一种基于DoIP协议的入侵检测防御方法及系统技术方案

本发明专利技术提供一种基于DoIP协议的入侵检测防御方法及系统。该方法包括在外部测试设备中设置DoIP协议模块，在车内DoIP实体中设置DoIP协议模块和DoIP入侵检测模块；在所述车内DoIP实体中设置DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测策略；当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述车内DoIP实体按照所述检测策略依次进行DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测。本发明专利技术通过DoIP入侵检测模块能够对DoIP报文先进行检测，识别不同工作场景下的报文头格式、报文类型、报文长度、报文请求间隔、报文传输层协议类型、报文请求响应间隔等异常，过滤异常的非法报文，提升DoIP报文的安全合法性。提升DoIP报文的安全合法性。提升DoIP报文的安全合法性。

【技术实现步骤摘要】
一种基于DoIP协议的入侵检测防御方法及系统


[0001]本专利技术涉及车辆安全
，尤其涉及一种基于DoIP协议的入侵检测防御方法及系统。

技术介绍

[0002]随着移动互联网的发展和嵌入式处理器性能的提升，智能网联汽车已经成为全球汽车、互联网等领域的研究热点和产业增长的新动力。目前远程升级(Over The Air，OTA)、远程诊断(On Board Diagnostics，OBD/Unified Diagnostic Services，UDS)、ADAS(Advanced Driving Assistance System)、V2X(Vehicle to everything)、自动驾驶等功能已经开始逐步实现，基于车载以太网的通信协议的应用前景也越来越广阔，尤其是DoIP(Diagnostic communication over Internet Protocol)协议越来越得到广泛应用，其中涉及到的网络安全问题也越来越凸显。
[0003]在安全领域中，常使用入侵检测防御(IDPS)技术解决信息安全问题。目前，没有专门针对DoIP协议的IDPS方案，一般的IDPS方案不能保证DoIP协议数据格式的一致性和使用场景的合理性，无法保证DoIP报文的时序和传输层协议正确与否，通常还包含很多DoIP不会涉及到的一些检测内容，导致检测效率低下，具有很大的局限性，不能满足车载网络对DoIP协议通信的安全的要求。
[0004]中国专利文献CN 111434090 A公开了一种用于向车载网络提供安全性的系统及方法，该文献是将现有的IDPS方案应用于车载网络，实质上仍存在上述的一般的IDPS方案所存在的局限性。

