CN115277051A - 一种控制器局域网总线攻击检测方法和设备 - Google Patents
一种控制器局域网总线攻击检测方法和设备 Download PDFInfo
- Publication number
- CN115277051A CN115277051A CN202210629536.4A CN202210629536A CN115277051A CN 115277051 A CN115277051 A CN 115277051A CN 202210629536 A CN202210629536 A CN 202210629536A CN 115277051 A CN115277051 A CN 115277051A
- Authority
- CN
- China
- Prior art keywords
- message
- determining
- time window
- received
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000004044 response Effects 0.000 claims abstract description 27
- 230000008859 change Effects 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 abstract description 26
- 238000005516 engineering process Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 12
- 238000012549 training Methods 0.000 description 11
- 238000004364 calculation method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 239000000243 solution Substances 0.000 description 6
- 230000007306 turnover Effects 0.000 description 6
- 230000007547 defect Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000011218 segmentation Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001684 chronic effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000000414 obstructive effect Effects 0.000 description 1
- 230000002685 pulmonary effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种控制器局域网总线攻击检测方法及设备。所述方法包括:识别接收报文的唯一标识码;调取所述唯一标识码最近一次的历史报文;判断所述接收报文是否在所述历史报文的时间窗口内;响应于确定所述接收报文在所述历史报文的时间窗口内,判断所述历史报文的时间窗口内的报文是否多于一条;响应于确定所述时间窗口内的报文多于一条,确定所述时间窗口内存在的攻击报文。本申请一个或多个实施例通过时间间隔特征、比特约束特征和汉明距离特征判断接收报文是否为攻击报文,提高攻击报文检测率,为车载总线信息安全提供保障,进而更好地保护司乘人员的生命财产安全,以及国家道路交通安全。
Description
技术领域
本申请涉及控制器局域网总线安全技术领域,尤其涉及一种控制器局域网总线攻击检测方法和设备。
背景技术
随着车联网技术与自动驾驶技术的迅速发展,越来越多的自动驾驶方案被提出。越来越多的汽车厂商通过控制器局域网技术与辅助驾驶技术的融合,实现汽车的远程控制和自动驾驶等功能,为用户提供了更舒适的驾驶体验。但是,一系列汽车驾驶安全事件表明,控制器局域网技术的应用,也使得攻击者有可能通过一定方式实现远程劫持一辆处于任何状态的车辆,干扰驾驶员正常驾驶。为提高自动驾驶车辆的安全性能,相关技术根据控制器局域网的缺陷,提出了诸多控制器局域网总线攻击检测方法。但是这些方法或者特征限制不够,无法很好地区分正常报文和攻击报文;或者检测特征单一,检测系统仍然存在漏洞。
发明内容
