本发明专利技术公开了一种车载网络IDPS联防联动系统,包括:多个ETH-IDPS节点,每个ETH-IDPS节点包括ETH-IDPS组件、SOME/IP Server端和SOME/IP Client端,SOME/IP Server端接收ETH-IDPS组件生成的入侵检测结果,将入侵检测结果中的入侵事件输出,并根据入侵检测结果生成规则更新事件输出;ETH-IDPS节点的SOME/IP Client端订阅其他ETH-IDPS节点输出的规则更新事件,判断是否更新规则文件。通过实施本发明专利技术,在ETH-IDPS节点中部署SOME/IP Server端和SOME/IP Client端实现了多个节点之间的联防联动。之间的联防联动。之间的联防联动。
【技术实现步骤摘要】
一种车载网络IDPS联防联动系统
[0001]本专利技术涉及车载网络
,具体涉及一种车载网络IDPS联防联动系统。
技术介绍
[0002]车辆入侵检测与防御系统(Intrusion Detection&Prevention System,IDPS),用来检测针对车辆内部网络的入侵事件,包括can网络入侵,以太网的入侵,并通过4G或者5G网络将威胁事件上报到态势感知平台进行呈现,然后对威胁事件进行分析,将处理结果与防护策略再下发给终端进行防护。
[0003]随着以太网在汽车内的普及,支持以太网的节点也越来越来,进而需要部署以太网-车辆入侵检测与防御系统(ETH-IDPS)的节点也越来越多,一般情况下,每一路CAN总线上部署一个CAN-IDS(基于CAN总线入侵检测系统)程序,每一个具备以太网通信能力的终端上部署一个ETH-IDPS程序。在一般的整车IDPS防御系统拓扑结构中,所有的检测节点(如ETH-IDPS)都是独立的,之间无法实现互联互通。
[0004]并且,ETH-IDPS对威胁报文的检测是通过各种规则文件里配置的规则条目进行匹配检测的,而检测规则又分为很多类,比如端口扫描类的规则文件,SSH协议攻击的规则检测文件、HTTP协议攻击的规则检测文件,而每一类规则文件中,又有非常多的针对该类的检测规则,从而对不同网络攻击报文进行精准识别。如果对某一类攻击配置了检测规则,则可以检测出来攻击,如果没有配置,则无法检测出来,而车内所有的ETH-IDPS节点配置的检测规则选项也不尽相同。当某一个节点检测出一类攻击后,很有可能这类攻击会对其他节点造成严重威胁,而其他有的节点并没有配置相关的检测规则,就会造成严重的后果。
技术实现思路
[0005]有鉴于此,本专利技术实施例提供了涉及一种车载网络IDPS联防联动系统,以解决现有技术中整车防御系统中ETH-IDPS检测节点无法实现互联互通,导致存在攻击威胁的技术问题。
[0006]本专利技术提出的技术方案如下:
[0007]本专利技术实施例第一方面提供一种车载网络IDPS联防联动系统,包括:多个ETH-IDPS节点,每个ETH-IDPS节点包括ETH-IDPS组件、SOME/IP Server端和SOME/IP Client端,所述SOME/IP Server端接收所述ETH-IDPS组件生成的入侵检测结果,将所述入侵检测结果中的入侵事件输出,并根据所述入侵检测结果生成规则更新事件输出;所述ETH-IDPS节点的SOME/IP Client端订阅其他ETH-IDPS节点输出的规则更新事件,根据所述规则更新事件判断是否更新规则文件。
[0008]根据本专利技术实施例第一方面,在第一方面第一实施方式中,车载网络IDPS联防联动系统还包括:中央连接管理模块,所述中央连接管理模块订阅所述入侵事件,将所述入侵事件上报;所述中央连接管理模块部署在具有联网功能的终端上,所述终端包括车载T-BOX以及智能网关,所述终端中包括ETH-IDPS节点;所述ETH-IDPS节点部署在具备以太网
通信功能的终端产品上,所述终端产品包括底盘域、车身域、动力域以及娱乐域。
[0009]根据本专利技术实施例第一方面,在第一方面第二实施方式中,所述规则更新事件包括:规则文件名称、检测规则的唯一识别码以及具体的检测规则。
[0010]根据本专利技术实施例第一方面第二实施方式,在第一方面第三实施方式中,所述ETH-IDPS节点根据所述规则文件名称判断是否存在对应的规则文件,若存在,根据所述检测规则的唯一识别码判断对应的规则文件中对应的规则条目是否存在,若不存在,根据所述具体的检测规则将检测规则添加到对应的规则文件中。
[0011]根据本专利技术实施例第一方面,在第一方面第四实施方式中,车载网络IDPS联防联动系统还包括:多个CAN-IDS节点,每个CAN-IDS节点将检测的威胁信息发送至ETH-IDPS节点。
