CN112153070B

CN112153070B - 车载can总线的异常检测方法、设备、存储介质及装置

Info

Publication number: CN112153070B
Application number: CN202011056597.3A
Authority: CN
Inventors: 李卫兵; 董伟; 王林林; 程明敏; 赵婉莹; 宋仕文; 刘应萍; 张先裕; 李强; 王凯; 周昊
Original assignee: Anhui Jianghuai Automobile Group Corp
Current assignee: Anhui Jianghuai Automobile Group Corp
Priority date: 2020-09-28
Filing date: 2020-09-28
Publication date: 2021-11-26
Anticipated expiration: 2040-09-28
Also published as: CN112153070A

Abstract

本发明公开了一种车载CAN总线的异常检测方法、设备、存储介质及装置，相较于现有的根据大量的已知知识和威胁，动态建立和维护一个规则库，利用建立的规则库对事件进行判断的方式，本发明中，通过获取待检测CAN总线的当前广播报文，对当前广播报文进行解析，获得当前广播设备信息以及当前广播帧，根据当前广播设备信息以及当前广播帧生成规则检测结果，获取当前广播报文的当前报文数据，并根据当前报文数据生成信息熵检测结果，根据规则检测结果以及信息熵检测结果确定异常检测结果，克服了现有技术中对于未知的行为，无法进行有效的检测识别的缺陷，从而能够优化车载CAN总线的异常检测过程，提高异常检测的效率以及实用性。

Description

车载CAN总线的异常检测方法、设备、存储介质及装置

技术领域

本发明涉及汽车技术领域，尤其涉及一种车载CAN总线的异常检测方法、设备、存储介质及装置。

背景技术

控制器局域网络(Controller Area Network,，CAN)总线是汽车内应用最广泛的总线，是汽车底层的通讯网络。CAN总线由于在设计之初未充分考虑其安全性，在车联网技术快速发展的同时，暴露出了严重的信息安全问题。攻击者可通过重放、遍历等手段对CAN总线进行恶意攻击，严重威胁行车安全。

目前，CAN总线的异常检测方式是根据大量的已知知识和威胁，动态建立和维护一个规则库，利用建立的规则库对事件进行判断。但是，上述方式对于未知的行为，无法进行有效的检测识别，从而导致异常检测效率低、实用性弱。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种车载CAN总线的异常检测方法、设备、存储介质及装置，旨在解决如何优化车载CAN总线的异常检测过程的技术问题。

为实现上述目的，本发明提供一种车载CAN总线的异常检测方法，所述车载CAN总线的异常检测方法包括以下步骤：

获取待检测CAN总线的当前广播报文；

对所述当前广播报文进行解析，获得当前广播设备信息以及当前广播帧；

根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果；

获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果；

根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果。

优选地，所述根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果的步骤，具体包括：

将所述当前广播设备信息与预设静态表中的授权广播设备信息进行匹配，获得设备信息匹配结果；

获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，并根据所述当前广播帧标识以及所述当前广播帧分值确定广播帧检测结果；

根据所述设备信息匹配结果以及所述广播帧检测结果生成规则检测结果。

优选地，所述获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，并根据所述当前广播帧标识以及所述当前广播帧分值确定广播帧检测结果的步骤，具体包括：

