CN111131247B - 一种车载内部网络入侵检测系统 - Google Patents

一种车载内部网络入侵检测系统 Download PDF

Info

Publication number
CN111131247B
CN111131247B CN201911348724.4A CN201911348724A CN111131247B CN 111131247 B CN111131247 B CN 111131247B CN 201911348724 A CN201911348724 A CN 201911348724A CN 111131247 B CN111131247 B CN 111131247B
Authority
CN
China
Prior art keywords
value
sample
data
preset
time window
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911348724.4A
Other languages
English (en)
Other versions
CN111131247A (zh
Inventor
李政
吴昊
吴志敏
李承泽
王智勇
肖佃艳
袁静
范乐君
王晖
申任远
李涛
陈燕呢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN201911348724.4A priority Critical patent/CN111131247B/zh
Publication of CN111131247A publication Critical patent/CN111131247A/zh
Application granted granted Critical
Publication of CN111131247B publication Critical patent/CN111131247B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种车载内部网络入侵检测系统,流量采集模块采集车载CAN上的流量数据,并将流量数据发送给流量预处理模块,其中流量数据包括对应有标识ID的数据帧;流量预处理模块获取流量数据的检测判断值,并将检测判断值发送给多维度入侵检测模块;其中,检测判断值包括下述中的至少一项:流量数据在预设时间窗口内的流量状态图、ID所对应的数据帧中预设位置处的取值以及ID在预设时间窗口内的频率值;多维度入侵检测模块基于流量状态图、ID所对应的数据帧中预设位置处的取值和/或ID在预设时间窗口内的频率值,检测ID所对应的数据帧是否为异常数据。本发明实施例实现了对流量数据的多维度全面检测。

