[发明专利]基于报文指纹的入侵检测方法、系统、车辆及存储介质

权利要求书

1.一种基于报文指纹的入侵检测方法，其特征在于，控制器存储有共享密钥，网络监控节点存储有各控制器的共享密钥；其方法包括以下步骤，包括：

报文指纹填充过程：

当控制器上电完毕且车控信息完成报文填充后，计算待填充指纹值的报文的Mac值，将报文Mac值用二进制表示，并根据Mac值连续为0的最大位数的奇偶性向左或右循环移动Counter位，再与共享密钥进行异或运算得到报文指纹值，将报文指纹值填充至报文预先定义的指纹填充位置，并将报文发送到车内网络中，同时报文计数器Counter值+1，其中Counter是报文计数器；

报文指纹监控过程：

当网络监控节点上电完毕且监控到网络中有报文活动时，通过抓取的报文ID查询共享密钥，并提取报文中的指纹值，并将抓取的报文还原为控制器在填充报文指纹前时的填充场，网络监控节点按照报文填充过程中报文指纹值的计算方法计算出报文的指纹值，并与提取的指纹值进行对比，若相等，则指纹校验计数器减去第一预设常数，若不相等，则指纹校验计数器加上第二预设常数；所述第二预设常数大于第一预设常数；当指纹校验计数器大于预设校验安全阈值时，网络监控节点发出入侵报警，并记录相关的入侵报文信息。

2.根据权利要求1所述的基于报文指纹的入侵检测方法，其特征在于：所述报文指纹填充过程的具体步骤如下：

TC01：当控制器上电通讯初始化完毕后，控制器准备向总线上发送报文；

TC02：控制器将车控信息填充在报文中；

TC03：控制器将报文数据按byte与共享密钥Key进行异或，并求和得到报文Mac值，计算公式如下：ΣData_byte⊕Key；

TC04：将报文Mac值用二进制表示，并计算连续为0的最大位数Num_bit0，若 Num_bit0为偶数，则将Mac值向右循环移动Counter位，得到移位后的Mac^’值，若Num_bit0为奇数，则将Mac值向左循环移动Counter位，得到移位后的Mac^’值；其中Counter是报文计数器；

TC05：将移位后得到的Mac^’值再与共享密钥Key进行异或得到报文指纹值V_fig；

TC06：将报文指纹值V_fig填充至报文预先定义的指纹填充位置，其中，各报文的填充位置应随机分散于报文数据场中；

TC07：当控制器将报文填充完毕后，控制器将报文发送到车内网络中，同时报文计数器Counter值+1。

3.根据权利要求1或2所述的基于报文指纹的入侵检测方法，其特征在于：所述报文指纹监控过程的具体步骤如下：

JC01：网络监控节点上电完毕；

JC02：网络监控节点对总线活动进行监控；

JC03：若网络监控节点监测到总线上存在报文活动时，则执行JC04，否则继续执行JC02；

JC04：基于监控抓取的报文ID，查询该ID对应的共享密钥；

JC05：按报文ID对应的指纹值填充位置提取报文中的指纹值V_fig1；

JC06：将报文中在指纹值计算后填充的bit位设置为控制器默认填充状态；

JC07：提取报文中的报文Counter值，并按照步骤TC03至步骤TC05的方法计算出报文指纹值V_fig2；

JC08：判断计算的报文指纹值V_fig2与报文中的指纹值V_fig1是否相等，若相等，执行JC09;若不相等，执行JC10；

JC09：指纹值校验通过，若指纹校验计数器Counter_fig大于0，则Counter_fig-第一预设常数Const1；否则Counter_fig维持不变；

JC10：指纹值校验未通过，则指纹校验计数器Counter_fig+第二预设常数 Const2；

JC11：判断指纹计数器Counter_fig是否大于等于预设校验安全阈值Const3，若是，则执行JC12，否则执行JC02；

JC12：判定该报文所在网段被入侵，并记录相关的入侵报文信息。