一种车辆网络入侵检测测试方法和测试系统与流程

1.本发明涉及工程机械通信技术安全领域，具体涉及一种车辆网络入侵检测测试方法和测试系统。


背景技术：

2.入侵检测系统(intrusion detection system，简称“ids”)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，ids是一种积极主动的安全防护技术。车辆网络入侵检测功能，一般集成在车载终端、车机、网关或者其他使用车载以太网通信的控制器上。
3.目前，针对车辆的网络入侵检测技术，已经在车上逐步应用。针对网络入侵检测功能，需要与之对应的测试验证方案，来验证入侵检测策略是否真正按照要求实现，以及当前的检测规则是否有存在漏检。


技术实现要素：

4.针对上述问题，本发明提出一种车辆网络入侵检测测试方法和测试系统，根据入侵检测规则，进行网络攻击，查看入侵检测模块能否有效检测攻击时间，以及检测的时效性。建立网络攻击库，此攻击库涵盖常见的攻击方式，以测试入侵检测模块的检测覆盖度，是否存在漏检、误检。
5.本发明提供一种车辆网络入侵检测测试系统，其特征在于：包括上位机、交换机、路由器、以太网转车载以太网转换器、中继器、综测仪和带有入侵检测功能的被测控制器组成；上位机、交换机、路由器、以太网转车载以太网转换器和带有入侵检测功能的被测控制器相连接的链路，用于实现车载以太网总线网络入侵检测的测试；上位机、交换机、中继器和带有入侵检测功能的被测控制器相连接的链路，用于实现车载wifi网络入侵检测的测试；上位机、交换机、综测仪和带有入侵检测功能的被测控制器相连接的链路，用于实现4g/5g网络入侵检测的测试。
6.进一步，实现4g/5g网络入侵检测的测试时，带有入侵检测功能的被测控制器放置在屏蔽箱内。
7.进一步，所述上位机包括测试管理模块、入侵检测规则数据库、网络攻击生成模块和测试结果分析模块；测试管理模块用于信息配置、管理测试计划、管理测试用例和管理测试报告；入侵检测规则数据用于存放已有的网络攻击方式和入侵检测生成规则；网络攻击生成模块用于根据入侵检测规则数据库，生成并发送网络入侵攻击报文；测试结果分析模块用于分析对带有入侵检测功能的被测控制器进行测试的结果。
8.进一步，所述入侵检测规则数据库每六个月扩充新增攻击方式；所述入侵检测生成规则将攻击事件归类为6大攻击模块组：scan攻击模块、flood攻击模块、ping攻击模块、dos攻击模块、zero攻击模块和其他类型攻击模块；每个攻击模块中都包含至少一个攻击行为。
9.进一步，所述网络入侵攻击报文中含网络攻击事件；所述网络攻击事件包括单个攻击事件和组合攻击事件；所述一个攻击行为就是一个单个攻击事件，所诉6大攻击模块组，每组取一个攻击行为，2组或2组以上任意组合，成为一个组合攻击事件。
10.进一步，所述测试结果分析模块根据入侵检测规则和所述带有入侵检测功能的被测控制器日志中记载的信息，分析所述带有入侵检测功能的被测控制器是否执行了入侵检测，是否存在漏检，检出时间是否满足要求。
11.本发明提供一种车辆网络入侵检测测试方法，其特征在于：包括攻击事件检测测试方法和攻击事件检出时间测试方法，其中，攻击事件检测测试方法用于测试所述带有入侵检测功能的被测控制器的检测覆盖度，是否存在漏检、误检；攻击事件检出时间测试方法用于测试所述带有入侵检测功能的被测控制器能否有效检测攻击时间，以及检测的时效性。
12.进一步，所述攻击事件检测测试方法如下。
13.按顺序依次发送单个攻击事件，读取带有入侵检测功能的被测控制器日志，查看是否检测出攻击行为，如果检测出攻击行为，测试通过，否则测试不通过；
14.发送n个组合攻击事件，读取带有入侵检测功能的被测控制器日志，查看是否检测出攻击行为，如果检测出攻击行为，测试通过，否则测试不通过，n的取值由测试管理模块进行配置。
15.进一步，所述攻击事件检出时间测试方法为如下。
16.按顺序依次发送单个攻击事件，记录发送时间t1，读取带有入侵检测功能的被测控制器日志，记录检出时间t2，t2-t1为攻击事件检出时间，如果在规定检出时间内，测试通过，否则测试不通过；
17.发送n个组合攻击事件，记录发送时间t1，读取带有入侵检测功能的被测控制器日志，记录检出时间t2，t2-t1为攻击事件检出时间，如果在规定检出时间内，测试通过，否则测试不通过。
18.与现有技术相比，本发明优点有以下几项：
19.(1)本发明针对车辆的入侵检测进行测试，构造了三种车辆上的使用场景，分别是wlan网络、4g/5g网络和车载以太网网络。现有技术是针对传统的以太网络的攻击检测，没有提出过车辆上的这三种应用场景的测试装置。
20.(2)本发明提出多种网络攻击和组合攻击的方法，测试场景更加复杂、全面。
21.(3)本发明提出了时效性的测试方法，现有技术没有针对入侵检测的时效性进行测试。
附图说明
22.图1为硬件模块构成图；
23.图2为测试系统的测试流程。
具体实施方式
24.下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术
人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.实施例1.