Description

一种车载内部网络入侵检测系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种车载内部网络入侵检测系统。
背景技术
随着网络技术和通信技术的深入发展,汽车与外界的信息交互愈加频繁,汽车具备了更多样的信息服务及应用。多样的信息服务增加了汽车内部与外界的访问接口,虽然汽车的内部网络看似一个相对安全的封闭网络,但其结构复杂,功能繁多,承载了各种信息交互,存在很多可能被用来攻击的接口,这些接口一旦被攻破,攻击者便可以进入车载网络中。而且随着网联汽车功能的丰富,车载系统中也存在着一些不为人知的漏洞,如果这些漏洞被发现,再结合外部的入侵接口,一条完整的攻击路径便被打通。一旦攻击者对车辆实施攻击,将会导致隐私泄漏等信息安全和网络安全问题,甚至产生功能安全威胁。因此,车载内部网络内部安全问题是保障网联汽车的安全性的关键点,面向车载内部网络入侵检测系统是解决这一关切的重要手段。
控制器局部网络(Controller Area Network,CAN)总线是目前应用最为广泛的车载网络系统,CAN总线网络针对于总线网络设计,本身缺少在互联网时代所需要的安全防护机制。随着网联汽车技术的发展发展,攻击者可以通过外部网络接口进入网联汽车内部,然后通过CAN总线注入恶意数据包干预汽车正常运行状态,这严重威胁了驾驶人、乘客及交通参与者的人身及财产安全。经对现有技术文献的检索发现,从实现功能角度来看,现有的与CAN网络相关的车载内部网络工具与技术主要包括以下两种类型:一种类型是仅关注CAN网络流量的捕获与数据帧注入功能,这种类型的工具和技术不具备入侵检测功能;第二种类型是实现了入侵检测功能,但是要么依赖于车载外部网络和云端技术支持,要么依赖于车载内部网络私有协议的先验性知识从而不具备通用性或是检测能力受限,不具备同时检测各种已知攻击和未知攻击的全面检测能力。
发明内容
本发明实施例提供一种车载内部网络入侵检测系统,以实现对网络攻击的多方面检测,保障网络安全。
本发明实施例提供一种车载内部网络入侵检测系统,包括:
流量采集模块、流量预处理模块和多维度入侵检测模块,其中,
所述流量采集模块采集车载控制器局部网络CAN上的流量数据,并将所述流量数据发送给所述流量预处理模块,其中所述流量数据包括对应有标识ID的数据帧;
所述流量预处理模块获取所述流量数据的检测判断值,并将所述检测判断值发送给所述多维度入侵检测模块;其中,所述检测判断值包括下述中的至少一项:流量数据在预设时间窗口内的流量状态图、所述ID所对应的数据帧中预设位置处的取值以及所述ID在所述预设时间窗口内的频率值;
所述多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值,检测所述ID所对应的数据帧是否为异常数据。
可选地,还包括基值训练模块;所述基值训练模块基于流量样本数据,确定所述流量数据的检测判断基准值,并将所述检测判断基准值发送给所述多维度入侵检测模块;所述流量样本数据包括对应有样本ID的样本数据帧;
其中,所述检测判断基准值包括下述中的至少一项:流量样本数据在所述预设时间窗口内的流量状态基准图、所述样本ID所对应的数据帧中预设位置处的取值基准范围以及所述样本ID在所述预设时间窗口内的频率基准值。
可选地,所述基值训练模块确定所述样本ID所对应的数据帧中预设位置处的取值基准范围,包括:
在所述预设时间窗口内,获取所述样本ID在数据帧中预设位置处的样本取值,并基于所述样本取值确定所述样本ID在所述预设位置处的取值范围;
分别计算所有相同样本ID所对应的所述取值范围的两端数值的第一均值,并将两端分别为所述第一均值的范围确定为所述样本ID在所述预设时间窗口内的取值基准范围。
可选地,所述基值训练模块确定所述样本ID在所述预设时间窗口内的频率基准值,包括:
在所述预设时间窗口内,获取相邻的相同样本ID之间的时间间隔;
计算所获取到的所有时间间隔的第二均值,并将所述第二均值确定为所述样本ID在所述预设时间窗口内的频率基准值。
可选地,所述基值训练模块确定所述流量样本数据在所述预设时间窗口内的流量状态基准图,包括:
针对预设时间窗口内的第一样本ID和第二样本ID,获取所述预设时间窗口内第三样本ID所对应的第一时间位置以及第四样本ID所对应的第二时间位置,所述第三样本ID为时间轴上第一个位于所述第一样本ID之后与所述第二样本ID相同的ID,所述第四样本ID为时间轴上第一个位于所述第三样本ID之前的与所述第一样本ID相同的ID;
当获取到多个成对的第一时间位置和第二时间位置组成的二元组时,针对每个二元组,计算得到所述第一时间位置和第二时间位置之间的时间偏差、所述第一时间位置和第二时间位置之间的ID数量以及在所述第一时间位置和第二时间位置之间的所有数据帧中预设比特出现的概率;
