一种车辆入侵防御处理方法、装置及汽车与流程

本发明涉及汽车技术领域，尤其涉及一种车辆入侵防御处理方法、装置及汽车。

背景技术：

随着车辆的智能化水平越来越高，智能网联汽车迅速发展，车辆的智能化和互联网化的趋势给用户带来便利的同时，车辆联网的机会越来越大，车辆暴露的接口也越来越多，车辆被入侵的风险也越来越大。

由于车辆本身的价值和机动性，入侵后将会带来比个人电脑更大的损失和风险。如何对车辆进行实时的入侵防御监测，是目前面临的急需解决的问题。

技术实现要素：

为了解决上述技术问题，本发明提供了一种车辆入侵防御处理方法、装置及汽车，通过对车辆进行实时的入侵防御监测，解决了目前现有车辆联网的机会越来越大，车辆暴露的接口越来越多，车辆被入侵的风险越来越大的问题。

依据本发明的第一个方面，提供了一种车辆入侵防御处理方法，应用于网关，包括：

根据第一检测规则，确定获得的报文是否为非法报文；

在确定报文为非法报文时，停止所述非法报文的转发，并通过车载智能终端智能车载终端(telematicsbox，简称t-box)发送所述非法报文至监控平台，以使所述监控平台根据所述非法报文，进行入侵防御处理。

可选的，所述方法还包括：

接收所述t-box发送的第二检测规则，所述第二检测规则是所述监控平台根据接收的所述非法报文对所述第一检测规则进行更新后获得并发送给所述t-box的。

可选的，根据第一检测规则，确定获得的报文是否为非法报文包括：

根据所述第一检测规则，检测获得的报文是否存在异常；

在检测到报文存在异常时，判断异常报文是否为非法报文。

可选的，根据所述第一检测规则，检测获得的报文是否存在异常，包括：

根据所述第一检测规则，检测与报文有关的第一信息是否存在异常；

在检测到所述第一信息存在异常时，确定获得的报文存在异常。

可选的，根据第一检测规则，确定获得的报文是否为非法报文包括：

根据所述第一检测规则，通过检测与报文有关的第一信息，确定获得的报文是否为非法报文。

可选的，所述第一信息包括以下至少一项：

总线负载率、报文周期、数据长度dlc、报文请求与响应关系、报文相关性。

依据本发明的第二个方面，提供了一种车辆入侵防御处理方法，应用于监控平台，包括：

接收车载智能终端t-box发送的非法报文，所述非法报文是网关根据第一检测规则对获得的报文进行检测后确定并发送给所述t-box的；

根据所述非法报文，进行入侵防御处理。

可选的，接收车载智能终端t-box发送的非法报文之后，还包括：

根据所述非法报文对所述第一检测规则进行更新，获得第二检测规则；

发送所述第二检测规则至所述t-box，以使所述t-box发送所述第二检测规则至所述网关。

可选的，根据所述非法报文对所述第一检测规则进行更新，获得第二检测规则包括：

根据所述非法报文，通过机器学习或模糊分析对所述第一检测规则进行更新，获得所述第二检测规则。

可选的，根据所述非法报文，进行防御处理包括以下至少一项：

按照异常类别将所述非法报文进行分类统计并显示；

实时显示所述非法报文；

生成并显示预警信息。

依据本发明的第三个方面，提供了一种车辆入侵防御处理装置，应用于网关，包括：

检测模块，用于根据第一检测规则，确定获得的报文是否为非法报文；

异常处理模块，用于在确定报文为非法报文时，停止所述非法报文的转发，并通过车载智能终端t-box发送所述非法报文至监控平台，以使所述监控平台根据所述非法报文，进行入侵防御处理。

依据本发明的第四个方面，提供了一种车辆入侵防御处理装置，应用于监控平台，包括：

第二接收模块，用于接收车载智能终端t-box发送的非法报文，所述非法报文是网关根据第一检测规则对获得的报文进行检测后确定并发送给所述t-box的；

防御处理模块，用于根据所述非法报文，进行入侵防御处理。

依据本发明的第五个方面，提供了一种汽车，所述汽车包括处理器，存储器，存储于所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上所述的车辆入侵防御处理方法的步骤。

本发明的实施例的有益效果是：

上述方案中，由车辆网关根据第一检测规则，确定获得的报文是否为非法报文；在确定报文为非法报文时，停止所述非法报文的转发，并通过车载智能终端t-box发送所述非法报文至监控平台，以使所述监控平台根据所述非法报文，进行入侵防御处理。通过网关实时监测车辆总线的所有报文，实现了及时识别和阻断非法报文的入侵，并通过监控平台进行入侵防御处理，降低了车辆被入侵的风险，保证了车辆的安全。

