CN117729011A - 基于车辆状态的异常流量检测方法、系统、设备及介质 - Google Patents
基于车辆状态的异常流量检测方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN117729011A CN117729011A CN202311722864.XA CN202311722864A CN117729011A CN 117729011 A CN117729011 A CN 117729011A CN 202311722864 A CN202311722864 A CN 202311722864A CN 117729011 A CN117729011 A CN 117729011A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- abnormal
- status
- control signal
- steering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种基于车辆状态的异常流量检测方法、系统、设备及介质,所述方法包括:响应于车载数据流量包的接收,对所述车载数据流量包进行包头检测,得到对应的包头检测结果;当所述包头检测结果为结构异常时,将所述车载数据流量包判定为异常流量,并得到对应的异常流量检测结果;当所述包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果。本发明能在应用层面上结合车辆实时状态对车载数据流量进行高效且可靠地深度分析,有效阻止消息注入攻击产生的异常流量发送,为车辆行驶安全提供可靠保障。
Description
技术领域
本发明涉及车辆网络入侵检测技术领域,特别是涉及一种基于车辆状态的异常流量检测方法、系统、计算机设备及存储介质。
背景技术
随着汽车智能网联化功能提升,包括许多软件驱动的电子控制单元(ElectronicControl Unit,ECU)、传感器和执行器的现代IVN(In-Vehicle Network)车辆网络实现了对车辆智能功能的控制,比如,ABS(防抱死制动系统)和娱乐系统等。但随着越来越多智能服务的产生,汽车本身所承受的安全威胁也会随着服务接口的增设而增加,且对IVN或ECU的攻击会严重危及驾驶安全。
现有保护IVN的方法主流方法为通过监视流经汽车网路中的流量,针对各种攻击流量,如拒绝服务攻击、端口扫描和注入攻击等进行实时性检测并及时记录告警的异常检测。现有异常检测方法主要包括基于特征和异常规则库的异常流量匹配检测、基于信息熵值或者信号发送频率方差等数理统计特征在短时间内变化的统计异常检测以及基于人工智能模型预测流量的异常检测,虽然能一定程度上实现异常流量监测,但均难以有效检测消息注入攻击产生的异常攻击流量:基于特征和异常规则库的异常检测仅注重于较低层的数据帧(如CAN,LIN等数据帧的特征)的异常特征来检测,而通过正常的CAN帧或者其他正常的底层数据传输的消息注入攻击攻击流量难以发现;基于统计特征捕获异常数据由于不注重语义和上下文信息也不易检测到异常流量;人工智能模型也因汽车网络结构的节点算力较弱且对网络带宽要求较高的网络特点而无法有效部署。因此,亟需提供一种能够对通过正常底层消息发送的恶意注入攻击进行有效监测的异常流量检测方法。
发明内容
本发明的目的是提供一种基于车辆状态的异常流量检测方法,基于深度防御原理,在车载流量数据的底层包头结果检测正常时,进一步根据车辆状态、消息上下文以及根据汽车动力学构建的状态安全标准库对车载流量数据的行驶安全后果进行匹配分析,以识别异常注入流量,解决现有车载网络异常流量检测无法有效检测消息注入攻击产生的异常攻击流量的应用缺陷,能在应用层面上结合车辆实时状态对车载数据流量进行高效且可靠地深度分析,有效阻止消息注入攻击产生的异常流量发送,为车辆行驶安全提供可靠保障。
为了实现上述目的,有必要针对上述技术问题,提供一种基于车辆状态的异常流量检测方法、系统、计算机设备及存储介质。
第一方面,本发明实施例提供了一种基于车辆状态的异常流量检测方法,所述方法包括以下步骤:
响应于车载数据流量包的接收,对所述车载数据流量包进行包头检测,得到对应的包头检测结果;
当所述包头检测结果为结构异常时,将所述车载数据流量包判定为异常流量,并得到对应的异常流量检测结果;
当所述包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果。
进一步地,所述对所述车载数据流量包进行包头检测,得到对应的包头检测结果的步骤包括:
对所述车载数据流量包进行包头解析,得到对应的包头解析结果;
根据所述包头解析结果,判断是否符合预设包头结构和预设总线传输协议规范;
若符合,则判定所述包头检测结果为结构正常,反之,则判定所述包头检测结果为结构异常。
进一步地,所述获取当前车辆行驶状态和当前车辆控制信号的步骤包括:
通过统一诊断服务向汽车底盘电子控制单元发送请求诊断协议,得到所述当前车辆行驶状态;
