车载网络入侵检测系统及其控制方法

车载网络入侵检测系统及其控制方法
【专利摘要】本发明提供一种使用车辆的入侵检测系统(IDS)检测车载网络的入侵的方法，所述方法包括：在预设的周期内接收所述车载网络的消息；计算所接收的消息中的每个消息的当前计数值；当所述周期开始时，接收所述车辆的运行状态信息；确定对应于所述运行状态信息的每个消息的正常计数值；使用所述当前计数值和所述正常计数值，计算每个消息的线性近似相对距离函数；以及通过将所计算的每个消息的线性近似相对距离函数与预设阈值进行比较，确定入侵状态是否发生。
【专利说明】
车载网络入侵检测系统及其控制方法
技术领域
[0001] 本发明设及一种用于防止车载网络的入侵（intrusion)的入侵检测系统（IDS: intrusion detection system)W及用于控制其的方法。
【背景技术】
[0002] 近来，安装在车辆中的电子控制单元化CU:elect;ronic con化〇1 unit)的功能已 显著增加。同时，能通过无线网络从车辆访问网络。然而，如上所述，如果车辆连接至无线通 信网络和外围网络环境，通过网络就能够远程地实现车辆ECU的入侵。由于外部入侵导致的 车辆的故障对于车辆的驾驶者或者乘客而言都可能是致命的。
[0003] 问题是，现已产出的车辆对上述问题不具有或者具有较少的解决方法。尽管已经 提出各式各样的IDS技术，但是由于复杂的算法和大的计算量，运些技术不能在车载系统中 简单的实施。因此，运些技术通常不能在车辆中使用。
[0004] 如上所述，需要更准确和有效的通过车载网络的入侵的检测。具体地，在车辆中使 用的适用于控制器局域网络(CAN)的IDS是必要的。

【发明内容】

[0005] 因此，本发明旨在提供一种车载网络入侵检测系统（IDS) W及一种用于控制所述 系统的方法，其能基本避免一个或者多个由于现有技术的限制或者缺陷引起的问题。本发 明的一个目标是提供用于检测和防止妨碍安全驾驶的车载网络的入侵的入侵检测系统 (IDS)，W及用于控制所述系统的方法。
[0006] 本发明的附加优势、目标和特征将在下文描述中部分地提出，并且基于后文的审 阅部分地对于在本领域内的普通技术人员来说将会是显而易见的，或是其可W从本发明的 实施中习得。本发明的目标和其他优势能够通过书面描述和其权利要求W及附图中特别指 出的结构实现和获得。
[0007] 根据本发明的实施例，一种通过使用车辆的入侵检测系统（IDS)检测车载网络的 入侵的方法包括:在预设的周期内接收所述车载网络的消息;计算所接收的消息中的每个 消息的当前计数值;当所述周期开始时，接收所述车辆的运行状态信息;确定对应于所述运 行状态信息的每个消息的正常计数值;使用所述当前计数值和所述正常计数值，计算每个 消息的线性近似相对距离函数；W及通过将所计算的每个消息的线性近似相对距离函数与 预设阔值进行比较，确定入侵状态是否发生。
[000引此外，根据本发明的实施例，一种车辆的入侵检测系统（IDS)包括:第一模块，其在 预设的周期内接收车载网络的消息，并且计算所接收的消息中的每个消息的当前计数值； 第二模块，其在当所述周期开始时，接收所述车辆的运行状态信息，并且确定对应于所述运 行状态信息的每个消息的正常计数值；W及第Ξ模块，其通过使用所述当前计数值和所述 正常计数值来计算每个消息的线性近似相对距离函数，并且通过将所计算的每个消息的线 性近似相对距离函数与预设阔值进行比较，从而确定是否发生入侵状态。
[0009] 此外，根据本发明的实施例，一种非暂时性计算机可读介质，其包括使用车辆的入 侵检测系统（IDS)来检测的车载的入侵的程序指令，所述非暂时性计算机可读介质包括:在 预设周期内接收车载网络的消息的程序指令;计算所述已接收消息的的每个消息的当前计 数值的程序指令;当所述周期开始时，其接收车辆的运行状态信息的程序指令;确定对应于 所述运行状态信息的每个消息的正常计数值的程序指令;使用所述当前计数值和所述正常 计数值计算每个消息的线性近似相对距离函数的程序指令；W及通过将所述已计算的每个 消息的线性近似相对距离函数与预设阔值相比较从而确定入侵状态是否发生的程序指令。
