CN113259351A - 一种入侵检测方法、装置、存储介质和电子设备 - Google Patents
一种入侵检测方法、装置、存储介质和电子设备 Download PDFInfo
- Publication number
- CN113259351A CN113259351A CN202110519669.1A CN202110519669A CN113259351A CN 113259351 A CN113259351 A CN 113259351A CN 202110519669 A CN202110519669 A CN 202110519669A CN 113259351 A CN113259351 A CN 113259351A
- Authority
- CN
- China
- Prior art keywords
- message
- field
- packet
- intrusion
- determined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种入侵检测方法、装置、存储介质和电子设备,该入侵检测方法包括:获取面向服务的数据交互中间件SOME/IP报文,其中,SOME/IP报文是通过对待检测的以太网报文进行解析后获得的;若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文;其中,预设检测流程包括SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程。本申请实施例能够实现对车载以太网的入侵检测,保障了车载网络的稳定和用户的安全。
Description
技术领域
本申请涉及车联网安全领域,尤其涉及一种入侵检测方法、装置、存储介质和电子设备。
背景技术
随着车联网的迅速发展,越来越多的网络技术应用于汽车之上,在丰富了用户的行车体验的同时也带来了新的挑战。传统的控制器局域网络(Controller Area Network,CAN)受信息传输带宽的限制无法满足未来高流量的要求,为了解决传统车载构架的瓶颈,车载以太网也因此孕育而生,成为新一代车载网络构架。其中,面向服务的数据交互中间件(Scalable service-Oriented MiddlewarE over IP,SOME/IP)是车载以太网通信引入的一个概念,其基于以太网协议进行数据传输,目的是替代传统CAN协议以完成电子控制单元(Electronic Control Unit,ECU)之间的正常通信。
在实现本发明的过程中,发明人发现现有技术中存在如下问题:现有技术中并不存在专门针对SOME/IP协议的入侵检测方法。例如,现有的入侵检测方法是通过基于CAN网络的入侵检测系统来实现的。但是,由于协议的格式不同,基于CAN网络的入侵检测系统无法实现对SOME/IP协议的检测。
发明内容
本申请实施例的目的在于提供一种入侵检测方法、装置、存储介质和电子设备,以实现对SOME/IP报文的安全性检测。
第一方面,本申请实施例提供了一种入侵检测方法,该入侵检测方法包括:获取面向服务的数据交互中间件SOME/IP报文,其中,SOME/IP报文是通过对待检测的以太网报文进行解析后获得的;若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文;其中,预设检测流程包括SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程。
因此,借助于上述技术方案,本申请实施例可通过SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程来实现对SOME/IP报文的检测,从而能够实现对车载以太网的入侵检测,保障了车载网络的稳定和用户的安全。
在一个可能的实施例中,头部关键字段包括以下字段中的至少一个字段:数据包长度字段、协议版本字段、报文类型字段和返回值字段。
在一个可能的实施例中,SOME/IP报文的头部字段包括地址识别码字段和请求地址字段,地址识别码字段包括服务标识符,请求地址字段包括客户识别码;
其中,预设检测流程包括SOME/IP报文的规则的检测流程,若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文,包括:若确定服务标识符或者客户识别码与预设的白名单不匹配,则确定以太网报文为入侵报文;或者,若确定服务标识符和客户识别码不匹配,则确定以太网报文为入侵报文。
在一个可能的实施例中,SOME/IP报文的头部字段包括接口版本字段;
其中,预设检测流程包括SOME/IP报文的规则的检测流程,若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文,包括:若确定接口版本字段和预设的接口版本列表不匹配,则确定以太网报文为入侵报文。
在一个可能的实施例中,以太网报文包括IP头部字段,IP头部字段包括源IP地址,SOME/IP报文的头部字段包括请求地址字段和报文类型字段,请求地址字段包括客户识别码;
其中,预设检测流程包括SOME/IP报文的规则的检测流程,若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文,包括:若确定源IP地址和客户识别码不匹配且报文类型字段为请求类型信息,则确定以太网报文为入侵报文。
在一个可能的实施例中,SOME/IP报文的头部字段包括报文类型字段和请求地址字段;
其中,预设检测流程包括SOME/IP报文的会话状态的检测流程,若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文,包括:若确定SOME/IP报文的报文类型字段为响应信息或者报错信息,则将SOME/IP报文中的请求地址字段和会话状态链表进行匹配;其中,会话状态链表包括至少一个会话信息结构体,且至少一个会话信息结构体中每个会话信息结构体均包括待匹配报文类型字段;若确定请求地址字段和会话状态链表中目标会话信息结构体匹配且目标会话信息结构体中的待匹配报文类型字段为不期待响应的请求,则确定以太网报文为入侵报文;若确定请求地址字段和会话状态链表中的任意一个会话信息结构体均不匹配,则确定以太网报文为入侵报文。
在一个可能的实施例中,每个会话信息结构体均包括遍历记录次数字段,入侵检测方法还包括:在确定遍历记录次数字段对应的次数大于等于预设次数的情况下,则确定以太网报文为入侵报文。
第二方面,本申请实施例提供了一种入侵检测装置,该入侵检测装置包括:获取模块,用于获取面向服务的数据交互中间件SOME/IP报文,其中,SOME/IP报文是通过对待检测的以太网报文进行解析后获得的;确定模块,用于若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文;其中,预设检测流程包括SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程。
