CN115102707A - 一种车辆can网络ids安全检测系统及方法 - Google Patents

Abstract

本发明涉及一种车辆CAN网络IDS安全检测系统及方法，包括总线检测模块、CAN报文检测模块、报文信号检测模块和诊断检测模块，总线检测模块对CAN报文的路由状态以及对每一路CAN网络的负载率进行安全监控；CAN报文检测模块对CAN报文合法ID的安全进行监控，以及对CAN报文的数据长度进行安全监控，以及对CAN报文的CRC进行安全监控，以及对周期或事件促发周期CAN报文的周期进行安全监控；报文信号检测模块对CAN报文定义好的数据内容进行安全监控；诊断检测模块对诊断报文的应答机制逻辑进行安全监控；本发明能够针对车辆CAN网络的安全通讯状态进行安全监控，防止黑客对于车辆CAN网络的攻击的事件发生。

Description

一种车辆CAN网络IDS安全检测系统及方法

[技术领域]

本发明涉及车载网络技术领域，具体地说是一种车辆CAN网络IDS安全检测系统及方法。

[背景技术]

目前的车辆CAN网络属于一个传统的广播且缺少安全保护的网络。随着车辆越来越智能化网联化，车辆配置越来越丰富，CAN网络的拓扑架构也越来越复杂，并且DBC矩阵的报文数量也越来越多。当前由于缺少一个CAN网络安全运行状态的监控机制，因此很容易遭受到黑客的攻击。因此需要基于CAN网络的运行机制，CAN报文的结构，CAN报文信号内容以及诊断报文的应答机制的特性进行安全监控。

目前，大多数的汽车电子架构是基于CAN网络架构进行通讯，因此CAN消息是车辆电子控制器之间通讯的重要媒介。CAN消息的信息架构如下表：

表1：CAN消息标准基本结构

表1中，SOF代表数据帧的起始阶段，标识符代表CAN消息的身份号，数据长度代表数据域的字节数，数据域代表了CAN消息的内容；CRC是为了对CAN消息的内容做校验，防止传输过程中CAN消息发生变化。CAN消息除了CAN消息本身结构外，CAN消息分为周期报文、事件报文、事件周期报文。其中，周期报文是指CAN消息有一个周期，按照一定的周期向CAN总线上发送该报文。事件报文是当控制器收到请求时，它才能发送事件报文和事件周期报文进行响应。

关于CAN网络，其优点为：CAN网络是一种广播的分布式的局域网网络，其成本相对低廉，因此很受到各个车厂的广泛应用。其缺点为：CAN网络的传输速率较慢；CAN网络没有向TCP/IP那种点对点的传输，容易导致CAN网络总线消息堆积，进而CAN网络负载率升高，CAN网络瘫痪，CAN网络无法正常通讯。

基于CAN网络和CAN消息的特点，黑客可以通过远程的方式通过车辆的网络端口入侵车辆，通过提权的方式，对车辆TBOX进行控制，然后对车辆的CAN网络发送攻击。其攻击的方式主要为：(1)伪造CAN消息在CAN总线发送控车指令(例如伪造CAN刹车、转向、加减速等指令)，进而对乘客和驾驶员造成伤害；(2)向CAN网络发送大量无效CAN消息报文，进而占据CAN网络总线资源，使CAN总线负载率升高，导致CAN网络瘫痪，CAN消息无法正常通讯。

因此，基于黑客攻击的手段，需要对CAN网络进行安全监控，如：(1)CAN消息本身进行安全监控：对于合法的CAN消息ID，周期，数据内容，CRC等部分进行一一过滤。(2)CAN网络的负载率：对于CAN网络的负载率进行安全监控，防止CAN网络总线瘫痪。(3)安全日志信息记录和上报：针对CAN网络的安全攻击行为，进行检测和记录。以达到CAN网络的安全运行，防止黑客攻击，进而减小对于车辆驾驶者的人身带来不安全和车厂的名誉和经济带来无法估量的损失。

[发明内容]

本发明的目的就是要解决上述的不足而提供一种车辆CAN网络IDS安全检测系统，能够针对车辆CAN网络的安全通讯状态进行安全监控，防止黑客对于车辆CAN网络的攻击的事件发生。