[0010] 应当理解的是，本发明的前文的一般描述W及下文的详细描述是示例性和解释性 的，并且其旨在提供本发明的如权利要求所主张的进一步的解释。
【附图说明】
[0011] 本发明包括附图来提供本发明的进一步地理解，并且所述附图被纳入W及构成本 发明的部分，所述附图阐述了本发明的实施例，并且其与说明书一起用于解释本发明的原 理。在附图当中：
[0012] 图1示出了根据本发明的实施例的车辆中的入侵检测系统（IDS)的示例性安装位 置；
[001引图視示出根据本发明的实施例的IDS的示例性结构的方框图；
[0014] 图3是根据本发明的实施例的通过IDS执行的入侵检测算法的流程图。
【具体实施方式】
[0015] 本发明将参考附图中示出的示例进行详细的描述，在附图中同样的附图标记指代 同样的元件，并且其重复的描述将被省略。本文中元件的后缀"模块"、"一者/器及"单 元"用于说明的方便，并且因此能够可交换地适用，并且不具有任意区别的意思或者功能。
[0016] 在本发明的下文描述中，本文包括的已知功能和配置的详细描述在当其可能使本 发明的主题不清楚时将被省略。应当理解的是，本文不旨在限制本发明的实施例至所公开 的特定形式，而是，本发明的实施例旨在覆盖落入本发明的技术构思和范围内的各种修改、 等效和变换。
[0017] 本文所使用的术语仅是为了说明特定实施例的目的，而非意在限制本发明。如本 文所使用的，除非上下文另外清楚指明，单数形式"一个"、"一种"和"该"意在也包括复数形 式。还将理解的是，当在本说明书中使用时，术语"包括"和/或"包含"指明所述特征、整数、 步骤、操作、部件和/或部件的存在，但不排除一个或多个其他特征、整数、步骤、操作、部件、 部件和/或其组合的存在或添加。如本文所使用的，术语"和/或"包括一个或多个相关列出 项目的任何或全部组合。
[0018] 应当理解的是，本文所使用的术语"车辆"或"车辆的"或者其他相似术语包括一般 的机动车辆，例如包括运动型多用途车（SUV )、公交车、卡车、各式商用车辆在内的载客车 辆，包括各种艇和船在内的水运工具，W及航空器等等，并且包括混合动力车辆、电动车辆、 插电式混合动力电动车辆、氨动力车辆W及其他代用燃料车辆(例如，从石油W外的资源取 得的燃料）。如本文所述，混合动力车指的是具有两种或者多种动力源的车辆，例如，同时具 有汽油动力和电动力的车辆。
[0019] 此外，应当理解的是，下述方法中的一个或者多个，或者其各方面可通过至少一个 控制单元进行执行。术语"控制单元"可指代包括存储器和处理器的硬件设备。所述存储器 配置成存储程序指令，并且所述处理器具体编程W执行程序指令从而执行一个或者多个下 文进一步描述的过程。此外，本领域技术人员应当理解的是，下述方法可通过包括结合一个 或者多个其他组件的控制单元的装置执行。
[0020] 此外，本发明的控制逻辑可实施为包含能由处理器，控制器/控制单元等执行的可 执行程序指令的计算机可读介质上的非暂时性计算机可读介质。计算机可读介质的示例可 W包括但不仅限于，ROM，RAM，光盘(CD) -ROM，磁带，软盘，闪存盘，智能卡和光学数据存储设 备。计算机可读记录介质也可W分布在连接网络的计算机系统当中，使得计算机可读介质 例如，利用远程信息处理服务器或者控制器局域网络(CAN),分布式地存储和执行。
[0021] 根据本文描述的技术，现参考所公开的实施例，在入侵检测系统（IDS)中，可使用 作为车载CAN网络的侵入检测目标的两种不同类型的输入值(例如，车辆的运行状态信息和 控制器局域网络(CAN)消息）的预定的入侵检测算法，通过处理每个消息ID的实际标识符 (ID: identifier)计数和每个运行状态的参考ID计数进行检测入侵，并且确定每个消息ID 的实际的I的十数是否正常，如果检测到入侵，所述IDS可发送警告消息作为输出。
[0022] 所述入侵检测算法可W是作为基于赌的函数的近似相对距离函数(approximated relative distance化nction)。在本文中，所述入侵检测算法可通过线性地近似实际相对 距离函数的对数部分获得。可通过将计算出的近似函数的值与预设阔值进行比较确定所述 消息是否异常。
