一种针对充电桩CAN网络的入侵检测方法及系统技术方案

本发明专利技术公开了一种针对充电桩CAN网络的入侵检测方法及系统，通过实时监控报文数据并加以分析，在发现异常报文时告警并采取应对措施以阻断攻击，降低攻击风险。还提供了针对充电桩CAN网络的入侵检测模型，该模型包括：数据采集与处理模块，所述数据采集与处理模块包括：报文监听模块和协议数据包解析模块；入侵检测引擎模块，所述入侵检测引擎模块包括：有限状态机检测模块和马氏距离检测模块；事件处理模块，所述事件处理模块包括：错误告警模块和日志记录模块。本发明专利技术提出的入侵检测方法能够提高充电桩CAN网络的安全性，发现造成充电桩系统故障的攻击行为，帮助充电桩系统采取有效的防御措施阻断攻击，保障充电安全、车辆安全和电网安全稳定运行。电网安全稳定运行。电网安全稳定运行。

【技术实现步骤摘要】
一种针对充电桩CAN网络的入侵检测方法及系统


[0001]本专利技术涉及充电桩CAN网络安全
，尤其涉及一种针对充电桩CAN网络的入侵检测方法及系统。

技术介绍

[0002]充电桩CAN网络入侵检测技术可以帮助充电桩系统抵御网络攻击，及时阻断攻击，最大程度上使充电桩系统摆脱攻击的威胁。控制局域网(Controller Area Network，CAN)作为充电桩和智能电动汽车的充电通信协议，在安全性方面考虑不足，已有黑客入侵充电桩CAN网络导致偷电和充电桩功能异常等问题。目前，缺乏针对充电桩CAN网络的安全手段的相关研究。传统的入侵检测算法检测充电桩CAN网络的攻击类型覆盖面不足，并且对于目前充电桩的树莓PI硬件环境来说，复杂算法计算开销大，影响检测的实时性，所以需要提出适用于充电桩的入侵检测模型，抵御网络攻击，保障充电安全、车辆安全和电网安全稳定运行。