26.一种车辆网络入侵检测功能测试系统，包括硬件模块和软件模块。硬件模块由上位机、交换机、路由器、tx(传统以太网)转t1(车载以太网)转换器、中继器、综测仪cmw500、屏蔽箱、电源、dut(被测控制器，带有入侵检测功能)组成。软件模块由测试管理模块、入侵检测规则数据库、网络攻击生成模块和测试结果分析模块组成。
27.实施例2.
28.一种车辆网络入侵检测功能测试系统的硬件模块，由上位机、交换机、路由器、tx(传统以太网)转t1(车载以太网)转换器、中继器、综测仪cmw500、屏蔽箱、电源、dut(被测控制器，带有入侵检测功能)组成。
29.本发明方案可进行网络入侵检测的测试验证,如图1，根据实际场景，由3条链路实现：
30.(1)上位机、交换机、路由器、tx(传统以太网)转t1(车载以太网)转换器和dut相连接的链路，可实现车载以太网总线网络入侵检测的测试。
31.(2)上位机、交换机、中继器和dut相连接的链路的链路，可实现车载wifi网络入侵检测的测试。
32.(3)上位机、交换机、综测仪cmw500和dut相连接的链路的链路，可实现4g/5g网络入侵检测的测试，其中dut需要置于屏蔽箱内。
33.屏蔽箱的作用为防止附近4g/5g网络基站对上位机发送的数据产生干扰。
34.以上3条链路的入侵都是以太网网络入侵，在以太网l2-l7层原理是一样的，只是物理层通信介质不同。
35.实施例3.
36.一种车辆网络入侵检测功能测试系统的软件模块包括：
37.(1)测试管理模块：包括信息配置、测试计划管理、测试用例管理、测试报告管理等。
38.(2)入侵检测规则数据库：存放已有的网络攻击方式和入侵检测生成规则，定期扩充近几个月新增攻击方式。
39.(3)网络攻击生成模块：根据网络入侵检测规则数据库，生成并发送网络入侵攻击报文。
40.(5)测试结果分析模块：根据入侵检测规则和dut日志，分析是否执行了入侵检测，是否存在漏检。检出时间是否满足要求。
41.实施例4.
42.一种网络攻击事件生成方法。
43.列举网络攻击行为如下表，所列举的攻击行为只是部分攻击行为。
[0044][0045]
将以上攻击行为归类为6大攻击模块组，并组合成攻击事件。
[0046]
(1)scan攻击模块(1，2，3，6，7，23)
[0047]
(2)flood攻击模块(9，10，12，18，20，21)
[0048]
(3)ping攻击模块(8，14)
[0049]
(4)dos攻击模块(15，16，17，19)
[0050]
(5)zero攻击模块(13，22)
[0051]
(6)其他类型攻击模块(4，5，11等)
[0052]
单个攻击事件：以上列举的每个攻击行为，都可以成为一个单个攻击事件。
[0053]
组合攻击事件：以上6大攻击模块组，每组取一个攻击行为，2组或2组以上任意组合，可以成为一个组合攻击事件。如(1，9，8，15)为一个组合攻击，(2，10)为一个组合攻击，(15，22，11)为一个组合攻击。
[0054]
实施例5.
[0055]
一种车辆网络入侵检测功能测试方法，具体包括：
[0056]
1.攻击事件检测测试方法：
[0057]
(1)按顺序依次发送单个攻击事件，读取dut日志，查看是否检测出攻击行为，如果检测出攻击行为，说明测试通过，否则测试不通过。
[0058]
(2)发送n个组合攻击事件，读取dut日志，查看是否检测出攻击行为，如果检测出攻击行为，说明测试通过，否则测试不通过。n的取值由测试管理模块进行配置。
[0059]
2.攻击事件检出时间测试方法：
[0060]
(1)按顺序依次发送单个攻击事件，记录发送时间t1。读取dut日志，记录检出时间t2，t2-t1即攻击事件检出时间，如果在规定检出时间内，说明测试通过，否则测试不通过。
[0061]
(2)发送n个组合攻击事件，记录发送时间t1。读取dut日志，记录检出时间t2，t2-t1即攻击事件检出时间，如果在规定检出时间内，说明测试通过，否则测试不通过。
[0062]
实施例6.
[0063]
一种车辆网络入侵检测功能测试系统的测试流程，流程图如图2所示。
[0064]
开始测试时，先进行上位机配置，测试管理模块制定测试计划，网络攻击生成模块根据入侵检测规则数据库存放的网络攻击方式，根据入侵检测生成规则生成网络攻击报文，生成的报文分为单个攻击事件报文和组合攻击事件报文。
[0065]
测试管理模块开始执行测试，先按顺序依次发送单个攻击事件，再发送n个组合攻击事件。
[0066]
测试完成后读取dut日志中记载的检测结果，并将检测结果输入测试结果分析模块，测试结果分析模块分析dut是否执行了入侵检测，是否存在漏检，检出时间是否满足要求。
[0067]
具体地，查看是否检测出单个攻击事件的攻击行为，如果检测出攻击行为，说明测试通过，否则测试不通过；查看是否检测出组合攻击事件的攻击行为，如果检测出攻击行为，说明测试通过，否则测试不通过；查看dut日志记录的单个攻击事件检出时间t2，与记录的发送时间t1对比，t2-t1即单个攻击事件检出时间，如果在规定检出时间内，说明测试通过，否则测试不通过；查看dut日志记录的组合攻击事件检出时间t2，与记录的发送时间t1对比，t2-t1即组合攻击事件检出时间，如果在规定检出时间内，说明测试通过，否则测试不通过。
[0068]
测试结果分析模块将生成的测报告反馈给测试管理模块，测试管理模块对测试报告进行管理，供测试人员进行提取查看。