附图说明

图1表示本发明实施例的车辆入侵防御处理方法的流程图之一；

图2表示本发明实施例的车辆入侵防御处理方法的流程图之二；

图3表示本发明实施例的车辆入侵防御处理方法的流程图之三；

图4表示本发明实施例的车辆入侵防御处理方法的流程图之四；

图5表示本发明实施例的车辆入侵防御处理的系统架构图；

图6表示本发明实施例的车辆入侵防御处理装置的结构框图之一；

图7表示本发明实施例的车辆入侵防御处理装置的结构框图之二。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

如图1所示，本发明的实施例提供了一种车辆入侵防御处理方法，应用于网关，包括：

步骤11，根据第一检测规则，确定获得的报文是否为非法报文；

其中，第一检测规则可通过规则配置工具对规则进行配置，如上位机或软件等。第一检测规则指用于检测报文是否为非法报文的入侵检测规则，保存在网关中，入侵检测规则中定义了用于检测报文的特征、阈值或相关性等检测指标。通过将报文按照引擎规则与相应的入侵检测规则进行匹配，实现根据第一检测规则对车辆的报文进行入侵防御检测。

步骤12，在确定报文为非法报文时，停止所述非法报文的转发，并通过车载智能终端t-box发送所述非法报文至监控平台，以使所述监控平台根据所述非法报文，进行入侵防御处理。

其中，t-box可通过3g/4g/5g/wifi将非法报文上报至远程监控平台。

该实施例中，在网关确定报文为非法报文时，及时终止相关非法报文的转发，并通过t-box上报给监控平台，由监控平台采取防御或预警等处理措施。通过网关、t-box和监控平台三者的配合，保证了识别和阻断非法报文入侵的及时性，通过及时的识别，及时的上报和及时的侵防御处理，能够有效降低了车辆被入侵的风险，保证了车辆的安全。

在本发明一可选实施例中，所述方法还包括：

接收所述t-box发送的第二检测规则，所述第二检测规则是所述监控平台根据接收的所述非法报文对所述第一检测规则进行更新后获得并发送给所述t-box的。

该实施例中，监控平台在接收到网关通过t-box转发上报的非法报文后，根据非法报文的异常类型，及时更新入侵检测规则，即，将目前使用的第一检测规则进行更新，获得第二检测规则，通过实时的依据非法报文，对入侵检测规则进行更新，有利于提高检测规则对报文异常的检测精度。

作为一种实现方式，在本发明一可选实施例中，步骤11，包括：

根据所述第一检测规则，检测获得的报文是否存在异常；

在检测到报文存在异常时，判断异常报文是否为非法报文。

该实施例中，在检测到报文存在异常时，通过进一步确认报文异常是否明确，即明确报文异常的原因，确定报文异常是否为非法报文，以排除非入侵行为(如丢帧或其他异常)导致的报文异常的误报，有效提高了入侵防御检测的精确度和有效性。

应当指出，用于确定异常报文是否为非法报文的检测规则也为第一检测规则的一部分。

如图2所示，网关的入侵检测流程包括：

步骤21，判断是否存在异常报文，若报文无异常则正常转发；若报文存在异常，则进行步骤22；

步骤22，判断报文异常是否明确。即明确异常报文是否为非法报文，以排除是否是由于非入侵行为导致的报文异常。若异常明确则进行步骤24，若异常不明确，则进行步骤23；

步骤23，将异常发送给t-box；

步骤24，停止相应异常报文的转发，将异常的非法报文发生给t-box。

应当指出，网关中的入侵检测规则中存储有异常攻击的基本类型，用于检测判断报文的异常是否为入侵行为导致。

具体的，根据所述第一检测规则，检测获得的报文是否存在异常，包括：

根据所述第一检测规则，检测与报文有关的第一信息是否存在异常；

在检测到所述第一信息存在异常时，确定获得的报文存在异常。

其中，所述第一信息包括以下至少一项：总线负载率、报文周期、数据长度dlc、报文请求与响应关系、报文相关性。

该实施例中，通过与报文有关的第一信息，检测报文是否存在异常。入侵检测规则描述或者定义用于检测第一信息的规则，如规则可定义总线负载率、报文周期数据长度的阈值，报文请求与响应关系、报文相关性(如时间相关性、信号相关性等)特征。例如，在与报文有关的第一信息满足入侵检测规则要求时，判断报文为正常报文，在不符合入侵检测规则要求时确定为异常报文。