[0023] 在具体描述所述算法之前，根据本发明，下文将先给出IDS的安装位置和结构的描 述。
[0024] 图1示出根据本发明的实施例的车辆中的IDS120的示例性安装位置。
[0025] 如图1的安装(a)所示，IDS120可安装在控制器局域网络(CAN)的网关110中，或是 如图1的安装(b)所示，可作为独立实体连接至总线并且与网关110进行通信。
[00%]无论其安装位置如何，根据本发明的IDS120都可从网关now及ECU接收车辆的运 行状态信息，并且监测在CAN网络中的所有消息。
[0027]图2是示出根据本发明实施例的IDS120的示例性结构的方框图。
[00%]如图2所示，根据本发明的IDS120可包括:第一模块121，第二模块122, W及第Ξ模 块123。IDS120的第一模块121、第二模块122, W及第Ξ模块123中的每一者的功能都可通过 IDS120的控制单元进行控制。即，IDS120的控制单元，如上文所定义，可负责实施IDS120的 第一模块121、第二模块122 W及第Ξ模块123。第一模块121、第二模块122 W及第Ξ模块123 中每一者执行的算法将在下文进行详细描述。
[0029] 所述第一模块121可接收车辆的CAN网络的所有消息。第一模块121从对于预定时 间段内接收的CAN消息中提取标识符(ID)值，并且基于提取的I的十算每个ID的实际I的十数。
[0030] 所述第二模块122可从网关110和/或ECU接收车辆的运行状态信息。第二模块122 初步地存储多个对应于正常车辆运行的参考I的十数集山〇1111* sets)，并且如果输入运行状 态信息，通过调用参考I的十数集，可确定对应于所述车辆的运行状态信息的参考I的十数集。
[0031] 根据当前实施例，所述第Ξ模块123基于入侵检测算法，使用第一和第二模块121 和122计算并确定的值来执行计算。如果作为计算的结果检测到入侵，第Ξ模块123将输出 警告消息。
[0032] 现将参考图3给出根据本发明的入侵检测算法的详细描述。
[0033] 图3是根据本发明的实施例的通过IDS120执行的入侵检测算法的流程图。
[0034] IDS120可在预设检查周期内执行图3所示的算法。
[0035] 随检查周期开始，从网关110和ECU输入车辆的运行状态信息（S310A)，并且调用对 应于所述运行状态信息的q(x)集(S320A)。在本文中，X指的是消息的ID，并q(x)指的是在正 常运行中，在预定周期内的ID X计数。
[0036] 如果数据包（packet)输入至总线，数据包的IDU)值可被提取来计数每个ID (S310B)，并且当周期结束时，计算p(x)(S320B)。在本文中，p(x)可如公式1给出的进行定 义。
[0037] [公式U
[0038] p(x)=-个周期的X计数/ 一个周期的数据包计数
[0039] 与公式1不同，分母可W被省略并且p(x)可W简化成在一个周期内的C计数。
[0040] 随后，可计算使用P(X)和q(x)作为输入值的SRDp|q(x)(S33〇KSRDp|q(x)可W是通 过近似相对距离RDp|q(x)获得的函数，其中所述相对距离RDp|q(X)是基于赌的函数。
[0041] 相对距离RDp|q(x)可如公式2所给出的进行计算。
[00创[公式2]
[0043]
[0044] 在本文中，S畑p|q(X)是通过线性近似畑p|q(X)的对数部分获得的函数，并且其能够 实现有效计算。
[0045] 此外，根据本发明的实施例，SRDp|q(x)可如公式3所给出的进行计算。
[0046] [公式 3]
[0047] S 畑 p|q(x) =p(x)fi(a(x))
[004引本文中，可满足
，如上所述，X指的是消息的ID，q(x)指的是在正常运行 中预定周期内的X计数，并且P(x)指的是基于所接收的消息计算的ID X计数。
[0049] 可如公式4所给出的，计算线性函数fi(x)。
