[发明专利]一种车载内部网络入侵检测系统

说明书

本发明实施例提供一种车载内部网络入侵检测系统，流量采集模块采集车载CAN上的流量数据，并将流量数据发送给流量预处理模块，其中流量数据包括对应有标识ID的数据帧；流量预处理模块获取流量数据的检测判断值，并将检测判断值发送给多维度入侵检测模块；其中，检测判断值包括下述中的至少一项：流量数据在预设时间窗口内的流量状态图、ID所对应的数据帧中预设位置处的取值以及ID在预设时间窗口内的频率值；多维度入侵检测模块基于流量状态图、ID所对应的数据帧中预设位置处的取值和/或ID在预设时间窗口内的频率值，检测ID所对应的数据帧是否为异常数据。本发明实施例实现了对流量数据的多维度全面检测。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种车载内部网络入侵检测系统。

背景技术

随着网络技术和通信技术的深入发展，汽车与外界的信息交互愈加频繁，汽车具备了更多样的信息服务及应用。多样的信息服务增加了汽车内部与外界的访问接口，虽然汽车的内部网络看似一个相对安全的封闭网络，但其结构复杂，功能繁多，承载了各种信息交互，存在很多可能被用来攻击的接口，这些接口一旦被攻破，攻击者便可以进入车载网络中。而且随着网联汽车功能的丰富，车载系统中也存在着一些不为人知的漏洞，如果这些漏洞被发现，再结合外部的入侵接口，一条完整的攻击路径便被打通。一旦攻击者对车辆实施攻击，将会导致隐私泄漏等信息安全和网络安全问题，甚至产生功能安全威胁。因此，车载内部网络内部安全问题是保障网联汽车的安全性的关键点，面向车载内部网络入侵检测系统是解决这一关切的重要手段。

控制器局部网络(Controller Area Network，CAN)总线是目前应用最为广泛的车载网络系统，CAN总线网络针对于总线网络设计，本身缺少在互联网时代所需要的安全防护机制。随着网联汽车技术的发展发展，攻击者可以通过外部网络接口进入网联汽车内部，然后通过CAN总线注入恶意数据包干预汽车正常运行状态，这严重威胁了驾驶人、乘客及交通参与者的人身及财产安全。经对现有技术文献的检索发现，从实现功能角度来看，现有的与CAN网络相关的车载内部网络工具与技术主要包括以下两种类型：一种类型是仅关注CAN网络流量的捕获与数据帧注入功能，这种类型的工具和技术不具备入侵检测功能；第二种类型是实现了入侵检测功能，但是要么依赖于车载外部网络和云端技术支持，要么依赖于车载内部网络私有协议的先验性知识从而不具备通用性或是检测能力受限，不具备同时检测各种已知攻击和未知攻击的全面检测能力。

发明内容

本发明实施例提供一种车载内部网络入侵检测系统，以实现对网络攻击的多方面检测，保障网络安全。

本发明实施例提供一种车载内部网络入侵检测系统，包括：

流量采集模块、流量预处理模块和多维度入侵检测模块，其中，

所述流量采集模块采集车载控制器局部网络CAN上的流量数据，并将所述流量数据发送给所述流量预处理模块，其中所述流量数据包括对应有标识ID的数据帧；

所述流量预处理模块获取所述流量数据的检测判断值，并将所述检测判断值发送给所述多维度入侵检测模块；其中，所述检测判断值包括下述中的至少一项：流量数据在预设时间窗口内的流量状态图、所述ID所对应的数据帧中预设位置处的取值以及所述ID在所述预设时间窗口内的频率值；

所述多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值，检测所述ID所对应的数据帧是否为异常数据。

可选地，还包括基值训练模块；所述基值训练模块基于流量样本数据，确定所述流量数据的检测判断基准值，并将所述检测判断基准值发送给所述多维度入侵检测模块；所述流量样本数据包括对应有样本ID的样本数据帧；

其中，所述检测判断基准值包括下述中的至少一项：流量样本数据在所述预设时间窗口内的流量状态基准图、所述样本ID所对应的数据帧中预设位置处的取值基准范围以及所述样本ID在所述预设时间窗口内的频率基准值。