第三方面,本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第四方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第五方面,本申请提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
为使本申请实施例所要实现的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的一种应用场景的示意图;
图2示出了本申请实施例提供的一种入侵检测方法的流程图;
图3示出了本申请实施例提供的一种以太网报文的示意图;
图4示出了本申请实施例提供的一种SOME/IP报文的格式示意图;
图5示出了本申请实施例提供的一种入侵检测方法的具体流程图;
图6示出了本申请实施例提供的一种入侵检测装置的结构框图;
图7是本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在安全领域,常使用入侵检测方法(Intrusion Detection and PreventionSystems,IDPS)来解决信息安全问题。其中,现有的入侵检测方法包括以下两种方法:
其中一种入侵检测方法是通过基于CAN网络的入侵检测系统来实现的,并且该基于CAN网络的入侵检测系统可通过实时监听CAN总线上的CAN报文,并对CAN报文进行规范性检测、报文时间间隔检测和报文上下文检测等。但是,由于协议的格式不同,基于CAN网络的入侵检测系统无法实现对SOME/IP协议的检测,从而无法解决车载以太网的安全问题;
另外一种入侵检测方法是通过能够实时监测网络流量的基于传统以太网的入侵检测系统来实现的,并且该基于传统以太网的入侵检测系统针对主流的以太网协议、常见的网络攻击进行检测,并根据病毒特征库等进行安全匹配,实时防御网络攻击。但是,基于传统以太网的入侵检测系统无法保证SOME/IP协议的数据格式的一致性和规范性,并且针对SOME/IP协议的攻击特征库也是没有的。所以,基于传统以太网的入侵检测系统也无法实现对SOME/IP协议的检测,从而无法解决车载以太网的安全问题。
基于此,本申请实施例提供了一种入侵检测方案,通过获取面向服务的数据交互中间件SOME/IP报文,其中,SOME/IP报文是通过对待检测的以太网报文进行解析后获得的,以及若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文;其中,预设检测流程包括SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程。
因此,借助于上述技术方案,本申请实施例可通过SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程来实现对SOME/IP报文的检测,从而能够实现对车载以太网的入侵检测,保障了车载网络的稳定和用户的安全。
为了便于理解本申请实施例,下面对本申请涉及的一些术语进行解释如下:
“车载以太网关”:它用于负责车内网络数据包的路由转发功能,并且它连接着不同域的汽车组件。
“报文嗅探模块”:它具有监听网卡和解析TCP/IP协议栈的功能,依靠该报文嗅探模块可实时抓取经过车载以太网关的以太网报文(或者说网络流量报文)并解析获取SOME/IP报文(或者说应用层数据),以供其他的检测引擎(例如,规范检测引擎)进行检测。
“规范检测引擎”:它主要是遵循SOME/IP协议规范,对SOME/IP报文的头部关键字段进行格式的检测,以确定头部关键字段的格式是否异常。
也就是说,规范检测引擎主要检测SOME/IP的头部关键字段的数据格式是否符合规范,如果SOME/IP的头部关键字段的数据格式不符合规范,则可能是为攻击者恶意注入的或者操作不当造成的。
应理解,对SOME/IP报文的头部关键字段进行格式的检测的具体方式可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,可检测头部关键字段是否合法。
再例如,可检测头部关键字段对应的值域是否在定义范围内。
再例如,可检测头部关键字段是否包含非法字符。
“规则检测引擎”:它主要依赖用户配置的检测规则,可根据用户经验和实际场景,用户可以自行配置检测规则来完善对数据包的安全检测。
也就是说,规则检测引擎主要是根据用户配置的检测规则对SOME/IP报文进行规则检测。若报文格式为不符合用户配置的规则,则可能为攻击者恶意注入的或者操作不当造成的。
“会话检测引擎”:它主要用于实时记录网络中的会话状态,主要用来检测未出现请求的响应、请求超时的会话和无响应请求却出现响应包等。
也就是说,会话状态引擎主要检测车内网络中的会话状态。如果出现会话状态异常,则可能为攻击者恶意注入的或者操作不当造成的。
“日志报警模块”:它主要负责记录检测引擎的检测日志。其中,若日志中出现异常报文记录,则可进行告警提示操作。
“地址识别码字段(即Message ID字段)”;它包括服务标识符(即Service ID)和方法标识(即Method ID)。其中,Message ID字段的字段长度为32比特。
例如,对于车内的音乐服务来说,该音乐服务的Service ID是固定的。但是,由于音乐服务的具体服务是有很多的(例如,增大音量、调小音量和切换歌曲等),从而可通过Method ID来区分音乐服务中的具体服务。
对应地,请求地址字段是与地址识别码字段类似的,后续不再详细描述。
“数据包长度字段(即Length字段)”:它用于表示SOME/IP报文的长度,但是该长度不包含Message ID字段和Length字段本身的长度。其中,Length字段的字段长度为32比特。
“请求地址字段(即Request ID字段)”:它包含客户识别码(即Client ID)和会话识别码(即Session ID)。其中,Request ID字段的字段长度为32比特。
“协议版本字段(即Protocol Version字段)”:它用于表示SOME/IP的协议版本。其中,Protocol Version字段的字段长度为8比特。
“接口版本字段(即Interface Version字段)”:它用来识别服务的接口的版本号。其中,Interface Version字段的字段长度为8比特。
“报文类型字段(即Message Type字段)”:它用于标识不同的消息类型。其中,Message Type字段的字段长度为8比特。
例如,请参见下表1,表1示出了SOME/IP支持的10种不同的消息类型。
表1
| 值 | 类型 |
| 0x00 | 期待响应的请求(REQUEST) |
| 0x01 | 不期待响应的请求(REQUEST_NO_RETURN) |
| 0x02 | 事件通知(NOTIFICATION) |
| 0x80 | 响应消息(RESPONSE) |
