一种CAN总线入侵检测方法及系统技术方案

本发明专利技术公开了一种CAN总线入侵检测方法及系统，方法包括：将入侵检测规则二进制文件分块压缩后存储至flash中，并建立报文ID与数据块的对应关系表，从而不需要使用大容量flash即可实现对全部入侵检测规则二进制文件的存储；根据待检查数据报文ID，查找对应关系表，得到存储待检查数据报文的入侵检测规则数据所在数据块，将该数据块解压至RAM中，从而实现不需要使用大容量RAM即可实现对入侵检测规则二进制文件的解压，降低具有CAN总线入侵检测功能的MCU的成本；入侵检测程序根据RAM中解压的入侵检测规则数据，对待检查数据报文进行检测，从而实现对报文的检测。从而实现对报文的检测。从而实现对报文的检测。

【技术实现步骤摘要】
一种CAN总线入侵检测方法及系统


[0001]本专利技术涉及网络安全
，具体涉及一种CAN总线入侵检测方法及系统。

技术介绍

[0002]车载内网CAN总线入侵检测是根据已配置好的入侵检测规则，通过收集和分析车载内网CAN总线的数据报文，检查当前数据报文中是否存在违反入侵检测规则的入侵行为和被攻击的迹象。车载内网CAN总线入侵检测规则主要包括：(1)消息ID异常检测，其需要配置正常ID的范围。(2)报文健康检测，其包括DLC有效性检测、信号值有效范围检测，DLC有效性检测需要配置每个ID的字节长度，信号值有效范围检测需要配置每个信号有效范围的最大值和最小值。(3)报文周期检测，其需要配置每个ID的正常周期。(4)报文信号关系检测，其包括信号变化率检测、同一报文中信号关系检测、不同报文中信号关系检测，信号变化率检测需要配置每个信号变化率的最大值和最小值，同一报文中信号关系检测需要配置同一报文中的哪些信号需要进行关系检测，不同报文中信号检测需要配置不同报文的哪些信号需要进行关系检测。(5)报文序列检测包括特定报文序列检测，特定报文序列检测需要配置特定报文的序列。(6)报文负载率检测包括接收报文占总线负载率占比检测，报文占总线负载率占比检测需要配置接收报文占总线负载率占比的阈值。(7)网络管理报文检测包括检测网络管理报文，检测网络管理报文需要配置网络管理报文，上述规则仅用于举例，但并不以此为限制。
[0003]配置好的入侵检测规则通常是以二进制文件的形式存放于具有CAN总线入侵检测功能的MCU的flash中。由于整车CAN总线通讯矩阵中的报文数量众多，其携带的信号量数目也是巨大的，可达到成千上万个信号量，因此，配置好的入侵检测规则的二进制文件的大小也是巨大的，并且，会随着整车CAN总线通讯矩阵中的报文及其携带信号数量的增多而增大，可以达到100～200K字节，会占用具有CAN总线入侵检测功能MCU的100～200K字节的flash空间，这样会占用较大flash、需要更大容量的flash，增加了MCU成本。而为了降低MCU成本，现有技术会将整体压缩入侵检测规则二进制文件后存储于flash中，使用时将整体压缩入侵检测规则二进制文件解压至RAM中，但是这样会占用较大RAM，需要更大容量的RAM，同样增加了MCU成本。

