0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

介绍一种基于规则的车载网络入侵检测技术

智能汽车电子与软件 来源:鉴源实验室 2023-04-26 09:15 次阅读

在过去的几十年中,CAN总线是最广泛被应用的车载网络现场总线。但随着汽车电子产品的功能逐渐丰富,以及新一代的智能辅助驾驶系统的接入,传统CAN总线无论是传输效率还是网络容量都已无法满足需求,所以车载以太网凭借其高带宽、低成本、低延时的优势被引入车载通讯系统[1]。因此,车载网络的网络入侵检测系统 (N-IDS,Network Intrusion Detection System,)可以根据网络载体的差异分为CAN-IDS以及以太网IDS。

N-IDS系统部署在远程通信终端(T-Box,Telematics Box)、网关以及车载娱乐信息系统(IVI,In-Vehicle Infotainment)上,通过对CAN总线以及车载以太网上的流量数据的监控、数据载荷的解析和字段匹配来识别网络中出现的异常流量和潜在攻击行为。

01

CAN-IDS

CAN-IDS会对采集到的CAN流量,从报文、场景、网络三方面,分别根据既定规则库的规则进行匹配,从而识别出攻击/异常报文。

1.1 DBC检测

DBC检测是根据DBC文件制定的规则库对单帧报文进行检测的检测方法。车厂的DBC文件会对车内报文内容,如CAN ID、DLC、周期报文的周期、信号起始位、信号长度、最大值、保留位等做了定义。常见的车载网络注入攻击、重放攻击、模糊攻击等,往往会改变这些内容,通过将采集到的报文与DBC进行对比,检测出与定义内容不相符的报文,即为攻击/异常报文。

整体流程如图1所示:

d69c0bb8-e3be-11ed-ab56-dac502259ad0.png

图1 CAN-Based IDS系统架构图

基于DBC的报文检测,首先加载内置的规则库。检测时,采集CAN总线数据并进行CAN报文的预处理,然后根据规则库中的检测规则,对选定的报文字段进行检测。最终输出检测结果。

1.2 场景规则检测

定义正常场景和攻击场景,正常场景包括报文序列关系、信号关系等,攻击场景包括UDS探测等。对网络中的报文与定义的场景规则进行匹配。目前针对的主要场景是UDS诊断服务。

基于专家领域知识,根据UDS诊断响应中的NRC进行安全事件告警。安全事件有:UDS拒绝服务、UDS探测、UDS非法请求、非法获取权限、数据安全等。

1.3 网络检测

网络检测是对整个车载网络上的负载率和信息熵进行检测。当实际值偏离了规则库中定义的阈值,则说明网络异常或被攻击。泛洪攻击、模糊攻击、重放攻击等都会使网络的负载率和信息熵发生变化。

CAN总线负载率是指在CAN总线上单位时间内实际传送的位数和可以传送的位数之比。负载率检测能够监视网络的流量情况。信息熵用来衡量系统的不确定性,被广泛应用于计算机网络的异常检测。车载CAN网络在某一工况下,以一定的规律发送,是低随机性、相对静态的。正常情况下,车载网络的负载率和信息熵较为稳定。对车载网络进行泛洪攻击、注入攻击等,则会使相应指标超过正常值。

d6a6bfea-e3be-11ed-ab56-dac502259ad0.png

其中 ai 为第 i 类报文在时间 T 内出现的概率。

网络检测首先选择合适的时间窗口,计算正常车辆的负载率和信息熵,确定其阈值并添加到规则库中。然后,在实车运行过程中,计算当前负载率和信息熵,与规则库中的值进行比较,判断网络是否异常或被攻击。

02

Ethernet-IDS

Ethernet-IDS通过对要检测的网段的所有流量包进行抓包,对抓包数据进行特征字段的提取,利用提取的网络特征来识别其中的异常/攻击报文[1]。Snort是一款轻量化的开源的以太网入侵检测系统,它能够进行实时流量分析、网络数据包的记录、异常流量的监测和响应。最初Snort仅支持IP、TCP、UDP等下层协议的检测,但其预处理器机制可被用来拓展兼容不同的上层应用层协议。

SOME/IP、DoIP等车载以太网协议是为了应对汽车的电子电器架构由分布式逐渐走向中央集中化的演化,而设计出来的应用层协议。于彤[3]从SOME/IP和DoIP协议的数据完整性、规范程度和潜在漏洞等方面分析了两种协议可能存在的风险,并针对此将SOME/IP、DoIP预处理器引入Snort中。ZIHAN Zhou等[4]通过改进了Snort的规则匹配模式并设计了一种二进制的规则格式,使其完全适配AUTOSAR的规范,能够被引入嵌入式的系统。

