本發明屬于入侵檢測,涉及一種入侵檢測方法、系統、設備及存儲介質,尤其是一種車輛內部網絡入侵檢測方法、系統、設備及存儲介質。
背景技術:
1、針對智能網聯車的主動防控需求,車內區域控制總線網絡can(controller?areanetwork)需要更加高效、準確的入侵檢測算法,以應對不同類型的報文注入攻擊。
2、現有的入侵檢測算法種類繁多,主要有基于簽名或者基于規則的誤用檢測算法,以及基于深度學習或者統計學模型的異常檢測算法。但是,前者過于依賴經驗,一般檢測規則數量較為有限,對于同一種攻擊的變體可能缺乏應對措施,漏報的幾率較高;而后者對于較為復雜的網絡系統,不僅使用的算力更高,誤報的概率也更高。
3、因此,針對上述現有技術中存在的缺陷,需要研發一種新型的車輛內部網絡入侵檢測方法。
技術實現思路
1、為了克服現有技術的缺陷,本發明提出一種車輛內部網絡入侵檢測方法、系統、設備及存儲介質,其能夠實現入侵的快速檢測且能夠防止蜜罐系統偽造的注入數據被誤判。
2、為了實現上述目的,本發明提供如下技術方案:
3、一種車輛內部網絡入侵檢測方法,其特征在于,包括以下步驟:
4、1)對正常狀態下的車內區域控制總線網絡can的數據流進行數據挖掘并生成檢測規則,以形成規則庫;
5、2)利用蜜罐系統生成偽造節點和包含偽造節點的數據并將包含偽造節點的數據注入車內區域控制總線網絡can的實時數據流中;
6、3)通過所述規則庫對車內區域控制總線網絡can的實時數據流進行檢測;
7、4)對于所述實時數據流中未通過所述規則庫檢測且節點id與偽造節點id相同的數據,由所述蜜罐系統進行驗證;
8、5)對于未通過所述蜜罐系統驗證的數據,交由警報響應模塊進行響應,以實現入侵檢測。
9、優選地,所述步驟1)中,根據數據流中數據的id號對數據流中的數據進行劃分,將含有相同id號的數據歸結為一個子追蹤數據流,隨后在子追蹤數據流里進行數據挖掘并生成檢測規則。
10、優選地,所述步驟1)中,在子追蹤數據流里進行數據挖掘并生成檢測規則具體包括:
11、11)通過對子追蹤數據流里前后相鄰的兩幀數據的有效負載分別取漢明距離,生成一個用于描述該id號所對應車載電子原件ecu的工作狀態轉變的動作值mt:
12、
13、式中,dt,i表示前后相鄰的兩幀數據中后一幀數據的有效負載的第i位數據,dt-1,i表示前后相鄰的兩幀數據中前一幀數據的有效負載的第i位數據,表示計算漢明距離;
14、12)取前后相鄰的k個動作值構成一個行為向量bt:
15、
16、13)所述行為向量bt描述了該id號所對應車載電子原件ecu的一個正常行為,所述行為向量作為檢測規則直接記錄進規則庫。
17、優選地,k的取值為3。
18、優選地,所述步驟3)具體為:計算車內區域控制總線網絡can的實時數據流的實時行為向量并通過鍵值在所述規則庫進行查找,如果所述規則庫內有與所述實時行為向量相同的檢測規則,則通過所述規則庫的檢測,否則未通過所述規則庫的檢測。
19、優選地,所述步驟4)中的由所述蜜罐系統進行驗證具體為:所述蜜罐系統在生成包含偽造節點的數據時會記錄其發送數量和時間戳,比對所述蜜罐系統生成的包含偽造節點的數據的發送數量和時間戳與未通過所述規則庫檢測且節點id與偽造節點id相同的數據的發送數量和時間戳,如果發送數量和時間戳相同,則通過所述蜜罐系統的驗證,否則未通過所述蜜罐系統的驗證。
20、此外,本發明還提供一種車輛內部網絡入侵檢測系統,其特征在于,包括:
21、規則庫構建模塊,其用于對正常狀態下的車內區域控制總線網絡can的數據流進行數據挖掘并生成檢測規則,以形成規則庫;
