CN117650941A - Can报文的检测方法、检测装置、处理器及计算机设备 - Google Patents

Abstract

本申请公开了一种CAN报文的检测方法、检测装置、处理器及计算机设备，属于车联网安全检测技术领域。该检测方法包括：获取预设时间段内的事件型CAN报文，其中，事件型CAN报文包括目标信号的信号值；确定信号值在预设时间段内的变化频率；根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态；根据信号状态确定事件型CAN报文的安全检测结果。本申请能检测出以任何频率向CAN总线发送的注入的值在正常范围内的事件型CAN报文，扩大了CAN总线所受攻击的检测范围，从而提升CAN总线的安全性。

Description

CAN报文的检测方法、检测装置、处理器及计算机设备

技术领域

本申请涉及车联网安全检测技术领域，具体地涉及一种CAN报文的检测方法、检测装置、处理器及计算机设备。

背景技术

目前，汽车已实现了广泛的自动化，配备了一系列的传感器和计算系统。汽车控制器数量超过100个，而且这个数字预计在未来还会增加。这些汽车控制器分布在汽车周围，通过车内通信网络，如控制器局域网(Controller Area Network，CAN)相互通信。作为车辆应用中最常见的车载通信协议，CAN总线具有成本低廉、不受电气干扰、自诊断和纠错等优点。虽然CAN总线具有许多优点，但日益增长的车辆间和车辆内通信使CAN总线易受网络的攻击。

现有技术通常通过在汽车控制器上部署信号异常检测引擎来对CAN总线所受到的攻击进行检测。然而，若攻击者以任何频率向CAN总线发送事件型CAN报文且注入的值在正常范围内，现有的信号异常检测方式难以检测出此类异常报文。

发明内容

本申请实施例的目的是提供一种CAN报文的检测方法、检测装置、处理器及计算机设备，用以解决现有技术的信号异常检测方式难以检测出攻击者注入的值在正常范围内的事件型CAN报文的问题。

为了实现上述目的，本申请实施例第一方面提供一种CAN报文的检测方法，CAN报文包括事件型CAN报文，该检测方法包括：

获取预设时间段内的事件型CAN报文，其中，事件型CAN报文包括目标信号的信号值；

确定信号值在预设时间段内的变化频率；

根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态；

根据信号状态确定事件型CAN报文的安全检测结果。

在本申请实施例中，该检测方法还包括：获取规则文件；从规则文件中确定检测条件，检测条件为无条件检测、开启检测条件、停止检测条件和混合检测条件中的任意一项；判断目标信号是否符合检测条件；在目标信号符合检测条件的情况下，根据检测条件对目标信号的信号值进行检测；在目标信号不符合检测条件的情况下，过滤目标信号。

在本申请实施例中，确定信号值在预设时间段内的变化频率包括：获取信号值在预设时间段内的信号变化次数；根据预设时间段的时长和信号变化次数确定信号值在预设时间段内的变化频率。

在本申请实施例中，获取信号值在预设时间段内的信号变化次数包括：在预设时间段内，获取历史信号的历史信号值，历史信号的名称与目标信号的名称相同；判断信号值和历史信号值是否相同；在信号值和历史信号值相同的情况下，过滤信号值；在信号值和历史信号值不同的情况下，增加信号变化次数。

在本申请实施例中，根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态包括：判断变化频率是否大于预设变化频率阈值；在变化频率大于预设变化频率阈值的情况下，确定信号状态为异常状态；在变化频率小于或等于预设变化频率阈值的情况下，确定信号状态为正常状态。

在本申请实施例中，该检测方法还包括：在信号状态为异常状态的情况下，发送告警信息。

本申请实施例第二方面提供一种CAN报文的检测装置，包括：报文获取模块，用于获取预设时间段内的事件型CAN报文，其中，事件型CAN报文包括目标信号的信号值；变化频率确定模块，用于确定信号值在预设时间段内的变化频率；信号状态确定模块，用于根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态；检测结果确定模块，用于根据信号状态确定事件型CAN报文的安全检测结果。

