车载网络入侵检测方法、装置、电子设备及存储介质制造方法及图纸

本公开提供了一种车载网络入侵检测方法、装置、电子设备及存储介质，涉及汽车信息安全领域。该方法包括：获取可信流量规则表；根据所述可信流量规则表，获取待检测流量的流量可信度；确定网络入侵检测引擎的负载状态；所述网络入侵检测引擎的负载状态包括：低负载状态、中负载状态、高负载状态、以及异常状态；将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤；若所述待检测流量不需要过滤，则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。采用本方法能够有效减轻网络入侵检测系统的负担。络入侵检测系统的负担。络入侵检测系统的负担。

【技术实现步骤摘要】
车载网络入侵检测方法、装置、电子设备及存储介质


[0001]本公开涉及汽车信息安全领域，尤其涉及一种车载网络入侵检测方法、装置、电子设备及存储介质。

技术介绍

[0002]智能化、网联化是汽车未来的发展趋势，网络安全防护对于车辆安全起着至关重要的作用。Autosar(Automotive Open System Architecture，即汽车开放系统架构)组织提出AP(Adaptive Platform，自适应平台)，AP系统主要提供高性能的计算和通信机制，并提供灵活的软件配置，例如支持OTA(Over The Air，空中下载技术)，其搭载在车载中央网关或者域控制器上。为保证Autosar AP系统不受外部侵犯，各大主机厂在Autosar AP系统上部署网络入侵检测系统。
[0003]现有技术中，在Autosar AP系统以容器方式部署和集成一个网络入侵检测系统，通过配置容器资源占用参数来限制对系统资源的过载使用。然而，现有技术虽然可以解决入侵检测系统资源占用过载的问题，但是当网络流量突增或者系统资源不足时，网络入侵检测引擎可能会因频繁触发到容器设置的资源上限值，导致容器反复重启的问题。
[0004]因此，如何减轻网络入侵检测系统的负担，减少触发容器资源上限的频率是当前亟需解决的问题。

技术实现思路

[0005]为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种车载网络入侵检测方法、装置、电子设备及存储介质，解决了现有技术网络入侵检测引擎因频繁触发到容器设置的资源上限值，导致容器反复重启的问题。
[0006]为了提高网络入侵检测效率和系统资源消耗，可以在入侵检测前对待检测流量进行数据过滤，过滤掉一些无需检测的数据。
[0007]为了实现上述目的，本公开实施例提供技术方案如下：
[0008]第一方面，本公开的实施例提供一种车载网络入侵检测方法，所述方法包括：
[0009]获取可信流量规则表；所述可信流量规则表包括：连接五元组、连接方向、流量触发时间段、连接发生频率、流量关联应用信誉度、以及流量可信度；
[0010]根据所述可信流量规则表，获取待检测流量的流量可信度；
[0011]确定网络入侵检测引擎的负载状态；所述网络入侵检测引擎的负载状态包括：低负载状态、中负载状态、高负载状态、以及异常状态；
[0012]将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤；
[0013]若所述待检测流量不需要过滤，则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。
[0014]作为本公开实施例一种可选的实施方式，所述获取可信流量规则表，包括：
[0015]获取待检测流量的报文信息、流量触发时间段、连接发生频率、以及流量关联应用信誉度；所述待检测流量的报文信息包括连接五元组和连接方向；
[0016]根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度，确定所述待检测流量的流量可信度；
[0017]根据所述待检测流量的报文信息、所述流量触发时间段、所述连接发生频率、所述流量关联应用信誉度、以及所述待检测流量的流量可信度，获取可信流量规则表。
[0018]作为本公开实施例一种可选的实施方式，所述根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度，确定所述待检测流量的流量可信度，包括：
[0019]根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度的乘积，获取所述待检测流量的流量可信度。
[0020]作为本公开实施例一种可选的实施方式，所述确定网络入侵检测引擎的负载状态，包括：
[0021]根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值，确定所述网络入侵检测引擎的负载状态。
[0022]作为本公开实施例一种可选的实施方式，所述根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值，确定所述网络入侵检测引擎的负载状态，包括：
[0023]当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值小于等于第一预设值时，确定所述网络入侵检测引擎的负载状态为低负载状态；
[0024]当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第一预设值，且小于等于第二预设值时，确定所述网络入侵检测引擎的负载状态为中负载状态；
[0025]当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第二预设值，且小于等于第三预设值时，确定所述网络入侵检测引擎的负载状态为高负载状态；
[0026]当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第三预设值，且小于等于第四预设值时，确定所述网络入侵检测引擎的负载状态为异常状态。
[0027]作为本公开实施例一种可选的实施方式，在将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤之前，所述方法还包括：
[0028]根据所述流量可信度和所述网络入侵检测引擎的负载状态，设置流量过滤规则。
[0029]作为本公开实施例一种可选的实施方式，根据所述流量可信度和所述网络入侵检测引擎的负载状态，设置流量过滤规则，包括：
[0030]根据所述流量可信度将所述待检测流量划分为高可信度流量、中可信度流量、以及低可信度流量中的任意一个；
[0031]当所述网络入侵检测引擎的负载状态为低负载状态时，则无需过滤流量；
[0032]当所述网络入侵检测引擎的负载状态为中负载状态时，则过滤掉所述高可信度流量；
[0033]当所述网络入侵检测引擎的负载状态为高负载状态时，则过滤掉所述高可信度流量和所述中可信度流量；
[0034]当所述网络入侵检测引擎的负载状态为异常状态时，则过滤掉所述高可信度流量、所述中可信度流量、以及所述低可信度流量。
[0035]第二方面，本公开实施例提供一种车载网络入侵检测装置，包括：
[0036]规则表获取模块，用于获取可信流量规则表；所述可信流量规则表包括：连接五元组、连接方向、流量触发时间段、连接发生频率、流量关联应用信誉度、以及流量可信度；
[0037]可信度获取模块，用于根据所述可信流量规则表，获取待检测流量的流量可信度；
[0038]状态确定模块，用于确定网络入侵检测引擎的负载状态；所述网络入侵检测引擎的负载状态包括：低负载状态、中负载状态、高负载状态、以及异常状态；
[0039]流量过滤模块，用于将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤；
[0040]入侵检测模块，用于若所述待检测流量不需要过滤，则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种车载网络入侵检测方法，其特征在于，包括：获取可信流量规则表；所述可信流量规则表包括：连接五元组、连接方向、流量触发时间段、连接发生频率、流量关联应用信誉度、以及流量可信度；根据所述可信流量规则表，获取待检测流量的流量可信度；确定网络入侵检测引擎的负载状态；所述网络入侵检测引擎的负载状态包括：低负载状态、中负载状态、高负载状态、以及异常状态；将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤；若所述待检测流量不需要过滤，则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。2.根据权利要求1所述的方法，其特征在于，所述获取可信流量规则表，包括：获取待检测流量的报文信息、流量触发时间段、连接发生频率、以及流量关联应用信誉度；所述待检测流量的报文信息包括连接五元组和连接方向；根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度，确定所述待检测流量的流量可信度；根据所述待检测流量的报文信息、所述流量触发时间段、所述连接发生频率、所述流量关联应用信誉度、以及所述待检测流量的流量可信度，获取可信流量规则表。3.根据权利要求2所述的方法，其特征在于，所述根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度，确定所述待检测流量的流量可信度，包括：根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度的乘积，获取所述待检测流量的流量可信度。4.根据权利要求1所述的方法，其特征在于，所述确定网络入侵检测引擎的负载状态，包括：根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值，确定所述网络入侵检测引擎的负载状态。5.根据权利要求4所述的方法，其特征在于，所述根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值，确定所述网络入侵检测引擎的负载状态，包括：当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值小于等于第一预设值时，确定所述网络入侵检测引擎的负载状态为低负载状态；当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第一预设值，且小于等于第二预设值时，确定所述网络入侵检测引擎的负载状态为中负载状态；当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第二预设值，且小于等于第三预设值...

【专利技术属性】
技术研发人员：纪建芳，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：