对所述车载数据流量包进行语义解析,得到所述当前车辆控制信号。
进一步地,所述根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果的步骤包括:
根据所述当前车辆行驶状态查找预先构建的状态安全标准库,得到对应的状态安全规则,并将所述当前车辆控制信号与所述状态安全规则进行匹配,判断所述当前车辆控制信号是包含异常操作;
若包含,则将所述车载数据流量包判定为注入异常流量,反之,则将所述车载数据流量包判定为正常控制流量。
进一步地,所述状态安全标准库包括加速/制动状态安全规则、转向状态安全规则和侧倾状态安全规则;
所述加速/制动状态安全规则包括加速制动敏感信号和对应的信号异常取值范围;所述加速制动敏感信号包括第一加速控制信号、制动控制信号和转向控制信号;所述第一加速控制信号包括速度偏移、速度偏移单位和速度设置;所述制动控制信号包括制动启用和制动扭矩目标;所述转向控制信号包括转向角度偏移;
所述转向状态安全规则包括转向状态敏感信号和对应的信号异常取值范围;所述转向状态敏感信号包括车轮控制信号、第二加速控制信号和灯光控制信号;所述车轮控制信号包括左前车轮转向角、左后车轮转向角、右前车轮转向角和右后车轮转向角;所述第二加速控制信号包括速度偏移和速度偏移单位;所述灯光控制信号包括转向背光灯启用;
所述侧倾状态安全规则包括侧倾状态敏感信号和对应的信号异常取值范围;所述侧倾状态敏感信号包括胎压控制信号和转向控制信号;所述胎压控制信号包括左前车轮胎压、左后车轮胎压、右前车轮胎压和右后车轮胎压;所述转向控制信号包括转向偏移和转向偏移单位。
进一步地,所述状态安全标准库的构建步骤包括:
根据加速/制动动力学,得到加速制动敏感信号,并根据打滑率阈值和转向角阈值对加速制动敏感信号进行分析,得到对应的信号异常取值范围;
根据转向/偏航动力学,得到转向状态敏感信号,并根据预设转向异常指标对各个转向状态敏感信号进行分析,得到对应的信号异常取值范围;所述预设转向异常指标包括转向过度指标和转向不足指标;
根据侧倾动力学,得到侧倾状态敏感信号,并根据侧翻指数阈值对各个侧倾状态敏感信号进行分析,得到对应的信号异常取值范围。
进一步地,所述状态安全标准库还包括常规行驶安全规则;所述常规行驶安全规则包括行驶过程敏感信号和对应的信号异常取值范围;所述行驶过程敏感信号包括把手控制信号、门锁控制信号和车身控制信号;所述把手控制信号包括左前门把手拉动/持续拉动、左后门把手拉动/持续拉动、右前门把手拉动/持续拉动、以及右后门把手拉动/持续拉动;
所述门锁控制信号包括驾驶侧门打开、后备箱打开、前灯位车门开启、侧车门开启和远离上锁;所述车身控制信号包括驻车制动器故障、驻车启动、车门按钮启动和关闭电源。
第二方面,本发明实施例提供了一种基于车辆状态的异常流量检测系统,所述系统包括:
包头检测模块,用于响应于车载数据流量包的接收,对所述车载数据流量包进行包头检测,得到对应的包头检测结果;
异常初检模块,用于当所述包头检测结果为结构异常时,将所述车载数据流量包判定为异常流量,并得到对应的异常流量检测结果;
异常深检模块,用于当所述包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果。
第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
第四方面,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
上述本申请提供了一种基于车辆状态的异常流量检测方法、系统、计算机设备和存储介质,通过所述方法实现了响应于车载数据流量包的接收,对车载数据流量包进行包头检测,得到对应的包头检测结果,当包头检测结果为结构异常时,将车载数据流量包判定为异常流量,并得到对应的异常流量检测结果,而当包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据当前车辆行驶状态和当前车辆控制信号对车载数据流量包进行注入异常检测,得到对应的异常流量检测结果的技术方案。与现有技术相比,该基于车辆状态的异常流量检测方法,基于深度防御原理,在车载流量数据的底层包头结果检测正常时,进一步根据车辆状态、消息上下文以及根据汽车动力学构建的状态安全标准库对车载流量数据的行驶安全后果进行匹配分析,以识别异常注入流量,能在应用层面上结合车辆实时状态对车载数据流量进行高效且可靠地深度分析,有效阻止消息注入攻击产生的异常流量发送,为车辆行驶安全提供可靠保障。
附图说明
图1是本发明实施例中基于车辆状态的异常流量检测方法的应用场景示意图;
图2是本发明实施例中基于车辆状态的异常流量检测的流程框架示意图;
图3是本发明实施例中基于车辆状态的异常流量检测方法的流程示意图;
图4是本发明实施例中基于车辆状态的异常流量检测系统的结构示意图;