获取所述当前广播帧的当前广播帧标识以及当前广播帧分值；

将所述当前广播帧标识与预设动态表中的数据帧标识进行匹配，获得广播帧匹配结果；

在所述广播帧匹配结果为匹配成功时，查找所述当前广播设备信息对应的分值范围，并判断所述当前广播帧分值是否处于所述分值范围，获得分值判断结果；

获取所述待检测CAN总线的历史广播帧，所述历史广播帧为当前时刻之前的预设时间范围内的广播帧；

根据所述分值判断结果以及所述历史广播帧确定广播帧检测结果。

优选地，所述根据所述分值判断结果以及所述历史广播帧确定广播帧检测结果的步骤，具体包括：

获取历史广播帧的历史广播帧标识，并根据所述历史广播帧标识判断所述历史广播帧是否为请求帧；

在所述历史广播帧不为所述请求帧时，查找所述当前广播帧对应的前一广播帧；

根据所述当前广播帧以及所述前一广播帧确定广播周期；

判断所述广播周期是否大于预设阈值，获得周期判断结果；

根据所述分值判断结果以及所述周期判断结果确定广播帧检测结果。

优选地，所述根据所述当前广播帧以及所述前一广播帧确定广播周期的步骤，具体包括：

获取所述当前广播帧的当前广播时间，并在所述预设动态表查找所述前一广播帧对应的前一广播时间；

根据所述当前广播时间以及所述前一广播时间确定广播周期。

优选地，所述获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果的步骤，具体包括：

获取所述当前广播报文的当前报文数据，并对所述当前报文数据进行数据处理，获得目标报文数据；

根据所述目标报文数据确定当前信息熵，并查找所述当前广播报文对应的标准信息熵范围；

判断所述当前信息熵是否处于所述标准信息熵范围，并根据信息熵判断结果生成信息熵检测结果。

优选地，所述根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果的步骤之后，所述车载CAN总线的异常检测方法还包括：

在预设映射关系表中查找所述异常检测结果对应的目标报警策略，所述预设映射关系表中包含异常检测结果与目标报警策略之间的对应关系；

根据所述目标报警策略生成目标报警信息，并展示所述目标报警信息。

此外，为实现上述目的，本发明还提出一种车载CAN总线的异常检测设备，所述车载CAN总线的异常检测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的车载CAN总线的异常检测程序，所述车载CAN总线的异常检测程序配置为实现如上文所述的车载CAN总线的异常检测方法的步骤。

此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有车载CAN总线的异常检测程序，所述车载CAN总线的异常检测程序被处理器执行时实现如上文所述的车载CAN总线的异常检测方法的步骤。

此外，为实现上述目的，本发明还提出一种车载CAN总线的异常检测装置，所述车载CAN总线的异常检测装置包括：获取模块、解析模块、生成模块和确定模块；

所述获取模块，用于获取待检测CAN总线的当前广播报文；

所述解析模块，用于对所述当前广播报文进行解析，获得当前广播设备信息以及当前广播帧；

所述生成模块，用于根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果；

所述生成模块，还用于获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果；

所述确定模块，用于根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果。

本发明中，通过获取待检测CAN总线的当前广播报文，对所述当前广播报文进行解析，获得当前广播设备信息以及当前广播帧，根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果，获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果，根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果；相较于现有的根据大量的已知知识和威胁，动态建立和维护一个规则库，利用建立的规则库对事件进行判断的方式，本发明中，通过先对待检测CAN总线的当前广播报文进行解析，获得当前广播设备信息以及当前广播帧，再根据当前广播设备信息以及当前广播帧生成规则检测结果，根据当前报文数据生成信息熵检测结果，最后根据规则检测结果以及信息熵检测结果确定异常检测结果，克服了现有技术中对于未知的行为，无法进行有效的检测识别的缺陷，从而能够优化车载CAN总线的异常检测过程，提高异常检测的效率以及实用性。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的车载CAN总线的异常检测设备的结构示意图；

图2为本发明车载CAN总线的异常检测方法第一实施例的流程示意图；

图3为本发明车载CAN总线的异常检测方法一实施例的CAN报文结构示意图；

图4为本发明车载CAN总线的异常检测方法第二实施例的流程示意图；

图5为本发明车载CAN总线的异常检测方法第三实施例的流程示意图；

图6为本发明车载CAN总线的异常检测装置第一实施例的结构框图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的车载CAN总线的异常检测设备结构示意图。

如图1所示，该车载CAN总线的异常检测设备可以包括：处理器1001，例如中央处理器(Central Processing Unit，CPU)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)，可选用户接口1003还可以包括标准的有线接口、无线接口，对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity，WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory，RAM)存储器，也可以是稳定的存储器(Non-volatileMemory，NVM)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对车载CAN总线的异常检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及车载CAN总线的异常检测程序。

在图1所示的车载CAN总线的异常检测设备中，网络接口1004主要用于连接后台服务器，与所述后台服务器进行数据通信；用户接口1003主要用于连接用户设备；所述车载CAN总线的异常检测设备通过处理器1001调用存储器1005中存储的车载CAN总线的异常检测程序，并执行本发明实施例提供的车载CAN总线的异常检测方法。