| 0x81 | 报错消息(ERROR) |
| 0x20 | TP_期待响应的请求(TP_REQUEST) |
| 0x21 | TP_不期待响应的请求(TP_REQUEST_NO_RETURN) |
| 0x22 | TP_事件通知(TP_NOTIFICATION) |
| 0x23 | TP_响应消息(TP_RESPONSE) |
| 0x24 | TP_报错消息(TP_ERROR) |
这里需要说明的是,“TP_期待响应的请求”中的“TP”用于标识数据包中应用层数据过长,单个数据包无法满足数据的全部传输,因此需要依赖UDP协议进行多包传输,故“TP_期待响应的请求”也可以称为“携带有TP标识的期待响应的请求”。
对应的,其他携带有“TP”的字段是类似的,后续不再一一说明,具体可参见上述“TP_期待响应的请求”的相关描述。
“返回值字段(即Return Code字段)”:它用于表示请求是否被成功处理,并且此字段根据Message Type字段的不同对应的范围不同。其中,Return Code字段的字段长度为8比特。
例如,请参见表2,表2示出了Message Type字段和Return Code字段的关系。
表2
| Message Type字段 | Return Code字段的值 |
| 期待响应的请求 | 0x00 |
| 不期待响应的请求 | 0x00 |
| 事件通知 | 0x00 |
| 响应消息 | 正常范围 |
| 报错消息 | 除0x00之外的正常范围 |
这里需要说明的是,表2中的Return Code字段的不同的取值具有不同的含义。例如,“0x00”表示“ok”,“0x01”表示“not ok”等。
“载荷信号数据(即Payload字段)”:它是记载信息的那部分数据。其中,Payload字段的字段长度是可以变化的。
请参见图1,图1示出了本申请实施例提供的一种应用场景的示意图。如图1所示,该应用场景包括车载以太网关和可部署在车载以太网关之上的入侵检测系统。其中,该入侵检测系统可包括报文嗅探模块、用于执行SOME/IP报文的头部关键字段的格式的检测流程的规范检测引擎、用于执行SOME/IP报文的规则的检测流程的规则检测引擎、用于执行SOME/IP报文的会话状态的检测流程的会话检测引擎和日志报警模块。
应理解,报文嗅探模块的具体模块、规范检测引擎的具体引擎、规则检测引擎的具体引擎、会话检测引擎的具体引擎和日志报警模块的具体模块均可根据实际需求来进行设置,本申请实施例并不局限于此。
因此,本申请实施例通过入侵检测系统可以实时检测车内网络中的SOME/IP报文,并对SOME/IP报文进行异常检测,当检测到异常报文后,本申请实施例还能够进行日志报警操作,从而不仅可记录异常信息,还可提醒用户受到安全威胁。
需要说明的是,本发明实施例提供的入侵检测方案还可以进一步拓展到其他合适的应用场景中,而不限于图1所示的应用场景。
请参见图2,图2示出了本申请实施例提供的一种入侵检测方法的流程图。应理解,图2所示的入侵检测方法可以由入侵检测装置执行,该入侵检测装置可以与下文中的图6所示的入侵检测装置对应,该入侵检测装置可以是能够执行该方法的各种设备,例如,如车载以太网关或者车载控制器等,本申请实施例并不限于此,具体包括如下步骤:
步骤S210,获取待检测的以太网报文。
具体地,可通过报文嗅探模块实时获取待检测的以太网报文。
步骤S220,对以太网报文进行解析,获得SOME/IP报文。
具体地,请参见图3,图3示出了本申请实施例提供的一种以太网报文的示意图。如图3所示,该以太网报文包括以太网头部字段、IP头部字段、TCP/UDP头部字段、SOME/IP报文的头部字段和SOME/IP数据体字段(或者称为SOME/IP报文的数据体字段)。
从而,本申请实施例可通过报文嗅探模块对以太网报文进行解析或者解封装,以获得由SOME/IP报文的头部字段和SOME/IP报文的数据体字段构成的SOME/IP报文。
步骤S230,若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文。其中,预设检测流程包括SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程。
应理解,虽然上面以SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程为例,对预设检测流程进行了描述,但本领域的技术人员应当理解,预设检测流程所包含的流程也可根据实际需求来进行设置,本申请实施例并不局限于此。
这里需要说明的是,在预设检测流程包括SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少两个检测流程的情况下,至少两个检测流程的先后执行顺序可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,在预设检测流程包含SOME/IP报文的头部关键字段的格式的检测流程和SOME/IP报文的规则的检测流程这两个检测流程的情况下,可先执行SOME/IP报文的头部关键字段的格式的检测流程,随后再执行SOME/IP报文的规则的检测流程。
再例如,在预设检测流程包含SOME/IP报文的头部关键字段的格式的检测流程和SOME/IP报文的规则的检测流程这两个检测流程的情况下,可先执行SOME/IP报文的规则的检测流程,随后再执行SOME/IP报文的头部关键字段的格式的检测流程。
还应理解,SOME/IP报文的头部关键字段的格式的检测流程的具体过程可根据实际需求来进行设置,本申请实施例并不局限于此。
可选地,请参见图4,图4示出了本申请实施例提供的一种SOME/IP报文的格式示意图。如图4所示,该SOME/IP报文包括SOME/IP报文的头部字段和Payload字段。其中,SOME/IP报文的头部字段包括Message ID字段、Length字段、Request ID字段、Protocol Version字段、Interface Version字段、Message Type字段和Return Code字段。
此外,在图4的基础上,可将Length字段、Protocol Version字段、Message Type字段和Return Code字段中的至少一个字段看作头部关键字段,从而可通过检测上述头部关键字段,以确定SOME/IP报文的数据格式是否异常。
例如,在头部关键字段包含Length字段的情况下,可检测Length字段的实际长度,并确定Length字段的实际长度和规范长度(即32比特)是否一致,若不一致,则可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文。
再例如,在头部关键字段包含Protocol Version字段的情况下,可检测ProtocolVersion字段对应的实际版本号,并确定Protocol Version字段对应的实际版本号和预设版本号(例如,2.0等)是否一致,若不一致,则可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文。