分别计算所有二元组中所述时间偏差的第三均值、所述ID数量的第四均值和所述概率的第五均值,并将所述第三均值、第四均值和第五均值作为所述第三样本ID和第四样本ID所组成的有向边的向量化赋权值;
将所述预设时间窗口内所有有向边的向量化赋权值作为所述预设时间窗口内的流量状态基准图。
可选地,所述多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值,检测所述ID所对应的数据帧是否为异常数据,包括:
当检测到所述ID所对应的数据帧中预设位置处的取值未处于与所述ID相同的样本ID所对应的取值基准范围内时,确定所述ID所对应的数据帧为异常数据;和/或
当检测到所述ID在所述预设时间窗口内的频率值未处于与所述ID相同的样本ID所对应的频率基准值的预设范围内时,确定所述ID所对应的数据帧为异常数据;和/或
当检测到所述流量状态图与所述预设时间窗口内的流量状态基准图的差异值大于预设值时,确定所述ID所对应的数据帧为异常数据。
可选地,所述基值训练模块还建立包括有所述流量样本数据中所有样本ID的预设ID集合,并将所述预设ID集合发送给所述多维度入侵检测模块;
所述多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值,检测所述ID所对应的数据帧是否为异常数据之前,还包括:
当检测到所述预设ID集合中不存在与所述ID相同的样本ID时,确定所述ID所对应的数据帧为异常数据。
可选地,还包括报警处理模块;其中,
当所述多维度入侵检测模块确定所述ID所对应的数据帧为异常数据时,将所述异常判定结果和/或所述异常数据发送给所述报警处理模块;
所述报警处理模块根据所接收到的所述异常判定结果和/或所述异常数据进行相对应的报警指示。
可选地,还包括预处理更新模块,用于更新所述流量预处理模块所获取的检测判断值的第一类别,并更新所述基值训练模块所获取的检测判断基准值的第二类别,其中更新后的第二类别与所述第一类别相同。
可选地,还包括检测更新模块,用于通知所述多维度入侵检测模块基于所述第一类别检测所述ID所对应的数据帧是否为异常数据。
本发明实施例提供的车载内部网络入侵检测系统,通过流量预处理模块获取检测判断值,使得流量预处理模块在将检测判断值发送给多维度入侵检测模块时,多维度入侵检测模块能够基于所接收到的流量状态图、ID所对应的数据帧中预设位置处的取值和/或ID在预设时间窗口内的频率值等多个维度,检测ID所对应的数据帧是否为异常数据;此时基于从多个维度进行检测,实现了对流量数据的高效全面检测,保障了网络安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中车载内部网络入侵检测系统的模块框图之一;
图2为本发明实施例中车载内部网络入侵检测系统的模块框图之二。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例中车载内部网络入侵检测系统的模块框图,包括流量采集模块11、流量预处理模块12和多维度入侵检测模块13,其中,
所述流量采集模块11采集车载控制器局部网络(CAN)上的流量数据,并将流量数据发送给流量预处理模块12,其中流量数据包括对应有标识ID的数据帧;
所述流量预处理模块12获取所述流量数据的检测判断值,并将所述检测判断值发送给所述多维度入侵检测模块13;其中,所述检测判断值包括下述中的至少一项:流量数据在预设时间窗口内的流量状态图、所述ID所对应的数据帧中预设位置处的取值以及所述ID在所述预设时间窗口内的频率值;
所述多维度入侵检测模块13基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值,检测所述ID所对应的数据帧是否为异常数据;即基于检测判断值检测所述ID所对应的数据帧是否为异常数据。
具体的,流量采集模块11用于采集车载CAN上的流量。其中,车载内部网络入侵检测系统可以布置于车载CAN的关键位置,例如车载网关,此时流量采集模块11可以采集到CAN中的各种网络域发出的数据。
此外,具体的,流量采集模块11可以从车载CAN中以静默方式采集流量。
另外,具体的,流量预处理模块12所获取的流量数据的检测判断值,可以包括如下类别中的至少一项:
其一,ID所对应的数据帧中预设位置处的取值。
具体的,该ID一般为与安全相关的ID,例如车速或转速等相关ID,当然在此并不对此进行具体限定。此外,该预设位置可以为数据帧中的预设位比特,例如数据帧中64个比特中,车速一般由两个字节共16个比特标记,且该车速处于64个比特位中的特定位置,则该特定位置即为预设位置。
其二,ID在预设时间窗口内的频率值。
具体的,流量预处理模块可以先将流量数据放入缓存中,然后按照预设时间窗口进行分段,即每次从缓存中取出预设时间窗口长度的流量数据。
此时,在获取ID在预设时间窗口内的频率值时,可以计算两个相邻的相同ID的数据帧的时间间隔,然后计算得到的时间间隔求平均值,并将得到的平均值作为该ID在该预设时间窗口内的频率值。