图5是本发明实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案和有益效果更加清楚明白,下面结合附图及实施例,对本发明作进一步详细说明,显然,以下所描述的实施例是本发明实施例的一部分,仅用于说明本发明,但不用来限制本发明的范围。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的基于车辆状态的异常流量检测方法可理解为基于车辆行驶过程中,攻击者可以控制车辆某个ECU单元使其注入相应的恶意控制信号,这种信号可以躲避现有普通异常流量检测系统,正常的在IVN之中传输,比如,车辆处于高速路直行状态下却收到不符合当前行驶场景的控制命令(开车门、刹车、或左转等命令),极有可能给正在行驶的车辆造成交通安全问题,难以有效保证车辆行驶安全的应用现状,而提出的一种在车载流量数据通过底层包头检验后,再根据车辆状态、消息上下文以及预先根据汽车动力学构建的状态安全标准库对车载流量数据的行驶安全后果进行匹配分析,从流量深度分析方面提升异常注入流量检测的全面性和精准性的车载网流量异常检测方法,可以应用于如图1所示的终端或服务器上。其中,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。服务器可根据实际应用需求,采用本发明提供的图2所示的基于车辆状态的异常流量检测架构进行高效且精准的车载网异常注入流量检测,并将得到的异常流量检测结果用于服务器后续研究,或传送给终端以供终端使用者进行查看分析;下述实施例将对本发明的基于车辆状态的异常流量检测方法进行详细说明。
在一个实施例中,如图3所示,提供了一种基于车辆状态的异常流量检测方法,包括以下步骤:
S11、响应于车载数据流量包的接收,对所述车载数据流量包进行包头检测,得到对应的包头检测结果;其中,车载数据流量包原则上可理解为是车辆行驶过程中通过IVN网络接收的所有数据包,即可以对CAN报文、LIN帧以及IP数据包等形式传输的流量进行包头异常检测,但考虑到车载网异常注入攻击主要涉及CAN报文注入,本实施主要对CAN报文包头检测进行说明;具体的,所述对所述车载数据流量包进行包头检测,得到对应的包头检测结果的步骤包括:
对所述车载数据流量包进行包头解析,得到对应的包头解析结果;其中,对车载数据流量包进行的包头解析可理解为是流量底层基础检测步骤,是对数据包中能够辨识流量异常的相应特征进行解析提取;本实施例中对CAN报文进行的包头解析可理解为是采用现有技术对帧起始、仲裁段和CRC段等进行解析,对应得到的包头解析结果包括帧信息、帧格式、帧类型、帧ID、数据长度和数据内容等;
根据所述包头解析结果,判断是否符合预设包头结构和预设总线传输协议规范;其中,预设包头结构优选地为标准CAN报文包头格式,对应的预设总线传输协议规范可理解为包头结构中的相关字段设置是否满足CAN总线协议传输规范;具体将包头解析结果与预设包头结构和预设总线传输协议规范进行匹配判断的方法可参考现有技术实现,此处不再赘述;
若符合,则判定所述包头检测结果为结构正常,反之,则判定所述包头检测结果为结构异常;
通过上述方法步骤即可实现对CAN总线传输的车载数据流量进行有效的包头解析识别,对于LIN总线传输的车载数据流量的包头解析过程也可参考上述实现,此处不再详述;需要说明的是,若涉及对车载以太网数据包的包头检测,还可以对太网数据帧进行逐层解析,从数据链路层开始,逐步解析到传输层,并对每层的关键字段进行有效性和合规性识别,以识别异常数据,防止可能的模糊攻击。
S12、当所述包头检测结果为结构异常时,将所述车载数据流量包判定为异常流量,并得到对应的异常流量检测结果;
具体的,当包头检测结果为结构异常,即认为底层流量检测发现异常,将对应的车载数据流量判定为异常流量,并根据具体的异常情况生成对应的异常流量检测结果后进行相应的异常告警,便于行驶车辆及时规避异常风险;此外,考虑到现有异常流量检测方法仅执行较低层数据包头检测后就对数据进行放通传输,导致消息注入攻击不能有效监测的情况,为了保证消息注入攻击检测范围更广且检测效果更好,本实施例优选地,通过下述方法步骤,对底层包头检测正常的流量数据包的更高层数据进行基于车辆实时状态的消息注入攻击深度检测。
S13、当所述包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果;其中,当前车辆行驶状态可理解为是实时获取的当前车辆运行状态,且当前车辆控制信号可理解为是当前车载数据流量包所传输的车辆驾驶控制信号;具体的,所述获取当前车辆行驶状态和当前车辆控制信号的步骤包括:
通过统一诊断服务向汽车底盘电子控制单元发送请求诊断协议,得到所述当前车辆行驶状态;其中,统一诊断服务可理解为是基于车辆总线实现的UDS(UnifiedDiagnostic Services)协议提供的车辆状态诊断服务,其可以通过读取数据流服务的形式,提供电源电压、水温、油压、车速、转速、开关的关闭状态等实时工作数据供售后诊断分析,通过向汽车底盘ECU发送请求诊断协议获取ECU工作状态,以及通过不断从车载传感器和IVN获取当前车辆底盘以及其他部位ECU状态等来感知车辆运动状态(侧倾、转向和加速/制动),并将汽车划分标注为如加速,转向和侧倾等状态标签;即当前车辆行驶状态包括加速/制动状态、转向状态和侧倾状态,具体根据车轮的运动方式划分如下:若4个车轮的胎压相差较大会判定为侧倾状态;若车轮转向角较大会判定为转向状态;若车轮转速加速度为加速状态(注:转向状态时一般不允许车轮进行较大的加速,容易引发车辆侧翻);本实施例使用UDS诊断协议对车辆相关状态进行检测,并且对于感知结果将车辆划分为多种状态,更利于实时性获取汽车行驶状态,且结合实时状态可以更好地去检测应用层语义信号的异常;