本申请实施例第三方面提供一种处理器，被配置成执行上述的CAN报文的检测方法。

本申请实施例第四方面提供一种计算机设备，包括上述的CAN报文的检测装置或者上述的处理器。

本申请实施例第五方面提供一种机器可读存储介质，机器可读存储介质上存储程序或指令，程序或指令被处理器执行时实现上述的CAN报文的检测方法。

上述技术方案，通过获取预设时间段内的事件型CAN报文，事件型CAN报文包括目标信号的信号值，随后确定信号值在预设时间段内的变化频率，再根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态，最后根据信号状态确定事件型CAN报文的安全检测结果。本申请通过确定信号值在预设时间段内的变化频率的方式对攻击者注入的值在正常范围内的事件型CAN报文进行检测，能够进一步扩大CAN总线所受攻击的检测范围，从而提升CAN总线的安全性。

本申请实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本申请实施例的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本申请实施例，但并不构成对本申请实施例的限制。在附图中：

图1示意性示出了根据本申请实施例的一种CAN报文的检测方法的流程图；

图2示意性示出了根据本申请一具体实施例的一种CAN报文的检测方法的流程图；

图3示意性示出了根据本申请实施例的一种CAN报文的检测装置的结构框图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，应当理解的是，此处所描述的具体实施方式仅用于说明和解释本申请实施例，并不用于限制本申请实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明，若本申请实施例中有涉及方向性指示(诸如上、下、左、右、前、后……)，则该方向性指示仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等，如果该特定姿态发生改变时，则该方向性指示也相应地随之改变。

另外，若本申请实施例中有涉及“第一”、“第二”等的描述，则该“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本申请要求的保护范围之内。

图1示意性示出了根据本申请实施例的一种CAN报文的检测方法的流程图。如图1所示，本申请实施例提供一种CAN报文的检测方法，CAN报文包括事件型CAN报文，以该检测方法应用于处理器为例进行说明，该检测方法可以包括下列步骤：

步骤S101：获取预设时间段内的事件型CAN报文，其中，事件型CAN报文包括目标信号的信号值。

步骤S102：确定信号值在预设时间段内的变化频率。

步骤S103：根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态。

步骤S104：根据信号状态确定事件型CAN报文的安全检测结果。

控制器局域网(Controller Area Network，CAN)总线上的CAN报文一般分为周期型CAN报文和事件型CAN报文。事件型CAN报文不受周期所限制，攻击者可以任何频率向CAN总线发送事件型CAN报文。攻击者常用的攻击手段是通过向CAN总线上注入事件型CAN报文，且事件型CAN报文中携带的信号值不断改变，例如发送快关车灯信号和开关车门信号等，此时信号值处于正常范围内。在这种情况下，现有的信号异常检测方式无法检测出此类攻击。

为解决前述问题，针对事件型CAN报文，在本申请实施例中，处理器在首次启动后会解析规则文件，并将规则文件的检测策略保存到内部规则结构体当中，以供后续处理器使用。其中，规则文件以JSON的格式存储。处理器可以从规则文件中获取预设时间段的时长，以根据预设时间段的时长确定预设时间段，并通过定时器进行计时。当定时器开始计时，处理器可以通过CAN报文接收装置获取事件型CAN报文。CAN报文接收装置包括CAN报文收发器单元和CAN控制器。CAN报文收发器单元可以将CAN报文转换成高低电平发送到CAN总线上，或者读取CAN总线上的高低电平并转换成CAN报文。CAN控制器可以用于实现CAN报文的路由和组装等操作。

事件型CAN报文中携带的信号值可以表达汽车的众多属性，例如车门状态、车速等。在处理器从规则文件中获取目标信号的名称后，处理器可以进一步根据目标信号的名称从数据库文件中提取目标信号的提取信息，提取信息包括目标信号所在的事件型CAN报文标识、目标信号的起始位、长度、字节序、符号类型、因子和偏移。如此，处理器可以根据提取信息从获取到的事件型CAN报文中提取目标信号的信号值。其中，目标信号可以是事件型CAN报文中的一个信号，也可以是多个信号，根据规则文件确定。通过将目标信号的信号值以及历史信号的历史信号值进行对比，可以确定目标信号的信号值在预设时间段内的变化频率。

