[发明专利]一种汽车网关的实时CAN入侵检测系统

权利要求书

1.一种汽车网关的CAN入侵检测系统，其特征在于：包括同步标注模块、RB检测模块、DLB检测模块和检测汇聚模块；所述CAN入侵检测系统的处理流程包括以下步骤：在接收到CAN数据帧之后先送往同步标注模块进行同步标注；同步标注模块完成处理之后，数据帧再同时送往RB检测模块和DLB检测模块进行并行检测处理，RB检测模块和DLB检测模块的检测结果再送往检测汇聚模块进行处理，检测汇聚模块给出最终检测结果以确认是否是攻击或者正常响应；

其中，所述RB检测模块是基于规则的检测模块，所述DLB检测模块为基于深度学习的检测模块。

2.如权利要求1所述的汽车网关的CAN入侵检测系统，其特征在于：所述同步标注模块对所有进入系统CAN数据帧进行同步标注，给每个CAN数据帧分配一个统一的检测流水号。

3.如权利要求1所述的汽车网关的CAN入侵检测系统，其特征在于：所述RB检测模块的检测包括：根据车厂数据来设置规则集，通过规则集对CAN消息进行检测并输出检测结果；根据检测结果对CAN消息进行标记。

4.如权利要求3所述的汽车网关的CAN入侵检测系统，其特征在于：所述车厂数据为CAN矩阵表或者CAN DBC文件。

5.如权利要求3所述的汽车网关的CAN入侵检测系统，其特征在于：所述规则集包括消息ID和消息ID发送周期。

6.如权利要求1所述的汽车网关的CAN入侵检测系统，其特征在于：所述DLB检测模块的检测包括：在DLB检测模块中设置训练好的检测模型；提取CAN数据帧及数据流的特征输入DLB检测模块，通过检测模型对特征进行检测并输出检测结果；根据检测结果对CAN消息进行标记。

7.如权利要求6所述的汽车网关的CAN入侵检测系统，其特征在于：所述DLB检测模块检测的特征输入包括：1、消息ID；2、频率，消息ID在上1秒出现的次数；3、相对距离，消息ID之间的相对距离；和4、系统熵变化，从收到上一条消息到收到传入消息的系统熵变化。

8.如权利要求1所述的汽车网关的CAN入侵检测系统，其特征在于：所述检测汇聚模块，用于汇聚RB检测模块和DLB检测模块的结果，并根据RB检测模块和DLB检测模块的结果进行逻辑或得到最终的结果，即只要RB检测模块和DLB检测模块中有一个模块检测结果为真则被检测的包为攻击包。

9.如权利要求8所述的汽车网关的CAN入侵检测系统，其特征在于：检测汇聚模块维护一个同步标注过的包的检测列表，当RB检测模块检测结果为真则直接判断该包为攻击包，不需要等待DLB检测模块的检测结果；当RB检测模块检测结果为假，则等待DLB检测模块的检测结果，如果DLB检测模块检测结果为真则判断该包为攻击包，否则就认为是正常包；如果同一包两个检测模块的检测结果都为假，则该包为正常包。