对所述车载数据流量包进行语义解析,得到所述当前车辆控制信号;其中,当前车辆控制信号可理解为是基于对总线协议报文进行语义解析得到的信号应用层面的内容;比如,若汽车底盘控制信号是通过CAN总线传输CAN报文来发送控制信号,且攻击者可能在CAN总线中注入使汽车进入异常状态的异常CAN报文,可使用CAN DBC文件来对CAN数据进行语义解析,以识别当前信号报文的CAN ID、信号在CAN报文中出现的位置、信号的字节顺序、信号的转换细节和信号单位等上下文语义信息,用于与当前车辆状态进行结合分析;
具体的,所述根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果的步骤包括:
根据所述当前车辆行驶状态查找预先构建的状态安全标准库,得到对应的状态安全规则,并将所述当前车辆控制信号与所述状态安全规则进行匹配,判断所述当前车辆控制信号是包含异常操作;其中,状态安全标准库可理解为是可直接基于当前车辆行驶状态,对输入的当前车辆控制信号进行异常识别的安全规则库,具体包括加速/制动状态安全规则、转向状态安全规则和侧倾状态安全规则;
其中,所述加速/制动状态安全规则如表1所示包括加速制动敏感信号和对应的信号异常取值范围;所述加速制动敏感信号包括第一加速控制信号、制动控制信号和转向控制信号;所述第一加速控制信号包括速度偏移、速度偏移单位和速度设置;所述制动控制信号包括制动启用和制动扭矩目标;所述转向控制信号包括转向角度偏移;
表1加速/制动状态安全规则
所述转向状态安全规则如表2所示包括转向状态敏感信号和对应的信号异常取值范围;所述转向状态敏感信号包括车轮控制信号、第二加速控制信号和灯光控制信号;所述车轮控制信号包括左前车轮转向角、左后车轮转向角、右前车轮转向角和右后车轮转向角;所述第二加速控制信号包括速度偏移和速度偏移单位;所述灯光控制信号包括转向背光灯启用;
表2转向状态安全规则
所述侧倾状态安全规则如表3所示包括侧倾状态敏感信号和对应的信号异常取值范围;所述侧倾状态敏感信号包括胎压控制信号和转向控制信号;所述胎压控制信号包括左前车轮胎压、左后车轮胎压、右前车轮胎压和右后车轮胎压;所述转向控制信号包括转向偏移和转向偏移单位;
表3侧倾状态安全规则
上述状态安全标准库优选地采用侧倾动力学、转向/偏航动力学和加速/制动动力学等三种车辆动力学模型构建得到,具体构建步骤包括:
根据加速/制动动力学,得到加速制动敏感信号,并根据打滑率阈值和转向角阈值对加速制动敏感信号进行分析,得到对应的信号异常取值范围;即加速/制动状态安全规则的具体构建过程如下:
对于加速/制动状态的汽车来说,轮胎打滑容易发生在加速和制动时,它代表了车辆在车轴处的实际速度与轮胎转动速度的差值;车辆在运输工作时因地面松软、潮湿,或因负荷过重而行走会发生部分打滑,而打滑率是指在一定距离内车辆打滑和不打滑之比;通过计算轮胎打滑率并设定打滑率阈值为0.2(实际应用中可根据情况调整),假如控制信号可能将汽车的打滑率超出阈值便会使汽车失控导致事故的发生,如汽车加速过程中急刹车,急打方向盘或快速转弯等行为使汽车进入打滑状态等;
对于控制信号在实际检测中可理解为是一些操作数值,主要为二值(1或0,逻辑意义为是或否),少数为多值(多位表示)状态;具体判断控制信号是否会造成汽车打滑的方法为根据二值信号判定操作是否可行(针对信号在汽车状态之中是否可行,如汽车处于打滑安全速度阈值时,对于再次加速命令判定为异常),而对于多值信号计算并设定安全取值范围(主要将打滑率阈值代入打滑率计算公式之中并且通过计算反推出相关信号安全取值范围),超出取值范围则判定为异常;同理,对于转向信号中携带的空挡转向角度值,超出转向角阈值判定为异常,实际应用中,汽车处于加速/制动状态时,当遇到转向信号时只需要在状态安全标准库中进行匹配检测来判断其是否超过转向角阈值即可;比如,设车机相对于地面的线速度(实际速度)为Va,轴心速度为Vx,打滑率为(|Vx–Va|)/Vx*100%;纯滚动的时候,Va=Vx,即打滑率为0;机轮刹死的时候,打滑率为100%;当汽车处于加速/制动状态时,而此时(|Vx–Va|)
/Vx>=0.2时,此时接收到加速,转向等命令时便判定为异常信号,除此之外对于一些其他门锁行为也进行了考虑(车启动后门锁不应开启);
对于表1所示的信号阈值,如速度偏移量来说,对于正常车速Vn=100km/h时,假设此时打滑率为0,对于突然加速/减速时的速度偏移量超过a来说,瞬间打滑率a/Vn>=0.2,则会出现打滑,所以就能得出在正常行驶情况下速度偏移量不能超出20km/h;按照此处给出的基于指标预设反向推出对应信号异常范围的方法,即可确定各个相关信号的异常取值范围。
