【技术实现步骤摘要】
本申请涉及车载通信,特别是涉及一种入侵检测方法、装置、计算机设备和存储介质。
技术介绍
1、随着汽车“电动化,网联化,智能化,共享化”新四化的推进,汽车的电子化程度也越来越高。由于车载电脑(electronic control unit、ecu)众多、车载通信网络(例如can,controller area network网络)复杂,一旦车辆通过网络与外界建立通信,可能会使得原本封闭的车载通信网络存在被入侵的可能性。
2、传统技术中,为了保证车载通信网络的通信安全性,提出了基于表现行为特性的入侵检测模式,该检测软件中:基于连接在车载通信网络(例如,can网络)上的ecu有着独特的行为特性,对于接收到的任一can报文,如果该can报文和已识别的ecu无法配对,则认为ecu被损坏入侵了。检测软件输出入侵告警信号。
3、但是,各种新的入侵方式层出不穷,相应检测方式的滞后可能会影响入侵检测的准确性,故,亟需改进。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种能够提高检测软件更新效率的入侵检测方法、装置、计算机设备和存储介质。
2、第一方面,本申请提供了一种入侵检测方法,该方法包括:
3、对获取的待检测报文进行解析,得到待检测报文的报文标识和报文内容;
4、采用标识规则链,对待检测报文的报文标识进行检测,得到第一检测结果;
5、采用内容规则链,对待检测报文的报文内容进行检测,得到第二检测结果;
7、在其中一个实施例中,待检测报文的数量为至少两个;采用内容规则链,对待检测报文的报文内容进行检测,得到第二检测结果,包括:
8、根据组包容量和各待检测报文的获取时间,对各待检测报文的报文内容进行组包,得到至少一个报文包;
9、采用内容规则链,对至少一个报文包进行检测,得到各待检测报文的第二检测结果。
10、在其中一个实施例中,采用内容规则链,对待检测报文的报文信息进行检测,得到第二检测结果,包括:
11、根据待检测报文的获取时间,确定待检测报文对应的已检测报文;
12、若已检测报文对应的入侵检测结果为存在入侵,且入侵方式为连续入侵方式,则采用内容规则链中与连续入侵方式对应的内容检测规则,对待检测报文的报文内容进行检测,得到第二检测结果。
13、在其中一个实施例中,采用内容规则链中与连续入侵方式对应的内容检测规则,对待检测报文的报文内容进行检测,得到第二检测结果,包括:
14、采用内容规则链中与连续入侵方式对应的内容检测规则,对待检测报文的报文内容进行检测,得到中间检测结果;
15、若中间检测结果为待检测报文不存在连续入侵方式,则采用内容规则链中除连续入侵方式对应的内容检测规则之外的其他内容检测规则,对待检测报文的报文内容进行检测,得到第二检测结果。
16、在其中一个实施例中,采用标识规则链,对待检测报文的报文标识进行检测,得到第一检测结果,包括:
17、确定待检测报文的报文标识所归属的目标标识类别;
18、采用标识规则链中与目标标识类别对应的标识检测规则,对待检测报文的报文标识进行检测,得到第一检测结果。
19、在其中一个实施例中,采用标识规则链中与目标标识类别对应的标识检测规则,对待检测报文的报文标识进行检测,得到第一检测结果,包括:
20、对待检测报文的报文标识进行特征编码,得到标识特征值;
21、采用标识规则链中与目标标识类别对应的标识检测规则,对标识特征值进行检测,得到第一检测结果。
22、在其中一个实施例中,根据第一检测结果和第二检测结果,确定待检测报文的入侵检测结果,包括:
23、若第一检测结果和第二检测结果中的任一检测结果为存在入侵,则确定待检测报文的入侵检测结果为存在入侵。
24、第二方面,本申请还提供了一种入侵检测装置,包括:
25、获取模块,用于对获取的待检测报文进行解析,得到待检测报文的报文标识和报文内容;
26、标识检测模块,用于采用标识规则链,对待检测报文的报文标识进行检测,得到第一检测结果;
27、报文检测模块,用于采用内容规则链,对待检测报文的报文内容进行检测,得到第二检测结果;
28、结果生成模块,用于根据第一检测结果和第二检测结果,确定待检测报文的入侵检测结果。
