一种基于报文时钟周期的车载CAN总线入侵检测与防御系统

本发明涉及移动通信领域，具体涉及一种基于报文时钟周期的车载can总线入侵检测与防御系统。

背景技术：

技术实现思路

1、本发明的目的在于提供一种基于报文时钟周期的车载can总线入侵检测与防御系统，不需要更改原车结构、只需旁路接入即可实现安全防护功能。防护过程中，不增加车内can总线通信负载，能够及时响应车内ecu设备随环境、运行时间变化而造成的can报文周期特征变化，减少设备长时间运行后产生的误检、漏检问题并能够识别定位可能出现异常的ecu模块，方便用户排障维修。同时能够对部分非法报文进行实时阻断，减小非法报文造成危害的风险。

2、一种基于报文时钟周期的车载can总线入侵检测与防御系统，包括can收发器模块、入侵检测模块、异常ecu节点定位模块和非法报文阻断模块，所述异常ecu节点定位模块与入侵检测模块连接，所述can收发器模块、入侵检测模块和非法报文阻断模块两两连接；

3、所述can收发器模块用于将车内can总线上电信号转化为数据报文，并发送至入侵检测模块，同时接收非法报文阻断模块提供的can数据报文，并将其转换成电信号，通过车内can总线发送出去；

4、所述入侵检测模块用于对can总线上的数据报文合法性进行实时检测，并动态更新各ecu模块can报文周期特征参数；

5、所述异常ecu节点定位模块用于对入侵检测模块检测出的非法报文进行进一步分析，定位出可能出现异常的ecu模块，以便操作者及时发现故障源；

6、所述非法报文阻断模块具有一定的阻断can总线上非法报文数据传输的能力，降低非法报文对车辆、乘客造成的危害；

7、上述车载can总线入侵检测与防御系统的工作方法包括如下步骤：

8、步骤一：进行初始化检测参数，

9、对每个id号，均连续记录n组报文到达时间，利用递归最小二乘法估计各id号对应can节点的平均周期μid与标准差σid，并保存；

10、步骤二：监听目标can总线，直至监测到新的报文出现，进入步骤三；

11、步骤三：逐一计算该报文到达时间与各id上一报文的间隔时间tid，并计算|tid-μid|/σid的值，并与各id的系统自定义阈值vid进行比较，如果均大于各id的阈值vid，则判断该报文为非法报文，同步进行步骤五、步骤六；否则进入步骤四；

12、步骤四：解析该条新报文的id号，如果该id号在步骤一中未曾出现过，则判定该报文为非法报文，进入步骤五，如果该id号存在记录，进入步骤七；

13、步骤五：比较各id对应的|tid-μid|/σid值，记录其中最小值对应的id号，则定位该id号节点为可能的异常can节点，即异常ecu节点，重新进入步骤二，

14、步骤六：针对正在发送过程中的非法报文，在后续仲裁段id位连续发送显性位0，获取can总线高优先级，从而赢得can总线使用权，之后发送一个数据段内容为空的数据帧报文；

15、步骤七：断该报文为合法报文，舍弃该id号n组报文周期数据中最早的一个，并增加该报文的周期信息，更新该id对应的平均周期μid与标准差σid，重新进入步骤二。

16、优选的，所述入侵检测模块在车载can总线入侵检测与防御系统首次部署到目标can总线上后，入侵检测模块需要先对can总线上所有can节点设备报文时钟周期进行统计建模。

17、报文时钟周期统计建模的具体方法为：对每个id号，均连续记录n组报文到达时间，利用递归最小二乘法估计各id号对应can节点的平均周期μid与标准差σid，并保存。

18、完成报文时钟周期统计建模后，入侵检测模块开始对can总线上的报文进行实时入侵检测，具体方法如下：

19、①当检测到can总线上出现新报文后，记录该报文的到达时间；

20、②逐一计算该报文与各id上一报文的间隔时间tid，并计算|tid-μid|/σid的值，并与各id的系统自定义阈值vid进行比较，如果均大于各id的阈值vid，则判断该报文为非法报文，该报文检测完毕，等待下一条报文出现；否则进行步骤③；

21、③解析该条新报文的id号，如果该id号在报文时钟周期统计建模阶段中未曾出现过，则判定该报文为非法报文，该报文检测完毕，等待下一条报文出现；如果该id号存在记录，进行步骤④；

22、④判断该报文为合法报文，舍弃该id号n组报文周期数据中最早的一个，并增加该报文的周期信息，更新该id对应的平均周期μid与标准差σid，该报文检测完毕，等待下一条报文出现。

23、优选的，所述异常ecu节点定位模块实现异常ecu节点定位的具体方法如下：

24、①获取非法报文与各id上一报文的间隔时间tid，以及|tid-μid|/σid的值；

25、②比较各id对应的|tid-μid|/σ/id值，记录其中最小值对应的id号，则定位该id号节点为可能的异常can节点，即异常ecu节点。

26、优选的，所述非法报文阻断模块能够阻断入侵检测模块在步骤三中检测出的非法报文，具体方法如下：

27、①非法报文阻断模块针对正在发送过程中的非法报文，在后续仲裁段id位连续发送显性位0，获取can总线高优先级，从而赢得can总线使用权；

28、②赢得can总线使用权后，发送一个数据段内容为空的数据帧报文。

29、本发明的优点在于：1、不需要更改原车can总线结构、can报文格式与各ecu模块，旁路接入即可实现安全防护功能。

30、2、防护过程中，不增加车内can总线通信负载。

31、3、能够及时响应车内ecu设备随环境、运行时间变化而造成的can报文周期特征变化，减少设备长时间运行后产生的误检、漏检问题。

32、4、能够识别定位可能出现异常的ecu模块，方便用户排障维修。

33、5、能够对部分非法报文进行实时阻断，减小非法报文造成危害的风险。

技术特征：

1.一种基于报文时钟周期的车载can总线入侵检测与防御系统，其特征在于，包括can收发器模块、入侵检测模块、异常ecu节点定位模块和非法报文阻断模块，所述异常ecu节点定位模块与入侵检测模块连接，所述can收发器模块、入侵检测模块和非法报文阻断模块两两连接；

2.根据权利要求1所述的一种基于报文时钟周期的车载can总线入侵检测与防御系统，其特征在于：所述入侵检测模块在车载can总线入侵检测与防御系统首次部署到目标can总线上后，入侵检测模块需要先对can总线上所有can节点设备报文时钟周期进行统计建模。

3.根据权利要求1所述的一种基于报文时钟周期的车载can总线入侵检测与防御系统，其特征在于：所述异常ecu节点定位模块实现异常ecu节点定位的具体方法如下：

4.根据权利要求1所述的一种基于报文时钟周期的车载can总线入侵检测与防御系统，其特征在于：所述非法报文阻断模块能够阻断入侵检测模块在步骤三中检测出的非法报文，具体方法如下：

技术总结
本发明公开一种基于报文时钟周期的车载CAN总线入侵检测与防御系统，不需要更改原车结构、只需旁路接入即可实现安全防护功能。防护过程中，不增加车内CAN总线通信负载，能够及时响应车内ECU设备随环境、运行时间变化而造成的CAN报文周期特征变化，减少设备长时间运行后产生的误检、漏检问题并能够识别定位可能出现异常的ECU模块，方便用户排障维修。同时能够对部分非法报文进行实时阻断，减小非法报文造成危害的风险。

技术研发人员：董强,刘一君
受保护的技术使用者：南京工业职业技术大学
技术研发日：
技术公布日：2024/1/12