[发明专利]一种车内网络入侵检测方法及系统

说明书

本发明公开一种车内网络入侵检测方法及系统。系统包括：计时模块、检测模块和学习模块；计时模块用于将系统的运行时间发送到通信模块中，通信模块根据系统的运行时间记录接收到的报文的接收时间的时间戳和报文发送节点的身份标识；通信模块将身份标识和接收时间的时间戳发送给学习模块和检测模块；学习模块用于在网络正常的情况下根据接收时间的时间戳确定发送节点的时钟漂移理论值，并将时钟漂移理论值与发送节点的身份标识绑定；检测模块用于在入侵检测时根据接收时间的时间戳确定发送节点的时钟漂移相对于时钟漂移理论值的偏差。本发明公开的方法及系统，可直接安装于T‑Box的通信模块上，具有普遍适用性，能够保证大部分汽车的网络的安全。

技术领域

本发明涉及汽车网络安全领域，特别是涉及一种车内网络入侵检测方法及系统。

背景技术

现代汽车逐渐向网联化、智能化发展，每辆汽车上的电子控制单元(ECU，Electronic Control Unit)的数量迅速增多，已经达到近百个。为了让汽车为使用者提供更便利的功能和服务，汽车的电子电气系统越来越复杂的同时，也增加了与外界通信的接口，比如：WIFI、蓝牙、3G/4G通信、USB等接口。对于智能网联汽车来说，远程信息处理器(T-Box，Telematics Box)是连接汽车内部网络和外部网络的网关设备，为汽车提供外部通信功能，实现与外部的互联，包括V2I、V2V等通信。汽车互联可以给用户带来巨大便利，但同时也将汽车系统暴露在互联网中，增加了被黑客攻击的可能性。

为了降低汽车被黑客攻击的风险，需要针对汽车建立分层纵深防御体系，提升汽车的安全等级。在分层纵深防御体系中，车内网络的安全通信是整个安全防御体系建设中关键的一层，只有实现了车内网络安全通信才能构建安全的汽车电子电气系统。但是目前汽车上的通信网络大都以控制器局域网络(CAN，Controller Area Network)总线为主，CAN网络协议在设计之初的目的是运用在封闭的汽车环境中，没有考虑到网络安全问题，具有很多信息安全威胁漏洞，这些漏洞一旦被黑客利用，可以实现一些恶意的操作以及窃取用户的隐私数据等，对汽车使用者造成财产损失、隐私泄露、人身安全等问题。比如基于CAN2.0标准的报文中并不包含发送者的身份信息，也没有发送时间信息，数据域中的信息没有经过加密处理，黑客可以很容易的监听到发送的数据信息。

为了满足汽车信息安全需求，对于车内网络的入侵检测和防御是最关键的技术之一。车内网络入侵检测和防御可以及时的识别到外来的攻击，并且采取适当的防御措施，可以降低甚至消除恶意攻击带来的消极影响，保证汽车电子电气系统的正常安全运行。

目前的车内网络大多数是总线型的，有CAN、LIN、MOST、Flexray等总线，这些总线的带宽都比较小，比较难部署加密、认证等安全防护措施，入侵检测方法是最容易部署，最有效的车内网络安全防护方法之一。但是现有的入侵检测方法大多针对IT领域的网络，无法适用于车内网络入侵检测。

发明内容

本发明的目的是提供一种车内网络入侵检测方法及系统，能够实现针对总线型的汽车网络进行网络入侵检测，有效保证驾驶者及乘客的安全。

为实现上述目的，本发明提供了如下方案：

一种车内网络入侵检测方法，包括：

在T-Box每次接收到N条报文后，获取接收到的N条报文的发送节点身份标识、接收时间和相邻两条报文的接收时间间隔；其中N为正整数；

获取所述发送节点身份标识所对应的发送节点的时钟漂移，得到时钟漂移理论值；所述时钟漂移理论值是在网络正常情况下通过对各个发送节点发送报文的时间信息进行学习得到的，每个发送节点均对应一个时钟漂移；

根据所述接收时间和所述接收时间间隔计算识别误差和时钟漂移实际值；

将所述时钟漂移实际值与所述时钟漂移理论值进行对比确定发送报文的发送节点的身份标识；