根据转向/偏航动力学,得到转向状态敏感信号,并根据预设转向异常指标对各个转向状态敏感信号进行分析,得到对应的信号异常取值范围;所述预设转向异常指标包括转向过度指标和转向不足指标;即转向状态安全规则的具体构建过程如下:
在转向状态中的汽车时,攻击者可以通过注入特定信息在转弯过程中引起转向动力学;例如,如果车辆的车轮在转弯时开始侧滑(即失去抓地力),则车辆处于转向不足或转向过度,而严重的转向不足/过度转向会让人感觉“失去对车辆的控制”,从而无法正常转向造成碰撞;利用转向动力学来识别可能导致转向过度或转向不足的传入消息,将相关控制信号如前后轮转向等控制信号参数值进行计算并设定安全取值范围,如果此控制信号参数超出安全取值范围则认定该信号为异常信号;具体根据汽车转弯时前后轮产生侧偏角为依据进行判断:如果前后轮侧偏角相等称为中性转向(正常);如果前轮侧偏比后轮大或小,称为转向不足/过度转向,而对于侧偏角相差较大的情况下可能导致汽车转向失控现象,现预设测偏角度相差阈值为5度(可根据实际应用需求调整);即,在实际判断时,假设汽车处于正常转向过程中,而对于汽车四轮角度进行判别,判断前后轮转角差距,若差距较大(大于5度)则判定为异常。
根据侧倾动力学,得到侧倾状态敏感信号,并根据侧翻指数阈值对各个侧倾状态敏感信号进行分析,得到对应的信号异常取值范围;即侧倾状态安全规则的具体构建过程如下:
对于侧倾状态的汽车来说,如果收到将轮胎向倾斜方向再度转向的命令时,通过使用车辆左右两侧垂直轮胎载荷的实时差值来计算侧翻指数,而对于将侧翻指数超出阈值的信号,应对其发出异常警告从而保证汽车安全;而对于侧翻指数LTR=|Fl-Fr|/(Fl+Fr),可根据实际应用需求设置,本实施例优选地将侧翻指数阈值设为0.6,即当汽车胎压导致侧翻指数临近阈值时,即LTR>=0.6,如果检测到诸如快速转向操作时,所带来的离心力可能使汽车造成侧翻,故判定为该信号异常。
此外,考虑到车辆正常驾驶过程中的一些常规要求,如在汽车行驶过程中出现的开门、手刹等控制信号会直接影响车辆正常驾驶安全,本实施例优选地在状态安全标准库还添加了常规行驶安全规则,若实际控制信号与常规行驶安全规则中的异常取值范围匹配,应视为高危信号直接丢弃且发出警告;所述状态安全标准库还包括常规行驶安全规则;所述常规行驶安全规则如表4所示,包括行驶过程敏感信号和对应的信号异常取值范围;所述行驶过程敏感信号包括把手控制信号、门锁控制信号和车身控制信号;所述把手控制信号包括左前门把手拉动/持续拉动、左后门把手拉动/持续拉动、右前门把手拉动/持续拉动、以及右后门把手拉动/持续拉动;所述门锁控制信号包括驾驶侧门打开、后备箱打开、前灯位车门开启、侧车门开启和远离上锁;所述车身控制信号包括驻车制动器故障、驻车启动、车门按钮启动和关闭电源
表4常规行驶安全规则
需要说明的是,上述给出的加速/制动状态安全规则、转向状态安全规则、侧倾状态安全规则和常规行驶安全规则仅为本实施例优选的状态安全规则设置,在实际应用中可根据应用场景需求对其进行增减调整;
若包含,则将所述车载数据流量包判定为注入异常流量,反之,则将所述车载数据流量包判定为正常控制流量。
本实施例中构建的状态安全标准库同时包括加速/制动状态安全规则、转向状态安全规则、侧倾状态安全规则和常规行驶安全规则;即在实际车辆运行过程中接收的控制信号除了符合与当前车辆状态对应的状态安全规则外,还必须同时满足常规行驶安全规则,才能认为是正常控制信号,而非异常注入消息,并在识别任何一种异常时,直接丢弃信号且及时上报告警,进而全面有效避免因注入控制信号导致汽车安全事故发生的可能性,为车辆行驶安全提供可靠保障。
本申请实施例提供的响应于车载数据流量包的接收,对车载数据流量包进行包头检测,得到对应的包头检测结果,当包头检测结果为结构异常时,将车载数据流量包判定为异常流量,并得到对应的异常流量检测结果,而当包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据当前车辆行驶状态和当前车辆控制信号对车载数据流量包进行注入异常检测,得到对应的异常流量检测结果的方案,基于深度防御原理,在车载流量数据的底层包头结果检测正常时,进一步根据车辆状态、消息上下文以及根据汽车动力学构建的状态安全标准库对车载流量数据的行驶安全后果进行匹配分析,以识别异常注入流量,有效解决了现有异常流量检测仅涉及包头结构异常检测,无法监测消息注入攻击产生的异常攻击流量,无法真正避免注入攻击带来的车辆行驶安全的应用缺陷,能在应用层面上结合车辆实时状态对车载数据流量进行高效且可靠地深度分析,有效阻止消息注入攻击产生的异常流量发送,为车辆行驶安全提供可靠保障。
需要说明的是,虽然上述流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。
在一个实施例中,如图4所示,提供了一种基于车辆状态的异常流量检测系统,所述系统包括:
包头检测模块1,用于响应于车载数据流量包的接收,对所述车载数据流量包进行包头检测,得到对应的包头检测结果;
