控制器局域网的防扫描方法、装置、设备及存储介质制造方法及图纸

本发明专利技术实施例提出一种控制器局域网的防扫描方法、装置、设备及存储介质，其中方法包括：根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在扫描遍历行为；响应于存在所述扫描遍历行为，执行安全防护措施。本发明专利技术实施例能够对控制器局域网中的扫描遍历行为进行防御。

【技术实现步骤摘要】
控制器局域网的防扫描方法、装置、设备及存储介质
本专利技术涉及网络安全
，尤其涉及一种控制器局域网的防扫描方法、装置、设备及存储介质。
技术介绍
控制器局域网(CAN，ControllerAreaNetwork)是在一种现场总线，CAN网络可以用于汽车环境中的微控制器通讯。图1为CAN网络的拓扑结构示意图。如图1所示，网关(GW，Gateway)处于整车CAN网络的中央节点，连接各个网段。车内中央网关可以接收各个网段的任何信号，并负责各网段之间的消息转换和路由。CAN网络的网段可以包括诊断CAN网段、娱乐CAN网段、动力CAN网段及车身CAN网段等。其中，诊断CAN网段包括车载诊断系统(OBD，OnBoardDiagnostics)、车载信息娱乐系统(IVI，In-VehicleInfotainment简称)、车载终端(T-BOX，TelematicsBOX)。娱乐CAN网段、动力CAN网段及车身CAN网段等分别连接多个电子控制单元(ECU，ElectronicControlUnit)。目前出现了一些针对CAN网络的攻击现象。在对CAN网络进行攻击之前，攻击者很有可能对目标进行漏洞挖掘；发现漏洞后，在合适的时间发起精准攻击。其中，最常用的漏洞挖掘方法就是对整个网络进行扫描，发现网络节点；然后再对单个网络节点进行全功能扫描，进而发现漏洞。具体地，在对CAN网络进行扫描时，先发现CAN网络中存在哪些ECU；再对发现的ECU进行全功能扫描。对于对CAN网络的扫描遍历行为，目前尚没有有效的防御办法。
技术实现思路
本专利技术实施例提供一种控制器局域网的防扫描方法及装置，以至少解决现有技术中的以上技术问题。第一方面，本专利技术实施例提供了一种控制器局域网的防扫描方法，包括：根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在扫描遍历行为；响应于存在所述扫描遍历行为，执行安全防护措施。在一种实施方式中，所述安全防护措施包括以下至少一项：阻止对所述控制器局域网中的诊断请求消息的转发，以及上报针对所述扫描遍历行为的报警信息。在一种实施方式中，所述判断是否存在扫描遍历行为之前，还包括：对通过远程协议进行诊断通信的消息进行解析，得到所述诊断请求消息。在一种实施方式中，所述诊断请求消息的标识信息为诊断标识，所述诊断应答消息的标识信息为应答标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：确定不存在对应应答标识的诊断标识；响应于确定出的诊断标识的个数超过预设第一阈值，判定存在所述扫描遍历行为。在一种实施方式中，所述诊断请求消息的标识信息为第一服务标识，所述诊断应答消息的标识信息为第二服务标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：确定诊断请求消息对应的诊断应答消息；获取所述诊断请求消息中的第一服务标识，并获取所述诊断应答消息中的第二服务标识；根据获取的第一服务标识及第二服务标识，确定不存在肯定应答的第一服务标识；响应于所述不存在肯定应答的第一服务标识的个数超过预设第二阈值，判定存在所述扫描遍历行为。在一种实施方式中，所述诊断请求消息的标识信息为第一子功能标识，所述诊断应答消息的标识信息为第二子功能标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：获取对应同一服务的第一子功能标识及第二子功能标识；根据获取的第一子功能标识及第二子功能标识，确定不存在肯定应答的第一子功能标识；响应于所述不存在肯定应答的第一子功能标识的个数超过预设第三阈值，判定存在所述扫描遍历行为。在一种实施方式中，所述诊断请求消息的标识信息为第一数据标识，所述诊断应答消息的标识信息为第二数据标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：获取对应同一服务的第一数据标识及第二数据标识；根据获取的第一数据标识及第二数据标识，确定不存在肯定应答的第一数据标识；响应于所述不存在肯定应答的第一数据标识的个数超过预设第四阈值，判定存在所述扫描遍历行为；和/或，响应于没有通过安全访问验证的第一数据标识的个数超过预设第四阈值，判定存在所述扫描遍历行为。在一种实施方式中，所述诊断请求消息的标识信息为第一例程控制标识，所述诊断应答消息的标识信息为第二例程控制标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：获取对应同一服务的第一例程控制标识及第二例程控制标识；根据获取的第一例程控制标识及第二例程控制标识，确定不存在肯定应答的第一例程控制标识；响应于所述不存在肯定应答的第一例程控制标识的个数超过预设第五阈值，判定存在所述扫描遍历行为。第二方面，本专利技术实施例提供了一种控制器局域网的防扫描装置，包括：判断模块，用于根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在扫描遍历行为；防护模块，用于响应于存在所述扫描遍历行为，执行安全防护措施。在一种实施方式中，所述防护模块用于，响应于存在所述扫描遍历行为，执行以下至少一项：阻止对所述控制器局域网中的诊断请求消息的转发，以及上报针对所述扫描遍历行为的报警信息。在一种实施方式中，所述装置还包括：解析模块，用于对通过远程协议进行诊断通信的消息进行解析，得到所述诊断请求消息。在一种实施方式中，所述诊断请求消息的标识信息为诊断标识，所述诊断应答消息的标识信息为应答标识；所述判断模块用于：确定不存在对应应答标识的诊断标识；响应于确定出的诊断标识的个数超过预设第一阈值，判定存在所述扫描遍历行为。在一种实施方式中，所述诊断请求消息的标识信息为第一服务标识，所述诊断应答消息的标识信息为第二服务标识；所述判断模块用于：确定诊断请求消息对应的诊断应答消息；获取所述诊断请求消息中的第一服务标识，并获取所述诊断应答消息中的第二服务标识；根据获取的第一服务标识及第二服务标识，确定不存在肯定应答的第一服务标识；响应于所述不存在肯定应答的第一服务标识的个数超过预设第二阈值，判定存在所述扫描遍历行为。在一种实施方式中，所述诊断请求消息的标识信息为第一子功能标识，所述诊断应答消息的标识信息为第二子功能标识；所述判断模块用于：获取对应同一服务的第一子功能标识及第二子功能标识；根据获取的第一子功能标识及第二子功能标识，确定不存在肯定应答的第一子功能标识；响应于所述不存在肯定应答的第一子功能标识的个数超过预设第三阈值，判定存在所述扫描遍历行为。在一种实施方式中，所述诊断请求消息的标识信息为第一数据标识，所述诊断应答消息的标识信息为第二数据标识；所述判断模块用于：获取对应同一服务的第一数据标识及第二数据标识；根据获取的第一数据标识及第二数据标识，确定不存在肯定应答的第一数据标识；响应于所述不存在肯定应答的第一数据标识的个数超过预设第四阈值，判定存在所述扫描遍历行为；和/或，响应于没有通过安全访问验证的第一数据标识的个数超过预设第四阈值，判定存在所述扫描遍历行为。在一种实施方式中，所述诊断请求消息的标识信息为第一例程控制标识，本文档来自技高网...