有鉴于此,本申请的目的在于提出一种控制器局域网总线攻击检测方法及设备。
基于上述目的,本申请提供了一种控制器局域网总线攻击检测方法。所述方法包括:
识别接收报文的唯一标识码;
调取所述唯一标识码最近一次的历史报文;
判断所述接收报文是否在所述历史报文的时间窗口内;
响应于确定所述接收报文在所述历史报文的时间窗口内,判断所述历史报文的时间窗口内的报文是否多于一条;
响应于确定所述时间窗口内的报文多于一条,确定所述时间窗口内存在的攻击报文。
可选的,确定所述时间窗口内存在的攻击报文之后,所述方法还包括:
调取所述唯一标识码的分段比特翻转率表;
根据所述分段比特翻转率表,确定所述历史报文与所述接收报文的数据段的固定位及变化位;其中,所述固定位为所述历史报文的数据段中与所述接收报文的数据段中数值一定相等的位;所述变化位为所述历史报文的数据段中与所述接收报文的数据段中数值一定不相等的位;
响应于确定所述接收报文的固定位与所述历史报文的固定位的数值不相等,或响应于确定所述接收报文的变化位与所述历史报文的变化位的数值相等,确定所述接收报文是攻击报文。
可选的,响应于确定判断所述接收报文的固定位与所述历史报文的固定位的数值相等,且所述接收报文的变化位与所述历史报文的变化位的数值不相等,确定所述接收报文满足比特约束。
可选的,确定所述接收报文满足比特约束后,所述方法还包括:
调取所述唯一标识码的汉明距离分布表;
计算所述接收报文与所述历史报文的第一汉明距离,以及所述历史报文与下一条报文的第二汉明距离;
根据所述汉明距离分布表,确定所述第一汉明距离和所述第二汉明距离的权重值;所述权重值表示汉明距离出现的概率;
响应于确定所述第一汉明距离的权重值小于第二汉明距离的权重值,确定所述接收报文为攻击报文。
可选的,响应于确定所述第一汉明距离大于或等于第二汉明距离的权重值,确定所述接收报文为正常报文。
可选的,所述判断所述接收报文是否在所述历史报文的时间窗口内,包括:
调取所述唯一标识码的报文时间间隔表;
根据所述报文时间间隔表,确定所述唯一标识码的报文之间的最小时间间隔和最大时间间隔;
根据所述历史报文的时间戳、所述最小时间间隔和所述最大时间间隔,计算所述时间窗口的取值范围;
响应于确定所述接收报文的时间戳在所述取值范围内,确定所述接收报文在所述历史报文的时间窗口内;
响应于确定所述接收报文的时间戳不在所述取值范围内,确定所述接收报文不在所述历史报文的时间窗口内。
可选的,所述判断所述历史报文的时间窗口内的报文是否多于一条,包括:
确定所有未检测报文;所述未检测报文包括所述接收报文;
判断每个所述未检测报文的时间戳是否在所述历史报文的时间窗口内;
响应于确定存在多于一条所述未检测报文的时间戳在所述历史报文的时间窗口内,确定所述历史报文的时间窗口内的报文多于一条。
可选的,响应于确定所述接收报文不在所述历史报文的时间窗口内,确定所述接收报文为攻击报文。
可选的,响应于确定所述时间窗口内的报文有且仅有一条,确定所述时间窗口内不存在攻击报文。
基于同一发明构思,本说明书一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任意一项所述的慢阻肺复发预测方法。
从上面所述可以看出,本申请一个或多个实施例提供的一种控制器局域网总线攻击检测方法及电子设备,通过时间特征、比特约束特征以及汉明距离三个特征对接收报文进行攻击检测。由于本申请提出的方法通过多个特征进行检测,且提高了检测的特征限制条件,因此提高了检测效率,降低了自动驾驶车辆的安全事故概率,保护了司乘人员和国家道路交通的安全。
附图说明
为了更清楚地说明本申请或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一个或多个实施例的一种控制器局域网总线攻击检测方法的根据时间间隔特征检测部分的流程示意图;
图2为本申请一个或多个实施例的一种控制器局域网总线攻击检测方法的根据比特约束特征检测部分的流程示意图;
图3为本申请一个实施例的分段比特翻转率和报文数据对照示意图;
图4为本申请一个或多个实施例的一种控制器局域网总线攻击检测方法的根据汉明距离特征检测部分的流程示意图;
