CN113132298B - 一种汽车网关上实现网络入侵检测的方法及系统 - Google Patents

Abstract

一种汽车网关上实现网络入侵检测的方法及系统，方法包括：汽车网关MCU/MPU的IDS服务单元初始化汽车网关以太网芯片的预设寄存器，并将所有入侵检测规则写入所述以太网芯片的存储单元；汽车网关运行过程中，所述以太网芯片检测是否有入侵检测规则被匹配，如果有，进行命中状态标识修改；所述IDS服务单元获取所述命中状态标识以进行入侵检测判断。本发明利用以太网芯片进行入侵检测，基于入侵检测规则进行快速匹配，MCU/MPU上的IDS服务单元只需要做状态回读和反馈配置，即可实现入侵检测告，因此不会对MCU/MPU性能造成大的消耗，也不会影响到MCU/MPU现有业务的处理。

Description

一种汽车网关上实现网络入侵检测的方法及系统

技术领域

本发明涉及汽车网关技术领域，特别是一种汽车网关上实现网络入侵检测的方法及系统。

背景技术

目前，汽车网关开始由传统的CAN/CAN FD、LIN、FlexRay数据通信逐渐往以太网进行过渡。现在很多方案是基于以太网芯片+MCU/MPU进行扩展以太网。以太网的引入带来了更多的网络安全威胁问题，但原先针对传统网关的那套MCU/MPU并不具备安全防护的能力，如果纯粹用软件实现IDS(入侵检测系统)对MCU/MPU的性能要求又比较高，高性能消耗可能会影响到MCU/MPU现有业务的处理。

发明内容

本发明的主要目的在于提出一种汽车网关上实现网络入侵检测的方法及系统，不会对MCU/MPU性能造成大的消耗，不会影响到MCU/MPU现有业务的处理。

本发明采用如下技术方案：

一方面，一种汽车网关上实现网络入侵检测的方法，包括：

汽车网关MCU/MPU的IDS服务单元初始化汽车网关以太网芯片的预设寄存器，并将所有入侵检测规则写入所述以太网芯片的存储单元；

汽车网关运行过程中，所述以太网芯片检测是否有入侵检测规则被匹配，如果有，进行命中状态标识修改；

所述IDS服务单元获取所述命中状态标识以进行入侵检测判断。

优选的，IDS服务单元将所有入侵检测规则写入所述以太网芯片的存储单元的方法包括：

所述IDS服务单元将所有的入侵检测规则通过配置表映射至所述以太网芯片的存储单元。

优选的，所述IDS服务单元获取所述命中状态标识以进行入侵检测判断之后，还包括：

如果所述IDS服务单元根据所述命中状态标识判断出有入侵检测规则被匹配，则获取被匹配的入侵检测规则。

优选的，所述方法还包括：

所述IDS服务单元根据获取被匹配的入侵检测规则判断出入侵类型，并进行入侵报告和/或入侵告警。

优选的，所述IDS服务单元获取被匹配的入侵检测规则之后，还包括：

获取被匹配的入侵检测规则的匹配次数。

优选的，所述方法还包括：

所述IDS服务单元根据获取被匹配的入侵检测规则和被匹配的匹配次数，判断出入侵类型，并进行入侵报告和/或入侵告警。

优选的，每条所述入侵检测规则包括如下字段：用于标识规则匹配优先级的条目号、用于对数据包进行匹配的匹配项、匹配后的决策、规则的应用端口和规则绑定的计数器号。

优选的，所述IDS服务单元获取所述命中状态标识以进行入侵检测判断之后，还包括：

如果所述IDS服务单元根据所述命中状态标识判断出有入侵检测规则被匹配，则根据所述以太网芯片中被匹配的入侵检测规则的条目号获取被匹配的入侵检测规则。

优选的，所述IDS服务单元获取被匹配的入侵检测规则之后，还包括：

通过所述以太网芯片中被匹配的入侵检测规则的计数器号，或者，通过所述IDS服务单元为被匹配的入侵检测规则动态配置的计数器号获取被匹配的入侵检测规则的匹配次数。

另一方面，一种汽车网关上实现网络入侵检测的系统，包括汽车网关MCU/MPU和汽车网关以太网芯片，所述汽车网关MCU/MPU包括IDS服务单元；

所述IDS服务单元，用于初始化所述以太网芯片的预设寄存器，并将所有入侵检测规则写入所述以太网芯片的存储单元；还用于进行入侵检测判断；

所述以太网芯片，用于检测汽车网关运行过程中是否有入侵检测规则被匹配，如果有，进行命中状态标识修改；所述命中状态标识供所述IDS服务单元获取以进行入侵检测判断。

与现有技术相比，本发明的有益效果如下：

本发明利用以太网芯片进行入侵检测，基于入侵检测规则进行快速匹配，MCU/MPU上的IDS服务单元只需要做状态回读和反馈配置，即可实现入侵检测告，因此不会对MCU/MPU性能造成大的消耗，也不会影响到MCU/MPU现有业务的处理。

