色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

基于規則的車載網絡入侵檢測技術

上??匕?/a> ? 來源:上??匕? ? 作者:上海控安 ? 2023-02-01 11:07 ? 次閱讀

作者 |柳澤上??匕部尚跑浖撔卵芯吭貉邪l工程師

來源 |鑒源實驗室

在過去的幾十年中,CAN總線是最廣泛被應用的車載網絡現場總線。但隨著汽車電子產品的功能逐漸豐富,以及新一代的智能輔助駕駛系統的接入,傳統CAN總線無論是傳輸效率還是網絡容量都已無法滿足需求,所以車載以太網憑借其高帶寬、低成本、低延時的優勢被引入車載通訊系統[1]。因此,車載網絡的網絡入侵檢測系統 (N-IDS,Network Intrusion Detection System,)可以根據網絡載體的差異分為CAN-IDS以及以太網IDS。

N-IDS系統部署在遠程通信終端(T-Box,Telematics Box)、網關以及車載娛樂信息系統(IVI,In-Vehicle Infotainment)上,通過對CAN總線以及車載以太網上的流量數據的監控、數據載荷的解析和字段匹配來識別網絡中出現的異常流量和潛在攻擊行為。

01CAN-IDS

CAN-IDS會對采集到的CAN流量,從報文、場景、網絡三方面,分別根據既定規則庫的規則進行匹配,從而識別出攻擊/異常報文。

1.1 DBC檢測

DBC檢測是根據DBC文件制定的規則庫對單幀報文進行檢測的檢測方法。車廠的DBC文件會對車內報文內容,如CAN ID、DLC、周期報文的周期、信號起始位、信號長度、最大值、保留位等做了定義。常見的車載網絡注入攻擊、重放攻擊、模糊攻擊等,往往會改變這些內容,通過將采集到的報文與DBC進行對比,檢測出與定義內容不相符的報文,即為攻擊/異常報文。

整體流程如圖1所示:

v2-c759704392bdb616142d3b1720d29953_720w.webp

圖1 CAN-Based IDS系統架構圖

基于DBC的報文檢測,首先加載內置的規則庫。檢測時,采集CAN總線數據并進行CAN報文的預處理,然后根據規則庫中的檢測規則,對選定的報文字段進行檢測。最終輸出檢測結果。

1.2 場景規則檢測

定義正常場景和攻擊場景,正常場景包括報文序列關系、信號關系等,攻擊場景包括UDS探測等。對網絡中的報文與定義的場景規則進行匹配。目前針對的主要場景是UDS診斷服務。

基于專家領域知識,根據UDS診斷響應中的NRC進行安全事件告警。安全事件有:UDS拒絕服務、UDS探測、UDS非法請求、非法獲取權限、數據安全等。

1.3 網絡檢測

網絡檢測是對整個車載網絡上的負載率和信息熵進行檢測。當實際值偏離了規則庫中定義的閾值,則說明網絡異常或被攻擊。泛洪攻擊、模糊攻擊、重放攻擊等都會使網絡的負載率和信息熵發生變化。

CAN總線負載率是指在CAN總線上單位時間內實際傳送的位數和可以傳送的位數之比。負載率檢測能夠監視網絡的流量情況。信息熵用來衡量系統的不確定性,被廣泛應用于計算機網絡的異常檢測。車載CAN網絡在某一工況下,以一定的規律發送,是低隨機性、相對靜態的。正常情況下,車載網絡的負載率和信息熵較為穩定。對車載網絡進行泛洪攻擊、注入攻擊等,則會使相應指標超過正常值。

v2-344d66e3497c677b95b89e76ad0c569b_720w.webp

其中 ai 為第 i 類報文在時間 T 內出現的概率。

網絡檢測首先選擇合適的時間窗口,計算正常車輛的負載率和信息熵,確定其閾值并添加到規則庫中。然后,在實車運行過程中,計算當前負載率和信息熵,與規則庫中的值進行比較,判斷網絡是否異?;虮还?。