技术实现思路

[0003]本专利技术提出一种针对充电桩CAN网络的入侵检测方法及系统，可以检测DoS、丢弃、欺骗、篡改和重放等多种网络攻击，及时阻断攻击，保障充电安全。
[0004]为了达到上述目的，本专利技术技术方案为：
[0005]第一方面提供了一种针对充电桩CAN网络的入侵检测方法，包括：
[0006]S1：对充电桩CAN网络报文进行采集，并对采集的充电桩CAN网络报文进行解析；
[0007]S2：通过结合基于有限状态机的CAN ID域检测和基于马氏距离的CAN数据域检测对解析后的充电桩CAN网络报文进行安全检测；
[0008]S3：对安全检测步骤检测到的异常事件进行处理。
[0009]基于同样的专利技术构思，本专利技术第二方面提供了一种针对充电桩CAN网络的入侵检测系统包括：
[0010]数据包采集与处理模块，用于对充电桩CAN网络报文进行采集，并对采集的充电桩CAN网络报文进行解析；
[0011]入侵检测引擎模块，用于通过结合基于有限状态机的CAN ID域检测和基于马氏距离的CAN数据域检测对解析后的充电桩CAN网络报文进行安全检测；
[0012]事件处理模块，用于对安全检测步骤检测到的异常事件进行处理。
[0013]在一种实施方式中，数据包采集与处理模块包括：
[0014]监听程序模块，用于对充电桩CAN网络原始报文进行采集，配置CAN接口的端口号、波特率和模式，采集充电桩CAN总线接口报文数据，读入CAN帧结构体中；
[0015]协议包解析模块，用于根据充电桩CAN网络报文帧格式进行字段解析，根据充电桩CAN网络报文ID分析数据域中各字段现实含义，其中，充电桩CAN网络报文帧格式包括优先级P、源地址、目的地址、报文PGN编号、DLC和数据域Data。
[0016]在一种实施方式中，入侵检测引擎模块包括：
[0017]有限状态机检测模块，用于对CAN ID域进行检测，包括状态机创建阶段和检测阶段，其中，状态机创建阶段通过构建充电桩有限状态机模型，将充电桩正常充电流程抽象为有限状态机迁移过程，定义协议状态集、初始状态、输入输出集、状态转移函数和输出函数，并得到报文匹配状态转移表，报文匹配状态转移表中存储的信息包括当前状态、下一状态和事件，事件通过事件结构体存储，具体包括收到的报文序列号和报文数据域；检测阶段根据报文匹配状态转移表中的当前状态和事件分析是否为正常状态迁移过程，当为正常状态迁移过程时进入马氏距离检测模块，否则进入事件处理模块；
[0018]马氏距离检测模块，用于对CAN数据域进行检测，包括指标标定阶段和检测阶段，其中，指标标定阶段通过分析正常充电桩CAN样本数据，得到不同CAN ID的马氏距离置信区间和相邻变化量阈值；检测阶段计算报文当前消息数据域与训练样本之间的第一马氏距离，并与指标标定阶段计算的对应的CAN ID的马氏距离置信区间进行比较，如果超出对应的CAN ID的马氏距离置信区间，则进入事件处理模块，再计算报文当前消息数据域与相邻且相同ID的报文数据域之间的第二马氏距离，并与指标标定阶段计算的相邻变化量阈值进行比较，如果超出相邻变化量阈值，则进入事件处理模块。
[0019]在一种实施方式中，有限状态机检测模块的状态机创建阶段具体包括如下步骤：
[0020]S2.1.1：分析充电桩CAN协议报文类型，构建帧ID白名单；
[0021]S2.1.2：将CAN协议指令状态映射为所构建的有限状态机状态，为状态集S，
[0022][0023]其中，Start表示初始状态，Handshaking表示握手状态，Recognizing表示辨识状态，Configuring表示配置状态，Unready_Charge表示充电未就绪状态，Charging表示充电状态，Acconting表示数据统计状态，Finish表示结束状态；
[0024]S2.1.3：将充电桩关闭状态定义为FSM的初始状态s0；
[0025]S2.1.4：将达到各状态需要接收到的指令合并为一个集合，定义为输入集，记为I,
[0026]I＝{BHM,BRM
00
,BCP,BRO
00
,BRO
AA
,BCL,BCS,BSM,BST,BSD}#；
[0027]其中，BHM表示BMS握手报文，BRM
00
表示BMS和车辆辨识报文，BCP表示动力蓄电池充电参数报文，BRO
00
表示BMS充电准备就绪报文，BRO
AA
表示BMS充电准备就绪报文，BCL表示电池充电需求报文，BCS表示电池充电总状态报文，BSM表示BMS发送动力蓄电池状态信息报文，BST表示BMS中止充电报文，BSD表示BMS统计数据报文；
[0028]S2.1.5：将每个状态转移到其他状态所发送的指令合并为一个集合，定义为输出集，记为O,
[0029]O＝{CHM,CRM
00
,CRM
AA
,CTS,CRO
00
,CRO
AA
,CCS,CST,CSD}#；
[0030]其中，CHM表示充电机握手报文，CRM
00
表示充电机辨识报文，CRM
AA
表示充电机辨识报文，CTS表示充电机发送时间同步信息报文，CRO