应理解,预设版本号的具体版本号可根据实际需求来进行设置,本申请实施例并不局限于此。
再例如,在头部关键字段包含Message Type字段的情况下,可检测Message Type字段对应的实际消息类型,并确定检测Message Type字段对应的实际消息类型是否为属于表1中的任意一种消息类型,若不属于,则可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文。
再例如,在头部关键字段包含Return Code字段的情况下,可检测Message Type字段对应的实际消息类型和Return Code字段对应的实际值,并可通过表2确定Message Type字段对应的实际消息类型和Return Code字段对应的实际值是否匹配,若不匹配,则可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文。
这里需要说明的是,虽然上面以将Length字段、Protocol Version字段、MessageType字段和Return Code字段中的至少一个字段看作头部关键字段为例来进行描述的,但本领域的技术人员应当理解,头部关键字段所包含的字段可根据实际需求来进行设置,本申请实施例并不局限于此。
还应理解,SOME/IP报文的规则的检测流程对应的具体过程也可根据实际需求来进行设置,本申请实施例并不局限于此。
可选地,在SOME/IP报文的头部字段包括Request ID字段且Request ID字段包括Client ID的情况下,车内的ECU组件可根据实际需求来由使用者定义Client ID,且整车内的Client ID唯一且不会随意改变,以及由于整车内ECU数量有限,也因此Client ID的数量也是有限的,从而可预设一个关于当前车辆且与Client ID相关的第一预设白名单。
从而,可检测SOME/IP报文中的Client ID,并可将SOME/IP报文中的Client ID和第一预设白名单进行匹配,若SOME/IP报文中的Client ID没有出现在第一预设白名单中,则可认为SOME/IP报文中的Client ID和第一预设白名单不匹配,进而可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文。
应理解,第一预设白名单所包含的信息可根据实际需求来进行设置,本申请实施例并不局限于此。
可选地,在SOME/IP报文的头部字段包括Message ID字段且Message ID字段包括Service ID的情况下,由于车内所能提供的服务有限,且每种服务具有唯一的Service ID,从而可预设一个关于当前车辆且与Service ID相关的第二预设白名单。
从而,可检测SOME/IP报文中的Service ID,并可将SOME/IP报文中的Service ID和第二预设白名单进行匹配,若SOME/IP报文中的Service ID没有出现在第二预设白名单中,则可认为SOME/IP报文中的Service ID和第二预设白名单不匹配,进而可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文。
应理解,第二预设白名单所包含的信息可根据实际需求来进行设置,本申请实施例并不局限于此。
这里需要说明的是,第一预设白名单和第二预设白名单可以是两个独立的白名单,也可将第一预设白名单和第二预设白名单整理成一个白名单,本申请实施例并不局限于此。
可选地,在SOME/IP报文的头部字段包括Interface Version字段的情况下,当汽车增加新的服务或者服务发生变更的情况下,用户是可以定义新的接口版本号的,从而ECU可根据设置的接口的版本号来表明调用的接口的版本。因此,本申请实施例可针对每种服务对应的预设的接口版本列表,并且每个预设的接口版本列表均可包括对应的服务允许的接口的版本号。
从而,可检测SOME/IP报文中的Interface Version字段,并可将SOME/IP报文中的Interface Version字段及其对应的服务的预设的接口版本列表进行匹配,若SOME/IP报文中的Interface Version字段没有出现在预设的接口版本列表中,则可认为SOME/IP报文中的Interface Version字段和预设的接口版本列表不匹配,进而可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文。
这里需要说明的是,预设的接口版本列表所包含的信息可根据实际需求来进行设置,本申请实施例并不局限于此。
可选地,在以太网报文包括IP头部字段,以及IP头部字段包括源IP地址,并且SOME/IP报文的头部字段包括Request ID字段和Message Type字段,以及Request ID字段包括Client ID的情况下,本申请实施例可将ECU的Client ID和源IP地址进行绑定。
从而,可检测以太网报文中的源IP地址、Client ID和Message Type字段,并确定源IP地址和Client ID是否为绑定关系,若源IP地址和Client ID不属于绑定关系,则可认为源IP地址和Client ID不匹配。以及,在源IP地址和Client ID不匹配的基础上,可进一步确定Message Type字段是否为请求类型信息(即判断Message Type字段是否为REQUEST或者REQUEST_NO_RETURN),若确定Message Type字段为请求类型信息,则可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文。
可选地,在SOME/IP报文的头部字段包括Message ID字段和Request ID字段的情况下,每个服务只能允许特定的ECU来完成请求(例如,对于音乐服务来说,其只能允许与音乐相关的ECU控制),以及因为每种服务具有唯一的Service ID,并且每种ECU拥有唯一的Client ID,从而本申请实施例可设置一个记录有Service ID及其对应的Client ID的关系记录表。
从而,可检测SOME/IP报文中的Service ID和Client ID,并可查询关系记录表,确定Service ID和Client ID是否为对应的或者是绑定的,若确定Service ID和Client ID是不对应的,从而可确定不应该调用此服务的ECU调用了此服务,从而可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文。
例如,音乐相关的ECU连续发送多个请求,那么这多个请求的Session ID是不同的,服务器返回响应时,响应包中也携带着Session ID,这个Session ID可以与请求中的Session ID是相同的,响应包到达该ECU时,该ECU可根据Session ID判断该响应为多个连续请求中哪一个请求的响应。