技术实现思路

[0005]针对现有IDPS方案不能满足车载网络对DoIP协议通信安全要求的问题，本专利技术提供一种基于DoIP协议的入侵检测防御方法及系统，能够在DoIP协议加入IDPS功能，以实现对非法DoIP报文的识别、检测和阻止，保护车辆免受各种攻击。
[0006]第一方面，本专利技术提供一种基于DoIP协议的入侵检测防御方法，包括：
[0007]在外部测试设备中设置DoIP协议模块，在车内DoIP实体中设置DoIP协议模块和DoIP入侵检测模块；
[0008]在所述车内DoIP实体中设置DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测策略；
[0009]当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述车内DoIP实体按照所述检测策略依次进行DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测。
[0010]进一步地，所述DoIP报文格式的检测策略包括：报文头格式检测策略，以及报文类型、报文长度与报文传输层协议检测策略；所述报文头格式检测策略为报文头参数的合法值域的检测策略，所述报文头参数包括协议版本信息、协议版本按位取反信息、数据类型和数据长度；所述报文类型、报文长度与报文传输层协议检测策略为检测不同报文数据类型
是否符合设定的数据长度和传输层协议类型的策略，所述报文数据类型包括发送报文数据和接收报文数据，所述传输层协议类型包括UDP协议和TCP协议；
[0011]所述DoIP报文场景的检测策略为检测不同报文数据类型是否支持设定的工作场景的策略，所述工作场景包括车辆发现、TCP连接、路由激活、车辆诊断中的至少一种；
[0012]所述DoIP报文间隔的检测策略为检测报文处理是否符合设定的时间间隔的策略。
[0013]进一步地，当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述车内DoIP实体按照所述检测策略依次进行DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测，具体包括：
[0014]当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述外部测试设备通过其DoIP协议模块对诊断数据进行封装后生成DoIP报文，并发送至所述车内DoIP实体；
[0015]所述车内DoIP实体接收到封装后的所述DoIP报文后，上传至其DoIP入侵检测模块；
[0016]所述车内DoIP实体通过其DoIP入侵检测模块解析封装后的所述DoIP报文后，使用所述报文头格式检测策略检测所述DoIP报文的报文头各个参数是否在合法值域内，若不在合法值域内，则所述DoIP报文为非法报文；若在合法值域内，则开始检测报文类型；
[0017]所述车内DoIP实体通过其DoIP入侵检测模块使用所述报文类型检测策略检测所述DoIP报文是否符合接收报文数据类型，若不符合，则所述DoIP报文为非法报文；若符合，则开始检测报文长度；
[0018]所述车内DoIP实体通过其DoIP入侵检测模块使用所述报文长度检测策略检测所述DoIP报文的数据长度与设定的数据长度是否一致，若不一致，则所述DoIP报文为非法报文；若一致，则开始检测报文传输层协议；
[0019]所述车内DoIP实体通过其DoIP入侵检测模块使用所述报文传输层协议检测策略检测所述DoIP报文的传输层协议与设定的传输层协议是否一致，若不一致，则所述DoIP报文为非法报文；若一致，则开始检测报文场景；
[0020]所述车内DoIP实体通过其DoIP入侵检测模块使用所述DoIP报文场景的检测策略检测所述DoIP报文是否支持设定的工作场景，若所述DoIP报文属于设定的工作场景以外的报文，则所述DoIP报文为非法报文；若所述DoIP报文支持设定的工作场景，则开始检测当前是否还在处理上一DoIP报文请求；
[0021]若所述车内DoIP实体通过其DoIP入侵检测模块检测获知当前正在处理上一DoIP报文请求且通过所述DoIP报文间隔的检测策略判断处理时间并未超过设定的时间间隔，则所述DoIP报文为非法报文；否则，将所述DoIP报文发送至其DoIP协议模块进行处理，并将处理的响应结果返回至所述外部测试设备。
[0022]进一步地，所述车内DoIP实体通过其DoIP入侵检测模块在检测所述报文头格式、所述报文类型和所述报文长度的过程中，在检测获知DoIP报文为非法报文后，通知其DoIP协议模块进行否定响应的发送，DoIP入侵检测模块记录所述DoIP报文的错误日志并结束退出；
[0023]所述车内DoIP实体通过其DoIP入侵检测模块在检测所述报文传输层协议、所述报文工作场景和所述报文间隔的过程中，在检测获知DoIP报文为非法报文后，通过DoIP入侵检测模块记录所述DoIP报文的错误日志并结束退出。
[0024]进一步地，所述车内DoIP实体通过其DoIP入侵检测模块在检测报文头格式之前，还包括：
[0025]所述车内DoIP实体通过其DoIP入侵检测模块检测DoIP激活线状态，确保处于工作状态，若DoIP激活线状态为inactive，表明不处于工作状态，则所述DoIP报文为非法报文，记录所述DoIP报文的错误日志并结束退出；若DoIP激活线状态为active，表明处于工作状态。