需要说明的是，在本发明一可选实施例中，步骤11，还可以包括：

根据所述第一检测规则，通过检测与报文有关的第一信息，确定获得的报文是否为非法报文。

其中，所述第一信息包括以下至少一项：总线负载率、报文周期、数据长度dlc、报文请求与响应关系、报文相关性。

该实施例中，入侵检测规则描述或者定义用于检测第一信息的规则，如规则可定义总线负载率、报文周期数据长度的阈值，报文请求与响应关系、报文相关性(如时间相关性、信号相关性等)特征。例如，在与报文有关的第一信息满足入侵检测规则要求时，判断报文为正常报文，在不符合入侵检测规则要求时确定为非法报文。

如图3所示，本发明的实施例提供了一种车辆入侵防御处理方法，应用于监控平台，包括：

步骤31，接收车载智能终端t-box发送的非法报文，所述非法报文是网关根据第一检测规则对获得的报文进行检测后确定并发送给所述t-box的；

步骤32，根据所述非法报文，进行入侵防御处理。

在本发明一可选实施例中，步骤31之后，还包括：

根据所述非法报文对所述第一检测规则进行更新，获得第二检测规则；

发送所述第二检测规则至所述t-box，以使所述t-box发送所述第二检测规则至所述网关。

该实施例中，监控平台在接收到网关通过t-box转发上报的非法报文后，根据非法报文的异常类型，及时更新入侵检测规则，即，将目前使用的第一检测规则进行更新后获得第二检测规则，通过实时的依据非法报文，对入侵检测规则进行更新，并发送更新后的入侵检测规则给t-box，最终t-box转发给网关，保证网关中的检测规则是最新的，以适对多变的入侵或者攻击方式，有利于提高检测规则对报文异常的检测精度。

如图4所示，其示出的是t-box和云平台的控制流程。主要包括：

步骤41，t-box上电初始化；

步骤42，判断是否收到网关上报的异常的非法报文；

步骤43，将非法报文发送给云平台(监控平台)；

步骤44，云平台根据报文的异常类型进行分类显示。

进一步的，根据所述非法报文对所述第一检测规则进行更新，获得第二检测规则包括：

根据所述非法报文，通过机器学习或模糊分析对所述第一检测规则进行更新，获得所述第二检测规则。

该实施例中，对于不便描述的规则，可通过大数据进行学习，构建分析模型，获得入侵检测规则。还可以通过模糊分析，获得入侵检测规则。该实施例基于大量数据，通过机器学习或模糊分析，更新第一检测规则，有利于提高检测规则对报文异常的检测精度。应当指出，对于可描述的规则类型，入侵检测规则还可以通过规则配置工具进行配置，通过软件代码描述或者定义规则。

在本发明一可选实施例中，步骤32包括以下至少一项：

按照异常类别将所述非法报文进行分类统计并显示；

实时显示所述非法报文；

生成并显示预警信息。

该实施例中，根据第一检测规则检测的非法报文有不同的异常类型，通过按照异常类别对非法报文进行分类统计并显示，有利于对车辆入侵情况进行整体了解；通过实时显示非法报文和预警信息，有利于车厂及时发现攻击事件并及时进行防御响应。

如图5所示，其示出的是一种实现上述方法的系统架构，包括网关gw、车载智能终端t-box、云平台(监控平台)、车内控制器(ecu1，ecu2，……，ecu6，……)。监控平台通过3g/4g/5g/wifi与t-box进行通信连接，t-boxcan(controllerareanetwork，通过控制器局域网络)/canfd/ehternet与网关进行通信连接，车内控制器通过can总线与网关进行通信连接。

上述实施例中，网关位于整车报文路由的关键节点，可监控整车车内总线所有网段的报文，t-box可实现实时异常的上报；云平台可进行异常规则的生成及下发和异常的显示及预警。基于如图5所示的系统架构，进行车辆入侵防御处理，可提升车辆本身的信息安全防护水平，有助于提升车厂的信息安全应急处理水平。

如图6所示，本发明提供一种车辆入侵防御处理装置，应用于网关，包括：

检测模块601，用于根据第一检测规则，确定获得的报文是否为非法报文；

异常处理模块602，用于在确定报文为非法报文时，停止所述非法报文的转发，并通过车载智能终端t-box发送所述非法报文至监控平台，以使所述监控平台根据所述非法报文，进行入侵防御处理。

