控制局域网网络入侵检测系统、方法、设备及存储介质与流程

本发明涉及汽车局域网，具体涉及一种控制局域网网络入侵检测系统、方法、设备及存储介质。

背景技术：

1、控制局域网(can)是国际上应用最广泛的现场总线之一。can被设计作为汽车环境中的微控制器通讯，在车载各电子控制装置之间交换信息，形成汽车电子控制网络。比如发动机管理系统、变速箱控制器、仪表装备、电子主干系统中，均嵌入有can控制装置。

2、以往的控制局域网入侵检测主要是在简单的微控制器(mcu)中检测，如分析同一个can信号的周期是否异常，can信号的载荷值是否在合理范围内。但本申请的发明人经过研究发现，这些检测方法会增加原本就资源紧张的微控制器的资源消耗，因此无法支持更复杂的实时数学分析。目前也有基于大离线数据进行神经网络训练或者机器学习的方案，但是训练后的模型需要部署在有强大算力的图形处理单元(gpu)上，因此很难大规模量产使用。

技术实现思路

1、针对现有控制局域网入侵检测主要是在简单的微控制器中检测，但这些检测方法会增加原本就资源紧张的微控制器的资源消耗，因此无法支持更复杂的实时数学分析的技术问题，本发明提供一种控制局域网网络入侵检测方法、装置、设备及存储介质。

2、为了解决上述技术问题，本发明采用了如下的技术方案：

3、一方面，本发明提供了一种控制局域网网络入侵检测系统，所述系统包括异构芯片，所述异构芯片包括微处理单元和包处理引擎，所述微处理单元和包处理引擎相互连接；其中，

4、所述包处理引擎用于实时采集整车的控制局域网信号；

5、所述微处理单元部署有所述控制局域网的入侵检测模块，所述微处理单元用于接收所述包处理引擎采集的整车控制局域网信号，所述入侵检测模块用于对所述控制局域网信号数据进行分析。

6、进一步，所述微处理单元包括与所述入侵检测模块连接的数据缓冲模块，其中，

7、所述包处理引擎还用于产生触发所述微处理单元侧硬件中断的硬件中断信号；

8、所述微处理单元根据所述硬件中断信号执行所述微处理单元侧硬件中断，所述微处理单元用于在硬件中断时接收所述包处理引擎采集的整车控制局域网信号，并将所有的所述控制局域网信号存入所述数据缓冲模块；

9、所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析。

10、另一方面，本发明提供了一种控制局域网网络入侵检测方法，所述检测方法应用于上述的控制局域网网络入侵检测系统，所述检测方法包括：

11、所述包处理引擎实时采集整车的控制局域网信号并产生触发所述微处理单元侧硬件中断的硬件中断信号；

12、所述微处理单元根据所述硬件中断信号执行所述微处理单元侧硬件中断，所述微处理单元在硬件中断时接收所述包处理引擎采集的整车控制局域网信号，并打上当时的时间戳，然后将所有的所述控制局域网信号存入所述数据缓冲模块；

13、在所述数据缓冲模块装满数据或者距上次收到数据超过预设时间后，所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析。

14、进一步，所述包处理引擎实时采集整车的控制局域网信号并产生触发所述微处理单元侧硬件中断的硬件中断信号；所述微处理单元根据所述硬件中断信号执行所述微处理单元侧硬件中断，所述微处理单元在硬件中断时接收所述包处理引擎采集的整车控制局域网信号包括：

15、每一帧所述控制局域网信号到达所述包处理引擎的时候，所述包处理引擎产生触发所述微处理单元侧硬件中断的硬件中断信号；

16、所述微处理单元根据所述硬件中断信号执行所述微处理单元侧硬件中断，并将寄存器内暂时存放的数据转移到中央处理器内部存储以此完成现场保护后进入中断响应服务函数中，在所述中断响应服务函数中，所述微处理单元从异构芯片的内部总线上接收所述包处理引擎采集的整车控制局域网信号。

17、进一步，所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析包括：

18、根据白名单，分析白名单中的单个控制局域网信号或者若干个组合控制局域网信号的取值是否合理。

19、进一步，所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析包括：

20、根据白名单，对同一个控制局域网信号进行冒泡法时间排序，然后再检测历史的两个所述控制局域网信号数据之间的时间间隔是否在合理之内。

21、进一步，所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析包括：

22、根据所述时间戳，计算预设时间段内的预设控制局域网通道上所有的控制局域网信号的总比特数，再基于波特率计算所述预设控制局域网通道的总线负载率，所述总线负载率具体通过下式计算确定：