目标信号设置有对应的预设变化频率阈值。这样，当定时器结束计时，处理器可以进一步根据变化频率和目标信号对应的预设变化频率阈值来确定目标信号的信号状态。预设变化频率阈值根据实际情况进行设置。信号状态包括正常状态和异常状态。在变化频率大于预设变化频率阈值的情况下，处理器可以判定该目标信号处于异常状态。在变化频率小于或等于预设变化频率阈值的情况下，处理器可以判定该目标信号处于正常状态。

最后处理器可以根据信号状态确定事件型CAN报文的安全检测结果。具体地，在存在超过第一预设比例的目标信号处于异常状态的情况下，则处理器可以确定安全检测结果为CAN总线受到攻击。在存在超过第二预设比例的目标信号处于正常状态的情况下，则处理器可以确定安全检测结果为CAN总线未受到攻击。第一预设比例和第二预设比例根据实际情况设置。如此，处理器可以完成事件型CAN报文的检测过程。

此外，可以将前述CAN报文的检测方法编译成静态库，静态库对外提供CAN报文检测接口。这样通过CAN报文检测接口，可以引用静态库。将设备源码编译后烧录至车载网关设备中，通过CAN报文检测接口，在运行启动车载网关设备后，即可对攻击者注入的值在正常范围内的事件型CAN报文进行检测。

上述技术方案，通过获取预设时间段内的事件型CAN报文，事件型CAN报文包括目标信号的信号值，随后确定信号值在预设时间段内的变化频率，再根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态，最后根据信号状态确定事件型CAN报文的安全检测结果。本申请通过确定信号值在预设时间段内的变化频率的方式对攻击者注入的值在正常范围内的事件型CAN报文进行检测，能够进一步扩大CAN总线所受攻击的检测范围，从而提升CAN总线的安全性。

在本申请实施例中，该检测方法还可以包括：获取规则文件；从规则文件中确定检测条件，检测条件为无条件检测、开启检测条件、停止检测条件和混合检测条件中的任意一项；判断目标信号是否符合检测条件；在目标信号符合检测条件的情况下，根据检测条件对目标信号的信号值进行检测；在目标信号不符合检测条件的情况下，过滤目标信号。

在本申请实施例中，规则文件是定义预设时间段内对事件型CAN报文采取的检测条件的文件。确定信号值在预设时间段内的变化频率之前，处理器可以从规则文件中确定目标信号的检测条件，检测条件包括无条件检测、开启检测条件、停止检测条件和混合检测条件。在目标信号的检测条件为无条件检测的情况下，当处理器获取到目标信号则开始检测目标信号的信号值。在一个示例中，若需要对车门状态信号的信号值进行检测，那么处理器可以在接收到第一个车门状态信号时开始监测车门状态信号的信号值的变化频率。

在目标信号的检测条件为开启检测条件的情况下，处理器可以根据预设开启条件判断是否需要对目标信号的信号值进行检测。预设开启条件可以是检测到目标的事件型CAN报文，也可以是检测到目标信号的信号值符合开启要求。在一个示例中，若处理器需要对空调温度信号的信号值进行检测，那么在检测到空调开启信号的信号值时可以开始对空调温度信号的信号值进行检测。

在目标信号的检测条件为停止检测条件的情况下，处理器可以根据预设停止条件判断是否停止对目标信号的信号值进行检测。同样地，预设停止条件可以是检测到目标的事件型CAN报文，也可以是检测到目标信号的信号值符合停止要求。在一个示例中，若处理器需要停止对空调温度信号的信号值进行检测，那么在检测到空调关闭信号的信号值时可以停止对空调温度信号的信号值进行检测。

混合检测条件中存在预设开启条件、预设停止条件，以及预设开启条件和预设停止条件之间的优先级。在预设开启条件和预设停止条件同时触发时，则先执行优先级较高的预设条件。因此，在目标信号的检测条件为混合检测条件时，处理器可以根据预设开启条件和预设停止条件判断是否对目标信号的信号值进行检测，即在信号值满足预设开启条件时对信号值进行检测，以及在信号值满足预设停止条件时停止检测信号值。若目标信号不符合混合检测条件，那么需要过滤掉目标信号。在一个示例中，若需要检测雨刮角度信号的信号值，那么预设开启条件可以是检测到打开雨刮器信号的信号值，预设停止条件可以是检测到关闭雨刮器信号的信号值。

在本申请实施例中，确定信号值在预设时间段内的变化频率可以包括：获取信号值在预设时间段内的信号变化次数；根据预设时间段的时长和信号变化次数确定信号值在预设时间段内的变化频率。

在本申请实施例中，攻击者注入报文会导致信号值在预设时间段内的数值变化过快，因此，为根据信号值在预设时间段内的变化频率判断CAN总线是否受到攻击，处理器需要先确定信号值在预设时间段内的变化频率。处理器可以从规则文件中获取预设时间段的时长，以根据预设时间段的时长确定预设时间段，并通过定时器进行计时。在预设时间段内，处理器可以获取信号值的信号变化次数，从而根据预设时间段的时长和信号变化次数确定信号值在预设时间段内的变化频率。

在本申请实施例中，获取信号值在预设时间段内的信号变化次数可以包括：在预设时间段内，获取历史信号的历史信号值，历史信号的名称与目标信号的名称相同；判断信号值和历史信号值是否相同；在信号值和历史信号值相同的情况下，过滤信号值；在信号值和历史信号值不同的情况下，增加信号变化次数。

在本申请实施例中，处理器还包括与目标信号分别对应的多个计数器。通过与目标信号分别对应的多个计数器，处理器可以获取信号值在预设时间段内的信号变化次数。处理器可以获取历史信号的历史信号值。其中，历史信号是指处理器在预设时间段内上一个获取到的目标信号，历史信号的名称与目标信号的名称相同。这样，处理器可以判断信号值和历史信号值是否相同。若相同，则处理器可以过滤掉该目标信号的信号值。若不相同，则处理器可以控制与目标信号对应的计数器统计的信号变化次数增加一次。处理器可以重复执行前述过程，直至预设时间段结束，以得到信号值在预设时间段内的信号变化次数。

在本申请实施例中，根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态包括：判断变化频率是否大于预设变化频率阈值；在变化频率大于预设变化频率阈值的情况下，确定信号状态为异常状态；在变化频率小于或等于预设变化频率阈值的情况下，确定信号状态为正常状态。

在本申请实施例中，当定时器结束计时，处理器可以根据变化频率和目标信号对应的预设变化频率阈值来确定目标信号的信号状态。预设变化频率阈值根据实际情况进行设置。信号状态包括正常状态和异常状态。在变化频率大于预设变化频率阈值的情况下，处理器可以判定目标信号处于异常状态。在变化频率小于或等于预设变化频率阈值的情况下，处理器可以判定目标信号处于正常状态。

在本申请实施例中，该检测方法还包括：在信号状态为异常状态的情况下，发送告警信息。

在本申请实施例中，信号状态包括正常状态和异常状态。在变化频率大于预设变化频率阈值的情况下，处理器可以确定信号状态为异常状态，进而针对异常状态发送告警信息，以提示安全人员当前CAN总线受到攻击的可能性较高，以便安全人员可以根据告警信息及时采取相应的策略。

图2示意性示出了根据本申请一具体实施例的一种CAN报文的检测方法的流程图。如图2所示，在本申请一具体实施例中，CAN报文的检测方法可以包括：

S1：解析规则文件。

S2：解析数据库文件。

S3：接收事件型CAN报文。

S4：提取目标信号的信号值。

S5：判断目标信号是否符合检测条件。若是，进入S6，若否，进入S3。

S6：判断信号值是否发生改变。若是，进入S7，若否，进入S3。

S7：计数器累加。

在一个具体实施例中，CAN报文的检测方法以规则的形式配置，规则文件以JSON的格式存储。处理器在首次启动后会解析规则文件，并将规则文件的检测策略保存到程序内部规则结构体当中供后续处理器使用。并且，在解析规则文件后，处理器可以得到要检测的信号名称，即目标信号的名称。处理器可以进一步从数据库文件中提取出目标信号的提取信息，包括目标信号所在的事件型CAN报文标识、目标信号的起始位、长度、字节序、符号类型这五个参数，并将这些提取信息保存在内部规则结构体当中供后续处理器检测使用。进而，处理器可以根据提取信息从接收到的事件型CAN报文中提取目标信号的信号值，并判断目标信号是否符合检测条件。如果目标信号不符合检测条件则忽略掉该目标信号。如果目标信号符合检测条件则将目标信号的信号值与历史信号的历史信号值进行比较，以确定信号值是否发生改变。信号值改变，则在目标信号对应的计数器上加一，并将当前的目标信号的信号值作为历史信号的历史信号值记录，便于获取到下一个事件型CAN报文时进行比较。这样，处理器可以遍历每个目标信号的计数器并判断变化频率是否超过对应信号所设置的预设变化频率阈值。如果超过则判定为异常状态，进行告警处理。在完全前述过程后，计数器清零。

综上，本申请实施例提供的技术方案与现有技术相比，具有以下优点：

1)在攻击者接入车内CAN总线通过注入事件型CAN报文企图逆向信号的含义的攻击场景中，攻击者向CAN总线上注入事件型CAN报文，且事件型CAN报文中的信号值处于正常范围，这样能够有效的绕过现有技术中报文周期检测引擎和信号范围检测引擎的检测。通过对信号值进行累加，攻击者可以查看车辆状态的切换或者通过频繁切换某个信号所表达的状态来干扰驾驶人员正常行驶。本申请通过可通过检测车辆CAN总线中信号值的变化频率是否超过对应的预设变化频率阈值来检测出这种攻击场景并进行告警处理。

2)本申请支持四种不同的检测条件，分别是无条件检测、开启检测条件、停止检测条件和混合检测条件，使得信号检测更加灵活。

3)本申请支持对规则文件和数据库文件的解析，只需按照格式配置规则文件和导入数据库文件，可以自动根据规则文件和数据库文件生成检测规则供处理器使用。

本申请实施例还提供一种处理器，被配置成执行上述的CAN报文的检测方法。

图3示意性示出了根据本申请实施例的一种CAN报文的检测装置的结构框图。如图3所示，本申请实施例还提供一种CAN报文的检测装置，包括：

报文获取模块310，用于获取预设时间段内的事件型CAN报文，其中，事件型CAN报文包括目标信号的信号值。

变化频率确定模块320，用于确定信号值在预设时间段内的变化频率。

信号状态确定模块330，用于根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态。

检测结果确定模块340，用于根据信号状态确定事件型CAN报文的安全检测结果。

上述技术方案，通过获取预设时间段内的事件型CAN报文，事件型CAN报文包括目标信号的信号值，随后确定信号值在预设时间段内的变化频率，再根据变化频率和目标信号对应的预设变化频率阈值，确定目标信号的信号状态，最后根据信号状态确定事件型CAN报文的安全检测结果。本申请通过确定信号值在预设时间段内的变化频率的方式对攻击者注入的值在正常范围内的事件型CAN报文进行检测，能够进一步扩大CAN总线所受攻击的检测范围，从而提升CAN总线的安全性。

在一个实施例中，CAN报文的检测装置还包括信号值过滤模块，用于：获取规则文件；从规则文件中确定检测条件，检测条件为无条件检测、开启检测条件、停止检测条件和混合检测条件中的任意一项；判断目标信号是否符合检测条件；在目标信号符合检测条件的情况下，根据检测条件对目标信号的信号值进行检测；在目标信号不符合检测条件的情况下，过滤目标信号。

在一个实施例中，变化频率确定模块320还用于：获取信号值在预设时间段内的信号变化次数；根据预设时间段的时长和信号变化次数确定信号值在预设时间段内的变化频率。

在一个实施例中，变化频率确定模块320还用于：在预设时间段内，获取历史信号的历史信号值，历史信号的名称与目标信号的名称相同；判断信号值和历史信号值是否相同；在信号值和历史信号值相同的情况下，过滤信号值；在信号值和历史信号值不同的情况下，增加信号变化次数。

