本發(fā)明屬于入侵檢測，涉及一種入侵檢測方法、系統(tǒng)、設(shè)備及存儲介質(zhì)，尤其是一種車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法、系統(tǒng)、設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、針對智能網(wǎng)聯(lián)車的主動防控需求，車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can(controller?areanetwork)需要更加高效、準(zhǔn)確的入侵檢測算法，以應(yīng)對不同類型的報文注入攻擊。

2、現(xiàn)有的入侵檢測算法種類繁多，主要有基于簽名或者基于規(guī)則的誤用檢測算法，以及基于深度學(xué)習(xí)或者統(tǒng)計學(xué)模型的異常檢測算法。但是，前者過于依賴經(jīng)驗，一般檢測規(guī)則數(shù)量較為有限，對于同一種攻擊的變體可能缺乏應(yīng)對措施，漏報的幾率較高；而后者對于較為復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，不僅使用的算力更高，誤報的概率也更高。

3、因此，針對上述現(xiàn)有技術(shù)中存在的缺陷，需要研發(fā)一種新型的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法。

技術(shù)實現(xiàn)思路

1、為了克服現(xiàn)有技術(shù)的缺陷，本發(fā)明提出一種車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法、系統(tǒng)、設(shè)備及存儲介質(zhì)，其能夠?qū)崿F(xiàn)入侵的快速檢測且能夠防止蜜罐系統(tǒng)偽造的注入數(shù)據(jù)被誤判。

2、為了實現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

3、一種車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法，其特征在于，包括以下步驟：

4、1)對正常狀態(tài)下的車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can的數(shù)據(jù)流進(jìn)行數(shù)據(jù)挖掘并生成檢測規(guī)則，以形成規(guī)則庫；

5、2)利用蜜罐系統(tǒng)生成偽造節(jié)點和包含偽造節(jié)點的數(shù)據(jù)并將包含偽造節(jié)點的數(shù)據(jù)注入車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can的實時數(shù)據(jù)流中；

6、3)通過所述規(guī)則庫對車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can的實時數(shù)據(jù)流進(jìn)行檢測；

7、4)對于所述實時數(shù)據(jù)流中未通過所述規(guī)則庫檢測且節(jié)點id與偽造節(jié)點id相同的數(shù)據(jù)，由所述蜜罐系統(tǒng)進(jìn)行驗證；

8、5)對于未通過所述蜜罐系統(tǒng)驗證的數(shù)據(jù)，交由警報響應(yīng)模塊進(jìn)行響應(yīng)，以實現(xiàn)入侵檢測。

9、優(yōu)選地，所述步驟1)中，根據(jù)數(shù)據(jù)流中數(shù)據(jù)的id號對數(shù)據(jù)流中的數(shù)據(jù)進(jìn)行劃分，將含有相同id號的數(shù)據(jù)歸結(jié)為一個子追蹤數(shù)據(jù)流，隨后在子追蹤數(shù)據(jù)流里進(jìn)行數(shù)據(jù)挖掘并生成檢測規(guī)則。

10、優(yōu)選地，所述步驟1)中，在子追蹤數(shù)據(jù)流里進(jìn)行數(shù)據(jù)挖掘并生成檢測規(guī)則具體包括：

11、11)通過對子追蹤數(shù)據(jù)流里前后相鄰的兩幀數(shù)據(jù)的有效負(fù)載分別取漢明距離，生成一個用于描述該id號所對應(yīng)車載電子原件ecu的工作狀態(tài)轉(zhuǎn)變的動作值mt：

12、

13、式中，dt,i表示前后相鄰的兩幀數(shù)據(jù)中后一幀數(shù)據(jù)的有效負(fù)載的第i位數(shù)據(jù)，dt-1,i表示前后相鄰的兩幀數(shù)據(jù)中前一幀數(shù)據(jù)的有效負(fù)載的第i位數(shù)據(jù)，表示計算漢明距離；

14、12)取前后相鄰的k個動作值構(gòu)成一個行為向量bt：

15、

16、13)所述行為向量bt描述了該id號所對應(yīng)車載電子原件ecu的一個正常行為，所述行為向量作為檢測規(guī)則直接記錄進(jìn)規(guī)則庫。