应理解,关系记录表所包含的绑定关系信息可根据实际需求来进行设置,本申请实施例并不局限于此。
还应理解,SOME/IP报文的会话状态的检测流程的具体流程也可根据实际需求来进行设置,本申请实施例并不局限于此。
可选地,会话检测引擎可主要由一个定时器和一个会话状态链表来实现。其中,定时器主要是每间隔预设时间则检测一次状态链表,以分析状态链表中的每个会话信息结构体(或者每个节点);会话状态链表主要记录车内网络中的会话状态,并且会话状态链表是由至少一个会话信息结构体串联构成的。
应理解,预设时间的具体时间可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,预设时间可以为1分钟。
还应理解,每个会话信息结构体所包含的信息也可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,每个会话信息结构体均可包括以下字段中的至少一种字段:待匹配RequestID字段、待匹配Message Type字段、用于标识当前会话信息结构体是否找到匹配的报文的标识字段和用于表示遍历次数的遍历记录次数字段。其中,遍历次数可以是指遍历会话状态链表的次数。
从而,可通过会话检测引擎来解析SOME/IP报文,若确定SOME/IP报文中的MessageType字段为REQUEST或者REQUEST_NO_RETURN,则可在会话状态链表中新增一个新的会话信息结构体,并可将该SOME/IP报文的Request ID字段放入到新的会话信息结构体中,以将其作为待匹配Request ID字段,还可将该SOME/IP报文的Message Type字段放入到新的会话信息结构体中,以将其作为待匹配Message Type字段;若确定SOME/IP报文中的MessageType字段为RESPONSE或ERROR,则可从该SOME/IP报文中提取Request ID字段,并可在会话状态链表中查找与之匹配的会话信息结构体,并且在Request ID字段和目标会话信息结构体中的待匹配Request ID字段相同的情况下,则可认为Request ID字段和目标会话信息结构体匹配上。以及,若找到目标会话信息结构体,则可判断目标会话信息结构体中的待匹配Message Type字段是否为REQUEST_NO_RETURN,若果待匹配Message Type字段是REQUEST_NO_RETURN,则可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文,若待匹配Message Type字段不是REQUEST_NO_RETURN,则从会话状态链表中删除该目标会话信息结构体(即此时是正常的请求和响应)。若未找到目标会话信息结构体,则可确定SOME/IP报文为异常报文,进而可确定该SOME/IP报文对应的以太网报文为入侵报文(此时有两种可能:一种是未发请求却出现响应包,另一种是多次出现了重复的响应)。
另外,当定时器超时的情况下,可触发链表检测函数,从而可遍历会话状态链表。以及,在会话状态链表中存在未删除的会话信息结构体,则可确定未删除的会话信息结构体的待匹配Message Type字段是否为REQUEST_NO_RETURN,如果确定待匹配Message Type字段是REQUEST_NO_RETURN,则可将对应的会话信息结构体进行删除,如果确定待匹配Message Type字段不是REQUEST_NO_RETURN,则可将对应的会话信息结构体的遍历记录次数字段增加1(初始状态可以为0),以及若遍历记录次数字段对应的次数大于等于预设次数时,则可认为对应的SOME/IP报文为异常报文,进而可确定该异常报文对应的以太网报文为入侵报文。
此外,在定时器超时后可重新启动。
因此,本申请实施例主要针对SOME/IP协议实现入侵检测,弥补了目前对于SOME/IP协议安全检测的不足并且能够保障车载以太网络的安全。本发明通过多个检测引擎同步完成SOME/IP协议的检测,从多个维度进行分析,提高了可检测范围,并且规则检测引擎允许用户自主配置安全策略,极大的提升了检测的灵活性。
为了便于理解本申请实施例,下面通过具体的实施例来进行描述。
请参见图5,图5示出了本申请实施例提供的一种入侵检测方法的具体流程图。如图5所示的入侵检测方法包括:
步骤S510,以太网报文到达车载以太网关。
步骤S520,通过报文嗅探模块抓取以太网报文,并对以太网报文进行解析,获得SOME/IP报文。
步骤S530,通过规范检测引擎对SOME/IP报文的头部关键字段的格式进行检测。
在SOME/IP报文的头部关键字段的格式通过检测的情况下,执行步骤S540;在SOME/IP报文的头部关键字段的格式未通过检测的情况下,执行步骤S570。
步骤S540,通过规则检测引擎确定用户是否配置了检测规则。
在确定用户配置了检测规则的情况下,执行步骤S550;在确定用户未配置了检测规则的情况下,执行步骤S560。
步骤S550,通过规则检测引擎检测SOME/IP报文的规则。
在SOME/IP报文的规则通过检测的情况下,执行步骤S560;在SOME/IP报文的规则未通过检测的情况下,执行步骤S570。
步骤S560,通过会话检测引擎检测SOME/IP报文的会话状态。
在SOME/IP报文的会话状态通过检测的情况下,则返回步骤S520;在SOME/IP报文的会话状态未通过检测的情况下,执行步骤S570。
步骤S570,记录日志和告警。
因此,本申请实施例通过规范检测、规则检测和会话检测三个方面来完成SOME/IP协议的检测,其中规则检测允许用户根据实际场景配置安全规则来完成异常检测,当检测到异常时能够进行日志告警,从而保障车载网络的稳定和用户的安全。
应理解,上述入侵检测方法仅是示例性的,本领域技术人员根据上述的方法可以进行各种变形,修改或变形之后的内容也在本申请保护范围内。
请参见图6,图6示出了本申请实施例提供的一种入侵检测装置600的结构框图。应理解,该入侵检测装置600与上述方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该入侵检测装置600具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该入侵检测装置600包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在入侵检测装置600的操作系统(operating system,OS)中的软件功能模块。具体地,该入侵检测装置600包括:
获取模块610,用于获取面向服务的数据交互中间件SOME/IP报文,其中,SOME/IP报文是通过对待检测的以太网报文进行解析后获得的;
确定模块620,用于若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常,则确定以太网报文为入侵报文;其中,预设检测流程包括SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程。
在一个可能的实施例中,头部关键字段包括以下字段中的至少一个字段:数据包长度字段、协议版本字段、报文类型字段和返回值字段。
在一个可能的实施例中,SOME/IP报文的头部字段包括地址识别码字段和请求地址字段,地址识别码字段包括服务标识符,请求地址字段包括客户识别码;
其中,预设检测流程包括SOME/IP报文的规则的检测流程,确定模块620,具体用于:若确定服务标识符或者客户识别码与预设的白名单不匹配,则确定以太网报文为入侵报文;或者,若确定服务标识符和客户识别码不匹配,则确定以太网报文为入侵报文。
在一个可能的实施例中,SOME/IP报文的头部字段包括接口版本字段;
其中,预设检测流程包括SOME/IP报文的规则的检测流程,确定模块620,具体用于:若确定接口版本字段和预设的接口版本列表不匹配,则确定以太网报文为入侵报文。
在一个可能的实施例中,以太网报文包括IP头部字段,IP头部字段包括源IP地址,SOME/IP报文的头部字段包括请求地址字段和报文类型字段,请求地址字段包括客户识别码;
其中,预设检测流程包括SOME/IP报文的规则的检测流程,确定模块620,具体用于:若确定源IP地址和客户识别码不匹配且报文类型字段为请求类型信息,则确定以太网报文为入侵报文。
在一个可能的实施例中,SOME/IP报文的头部字段包括报文类型字段和请求地址字段;
其中,预设检测流程包括SOME/IP报文的会话状态的检测流程,确定模块620,具体用于:若确定SOME/IP报文的报文类型字段为响应信息或者报错信息,则将SOME/IP报文中的请求地址字段和会话状态链表进行匹配;其中,会话状态链表包括至少一个会话信息结构体,且至少一个会话信息结构体中每个会话信息结构体均包括待匹配报文类型字段;若确定请求地址字段和会话状态链表中目标会话信息结构体匹配且目标会话信息结构体中的待匹配报文类型字段为不期待响应的请求,则确定以太网报文为入侵报文;若确定请求地址字段和会话状态链表中的任意一个会话信息结构体均不匹配,则确定以太网报文为入侵报文。
在一个可能的实施例中,每个会话信息结构体均包括遍历记录次数字段,确定模块620,还用于:在确定遍历记录次数字段对应的次数大于等于预设次数的情况下,则确定以太网报文为入侵报文。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
请参见图7,图7是本申请实施例提供的一种电子设备700的结构框图。电子设备700可以包括处理器710、通信接口720、存储器730和至少一个通信总线740。其中,通信总线740用于实现这些组件直接的连接通信。其中,本申请实施例中的通信接口720用于与其他设备进行信令或数据的通信。处理器710可以是一种集成电路芯片,具有信号的处理能力。上述的处理器710可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器710也可以是任何常规的处理器等。
存储器730可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器730中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器710执行时,电子设备700可以执行上述方法实施例中的各个步骤。
电子设备700还可以包括存储控制器、输入输出单元、音频单元、显示单元。
所述存储器730、存储控制器、处理器710、外设接口、输入输出单元、音频单元、显示单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线740实现电性连接。所述处理器710用于执行存储器730中存储的可执行模块。并且,电子设备700用于执行下述方法:获取面向服务的数据交互中间件SOME/IP报文,其中,所述SOME/IP报文是通过对待检测的以太网报文进行解析后获得的;若通过所述SOME/IP报文的预设检测流程确定所述SOME/IP报文存在异常,则确定所述以太网报文为入侵报文;其中,所述预设检测流程包括所述SOME/IP报文的头部关键字段的格式的检测流程、所述SOME/IP报文的规则的检测流程和所述SOME/IP报文的会话状态的检测流程中至少一个检测流程。
输入输出单元用于提供给用户输入数据实现用户与所述服务器(或本地终端)的交互。所述输入输出单元可以是,但不限于,鼠标和键盘等。
音频单元向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
显示单元在所述电子设备与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
可以理解,图7所示的结构仅为示意,所述电子设备700还可包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。图7中所示的各组件可以采用硬件、软件或其组合实现。
本申请还提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行方法实施例所述的方法。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种入侵检测方法,其特征在于,包括:
获取面向服务的数据交互中间件SOME/IP报文,其中,所述SOME/IP报文是通过对待检测的以太网报文进行解析后获得的;
若通过所述SOME/IP报文的预设检测流程确定所述SOME/IP报文存在异常,则确定所述以太网报文为入侵报文;其中,所述预设检测流程包括所述SOME/IP报文的头部关键字段的格式的检测流程、所述SOME/IP报文的规则的检测流程和所述SOME/IP报文的会话状态的检测流程中至少一个检测流程。
2.根据权利要求1所述的入侵检测方法,其特征在于,所述头部关键字段包括以下字段中的至少一个字段:数据包长度字段、协议版本字段、报文类型字段和返回值字段。
3.根据权利要求1所述的入侵检测方法,其特征在于,所述SOME/IP报文的头部字段包括地址识别码字段和请求地址字段,所述地址识别码字段包括服务标识符,所述请求地址字段包括客户识别码;
其中,所述预设检测流程包括所述SOME/IP报文的规则的检测流程,所述若通过所述SOME/IP报文的预设检测流程确定所述SOME/IP报文存在异常,则确定所述以太网报文为入侵报文,包括:
若确定所述服务标识符或者所述客户识别码与预设的白名单不匹配,则确定所述以太网报文为所述入侵报文;或者,
若确定所述服务标识符和所述客户识别码不匹配,则确定所述以太网报文为所述入侵报文。
4.根据权利要求1所述的入侵检测方法,其特征在于,所述SOME/IP报文的头部字段包括接口版本字段;
其中,所述预设检测流程包括所述SOME/IP报文的规则的检测流程,所述若通过所述SOME/IP报文的预设检测流程确定所述SOME/IP报文存在异常,则确定所述以太网报文为入侵报文,包括:
若确定所述接口版本字段和预设的接口版本列表不匹配,则确定所述以太网报文为所述入侵报文。
5.根据权利要求1所述的入侵检测方法,其特征在于,所述以太网报文包括IP头部字段,所述IP头部字段包括源IP地址,所述SOME/IP报文的头部字段包括请求地址字段和报文类型字段,所述请求地址字段包括客户识别码;
其中,所述预设检测流程包括所述SOME/IP报文的规则的检测流程,所述若通过所述SOME/IP报文的预设检测流程确定所述SOME/IP报文存在异常,则确定所述以太网报文为入侵报文,包括:
若确定所述源IP地址和所述客户识别码不匹配且所述报文类型字段为请求类型信息,则确定所述以太网报文为所述入侵报文。
6.根据权利要求1所述的入侵检测方法,其特征在于,所述SOME/IP报文的头部字段包括报文类型字段和请求地址字段;
其中,所述预设检测流程包括所述SOME/IP报文的会话状态的检测流程,所述若通过所述SOME/IP报文的预设检测流程确定所述SOME/IP报文存在异常,则确定所述以太网报文为入侵报文,包括:
若确定所述SOME/IP报文的报文类型字段为响应信息或者报错信息,则将所述SOME/IP报文中的请求地址字段和会话状态链表进行匹配;其中,所述会话状态链表包括至少一个会话信息结构体,且所述至少一个会话信息结构体中每个会话信息结构体均包括待匹配报文类型字段;
若确定所述请求地址字段和所述会话状态链表中目标会话信息结构体匹配且所述目标会话信息结构体中的待匹配报文类型字段为不期待响应的请求,则确定所述以太网报文为所述入侵报文;以及,
若确定所述请求地址字段和所述会话状态链表中的任意一个会话信息结构体均不匹配,则确定所述以太网报文为所述入侵报文。
7.根据权利要求6所述的入侵检测方法,其特征在于,所述每个会话信息结构体均包括遍历记录次数字段,所述入侵检测方法还包括:
在确定所述遍历记录次数字段对应的次数大于等于预设次数的情况下,则确定所述以太网报文为所述入侵报文。
8.一种入侵检测装置,其特征在于,包括:
获取模块,用于获取面向服务的数据交互中间件SOME/IP报文,其中,所述SOME/IP报文是通过对待检测的以太网报文进行解析后获得的;
确定模块,用于若通过所述SOME/IP报文的预设检测流程确定所述SOME/IP报文存在异常,则确定所述以太网报文为入侵报文;其中,所述预设检测流程包括所述SOME/IP报文的头部关键字段的格式的检测流程、所述SOME/IP报文的规则的检测流程和所述SOME/IP报文的会话状态的检测流程中至少一个检测流程。
9.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1-7任一所述的入侵检测方法。
10.一种电子设备,其特征在于,所述电子设备包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1-7任一所述的入侵检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110519669.1A CN113259351B (zh) | 2021-05-12 | 2021-05-12 | 一种入侵检测方法、装置、存储介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110519669.1A CN113259351B (zh) | 2021-05-12 | 2021-05-12 | 一种入侵检测方法、装置、存储介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113259351A true CN113259351A (zh) | 2021-08-13 |
| CN113259351B CN113259351B (zh) | 2022-04-26 |
Family
ID=77181507
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110519669.1A Active CN113259351B (zh) | 2021-05-12 | 2021-05-12 | 一种入侵检测方法、装置、存储介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113259351B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992344A (zh) * | 2021-09-10 | 2022-01-28 | 深圳开源互联网安全技术有限公司 | 基于some/ip协议的通信数据异常检测方法及系统 |
| CN114040406A (zh) * | 2021-10-27 | 2022-02-11 | 海信集团控股股份有限公司 | 一种车载设备的异常信息检测方法及装置 |
| CN114978880A (zh) * | 2022-05-23 | 2022-08-30 | 南昌智能新能源汽车研究院 | 基于AUTOSAR Adaptive的服务调用链追踪方法、系统、计算机及存储介质 |
| CN115174244A (zh) * | 2022-07-14 | 2022-10-11 | 湖北天融信网络安全技术有限公司 | 一种安全检测方法及系统 |
| CN115412327A (zh) * | 2022-08-23 | 2022-11-29 | 北京天融信网络安全技术有限公司 | 控制器局域网络can报文的检测方法、装置、设备及介质 |
| CN117544410A (zh) * | 2023-12-20 | 2024-02-09 | 北京天融信网络安全技术有限公司 | Can总线攻击类型的确定方法、处理器及计算机设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109033829A (zh) * | 2018-07-27 | 2018-12-18 | 北京梆梆安全科技有限公司 | 车辆网络入侵检测辅助方法、装置及系统 |
| CN111565196A (zh) * | 2020-05-21 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 |
| WO2021002261A1 (ja) * | 2019-07-04 | 2021-01-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置および異常検知方法 |
| CN112788014A (zh) * | 2020-12-30 | 2021-05-11 | 成都为辰信息科技有限公司 | 一种基于车载mcu的以太网入侵检测方法 |
-
2021
- 2021-05-12 CN CN202110519669.1A patent/CN113259351B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109033829A (zh) * | 2018-07-27 | 2018-12-18 | 北京梆梆安全科技有限公司 | 车辆网络入侵检测辅助方法、装置及系统 |
| WO2021002261A1 (ja) * | 2019-07-04 | 2021-01-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置および異常検知方法 |
| CN111565196A (zh) * | 2020-05-21 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 |
| CN112788014A (zh) * | 2020-12-30 | 2021-05-11 | 成都为辰信息科技有限公司 | 一种基于车载mcu的以太网入侵检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| N.HEROLD,ET AL: "Anomaly Detection for SOME/IP using Complex Event Processing", 《NOMS 2016,IEEE/IFIP NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992344A (zh) * | 2021-09-10 | 2022-01-28 | 深圳开源互联网安全技术有限公司 | 基于some/ip协议的通信数据异常检测方法及系统 |
| CN114040406A (zh) * | 2021-10-27 | 2022-02-11 | 海信集团控股股份有限公司 | 一种车载设备的异常信息检测方法及装置 |
| CN114040406B (zh) * | 2021-10-27 | 2024-04-26 | 海信集团控股股份有限公司 | 一种车载设备的异常信息检测方法及装置 |
| CN114978880A (zh) * | 2022-05-23 | 2022-08-30 | 南昌智能新能源汽车研究院 | 基于AUTOSAR Adaptive的服务调用链追踪方法、系统、计算机及存储介质 |
| CN114978880B (zh) * | 2022-05-23 | 2024-02-13 | 南昌智能新能源汽车研究院 | 服务调用链追踪方法、系统、计算机及存储介质 |
| CN115174244A (zh) * | 2022-07-14 | 2022-10-11 | 湖北天融信网络安全技术有限公司 | 一种安全检测方法及系统 |
| CN115174244B (zh) * | 2022-07-14 | 2024-05-28 | 湖北天融信网络安全技术有限公司 | 一种安全检测方法及系统 |
| CN115412327A (zh) * | 2022-08-23 | 2022-11-29 | 北京天融信网络安全技术有限公司 | 控制器局域网络can报文的检测方法、装置、设备及介质 |
| CN117544410A (zh) * | 2023-12-20 | 2024-02-09 | 北京天融信网络安全技术有限公司 | Can总线攻击类型的确定方法、处理器及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113259351B (zh) | 2022-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113259351B (zh) | 一种入侵检测方法、装置、存储介质和电子设备 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US10645110B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
| US10305922B2 (en) | Detecting security threats in a local network | |
| KR20200033092A (ko) | 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템 | |
| Koike et al. | SnortView: visualization system of snort logs | |
| JP2019175478A (ja) | セッションセキュリティ分割およびアプリケーションプロファイラ | |
| CN113301012B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN112953971A (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN109561097B (zh) | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 | |
| CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
| CN114465710A (zh) | 一种基于流量的漏洞检测方法、装置、设备及存储介质 | |
| CN112668052A (zh) | 一种数据脱敏方法、装置、存储介质和电子设备 | |
| CN116527391A (zh) | 端口扫描检测 | |
| CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
| JP2004186878A (ja) | 侵入検知装置及び侵入検知プログラム | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN115174245A (zh) | 一种基于DoIP协议检测的测试方法及系统 | |
| CN113938314A (zh) | 一种加密流量的检测方法及装置、存储介质 | |
| EP3640830B1 (en) | Method and system for determining risk in automotive ecu components | |
| CN112367326B (zh) | 车联网流量的识别方法及装置 | |
| JP7495460B2 (ja) | セッションセキュリティ分割およびアプリケーションプロファイラ | |
| KR20180131054A (ko) | 프로파일링 기반의 클라이언트 장치 식별 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |