一种面向车载CAN总线的报文注入式攻击的检测方法技术

本发明专利技术公开了一种面向车载CAN总线的报文注入式攻击的检测方法，将CAN总线正常通信的周期性和稳定性特征应用于实时检测CAN总线是否遭受到报文注入式攻击的检测过程中。本发明专利技术在具体实施时，需要首先监听车载CAN总线正常通信，并保存其通信特征，在检测时通过对比正常通信特征和实时通信特征来实现检测注入式攻击的目的。本发明专利技术在不改变汽车CAN总线上硬件架构的情况下，通过更新连接在CAN总线电子控制单元ECU的软件，检测车辆CAN总线是否遭受到注入式攻击。本发明专利技术可应用于各种使用CAN总线进行信息传输的车辆中，提升车辆在使用过程中的安全性，保障乘坐人员的人身安全。

A Message Injection Attack Detection Method for Vehicle CAN Bus

The invention discloses a detection method of message injection attack oriented to vehicle CAN bus. The periodicity and stability characteristics of normal communication of CAN bus are applied to real-time detection of whether CAN bus is subjected to message injection attack. In the specific implementation of the invention, it is necessary to first monitor the normal communication of the vehicle CAN bus, and preserve its communication characteristics. In the detection, the purpose of detecting injection attack is realized by comparing the normal communication characteristics with the real-time communication characteristics. The invention detects whether the vehicle CAN bus is subjected to injection attack by updating the software connected to the electronic control unit (ECU) of the CAN bus without changing the hardware structure of the vehicle CAN bus. The invention can be applied to various vehicles using CAN bus for information transmission, to improve the safety of vehicles in use and to ensure the personal safety of passengers.