【技术保护点】
1.一种控制器局域网的防扫描方法，其特征在于，包括：根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在扫描遍历行为；响应于存在所述扫描遍历行为，执行安全防护措施。

【技术特征摘要】
1.一种控制器局域网的防扫描方法，其特征在于，包括：根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在扫描遍历行为；响应于存在所述扫描遍历行为，执行安全防护措施。2.根据权利要求1所述的方法，其特征在于，所述安全防护措施包括以下至少一项：阻止对所述控制器局域网中的诊断请求消息的转发，以及上报针对所述扫描遍历行为的报警信息。3.根据权利要求1或2所述的方法，其特征在于，所述判断是否存在扫描遍历行为之前，还包括：对通过远程协议进行诊断通信的消息进行解析，得到所述诊断请求消息。4.根据权利要求1或2所述的方法，其特征在于，所述诊断请求消息的标识信息为诊断标识，所述诊断应答消息的标识信息为应答标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：确定不存在对应应答标识的诊断标识；响应于确定出的诊断标识的个数超过预设第一阈值，判定存在所述扫描遍历行为。5.根据权利要求1或2所述的方法，其特征在于，所述诊断请求消息的标识信息为第一服务标识，所述诊断应答消息的标识信息为第二服务标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：确定诊断请求消息对应的诊断应答消息；获取所述诊断请求消息中的第一服务标识，并获取所述诊断应答消息中的第二服务标识；根据获取的第一服务标识及第二服务标识，确定不存在肯定应答的第一服务标识；响应于所述不存在肯定应答的第一服务标识的个数超过预设第二阈值，判定存在所述扫描遍历行为。6.根据权利要求1或2所述的方法，其特征在于，所述诊断请求消息的标识信息为第一子功能标识，所述诊断应答消息的标识信息为第二子功能标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：获取对应同一服务的第一子功能标识及第二子功能标识；根据获取的第一子功能标识及第二子功能标识，确定不存在肯定应答的第一子功能标识；响应于所述不存在肯定应答的第一子功能标识的个数超过预设第三阈值，判定存在所述扫描遍历行为。7.根据权利要求1或2所述的方法，其特征在于，所述诊断请求消息的标识信息为第一数据标识，所述诊断应答消息的标识信息为第二数据标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：获取对应同一服务的第一数据标识及第二数据标识；根据获取的第一数据标识及第二数据标识，确定不存在肯定应答的第一数据标识；响应于所述不存在肯定应答的第一数据标识的个数超过预设第四阈值，判定存在所述扫描遍历行为；和/或，响应于没有通过安全访问验证的第一数据标识的个数超过预设第四阈值，判定存在所述扫描遍历行为。8.根据权利要求1或2所述的方法，其特征在于，所述诊断请求消息的标识信息为第一例程控制标识，所述诊断应答消息的标识信息为第二例程控制标识；所述根据控制器局域网中的诊断请求消息的标识信息及诊断应答消息的标识信息，判断是否存在诊断遍历行为，包括：获取对应同一服务的第一例程控制标识及第二例程控制标识；根据获取的第一例程控制标识及第二例程控制标识，确定不存在肯定应答的第一例程控制标识；响应于所述不存在肯定应答的第一例程控制标识的个数超过预设第五阈值，判定存在所述扫描遍历行为。9.一种控制器局域网的防扫描装置，其...

【专利技术属性】
技术研发人员：乔旭，汪明伟，
申请(专利权)人：百度在线网络技术北京有限公司，
类型：发明
国别省市：北京,11