29、第三方面,本申请还提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
30、对获取的待检测报文进行解析,得到待检测报文的报文标识和报文内容;
31、采用标识规则链,对待检测报文的报文标识进行检测,得到第一检测结果;
32、采用内容规则链,对待检测报文的报文内容进行检测,得到第二检测结果;
33、根据第一检测结果和第二检测结果,确定待检测报文的入侵检测结果。
34、第四方面,本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
35、对获取的待检测报文进行解析,得到待检测报文的报文标识和报文内容;
36、采用标识规则链,对待检测报文的报文标识进行检测,得到第一检测结果;
37、采用内容规则链,对待检测报文的报文内容进行检测,得到第二检测结果;
38、根据第一检测结果和第二检测结果,确定待检测报文的入侵检测结果。
39、第五方面,本申请还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
40、对获取的待检测报文进行解析,得到待检测报文的报文标识和报文内容;
41、采用标识规则链,对待检测报文的报文标识进行检测,得到第一检测结果;
42、采用内容规则链,对待检测报文的报文内容进行检测,得到第二检测结果;
43、根据第一检测结果和第二检测结果,确定待检测报文的入侵检测结果。
44、上述入侵检测方法、装置、计算机设备和存储介质,对待检测报文进行解析,通过标识规则链和内容规则,检测待检测报文中的报文标识和/或报文内容是否被入侵,在应对新的攻击方式时,仅需对标识规则链和/或内容规则链进行更新,无需对入侵检测系统中的整个入侵检测软件进行更新,提高了检测方式的更新效率,优化了入侵检测的准确性。
本文档来自技高网...【技术保护点】
1.一种入侵检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述待检测报文的数量为至少两个;所述采用内容规则链,对所述待检测报文的报文内容进行检测,得到第二检测结果,包括:
3.根据权利要求1所述的方法,其特征在于,所述采用内容规则链,对所述待检测报文的报文信息进行检测,得到第二检测结果,包括:
4.根据权利要求3所述的方法,其特征在于,所述采用内容规则链中与所述连续入侵方式对应的内容检测规则,对所述待检测报文的报文内容进行检测,得到第二检测结果,包括:
5.根据权利要求1所述的方法,其特征在于,所述采用标识规则链,对所述待检测报文的报文标识进行检测,得到第一检测结果,包括:
6.根据权利要求5所述的方法,其特征在于,所述采用标识规则链中与所述目标标识类别对应的标识检测规则,对所述待检测报文的报文标识进行检测,得到第一检测结果,包括:
7.根据权利要求1所述的方法,其特征在于,所述根据所述第一检测结果和所述第二检测结果,确定所述待检测报文的入侵检测结果,包括:
8.
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种入侵检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述待检测报文的数量为至少两个;所述采用内容规则链,对所述待检测报文的报文内容进行检测,得到第二检测结果,包括:
3.根据权利要求1所述的方法,其特征在于,所述采用内容规则链,对所述待检测报文的报文信息进行检测,得到第二检测结果,包括:
4.根据权利要求3所述的方法,其特征在于,所述采用内容规则链中与所述连续入侵方式对应的内容检测规则,对所述待检测报文的报文内容进行检测,得到第二检测结果,包括:
5.根据权利要求1所述的方法,其特征在于,所述采用标识规则链,对所述待检测报文的报文标识进行检测,得到第一检测结果,包括:
6...
【专利技术属性】
技术研发人员:张强强,鞠世超,王文轩,曲洪达,闫矿城,凌锦雯,
申请(专利权)人:中汽创智科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。