异常初检模块2,用于当所述包头检测结果为结构异常时,将所述车载数据流量包判定为异常流量,并得到对应的异常流量检测结果;
异常深检模块3,用于当所述包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果。
关于基于车辆状态的异常流量检测系统的具体限定可以参见上文中对于基于车辆状态的异常流量检测方法的限定,对应的技术效果也可等同得到,在此不再赘述。上述基于车辆状态的异常流量检测系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
图5示出一个实施例中计算机设备的内部结构图,该计算机设备具体可以是终端或服务器。如图5所示,该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示器、摄像头和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现基于车辆状态的异常流量检测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域普通技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述方法的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述方法的步骤。
综上,本发明实施例提供的一种基于车辆状态的异常流量检测方法及系统,其基于车辆状态的异常流量检测方法实现了响应于车载数据流量包的接收,对所述车载数据流量包进行包头检测,得到对应的包头检测结果;当所述包头检测结果为结构异常时,将所述车载数据流量包判定为异常流量,并得到对应的异常流量检测结果;当所述包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果的技术方案,该方法基于深度防御原理,在车载流量数据的底层包头结果检测正常时,进一步根据车辆状态、消息上下文以及根据汽车动力学构建的状态安全标准库对车载流量数据的行驶安全后果进行匹配分析,以识别异常注入流量,有效解决了现有异常流量检测仅涉及包头结构异常检测,无法监测消息注入攻击产生的异常攻击流量,无法真正避免注入攻击带来的车辆行驶安全的应用缺陷,能在应用层面上结合车辆实时状态对车载数据流量进行高效且可靠地深度分析,有效阻止消息注入攻击产生的异常流量发送,为车辆行驶安全提供可靠保障。
本说明书中的各个实施例均采用递进的方式描述,各个实施例直接相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。需要说明的是,上述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种优选实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本申请的保护范围。因此,本申请专利的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于车辆状态的异常流量检测方法,其特征在于,所述方法包括以下步骤:
响应于车载数据流量包的接收,对所述车载数据流量包进行包头检测,得到对应的包头检测结果;
当所述包头检测结果为结构异常时,将所述车载数据流量包判定为异常流量,并得到对应的异常流量检测结果;
当所述包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果。
2.如权利要求1所述的基于车辆状态的异常流量检测方法,其特征在于,所述对所述车载数据流量包进行包头检测,得到对应的包头检测结果的步骤包括:
对所述车载数据流量包进行包头解析,得到对应的包头解析结果;
根据所述包头解析结果,判断是否符合预设包头结构和预设总线传输协议规范;
若符合,则判定所述包头检测结果为结构正常,反之,则判定所述包头检测结果为结构异常。
3.如权利要求1所述的基于车辆状态的异常流量检测方法,其特征在于,所述获取当前车辆行驶状态和当前车辆控制信号的步骤包括:
通过统一诊断服务向汽车底盘电子控制单元发送请求诊断协议,得到所述当前车辆行驶状态;
对所述车载数据流量包进行语义解析,得到所述当前车辆控制信号。
4.如权利要求1所述的基于车辆状态的异常流量检测方法,其特征在于,所述根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果的步骤包括:
根据所述当前车辆行驶状态查找预先构建的状态安全标准库,得到对应的状态安全规则,并将所述当前车辆控制信号与所述状态安全规则进行匹配,判断所述当前车辆控制信号是包含异常操作;
若包含,则将所述车载数据流量包判定为注入异常流量,反之,则将所述车载数据流量包判定为正常控制流量。
5.如权利要求4所述的基于车辆状态的异常流量检测方法,其特征在于,所述状态安全标准库包括加速/制动状态安全规则、转向状态安全规则和侧倾状态安全规则;