其三,流量数据在预设时间窗口内的流量状态图。
具体的,在计算流量数据在预设时间窗口内的流量状态时,可以对任意的两个ID(ID1和ID2,且该两个ID可以相同也可以不同):针对前一ID1,在该预设时间窗口内沿时间轴向后获取第一个与后一ID2相同的IDi(将该时间位置记录为qλ);然后对于IDi,沿时间轴向前获取第一个与前一ID1相同的IDj(将该时间位置记录为pλ)。假设得到m个二元组(pλ,qλ),对每个二元组均计算:
Figure BDA0002334110780000061
Nλ:=qλ-pλ以及在pλ,qλ时间范围内比特1出现的概率Pλ,其中TOλ表示pλ,qλ之间的时间偏差,Nλ表示pλ,qλ之间所有ID的数量;然后对得到的m组TOλ、Nλ和Pλ各自求平均,结果记为TOi→j,Ni→j和Pi→j,并令(TOi→j,Ni→j和Pi→j)为有向边IDi到IDj的向量化赋权值,从而得到有向边构成的集合ε′,此时可以将
Figure BDA0002334110780000071
记录为预设时间窗口的流量状态图,其中v′为ID的集合。
通过流量预处理模块12获取以上类型的检测判断值,使得流量预处理模块12在将上述检测判断值发送给多维度入侵检测模块13时,入侵检测模块13能够基于所接收到的流量状态图、ID所对应的数据帧中预设位置处的取值和/或ID在预设时间窗口内的频率值等多个维度,检测ID所对应的数据帧是否为异常数据;此时基于从多个维度进行检测,实现了对流量数据的高效全面检测,且能够多维度全面检测各种已知攻击和未知攻击,不用依赖于车载外部网络和云端等技术支持,且不依赖于车载内部网络私有协议的先验性知识,保障了网络安全。
此外,进一步地,如图2所示,车载内部网络入侵检测系统还包括基值训练模块14,该基值训练模块14基于流量样本数据,确定流量数据的检测判断基准值,并将检测判断基准值发送给多维度入侵检测模块13;流量样本数据包括对应有样本ID的样本数据帧;
其中,检测判断基准值包括下述中的至少一项:流量样本数据在预设时间窗口内的流量状态基准图、样本ID所对应的数据帧中预设位置处的取值基准范围以及样本ID在所述预设时间窗口内的频率基准值。
下面对上述流量状态基准图、取值基准范围和频率基准值的确定过程进行说明。
其一,基值训练模块14确定样本ID所对应的数据帧中预设位置处的取值基准范围时,可以在预设时间窗口内,获取样本ID在数据帧中预设位置处的样本取值,并基于样本取值确定样本ID在预设位置处的取值范围,然后分别计算所有相同样本ID所对应的取值范围的两端数值的第一均值,并将两端分别为第一均值的范围确定为样本ID在预设时间窗口内的取值基准范围。
具体的,样本ID可以为与安全相关的ID,比如车速或转速等相关ID,还可以为用户所选定类型的ID,在此并不对样本ID的选取进行具体限定。例如,当样本ID为车速ID时,车速一般由两个字节共16个比特标记,它处于64个比特的串中的特定位置,此时要建立车速相关的取值基准范围,则需要对流量数据中与车速相关的ID的该些位置的比特进行检测,获得取值基准范围。此时假设所获得取值基准范围为0-150,则若ID所对应的数据帧中预设位置处的取值超出150,则认为数据帧异常。
此外,具体的,样本ID在数据帧中预设位置处的样本取值可以为样本ID在数据帧中预设位比特处的样本取值。例如假设样本ID所对应的数据帧为车速相关的数据,在数据帧中64个比特中,车速一般由两个字节共16个比特标记,且该车速处于64个比特位中的特定位置,则该特定位置即为预设位置。另外,具体的,在基于样本取值确定样本ID在预设位置处的取值范围时,可以将样本取值作为中心,预设数值为半径的范围确定为该取值范围。另外,在确定每个样本ID在预设位置处的取值范围之后,可以计算相同样本ID所对应的取值范围的第一端数值的第一均值,并计算相同样本ID所对应的取值范围的第二端数值的第一均值,最后可以将两个第一均值所确定的范围确定为样本ID在预设时间窗口内的取值基准范围。
其二,基值训练模块14确定样本ID在预设时间窗口内的频率基准值时,可以在预设时间窗口内,获取相邻的相同样本ID之间的时间间隔,然后计算所获取到的所有时间间隔的第二均值,并将第二均值确定为样本ID在预设时间窗口内的频率基准值。
具体的,在确定频率基准值时,先计算预设时间窗口内相邻的两个相同样本ID之间的时间间隔,然后将获取到的多个时间间隔的第二均值确定为该样本ID在预设时间窗口内的频率基准值,保证了样本ID在预设时间窗口内的频率基准值的准确性。
其三,基值训练模块14确定流量样本数据在预设时间窗口内的流量状态基准图时,可以针对预设时间窗口内的第一样本ID和第二样本ID,获取所述预设时间窗口内第三样本ID所对应的第一时间位置以及第四样本ID所对应的第二时间位置,所述第三样本ID为时间轴上第一个位于所述第一样本ID之后与所述第二样本ID相同的ID,所述第四样本ID为时间轴上第一个位于所述第三样本ID之前的与所述第一样本ID相同的ID;然后当获取到多个成对的第一时间位置和第二时间位置组成的二元组时,针对每个二元组,计算得到所述第一时间位置和第二时间位置之间的时间偏差、所述第一时间位置和第二时间位置之间的ID数量以及在所述第一时间位置和第二时间位置之间的所有数据帧中预设比特出现的概率;再然后分别计算所有二元组中所述时间偏差的第三均值、所述ID数量的第四均值和所述概率的第五均值,并将所述第三均值、第四均值和第五均值作为所述第三样本ID和第四样本ID所组成的有向边的向量化赋权值;最后将所述预设时间窗口内所有有向边的向量化赋权值作为所述预设时间窗口内的流量状态基准图。
即对预设时间窗口内任意的两个ID(ID1和ID2,且该两个ID可以相同也可以不同):针对前一ID1,在该预设时间窗口内沿时间轴向后获取第一个与后一ID2相同的IDi(将该时间位置记录为qλ);然后对于IDi,沿时间轴向前获取第一个与前一ID1相同的IDj(将该时间位置记录为pλ)。假设得到m个二元组(pλ,qλ),对每个二元组均计算:
Figure BDA0002334110780000096
Nλ:=qλ-pλ以及在pλ,qλ时间范围内比特1出现的概率Pλ,其中TOλ表示pλ,qλ之间的时间偏差,Nλ表示pλ,qλ之间所有ID的数量;然后对得到的m组TOλ、Nλ和Pλ各自求平均,结果记为TOi→j,Ni→j和Pi→j,并令(TOi→j,Ni→j和Pi→j)为有向边IDi到IDj的向量化赋权值;以此方式进行计算,得到所有有向边构成的集合ε′,此时可以将
Figure BDA0002334110780000095
记录为预设时间窗口的流量状态基准图,其中v′为ID的集合。
此时在得到预设时间窗口的流量状态基准图时,可以计算得到针对当前流量样本数据的流量状态基准图的评分值;
其中,评分值
Figure BDA0002334110780000091
在上式中,m为流量状态图
Figure BDA0002334110780000092
的边数,(TO1,N1,P1)为
Figure BDA0002334110780000093
中边的赋权值,(TO0,N0,P0)为
Figure BDA0002334110780000094
中对应边的赋权值,w1,w2,w3为三项调参值,即系数值。
这样,通过上述方式分别计算得到流量状态基准图、取值基准范围以及频率基准值等一项或多项检测判断基准值,保证了所得到的流量状态基准图、取值基准范围和频率基准值的准确性,从而使得在基值训练模块将上述检测判断基准值发送给多维度入侵检测模块时,能够保证多维度入侵检测模块基于上述检测判断基准值对流量数据是否为异常数据进行判断时的准确性。
另外,进一步地,由于基值训练模块14所确定的检测判断基准值与流量预处理模块12所获取的检测判断值相同,此时基值训练模块14在将检测判断基准值发送给多维度入侵检测模块13时,多维度入侵检测模块13基于检测判断值中的流量状态图、ID所对应的数据帧中预设位置处的取值和/或ID在预设时间窗口内的频率值,检测所述ID所对应的数据帧是否为异常数据时,可以包括如下步骤:
当检测到所述ID所对应的数据帧中预设位置处的取值未处于与所述ID相同的样本ID所对应的取值基准范围内时,确定所述ID所对应的数据帧为异常数据;和/或
当检测到所述ID在所述预设时间窗口内的频率值未处于与所述ID相同的样本ID所对应的频率基准值的预设范围内时,确定所述ID所对应的数据帧为异常数据;和/或
当检测到所述流量状态图与所述预设时间窗口内的流量状态基准图的差异值大于预设值时,确定所述ID所对应的数据帧为异常数据。
即本实施例可以将由流量预处理模块所获取的流量数据中,ID所对应的数据帧中预设位置处的取值与和ID相同的样本ID所对应的取值基准范围进行比较,此时若取值未位于和ID相同的样本ID所对应的取值基准范围,则可以确定该ID所对应的数据帧为异常数据。
当然,还可以将ID在预设时间窗口内出现的频率值与和ID相同的样本ID所对应的频率基准值进行比较,此时若该频率值不位于和ID相同的样本ID所对应的频率基准值的预设范围内时,则可以确定该ID所对应的数据帧为异常数据。
另外,还可以将流量状态图与预设时间窗口内的流量状态基准图进行比较,此时若流量状态图与预设时间窗口内的流量状态基准图的差异值大于预设值,则可以确定ID所对应的数据帧为异常数据。
此时可以计算得到针对流量状态图的评分值,并将该流量状态的评分值与流量状态基准图的评分值进行比较,得到差异值,然后检查该差值值是否大于预设值。当然,在此需要说明的是,在此并不具体限定确定差异值的具体方式,例如还可以直接进行图形对比,在此并不对此进行限定。
这样通过分维度对ID所对应的数据帧是否为异常数据进行检测,实现了对流量数据的多维度全面检测,从而实现了对流量数据的高效检测,提高了检测效率,且能够检测到不同的异常类型,并且不依赖于车载外部网络和车载内部网络私有协议,保障了网络安全性。