【技术实现步骤摘要】
一种面向车载CAN总线的报文注入式攻击的检测方法
本专利技术涉及一种面向车载CAN总线的报文注入式攻击的检测方法，使用车载CAN总线消息发送的周期性以及消息数据段中的数据变化稳定性检测车载CAN总线报文注入式攻击，属于信息安全技术。
技术介绍
20世纪80年代早期由BOSCH开发的车用控制器局域网（ControllerAreaNetwork，CAN）是一种串行总线，已成为现代汽车总线标准协议。随着汽车电子控制技术的普及，汽车上普遍采用电子控制单元（ElectronicControllUnit，ECU）控制例如组合仪表、动力转向、车灯系统等模块。为了实现各个模块之间的信息交互，现代汽车一般使用CAN总线协议，将所有ECU连接在一条双绞线上，使用双绞线两根电线之间的电压差进行串行通信，速率可达1MB/s，每个ECU通过设置双绞线之间的电压差来发送消息，CAN总线上的其他ECU通过检测双绞线之间的电压差来接收数据。汽车中CAN总线的引入带来了成本降低、简化结构等优点，由于CAN总线协议的以下特点，使其容易遭受注入式攻击。（1）多主控制：CAN总线空闲时每个连接在CAN总线上的ECU都可以向总线发送数据，所以攻击者可以利用连接到CAN总线上的ECU发送消息实施攻击。（2）广播特性：CAN总线上任何一个ECU发送消息时，连接在同一CAN总线上其他所以ECU都可以接收到，理论上可以实现对任一ECU的攻击。（3）仲裁访问：当同一CAN总线上的多个ECU同时向CAN总线发送消息时，CAN总线协议通过仲裁ECU优先级的方式决定CAN总线传输媒介的访问权，因此攻击者可以利用优先级较高的ECU发动拒绝服务（DenialofService，DoS）攻击。（4）缺乏安全机制：CAN总线协议采用明文发送消息，攻击者很容易伪造消息来实施攻击。随着现代社会对汽车驾驶安全和智能化的要求越来越高，无人驾驶成为汽车未来的发展趋势。无人驾驶的发展和现代汽车的智能化使得蓝牙、WIFI、车载诊断接口（On-BoardDiagnostics，OBD）等汽车外部接口类型不断变多，而这些外部接口都可以连接到CAN总线网络，攻击者可以利用这些外部接口针对CAN总线网络实施注入式攻击，干扰汽车的核心控制模块，例如引擎控制模块（EngineControlModule，ECM）、电子刹车控制模块（ElectronicBrakeControlModule，EBCM）等，间接威胁到乘客的人身安全。而现代汽车本身对这些攻击的防御能力极弱，所以对CAN总线注入式攻击的检测研究有重大安全意义。中国计量大学在其申请的专利文献“一种检测注入式攻击的控制器局域网汽车总线报警网关”（专利申请号：CN201710837695.2，公开号：CN107454107A）中提出了一种针对车载CAN总线注入式攻击的检测方法。该方法利用网关作为检测设备，保存每个数据帧标识符的周期和数据段数值的最大、最小值。此方法在实时通信时，出现下列两种情况时发出警报：①数据帧发送周期发生变化；②数据段数值出记录的最大值、最小值范围。这种办法虽然可以检测出车载CAN的注入式攻击，但是存在一些不足之处：首先，网关作为网间通信的桥梁起着十分重要的作用，此检测方法利用网关监测所有标识符的通信必然提升网关的计算负载，一旦超出网关的计算能力，必然导致整车通信网络发生故障；其次，虽然合法的数据段数值在其保存的最大值和最小值之间，但是在最大值和最小值之间的数据值并不一定合法，所以此方法可能会漏检一些非法的攻击数据帧；最后，CAN总线在实际通信时由于某些原因（例如物理干扰）而产生一些错误的数据帧，标准CAN协议会丢弃这些数据帧并不会对整个系统工作带来故障，但是此检测方法会将其误认为注入式攻击而发出警报。
技术实现思路
专利技术目的：为了克服现有技术中存在的不足，本专利技术提供一种面向车载CAN总线的报文注入式攻击的检测方法，以有效检测多种针对车载CAN总线的报文注入式攻击并发出警报，既能够减少无人驾驶车辆总线遭受注入式攻击所带来的安全隐患，保护乘客人身安全和车辆安全，又不会增加CAN总线的通信负载，保证无人驾驶CAN总线的安全性和实时性，具有较高的研究意义。技术方案：为实现上述目的，本专利技术采用的技术方案如下。一种面向车载CAN总线的报文注入式攻击的检测方法，将CAN总线正常通信的周期性和稳定性特征应用于实时检测CAN总线是否遭受到报文注入式攻击的检测过程中。本专利技术在具体实施时，需要首先监听车载CAN总线正常通信，并保存其通信特征，在检测时通过对比正常通信特征和实时通信特征来实现检测注入式攻击的目的。该方法包括训练阶段和实时检测两个部分，每个部分的具体步骤如下：训练阶段：步骤11：监听CAN总线正常通信一定时长，记录该时长内接收到的总消息数量，由此计算正常通信周期T；步骤12：监听CAN总线正常通信一定时长，确定周期性阈值CMT；步骤13：监听CAN总线正常通信一定时长，确定稳定性阈值CCS；实时检测：步骤21：初始化数据：开始监听时刻为t=0，接收到的消息数量为CM=0，消息数据段数值变化趋势的变动次数为CC=0，记录第CM=0个消息数据段数值（即t=0时刻的上一次消息数据段数值）为D0=0，记录该消息数据段数值相比其（该消息数据段数值）上一次消息数据段数值的变化趋势为Cp=0（变大/变小/不变分别对应1/-1/0）；进入步骤22；步骤22接收消息：CM=CM+1，第CM个消息数据段数值为DCM：若DCM>DCM-1，则C=1；若DCM=DCM-1，则C=0；若DCM<DCM-1，则C=-1；进入步骤23；步骤23：若C≠Cp，则Cp=C，CC=CC+1，进入步骤24；否则，直接进入步骤24；步骤24：若CM>CMT，或CC>CCS，则认为CAN总线遭受到注入式攻击；否则，进入步骤25；步骤25：若t>10T，则返回步骤21；否则，返回步骤22。优选的，所述周期性阈值CMT通过以下过程设定：对CAN总线正常通信进行监听，统计连续10个未遭受攻击的正常通信周期内实际接收到的总消息数量；持续监听并重复该统计过程100次，将实际接收到的总消息数量最大值作为周期性阈值CMT。优选的，所述稳定性阈值CCS通过以下过程设定：对CAN总线正常通信进行监听，统计连续10个未遭受攻击的正常通信周期内消息数据段数值变化趋势的总变动次数；持续监听并重复该统计过程100次，将消息数据段数值变化趋势的总变动次数最大值作为稳定性阈值CCS。优选的，将CAN总线通信的周期性特征抽象为10个正常通信周期内实际接收到的总消息数量，将之称为周期性阈值CMT。优选的，将CAN总线通信的周期性特征抽象为10个正常通信周期内消息数据段数值变化趋势的总变动次数，将之称为稳定性阈值CCS。优选的，在车载系统的每个节点设置接收滤波寄存器和接收屏蔽寄存器，使每个ECU只处理特定标识符对应的数据；在每个ECU（电子控制单元，也称车载电脑）中加入检测算法检测该ECU接收的标识符是否被伪造用来攻击，若检测到接收的标识符被伪造用来攻击，则发出报警。有益效果：本专利技术提供的面向车载CAN总线的报文注入式攻击的检测方法，相对于现有技术，具有如下优势：1、精本文档来自技高网...

【技术保护点】
1.一种面向车载CAN总线的报文注入式攻击的检测方法，其特征在于：将CAN总线正常通信的周期性和稳定性特征应用于实时检测CAN总线是否遭受到报文注入式攻击的检测过程中；包括训练阶段和实时检测两个部分，每个部分的具体步骤如下：训练阶段：步骤11：监听CAN总线正常通信一定时长，记录该时长内接收到的总消息数量，由此计算正常通信周期

【技术特征摘要】
1.一种面向车载CAN总线的报文注入式攻击的检测方法，其特征在于：将CAN总线正常通信的周期性和稳定性特征应用于实时检测CAN总线是否遭受到报文注入式攻击的检测过程中；包括训练阶段和实时检测两个部分，每个部分的具体步骤如下：训练阶段：步骤11：监听CAN总线正常通信一定时长，记录该时长内接收到的总消息数量，由此计算正常通信周期T；步骤12：监听CAN总线正常通信一定时长，确定周期性阈值CMT；步骤13：监听CAN总线正常通信一定时长，确定稳定性阈值CCS；实时检测：步骤21初始化数据：开始监听时刻为t=0，接收到的消息数量为CM=0，消息数据段数值变化趋势的变动次数为CC=0，记录第CM=0个消息数据段数值为D0=0，记录该消息数据段数值相比其上一次消息数据段数值的变化趋势为Cp=0；进入步骤22；步骤22接收消息：CM=CM+1，第CM个消息数据段数值为DCM：若DCM>DCM-1，则C=1；若DCM=DCM-1，则C=0；若DCM<DCM-1，则C=-1；进入步骤23；步骤23：若C≠Cp，则Cp=C，CC=CC+1，进入步骤24；否则，直接进入步骤24；步骤24：若CM>CMT，或CC>CCS，则认为CAN总线遭受到注入式攻击；否则，进入步骤25；步骤25：若t>10T，则返回步骤21；否则，返回步骤22。2.根据权利要求1所述的面向车载CAN总线的报文注入式攻击的检测方法，其...

【专利技术属性】
技术研发人员：季一木，焦志鹏，吴夜，薛景，刘尚东，王汝传，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：江苏,32