00
表示充电机输出准备就绪报文，CRO
AA
表示充电机输出准备就绪报文，CCS表示充电机充电状态报文，CST表示充电机中止充电报文，CSD表示充电机统计数据报文；
[0031]S2.1.6：将控制指令中从一个状态转到下一状态的过程及对应的输入I
n
定义为一个状态转移函数，集合记为δ；
[0032]S2.1.7：将控制指令中从一个状态转到下一状态的过程及对应的输出Q
n
定义为一个输出函数，集合记为λ。
[0033]在一种实施方式中，有限状态机检测模块的检本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对充电桩CAN网络的入侵检测方法，其特征在于，包括：S1：对充电桩CAN网络报文进行采集，并对采集的充电桩CAN网络报文进行解析；S2：通过结合基于有限状态机的CAN ID域检测和基于马氏距离的CAN数据域检测对解析后的充电桩CAN网络报文进行安全检测；S3：对安全检测步骤检测到的异常事件进行处理。2.一种针对充电桩CAN网络的入侵检测系统，其特征在于，包括：数据包采集与处理模块，用于对充电桩CAN网络报文进行采集，并对采集的充电桩CAN网络报文进行解析；入侵检测引擎模块，用于通过结合基于有限状态机的CAN ID域检测和基于马氏距离的CAN数据域检测对解析后的充电桩CAN网络报文进行安全检测；事件处理模块，用于对安全检测步骤检测到的异常事件进行处理。3.如权利要求2所述的针对充电桩CAN网络的入侵检测系统，其特征在于，数据包采集与处理模块包括：监听程序模块，用于对充电桩CAN网络原始报文进行采集，配置CAN接口的端口号、波特率和模式，采集充电桩CAN总线接口报文数据，读入CAN帧结构体中；协议包解析模块，用于根据充电桩CAN网络报文帧格式进行字段解析，根据充电桩CAN网络报文ID分析数据域中各字段现实含义，其中，充电桩CAN网络报文帧格式包括优先级P、源地址、目的地址、报文PGN编号、DLC和数据域Data。4.如权利要求2所述的针对充电桩CAN网络的入侵检测系统，其特征在于，入侵检测引擎模块包括：有限状态机检测模块，用于对CAN ID域进行检测，包括状态机创建阶段和检测阶段，其中，状态机创建阶段通过构建充电桩有限状态机模型，将充电桩正常充电流程抽象为有限状态机迁移过程，定义协议状态集、初始状态、输入输出集、状态转移函数和输出函数，并得到报文匹配状态转移表，报文匹配状态转移表中存储的信息包括当前状态、下一状态和事件，事件通过事件结构体存储，具体包括收到的报文序列号和报文数据域；检测阶段根据报文匹配状态转移表中的当前状态和事件分析是否为正常状态迁移过程，当为正常状态迁移过程时进入马氏距离检测模块，否则进入事件处理模块；马氏距离检测模块，用于对CAN数据域进行检测，包括指标标定阶段和检测阶段，其中，指标标定阶段通过分析正常充电桩CAN样本数据，得到不同CAN ID的马氏距离置信区间和相邻变化量阈值；检测阶段计算报文当前消息数据域与训练样本之间的第一马氏距离，并与指标标定阶段计算的对应的CAN ID的马氏距离置信区间进行比较，如果超出对应的CAN ID的马氏距离置信区间，则进入事件处理模块，再计算报文当前消息数据域与相邻且相同ID的报文数据域之间的第二马氏距离，并与指标标定阶段计算的相邻变化量阈值进行比较，如果超出相邻变化量阈值，则进入事件处理模块。5.如权利要求4所述的针对充电桩CAN网络的入侵检测系统，其特征在于，有限状态机检测模块的状态机创建阶段具体包括如下步骤：S2.1.1：分析充电桩CAN协议报文类型，构建帧ID白名单；S2.1.2：将CAN协议指令状态映射为所构建的有限状态机状态，为状态集S，
其中，Start表示初始状态，Handshaking表示握手状态，Recognizing表示辨识状态，Configuring表示配置状态，Unready_Charge表示充电未就绪状态，Charging表示充电状态，Acconting表示数据统计状态，Finish表示结束状态；S2.1.3：将充电桩关闭状态定义为FSM的初始状态s0；S2.1.4：将达到各状态需要接收到的指令合并为一个集合，定义为输入集，记为I,I＝{BHM,BRM
00
,BCP,BRO
00
,BRO
AA
,BCL,BCS,BSM,BST,BSD}#；其中，BHM表示BMS握手报文，BRM
00
表示BMS和车辆辨识报文，BCP表示动力蓄电池充电参数报文，BRO
00
表示BMS充电准备就绪报文，BRO
AA
表示BMS充电准备就绪报文，BCL表示电池充电需求报文，BCS表示电池充电总状态报文，BSM表示BMS发送动力蓄电池状态信息报文，BST表示BMS中止充电报文，BSD表示BMS统计数据报文；S2.1.5：将每个状态转移到其他状态所发送的指令合并为一个集合，定义为输出集，记为O,O...

【专利技术属性】
技术研发人员：李俊娥，张家升，戴书钰，程昱，刘林彬，
申请(专利权)人：武汉大学，
类型：发明
国别省市：