02Ethernet-IDS

Ethernet-IDS通過對要檢測的網段的所有流量包進行抓包,對抓包數據進行特征字段的提取,利用提取的網絡特征來識別其中的異常/攻擊報文[1]。Snort是一款輕量化的開源的以太網入侵檢測系統,它能夠進行實時流量分析、網絡數據包的記錄、異常流量的監測和響應。最初Snort僅支持IP、TCP、UDP等下層協議的檢測,但其預處理器機制可被用來拓展兼容不同的上層應用層協議。SOME/IP、DoIP等車載以太網協議是為了應對汽車的電子電器架構由分布式逐漸走向中央集中化的演化,而設計出來的應用層協議。于彤[3]從SOME/IP和DoIP協議的數據完整性、規范程度和潛在漏洞等方面分析了兩種協議可能存在的風險,并針對此將SOME/IP、DoIP預處理器引入Snort中。ZIHAN Zhou等[4]通過改進了Snort的規則匹配模式并設計了一種二進制的規則格式,使其完全適配AUTOSAR的規范,能夠被引入嵌入式的系統。

Snort的原理架構圖如圖2所示,其中包括了配置模塊、數據獲取模塊、檢測模塊以及輸出模塊。通過修改配置模塊的配置文件,可以定義數據獲取的配置、預處理的方式、檢測的規則以及輸出日志的格式。數據獲取模塊負責檢測、解析網卡中的流量并將其送入檢測模塊。檢測模塊根據配置信息,對指定的異常行為進行檢測和處理,并且會將檢測結果送入輸出模塊,由其實現輸出日志的解析、處理、封裝和轉發等功能。

v2-cc1dc0e32e66c38119a025bc3a98925e_720w.webp

圖2 snort原理架構圖

2.1 配置模塊

配置模塊負責以太網N-IDS所有模塊的配置選項設置,在IDS啟動的時候即對各個模塊進行初始化配置。配置內容如表1所示:

v2-d46b3c30318d0a86f4ac77466461d07e_720w.webp

表1 Snort 檢測功能配置

2.2 數據獲取模塊

數據獲取模塊擁有數據包記錄功能,可以直接記錄原始數據報文,以及對本地記錄的數據包進行重放。數據獲取模塊抓取網卡中流量數據包,根據配置文件進行相應的解碼和預處理。數據獲取模塊對數據包標準化預處理,使得檢測模塊能夠直接進行特征字段的匹配。

2.3 檢測模塊

檢測模塊從兩個方面對以太網中的異常流量和行為進行檢測:網絡流量檢測和網絡數據包檢測。

(1)網絡流量檢測對以太網的流量情況,包括帶寬利用率和信息熵進行監測分析,當超出正常閾值時發出警告。

(2)網絡數據包檢測定義了正常場景和攻擊場景,其中正常場景包括報文序列關系、信號關系等,而攻擊場景包括ICMP flood、TCP port scan等。通過對網絡數據包中的報文特征字段與定義的場景規則進行匹配,來識別隱藏在報文內的異常攻擊行為。

Snort是一個完全基于規則的以太網IDS系統,它的規則編寫簡單而又靈活,可支持本地編寫規則的導入。Snort的規則是由文本構成,主要由規則頭和規則選項兩部分構成。一條Snort規則編寫如圖3所示:

v2-7087833e3501342afd3a20dc90223d73_720w.webp

圖3 Snort規則編寫示例

(1)規則頭:定義了數據包的發送端地址和端口、接收端的地址和端口、協議類型,以及規則匹配成功后應執行的操作。

(2)規則選項:定義了規則匹配的數據包特征,是Snort入侵檢測引擎的核心,也是將Snort易用性與強大功能和靈活性結合起來的關鍵。所有Snort規則選項都使用分號( ; )字符彼此分隔。規則選項關鍵字與參數之間用冒號( : )分隔。通過規則選項的設置, Snort可以對報文的任意字段進行正則匹配。

2.4 輸出模塊

輸出模塊負責對檢測模塊的檢測結果進行進一步的處理與輸出。檢測模塊根據配置文件定義的輸出格式將檢測結果封裝成日志的形式。輸出模塊還可以通過配置相關參數以及設置事件過濾規則來修改日志輸出的頻率。

03小結

規則檢測的方法以其穩定性好、檢測準確率高、可解釋性強等優點成為車載網絡入侵檢測系統的重要支柱。但汽車電子電氣架構的演變、車載網絡數據的增加以及車載通訊協議的擴充,都對基于規則的車載網絡入侵檢測系統提出了更高的要求。性能、可擴展性、兼容能力將是下一代車載網絡入侵檢測系統開發中重要的考量指標。

參考文獻:

[1]李嘉銘. 車載以太網的高效率網絡安全技術研究[D].延邊大學,2022.DOI:10.27439/d.cnki.gybdu.2022.000462.

[2]劉春頌,楊壽保,杜濱[J].計算機應用.基于網絡的入侵檢測系統及其實現.2003,2:29-31.

[3]于彤. SOME/IP與DoIP異常檢測系統設計[D].華中科技大學,2021.DOI:10.27157/d.cnki.ghzku.2021.005242.

[4]Zihan, Z., Lirong, C., Haitao, Z. and Fan, Z., 2021, December. Research on Intrusion Detection Technology Based on Embedded Ethernet. In 2021 18th International Computer Conference on Wavelet Active Media Technology and Information Processing (ICCWAMTIP) (pp. 587-600). IEEE.

審核編輯黃宇

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 車載網絡
    +關注

    關注

    6

    文章

    159

    瀏覽量

    31767
  • 檢測
    +關注

    關注

    5

    文章

    4480

    瀏覽量

    91443
收藏 人收藏

    評論

    相關推薦

    面向教學科研的車載網絡系統開發及測試實驗室

    車載網絡通訊技術是汽車行業的基礎技術,是軟件定義汽車的基礎。網絡通信設計與網絡測試目的是保證各個
    的頭像 發表于 12-18 09:50 ?61次閱讀
    面向教學科研的<b class='flag-5'>車載</b><b class='flag-5'>網絡</b>系統開發及測試實驗室

    R155 VTA 認證對汽車入侵檢測系統(IDS)合規要求

    細則來具體展開 。 今天就先從汽車入侵檢測系統(IDS)展開分享。 01 什么是汽車IDS? 汽車入侵檢測系統(IDS,Intrusion Detection System)是一種專門
    的頭像 發表于 12-06 14:28 ?97次閱讀

    是德科技亮相第三屆車載網絡和通信架構技術及標準研討會

    近日,由中國汽車技術研究中心有限公司中國汽車標準化研究院主辦,是德科技協辦的“2024第三屆車載網絡和通信架構技術及標準研討會”在武漢圓滿進行。該會議以“標準助力
    的頭像 發表于 11-07 15:38 ?318次閱讀

    解決方案丨PPEC inside車載逆變器,車載高能耗設備需求的理想之選

    也在迅速擴大。一、PPEC 車載逆變器PPEC車載逆變器是森木磊石推出的一款功率為10KW的純正弦波車載逆變器。產品基于獨家PPEC系列控制芯片開發,采用SiC器件和高頻軟開關轉換技術
    發表于 09-27 18:13

    車載傳感器網絡是什么意思啊

    車載傳感器網絡(Vehicle Sensor Networks,VSN)是指在車輛上部署的傳感器網絡,用于收集車輛運行狀態、環境信息、交通狀況等數據,并通過無線通信技術將這些數據傳輸到
    的頭像 發表于 09-07 09:32 ?434次閱讀

    基于CNN的網絡入侵檢測系統設計

    隨著信息技術的飛速發展,網絡安全問題日益嚴峻。傳統的網絡入侵檢測系統(IDS)在應對復雜多變的網絡
    的頭像 發表于 07-05 17:28 ?1056次閱讀

    頻譜分析設備是入侵報警前端設備嗎

    頻譜分析設備是一種用于測量和分析信號頻譜特性的電子測量儀器。它廣泛應用于通信、電子、電力、航空航天等領域,用于信號分析、頻譜監測、干擾檢測等任務。入侵報警系統是一種安全防范系統,用于檢測和報警非法
    的頭像 發表于 06-03 09:44 ?996次閱讀

    網絡報警主機AL-9480H周界入侵探測系統的應用解決方案

    的構成、功能特點、技術細節以及應用場景等方面。 系統構成 維安達斯網絡報警主機AL-9480H是周界入侵探測系統的核心設備,通過與前端探測器(激光對射/紅外對射/探頭等)、視頻監控設備、報警輸出模板等組件的配合,實現了對周界區域
    的頭像 發表于 05-10 17:56 ?710次閱讀
    <b class='flag-5'>網絡</b>報警主機AL-9480H周界<b class='flag-5'>入侵</b>探測系統的應用解決方案

    鑒源實驗室丨汽車入侵檢測系統介紹及測試

    作者 |張詔景 上海控安可信軟件創新研究院工控網絡安全組 來源 |鑒源實驗室 社群 |添加微信號“TICPShanghai”加入“上海控安51fusa安全社區” 01 入侵檢測系統背景 智能網聯汽車
    的頭像 發表于 05-07 14:17 ?1293次閱讀
    鑒源實驗室丨汽車<b class='flag-5'>入侵</b><b class='flag-5'>檢測</b>系統介紹及測試

    車載音箱氣密性檢測儀的原理及使用方法

    以及設備的長期穩定工作,檢測車載音箱的氣密性變得至關重要。接下來,讓我們一起了解車載音箱氣密性檢測儀的工作原理以及如何正確使用這一設備。圖片來源于
    的頭像 發表于 05-07 11:55 ?426次閱讀
    <b class='flag-5'>車載</b>音箱氣密性<b class='flag-5'>檢測</b>儀的原理及使用方法

    京東方取得設備入侵檢測專利

    京東方科技集團股份有限公司在近期取得了一項重大技術突破。根據天眼查的信息,該公司已成功獲得名為“設備入侵檢測方法、系統及電子設備”的專利授權,公告號CN111367762B,授權日期定于2024年4月23日,而專利申請日則追溯至
    的頭像 發表于 05-06 14:15 ?385次閱讀

    京東方設備入侵檢測專利,降低資源占用及硬件成本,擴大適用范圍

    此項發明涉及計算機應用技術領域,主要內容是一種設備入侵檢測方法、系統以及電子設備。具體而言,該方法包括:多組數據收集組件依據預定的數據收集規則,收集目標設備的監控數據,這些組件分別位于
    的頭像 發表于 04-29 09:24 ?313次閱讀
    京東方設備<b class='flag-5'>入侵</b><b class='flag-5'>檢測</b>專利,降低資源占用及硬件成本,擴大適用范圍

    小小噪聲濾波器,應對車載網絡大挑戰

    在高級駕駛輔助系統 (ADAS) 和自動駕駛技術快速發展的推動下,現代汽車都配備了大量傳感器,如攝像頭、雷達、LiDAR 等。車內數據通信車載網絡正在向速度更快的汽車以太網標準轉變。隨著數據速度
    的頭像 發表于 04-02 09:16 ?417次閱讀
    小小噪聲濾波器,應對<b class='flag-5'>車載</b><b class='flag-5'>網絡</b>大挑戰

    車載網絡協議與串擾問題

    本文要點汽車網絡協議包括本地互連網絡(LIN)、控制器局域網絡(CAN)、面向媒體的系統傳輸(MOST)和FlexRay等。通過一根非屏蔽雙絞線(UTP),車載以太網為汽車提供了一種經
    的頭像 發表于 03-05 08:14 ?1313次閱讀
    <b class='flag-5'>車載</b><b class='flag-5'>網絡</b>協議與串擾問題

    【虹科干貨】網絡入侵的本質是什么?如何應對?

    網絡安全入侵的本質,包括攻擊者常用的策略、技術和程序,以及他們所尋求的數據類型。文中指出幾乎所有的組織都至少間接地面臨著安全風險,特別是通過第三方關系。強調加強組織內部網絡安全的重要性
    的頭像 發表于 12-29 17:09 ?339次閱讀
    主站蜘蛛池模板: 蜜臀AV999无码精品国产| 国产小伙和50岁熟女23p| 久久精品国产96精品亚洲| 国产午夜不卡| 99久久精品一区二区三区| 婷婷色色狠狠爱| 色婷婷国产精品视频一区二区三区 | 小黄鸭YELLOWDUCK7596| 理论片87福利理论电影| 男女床上黄色| 善良的小峓子2在钱免费中文字| 午夜A级理论片左线播放| 亚洲宅男天堂a在线| 91青青草原| 东京热 百度影音| 久久亚洲AV无码精品午色夜麻豆 | 97在线精品视频免费| 9久爱午夜视频| 国产-第1页-浮力影院| 国语对白嫖老妇胖老太| 捆绑调教网站| 色欲精品国产AV久久久| 亚洲熟女丰满多毛XXXXX| 97在线视频免费人妻| 国产成人综合在线| 久久re亚洲在线视频| 亲胸吻胸添奶头GIF动态图免费| 天天狠狠色噜噜| 在线观看成人免费视频| 超碰最新地址| 花蝴蝶免费观看影视| 欧美嫩freexxxhddvd| 亚洲mv在线观看| 99久久免热在线观看6| 国产日韩欧美另类| 蜜臀AV精品久久无码99| 午夜在线视频国产极品片| 最新无码国产在线视频| 国产精品99久久久久久AV下载| 久久久久久久久女黄9999| 三级电影免费看|