基于上述硬件结构，提出本发明车载CAN总线的异常检测方法的实施例。

参照图2，图2为本发明车载CAN总线的异常检测方法第一实施例的流程示意图，提出本发明车载CAN总线的异常检测方法第一实施例。

步骤S10：获取待检测CAN总线的当前广播报文。

应当理解的是，本实施例的执行主体是所述车载CAN总线的异常检测设备，其中，所述车载CAN总线的异常检测设备车载电脑以及服务器等电子设备，还可为其他可实现相同或相似功能的设备，本实施例对此不作限制，在本实施例以及下述各实施例中，以车载电脑为例对本发明车载CAN总线的异常检测方法进行说明。

需要说明的是，当前广播报文可以是各电子控制单元(Electronic ControlUnit，ECU)周期性发出的广播报文，其中，广播报文中可以包含广播设备信息以及广播帧等，本实施例对此不加以限制。

应当理解的是，车载CAN总线使用广播报文的形式进行消息传输，其报文的结构主要包括帧起始、仲裁字段(ID)、控制字段、数据字段、检验字段和帧结束等，CAN报文结构示意图如图3所示。

可以理解的是，CAN总线中所有ECU都能发送报文和接收其他节点发出的报文，某个ECU发出报文时，其他所有ECU都可以接收和读取该ECU发出的报文，但这些ECU只对有需要的报文做出响应。多个节点同时发送报文时，根据仲裁字段(ID)来确定发送的优先级，ID值越低优先级越高。

应当理解的是，获取待检测CAN总线的当前广播报文可以是获取待检测CAN总线的广播信息，并根据广播信息确定待检测CAN总线的当前广播报文。

步骤S20：对所述当前广播报文进行解析，获得当前广播设备信息以及当前广播帧。

需要说明的是，当前广播设备信息可以是发送当前广播报文的设备标识信息，例如，设备ID等，本实施例对此不加以限制；广播帧可以为请求帧或数据帧，本实施例对此不加以限制。

可以理解的是，对当前广播报文进行解析，获得当前广播设备信息以及当前广播帧可以是对当前广播报文进行标识提取，获得信息标识，根据信息标识对当前广播报文进行筛选，获得当前广播设备信息以及当前广播帧。

步骤S30：根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果。

应当理解的是，根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果可以是将所述当前广播设备信息与预设静态表中的授权广播设备信息进行匹配，获得设备信息匹配结果，获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，并根据所述当前广播帧标识以及所述当前广播帧分值确定广播帧检测结果，根据所述设备信息匹配结果以及所述广播帧检测结果生成规则检测结果。

步骤S40：获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果。

进一步地，为了保证信息熵检测结果的准确性以及可靠性，所述步骤S401之前，还包括：

在汽车处于正常的某状态下，采集CAN总线报文数据，对报文进行数据预处理，统计一定时间T内的报文ID类型及数量等，根据信息熵的计算公示，计算T时间内的CAN总线信息熵值、阈值范围，并对不同时间间隔T值下的检测结果进行评估，从而完成对标准数据库的标定。

需要说明的是，信息熵用来衡量系统的不确定性，系统越稳定信息熵越低，系统波动性越大信息熵越高。当事物完全确定的时候信息熵为0，当事物完全不确定的时候信息熵为1。随机变量X的信息熵定义如下：

H_(x)＝-∑_x∈Xp(x)log_bp(x)

式中，p(x)为X中的每种取值x出现的概率，不同底数b对应不同的单位，不同单位间可以进行转换。当b为2时，信息熵的单位为比特(bit)。

应当理解的是，获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果可以是获取所述当前广播报文的当前报文数据，并对所述当前报文数据进行数据处理，获得目标报文数据，根据所述目标报文数据确定当前信息熵，并查找所述当前广播报文对应的标准信息熵范围，判断所述当前信息熵是否处于所述标准信息熵范围，并根据信息熵判断结果生成信息熵检测结果。

步骤S50：根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果。

应当理解的是，根据规则检测结果以及信息熵检测结果确定异常检测结果可以是在规则检测结果为异常，和/或信息熵检测结果为异常时，判定异常检测结果为异常；在规则检测结果为正常，且信息熵检测结果为正常时，判定异常检测结果为正常。

在第一实施例中，通过获取待检测CAN总线的当前广播报文，对所述当前广播报文进行解析，获得当前广播设备信息以及当前广播帧，根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果，获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果，根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果；相较于现有的根据大量的已知知识和威胁，动态建立和维护一个规则库，利用建立的规则库对事件进行判断的方式，本实施例中，通过先对待检测CAN总线的当前广播报文进行解析，获得当前广播设备信息以及当前广播帧，再根据当前广播设备信息以及当前广播帧生成规则检测结果，根据当前报文数据生成信息熵检测结果，最后根据规则检测结果以及信息熵检测结果确定异常检测结果，克服了现有技术中对于未知的行为，无法进行有效的检测识别的缺陷，从而能够优化车载CAN总线的异常检测过程，提高异常检测的效率以及实用性。