为实现上述目的设计一种车辆CAN网络IDS安全检测系统，包括IDS入侵检测组件，所述IDS入侵检测组件包括总线检测模块、CAN报文检测模块、报文信号检测模块和诊断检测模块，所述总线检测模块的输出端连接CAN报文检测模块的输入端，所述CAN报文检测模块的输出端连接报文信号检测模块的输入端，所述报文信号检测模块的输出端连接诊断检测模块，其中，所述总线检测模块根据总线检测规则对CAN报文的路由状态进行安全监控，防止非法CAN报文的非法入侵；以及对每一路CAN网络的负载率进行安全监控，防止CAN网络被攻击后无法正常工作；所述CAN报文检测模块根据CAN报文检测规则对CAN报文合法ID的安全进行监控，防止非法CAN报文的入侵；以及对CAN报文的数据长度进行安全监控，防止非法不合理的CAN报文的入侵；以及对CAN报文的CRC进行安全监控，防止非法不合理的CAN报文的入侵；以及对周期或事件促发周期CAN报文的周期进行安全监控，防止非法不合理的周期CAN报文的入侵；所述报文信号检测模块根据报文信号检测规则对CAN报文定义好的数据内容进行安全监控，防止非法不合理的CAN报文数据内容的入侵；所述诊断检测模块根据诊断检测规则对诊断报文的应答机制逻辑进行安全监控，防止非法不合理的诊断通讯。

进一步地，所述IDS入侵检测组件以SDK的形式植入到车辆ECU系统中，并对车辆ECU之间的逻辑功能进行安全监控，防止非法不合理的车辆CAN网络运行状态；以及将检测到的非法行为进行安全记录，以安全日志的形式存储下来。

进一步地，所述IDS入侵检测组件将安全日志通过以太网或CAN网络的形式传递给TBOX后，再转给VSOC车辆安全运行平台，以方便车厂对于自己生产车辆的安全进行监控。

本发明还提供了一种车辆CAN网络IDS安全检测方法，包括以下步骤：

1)首先查看新导入CAN报文的ID是否是CAN矩阵中定义的合法ID范围，如果不符合则丢弃，记录CAN IDS安全日志；

2)如果CAN ID合法，则检验CAN报文的长度是否超出CAN矩阵定义的DLC长度大小，如果超出，则丢弃该报文，然后记录CAN IDS安全日志；

3)如果CAN ID和报文长度都符合后，检验CAN报文的周期，如果CAN报文的发送周期比定义的周期过短或过长，即CAN网络可能遭受到了CAN flood攻击，则舍弃该报文，然后记录CAN IDS安全日志；

4)如果CAN ID、报文长度以及周期都符合后，则检验CAN报文CRC校验，如果CRC校验值不符合，说明该报文被篡改，则舍弃该报文，然后记录CAN IDS安全日志；

5)如果CAN ID、报文长度、CAN报文周期以及CRC校验数值都正确，若CAN报文数据内容变化率过大，说明该报文数据内容被串改，则舍弃该报文，然后记录CAN IDS安全日志；

6)如果CAN ID、报文长度、CAN报文周期、CRC校验数值以及报文内容变化率属于正常范围，若CAN计数的报文内容没有按照正常的成功接收一个，计数器加一进行变化，说明该CAN报文可能被篡改，则舍弃该报文，然后记录CAN IDS安全日志；

7)如果诊断CAN报文的消息格式都对，但是诊断的应答机制不符合定义的要求，说明诊断CAN报文被串改，则舍弃该报文，然后记录CAN IDS安全日志。

本发明同现有技术相比，具有如下优点：

(1)本发明的CAN-IDS组件针对CAN网络的特点，多维度的对CAN网络进行安全防护，因此可以针对车内的CAN网络进行安全防护；

(2)本发明硬件资源占据少，运行速率快，可以灵活地根据硬件MCU编译环境进行编译集成，对于本来车载ECU的硬件资源不多的特点是一个巨大的优势；

(3)本发明检测成功率很高，误报率很低，在市场同级产品属于领先地位，对于车内的CAN网络安全防护性也是一个很大的提高；

(4)本发明可以帮助车厂通过WP.29R155的信息安全标准审核，在2022年以后向国外进行车辆的出口做技术储备；

(5)本发明属于车内部署的安全检测探针组件，可以帮助车企对于生产车辆的信息安全状态进行安全监控，进而减少车企因信息安全事件受到的损失；

(6)本发明对于车辆CAN网络运行的安全监控，方便车厂对于车辆CAN网络的安全监控跟踪，且CAN IDS检测可以在一定程度上降低车厂OEM损失；

(7)本发明IDS安全检测组件检测成功率大于95％，误报率小于3％(已通过车辆静态测试和动态测试进行验证)，且IDS安全组件的RAM占据4MB，占有的硬件资源很小；

综上，本发明能够针对车辆CAN网络的安全通讯状态进行安全监控，防止黑客对于车辆CAN网络的攻击的事件发生，值得推广应用。

[附图说明]

图1是本发明的功能逻辑示意图；

图2是本发明的流程图。

[具体实施方式]

下面结合附图及具体实施例对本发明作以下进一步说明：

基于当前大部分的车辆传统的CAN网络架构，IDS入侵检测组件以SDK的形式植入到车辆网关GW系统中。由于在车辆CAN网络中，几乎所有的CAN报文都会经过GW的路由，从一路CAN转移到其他路上，因此IDS入侵检测系统组件可以最大程度的监控CAN网络的正常运行状态。CAN IDS入侵检测系统组件的主要检测功能包括：CAN网络总线检测、CAN报文的检测规则、报文信号检测规则、诊断检测规则等。

如附图1所示，DBC CAN网络矩阵导入进行IDS规则集设计，IDS规则集的安全组件以SDK的形式植入到ECU系统中，IDS安全组件针对CAN网络的安全运行状态进行安全监控，将检测到的安全事件以日志的形式进行存储。即，本发明提供了一种车辆CAN网络IDS安全检测系统，包括IDS入侵检测组件，IDS入侵检测组件包括总线检测模块、CAN报文检测模块、报文信号检测模块和诊断检测模块，总线检测模块的输出端连接CAN报文检测模块的输入端，CAN报文检测模块的输出端连接报文信号检测模块的输入端，报文信号检测模块的输出端连接诊断检测模块，其中，

(1)CAN网络总线检测：总线检测模块根据总线检测规则对CAN报文的路由状态进行安全监控，防止非法CAN报文的非法入侵；以及对每一路CAN网络的负载率进行安全监控，防止CAN网络被攻击后无法正常工作；

(2)CAN报文的检测：CAN报文检测模块根据CAN报文检测规则对CAN报文合法ID的安全进行监控，防止非法CAN报文的入侵；以及对CAN报文的数据长度进行安全监控，防止非法不合理的CAN报文的入侵；以及对CAN报文的CRC进行安全监控，防止非法不合理的CAN报文的入侵；以及对周期或事件促发周期CAN报文的周期进行安全监控，防止非法不合理的周期CAN报文的入侵；

(3)报文信号检测：报文信号检测模块根据报文信号检测规则对CAN报文定义好的数据内容进行安全监控，防止非法不合理的CAN报文数据内容的入侵；

(4)诊断检测：诊断检测模块根据诊断检测规则对诊断报文的应答机制逻辑进行安全监控，防止非法不合理的诊断通讯；

(5)其他功能：IDS入侵检测组件以SDK的形式植入到车辆ECU系统中，并对车辆ECU之间的逻辑功能进行安全监控，防止非法不合理的车辆CAN网络运行状态；以及将检测到的非法行为进行安全记录，以安全日志的形式存储下来；IDS入侵检测组件将安全日志通过以太网或CAN网络的形式传递给TBOX后，再转给VSOC车辆安全运行平台，以方便车厂对于自己生产车辆的安全进行监控。IDS安全检测规则集安全组件主要是根据车辆DBC的文件进行安全策略的设计。此外该规则集可以通过本地或远程的方式进行更新升级。

如附图2所示，导入CAN message后跟之前的CAN矩阵进行设定的规则做比较，即本发明提供了一种车辆CAN网络IDS安全检测方法，包括以下步骤：

(1)首先查看新导入CAN报文的ID是否是CAN矩阵中定义的合法ID范围，如果不符合则丢弃，记录CAN IDS安全日志；

(2)如果CAN ID合法，则检验CAN报文的长度是否超出CAN矩阵定义的DLC长度大小，如果超出，则丢弃该报文，然后记录CAN IDS安全日志；

(3)如果CAN ID和报文长度都符合后，检验CAN报文的周期，如果CAN报文的发送周期比定义的周期过短或过长，CAN网络就有可能遭受到了CAN flood攻击，则舍弃该报文，然后记录CAN IDS安全日志；

(4)如果CAN ID和报文长度以及周期都符合后，则检验CAN报文CRC校验，如果CRC校验值不符合，说明该报文被篡改，就舍弃该报文，然后记录CAN IDS安全日志；

(5)如果CAN ID、报文长度、CAN报文周期以及CRC校验数值都正确，如果CAN报文数据内容变化率过大，说明该报文数据内容被串改，则舍弃该报文，然后记录CAN IDS安全日志；

(6)如果CAN ID、报文长度、CAN报文周期、CRC校验数值以及报文内容变化率属于正常范围，如果CAN计数的报文内容，没有按照正常的成功接收一个，计数器加一进行变化，说明该CAN报文可能被篡改，则舍弃该报文，然后记录CAN IDS安全日志；