附图说明

图1为本发明的网络入侵检测方法的流程图；

图2为本发明的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步的详细描述。

参见图1和图2所示，一方面，一种汽车网关上实现网络入侵检测的方法，包括：

S101，汽车网关MCU/MPU的IDS服务单元初始化汽车网关以太网芯片的预设寄存器，并将所有入侵检测规则写入所述以太网芯片的存储单元；

S102，汽车网关运行过程中，所述以太网芯片检测是否有入侵检测规则被匹配，如果有，进行命中状态标识修改；

S103，所述IDS服务单元获取所述命中状态标识以进行入侵检测判断。

本实施例中，以switch以太网芯片为例进行说明，当然也可以是其他的以太网芯片。

所述S101中，汽车网关MCU/MPU的IDS服务单元初始化汽车网关以太网芯片的预设寄存器，能够使太网芯片进入到可工作状态，对应于switch以太网芯片，能够使太网芯片的switch的TCAM模块进入到可工作状态。

所述S101中，IDS服务单元将所有入侵检测规则写入所述以太网芯片的存储单元，具体为将所有的入侵检测规则通过配置表映射至所述以太网芯片的存储单元。对应于switch以太网芯片，IDS服务单元把所有入侵检测规则通过配置表TCAM.cfg映射到switch中TCAM存储区，其中TCAM.cfg的配置信息大致抽象如表1，实际配置数据类似表2所示。

表1 TCAM.cfg配置

表2 TCAM.cfg数据

由表1和表2可以看出，TCAM.cfg包含了所有的入侵检测规则，每一行代表了一条入侵检测规则。每一条入侵检测规则包括如下字段：条目号、匹配项、决策、端口列表、和计数器号等。

所述条目号，代表规则序号，条目号越小代表该条规则被优先匹配的优先级越高。具体能存储多少条条目，跟以太网芯片的具体型号有关。

所述匹配项，对具体数据包进行匹配的规则，一个匹配项匹配数据包中的4个字节，start表示从数据包的什么位置开始匹配(如表2条目0中的0x1B)，mask是掩码值(如表2条目0中的0xFFFFFFFF)，value是掩码之后希望的值(如表2条目0中的0xAC101ECE)，如果有多个匹配项可以用与的符号&&进行扩展(如表2条目2中的数据)，单条条目最多有多少个匹配项根据以太网芯片存储单元单个条目能匹配的长度而定，比如一个TCAM条目的长度为48字节，一个匹配项是4字节的话，最高可支持12个匹配项。

所述决策：如果所有匹配项的结果都为true则执行决策操作，决策包括ACCEPT/DROP(接受/丢弃)。

所述端口列表：表示该条规则要应用到哪些端口，具体可以绑定哪些端口，要看对应的以太网芯片支持多少端口。当所有端口都要用到该条规则时，则用PG代表所有端口，以简化配置。

所述计数器号：表示该条规则要绑定到哪个计数器，可以不绑定(有的规则并不需要计数器或者考虑下面要说的计数器资源分配因素)，如果绑定则该条规则被命中了多少次可以通过该计数器号进行查询。具体支持多少个计数器跟以太网芯片型号有关，如果以太网芯片的计数器资源很紧张(比如只有一两个)，对于需要计数器支持的规则在这里就不要去绑定计数器，放到后面IDS服务单元那边去动态绑定以合理利用计数器资源，如果计数器资源比较宽裕的话就可以直接静态绑给某条需要计数器的规则用。

所述S102和S103中，IDS服务单元会去回读以太网芯片的命中状态标识(对应switch，从TCAM中读取命中状态标识)，当TCAM.cfg映射到以太网芯片中的任一规则被命中时，以太网芯片中对应模块的命中状态标识会发生变化(比如从0变为1)，通过该状态就可以初步判断从以太网芯片上接入的网络设备有潜在入侵风险。

当检测到命中状态标识变化后，IDS服务单元可以更精细的去查询以太网芯片上的最近命中条目号，以此来确认是哪条规则被命中了，如果该规则不需要多条数据流进行进一步的判断，则可以直接进行入侵检测报告(比如访问禁用IP，端口等)。如果该规则需要多条数据流进行进一步的判断，则可以动态绑定以太网芯片上的一个空闲计数器到该条目，以进一步确认在一定的周期内该规则命中了多少次。对于这里的计数器如果该规则在TCAM.cfg已经绑定了计数器则在这里就不需要再去绑定，而是先清空计数器计数，在下一个周期再去读取计数值，并根据其在周期内的命中频率来确认其攻击类型(比如是某种DOS攻击类型)，之后进行入侵报告，并释放计数器给其他规则用(动态绑定的计数器才需要)。这里对计数器动态配置(包括绑定、清空、释放)是通过IDS服务单元的反馈配置来完成的。另外IDS服务单元在检测到入侵时，还会进行入侵报告，入侵报告按一定的格式记录和存储入侵日志，并对入侵进行报警(比如在设备端进行指示和上报具体入侵事件给云端审计服务器)。