参照图4，图4为本发明车载CAN总线的异常检测方法第二实施例的流程示意图，基于上述图2所示的第一实施例，提出本发明车载CAN总线的异常检测方法的第二实施例。

在第二实施例中，所述步骤S30，包括：

步骤S301：将所述当前广播设备信息与预设静态表中的授权广播设备信息进行匹配，获得设备信息匹配结果。

需要说明的是，预设静态表可以是用户预先记录CAN总线上所有ECU发出报文的ID、周期T、数据最大值Max、最小值Min及响应请求帧的响应时间R构建的信息表，其中，CAN总线上所有ECU发出报文的ID也就是本实施例中的授权广播设备信息，预设静态表如表1所示：

表1预设静态表

ECU	报文ID	周期T	最大值	最小值	响应时间
						ECU1	ID1	T1	Max1	Min1	R1
ECU2	ID2	T2	Max2	Min2	R2
						…	…	…	…	…	…
ECUn	IDn	Tn	Maxn	Minn	Rn

应当理解的是，将当前广播设备信息与预设静态表中的授权广播设备信息进行匹配，获得设备信息匹配结果可以是检测当前广播设备ID是否在表1的报文ID中。

步骤S302：获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，并根据所述当前广播帧标识以及所述当前广播帧分值确定广播帧检测结果。

进一步地，为了能够生成准确、可靠地广播帧检测结果，所述步骤S302，包括：

获取历史广播帧的历史广播帧标识，并根据所述历史广播帧标识判断所述历史广播帧是否为请求帧，在所述历史广播帧不为所述请求帧时，查找所述当前广播帧对应的前一广播帧，根据所述当前广播帧以及所述前一广播帧确定广播周期，判断所述广播周期是否大于预设阈值，获得周期判断结果，根据所述分值判断结果以及所述周期判断结果确定广播帧检测结果。

步骤S303：根据所述设备信息匹配结果以及所述广播帧检测结果生成规则检测结果。

应当理解的是，在设备信息匹配结果为匹配失败，和/或广播帧检测结果为异常时，判定规则检测结果为异常；在设备信息匹配结果为匹配成功，且广播帧检测结果为正常时，判定规则检测结果为正常。

在第二实施例中，通过将所述当前广播设备信息与预设静态表中的授权广播设备信息进行匹配，获得设备信息匹配结果，获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，并根据所述当前广播帧标识以及所述当前广播帧分值确定广播帧检测结果，根据所述设备信息匹配结果以及所述广播帧检测结果生成规则检测结果，从而能够生成准确、可靠的规则检测结果

在第二实施例中，所述步骤S40，包括：

步骤S401：获取所述当前广播报文的当前报文数据，并对所述当前报文数据进行数据处理，获得目标报文数据。

H_(x)＝-∑_x∈Xp(x)log_bp(x)

步骤S402：根据所述目标报文数据确定当前信息熵，并查找所述当前广播报文对应的标准信息熵范围。

应当理解的是，查找当前广播报文对应的标准信息熵范围可以是在标准数据库中查找当前广播报文对应的标准信息熵范围，其中，标准数据库中包含当前广播报文与标准信息熵范围之间的对应关系，当前广播报文与标准信息熵范围之间的对应关系可以由用户根据预先检测结果进行设置，本实施对此不加以限制。

步骤S403：判断所述当前信息熵是否处于所述标准信息熵范围，并根据信息熵判断结果生成信息熵检测结果。

可以理解的是，在当前信息熵处于标准信息熵范围时，判定信息熵检测结果为正常；在当前信息熵不处于标准信息熵范围时，判定信息熵检测结果为异常。

在第二实施例中，通过获取所述当前广播报文的当前报文数据，并对所述当前报文数据进行数据处理，获得目标报文数据，根据所述目标报文数据确定当前信息熵，并查找所述当前广播报文对应的标准信息熵范围，判断所述当前信息熵是否处于所述标准信息熵范围，并根据信息熵判断结果生成信息熵检测结果，从而能够在保证检测准确率的基础上，实现对未知事件的有效检测。