可选的，所述装置还包括：

第一接收模块，用于接收所述t-box发送的第二检测规则，所述第二检测规则是所述监控平台根据接收的所述非法报文对所述第一检测规则进行更新后获得并发送给所述t-box的。

可选的，检测模块601包括：

第一检测子模块，用于根据所述第一检测规则，检测获得的报文是否存在异常；

第二检测子模块，用于在检测到报文存在异常时，判断异常报文是否为非法报文。

可选的，第一检测子模块包括：

第一检测单元，用于根据所述第一检测规则，检测与报文有关的第一信息是否存在异常；

第二检测单元，用于在检测到所述第一信息存在异常时，确定获得的报文存在异常。

可选的，检测模块601还包括：

第三检测子模块，用于根据所述第一检测规则，通过检测与报文有关的第一信息，确定获得的报文是否为非法报文。

可选的，所述第一信息包括以下至少一项：

总线负载率、报文周期、数据长度dlc、报文请求与响应关系、报文相关性。

需要说明的是，该装置是与上述应用于网关的车辆入侵防御处理方法实施例对应的装置，上述方法实施例中的所有实现方式均适用于该装置的实施例中，也能达到与方法实施例相同的技术效果。

如图7所示，本发明提供一种车辆入侵防御处理装置，应用于监控平台，包括：

第二接收模块701，用于接收车载智能终端t-box发送的非法报文，所述非法报文是网关根据第一检测规则对获得的报文进行检测后确定并发送给所述t-box的；

防御处理模块702，用于根据所述非法报文，进行入侵防御处理。

可选的，所述装置还包括：

规则更新模块，用于根据所述非法报文对所述第一检测规则进行更新，获得第二检测规则；

发送模块，用于发送所述第二检测规则至所述t-box，以使所述t-box发送所述第二检测规则至所述网关。

可选的，规则更新模块包括：

规则更新子模块，用于根据所述非法报文，通过机器学习或模糊分析对所述第一检测规则进行更新，获得所述第二检测规则。

可选的，防御处理模块702可具体用于：

按照异常类别将所述非法报文进行分类统计并显示；

实时显示所述非法报文；

生成并显示预警信息。

需要说明的是，该装置是与上述应用于监控平台的车辆入侵防御处理方法实施例对应的装置，上述方法实施例中的所有实现方式均适用于该装置的实施例中，也能达到与方法实施例相同的技术效果。

此外，本发明还提供一种汽车，所述汽车包括处理器，存储器，存储于所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上所述的车辆入侵防御处理方法的步骤。

上述方案，将入侵检测规则集成至网关中，由网关监测整车的报文是否有异常及非法入侵。具体的，网关将获得的报文按引擎规则与入侵检测规则进行匹配，通过入侵检测规则进行车辆报文的入侵检测。即，将用于入侵检测的检测模块集成至网关中，进一步通过检测模块中的识别处理模块将报文按引擎规则进行转入入侵检测规则，以进行车辆报文的入侵检测。其中，当网关监测到车内网络发生异常时，由网关进一步确定异常报文是否为入侵导致的非法报文，在明确异常报文为攻击性非法报文时，将该非法的异常发送至t-box，由t-box通过3g/4g/5g/wifi将该异常上报至远程监控平台。异常监测旨在发现整车车内总线的非法入侵报文，具体可在总线负载率、报文周期、dlc长度、报文请求与响应关系、报文相关性等方面进行检测，检测方法包括但不限于机器学习、模糊分析等。非法的异常报告文发送至监控平台后，可由后台人员对异常数据进行统计处理也可系统自动分析处理，并对异常规则进行更新。更新后的检测规则可通过t-box下发至网关，实现检测规则的实时更新，提高异常检测精度。

因此，本方案在不改变车辆的网络拓扑的情况下，实现对非法报文的实时监测和明显异常报文的拦截、车辆入侵检测的规则的实时更新、车辆异常的实时显示。将异常报文上报至监控平台，方便车厂及时发现攻击事件并进行应急响应。能够显著提升车辆本身的信息安全防护水平，有效提升车厂的信息安全应急处理水平。

以上所述的是本发明的优选实施方式，应当指出对于本技术领域的普通人员来说，在不脱离本发明所述的原理前提下还可以作出若干改进和润饰，这些改进和润饰也在本发明的保护范围内。