[发明专利]一种入侵检测方法、装置、存储介质和电子设备

说明书

本申请实施例提供一种入侵检测方法、装置、存储介质和电子设备，该入侵检测方法包括：获取面向服务的数据交互中间件SOME/IP报文，其中，SOME/IP报文是通过对待检测的以太网报文进行解析后获得的；若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常，则确定以太网报文为入侵报文；其中，预设检测流程包括SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程。本申请实施例能够实现对车载以太网的入侵检测，保障了车载网络的稳定和用户的安全。

技术领域

本申请涉及车联网安全领域，尤其涉及一种入侵检测方法、装置、存储介质和电子设备。

背景技术

随着车联网的迅速发展，越来越多的网络技术应用于汽车之上，在丰富了用户的行车体验的同时也带来了新的挑战。传统的控制器局域网络(Controller Area Network，CAN)受信息传输带宽的限制无法满足未来高流量的要求，为了解决传统车载构架的瓶颈，车载以太网也因此孕育而生，成为新一代车载网络构架。其中，面向服务的数据交互中间件(Scalable service-Oriented MiddlewarE over IP，SOME/IP)是车载以太网通信引入的一个概念，其基于以太网协议进行数据传输，目的是替代传统CAN协议以完成电子控制单元(Electronic Control Unit，ECU)之间的正常通信。

在实现本发明的过程中，发明人发现现有技术中存在如下问题：现有技术中并不存在专门针对SOME/IP协议的入侵检测方法。例如，现有的入侵检测方法是通过基于CAN网络的入侵检测系统来实现的。但是，由于协议的格式不同，基于CAN网络的入侵检测系统无法实现对SOME/IP协议的检测。

发明内容

本申请实施例的目的在于提供一种入侵检测方法、装置、存储介质和电子设备，以实现对SOME/IP报文的安全性检测。

第一方面，本申请实施例提供了一种入侵检测方法，该入侵检测方法包括：获取面向服务的数据交互中间件SOME/IP报文，其中，SOME/IP报文是通过对待检测的以太网报文进行解析后获得的；若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常，则确定以太网报文为入侵报文；其中，预设检测流程包括SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程。

因此，借助于上述技术方案，本申请实施例可通过SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程来实现对SOME/IP报文的检测，从而能够实现对车载以太网的入侵检测，保障了车载网络的稳定和用户的安全。

在一个可能的实施例中，头部关键字段包括以下字段中的至少一个字段：数据包长度字段、协议版本字段、报文类型字段和返回值字段。

在一个可能的实施例中，SOME/IP报文的头部字段包括地址识别码字段和请求地址字段，地址识别码字段包括服务标识符，请求地址字段包括客户识别码；

其中，预设检测流程包括SOME/IP报文的规则的检测流程，若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常，则确定以太网报文为入侵报文，包括：若确定服务标识符或者客户识别码与预设的白名单不匹配，则确定以太网报文为入侵报文；或者，若确定服务标识符和客户识别码不匹配，则确定以太网报文为入侵报文。

在一个可能的实施例中，SOME/IP报文的头部字段包括接口版本字段；

其中，预设检测流程包括SOME/IP报文的规则的检测流程，若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常，则确定以太网报文为入侵报文，包括：若确定接口版本字段和预设的接口版本列表不匹配，则确定以太网报文为入侵报文。