(7)如果诊断CAN报文的消息格式都对，但是诊断的应答机制不符合定义的要求，说明诊断CAN报文被串改，则舍弃该报文，然后记录CAN IDS安全日志。

目前市场上车载IDS安全产品相对较少，本发明CAN-IDS组件针对CAN网络的特点，多维度的对CAN网络进行安全防护，因此本发明可以针对车内的CAN网络进行安全防护。该发明相较于市场其他的CAN-IDS组件，硬件资源占据少，运行速率快，可以灵活地根据硬件MCU编译环境进行编译集成，对于本来车载ECU的硬件资源不多的特点是一个巨大的优势。同时，本发明相较于其他的CAN-IDS组件，检测成功率很高，误报率很低，在市场同级产品属于领先地位，对于车内的CAN网络安全防护性也是一个很大的提高。

本发明相较于其他的CAN-IDS组件，可以帮助车厂通过WP.29R155的信息安全标准审核，在2022年以后向国外进行车辆的出口做技术储备，如果车企在2022年7月之前没有在车内部署IDS相关组件，就会影响新型车辆的生产和销售。本发明属于车内部署的安全检测探针，可以帮助车企对于生产车辆的信息安全状态进行安全监控，进而减少车企因信息安全事件受到的损失。

本发明并不受上述实施方式的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (4)

1.一种车辆CAN网络IDS安全检测系统，其特征在于：包括IDS入侵检测组件，所述IDS入侵检测组件包括总线检测模块、CAN报文检测模块、报文信号检测模块和诊断检测模块；

所述总线检测模块的输出端连接CAN报文检测模块的输入端，所述CAN报文检测模块的输出端连接报文信号检测模块的输入端，所述报文信号检测模块的输出端连接诊断检测模块，其中，

所述总线检测模块根据总线检测规则对CAN报文的路由状态进行安全监控，防止非法CAN报文的非法入侵；以及对每一路CAN网络的负载率进行安全监控，防止CAN网络被攻击后无法正常工作；

所述CAN报文检测模块根据CAN报文检测规则对CAN报文合法ID的安全进行监控，防止非法CAN报文的入侵；以及对CAN报文的数据长度进行安全监控，防止非法不合理的CAN报文的入侵；以及对CAN报文的CRC进行安全监控，防止非法不合理的CAN报文的入侵；以及对周期或事件促发周期CAN报文的周期进行安全监控，防止非法不合理的周期CAN报文的入侵；

所述报文信号检测模块根据报文信号检测规则对CAN报文定义好的数据内容进行安全监控，防止非法不合理的CAN报文数据内容的入侵；

所述诊断检测模块根据诊断检测规则对诊断报文的应答机制逻辑进行安全监控，防止非法不合理的诊断通讯。

2.如权利要求1所述的车辆CAN网络IDS安全检测系统，其特征在于：所述IDS入侵检测组件以SDK的形式植入到车辆ECU系统中，并对车辆ECU之间的逻辑功能进行安全监控，防止非法不合理的车辆CAN网络运行状态；以及将检测到的非法行为进行安全记录，以安全日志的形式存储下来。

3.如权利要求2所述的车辆CAN网络IDS安全检测系统，其特征在于：所述IDS入侵检测组件将安全日志通过以太网或CAN网络的形式传递给TBOX后，再转给VSOC车辆安全运行平台，以方便车厂对于自己生产车辆的安全进行监控。

4.一种车辆CAN网络IDS安全检测方法，其特征在于，包括以下步骤：

1)首先查看新导入CAN报文的ID是否是CAN矩阵中定义的合法ID范围，如果不符合则丢弃，记录CAN IDS安全日志；

2)如果CAN ID合法，则检验CAN报文的长度是否超出CAN矩阵定义的DLC长度大小，如果超出，则丢弃该报文，然后记录CAN IDS安全日志；

3)如果CAN ID和报文长度都符合后，检验CAN报文的周期，如果CAN报文的发送周期比定义的周期过短或过长，即CAN网络可能遭受到了CAN flood攻击，则舍弃该报文，然后记录CAN IDS安全日志；

4)如果CAN ID、报文长度以及周期都符合后，则检验CAN报文CRC校验，如果CRC校验值不符合，说明该报文被篡改，则舍弃该报文，然后记录CAN IDS安全日志；

5)如果CAN ID、报文长度、CAN报文周期以及CRC校验数值都正确，若CAN报文数据内容变化率过大，说明该报文数据内容被串改，则舍弃该报文，然后记录CAN IDS安全日志；

6)如果CAN ID、报文长度、CAN报文周期、CRC校验数值以及报文内容变化率属于正常范围，若CAN计数的报文内容没有按照正常的成功接收一个，计数器加一进行变化，说明该CAN报文可能被篡改，则舍弃该报文，然后记录CAN IDS安全日志；

7)如果诊断CAN报文的消息格式都对，但是诊断的应答机制不符合定义的要求，说明诊断CAN报文被串改，则舍弃该报文，然后记录CAN IDS安全日志。

Images