技术实现思路

[0004]因此，本专利技术要解决的技术问题在于克服现有技术中对入侵检测规则二进制文件的存储造成MCU成本较大的缺陷，从而提供一种CAN总线入侵检测方法及系统。
[0005]为达到上述目的，本专利技术提供如下技术方案：
[0006]第一方面，本专利技术实施例提供一种CAN总线入侵检测方法，包括如下步骤：将入侵检测规则二进制文件分块压缩后存储至flash中，并建立报文ID与数据块的对应关系表，入侵检测规则二进制文件包括所有报文ID的入侵检测规则数据；根据待检查数据报文ID，查找对应关系表，得到存储待检查数据报文的入侵检测规则数据所在数据块，将该数据块解
压至RAM中；入侵检测程序根据RAM中解压的入侵检测规则数据，对待检查数据报文进行检测。
[0007]在一实施例中，将入侵检测规则二进制文件分块压缩后存储至flash中的步骤，包括：根据报文ID的周期大小，对每个报文对应的入侵检测规则数据进行排序；对排序后的入侵检测规则二进制文件进行分块，得到多个数据块，每个数据块包含至少一个报文ID对应的入侵检测规则数据；将每个数据块分别压缩后存储至flash中。
[0008]在一实施例中，每个数据块中只包括高频报文的入侵检测规则数据，或数据块中只包括低频报文的入侵检测规则数据。
[0009]在一实施例中，建立对应关系表的过程，包括：建立报文ID、入侵检测规则数据所在数据块的块号、数据块中的对应入侵检测数据的条目号的对应关系表。
[0010]在一实施例中，在查找待检查数据报文的入侵检测规则数据所在数据块之前，还包括：在RAM中开辟两个缓冲区：静态缓冲区及动态缓冲区。
[0011]在一实施例中，将该数据块解压至RAM的过程，包括：根据报文ID的周期的大小，判断待检查数据报文是否为低频报文；当待检查数据报文为低频报文，无论是初次还是再次对该待检查数据报文进行检测，均将该待检查数据报文对应的数据块解压至动态缓冲区。
[0012]在一实施例中，将该数据块解压至RAM的过程，包括：根据报文ID的周期的大小，判断待检查数据报文是否为高频报文；当待检查数据报文为高频报文、且初次对该待检查数据报文进行检测时，将该待检查数据报文对应的数据块解压至静态缓冲区中，解压后的入侵检测规则数据储存在静态缓冲区中；当待检查数据报文为高频报文、且再次对该待检查数据报文进行检测时，无需再将该待检查数据报文对应得到数据块进行解压，入侵检测程序直接根据静态缓冲区储存的入侵检测规则数据对该待检查数据报文进行检测。
[0013]第二方面，本专利技术实施例提供一种CAN总线入侵检测系统，包括：分块压缩模块，用于将入侵检测规则二进制文件分块压缩后存储至flash中，并建立报文ID与数据块的对应关系表，入侵检测规则二进制文件包括所有报文ID的入侵检测规则数据；解压模块，用于根据待检查数据报文ID，查找对应关系表，得到存储待检查数据报文的入侵检测规则数据所在数据块，将该数据块解压至RAM中；检测模块，用于入侵检测程序根据RAM中解压的入侵检测规则数据，对待检查数据报文进行检测。
[0014]第三方面，本专利技术实施例提供一种计算机设备，包括：至少一个处理器，以及与至少一个处理器通信连接的存储器，其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器执行本专利技术实施例第一方面的CAN总线入侵检测方法。
[0015]第四方面，本专利技术实施例提供一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，计算机指令用于使计算机执行本专利技术实施例第一方面的CAN总线入侵检测方法。
[0016]本专利技术技术方案，具有如下优点：
[0017]1.本专利技术提供的CAN总线入侵检测方法及系统，将入侵检测规则二进制文件分块压缩后存储至flash中，并建立报文ID与数据块的对应关系表，从而不需要使用大容量flash即可实现对全部入侵检测规则二进制文件的存储；根据待检查数据报文ID，查找对应关系表，得到存储待检查数据报文的入侵检测规则数据所在数据块，将该数据块解压至RAM
中，从而实现不需要使用大容量RAM即可实现对入侵检测规则二进制文件的解压，降低具有CAN总线入侵检测功能的MCU的成本；入侵检测程序根据RAM中解压的入侵检测规则数据，对待检查数据报文进行检测，从而实现对报文的检测。
[0018]2.本专利技术提供的CAN总线入侵检测方法及系统，在RAM中开辟两个缓冲区：静态缓冲区及动态缓冲区，对高频报文进行初次检测时，将高频使用的入侵检测规则数据所在数据块解压至静态缓冲区，静态缓冲区存储高频使用的入侵检测规则数据，再次对高频报文进行再次检测时，仅需要调用静态缓冲本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种CAN总线入侵检测方法，其特征在于，包括如下步骤：将入侵检测规则二进制文件分块压缩后存储至flash中，并建立报文ID与数据块的对应关系表，所述入侵检测规则二进制文件包括所有报文ID的入侵检测规则数据；根据待检查数据报文ID，查找所述对应关系表，得到存储待检查数据报文的入侵检测规则数据所在数据块，将该数据块解压至RAM中；入侵检测程序根据RAM中解压的入侵检测规则数据，对所述待检查数据报文进行检测。2.根据权利要求1所述的CAN总线入侵检测方法，其特征在于，所述将入侵检测规则二进制文件分块压缩后存储至flash中的步骤，包括：根据报文ID的周期大小，对每个报文对应的入侵检测规则数据进行排序；对排序后的入侵检测规则二进制文件进行分块，得到多个数据块，每个所述数据块包含至少一个报文ID对应的入侵检测规则数据；将每个数据块分别压缩后存储至flash中。3.根据权利要求2所述的CAN总线入侵检测方法，其特征在于，每个所述数据块中只包括高频报文的入侵检测规则数据，或所述数据块中只包括低频报文的入侵检测规则数据。4.根据权利要求1所述的CAN总线入侵检测方法，其特征在于，建立所述对应关系表的过程，包括：建立报文ID、入侵检测规则数据所在数据块的块号、数据块中的对应入侵检测数据的条目号的对应关系表。5.根据权利要求1所述的CAN总线入侵检测方法，其特征在于，在查找所述待检查数据报文的入侵检测规则数据所在数据块之前，还包括：在RAM中开辟两个缓冲区：静态缓冲区及动态缓冲区。6.根据权利要求5所述的CAN总线入侵检测方法，其特征在于，所述将该数据块解压至RAM的过程，包括：根据报文ID的周期的大小，判断所述待检查数据报文是否为低频报文；当所述待检查数据报文为低频报文，无论是初次还是再次对该待检查数据报文进行检测，均将该待...

【专利技术属性】
技术研发人员：邱亮，辛克铎，罗承刚，靳龙辉，段树明，齐辉，管航，
申请(专利权)人：国汽北京智能网联汽车研究院有限公司，
类型：发明
国别省市：