所述加速/制动状态安全规则包括加速制动敏感信号和对应的信号异常取值范围;所述加速制动敏感信号包括第一加速控制信号、制动控制信号和转向控制信号;所述第一加速控制信号包括速度偏移、速度偏移单位和速度设置;所述制动控制信号包括制动启用和制动扭矩目标;所述转向控制信号包括转向角度偏移;
所述转向状态安全规则包括转向状态敏感信号和对应的信号异常取值范围;所述转向状态敏感信号包括车轮控制信号、第二加速控制信号和灯光控制信号;所述车轮控制信号包括左前车轮转向角、左后车轮转向角、右前车轮转向角和右后车轮转向角;所述第二加速控制信号包括速度偏移和速度偏移单位;所述灯光控制信号包括转向背光灯启用;
所述侧倾状态安全规则包括侧倾状态敏感信号和对应的信号异常取值范围;所述侧倾状态敏感信号包括胎压控制信号和转向控制信号;所述胎压控制信号包括左前车轮胎压、左后车轮胎压、右前车轮胎压和右后车轮胎压;所述转向控制信号包括转向偏移和转向偏移单位。
6.如权利要求5所述的基于车辆状态的异常流量检测方法,其特征在于,所述状态安全标准库的构建步骤包括:
根据加速/制动动力学,得到加速制动敏感信号,并根据打滑率阈值和转向角阈值对加速制动敏感信号进行分析,得到对应的信号异常取值范围;
根据转向/偏航动力学,得到转向状态敏感信号,并根据预设转向异常指标对各个转向状态敏感信号进行分析,得到对应的信号异常取值范围;所述预设转向异常指标包括转向过度指标和转向不足指标;
根据侧倾动力学,得到侧倾状态敏感信号,并根据侧翻指数阈值对各个侧倾状态敏感信号进行分析,得到对应的信号异常取值范围。
7.如权利要求5所述的基于车辆状态的异常流量检测方法,其特征在于,所述状态安全标准库还包括常规行驶安全规则;所述常规行驶安全规则包括行驶过程敏感信号和对应的信号异常取值范围;所述行驶过程敏感信号包括把手控制信号、门锁控制信号和车身控制信号;所述把手控制信号包括左前门把手拉动/持续拉动、左后门把手拉动/持续拉动、右前门把手拉动/持续拉动、以及右后门把手拉动/持续拉动;
所述门锁控制信号包括驾驶侧门打开、后备箱打开、前灯位车门开启、侧车门开启和远离上锁;所述车身控制信号包括驻车制动器故障、驻车启动、车门按钮启动和关闭电源。
8.一种基于车辆状态的异常流量检测系统,其特征在于,所述系统包括:
包头检测模块,用于响应于车载数据流量包的接收,对所述车载数据流量包进行包头检测,得到对应的包头检测结果;
异常初检模块,用于当所述包头检测结果为结构异常时,将所述车载数据流量包判定为异常流量,并得到对应的异常流量检测结果;
异常深检模块,用于当所述包头检测结果为结构正常时,获取当前车辆行驶状态和当前车辆控制信号,并根据所述当前车辆行驶状态和所述当前车辆控制信号对所述车载数据流量包进行注入异常检测,得到对应的异常流量检测结果。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311722864.XA CN117729011A (zh) | 2023-12-14 | 2023-12-14 | 基于车辆状态的异常流量检测方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311722864.XA CN117729011A (zh) | 2023-12-14 | 2023-12-14 | 基于车辆状态的异常流量检测方法、系统、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117729011A true CN117729011A (zh) | 2024-03-19 |
Family
ID=90210026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311722864.XA Pending CN117729011A (zh) | 2023-12-14 | 2023-12-14 | 基于车辆状态的异常流量检测方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117729011A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN120224193A (zh) * | 2025-05-29 | 2025-06-27 | 北京航空航天大学杭州创新研究院 | 一种数据模型混合的车联网安全评估方法 |
| WO2025195167A1 (zh) * | 2024-03-22 | 2025-09-25 | 深圳引望智能技术有限公司 | 检测方法、装置和车辆 |
-
2023
- 2023-12-14 CN CN202311722864.XA patent/CN117729011A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2025195167A1 (zh) * | 2024-03-22 | 2025-09-25 | 深圳引望智能技术有限公司 | 检测方法、装置和车辆 |