图5为本申请一个或多个实施例的电子设备结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本申请进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术部分所述,随着车联网技术和自动驾驶技术的迅速发展,越来越多的汽车厂商提出了自动驾驶的解决方案,意图通过控制器局域网技术与辅助驾驶技术的融合,实现汽车的远程控制和自动驾驶等功能,为用户提供了更舒适的驾驶体验。但是随着自动驾驶技术的发展,自动驾驶的车辆安全问题也日益成为人们关注的重点。现有技术中,车辆自动驾驶功能依赖于控制器局域网(CAN,Controller Area Network)实现,而由于控制器局域网协议本身存在广播、明文、仲裁机制等方面的缺陷,因此攻击者很容易利用这些缺陷实现CAN报文的伪造和注入,欺骗与CAN通信连接的电子控制单元(ECU,ElectronicControl Unit)执行异常操作,从而实现对汽车状态的控制。
相关技术中,主要通过基于机器学习的入侵检测和轻量级入侵检测。然后,前者的方法需要强大的算力作为支撑,而车载部件有限的运算能力难以满足其性能要求,因此目前仍具有一定的局限性;后者的方法,虽然算法复杂度较低,但是由于其检测特征单一,特征限制也不够严格,导致检测准确率无法得到保证,尤其对于重放攻击,各种检测几乎直接失效。
综合上述考虑,本申请一个或多个实施例提出一种控制器局域网总线攻击检测方法。考虑到目前常见的攻击主要为拒绝服务攻击和模糊攻击,其中拒绝服务攻击为:攻击者根据总线仲裁机制的缺陷,持续注入较小ID的报文,使得所有正常报文无法发送,从而导致车内ECU无法正常通信,造成车辆故障。模糊攻击为:攻击者通过一定规则构造“坏”数据注入CAN总线,判断汽车是否有异常响应,以发现汽车总线通信规则设计上的缺陷或者找到总线中的某些控制指令。
通过观察发现,上述攻击发生时,注入的数据与总线中的正常数据之间的变化难以满足比特约束。因此本方法选择根据时间间隔特征、比特约束特征和汉明距离特征检测接收报文是否异常。同时,通过模型训练,提高了上述三个特征的限制程度,提高了区分攻击报文的准确度。
通过这种方法,可以提高攻击报文检测有效性和检测效率。同时,本方法降低了计算复杂度,实现了轻量级查表检测。
以下,通过具体的实施例来详细说明本申请一个或多个实施例的技术方案。
参考图1,本申请一个实施例的控制器局域网总线攻击检测方法,包括以下步骤:
步骤S101:识别接收报文的唯一标识码。
在本步骤中,提取接收报文的唯一标识码(ID,Identity document),后续基于该ID调取历史报文和相关数据进行攻击检测。在一些实施例中,后续可以根据以ID调取历史报文、分段比特翻转率表、报文时间间隔表和汉明距离分布表。
在一些实施例中,对接收报文进行数据预处理。首先识别报文的数据帧中的唯一识别码(ID),根据ID对接收报文进行划分。在一些实施例中,接收报文的标准帧包括唯一识别码(ID)、报文类型(TYPE)、数据段(DATA)和时间戳(TIME)等内容。对上述内容进行提取,构成(TYPE,DATA,TIME)三元组序列,作为模型的输入数据。在一些实施例中,同一时间接收多条报文,由于不同ID之间的报文没有任关联,因此在多核计算机系统中,可以同时对不同ID的接收报文进行并行运算,减少模型训练时间。
步骤S102:调取所述唯一标识码最近一次的历史报文。
在本步骤中,当接收到新报文后,根据步骤S101识别的上述接收报文的ID调取最近一次的历史报文作为对比验证组。通过对比历史报文与接收报文的区别,并根据比较特征进行判断,确定上述接收报文是否为攻击报文。
步骤S103:判断所述接收报文是否在所述历史报文的时间窗口内。
在本步骤中,首先通过报文的时间间隔特征判断上述接收报文是否为攻击报文。
在实现本申请的过程中,申请人发现由于控制器局域网总线的仲裁机制,当总线中同时有多条报文需要发送时,会导致部分报文发送滞后,导致本次时间间隔变长,而这一次报文发送滞后,又可能导致下一次的时间间隔变短。这种情况下,导致时间间隔并不是每一次都相等,而是在一个范围内进行波动。
相关技术中,通过判断接收报文与历史报文的时间间隔是否小于时间间隔周期的一定阈值(如50%),判断接收报文是否为攻击报文。但是这种判断方式会由于历史数据的被污染而导致误判,因此本申请提出的方法通过判断接收报文是否在历史报文的时间窗口内判断上述接收报文是否为攻击报文。
在一些实施例中,调取步骤S101中识别的ID对应的时间间隔表,上述时间间隔表可以包括该ID最小时间间隔和最大时间间隔。在一些实施例中,可以通过对同一ID的多条历史报文进行模型训练得到该ID相邻两条报文的最小时间间隔和最大时间间隔,剔除掉0.05%的离群数据后,通过计算报文间时间间隔的上下界及平均值,并生成时间间隔表。
根据历史报文和报文时间间隔表确定上述历史报文的时间窗口。在一些实施例中,通过将历史报文的时间戳与最小时间间隔相加,得到时间窗口的下限值;通过将历史报文的时间戳与最大时间间隔相加,得到时间窗口的上限值。根据上述历史报文的时间窗口的上限值和下限值,以及接收报文的时间戳,判断接收报文是否在历史报文的时间窗口内。