Snort的原理架构图如图2所示,其中包括了配置模块、数据获取模块、检测模块以及输出模块。通过修改配置模块的配置文件,可以定义数据获取的配置、预处理的方式、检测的规则以及输出日志的格式。数据获取模块负责检测、解析网卡中的流量并将其送入检测模块。检测模块根据配置信息,对指定的异常行为进行检测和处理,并且会将检测结果送入输出模块,由其实现输出日志的解析、处理、封装和转发等功能。

d6b5a244-e3be-11ed-ab56-dac502259ad0.png

图2 snort原理架构图

2.1 配置模块

配置模块负责以太网N-IDS所有模块的配置选项设置,在IDS启动的时候即对各个模块进行初始化配置。配置内容如表1所示:

表1 Snort 检测功能配置

d6e9d212-e3be-11ed-ab56-dac502259ad0.png

2.2 数据获取模块

数据获取模块拥有数据包记录功能,可以直接记录原始数据报文,以及对本地记录的数据包进行重放。数据获取模块抓取网卡中流量数据包,根据配置文件进行相应的解码和预处理。数据获取模块对数据包标准化预处理,使得检测模块能够直接进行特征字段的匹配。

2.3 检测模块

检测模块从两个方面对以太网中的异常流量和行为进行检测:网络流量检测和网络数据包检测。

(1)网络流量检测对以太网的流量情况,包括带宽利用率和信息熵进行监测分析,当超出正常阈值时发出警告。

(2)网络数据包检测定义了正常场景和攻击场景,其中正常场景包括报文序列关系、信号关系等,而攻击场景包括ICMP flood、TCP port scan等。通过对网络数据包中的报文特征字段与定义的场景规则进行匹配,来识别隐藏在报文内的异常攻击行为。

Snort是一个完全基于规则的以太网IDS系统,它的规则编写简单而又灵活,可支持本地编写规则的导入。Snort的规则是由文本构成,主要由规则头和规则选项两部分构成。一条Snort规则编写如图3所示:

d6fbceb8-e3be-11ed-ab56-dac502259ad0.png

图3 Snort规则编写示例

(1)规则头:定义了数据包的发送端地址和端口、接收端的地址和端口、协议类型,以及规则匹配成功后应执行的操作。

(2)规则选项:定义了规则匹配的数据包特征,是Snort入侵检测引擎的核心,也是将Snort易用性与强大功能和灵活性结合起来的关键。所有Snort规则选项都使用分号( ; )字符彼此分隔。规则选项关键字与参数之间用冒号( : )分隔。通过规则选项的设置, Snort可以对报文的任意字段进行正则匹配。

2.4 输出模块

输出模块负责对检测模块的检测结果进行进一步的处理与输出。检测模块根据配置文件定义的输出格式将检测结果封装成日志的形式。输出模块还可以通过配置相关参数以及设置事件过滤规则来修改日志输出的频率。

03

小结

规则检测的方法以其稳定性好、检测准确率高、可解释性强等优点成为车载网络入侵检测系统的重要支柱。但汽车电子电气架构的演变、车载网络数据的增加以及车载通讯协议的扩充,都对基于规则的车载网络入侵检测系统提出了更高的要求。性能、可扩展性、兼容能力将是下一代车载网络入侵检测系统开发中重要的考量指标。






审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 以太网
    +关注

    关注

    40

    文章

    5374

    浏览量

    171074
  • CAN总线
    +关注

    关注

    145

    文章

    1936

    浏览量

    130625
  • IDS
    IDS
    +关注

    关注

    0

    文章

    26

    浏览量

    16137
  • DBC
    DBC
    +关注

    关注

    2

    文章

    54

    浏览量

    7755
  • 车载网络系统

    关注

    0

    文章

    7

    浏览量

    6511

原文标题:基于规则的车载网络入侵检测技术

文章出处:【微信号:智能汽车电子与软件,微信公众号:智能汽车电子与软件】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    规则音频是一种连续变化的什么信号

    规则音频信号是指在时间上具有定规律性的音频信号,它们通常用于通信、音乐、语音处理等领域。 规则音频信号的定义 规则音频信号是一种在时间上呈
    的头像 发表于 08-25 15:41 246次阅读

    一种供电总线技术POWERBUS二总线

    首先给大家介绍一种总线技术Powerbus总线,特性: 1.总线可供电,通讯和供电无需电气隔离 2.总线抗干扰能力强,可与市电并走 3.可支持总线电流20A(2400bps) 4.具备总线短路保护
    发表于 07-23 13:38

    基于CNN的网络入侵检测系统设计

    入侵检测提供了新的思路和方法。卷积神经网络(Convolutional Neural Network, CNN)作为深度学习的一种重要模型,以其强大的特征提取能力和模式识别能力,在
    的头像 发表于 07-05 17:28 905次阅读