| CN120224193A (zh) * | 2025-05-29 | 2025-06-27 | 北京航空航天大学杭州创新研究院 | 一种数据模型混合的车联网安全评估方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110494330B (zh) | 车辆监视装置、不正当检测服务器、以及控制方法 | |
| US10992495B2 (en) | Means and methods for regulating CAN communication | |
| Song et al. | Intrusion detection system based on the analysis of time intervals of CAN messages for in-vehicle network | |
| Narayanan et al. | OBD_SecureAlert: An anomaly detection system for vehicles | |
| CN111052681B (zh) | 异常检测电子控制单元、车载网络系统及异常检测方法 | |
| US10356122B2 (en) | Device for detection and prevention of an attack on a vehicle | |
| US20210034745A1 (en) | Security system and methods for identification of in-vehicle attack originator | |
| Carsten et al. | In-vehicle networks: Attacks, vulnerabilities, and proposed solutions | |
| CN117729011A (zh) | 基于车辆状态的异常流量检测方法、系统、设备及介质 | |
| US10440120B2 (en) | System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network | |
| Minawi et al. | Machine learning-based intrusion detection system for controller area networks | |
| CN106647724A (zh) | 一种基于车辆异常数据监测的t‑box信息安全检测及防护方法 | |
| CN111147448B (zh) | 一种can总线洪范攻击防御系统及方法 | |
| Kalutarage et al. | Context-aware anomaly detector for monitoring cyber attacks on automotive CAN bus | |
| Huang et al. | On the security of in-vehicle hybrid network: Status and challenges | |
| Xue et al. | {SAID}: State-aware defense against injection attacks on in-vehicle network | |
| Tanksale | Intrusion detection for controller area network using support vector machines | |
| Wang et al. | Intrusion detection system for in-vehicle can-fd bus id based on gan model | |
| CN108989319B (zh) | 基于can总线的车辆入侵检测方法及车辆入侵检测装置 | |
| Shirazi et al. | Using machine learning to detect anomalies in embedded networks in heavy vehicles | |
| Mukherjee | SAE J1939-specific cyber security for medium and heavy-duty vehicles | |
| CN117176770A (zh) | 一种中央网关控制器及数据处理方法 | |
| Rai et al. | Unveiling threats: A comprehensive taxonomy of attacks in in-vehicle networks | |
| Groza et al. | Designing security for in-vehicle networks: a Body Control Module (BCM) centered viewpoint | |
| CN117382621A (zh) | 一种关于车辆主动安全的方法、终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |