异常检测方法及装置制造方法及图纸

本申请实施例提供异常检测方法及装置，涉及信息安全技术领域，可以提高CAN总线网络的信息安全。该方法包括：获取第一类型的控制器区域网络CAN报文发送时需满足的发送条件；根据发送条件检测CAN总线上传输的第一报文是否发送异常，其中，第一报文属于第一类型的CAN报文。

【技术实现步骤摘要】
【国外来华专利技术】异常检测方法及装置
本申请实施例涉及信息安全
，尤其涉及一种车载控制器区域网络(controllerareanetwork，CAN)总线的异常检测方法及装置。
技术介绍
随着汽车智能化、网联化的发展，智能网联汽车成为汽车信息化的发展方向。近年来针对汽车的信息安全事件频发，网联汽车信息安全问题凸显，研究网联汽车及车载网络系统信息安全问题迫在眉睫。CAN总线是目前使用最广泛的车载总线网络技术，随着汽车信息安全问题的出现，恶意攻击通过外部接口直接渗透到车载CAN总线网络，严重危害驾乘者人身和财产安全。CAN总线缺乏基本的信息安全机制，研究车载CAN总线网络的信息安全问题及适合CAN总线的异常检测技术具有十分重要的意义。
技术实现思路
本申请实施例提供一种异常检测方法及装置，以解决CAN总线网络的信息安全问题。为达到上述目的，本申请实施例采用如下技术方案：第一方面，提供一种异常检测方法，所述方法包括：获取第一类型的控制器区域网络CAN报文发送时需满足的发送条件；根据发送条件检测CAN总线上传输的第一报文是否发送异常，其中，第一报文属于第一类型的CAN报文。基于第一方面所述的方法，可以实现对第一类型的CAN报文(比如周期使能型和周期事件型)的异常检测，一旦CAN总线上出现了第一类型的CAN报文，IDS系统则会根据第一方面所述方法检测出来异常的报文，保证车辆不遭到CAN报文发送异常的CAN报文的攻击，提高车辆的安全性。一种可能的设计中，第一类型的CAN报文为周期使能型报文；发送条件包括：固定发送周期、快速发送周期、最小发送间隔和信号取值。一种可能的设计中，根据发送条件检测CAN总线上传输的第一报文是否发送异常，包括：如果第一报文的发送频率不满足最小发送间隔，则确定第一报文发送异常；如果第一报文的发送频率满足最小发送间隔，则根据固定发送周期、快速发送周期、和信号取值，确定第一报文是否异常。一种可能的设计中，根据固定发送周期、快速发送周期、和信号取值，确定第一报文是否异常，包括：确定第一报文属于第一类型的CAN报文；如果根据信号取值，确定第一报文处于使能状态，若第一报文的发送频率不满足快速发送周期，则确定第一报文为异常报文；如果根据信号取值，确定第一报文处于非使能状态，若第一报文的发送频率不满足固定发送周期，则确定第一报文为异常报文。基于该可能的设计，针对周期使能型报文，获取报文的正常发送周期、快速发送周期、使能状态下的信号取值和最小发送间隔；实时监控CAN总线时，对于属于周期使能型报文的CAN报文，同时监控CAN报文的信号取值和CAN报文的发送频率。异常检测时，根据CAN报文周期、CAN报文发送类型和CAN报文的信号取值综合判断是否出现异常。如此，能够在出现周期使能型报文时不发生误报的情况，同时能够检测周期使能型报文出现的频率异常，从而发现针对周期使能型报文的攻击。一种可能的设计中，第一类型的CAN报文为周期事件型报文；发送条件包括：固定发送周期、快速发送周期、最小发送间隔和最大连续发送次数N，N为大于或者等于1的整数。一种可能的设计中，根据发送条件检测CAN总线上传输的第一报文是否发送异常，包括：确定第一报文属于第一类型的CAN报文；第一报文与第一报文的前一条报文(如第一报文之前的(N-1)个周期事件型报文中的最后一条报文)对应的信号取值不同的情况下，如果第一报文的发送频率不满足最小发送间隔，则确定第一报文发送异常，如果第一报文的发送频率满足最小发送间隔，则确定第一报文发送正常；在第一报文发送之前的(N-1)个周期事件型报文对应的信号取值不同的情况下，如果第一报文的发送频率不满足快速发送间隔，则确定第一报文为异常报文。一种可能的设计中，根据发送条件检测CAN总线上传输的第一报文是否发送异常，包括：确定第一报文属于第一类型的CAN报文；如果第一报文的发送不满足最小发送间隔，则确定第一报文发送异常；如果在第一报文的发送满足最小发送间隔，并且在第一报文的发送之前，包括第一报文在内的连续发送的N个CAN报文对应的信号取值未发生变化的情况下，第一报文的发送频率不满足固定发送周期，则确定第一报文为异常报文，反之，如果第一报文的发送频率满足固定发送周期，则确定第一报文发送正常。基于该可能的设计，对于周期事件型报文，获取周期事件型报文对应的正常发送周期、快速发送周期、连续发送次数和最小发送间隔。实时监控CAN总线时，对于属于周期事件型报文的CAN报文，监控CAN报文的信号取值和CAN报文的发送频率。异常检测时，根据CAN报文周期、CAN报文发送类型和CAN报文的信号取值综合判断是否出现异常。如此，能够在出现周期事件型报文时不发生误报的情况，同时能够检测周期事件型报文出现的频率异常，从而发现针对周期事件型报文的攻击。第二方面，本申请提供一种装置，该装置可以为IDS系统或者IDS系统中的芯片或者片上系统，还可以为IDS系统中用于实现本申请实施例所述的异常检测方法的模块或者单元，或者为其他能够实现IDS系统执行的方法的模块或者单元。该装置可以实现上述第一方面或者各可能的设计中IDS系统所执行的功能。一种设计中，该装置可以包括执行第一方面中所描述的方法/操作/步骤/动作所一一对应的模块单元、或手段(means)，该模块、单元、或means可以通过硬件实现，软件实现，或者通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块或单元。如该装置可以包括：处理单元；处理单元，获取第一类型的控制器区域网络CAN报文发送时需满足的发送条件；根据发送条件检测CAN总线上传输的第一报文是否发送异常，其中，第一报文属于第一类型的CAN报文。其中，如该装置的具体实现方式可以参考第一方面或第一方面的任一可能的设计提供的异常检测方法中IDS系统的行为功能，在此不再重复赘述。因此，该提供的装置可以达到与第一方面或者第一方面的任一可能的设计相同的有益效果。第三方面，提供了一种装置，该装置可以为IDS系统或者IDS系统中的芯片或者片上系统，或者为其他能够实现IDS系统侧方法的模块或者单元。该装置可以实现上述第一方面或者各可能的设计中IDS系统所执行的功能，所述功能可以通过硬件实现。一种可能的设计中，该装置可以包括：处理器和通信接口，处理器用于获取第一类型的控制器区域网络CAN报文发送时需满足的发送条件；根据发送条件检测CAN总线上传输的第一报文是否发送异常，其中，第一报文属于第一类型的CAN报文。在又一种可能的设计中，第三方面装置还可以包括存储器，存储器用于保存计算机指令和/或数据。当该装置运行时，该处理器执行该存储器保存的该计算机指令，以使该装置执行上述第一方面或者第一方面的任一种可能的设计所述的异常检测方法。第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面或者上述方面的任一可能的设计所述的异常检测方法。第五方面，提供了一种包含指令的计算机程序产本文档来自技高网...