在一个实施例中，信号状态确定模块330还用于：判断变化频率是否大于预设变化频率阈值；在变化频率大于预设变化频率阈值的情况下，确定信号状态为异常状态；在变化频率小于或等于预设变化频率阈值的情况下，确定信号状态为正常状态。

在一个实施例中，CAN报文的检测装置还包括告警信息发送模块，用于：在信号状态为异常状态的情况下，发送告警信息。

本申请实施例还提供一种计算机设备，包括上述的CAN报文的检测装置或者上述的处理器。

本申请实施例还提供一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令用于使得机器执行上述的CAN报文的检测方法。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种CAN报文的检测方法，其特征在于，所述CAN报文包括事件型CAN报文，所述检测方法包括：

获取预设时间段内的事件型CAN报文，其中，所述事件型CAN报文包括目标信号的信号值；

确定所述信号值在所述预设时间段内的变化频率；

根据所述变化频率和所述目标信号对应的预设变化频率阈值，确定所述目标信号的信号状态；

根据所述信号状态确定所述事件型CAN报文的安全检测结果。

2.根据权利要求1所述的检测方法，其特征在于，所述检测方法还包括：

获取规则文件；

从所述规则文件中确定检测条件，所述检测条件为无条件检测、开启检测条件、停止检测条件和混合检测条件中的任意一项；

判断所述目标信号是否符合所述检测条件；

在所述目标信号符合所述检测条件的情况下，根据所述检测条件对所述目标信号的信号值进行检测；

在所述目标信号不符合所述检测条件的情况下，过滤所述目标信号。

3.根据权利要求1所述的检测方法，其特征在于，所述确定所述信号值在所述预设时间段内的变化频率包括：

获取所述信号值在所述预设时间段内的信号变化次数；

根据所述预设时间段的时长和所述信号变化次数确定所述信号值在所述预设时间段内的变化频率。

4.根据权利要求3所述的检测方法，其特征在于，所述获取所述信号值在所述预设时间段内的信号变化次数包括：

在所述预设时间段内，获取历史信号的历史信号值，所述历史信号的名称与目标信号的名称相同；

判断所述信号值和所述历史信号值是否相同；

在所述信号值和所述历史信号值相同的情况下，过滤所述信号值；

在所述信号值和所述历史信号值不同的情况下，增加所述信号变化次数。

5.根据权利要求1所述的检测方法，其特征在于，所述根据所述变化频率和所述目标信号对应的预设变化频率阈值，确定所述目标信号的信号状态包括：

判断所述变化频率是否大于预设变化频率阈值；

在所述变化频率大于所述预设变化频率阈值的情况下，确定所述信号状态为异常状态；

在所述变化频率小于或等于所述预设变化频率阈值的情况下，确定所述信号状态为正常状态。

6.根据权利要求5所述的检测方法，其特征在于，所述检测方法还包括：

在所述信号状态为异常状态的情况下，发送告警信息。

7.一种CAN报文的检测装置，其特征在于，包括：

报文获取模块，用于获取预设时间段内的事件型CAN报文，其中，所述事件型CAN报文包括目标信号的信号值；

变化频率确定模块，用于确定所述信号值在所述预设时间段内的变化频率；

信号状态确定模块，用于根据所述变化频率和所述目标信号对应的预设变化频率阈值，确定所述目标信号的信号状态；

检测结果确定模块，用于根据所述信号状态确定所述事件型CAN报文的安全检测结果。

8.一种处理器，其特征在于，被配置成执行根据权利要求1至6中任意一项所述的CAN报文的检测方法。

9.一种计算机设备，其特征在于，包括根据权利要求7所述的CAN报文的检测装置或者根据权利要求8所述的处理器。

10.一种机器可读存储介质，其特征在于，该机器可读存储介质上存储有指令，该指令用于使得机器执行时实现根据权利要求1至6中任意一项所述的CAN报文的检测方法。