23、

24、其中，t1为对预设控制局域网通道上收到的控制局域网信号数据进行排序后得到的最早一个数据的时间戳，t2为对预设控制局域网通道上收到的控制局域网信号数据进行排序后得到的最后一个数据的时间戳。

25、进一步，所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析包括：

26、对同一控制局域网通道上的控制局域网信号进行傅里叶分析，以在频域上分析各个控制局域网信号频率谐波分量以及分析控制局域网信号波动。

27、再一方面，本发明提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的控制局域网网络入侵检测方法中的步骤。

28、又一方面，本发明提供了一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现上述的控制局域网网络入侵检测方法中的步骤。

29、与现有技术相比，本发明提供的控制局域网网络入侵检测系统、方法、计算机设备及存储介质，检测系统相较于传统在微控制器实时操作系统中部署控制局域网入侵检测模块，本系统将数据采集分析的控制局域网入侵检测模块移动到了资源更丰富的微处理单元侧，降低了微处理单元模块和其他功能模块的耦合程序，降低了集成难度；由于在微控制器实时操作系统中常常有涉及到功能安全的功能，可靠性要求较高，但是控制局域网入侵检测模块并不涉及功能安全，将其部署在微处理单元侧，也减少了控制局域网入侵检测模块对其他实时任务的影响，提高了整车系统的可靠性。

技术特征：

1.控制局域网网络入侵检测系统，所述系统包括异构芯片，其特征在于，所述异构芯片包括微处理单元和包处理引擎，所述微处理单元和包处理引擎相互连接；其中，

2.根据权利要求1所述的控制局域网网络入侵检测系统，其特征在于，所述微处理单元包括与所述入侵检测模块连接的数据缓冲模块，其中，

3.控制局域网网络入侵检测方法，其特征在于，所述检测方法应用于权利要求1或2所述的控制局域网网络入侵检测系统，所述检测方法包括：

4.根据权利要求3所述的控制局域网网络入侵检测方法，其特征在于，所述包处理引擎实时采集整车的控制局域网信号并产生触发所述微处理单元侧硬件中断的硬件中断信号；所述微处理单元根据所述硬件中断信号执行所述微处理单元侧硬件中断，所述微处理单元在硬件中断时接收所述包处理引擎采集的整车控制局域网信号包括：

5.根据权利要求3所述的控制局域网网络入侵检测方法，其特征在于，所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析包括：

6.根据权利要求3所述的控制局域网网络入侵检测方法，其特征在于，所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析包括：

7.根据权利要求3所述的控制局域网网络入侵检测方法，其特征在于，所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析包括：

8.根据权利要求3所述的控制局域网网络入侵检测方法，其特征在于，所述入侵检测模块从所述数据缓冲模块取走控制局域网信号数据进行分析包括：

9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求3至8中任一项所述的控制局域网网络入侵检测方法中的步骤。

10.一种计算机可读存储介质，所述存储介质中存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求3至8中任一项所述的控制局域网网络入侵检测方法中的步骤。

技术总结
本发明提供一种控制局域网网络入侵检测系统、方法、设备及存储介质，系统包括异构芯片，异构芯片包括微处理单元和包处理引擎，微处理单元和包处理引擎相互连接；包处理引擎用于实时采集整车的控制局域网信号；微处理单元部署有控制局域网的入侵检测模块，微处理单元用于接收包处理引擎采集的整车控制局域网信号，入侵检测模块用于对控制局域网信号数据进行分析。本申请将数据分析的控制局域网入侵检测模块移动到了资源更丰富的微处理单元侧，降低了微处理单元模块和其他功能模块的耦合程序，降低了集成难度，也减少了控制局域网入侵检测模块对其他实时任务的影响，提高了整车系统的可靠性，易于大规模量产，提高了数据分析的容错性和兼容性。

技术研发人员：董思凯,吴巍,龙政方,朱乾勇
受保护的技术使用者：成都赛力斯科技有限公司
技术研发日：
技术公布日：2024/1/13