一种CAN总线入侵检测方法技术

本发明专利技术涉及车载总线领域，特别是涉及一种CAN总线入侵检测方法。所述入侵检测方法包括：检测是否存在注入伪造消息报文入侵；检测是否存在替代模仿ECU消息报文入侵；当检测到不存在注入伪造消息报文入侵及替代模仿ECU消息报文入侵时，则判定不存在CAN总线入侵。上述CAN总线入侵检测方法，基于分析CAN消息报文的时间间隔并校验ECU认证码的机制，来达到同时检测注入伪造消息报文入侵和替代模仿ECU消息报文入侵的效果，简便、高效的实现CAN总线入侵检测，保护司乘人员和汽车的安全。保护司乘人员和汽车的安全。保护司乘人员和汽车的安全。

【技术实现步骤摘要】
一种CAN总线入侵检测方法


[0001]本专利技术涉及车载总线领域，特别是涉及一种CAN总线入侵检测方法。

技术介绍

[0002]在众多的车载总线技术中，CAN总线由于具有稳定、高效、实用等特性，已经成为应用最广泛的车载总线。但是，CAN总线没有足够的安全特性，不具备足够的保护能力以免于恶意攻击。CAN总线把消息向总线中的所有节点广播，一方面，因为每条消息并不含有认证的数据域，这会导致攻击者很容易控制整条总线网络的消息传输；另一方面，由于现代汽车被赋予了除了驾驶之外更多的功能，车厂可以把很多有线设备(例如多媒体车机)以及一些无线网络终端(例如TBOX)等设备接入到汽车中，这就导致现在的汽车更加的开放，因而更加的容易被攻击。这种攻击会导致车辆和驾驶员生命的不安全。
[0003]通常，恶意攻击CAN总线的方式有：1.通过注入伪造与原始消息报文相同CAN ID消息报文的入侵；2.通过禁止ECU的通信功能并替代模仿ECU消息报文的入侵。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供一种CAN总线入侵检测方法，基于分析CAN消息报文的时间间隔并校验ECU认证码的机制，来达到同时检测注入伪造消息报文入侵和替代模仿ECU消息报文入侵的效果，简便、高效的实现CAN总线入侵检测，保护司乘人员和汽车的安全。
[0005]一种CAN总线入侵检测方法，所述入侵检测方法包括：
[0006]检测是否存在注入伪造消息报文入侵；
[0007]检测是否存在替代模仿ECU消息报文入侵；<br/>[0008]当检测到不存在注入伪造消息报文入侵及替代模仿ECU消息报文入侵时，则判定不存在CAN总线入侵。
[0009]在一个实施例中，当检测到存在注入伪造消息报文入侵或者替代模仿ECU消息报文入侵时，采取入侵应对措施。
[0010]在其中一个实施例中，所述检测是否存在注入伪造消息报文入侵的步骤包括：
[0011]获取不存在入侵时CAN ID为ID
detect
的消息报文的常规周期T
normal
；
[0012]获取任意连续两个CAN ID为ID
detect
的消息报文的时间间隔T
interval
；
[0013]判断所述T
interval
是否小于等于1/2T
normal
；
[0014]当判断所述T
interval
小于等于1/2T
normal
时，则判定存在注入伪造消息报文入侵。
[0015]在其中一个实施例中，所述检测是否存在替代模仿ECU消息报文入侵的步骤包括：
[0016]CAN总线网关向ECU发送认证种子码并生成基于所述认证种子码的第一认证钥匙码；
[0017]所述ECU接收所述认证种子码后生成第二认证钥匙码，并将所述第二认证钥匙码发送至所述CAN总线网关；
[0018]判断所述第一认证钥匙码是否与所述第二认证钥匙码一致；
[0019]当判断所述第一认证钥匙码与所述第二认证钥匙码不一致时，则判定存在替代模仿ECU消息报文入侵。
[0020]上述CAN总线入侵检测方法，基于分析CAN消息报文的时间间隔并校验ECU认证码的机制，来达到同时检测注入伪造消息报文入侵和替代模仿ECU消息报文入侵的效果，简便、高效的实现CAN总线入侵检测，保护司乘人员和汽车的安全。
附图说明
[0021]图1为一个实施例中CAN总线入侵检测方法的流程图；