在第二实施例中，所述步骤S50之后，还包括：

步骤S60：在预设映射关系表中查找所述异常检测结果对应的目标报警策略，所述预设映射关系表中包含异常检测结果与目标报警策略之间的对应关系。

需要说明的是，异常检测结果与目标报警策略之间的对应关系可以是用户根据实际需求预先设置，本实施例对此不加以限制。

步骤S70：根据所述目标报警策略生成目标报警信息，并展示所述目标报警信息。

应当理解的是，根据目标报警策略生成目标报警信息可以是查找目标报警策略对应的目标报警信息，并展示目标报警信息，例如，目标报警策略为灯光报警策略，查找获得灯光报警策略对应的目标报警信息为红灯报警，那么，此时可以点亮红灯。

在第二实施例中，通过在预设映射关系表中查找所述异常检测结果对应的目标报警策略，所述预设映射关系表中包含异常检测结果与目标报警策略之间的对应关系，根据所述目标报警策略生成目标报警信息，并展示所述目标报警信息，从而能够及时提醒用户车载CAN总线出现异常。

参照图5，图5为本发明车载CAN总线的异常检测方法第三实施例的流程示意图，基于上述图4所示的第二实施例，提出本发明车载CAN总线的异常检测方法的第三实施例。

在第三实施例中，所述步骤S302，包括：

步骤S3021：获取所述当前广播帧的当前广播帧标识以及当前广播帧分值。

需要说明的是，当前广播帧标识可以是用来标识当前广播帧种类的标识信息；当前广播帧分值可以是当前广播帧的分值，本实施例对此不加以限制。

步骤S3022：将所述当前广播帧标识与预设动态表中的数据帧标识进行匹配，获得广播帧匹配结果。

需要说明的是，预设动态表可以是用户记录CAN总线上所有两次数据帧发出的时间、数值大小、请求帧发出的时间及对应的响应帧的时间和大小等信息构建的信息表，其中，预设动态表如表2所示，其中，预设动态表中的ID也就是本实施例中的数据帧标识：

表2预设动态表

应当理解的是，将当前广播帧标识与预设动态表中的数据帧标识进行匹配，获得广播帧匹配结果可以是将当前广播帧ID与预设动态表中的ID进行匹配，获得广播帧匹配结果，根据广播帧匹配结果判断当前广播帧是否为数据帧。

在具体实现中，例如，如果当前广播帧为请求帧，在表2中新建该ID且类型为“请求帧”的记录,并将请求时间rt1填入上次数据帧时间对应字段(Value值为0)；如果当前广播帧为数据帧，则执行步骤S3023。

步骤S3023：在所述广播帧匹配结果为匹配成功时，查找所述当前广播设备信息对应的分值范围，并判断所述当前广播帧分值是否处于所述分值范围，获得分值判断结果。

应当理解的是，查找当前广播设备信息对应的分值范围可以是在表1中查找当前广播设备信息对应的最大值和最小值，并根据最大值以及最小值生成分值范围。

可以理解的是，在当前广播帧分值处于分值范围时，判定分值判断结果为正常；在当前广播帧分值不处于分值范围时，判定分值判断结果为不正常。

步骤S3024：获取所述待检测CAN总线的历史广播帧，所述历史广播帧为当前时刻之前的预设时间范围内的广播帧。

需要说明的是，预设时间范围可以是用户根据实际情况预先设置的时间段，本实施例对此不加以限制。

应当理解的是，获取待检测CAN总线的历史广播帧可以是在预设数据库中读取待检测CAN总线的历史广播帧，其中，预设数据库可以是用户预先设置的用于存储广播帧信息的数据库。

步骤S3025：根据所述分值判断结果以及所述历史广播帧确定广播帧检测结果。

进一步地，考虑到实际应用中，若直接根据分值判断结果以及历史广播帧确定广播帧检测结果，势必会导致判断过程所涉及的对象过多，运算量过大。为克服这一缺陷，所述步骤S3025，包括：

根据所述当前广播帧以及所述前一广播帧确定广播周期；

判断所述广播周期是否大于预设阈值，获得周期判断结果；

需要说明的是，预设阈值可以是用户预先设置的时间阈值，本实施例对此不加以限制。

此外，为了便于理解，以下进行举例说明：

如数据帧前无请求帧,说明是ECU自己周期性地发出数据,将第二次发出的数据的时间sT1和大小Value2存入表2中本次数据帧对应的字段，比较数据发出的周期T是否满足：sT1-st1＝T，如不满足则存在异常行为；

