(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111476992.1 (22)申请日 2021.12.02 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 穆可心　杨威　陈强　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/40(2006.01) (54)发明名称 一种CAN总线 入侵检测方法及装置 (57)摘要 本申请实施例提供一种CAN总线入侵检测方 法及装置， 涉及通信技术领域， 该CAN总线入侵检 测方法包括： 先 获取CAN总线中的目标加密报文； 然后对目标加密报文进行基于无效字段的入侵 检测， 得到第一检测结果； 以及对目标加密报文 进行基于相同报文的入侵检测， 得到第二检测结 果； 以及对目标加密报文进行基于报文周期的入 侵检测， 得到第三检测结果； 以及对目标加密报 文进行基于负载率的入侵检测， 得到第四检测结 果； 最后根据第一检测结果、 第二检测结果、 第三 检测结果 以及第四检测结果生成告警信息并进 行告警能够对加密数据进行入侵检测， 实现难度 低， 适用性 好。 权利要求书2页 说明书9页 附图2页 CN 114157492 A 2022.03.08 CN 114157492 A 1.一种CAN总线入侵检测方法， 其特 征在于， 包括： 获取CAN总线中的目标加密报文； 对所述目标加密报文 进行基于无效字段的入侵检测， 得到第一检测结果； 对所述目标加密报文 进行基于相同报文的入侵检测， 得到第二检测结果； 对所述目标加密报文 进行基于报文周期的入侵检测， 得到第三检测结果； 对所述目标加密报文 进行基于负载率的入侵检测， 得到第四检测结果； 根据所述第一检测结果、 所述第二检测结果、 所述第三检测结果以及所述第 四检测结 果生成告警信息并进行告警。 2.根据权利要求1所述的CAN总线入侵检测方法， 其特征在于， 所述对所述目标加密报 文进行基于无效字段的入侵检测， 得到第一检测结果， 包括： 计算每个所述目标加密报文的消息 字段值； 从所有所述目标加密报文中确定所述消息字段值不符合预设加密标准的报文的目标 数量； 判断所述目标 数量是否超过 预设数量阈值； 如果是， 则确定第一检测结果 为存在泛洪攻击 。 3.根据权利要求1所述的CAN总线入侵检测方法， 其特征在于， 所述对所述目标加密报 文进行基于相同报文的入侵检测， 得到第二检测结果， 包括： 获取预存的过去消息列表； 根据所述过去消息列表确定每 个所述目标加密报文在预设时间段内的发送频率； 判断所有所述目标加密报文中是否存在有所述发送频率超过预设发送频率阈值的目 标报文； 如果是， 则抛 弃所述目标报文， 并确定第二检测结果 为存在入侵攻击 。 4.根据权利要求1所述的CAN总线入侵检测方法， 其特征在于， 所述对所述目标加密报 文进行基于报文周期的入侵检测， 得到第三检测结果， 包括： 检测每个所述目标加密报文在第一预设单位时间段内的报文数量； 根据所述报文数量确定每 个所述目标加密报文的报文周期； 从预设的报文周期库中确定每 个所述目标加密报文的标准周期； 从所有所述目标加密报文中确定出报文周期与 所述标准周期不同的报文， 得到攻击报 文； 生成包括所述 攻击报文的第三检测结果。 5.根据权利要求1所述的CAN总线入侵检测方法， 其特征在于， 所述对所述目标加密报 文进行基于负载率的入侵检测， 得到第四检测结果， 包括： 根据所述目标加密报文计算第二预设单位时间段内所述CAN总线的负载率； 判断所述负载率是否超过 预设负载率阈值； 如果超过， 则确定第四检测结果 为存在入侵攻击 。 6.根据权利要求5所述的CAN总线入侵检测方法， 其特 征在于， 所述方法还 包括： 当判断出所述负载率超过所述预设负载率阈值 时， 从所有所述目标加密报文中确定不 符合预设加密标准的第一 通信报文， 并抛 弃所述第一 通信报文； 根据预设的过去消息列表从所有所述目标加密报文中确定超过预设发送频率阈值的权　利　要　求　书 1/2 页 2 CN 114157492 A 2第二通信报文， 并抛 弃所述第二 通信报文。 7.根据权利要求1所述的CAN总线入侵检测方法， 其特征在于， 所述根据所述第一检测 结果、 所述第二检测结果、 所述第三检测结果以及所述第四检测结果生成告警信息并进行 告警， 包括： 根据所述第一检测结果、 所述第二检测结果、 所述第三检测结果以及所述第 四检测结 果， 判断是否存在入侵攻击； 如果是， 则生成入侵攻击的告警信息， 并根据所述告警信息向车内电子单 元进行告警。 8.一种CAN总线入侵检测装置， 其特 征在于， 所述CAN总线入侵检测装置包括： 获取单元， 用于获取CAN总线中的目标加密报文； 第一检测单元， 用于对所述目标加密报文进行基于无效字段的入侵检测， 得到第一检 测结果； 第二检测单元， 用于对所述目标加密报文进行基于相同报文的入侵检测， 得到第二检 测结果； 第三检测单元， 用于对所述目标加密报文进行基于报文周期的入侵检测， 得到第三检 测结果； 第四检测单元， 用于对所述目标加密报文进行基于负载率的入侵检测， 得到第 四检测 结果； 告警单元， 用于根据 所述第一检测结果、 所述第 二检测结果、 所述第 三检测结果以及所 述第四检测结果 生成告警信息并进行告警。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至7中 任一项所述的CAN总线入侵检测方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指令被一处理器读取并运行时， 执行权利要求1至7任一项所述的CAN总线入 侵检测方法。权　利　要　求　书 2/2 页 3 CN 114157492 A 3