响应于确定接收报文不在上述时间窗口内,确定上述接收报文为攻击报文。
步骤S104:响应于确定所述接收报文在所述历史报文的时间窗口内,判断所述历史报文的时间窗口内的报文是否多于一条。
在本步骤中,进一步地,通过判断所述历史报文的时间窗口内的报文是否多于一条,判断时间窗口内是否存在攻击报文。在一些实施例中,通过判断现有未检测的同ID的接收报文的时间戳是否在上述时间窗口内,确定上述时间窗口内是否有多条报文。
步骤S105:响应于确定所述时间窗口内的报文多于一条,确定所述时间窗口内存在的攻击报文。
响应于确定所述时间窗口内的报文多于一条,可以确定该时间窗口内存在攻击报文。
上述方法,通过时间间隔特征判断是否有攻击报文的存在。但是仅根据时间间隔特征,无法定位具体的攻击报文。
可选的,参考图2,本申请一个或多个实施例的控制器局域网总线攻击检测方法还包括如下步骤:
步骤S201:调取所述唯一标识码的分段比特翻转率表。
在本步骤中,调取步骤S101中识别的ID对应的分段比特翻转率表。
在实现本申请的过程中,申请人发现,报文数据段中的数据变化表现出一定的规律性,即:对数据段进行分段操作,对于一些段,当该段发生变化时,则该段中某些位一定会发生变化或不会发生变化。对于一定会发生变化的位,称为变化位;对一定不会发生变化的位,称为固定位。这一特征称为比特约束特征,比特约束限制值是根据正常数据的变化情况计算得到的,正常数据的变化是存在特定模式的,例如某ID下的报文中的某一段可能表示的是车速,很明显车速这个变量是不会发生突变的,相邻报文该段数据具有变化的规律性。而模糊攻击的过程具有相当的随机性,包括报文的数值以及注入的时间,模糊攻击的攻击报文数据相对于上条正常报文数据的变化情况满足比特约束的概率很小。因此通过比特约束特征,可以有效检测攻击报文。在一些实施例中,可以通过对同一ID的多条历史报文进行模型训练得到表示该ID的固定位和变化位的分段比特翻转率表。
其中,分段比特翻转率的计算公式为:其中BFRi表示第i位的分段比特翻转率,BCi为第i位在训练数据中的变化计数,SCj为第j段在训练数据中的变化计数,这里第i位是位于第j段内的某一位,第j段为报文的某一分段。对于每次计算,通过将第一报文和第二报文中指定分段所代表的数值进行按位异或运算,求得异或结果。如果异或结果不为0,则表示当前分段发生了变化,那么对应的分段计数器SCj加1,否则SCj保持不变。同理,对于该分段每一位,如果该位的异或结果为1,则对应的位计数器BCi加1,否则BCi保持不变。通过上述计算,最终可以得到每一位的分段比特翻转率,取值范围为[0,1]。
以图3本申请一个实施例的报文数据段变化情况示意图为例,选取两个连续的长度为4比特的分段进行比较。其中“分段比特翻转率”行表示的是报文中某连续8位经过训练后得到的分段比特翻转率,“上条报文”行表示的是这8位在第一报文中的数值,“当前报文”行表示的是这8位在第二报文中的数值的三种情况。第一报文与第二报文为相邻报文。对于“当前报文”行左侧第一行,分段数据从0001变为0010,更具体为,第三位从0变为1,第四位从1变为0。根据分段比特翻转率,第四位的分段比特翻转率为1,即根据训练结果当该分段发生变化时,第四位一定发生变化;1至3位的分段比特翻转率分布在0至1之间,即当该段发生变化时,1至3位的数据有可能发生变化,也有可能不发生变化。在一些实施例中,由于很难确定段比特翻转率在0至1之间的位是否真的应该发生变化,因此只考虑分段比特翻转率为0或1的位的变化情况。该段报文第四位数据发生了变化,符合变化规律,因此判断该段正常,可以对其他段继续进行判断,如所有段判断结果均为正常,则判断该报文为正常报文。
对于“当前报文”行左侧第二行,分段数据从0001变为0011,更具体为,第三位从0变为1。根据分段比特翻转率,第四位的分段比特翻转率为1,即根据训练结果当该分段发生变化时,第四位一定发生变化。但是该段报文第四位未发生变化,不符合变化规律,因此判断该段报文为攻击报文,进而该条报文为攻击报文。
对于“当前报文”行左侧第三行,分段数据未发生变化。当分段数据未发生变化时,默认分段未出现异常,不需要进行对比,可直接判断该段报文为正常报文。
步骤S202:根据所述分段比特翻转率表,确定所述历史报文与所述接收报文的数据段的固定位及变化位;其中,所述固定位为所述历史报文的数据段中与所述接收报文的数据段中数值一定相等的位;所述变化位为所述历史报文的数据段中与所述接收报文的数据段中数值一定不相等的位。