[0050] [公式 4]
[0化1 ]
[0052] fi(x)接收满足x〉0的X作为输入，并且通过的形式近似线性系数，可W按比 特单位对fi(x)进行简单的计算。
[0053] 在使用上述方法中一者计算SRDp|q(x)之后，可将SRDplq(x)与预设阔值thsRD进行比 较(S340)"thsRD可根据车辆的条件或者入侵检测的结果灵活地变化。
[0054] IDS120基于在一个检查周期内的比较结果，最终确定是否产生异常消息，如果 S畑p|q(X)大于thsRD，确定入侵状态，并且产生警告（S350)，并且如果S畑p|q(X)不大于thsRD， 确定正常状态并且终止周期(S360)。
[0化5] 在图3中，S310A和S320A可由图2中的第二模块122执行，S310B和S320B可由第一模 块121执行，并且其他步骤可由第Ξ模块123执行。
[0056] 现给出在正常运行中指示ID X计数的q(x)的变化的描述，W及用于更新q(x)的方 法。
[0057] 当在CAN网络中额外安装新的ECU或者是更新固件时，如果产生的新的ID或者具有 特定ID的消息周期发生变化，在正常运行中的ID X计数q(x)将发生变化。在运种情况下，需 要q(x)的更新，并且本发明提出两种用于更新q(x)的方法。
[005引首先，可考虑来自IDS120的外部的更新。具体地，关于已改变的q(x)集的信息可从 外部接收，并且可重新存入并且应用至IDS120。就此而言，新的q(x)的值可通过无线网络进 行下载，或者也能使用维修店(repair shop)的诊断网络进行更新。然而，当使用无线网络 时，更新消息需要授权。
[0059] 或者是，可考虑在IDS120内通过学习进行更新。具体地，当由IDS120接收的消息的 P(x)值确定为正常时，确定为正常的P(x)集可被反映在q(x)集中。在该情况下，更新的q' (X)值可如公式5所给出的进行表达。
[0060] [公式引
[0061]
[0062] 在公式5中，Μ指的是表示用于更新p(x)的权重的常数，并且姆旨的是满足N〉〉M的大 的常数。可根据Μ和N的相对大小灵活地确定用于更新的p(x)被反映在q'（x)中的程度。
[0063] 另一方面，可基于消息上下文（context)执行入侵检测。具体地，根据本发明的算 法与ID-样，可基于消息上下文进行修改并且应用至入侵检测中。例如，S畑(X)运算可通过 接收消息上下文作为输入而执行。在运样的情况下，X指的是预定范围内的消息上下文的 值。为了检测消息上下文的变化，可使用条件自信息（conditional self informatiorOKx |y)替代S畑(x)J(x|y)可如公式6所给出的进行表达。
[0064] [公式 6]
[00 化]
[0066] 在公式6中，X指的是当前时间的消息上下文值，并且y指的是先前时间的消息上下 文值。p(x|y)是X对于y的条件概率，并且概率分布P可W预先存储在IDS120中。由于I(x|y) 也基于对数，因此I(x|y)可同样地与SRD(x)类似地进行线性近似。如果使用线性近似函数 SI(x|y)替代I(x|y)，能够实现更有效的计算。
[0067] 根据上述实施例，可W安全地保护车辆和ECU免受通过CAN网络的入侵，并且可W 防止其被操纵或者重构(remodeling)。此外，由于可W无需输入额外的数据至CAN总线就可 执行检测，因此可W最小化车载通信的额外负载。此外，由于仅使用部分CAN数据执行检查， 因此车辆中的系统延迟将减少。在运样的情况下，由于通过近似CAN网络数据的赌来执行有 效的计算，因此本发明适用于车辆的ECU。
[0068] 根据本发明的实施例，能实现下述效果。
[0069] 可检测并且防止能够潜在地妨碍安全驾驶的车载网络的入侵。此外，由于使用网 络的CAN消息执行有效的计算，因此本文描述的技术可在车辆中应用。
[0070] 本领域的技术人员应当理解的是，通过本发明可实现的效果不限于在上文已经具 体描述的内容，并且本发明的其他优势将从详细描述中得W更清晰的理解。