[0026]进一步地，所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于DoIP协议的入侵检测防御方法，其特征在于，包括：在外部测试设备中设置DoIP协议模块，在车内DoIP实体中设置DoIP协议模块和DoIP入侵检测模块；在所述车内DoIP实体中设置DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测策略；当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述车内DoIP实体按照所述检测策略依次进行DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测。2.根据权利要求1所述的入侵检测防御方法，其特征在于，所述DoIP报文格式的检测策略包括：报文头格式检测策略，以及报文类型、报文长度与报文传输层协议检测策略；所述报文头格式检测策略为报文头参数的合法值域的检测策略，所述报文头参数包括协议版本信息、协议版本按位取反信息、数据类型和数据长度；所述报文类型、报文长度与报文传输层协议检测策略为检测不同报文数据类型是否符合设定的数据长度和传输层协议类型的策略，所述报文数据类型包括发送报文数据和接收报文数据，所述传输层协议类型包括UDP协议和TCP协议；所述DoIP报文场景的检测策略为检测不同报文数据类型是否支持设定的工作场景的策略，所述工作场景包括车辆发现、TCP连接、路由激活、车辆诊断中的至少一种；所述DoIP报文间隔的检测策略为检测报文处理是否符合设定的时间间隔的策略。3.根据权利要求2所述的入侵检测防御方法，其特征在于，当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述车内DoIP实体按照所述检测策略依次进行DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测，具体包括：当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述外部测试设备通过其DoIP协议模块对诊断数据进行封装后生成DoIP报文，并发送至所述车内DoIP实体；所述车内DoIP实体接收到封装后的所述DoIP报文后，上传至其DoIP入侵检测模块；所述车内DoIP实体通过其DoIP入侵检测模块解析封装后的所述DoIP报文后，使用所述报文头格式检测策略检测所述DoIP报文的报文头各个参数是否在合法值域内，若不在合法值域内，则所述DoIP报文为非法报文；若在合法值域内，则开始检测报文类型；所述车内DoIP实体通过其DoIP入侵检测模块使用所述报文类型检测策略检测所述DoIP报文是否符合接收报文数据类型，若不符合，则所述DoIP报文为非法报文；若符合，则开始检测报文长度；所述车内DoIP实体通过其DoIP入侵检测模块使用所述报文长度检测策略检测所述DoIP报文的数据长度与设定的数据长度是否一致，若不一致，则所述DoIP报文为非法报文；若一致，则开始检测报文传输层协议；所述车内DoIP实体通过其DoIP入侵检测模块使用所述报文传输层协议检测策略检测所述DoIP报文的传输层协议与设定的传输层协议是否一致，若不一致，则所述DoIP报文为非法报文；若一致，则开始检测报文场景；所述车内DoIP实体通过其DoIP入侵检测模块使用所述DoIP报文场景的检测策略检测所述DoIP报文是否支持设定的工作场景，若所述DoIP报文属于设定的工作场景以外的报文，则所述DoIP报文为非法报文；若所述DoIP报文支持设定的工作场景，则开始检测当前是否还在处理上一DoIP报文请求；
若所述车内DoIP实体通过其DoIP入侵检测模块检测获知当前正在处理上一DoIP报文请求且通过所述DoIP报文间隔的检测策略判断处理时间并未超过设定的时间间隔，则所述DoIP报文为非法报文；否则，将所述DoIP报文发送至其DoIP协议模块进行处理，并将处理的响应结果返回至所述外部测试设备。4.根据权利要求3所述的入侵检测防御方法，其特征在于，所述车内DoIP实体通过其DoIP入侵检测模块在检测所述报文头格式、所述报文类型和所述报文长度的过程中，在检测获知DoIP报文为非法报文后，通知其DoIP协议模块进行否定响应的发送，DoIP入侵检测模块记录所述DoIP报文的错误日志并结束退出；所述车内DoIP实体通过其DoIP入侵检测模块在检测所述报文传输层协议、所述报文工作场景和所述报文间隔的过程中，在检测获知DoIP报文为非法报文后，通过DoIP入侵检测模块记录所述DoIP报文的错误日志并结束退出。5.根据权利要求3所述的入侵检测防御方法，其特征在于，所述车内DoIP实体通过其DoIP入侵检测模块在检测报文头格式之前，还包括：所述车内DoIP实体通过其DoIP入侵检测模块检测DoIP激活线状态，确保处于工作状态，若DoIP激活线状态为inactive，表明不处于工作状态，则所述DoIP报文为非法报文，记录...

【专利技术属性】
技术研发人员：王建伟，李华领，庞旭东，吉喆，袁朝阳，李鑫，
申请(专利权)人：郑州信大捷安信息技术股份有限公司，
类型：发明
国别省市：