[0022]图2为一个实施例中检测是否存在注入伪造消息报文入侵的流程图；
[0023]图3为一个实施例中注入伪造消息报文入侵攻击的示意图；
[0024]图4为一个实施例中注入伪造消息报文入侵检测的示意图；
[0025]图5为一个实施例中检测是否存在替代模仿ECU消息报文入侵的流程图；
[0026]图6为一个实施例中替代模仿ECU消息报文入侵攻击的示意图；
[0027]图7为一个实施例中替代模仿ECU消息报文入侵检测的示意图。
具体实施方式
[0028]为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用于解释本专利技术，并不用于限定本专利技术。
[0029]图1为一个实施例中CAN总线入侵检测方法的流程图，如图1所示，一种CAN总线入侵检测方法，所述入侵检测方法包括：
[0030]S10，检测是否存在注入伪造消息报文入侵；
[0031]S20，检测是否存在替代模仿ECU消息报文入侵；
[0032]S30，当检测到不存在注入伪造消息报文入侵及替代模仿ECU消息报文入侵时，则判定不存在CAN总线入侵。
[0033]当检测到存在注入伪造消息报文入侵或者替代模仿ECU消息报文入侵时，可以采取入侵应对措施。例如，可以立即发出检测到攻击的报警消息报文，进而可以过滤报文或者关闭CAN总线以达到CAN总线安全的目的。
[0034]需要说明的是，检测是否存在注入伪造消息报文入侵的步骤S10与检测是否存在替代模仿ECU消息报文入侵的步骤S20不存在先后顺序，可以同步进行；也可以先进行检测是否存在注入伪造消息报文入侵的步骤S10再进行检测是否存在替代模仿ECU消息报文入侵的步骤S20；或者先进行检测是否存在替代模仿ECU消息报文入侵的步骤S20再进行检测是否存在注入伪造消息报文入侵的步骤S10。
[0035]具体地，每台连接到CAN总线的ECU发送消息报文都是有规律的，所以具有相同CAN ID的消息报文都会以一个常规的周期经由ECU产生和发送到CAN总线上。为了检测注入伪造消息报文的入侵，比较具有相同CAN ID的当前消息报文和上一次消息报文的时间间隔，如果时间间隔周期比常规的要短一倍以上，那么就可以认为是有伪造的消息报文注入攻击发生了。但是，有的攻击者可以通过CAN总线协议使得ECU停止CAN通信报文的接收和发送，并
模仿这个ECU的消息报文，使得模仿的消息报文的时间间隔跟原始ECU的消息报文的时间间隔一样，从时间间隔上并不能区分是原始的ECU发送的还是被替代模仿的ECU发送的消息报文。所以，为了同时检测到替代模仿ECU消息报文的入侵，在以上分析CAN消息报文时间间隔的基础上，增加替代模仿ECU消息报文入侵的检测。
[0036]本专利技术基于分析CAN消息报文的时间间隔并校验ECU认证码的机制，来达到同时检测注入伪造消息报文入侵和替代模仿ECU消息报文入侵的效果，简便、高效的实现CAN总线入侵检测，保护司乘人员和汽车的安全。
[0037]图2为一个实施例中检测是否存在注入伪造消息报文入侵的流程图，如图2所示，所述检测是否存在注入伪造消息报文入侵的步骤S10可以包括：
[0038]S11，获取不存在入侵时CAN ID为ID
detect<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种CAN总线入侵检测方法，其特征在于，所述入侵检测方法包括：检测是否存在注入伪造消息报文入侵；检测是否存在替代模仿ECU消息报文入侵；当检测到不存在注入伪造消息报文入侵及替代模仿ECU消息报文入侵时，则判定不存在CAN总线入侵。2.根据权利要求1所述的入侵检测方法，其特征在于，所述检测是否存在注入伪造消息报文入侵的步骤包括：获取不存在入侵时CAN ID为ID
detect
的消息报文的常规周期T
normal
；获取任意连续两个CAN ID为ID
detect
的消息报文的时间间隔T
interval
；判断所述T
interval

【专利技术属性】
技术研发人员：吴凯，
申请(专利权)人：南昌济铃新能源科技有限责任公司，
类型：发明
国别省市：