另一方面，一种汽车网关上实现网络入侵检测的系统，包括汽车网关MCU/MPU和汽车网关以太网芯片，所述汽车网关MCU/MPU包括IDS服务单元；

所述IDS服务单元，用于初始化所述以太网芯片的预设寄存器，并将所有入侵检测规则写入所述以太网芯片的存储单元；还用于进行入侵检测判断；

所述以太网芯片，用于检测汽车网关运行过程中是否有入侵检测规则被匹配，如果有，进行命中状态标识修改；所述命中状态标识供所述IDS服务单元获取以进行入侵检测判断。

一种汽车网关上实现网络入侵检测的系统的具体实现同一种汽车网关上实现网络入侵检测的方法，此处不再重复表述。

上述仅为本发明的具体实施方式，但本发明的设计构思并不局限于此，凡利用此构思对本发明进行非实质性的改动，均应属于侵犯本发明保护范围的行为。

Claims (8)

1.一种汽车网关上实现网络入侵检测的方法，其特征在于，包括：

汽车网关MCU/MPU的入侵检测系统IDS服务单元初始化汽车网关以太网芯片的预设寄存器，并将所有入侵检测规则写入所述以太网芯片的存储单元；

汽车网关运行过程中，所述以太网芯片检测是否有入侵检测规则被匹配，如果有，进行命中状态标识修改；

所述IDS服务单元获取所述命中状态标识以进行入侵检测判断；

IDS服务单元将所有入侵检测规则写入所述以太网芯片的存储单元的方法包括：

所述IDS服务单元将所有的入侵检测规则通过配置表映射至所述以太网芯片的存储单元；

每条所述入侵检测规则包括如下字段：用于标识规则匹配优先级的条目号、用于对数据包进行匹配的匹配项、匹配后的决策、规则的应用端口和规则绑定的计数器号。

2.根据权利要求1所述的汽车网关上实现网络入侵检测的方法，其特征在于，所述IDS服务单元获取所述命中状态标识以进行入侵检测判断之后，还包括：

如果所述IDS服务单元根据所述命中状态标识判断出有入侵检测规则被匹配，则获取被匹配的入侵检测规则。

3.根据权利要求2所述的汽车网关上实现网络入侵检测的方法，其特征在于，所述方法还包括：

所述IDS服务单元根据获取被匹配的入侵检测规则判断出入侵类型，并进行入侵报告和/或入侵告警。

4.根据权利要求2所述的汽车网关上实现网络入侵检测的方法，其特征在于，所述IDS服务单元获取被匹配的入侵检测规则之后，还包括：

获取被匹配的入侵检测规则的匹配次数。

5.根据权利要求4所述的汽车网关上实现网络入侵检测的方法，其特征在于，所述方法还包括：

所述IDS服务单元根据获取被匹配的入侵检测规则和被匹配的匹配次数，判断出入侵类型，并进行入侵报告和/或入侵告警。

6.根据权利要求1所述的汽车网关上实现网络入侵检测的方法，其特征在于，所述IDS服务单元获取所述命中状态标识以进行入侵检测判断之后，还包括：

如果所述IDS服务单元根据所述命中状态标识判断出有入侵检测规则被匹配，则根据所述以太网芯片中被匹配的入侵检测规则的条目号获取被匹配的入侵检测规则。

7.根据权利要求1所述的汽车网关上实现网络入侵检测的方法，其特征在于，所述IDS服务单元获取被匹配的入侵检测规则之后，还包括：

通过所述以太网芯片中被匹配的入侵检测规则的计数器号，或者，通过所述IDS服务单元为被匹配的入侵检测规则动态配置的计数器号获取被匹配的入侵检测规则的匹配次数。

8.一种汽车网关上实现网络入侵检测的系统，包括汽车网关MCU/MPU和汽车网关以太网芯片，所述汽车网关MCU/MPU包括IDS服务单元；其特征在于：

所述IDS服务单元，用于初始化所述以太网芯片的预设寄存器，并将所有入侵检测规则写入所述以太网芯片的存储单元；还用于进行入侵检测判断；

所述以太网芯片，用于检测汽车网关运行过程中是否有入侵检测规则被匹配，如果有，进行命中状态标识修改；所述命中状态标识供所述IDS服务单元获取以进行入侵检测判断；

其中，IDS服务单元将所有入侵检测规则写入所述以太网芯片的存储单元的方法包括：

所述IDS服务单元将所有的入侵检测规则通过配置表映射至所述以太网芯片的存储单元；

每条所述入侵检测规则包括如下字段：用于标识规则匹配优先级的条目号、用于对数据包进行匹配的匹配项、匹配后的决策、规则的应用端口和规则绑定的计数器号。