    一种摆脱有线束缚的通信技术--无线传输

    :ZigBee是一种低功耗、可靠的无线网络技术,主要用于无线网络监控。其特点是可靠性较高,带宽较窄,多点支持能力极强,传输速率低、传输距离较远。无线局域网(Wi-
    的头像 发表于 06-07 08:10 2559次阅读
    <b class='flag-5'>一种</b>摆脱有线束缚的通信<b class='flag-5'>技术</b>--无线传输

    频谱分析设备是入侵报警前端设备吗

    频谱分析设备是一种用于测量和分析信号频谱特性的电子测量仪器。它广泛应用于通信、电子、电力、航空航天等领域,用于信号分析、频谱监测、干扰检测等任务。入侵报警系统是一种安全防范系统,用于
    的头像 发表于 06-03 09:44 896次阅读

    鉴源实验室丨汽车入侵检测系统介绍及测试

    不再是个孤立的嵌入式系统了,信息安全问题越来越被重视。国内外发布了多项标准法规,来规范汽车网络安全的发展。其中有不少法规对车辆网络安全检测提出要求,如表1。 表1 车辆
    的头像 发表于 05-07 14:17 1235次阅读
    鉴源实验室丨汽车<b class='flag-5'>入侵</b><b class='flag-5'>检测</b>系统<b class='flag-5'>介绍</b>及测试

    一种常用的电流检测电路,收藏!

    与负载之间的这种测量方法称为高端检测。将测量电阻放在负载和接地端之间的这种测量方法称为低端电流检测。这两用于感测负载中电流的方法如下图所示。 两测量方法各有利弊。本文重点讲解低端
    发表于 05-06 17:29

    京东方设备入侵检测专利,降低资源占用及硬件成本,扩大适用范围

    此项发明涉及计算机应用技术领域,主要内容是一种设备入侵检测方法、系统以及电子设备。具体而言,该方法包括:多组数据收集组件依据预定的数据收集规则
    的头像 发表于 04-29 09:24 288次阅读
    京东方设备<b class='flag-5'>入侵</b><b class='flag-5'>检测</b>专利,降低资源占用及硬件成本,扩大适用范围

    车载网络协议与串扰问题

    本文要点汽车网络协议包括本地互连网络(LIN)、控制器局域网络(CAN)、面向媒体的系统传输(MOST)和FlexRay等。通过根非屏蔽双绞线(UTP),
    的头像 发表于 03-05 08:14 1232次阅读
    <b class='flag-5'>车载</b><b class='flag-5'>网络</b>协议与串扰问题

    赛默斐视表面瑕疵检测系统是一种利用机器视觉技术

    表面瑕疵检测系统是一种利用机器视觉技术检测产品表面瑕疵的系统。它可以自动地对产品的表面进行检测,识别出可能存在的缺陷、污渍、划痕等问题。
    的头像 发表于 01-25 15:47 290次阅读

    车载以太网静态架构介绍

    AutoSAR是一种开放的、标准化的汽车电子软件架构,旨在提高汽车电子系统的研发效率和质量。车载以太网作为一种高速、可靠的通信技术,已经成为现代汽车电子系统的关键
    的头像 发表于 01-19 18:00 1007次阅读
    <b class='flag-5'>车载</b>以太网静态架构<b class='flag-5'>介绍</b>

    一种动态防御策略——移动目标防御(MTD)

    网络攻击。文章速览:1、高级规避攻击2、用移动目标防御对抗欺骗常见做法操作系统和应用程序才是真正的战场打破游戏规则、高级规避攻击高级规避攻击技术可以反复修改
    的头像 发表于 01-04 08:04 1439次阅读
    <b class='flag-5'>一种</b>动态防御策略——移动目标防御(MTD)

    Zilia开发一种用于生物标志物检测的眼底靶向光谱技术

    “据麦姆斯咨询介绍,Zilia是家总部位于加拿大魁北克的医疗保健开发商,致力于通过眼睛光学成像来诊断疾病,近期展示了一种靶向光谱技术,可以更好地识别感兴趣的生物标志物。该
    的头像 发表于 12-24 17:49 1122次阅读

    介绍一种飞米级电子显微镜的原理

    本文介绍一种飞米级电子显微镜的原理,未来这种技术有望用于探测远离稳定谷的核。
    的头像 发表于 12-13 15:59 662次阅读
    <b class='flag-5'>介绍</b><b class='flag-5'>一种</b>飞米级电子显微镜的原理

    一种车载DVR整改案例分享

    车载DVR就是车载视频终端,俗称车载录像机它是随着数字视音频编码技术在车辆上应用而发展起来的个新兴专用产品。
    的头像 发表于 12-05 15:02 1105次阅读
    <b class='flag-5'>一种</b><b class='flag-5'>车载</b>DVR整改案例分享