温度的影响导致检测失败的问题。

本申请提供一种车联网CAN总线的异常入侵检测方法，包括：

收集正常状态下汽车各个ECU的温度时钟偏差数据；将所述偏差数据作为指纹，构建各个ECU的温度时钟指纹模型；

获取车内CAN总线的当前消息和当前汽车状态对应的ECU的温度，根据所述消息对应的ECU的温度通过所述模型计算所述消息的温度时钟偏差，以及所述温度时钟偏差对应的标准差；获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较；若所述绝对值大于标准差，则判断发生异常入侵事件；

若发生导常入侵事件，则获取入侵消息的平均时钟偏差，通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度，若ECU的攻击温度在当前汽车状态下ECU的温度范围内，则此ECU为入侵源。

优选的，收集正常状态下汽车不同的电子控制单元的温度时钟偏差数据；将所述偏差数据作为指纹，构建各个ECU的温度时钟指纹模型，包括：

在正常状态下，获取不同温度下车内CAN总线消息流量的到达时间；

根据所述到达时间计算ECU的时钟偏差；

根据ECU的平均时钟偏差随温度呈线性变化，用最小二乘法构建各个ECU的温度时钟指纹模型，模型为，

O_it＝k_iC_t+e_i

O_it是ECU_i在温度C_t时的平均时钟偏差，单位毫秒，C_t表示温度，范围在0到80度之间，k_i和e_i分别表示斜率和指纹误差，k_i的范围在0.0003～0.0006之间。

优选的，获取车内CAN总线的当前消息和当前汽车状态对应的ECU的温度，根据所述消息对应的ECU的温度通过所述模型计算所述消息的温度时钟偏差，以及所述温度时钟偏差对应的标准差；获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较；若所述绝对值大于标准差，则判断发生异常入侵事件，包括：

根据ECU_i在当前时段内的温度通过所述模型计算所述消息的温度时钟偏差，O_ie＝k_iC_ie+e_i。进而计算，

|O_ir-O_ie|>dσ_ie

如果上式成立，则说明标识为ECU_i发送的消息为异常入侵消息，否则是正常消息，其中σ_ie是ECU_i在温度C_e时的平均时钟偏差的标准差，O_ir是当前CAN总线上的消息的平均时钟偏差。

优选的，在获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较的步骤之后，还包括：

若所述绝对值小于等于标准差，则判断未发生异常入侵事件。

优选的，通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度，若ECU的攻击温度在当前汽车状态下ECU的温度范围内，则此ECU为入侵源，包括：

通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度C_ir，若

则此ECU_i就是ECU_i入侵源ECU，

为当前汽车状态下ECU的温度范围。

本申请同时提供一种车联网CAN总线的异常入侵检测装置，所述检测装置设置在车内CAN总线上，包括：

模型构建单元，收集正常状态下汽车各个ECU的温度时钟偏差数据；将所述偏差数据作为指纹，构建各个ECU的温度时钟指纹模型；

入侵事件确定单元，接收车内CAN总线的当前消息和当前汽车状态对应的ECU的温度，根据所述消息对应的ECU的温度通过所述模型计算所述消息的温度时钟偏差，以及所述温度时钟偏差对应的标准差；获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较；若所述绝对值大于标准差，则判断发生异常入侵事件；

入侵源确定单元，若发生异常入侵事件，则获取入侵消息的平均时钟偏差，通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度，若ECU的攻击温度在当前汽车状态下ECU的温度范围内，则此ECU为入侵源。

本申请提供一种车联网CAN总线的异常入侵检测方法，通过利用ECU时钟偏差随温度变化这一特征，不仅能够识别CAN总线上的入侵事件还能否识别入侵消息的来源，且本发明方法不受车内温度变化的影响。

附图说明

图1是本申请实施例提供的一种车联网CAN总线的异常入侵检测方法的流程示意图；

图2是本申请实施例涉及的温度时钟指纹示意图；

图3是本申请实施例涉及的车内网络CAN总线入侵检测和识别的流程示意图；

图4是本申请实施例提供的一种车联网CAN总线的异常入侵检测装置示意图。

具体实施方式

在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本申请内涵的情况下做类似推广，因此本申请不受下面公开的具体实施的限制。

图1为本申请实施例提供的一种车联网CAN总线的异常入侵检测方法的流程示意图，下面结合图1对本申请实施例提供的检测方法进行详细说明。

步骤S101，收集正常状态下汽车各个ECU的温度时钟偏差数据；将所述偏差数据作为指纹，构建各个ECU的温度时钟指纹模型。

车内网络CAN总线是车内电子控制器单元ECU信息交互的通道，由于CAN总线上的消息是以广播的方式传送的，导致CAN总线上的数据帧没有源地址和目的地址，所以CAN总线没有足够的安全措施保证其安全通信。

不同的ECU的时钟偏差在某一温度下是不同的，是其固有的物理特征，时钟偏差随温度呈线性变化，利用这一特征，构建ECU的温度时钟指纹模型。

在正常状态(非攻击状态)下，收集汽车各个ECU的温度时钟偏差数据，包括，首先在不同温度下获取车内控制器局域网CAN总线消息流量到达时间。其次，根据消息数据帧标识符分类不同的ECU消息，根据所述到达时间计算每个ECU的时钟偏差。再次，得出ECU平均时钟偏差的值随温度呈线性变化。最后，用最小二乘法构建每个ECU的温度时钟指纹模型，模型如下：

O_it＝k_iC_t+e_i

O_it是ECU_i在温度C_t时的平均时钟偏差，单位毫秒，C_t表示温度，范围在0到80度之间，k_i和e_i分别表示斜率和指纹误差，k_i的范围在0.0003～0.0006之间。

ECU的温度时钟指纹如图2所示，其中，ECUA、ECUB、ECUC是总线上三个ECU，在不同温度下测量计算其平均时钟偏差，他们的平均时钟偏差在0摄氏度到80摄氏度随温度变化呈线性，并用最小二乘法对ECU构建温度时钟指纹。

步骤S102，接收车内CAN总线的当前消息和当前汽车状态对应的ECU的温度，根据所述消息对应的的ECU温度通过所述模型计算所述消息的温度时钟偏差，以及所述温度时钟偏差对应的标准差；获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较；若所述绝对值大于标准差，则判断发生异常入侵事件。

本步骤可以通过下述公式来判断发否发生异常入侵事件。具体的。接收车内CAN总线上获得的ECU_i的消息和当前汽车状态对应的ECU的温度，根据ECU_i在当前时段内的温度通过所述模型计算所述消息的温度时钟偏差，O_ie＝k_iC_ie+e_i。进而计算，

|O_ir-O_ie|>dσ_ie

如果上式成立，则说明标识为ECU_i发送的消息为异常入侵消息，否则是正常消息，其中σ_ie是ECU_i在温度C_e时的平均时钟偏差的标准差，O_ir是当前CAN总线上的消息的平均时钟偏差。

步骤S103，若发生异常入侵事件，则获取入侵消息的平均时钟偏差，通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度，若ECU的攻击温度在当前汽车状态下ECU的温度范围内，则此ECU为入侵源。

由于CAN总线上数据帧没有源地址和目的地址，所以上一步骤中标识为ECU_i发送的入侵消息不一定是由ECU_i真正发送的，需要进一步分析入侵消息的源发送者，包括，通过各个ECU的温度时钟指纹，获得各个ECU的攻击温度C_ir，若

则此ECU_i就是ECU_i入侵源ECU，

为当前汽车状态下ECU的温度范围。

车内网络CAN总线入侵检测和识别的流程示意图如图3所示，第一步是ECU指纹的构建，获取CAN总线上数据帧到达时间，数据帧标识符，以及ECU温度，从而计算ECU的温度时钟偏差数据，根据正常状态下汽车各个ECU的温度时钟偏差数据，构建各个ECU的温度时钟指纹模型。第二步为入侵检测，对新数据帧，进行入侵检测，如果判断为正常，则结束此次入侵检测；如果判断为异常，则发生入侵事件，接下来进入第三步，对入侵源进行识别，确定攻击源ECU。

与本申请提供的一种车联网CAN总线的异常入侵检测方法，相地应的，本申请同时提供一种车联网CAN总线的异常入侵检测装置400，如图4所示，所述检测装置设置在车内CAN总线上，通过所述装置进行信息采集，采集的信息包括网络数据包信息和到达装置时间信息。在所述装置中设置入侵检测和识别方法。对所述采集到的信息进行分析检测入侵并识别入侵源，包括：

模型构建单元410，收集正常状态下汽车各个ECU的温度时钟偏差数据；将所述偏差数据作为指纹，构建各个ECU的温度时钟指纹模型；

入侵事件确定单元420，接收车内CAN总线的当前消息和当前汽车状态对应的ECU的温度，根据所述消息对应的ECU温度通过所述模型计算所述消息的温度时钟偏差，以及所述温度时钟偏差对应的标准差；获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较；若所述绝对值大于标准差，则判断发生异常入侵事件；

入侵源确定单元430，若发生异常入侵事件，则获取入侵消息的平均时钟偏差，通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度，若ECU的攻击温度在当前汽车状态下ECU的温度范围内，则此ECU为入侵源。

本申请提供的车联网CAN总线的异常入侵检测方法，通过利用ECU时钟偏差随温度变化这一特征，不仅能够识别CAN总线上的入侵事件还能识别入侵消息的来源，不需要修改CAN总线协议，且本发明方法不受车内温度变化的影响。适用于真实环境的车内网络，在真实的汽车中能够适应温度变化，提高了入侵检测率。

最后应该说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替，其均应涵盖在本发明的权利要求范围当中。

Claims (6)

1.一种车联网CAN总线的异常入侵检测方法，其特征在于，包括：

收集正常状态下汽车各个ECU的温度时钟偏差数据；将所述偏差数据作为指纹，构建各个ECU的温度时钟指纹模型；

获取车内CAN总线的当前消息和当前汽车状态对应的ECU的温度，根据所述消息对应的ECU的温度通过所述模型计算所述消息的温度时钟偏差，以及所述温度时钟偏差对应的标准差；获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较；若所述绝对值大于标准差，则判断发生异常入侵事件；

若发生导常入侵事件，则获取入侵消息的平均时钟偏差，通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度，若ECU的攻击温度在当前汽车状态下ECU的温度范围内，则此ECU为入侵源。

2.根据权利要求1所述的方法，其特征在于，收集正常状态下汽车不同的电子控制单元的温度时钟偏差数据；将所述偏差数据作为指纹，构建各个ECU的温度时钟指纹模型，包括：

在正常状态下，获取不同温度下车内CAN总线消息流量的到达时间；

根据所述到达时间计算ECU的时钟偏差；

根据ECU的平均时钟偏差随温度呈线性变化，用最小二乘法构建各个ECU的温度时钟指纹模型，模型为，

O_it＝k_iC_t+e_i

O_it是ECU_i在温度C_t时的平均时钟偏差，单位毫秒，C_t表示温度，范围在0到80度之间，k_i和e_i分别表示斜率和指纹误差，k_i的范围在0.0003～0.0006之间。

3.根据权利要求1所述的方法，其特征在于，获取车内CAN总线的当前消息和当前汽车状态对应的ECU的温度，根据所述消息对应的ECU的温度通过所述模型计算所述消息的温度时钟偏差，以及所述温度时钟偏差对应的标准差；获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较；若所述绝对值大于标准差，则判断发生异常入侵事件，包括：

根据ECU_i在当前时段内的温度通过所述模型计算所述消息的温度时钟偏差，O_ie＝k_iC_ie+e_i。进而计算，

|O_ir-O_ie|>dσ_ie

如果上式成立，则说明标识为ECU_i发送的消息为异常入侵消息，否则是正常消息，其中σ_ie是ECU_i在温度C_e时的平均时钟偏差的标准差，O_ir是当前CAN总线上的消息的平均时钟偏差。

4.根据权利要求1所述的方法，其特征在于，在获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较的步骤之后，还包括：

若所述绝对值小于等于标准差，则判断未发生异常入侵事件。

5.根据权利要求1所述的方法，其特征在于，通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度，若ECU的攻击温度在当前汽车状态下ECU的温度范围内，则此ECU为入侵源，包括：

通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度C_ir，若

则此ECU_i就是ECU_i入侵源ECU，

为当前汽车状态下ECU的温度范围。

6.一种车联网CAN总线的异常入侵检测装置，所述检测装置设置在车内CAN总线上，其特征在于，包括：

模型构建单元，收集正常状态下汽车各个ECU的温度时钟偏差数据；将所述偏差数据作为指纹，构建各个ECU的温度时钟指纹模型；

入侵事件确定单元，接收车内CAN总线的当前消息和当前汽车状态对应的ECU的温度，根据所述消息对应的ECU的温度通过所述模型计算所述消息的温度时钟偏差，以及所述温度时钟偏差对应的标准差；获得所述消息的平均时钟偏差与所述消息的温度时钟偏差的差值的绝对值，将所述绝对值与所述标准差进行比较；若所述绝对值大于标准差，则判断发生异常入侵事件；

入侵源确定单元，若发生异常入侵事件，则获取入侵消息的平均时钟偏差，通过各个ECU的温度时钟指纹模型和入侵消息的平均时钟偏差，获得各个ECU的攻击温度，若ECU的攻击温度在当前汽车状态下ECU的温度范围内，则此ECU为入侵源。

Images