在本步骤中,根据步骤S201调取的分段比特翻转率表,确定所述历史报文与所述接收报文的数据段的固定位及变化位。在一些实施例中,为了进一步降低算法的复杂性,可以将报文数据段分为若干段进行考虑。此时无需考虑报文数据的实际含义,只需要考虑当某一段发生变化时,每个位发生变化的概率,其中概率为0的位视为固定位,概率为1的位视为变化位。在一些实施例中,通过多条历史报文进行分段和变化概率的计算,得到上述分段比特翻转率表。
步骤S203:响应于确定所述接收报文的固定位与所述历史报文的固定位的数值不相等,或响应于确定所述接收报文的变化位与所述历史报文的变化位的数值相等,确定所述接收报文是攻击报文。
在本步骤中,通过对比历史报文和接收报文的固定位、变化位的数值变化情况,判断上述接收报文是否为攻击报文。
通过上述比特约束特征对接收报文进行的比特级别的入侵检测,可以在结合时间间隔特征的基础上很好地监测出常见的攻击报文。但是,由于比特约束特征的模型的建立基于对历史报文的训练,因此当历史数据被污染后,上述模型会暂时失去攻击检测的能力。在一些实施例中,可以通过添加攻击检测的特征条件,提高检测能力。
可选的,参考图4,本申请一个或多个实施例的控制器局域网总线攻击检测方法还包括如下步骤:
步骤S301:调取所述唯一标识码的汉明距离分布表;
在本步骤中,调取步骤S101中识别的ID对应的汉明距离分布表。
相关技术中,通过训练集计算每个ID的相邻两条报文的汉明距离的最小值和最大值,得到汉明距离的阈值范围,而后通过判断接收报文的汉明距离是否在该阈值范围内,确定接收报文是否为攻击报文。但这种方法容易对汉明距离在阈值范围边缘的报文出现误判。
在实现本申请的过程中,申请人发现汉明距离的特征不仅表现在距离值都属于某一阈值范围内,同时还表现出特定的的分布形态。利用汉明距离的权重值来表示该汉明距离出现的概率值,当权重值越大时,表示该汉明距离值出现的概率越大,所对应的接收报文为正常报文的可能性越大。在一些实施例中,通过接收报文与历史报文的第一汉明距离的权重值和历史报文与下一条报文的第二汉明距离的权重值相比较,当第一汉明距离的权重值大于或等于第二汉明距离的权重值时,上述接收报文为正常报文。当第一汉明距离的权重值小于第二汉明距离的权重值时,上述接收报文为攻击报文。
步骤S302:计算所述接收报文与所述历史报文的第一汉明距离,以及所述历史报文与下一条报文的第二汉明距离。
为了判断接收报文是否为攻击报文,同时调取历史报文和接收报文的下一条报文,然后分别计算上述接收报文与上述历史报文的第一汉明距离,以及上述历史报文与下一条报文的第二汉明距离。
步骤S303:根据所述汉明距离分布表,确定所述第一汉明距离和所述第二汉明距离的权重值;所述权重值表示汉明距离出现的概率。
根据步骤S301的汉明距离分布表,确定上述步骤S302中得到的第一汉明距离和第二汉明距离的权重值。上述权重值表示汉明距离出现的概率。权重值越大,意味着该条报文为正常报文的可能性越大。
步骤S304:响应于确定所述第一汉明距离的权重值小于第二汉明距离的权重值,确定所述接收报文为攻击报文。
步骤S305:响应于确定所述第一汉明距离的权重值大于或等于第二汉明距离的权重值,确定所述接收报文为正常报文。
需要说明的是,本申请实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的控制器局域网总线攻击检测方法。
图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的控制器局域网总线攻击检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本申请的范围(包括权利要求)被限于这些例子;在本申请的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本申请的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本申请的具体实施例对本申请进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种控制器局域网总线攻击检测方法,其特征在于,所述方法包括:
识别接收报文的唯一标识码;
调取所述唯一标识码最近一次的历史报文;
判断所述接收报文是否在所述历史报文的时间窗口内;
响应于确定所述接收报文在所述历史报文的时间窗口内,判断所述历史报文的时间窗口内的报文是否多于一条;
响应于确定所述时间窗口内的报文多于一条,确定所述时间窗口内存在的攻击报文。