17、優(yōu)選地，k的取值為3。

18、優(yōu)選地，所述步驟3)具體為：計算車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can的實時數(shù)據(jù)流的實時行為向量并通過鍵值在所述規(guī)則庫進(jìn)行查找，如果所述規(guī)則庫內(nèi)有與所述實時行為向量相同的檢測規(guī)則，則通過所述規(guī)則庫的檢測，否則未通過所述規(guī)則庫的檢測。

19、優(yōu)選地，所述步驟4)中的由所述蜜罐系統(tǒng)進(jìn)行驗證具體為：所述蜜罐系統(tǒng)在生成包含偽造節(jié)點的數(shù)據(jù)時會記錄其發(fā)送數(shù)量和時間戳，比對所述蜜罐系統(tǒng)生成的包含偽造節(jié)點的數(shù)據(jù)的發(fā)送數(shù)量和時間戳與未通過所述規(guī)則庫檢測且節(jié)點id與偽造節(jié)點id相同的數(shù)據(jù)的發(fā)送數(shù)量和時間戳，如果發(fā)送數(shù)量和時間戳相同，則通過所述蜜罐系統(tǒng)的驗證，否則未通過所述蜜罐系統(tǒng)的驗證。

20、此外，本發(fā)明還提供一種車輛內(nèi)部網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，包括：

21、規(guī)則庫構(gòu)建模塊，其用于對正常狀態(tài)下的車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can的數(shù)據(jù)流進(jìn)行數(shù)據(jù)挖掘并生成檢測規(guī)則，以形成規(guī)則庫；

22、包含偽造節(jié)點的數(shù)據(jù)生成模塊，其用于利用蜜罐系統(tǒng)生成偽造節(jié)點和包含偽造節(jié)點的數(shù)據(jù)并將包含偽造節(jié)點的數(shù)據(jù)注入車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can的實時數(shù)據(jù)流中；

23、規(guī)則檢測模塊，其用于通過所述規(guī)則庫對車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can的實時數(shù)據(jù)流進(jìn)行檢測；

24、驗證模塊，其用于利用蜜罐系統(tǒng)對所述實時數(shù)據(jù)流中未通過所述規(guī)則庫檢測且節(jié)點id與偽造節(jié)點id相同的數(shù)據(jù)進(jìn)行驗證；

25、警報響應(yīng)模塊，其用于對未通過所述蜜罐系統(tǒng)驗證的數(shù)據(jù)進(jìn)行響應(yīng)，以實現(xiàn)入侵檢測。

26、而且，本發(fā)明還提供一種車輛內(nèi)部網(wǎng)絡(luò)入侵檢測設(shè)備，其特征在于，包括：

27、一個或多個處理器；

28、存儲器，用于存儲一個或多個程序；

29、當(dāng)所述一個或多個程序被所述一個或多個處理器執(zhí)行時，使得所述一個或多個處理器實現(xiàn)如上所述的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法。

30、最后，本發(fā)明還提供一種計算機(jī)可讀存儲介質(zhì)，其上存儲有計算機(jī)程序，其特征在于，該程序被處理器執(zhí)行時實現(xiàn)如上所述的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法的步驟。

31、與現(xiàn)有技術(shù)相比，本發(fā)明的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法、系統(tǒng)、設(shè)備及存儲介質(zhì)具有如下有益技術(shù)效果中的一者或多者：

32、1、本發(fā)明的入侵檢測規(guī)則庫的搭建效率大幅提升，不同型號的車輛可憑借本發(fā)明，根據(jù)自身的正常運行數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，從而自動生成針對車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can的入侵檢測規(guī)則，快速構(gòu)建入侵檢測規(guī)則庫。

33、2、本發(fā)明構(gòu)建的規(guī)則庫通過鍵值查找可實現(xiàn)毫秒級的響應(yīng)速度，從而有助于入侵的快速檢測。

34、3、本發(fā)明還使用了蜜罐系統(tǒng)輔助規(guī)則庫，可在真正影響車載內(nèi)部網(wǎng)絡(luò)的威脅發(fā)生前產(chǎn)生預(yù)警，起到主動防控車內(nèi)網(wǎng)入侵檢測的作用。

技術(shù)特征：

1.一種車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法，其特征在于，包括以下步驟：

2.根據(jù)權(quán)利要求1所述的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法，其特征在于，所述步驟1)中，根據(jù)數(shù)據(jù)流中數(shù)據(jù)的id號對數(shù)據(jù)流中的數(shù)據(jù)進(jìn)行劃分，將含有相同id號的數(shù)據(jù)歸結(jié)為一個子追蹤數(shù)據(jù)流，隨后在子追蹤數(shù)據(jù)流里進(jìn)行數(shù)據(jù)挖掘并生成檢測規(guī)則。

3.根據(jù)權(quán)利要求2所述的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法，其特征在于，所述步驟1)中，在子追蹤數(shù)據(jù)流里進(jìn)行數(shù)據(jù)挖掘并生成檢測規(guī)則具體包括：

4.根據(jù)權(quán)利要求3所述的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法，其特征在于，k的取值為3。

5.根據(jù)權(quán)利要求4所述的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法，其特征在于，所述步驟3)具體為：計算車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)can的實時數(shù)據(jù)流的實時行為向量并通過鍵值在所述規(guī)則庫進(jìn)行查找，如果所述規(guī)則庫內(nèi)有與所述實時行為向量相同的檢測規(guī)則，則通過所述規(guī)則庫的檢測，否則未通過所述規(guī)則庫的檢測。

6.根據(jù)權(quán)利要求1-5中任一項所述的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法，其特征在于，所述步驟4)中的由所述蜜罐系統(tǒng)進(jìn)行驗證具體為：所述蜜罐系統(tǒng)在生成包含偽造節(jié)點的數(shù)據(jù)時會記錄其發(fā)送數(shù)量和時間戳，比對所述蜜罐系統(tǒng)生成的包含偽造節(jié)點的數(shù)據(jù)的發(fā)送數(shù)量和時間戳與未通過所述規(guī)則庫檢測且節(jié)點id與偽造節(jié)點id相同的數(shù)據(jù)的發(fā)送數(shù)量和時間戳，如果發(fā)送數(shù)量和時間戳相同，則通過所述蜜罐系統(tǒng)的驗證，否則未通過所述蜜罐系統(tǒng)的驗證。

7.一種車輛內(nèi)部網(wǎng)絡(luò)入侵檢測系統(tǒng)，其特征在于，包括：

8.一種車輛內(nèi)部網(wǎng)絡(luò)入侵檢測設(shè)備，其特征在于，包括：

9.一種計算機(jī)可讀存儲介質(zhì)，其上存儲有計算機(jī)程序，其特征在于，該程序被處理器執(zhí)行時實現(xiàn)如權(quán)利要求1-6中任一項所述的車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法的步驟。

技術(shù)總結(jié)
本發(fā)明屬于入侵檢測技術(shù)領(lǐng)域，涉及一種車輛內(nèi)部網(wǎng)絡(luò)入侵檢測方法、系統(tǒng)、設(shè)備及存儲介質(zhì)，所述方法包括：1)對正常狀態(tài)下的車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)CAN的數(shù)據(jù)流進(jìn)行數(shù)據(jù)挖掘并生成檢測規(guī)則，以形成規(guī)則庫；2)利用蜜罐系統(tǒng)生成偽造節(jié)點和包含偽造節(jié)點的數(shù)據(jù)并將包含偽造節(jié)點的數(shù)據(jù)注入車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)CAN的實時數(shù)據(jù)流中；3)通過所述規(guī)則庫對車內(nèi)區(qū)域控制總線網(wǎng)絡(luò)CAN的實時數(shù)據(jù)流進(jìn)行檢測；4)對于未通過所述規(guī)則庫檢測且節(jié)點ID與偽造節(jié)點ID相同的數(shù)據(jù)，由所述蜜罐系統(tǒng)進(jìn)行驗證；5)對于未通過所述蜜罐系統(tǒng)驗證的數(shù)據(jù)，交由警報響應(yīng)模塊進(jìn)行響應(yīng)，以實現(xiàn)入侵檢測。其能夠?qū)崿F(xiàn)入侵的快速檢測且能夠防止蜜罐系統(tǒng)偽造的注入數(shù)據(jù)被誤判。

技術(shù)研發(fā)人員：趙亞楠,何冠潔,任毅龍,楊陽,于海洋
受保護(hù)的技術(shù)使用者：北京航空航天大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2025/6/30