22、包含偽造節點的數據生成模塊,其用于利用蜜罐系統生成偽造節點和包含偽造節點的數據并將包含偽造節點的數據注入車內區域控制總線網絡can的實時數據流中;
23、規則檢測模塊,其用于通過所述規則庫對車內區域控制總線網絡can的實時數據流進行檢測;
24、驗證模塊,其用于利用蜜罐系統對所述實時數據流中未通過所述規則庫檢測且節點id與偽造節點id相同的數據進行驗證;
25、警報響應模塊,其用于對未通過所述蜜罐系統驗證的數據進行響應,以實現入侵檢測。
26、而且,本發明還提供一種車輛內部網絡入侵檢測設備,其特征在于,包括:
27、一個或多個處理器;
28、存儲器,用于存儲一個或多個程序;
29、當所述一個或多個程序被所述一個或多個處理器執行時,使得所述一個或多個處理器實現如上所述的車輛內部網絡入侵檢測方法。
30、最后,本發明還提供一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,該程序被處理器執行時實現如上所述的車輛內部網絡入侵檢測方法的步驟。
31、與現有技術相比,本發明的車輛內部網絡入侵檢測方法、系統、設備及存儲介質具有如下有益技術效果中的一者或多者:
32、1、本發明的入侵檢測規則庫的搭建效率大幅提升,不同型號的車輛可憑借本發明,根據自身的正常運行數據進行數據挖掘,從而自動生成針對車內區域控制總線網絡can的入侵檢測規則,快速構建入侵檢測規則庫。
33、2、本發明構建的規則庫通過鍵值查找可實現毫秒級的響應速度,從而有助于入侵的快速檢測。
34、3、本發明還使用了蜜罐系統輔助規則庫,可在真正影響車載內部網絡的威脅發生前產生預警,起到主動防控車內網入侵檢測的作用。
1.一種車輛內部網絡入侵檢測方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的車輛內部網絡入侵檢測方法,其特征在于,所述步驟1)中,根據數據流中數據的id號對數據流中的數據進行劃分,將含有相同id號的數據歸結為一個子追蹤數據流,隨后在子追蹤數據流里進行數據挖掘并生成檢測規則。
3.根據權利要求2所述的車輛內部網絡入侵檢測方法,其特征在于,所述步驟1)中,在子追蹤數據流里進行數據挖掘并生成檢測規則具體包括:
4.根據權利要求3所述的車輛內部網絡入侵檢測方法,其特征在于,k的取值為3。
5.根據權利要求4所述的車輛內部網絡入侵檢測方法,其特征在于,所述步驟3)具體為:計算車內區域控制總線網絡can的實時數據流的實時行為向量并通過鍵值在所述規則庫進行查找,如果所述規則庫內有與所述實時行為向量相同的檢測規則,則通過所述規則庫的檢測,否則未通過所述規則庫的檢測。
6.根據權利要求1-5中任一項所述的車輛內部網絡入侵檢測方法,其特征在于,所述步驟4)中的由所述蜜罐系統進行驗證具體為:所述蜜罐系統在生成包含偽造節點的數據時會記錄其發送數量和時間戳,比對所述蜜罐系統生成的包含偽造節點的數據的發送數量和時間戳與未通過所述規則庫檢測且節點id與偽造節點id相同的數據的發送數量和時間戳,如果發送數量和時間戳相同,則通過所述蜜罐系統的驗證,否則未通過所述蜜罐系統的驗證。
7.一種車輛內部網絡入侵檢測系統,其特征在于,包括:
8.一種車輛內部網絡入侵檢測設備,其特征在于,包括:
9.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,該程序被處理器執行時實現如權利要求1-6中任一項所述的車輛內部網絡入侵檢測方法的步驟。