[0012]根据本专利技术实施例第一方面,在第一方面第五实施方式中,车载网络IDPS联防联动系统还包括:态势感知平台,所述态势感知平台接收所述中央连接管理模块上报的入侵事件,将所述入侵事件展示;所述态势感知平台部署在云端。
[0013]根据本专利技术实施例第一方面,在第一方面第六实施方式中,车载网络IDPS联防联动系统还包括:数据分析处理单元,所述数据分析处理单元用于对所述入侵事件进行分析处理,生成防御策略,将所述防御策略下发至多个ETH-IDPS节点。
[0014]根据本专利技术实施例第一方面,在第一方面第七实施方式中,车载网络IDPS联防联动系统还包括:内核防火墙,所述内核防火墙用于获取网络报文数据流置于队列中,供所述ETH-IDPS组件读取。
[0015]根据本专利技术实施例第一方面第七实施方式,在第一方面第八实施方式中,所述内核防火墙还用于根据所述ETH-IDPS组件的入侵检测结果判断所述网络报文是否合法,当合法时,将所述网络报文转发,当不合法时,将所述网络攻击报文丢弃。
[0016]根据本专利技术实施例第一方面,在第一方面第九实施方式中,所述ETH-IDPS组件用于获取网络报文数据包、传输层协议解析、模式匹配、在规则库中进行规则检测、生成入侵检测结果。
[0017]本专利技术提供的技术方案,具有如下效果:
[0018]本专利技术实施例提供的车载网络IDPS联防联动系统,通过在ETH-IDPS节点中部署SOME/IP Server端和SOME/IP Client端,SOME/IP Server端将接收的入侵检测结果中的入侵事件输出,并根据所述入侵检测结果生成规则更新事件输出;ETH-IDPS节点的SOME/IP Client端订阅其他ETH-IDPS节点输出的规则更新事件,根据规则更新事件判断是否更新规则文件。由此,在ETH-IDPS节点中部署SOME/IP Server端和SOME/IP Client端实现了多个ETH-IDPS节点之间的联防联动,当某一个节点检测出一类攻击后,其他节点也可以更新其相关的检测规则,避免这类攻击对其他节点造成严重威胁。
附图说明
[0019]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0020]图1是根据本专利技术实施例的车载网络IDPS联防联动系统的结构框图;
[0021]图2是根据本专利技术实施例的车载网络IDPS联防联动系统的工作流程图;
[0022]图3是根据本专利技术另一实施例的车载网络IDPS联防联动系统的工作流程图;
[0023]图4根据本专利技术实施例提供的电子设备的结构示意图。
具体实施方式
[0024]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种车载网络IDPS联防联动系统,其特征在于,包括:多个ETH-IDPS节点,每个ETH-IDPS节点包括ETH-IDPS组件、SOME/IP Server端和SOME/IP Client端,所述SOME/IP Server端接收所述ETH-IDPS组件生成的入侵检测结果,将所述入侵检测结果中的入侵事件输出,并根据所述入侵检测结果生成规则更新事件输出;所述ETH-IDPS节点的SOME/IP Client端订阅其他ETH-IDPS节点输出的规则更新事件,根据所述规则更新事件判断是否更新规则文件。2.根据权利要求1所述的车载网络IDPS联防联动系统,其特征在于,还包括:中央连接管理模块,所述中央连接管理模块订阅所述入侵事件,将所述入侵事件上报;所述中央连接管理模块部署在具有联网功能的终端上,所述终端包括车载T-BOX以及智能网关,所述终端中包括ETH-IDPS节点;所述ETH-IDPS节点部署在具备以太网通信功能的终端产品上,所述终端产品包括底盘域、车身域、动力域以及娱乐域。3.根据权利要求1所述的车载网络IDPS联防联动系统,其特征在于,所述规则更新事件包括:规则文件名称、检测规则的唯一识别码以及具体的检测规则。4.根据权利要求3所述的车载网络IDPS联防联动系统,其特征在于,所述ETH-IDPS节点根据所述规则文件名称判断是否存在对应的规则文件,若存在,根据所述检测规则的唯一识别码判断对应的规则文件中对...
【专利技术属性】
技术研发人员:齐辉,辛克铎,罗承刚,靳龙辉,段树明,邱亮,
申请(专利权)人:国汽北京智能网联汽车研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。