2.根据权利要求1所述的方法,其特征在于,确定所述时间窗口内存在的攻击报文之后,所述方法还包括:
调取所述唯一标识码的分段比特翻转率表;
根据所述分段比特翻转率表,确定所述历史报文与所述接收报文的数据段的固定位及变化位;其中,所述固定位为所述历史报文的数据段中与所述接收报文的数据段中数值一定相等的位;所述变化位为所述历史报文的数据段中与所述接收报文的数据段中数值一定不相等的位;
响应于确定所述接收报文的固定位与所述历史报文的固定位的数值不相等,或响应于确定所述接收报文的变化位与所述历史报文的变化位的数值相等,确定所述接收报文是攻击报文。
3.根据权利要求2所述的方法,其特征在于,响应于确定判断所述接收报文的固定位与所述历史报文的固定位的数值相等,且所述接收报文的变化位与所述历史报文的变化位的数值不相等,确定所述接收报文是正常报文。
4.根据权利要求3所述的方法,其特征在于,确定所述接收报文是正常报文后,所述方法还包括:
调取所述唯一标识码的汉明距离分布表;
计算所述接收报文与所述历史报文的第一汉明距离,以及所述历史报文与下一条报文的第二汉明距离;
根据所述汉明距离分布表,确定所述第一汉明距离和所述第二汉明距离的权重值;所述权重值表示汉明距离出现的概率;
响应于确定所述第一汉明距离的权重值小于第二汉明距离的权重值,确定所述接收报文为攻击报文。
5.根据权利要求4所述的方法,其特征在于,响应于确定所述第一汉明距离大于或等于第二汉明距离的权重值,确定所述接收报文为正常报文。
6.根据权利要求1所述的方法,其特征在于,所述判断所述接收报文是否在所述历史报文的时间窗口内,包括:
调取所述唯一标识码的报文时间间隔表;
根据所述报文时间间隔表,确定所述唯一标识码的报文之间的最小时间间隔和最大时间间隔;
根据所述历史报文的时间戳、所述最小时间间隔和所述最大时间间隔,计算所述时间窗口的取值范围;
响应于确定所述接收报文的时间戳在所述取值范围内,确定所述接收报文在所述历史报文的时间窗口内;
响应于确定所述接收报文的时间戳不在所述取值范围内,确定所述接收报文不在所述历史报文的时间窗口内。
7.根据权利要求6所述的方法,其特征在于,所述判断所述历史报文的时间窗口内的报文是否多于一条,包括:
确定所有未检测报文;所述未检测报文包括所述接收报文;
判断每个所述未检测报文的时间戳是否在所述历史报文的时间窗口内;
响应于确定存在多于一条所述未检测报文的时间戳在所述历史报文的时间窗口内,确定所述历史报文的时间窗口内的报文多于一条。
8.根据根据权利要求1所述的方法,其特征在于,响应于确定所述接收报文不在所述历史报文的时间窗口内,确定所述接收报文为攻击报文。
9.根据根据权利要求1所述的方法,其特征在于,响应于确定所述时间窗口内的报文有且仅有一条,确定所述时间窗口内不存在攻击报文。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1至9所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210629536.4A CN115277051A (zh) | 2022-06-01 | 2022-06-01 | 一种控制器局域网总线攻击检测方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210629536.4A CN115277051A (zh) | 2022-06-01 | 2022-06-01 | 一种控制器局域网总线攻击检测方法和设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115277051A true CN115277051A (zh) | 2022-11-01 |
Family
ID=83760252
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210629536.4A Pending CN115277051A (zh) | 2022-06-01 | 2022-06-01 | 一种控制器局域网总线攻击检测方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277051A (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017119246A1 (ja) * | 2016-01-08 | 2017-07-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法、異常検知装置及び異常検知システム |
CN108848072A (zh) * | 2018-05-25 | 2018-11-20 | 东南大学 | 一种基于相对熵的车载can总线异常检测方法 |
CN109688152A (zh) * | 2019-01-03 | 2019-04-26 | 南京邮电大学 | 一种面向车载can总线的报文注入式攻击的检测方法 |
CN110275508A (zh) * | 2019-05-08 | 2019-09-24 | 西安电子科技大学 | 车载can总线网络异常检测方法及系统 |
CN110505134A (zh) * | 2019-07-04 | 2019-11-26 | 国家计算机网络与信息安全管理中心 | 一种车联网can总线数据检测方法及装置 |
CN111030962A (zh) * | 2018-10-09 | 2020-04-17 | 厦门雅迅网络股份有限公司 | 车载网络入侵检测方法及计算机可读存储介质 |
CN111131185A (zh) * | 2019-12-06 | 2020-05-08 | 中国电子科技网络信息安全有限公司 | 基于机器学习的can总线网络异常检测方法及装置 |
WO2020135755A1 (zh) * | 2018-12-29 | 2020-07-02 | 北京奇虎科技有限公司 | 车辆攻击检测方法及装置 |
US20200304467A1 (en) * | 2019-03-22 | 2020-09-24 | Fortinet, Inc. | Securing intra-vehicle communications via a controller area network bus system based on behavioral statistical analysis |
CN112953723A (zh) * | 2021-02-08 | 2021-06-11 | 北京邮电大学 | 一种车载入侵检测方法及装置 |
CN113625681A (zh) * | 2021-07-19 | 2021-11-09 | 湖南大学 | Can总线异常检测方法、系统及存储介质 |
CN114063593A (zh) * | 2020-07-29 | 2022-02-18 | 现代自动车株式会社 | 利用有意引起的错误来识别伪造的电子控制器的系统和方法 |
-
2022
- 2022-06-01 CN CN202210629536.4A patent/CN115277051A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017119246A1 (ja) * | 2016-01-08 | 2017-07-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法、異常検知装置及び異常検知システム |
CN108848072A (zh) * | 2018-05-25 | 2018-11-20 | 东南大学 | 一种基于相对熵的车载can总线异常检测方法 |
CN111030962A (zh) * | 2018-10-09 | 2020-04-17 | 厦门雅迅网络股份有限公司 | 车载网络入侵检测方法及计算机可读存储介质 |
WO2020135755A1 (zh) * | 2018-12-29 | 2020-07-02 | 北京奇虎科技有限公司 | 车辆攻击检测方法及装置 |
CN109688152A (zh) * | 2019-01-03 | 2019-04-26 | 南京邮电大学 | 一种面向车载can总线的报文注入式攻击的检测方法 |
US20200304467A1 (en) * | 2019-03-22 | 2020-09-24 | Fortinet, Inc. | Securing intra-vehicle communications via a controller area network bus system based on behavioral statistical analysis |
CN110275508A (zh) * | 2019-05-08 | 2019-09-24 | 西安电子科技大学 | 车载can总线网络异常检测方法及系统 |
CN110505134A (zh) * | 2019-07-04 | 2019-11-26 | 国家计算机网络与信息安全管理中心 | 一种车联网can总线数据检测方法及装置 |