如数据帧前面有请求帧，说明有其他ECU请求数据，收到数据帧后将收到的时间rt2和大小Value3存入表2中对应ID且类型为“请求帧”记录中的本次数据帧对应字段,比较响应时间是否满足：rt2－rt1＝R，如不满足则存在异常行为，如满足则删除表2中对应ID且类型为请求帧的记录，然后进入基于统计的异常检测过程。

进一步地，所述根据所述当前广播帧以及所述前一广播帧确定广播周期，包括：

应当理解的是，在表2中可以直接查找前一广播帧对应的前一广播时间。

可以理解的是，根据当前广播时间以及前一广播时间确定广播周期可以是根据当前广播时间以及前一广播时间确定时间差值，并将时间差值作为广播周期。

在第三实施例中，通过获取历史广播帧的历史广播帧标识，并根据所述历史广播帧标识判断所述历史广播帧是否为请求帧，在所述历史广播帧不为所述请求帧时，查找所述当前广播帧对应的前一广播帧，根据所述当前广播帧以及所述前一广播帧确定广播周期，判断所述广播周期是否大于预设阈值，获得周期判断结果，根据所述分值判断结果以及所述周期判断结果确定广播帧检测结果；从而能够生成准确、可靠地广播帧检测结果。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有车载CAN总线的异常检测程序，所述车载CAN总线的异常检测程序被处理器执行时实现如上文所述的车载CAN总线的异常检测方法的步骤。

此外，参照图6，本发明实施例还提出一种车载CAN总线的异常检测装置，所述车载CAN总线的异常检测装置包括：获取模块10、解析模块20、生成模块30和确定模块40；

所述获取模块10，用于获取待检测CAN总线的当前广播报文。

所述解析模块20，用于对所述当前广播报文进行解析，获得当前广播设备信息以及当前广播帧。

所述生成模块30，用于根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果。

所述生成模块30，还用于获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果。

H_(x)＝-∑_x∈Xp(x)log_bp(x)

所述确定模块40，用于根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果。

在本实施例中，通过获取待检测CAN总线的当前广播报文，对所述当前广播报文进行解析，获得当前广播设备信息以及当前广播帧，根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果，获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果，根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果；相较于现有的根据大量的已知知识和威胁，动态建立和维护一个规则库，利用建立的规则库对事件进行判断的方式，本实施例中，通过先对待检测CAN总线的当前广播报文进行解析，获得当前广播设备信息以及当前广播帧，再根据当前广播设备信息以及当前广播帧生成规则检测结果，根据当前报文数据生成信息熵检测结果，最后根据规则检测结果以及信息熵检测结果确定异常检测结果，克服了现有技术中对于未知的行为，无法进行有效的检测识别的缺陷，从而能够优化车载CAN总线的异常检测过程，提高异常检测的效率以及实用性。

在一实施例中，所述生成模块30，还用于将所述当前广播设备信息与预设静态表中的授权广播设备信息进行匹配，获得设备信息匹配结果，获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，并根据所述当前广播帧标识以及所述当前广播帧分值确定广播帧检测结果，根据所述设备信息匹配结果以及所述广播帧检测结果生成规则检测结果；

在一实施例中，所述生成模块30，还用于获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，将所述当前广播帧标识与预设动态表中的数据帧标识进行匹配，获得广播帧匹配结果，在所述广播帧匹配结果为匹配成功时，查找所述当前广播设备信息对应的分值范围，并判断所述当前广播帧分值是否处于所述分值范围，获得分值判断结果，获取所述待检测CAN总线的历史广播帧，所述历史广播帧为当前时刻之前的预设时间范围内的广播帧，根据所述分值判断结果以及所述历史广播帧确定广播帧检测结果；

在一实施例中，所述生成模块30，还用于获取历史广播帧的历史广播帧标识，并根据所述历史广播帧标识判断所述历史广播帧是否为请求帧，在所述历史广播帧不为所述请求帧时，查找所述当前广播帧对应的前一广播帧，根据所述当前广播帧以及所述前一广播帧确定广播周期，判断所述广播周期是否大于预设阈值，获得周期判断结果，根据所述分值判断结果以及所述周期判断结果确定广播帧检测结果；

在一实施例中，所述生成模块30，还用于获取所述当前广播帧的当前广播时间，并在所述预设动态表查找所述前一广播帧对应的前一广播时间，根据所述当前广播时间以及所述前一广播时间确定广播周期；

在一实施例中，所述生成模块30，还用于获取所述当前广播报文的当前报文数据，并对所述当前报文数据进行数据处理，获得目标报文数据，根据所述目标报文数据确定当前信息熵，并查找所述当前广播报文对应的标准信息熵范围，判断所述当前信息熵是否处于所述标准信息熵范围，并根据信息熵判断结果生成信息熵检测结果；

在一实施例中，所述车载CAN总线的异常检测装置还包括：展示模块；

所述展示模块，用于在预设映射关系表中查找所述异常检测结果对应的目标报警策略，所述预设映射关系表中包含异常检测结果与目标报警策略之间的对应关系，根据所述目标报警策略生成目标报警信息，并展示所述目标报警信息。

本发明所述车载CAN总线的异常检测装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序，可将这些词语解释为名称。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image，ROM)/随机存取存储器(Random AccessMemory，RAM)、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种车载CAN总线的异常检测方法，其特征在于，所述车载CAN总线的异常检测方法包括以下步骤：

获取待检测CAN总线的当前广播报文；

根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果；

其中，所述根据所述当前广播设备信息以及所述当前广播帧生成规则检测结果的步骤，具体包括：

根据所述设备信息匹配结果以及所述广播帧检测结果生成规则检测结果；

所述获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，并根据所述当前广播帧标识以及所述当前广播帧分值确定广播帧检测结果的步骤，具体包括：

2.如权利要求1所述的车载CAN总线的异常检测方法，其特征在于，所述根据所述分值判断结果以及所述历史广播帧确定广播帧检测结果的步骤，具体包括：

根据所述当前广播帧以及所述前一广播帧确定广播周期；

判断所述广播周期是否大于预设阈值，获得周期判断结果；

3.如权利要求2所述的车载CAN总线的异常检测方法，其特征在于，所述根据所述当前广播帧以及所述前一广播帧确定广播周期的步骤，具体包括：

4.如权利要求1-3中任一项所述的车载CAN总线的异常检测方法，其特征在于，所述获取所述当前广播报文的当前报文数据，并根据所述当前报文数据生成信息熵检测结果的步骤，具体包括：

5.如权利要求1-3中任一项所述的车载CAN总线的异常检测方法，其特征在于，所述根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果的步骤之后，所述车载CAN总线的异常检测方法还包括：

6.一种车载CAN总线的异常检测设备，其特征在于，所述车载CAN总线的异常检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的车载CAN总线的异常检测程序，所述车载CAN总线的异常检测程序被所述处理器执行时实现如权利要求1至5中任一项所述的车载CAN总线的异常检测方法的步骤。

7.一种存储介质，其特征在于，所述存储介质上存储有车载CAN总线的异常检测程序，所述车载CAN总线的异常检测程序被处理器执行时实现如权利要求1至5中任一项所述的车载CAN总线的异常检测方法的步骤。

8.一种车载CAN总线的异常检测装置，其特征在于，所述车载CAN总线的异常检测装置包括：获取模块、解析模块、生成模块和确定模块；

所述获取模块，用于获取待检测CAN总线的当前广播报文；

所述确定模块，用于根据所述规则检测结果以及所述信息熵检测结果确定异常检测结果；

其中，所述生成模块，还用于将所述当前广播设备信息与预设静态表中的授权广播设备信息进行匹配，获得设备信息匹配结果，获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，并根据所述当前广播帧标识以及所述当前广播帧分值确定广播帧检测结果，根据所述设备信息匹配结果以及所述广播帧检测结果生成规则检测结果；

所述生成模块，还用于获取所述当前广播帧的当前广播帧标识以及当前广播帧分值，将所述当前广播帧标识与预设动态表中的数据帧标识进行匹配，获得广播帧匹配结果，在所述广播帧匹配结果为匹配成功时，查找所述当前广播设备信息对应的分值范围，并判断所述当前广播帧分值是否处于所述分值范围，获得分值判断结果，获取所述待检测CAN总线的历史广播帧，所述历史广播帧为当前时刻之前的预设时间范围内的广播帧，根据所述分值判断结果以及所述历史广播帧确定广播帧检测结果。