[发明专利]基于报文指纹的入侵检测方法、系统、车辆及存储介质

说明书

本发明公开了一种基于报文指纹的入侵检测方法、系统、车辆及存储介质，包括：控制器上电完毕，报文中车控信息填充完毕，计算报文Mac值，移位，计算报文指纹值，填充报文指纹值，发送报文；网络监控节点上电完毕，监控总线活动，判断是否收到总线报文，若否，返回监控总线活动，若是，查询共享密钥，提取报文指纹信息，还原报文控制信息，计算报文指纹信息，判断计算的指纹值是否等于提取的指纹值，若是，指纹校验计数器减去第一预设常数，若否，指纹校验计算器加上第二预设常数，判断指纹校验计算器是否大于等于预设校验安全阈值，若是，入侵报警并记录日志，否者返回监控总线活动的步骤。本发明能够在车内网络被入侵时进行预警。

技术领域

本发明属于网络安全技术领域，具体涉及一种基于报文指纹的入侵检测方法、系统、车辆及存储介质。

背景技术

随着5G技术的发展，智能汽车正在颠覆传统的汽车文化。汽车的网联化、智能化已然成为未来汽车的发展趋势。智能汽车在给用户带来一些全新体验的同时，也将自身暴露在互联网络中。而目前车辆的信息安全还未做到让入侵者进不来，能发现，能抵御，能恢复的防护。因此，信息安全将在智能汽车的设计开发中扮演重要的角色，而入侵检测则是车辆信息安全的安全措施之一。

目前车内控制信息通过CAN/CANFD/LIN在各控制器之间明文广播传输，攻击者可以仿冒车内报文ID对车内通讯进行注入、篡改、重放。汽车上针对车内网络的入侵检测大多均是基于报文ID的黑白名单、报文的周期波动等来识别入侵者的攻击，这类检测手段能够防护一些攻击，但针对攻击者仿冒控制器对车内网络进行攻击的方式无法感知；另一方面，基于大运算量的通讯加密手段受到CAN报文数据带宽和节点运算资源的制约实施难度大：基于SecOC的车内网络通讯的保护方式对车内节点的计算资源和数据场资源占用较大，一般用于域控制器之间的以太网通讯中，而域内低带宽通讯需要一种轻量级的解决方案。

因此，有必要开发一种新的基于报文指纹的入侵检测方法、系统、车辆及存储介质。

发明内容

本发明提供一种基于报文指纹的入侵检测方法、系统、车辆及存储介质，能在车内网络被入侵时，通过报文指纹快速识别出车内网络中被入侵的网段及异常的通讯报文，并记录相关安全日志及预警。

第一方面，本发明所述的一种基于报文指纹的入侵检测方法，控制器存储有共享密钥，网络监控节点存储有各控制器的共享密钥；其方法包括以下步骤，包括：

报文指纹填充过程：

当控制器上电完毕且车控信息完成报文填充后，计算待填充指纹值的报文的Mac值，将报文Mac值用二进制表示，并根据Mac值连续为0的最大位数的奇偶性向左或右循环移动Counter位，再与共享密钥进行异或运算得到报文指纹值，将报文指纹值填充至报文预先定义的指纹填充位置，并将报文发送到车内网络中，同时报文计数器Counter值+1，其中Counter是报文计数器；

报文指纹监控过程：

当网络监控节点上电完毕且监控到网络中有报文活动时，通过抓取的报文ID查询共享密钥，并提取报文中的指纹值，并将抓取的报文还原为控制器在填充报文指纹前时的填充场，网络监控节点按照报文填充过程中报文指纹值的计算方法计算出报文的指纹值，并与提取的指纹值进行对比，若相等，则指纹校验计数器减去第一预设常数，若不相等，则指纹校验计数器加上第二预设常数；所述第二预设常数大于第一预设常数；当指纹校验计数器大于预设校验安全阈值时，网络监控节点发出入侵报警，并记录相关的入侵报文信息。

可选地，所述报文指纹填充过程的具体步骤如下：

TC01：当控制器上电通讯初始化完毕后，控制器准备向总线上发送报文；

TC02：控制器将车控信息填充在报文中；