CN111131185A (zh) * | 2019-12-06 | 2020-05-08 | 中国电子科技网络信息安全有限公司 | 基于机器学习的can总线网络异常检测方法及装置 |
CN114063593A (zh) * | 2020-07-29 | 2022-02-18 | 现代自动车株式会社 | 利用有意引起的错误来识别伪造的电子控制器的系统和方法 |
CN112953723A (zh) * | 2021-02-08 | 2021-06-11 | 北京邮电大学 | 一种车载入侵检测方法及装置 |
CN113625681A (zh) * | 2021-07-19 | 2021-11-09 | 湖南大学 | Can总线异常检测方法、系统及存储介质 |
Non-Patent Citations (2)
Title |
---|
WONSUK CHOI: "An Enhanced Method for Reverse Engineering CAN Data Payload", IEEE, 1 April 2021 (2021-04-01), pages 5 * |
季一木;焦志鹏;刘尚东;吴飞;孙静;王娜;陈治宇;毕强;田鹏浩;: "基于通信特征的CAN总线泛洪攻击检测方法", 网络与信息安全学报, no. 01 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11411681B2 (en) | In-vehicle information processing for unauthorized data | |
JP7045288B2 (ja) | データ解析装置、データ解析方法及びプログラム | |
JP7410223B2 (ja) | 不正検知サーバ、及び、方法 | |
US9231967B2 (en) | Apparatus and method for detecting in-vehicle network attack | |
CN112639909B (zh) | 设备、数据发送方法及记录介质 | |
JP7045286B2 (ja) | データ解析装置、データ解析方法及びプログラム | |
JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
US20220094684A1 (en) | Electronic control unit and communication system | |
CN110325410B (zh) | 数据分析装置及存储介质 | |
CN112637013A (zh) | Can总线报文异常检测方法及装置、设备、存储介质 | |
US20200312060A1 (en) | Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit | |
CN115277051A (zh) | 一种控制器局域网总线攻击检测方法和设备 | |
JP2021140460A (ja) | セキュリティ管理装置 | |
KR101721035B1 (ko) | 차량 침입 탐지 장치 및 방법 | |
CN116112252A (zh) | 一种基于报文时钟周期的车载can总线入侵检测与防御系统 | |
EP4254236A1 (en) | Abnormality detection method, abnormality detection device, and program | |
JP2019129528A (ja) | データ解析装置及びプログラム | |
CN112953723B (zh) | 一种车载入侵检测方法及装置 | |
CN114172686A (zh) | 车载can总线报文入侵检测方法以及相关设备 | |
JP7147635B2 (ja) | 不正送信データ検知装置 | |
KR20200124470A (ko) | 차량의 게이트웨이 장치, 그를 포함한 시스템 및 그 침입 탐지 방법 | |
WO2019142474A1 (ja) | データ解析装置及びプログラム | |
WO2021024786A1 (ja) | 情報処理装置および正規通信判定方法 | |
US20230179570A1 (en) | Canbus cybersecurity firewall | |
JP2020005113A (ja) | 通信監視装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |