[发明专利]一种基于总线的入侵检测方法

摘要

本发明公开了一种基于总线的入侵检测方法，包括：收集总线数据：监听并收集总线传输数据；提取总线特征：利用总线的工作原理，在收集的总线数据中提取子系统使用总线频率，子系统总线信誉等总线特征；总线异常检测：将提取的特征提交到预先建立的总线异常检测器检测，若消息合法，则让消息通过，否则生成入侵事件，将此入侵事件提交到入侵事件过滤器，如果入侵检测过滤器能过滤此入侵事件，则让消息通过，否则停止总线传输此消息，阻止此次入侵。本发明可检测出多个子系统之间的攻击，可以有效的抵御重放攻击、伪造子系统攻击、拒绝服务等多种攻击。

主权项

1.一种基于总线的入侵检测方法，其特征在于，该方法包括以下具体步骤：/n步骤1：监听并收集总线传输数据；/n步骤2：利用总线的工作原理，在收集的总线数据中提取总线特征；/n步骤3：将提取的总线特征提交到总线异常检测器检测，若消息合法，则让消息通过，否则生成入侵事件，将此入侵事件提交到入侵事件过滤器，若入侵检测过滤器能过滤此入侵事件，则让消息通过，否则停止总线传输此消息，阻止此次入侵；其中：/n所述步骤2具体包括：/n步骤B1：根据总线协议，提取消息时长，消息长度，方式代码，消息数据，消息时间间隔，消息频率；/n步骤B2：提取出子系统的总线频率和总线信誉；/n所述步骤3具体包括：/n步骤C1：异常检测器检测子系统总线频率，消息频率，消息长度，消息数据是否在异常检测器检测的范围内，若不在异常检测器检测范围内，则为入侵检测事件，执行步骤C4；若在异常检测器检测范围内，则执行步骤C2；/n步骤C2：预先建立的异常检测器检测方式代码是否在异常检测器的方式代码白名单内，若不在异常检测器的方式代码白名单内，则为入侵检测事件，执行步骤C4；若在异常检测器的方式代码白名单内，则执行步骤C3；/n步骤C3：预先建立的异常检测器检测子系统总线信誉是否在异常检测器的总线信誉阈值内，若不在异常检测器的总线信誉阈值内，则为入侵检测事件，执行步骤C4；若在异常检测器的总线信誉阈值内，则不存在入侵，让消息成功传输；/n步骤C4：将入侵检测事件提交到入侵检测过滤器，将此次表现为入侵事件的行为以九元组的形式记录，将此九元组提交到入侵检测过滤器，如果入侵检测过滤器能过滤此入侵事件，则让消息通过，否则停止总线传输消息，阻止此次入侵；其中，九元组形式为：子系统、消息时长、消息长度、方式代码、消息数据、消息时间间隔、消息频率、子系统总线频率及子系统总线信誉。/n