[发明专利]异常检测方法及装置

说明书

本申请实施例提供异常检测方法及装置，涉及信息安全技术领域，可以提高CAN总线网络的信息安全。该方法包括：获取第一类型的控制器区域网络CAN报文发送时需满足的发送条件；根据发送条件检测CAN总线上传输的第一报文是否发送异常，其中，第一报文属于第一类型的CAN报文。

技术领域

本申请实施例涉及信息安全技术领域，尤其涉及一种车载控制器区域网络(controller area network，CAN)总线的异常检测方法及装置。

背景技术

随着汽车智能化、网联化的发展，智能网联汽车成为汽车信息化的发展方向。近年来针对汽车的信息安全事件频发，网联汽车信息安全问题凸显，研究网联汽车及车载网络系统信息安全问题迫在眉睫。CAN总线是目前使用最广泛的车载总线网络技术，随着汽车信息安全问题的出现，恶意攻击通过外部接口直接渗透到车载CAN总线网络，严重危害驾乘者人身和财产安全。CAN总线缺乏基本的信息安全机制，研究车载CAN总线网络的信息安全问题及适合CAN总线的异常检测技术具有十分重要的意义。

发明内容

本申请实施例提供一种异常检测方法及装置，以解决CAN总线网络的信息安全问题。

为达到上述目的，本申请实施例采用如下技术方案：

第一方面，提供一种异常检测方法，所述方法包括：获取第一类型的控制器区域网络CAN报文发送时需满足的发送条件；根据发送条件检测CAN总线上传输的第一报文是否发送异常，其中，第一报文属于第一类型的CAN报文。

基于第一方面所述的方法，可以实现对第一类型的CAN报文(比如周期使能型和周期事件型)的异常检测，一旦CAN总线上出现了第一类型的CAN报文，IDS系统则会根据第一方面所述方法检测出来异常的报文，保证车辆不遭到CAN报文发送异常的CAN报文的攻击，提高车辆的安全性。

一种可能的设计中，第一类型的CAN报文为周期使能型报文；发送条件包括：固定发送周期、快速发送周期、最小发送间隔和信号取值。

一种可能的设计中，根据发送条件检测CAN总线上传输的第一报文是否发送异常，包括：如果第一报文的发送频率不满足最小发送间隔，则确定第一报文发送异常；如果第一报文的发送频率满足最小发送间隔，则根据固定发送周期、快速发送周期、和信号取值，确定第一报文是否异常。

一种可能的设计中，根据固定发送周期、快速发送周期、和信号取值，确定第一报文是否异常，包括：确定第一报文属于第一类型的CAN报文；如果根据信号取值，确定第一报文处于使能状态，若第一报文的发送频率不满足快速发送周期，则确定第一报文为异常报文；如果根据信号取值，确定第一报文处于非使能状态，若第一报文的发送频率不满足固定发送周期，则确定第一报文为异常报文。

基于该可能的设计，针对周期使能型报文，获取报文的正常发送周期、快速发送周期、使能状态下的信号取值和最小发送间隔；实时监控CAN总线时，对于属于周期使能型报文的CAN报文，同时监控CAN报文的信号取值和CAN报文的发送频率。异常检测时，根据CAN报文周期、CAN报文发送类型和CAN报文的信号取值综合判断是否出现异常。如此，能够在出现周期使能型报文时不发生误报的情况，同时能够检测周期使能型报文出现的频率异常，从而发现针对周期使能型报文的攻击。

一种可能的设计中，第一类型的CAN报文为周期事件型报文；发送条件包括：固定发送周期、快速发送周期、最小发送间隔和最大连续发送次数N，N为大于或者等于1的整数。