[0071] 对于本领域的技术人员而言，显而易见的是，在不违背本发明的构思或者范围内 可在本发明中作出各种修改和变化。因此，本发明意图覆盖落入本发明所附权利要求所主 张的范围内的本发明的各种修改和变化W及其等效布置。
【主权项】
1. 一种使用车辆的入侵检测系统（IDS)检测车载网络的入侵的方法，所述方法包括以 下步骤： 在预设的周期内接收所述车载网络的消息； 计算所接收的消息中的每个消息的当前计数值； 当所述周期开始时，接收所述车辆的运行状态信息； 确定对应于所述运行状态信息的每个消息的正常计数值； 使用所述当前计数值和所述正常计数值，计算每个消息的线性近似相对距离函数；以 及 通过将所计算的每个消息的线性近似相对距离函数与预设阈值进行比较，确定入侵状 态是否发生。2. 根据权利要求1所述的方法，其中从网关和一个或多个电子控制单元(ECU)中的至少 一者中输入所述车辆的运行状态信息。3. 根据权利要求1所述的方法，其中所述消息是控制器局域网络(CAN)消息。4. 根据权利要求1所述的方法，其中所述IDS位于CAN网络的网关中。5. 根据权利要求1所述的方法，其中计算当前计数值的步骤包括： 提取所述消息的标识符(ID);以及 基于提取的标识符计算每个ID的ID计数。6. 根据权利要求5所述的方法，还包括以下步骤： 通过将在所述周期内的每个ID的ID计数除以在所述周期内的总数据包计数，获得当前 计数值。7. 根据权利要求1所述的方法，还包括以下步骤： 通过从所述IDS的外部接收新的正常计数值来更新正常计数值。8. 根据权利要求1所述的方法，还包括以下步骤： 通过将预定的权重应用到对应于正常状态的当前计数值来确定正常计数值。9. 根据权利要求1所述的方法，还包括以下步骤： 将当前计数值乘以对当前计数值除以正常计数值所获得的值执行对数运算所获得的 值，来计算线性近似相对距离函数。10. 根据权利要求9所述的方法，其中，通过对相对距离函数的对数运算进行线性近似， 获得线性近似相对距离函数。11. 一种车辆的入侵检测系统（IDS)，所述IDS包括： 第一模块，其在预设的周期内接收车载网络的消息，并且计算所接收的消息中的每个 消息的当前计数值； 第二模块，其在当所述周期开始时，接收所述车辆的运行状态信息，并且确定对应于所 述运行状态信息的每个消息的正常计数值;以及 第三模块，其通过使用所述当前计数值和所述正常计数值来计算每个消息的线性近似 相对距离函数，并且通过将所计算的每个消息的线性近似相对距离函数与预设阈值进行比 较，从而确定是否发生入侵状态。12. 根据权利要求11所述的IDS，其中所述车辆的运行状态信息是从网关和一个或多个 电子控制单元(E⑶)中的至少一者输入的。13. 根据权利要求11所述的IDS，其中所述IDS位于CAN网络的网关中。14. 根据权利要求11所述的IDS，其中所述第一模块提取所述消息的标识符（ID)，并且 基于所提取的ID计算每个ID的ID计数。15. 根据权利要求15所述的IDS，其中所述当前计数值是通过将在所述周期内的每个ID 的ID计数除以在所述周期内的总数据包计数而获得的。16. 根据权利要求11所述的IDS，其中正常计数值是通过从所述IDS的外部接收新的正 常计数值进行更新的。17. 根据权利要求11所述的IDS，其中正常计数值是通过将预定权重应用到对应于正常 状态的当前计数值来确定的。18. 根据权利要求11所述的IDS，其中，线性近似相对距离函数是通过将当前计数值乘 以对当前计数值除以正常计数值所获得的值执行对数运算所获得的值来计算的。19. 根据权利要求19所述的IDS，其中线性近似相对距离函数是通过对相对距离函数的 对数运算进行线性近似来获得的。
【文档编号】H04L29/08GK106059987SQ201510890858
【公开日】2016年10月26日
【申请日】2015年12月7日
【发明人】郑浩镇, 李正熙, 柳浩 , 李炳旭, 安玹秀, 金浩渊, 文永植, 禹俊永, 金荣植, 李冈石, 卢宗善
【申请人】现代自动车株式会社, 起亚自动车株式会社, 朝鲜大学校产学协力团, 首尔大学校产学协力团