【技术保护点】
1.一种异常检测方法，其特征在于，所述方法包括：/n获取第一类型的控制器区域网络CAN报文发送时需满足的发送条件；/n根据所述发送条件检测CAN总线上传输的第一报文是否发送异常，其中，所述第一报文属于所述第一类型的CAN报文。/n

【技术特征摘要】
【国外来华专利技术】1.一种异常检测方法，其特征在于，所述方法包括：
获取第一类型的控制器区域网络CAN报文发送时需满足的发送条件；
根据所述发送条件检测CAN总线上传输的第一报文是否发送异常，其中，所述第一报文属于所述第一类型的CAN报文。


2.根据权利要求1所述的方法，其特征在于，
第一类型的CAN报文为周期使能型报文；
所述发送条件包括：固定发送周期、快速发送周期、最小发送间隔和信号取值。


3.根据权利要求2所述的方法，其特征在于，所述根据所述发送条件检测CAN总线上传输的第一报文是否发送异常，包括：
如果所述第一报文的发送频率不满足所述最小发送间隔，则确定所述第一报文发送异常；
如果所述第一报文的发送频率满足所述最小发送间隔，则根据所述固定发送周期、所述快速发送周期和所述信号取值，确定所述第一报文是否异常。


4.根据权利要求3所述的方法，其特征在于，所述根据所述固定发送周期、所述快速发送周期和信号取值，确定所述第一报文是否异常，包括：
确定所述第一报文属于所述第一类型的CAN报文；
如果根据所述信号取值，确定所述第一报文处于使能状态，若所述第一报文的发送频率不满足所述快速发送周期，则确定所述第一报文为异常报文；
如果根据所述信号取值，确定所述第一报文处于非使能状态，若所述第一报文的发送频率不满足所述固定发送周期，则确定所述第一报文为异常报文。


5.根据权利要求1所述的方法，其特征在于，
第一类型的CAN报文为周期事件型报文；
所述发送条件包括：固定发送周期、快速发送周期、最小发送间隔和最大连续发送次数N，所述N为大于或者等于1的整数。


6.根据权利要求5所述的方法，其特征在于，所述根据所述发送条件检测CAN总线上传输的第一报文是否发送异常，包括：
确定所述第一报文属于所述第一类型的CAN报文；
在所述第一报文与所述第一报文发送之前的所述(N-1)个周期事件型报文中最后一个报文对应的信号取值不同的情况下，如果所述第一报文的发送频率不满足所述最小发送间隔，则确定所述第一报文发送异常，如果所述第一报文的发送频率满足所述最小发送间隔，则确定所述第一报文发送正常；
在所述第一报文发送之前的所述(N-1)个周期事件型报文对应的信号取值不同的情况下，如果所述第一报文的发送频率不满足所述快速发送间隔，则确定所述第一报文是否异常。


7.根据权利要求5所述的方法，其特征在于，所述根据所述发送条件检测CAN总线上传输的第一报文是否发送异常，包括：
确定所述第一报文属于所述第一类型的CAN报文；
如果所述第一报文的发送不满足所述最小发送间隔，则确定所述第一报文发送异常；
如果在所述第一报文的发送满足所述最小发送间隔，并且在所述第一报文的发送之前，包括所述第一报文在内的连续发送的N个CAN报文对应的信号取值未发生变化的情况下，所述第一报文的发送频率不满足所述固定发送周期，则确定所述第一报文为异常报文，反之，如果所述第一报文的发送频率满足所述固定发送周期，则确定所述第一报文发送正常。


8.一种装置，其特征在于，所述装置包括：
处理单元，用于获取第一类型的控制器区域网络CAN报文发送时需满足的发送条件；
所述处理单元，还用于根据所述发送条件检测CAN总线上传输的第一报文是否发送异常，其中，所述第一报文属于所述第...

【专利技术属性】
技术研发人员：郭志鹏，彭建芬，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44