另外,进一步地,基值训练模块还建立包括有流量样本数据中所有样本ID的预设ID集合,并将预设ID集合发送给所述多维度入侵检测模块;
此时多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值,检测所述ID所对应的数据帧是否为异常数据之前,还可以当检测到所述预设ID集合中不存在与所述ID相同的样本ID时,确定所述ID所对应的数据帧为异常数据。
具体的,由于流量样本数据为正常数据,因此流量样本数据中的ID均为合法ID,此时将流量样本数据中所有样本ID包括于预设ID集合中作为白名单,使得在将预设ID集合发送给多维度入侵检测模块时,多维度入侵检测模块可以先基于该预设ID集合中的样本ID,检测流量数据中的ID是否为合法ID,即检测预设ID集合中是否存在与ID相同的样本ID,以检测ID是否为合法ID,并在检测到预设ID集合中不存在与ID相同的样本ID时,确定ID所对应的数据帧为异常数据。
这样,先通过ID检测ID所对应的数据帧是否为异常数据,实现了检测时的便利性。
另外,进一步地,继续参见图2,车载内部网络入侵检测系统还包括报警处理模块15;其中,当所述多维度入侵检测模块13确定所述ID所对应的数据帧为异常数据时,将所述异常判定结果和/或所述异常数据发送给所述报警处理模块15;所述报警处理模块15根据所接收到的所述异常判定结果和/或所述异常数据进行相对应的报警指示。
具体的,当报警处理模块15仅接收到异常判定结果时,可以进行一般威胁的报警信号;当报警处理模块15接收到异常判定结果和异常数据时,可以根据预设的威胁严重程度分级发出一级威胁、二级威胁和三级威胁的报警信号,其中一级威胁、二级威胁、三级威胁的威胁严重程度依次降低,例如一级威胁为极端严重威胁,二级威胁为严重威胁,三级威胁为一般威胁。例如,若异常数据为异常ID,则可以发出三级威胁的报警信号,若异常数据为ID频率值异常,则可以发出二级威胁的报警信号,若异常数据为ID所对应的数据帧中预设位置处的取值异常,则可以发出一级威胁的报警信号。
当然,不同的威胁等级可以通过不同形式进行显示,例如可以通过指示灯颜色、指示灯闪烁快慢、蜂鸣声的尖锐程度或快慢灯进行展示。
这样,通过报警处理模块对异常情况进行报警,实现了对用户的提醒操作。
另外,进一步地,车载内部网络入侵检测系统还包括预处理更新模块16,用于更新所述流量预处理模块12所获取的检测判断值的第一类别,并更新所述基值训练模块14所获取的检测判断基准值的第二类别,其中更新后的第二类别与所述第一类别相同。
当然,还包括检测更新模块17,用于通知所述多维度入侵检测模块13基于所述第一类别检测所述ID所对应的数据帧是否为异常数据。
例如,当需要增加、删除或修改检测判断值时,可以通过预处理更新模块16和检测更新模块17进行更新,从而实现检测维度的更新,进而实现了流量数据的检测更新过程。
当然,在此需要说明的是,本实施例还可以包括切换模块,用于通知基值训练模块进行更新之后,通知流量预处理模块进行更新,以实现更新的时序性。
这样,本实施例通过上述流量预处理模块获取流量数据在预设时间窗口内的流量状态图、ID所对应的数据帧中预设位置处的取值以及ID在预设时间窗口内的频率值,并将上述中的一项或多项发送给多维度入侵检测模块,使得多维度入侵检测模块能够基于上述维度对流量数据进行全面多维度的检测,提高了检测的效率,保证了网络安全性。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种车载内部网络入侵检测系统,其特征在于,包括流量采集模块、流量预处理模块和多维度入侵检测模块,其中,
所述流量采集模块采集车载控制器局部网络CAN上的流量数据,并将所述流量数据发送给所述流量预处理模块,其中所述流量数据包括对应有标识ID的数据帧;
所述流量预处理模块获取所述流量数据的检测判断值,并将所述检测判断值发送给所述多维度入侵检测模块;其中,所述检测判断值包括下述中的至少一项:流量数据在预设时间窗口内的流量状态图、ID所对应的数据帧中预设位置处的取值以及所述ID在所述预设时间窗口内的频率值;
所述多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值,检测所述ID所对应的数据帧是否为异常数据;
还包括基值训练模块;所述基值训练模块基于流量样本数据,确定所述流量数据的检测判断基准值,并将所述检测判断基准值发送给所述多维度入侵检测模块;所述流量样本数据包括对应有样本ID的样本数据帧;
其中,所述检测判断基准值包括下述中的至少一项:流量样本数据在所述预设时间窗口内的流量状态基准图、所述样本ID所对应的数据帧中预设位置处的取值基准范围以及所述样本ID在所述预设时间窗口内的频率基准值。
2.根据权利要求1所述的车载内部网络入侵检测系统,其特征在于,所述基值训练模块确定所述样本ID所对应的数据帧中预设位置处的取值基准范围,包括:
在所述预设时间窗口内,获取所述样本ID在数据帧中预设位置处的样本取值,并基于所述样本取值确定所述样本ID在所述预设位置处的取值范围;
分别计算所有相同样本ID所对应的所述取值范围的两端数值的第一均值,并将两端分别为所述第一均值的范围确定为所述样本ID在所述预设时间窗口内的取值基准范围。
3.根据权利要求1所述的车载内部网络入侵检测系统,其特征在于,所述基值训练模块确定所述样本ID在所述预设时间窗口内的频率基准值,包括:
在所述预设时间窗口内,获取相邻的相同样本ID之间的时间间隔;
计算所获取到的所有时间间隔的第二均值,并将所述第二均值确定为所述样本ID在所述预设时间窗口内的频率基准值。
4.根据权利要求1所述的车载内部网络入侵检测系统,其特征在于,所述基值训练模块确定所述流量样本数据在所述预设时间窗口内的流量状态基准图,包括:
针对预设时间窗口内的第一样本ID和第二样本ID,获取所述预设时间窗口内第三样本ID所对应的第一时间位置以及第四样本ID所对应的第二时间位置,所述第三样本ID为时间轴上第一个位于所述第一样本ID之后与所述第二样本ID相同的ID,所述第四样本ID为时间轴上第一个位于所述第三样本ID之前的与所述第一样本ID相同的ID;
当获取到多个成对的第一时间位置和第二时间位置组成的二元组时,针对每个二元组,计算得到所述第一时间位置和第二时间位置之间的时间偏差、所述第一时间位置和第二时间位置之间的ID数量以及在所述第一时间位置和第二时间位置之间的所有数据帧中预设比特出现的概率;
分别计算所有二元组中所述时间偏差的第三均值、所述ID数量的第四均值和所述概率的第五均值,并将所述第三均值、第四均值和第五均值作为所述第三样本ID和第四样本ID所组成的有向边的向量化赋权值;
将所述预设时间窗口内所有有向边的向量化赋权值作为所述预设时间窗口内的流量状态基准图。
5.根据权利要求1所述的车载内部网络入侵检测系统,其特征在于,所述多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值,检测所述ID所对应的数据帧是否为异常数据,包括:
当检测到所述ID所对应的数据帧中预设位置处的取值未处于与所述ID相同的样本ID所对应的取值基准范围内时,确定所述ID所对应的数据帧为异常数据;和/或
当检测到所述ID在所述预设时间窗口内的频率值未处于与所述ID相同的样本ID所对应的频率基准值的预设范围内时,确定所述ID所对应的数据帧为异常数据;和/或
当检测到所述流量状态图与所述预设时间窗口内的流量状态基准图的差异值大于预设值时,确定所述ID所对应的数据帧为异常数据。
6.根据权利要求1所述的车载内部网络入侵检测系统,其特征在于,所述基值训练模块还建立包括有所述流量样本数据中所有样本ID的预设ID集合,并将所述预设ID集合发送给所述多维度入侵检测模块;
所述多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值,检测所述ID所对应的数据帧是否为异常数据之前,还包括:
当检测到所述预设ID集合中不存在与所述ID相同的样本ID时,确定所述ID所对应的数据帧为异常数据。
7.根据权利要求1所述的车载内部网络入侵检测系统,其特征在于,还包括报警处理模块;其中,
当所述多维度入侵检测模块确定所述ID所对应的数据帧为异常数据时,将异常判定结果和/或所述异常数据发送给所述报警处理模块;
所述报警处理模块根据所接收到的所述异常判定结果和/或所述异常数据进行相对应的报警指示。
8.根据权利要求1所述的车载内部网络入侵检测系统,其特征在于,还包括预处理更新模块,用于更新所述流量预处理模块所获取的检测判断值的第一类别,并更新所述基值训练模块所获取的检测判断基准值的第二类别,其中更新后的第二类别与所述第一类别相同。
9.根据权利要求8所述的车载内部网络入侵检测系统,其特征在于,还包括检测更新模块,用于通知所述多维度入侵检测模块基于所述第一类别检测所述ID所对应的数据帧是否为异常数据。
CN201911348724.4A 2019-12-24 2019-12-24 一种车载内部网络入侵检测系统 Active CN111131247B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911348724.4A CN111131247B (zh) 2019-12-24 2019-12-24 一种车载内部网络入侵检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911348724.4A CN111131247B (zh) 2019-12-24 2019-12-24 一种车载内部网络入侵检测系统

Publications (2)

Publication Number Publication Date
CN111131247A CN111131247A (zh) 2020-05-08
CN111131247B true CN111131247B (zh) 2020-12-25

Family

ID=70500384

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911348724.4A Active CN111131247B (zh) 2019-12-24 2019-12-24 一种车载内部网络入侵检测系统

Country Status (1)

Country Link
CN (1) CN111131247B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113810339A (zh) * 2020-06-12 2021-12-17 广州汽车集团股份有限公司 一种汽车内部网络安全预警方法及系统
CN111770069B (zh) * 2020-06-17 2022-02-15 北京航空航天大学 一种基于入侵攻击的车载网络仿真数据集生成方法
CN111931252B (zh) * 2020-07-28 2022-05-03 重庆邮电大学 一种基于滑动窗口和cenn的车载can入侵检测方法
CN111866017B (zh) * 2020-07-29 2022-09-16 北京天融信网络安全技术有限公司 一种can总线帧间隔异常的检测方法及装置
CN113612786B (zh) * 2021-08-09 2023-04-07 上海交通大学宁波人工智能研究院 一种车辆总线的入侵检测系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109802966A (zh) * 2019-01-25 2019-05-24 深圳市众泰兄弟科技发展有限公司 一种基于信帧的网络入侵行为分析检测方法
EP3490223A1 (en) * 2017-11-24 2019-05-29 Bayerische Motoren Werke Aktiengesellschaft System and method for simulating and foiling attacks on a vehicle on-board network
CN109951491A (zh) * 2019-03-28 2019-06-28 腾讯科技(深圳)有限公司 网络攻击检测方法、装置、设备及存储介质
CN110275508A (zh) * 2019-05-08 2019-09-24 西安电子科技大学 车载can总线网络异常检测方法及系统
CN110505134A (zh) * 2019-07-04 2019-11-26 国家计算机网络与信息安全管理中心 一种车联网can总线数据检测方法及装置
CN111030962A (zh) * 2018-10-09 2020-04-17 厦门雅迅网络股份有限公司 车载网络入侵检测方法及计算机可读存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3490223A1 (en) * 2017-11-24 2019-05-29 Bayerische Motoren Werke Aktiengesellschaft System and method for simulating and foiling attacks on a vehicle on-board network
CN111030962A (zh) * 2018-10-09 2020-04-17 厦门雅迅网络股份有限公司 车载网络入侵检测方法及计算机可读存储介质
CN109802966A (zh) * 2019-01-25 2019-05-24 深圳市众泰兄弟科技发展有限公司 一种基于信帧的网络入侵行为分析检测方法
CN109951491A (zh) * 2019-03-28 2019-06-28 腾讯科技(深圳)有限公司 网络攻击检测方法、装置、设备及存储介质
CN110275508A (zh) * 2019-05-08 2019-09-24 西安电子科技大学 车载can总线网络异常检测方法及系统
CN110505134A (zh) * 2019-07-04 2019-11-26 国家计算机网络与信息安全管理中心 一种车联网can总线数据检测方法及装置

Also Published As

Publication number Publication date
CN111131247A (zh) 2020-05-08

Similar Documents

Publication Publication Date Title
CN111131247B (zh) 一种车载内部网络入侵检测系统
CN107483455B (zh) 一种基于流的网络节点异常检测方法和系统
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
US10261502B2 (en) Modbus TCP communication behaviour anomaly detection method based on OCSVM dual-outline model
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN102624696B (zh) 一种网络安全态势评估方法
US9032521B2 (en) Adaptive cyber-security analytics
US20180089401A1 (en) Calculating consecutive matches using parallel computing
CN109587179A (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
US20100268818A1 (en) Systems and methods for forensic analysis of network behavior
CN103441982A (zh) 一种基于相对熵的入侵报警分析方法
CN111970229B (zh) 一种针对多种攻击方式的can总线数据异常检测方法
Desta et al. ID sequence analysis for intrusion detection in the CAN bus using long short term memory networks
EP4141715A1 (en) Anomaly detection
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
CN110996300A (zh) 一种基于交通场景安全的车载终端信息安全风险控制方法
CN106972968B (zh) 一种基于交叉熵联合马氏距离的网络异常流量检测方法
Swessi et al. A comparative review of security threats datasets for vehicular networks
US10681059B2 (en) Relating to the monitoring of network security
CN115085948A (zh) 基于改进d-s证据理论的网络安全态势评估方法
CN105516164A (zh) 基于分形与自适应融合的P2P botnet检测方法
CN114697087B (zh) 一种基于报警时序的报警关联方法
CN107786524B (zh) 高级持续性威胁的检测方法和装置
CN112866270A (zh) 入侵检测防御方法及系统
KR20060013120A (ko) 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant