[发明专利]用于检测车内网络攻击的装置与方法

说明书

本发明涉及用于检测车内网络攻击的装置与方法，该装置被配置为对具有各自的ID并且连接至车内网络总线的各个设备的包进行累积计数。该装置被配置为每当对包进行累积计数时都累积检查值以计算累计值，并且当通过将累计值除以累积计数值所获得的平均累计值不超过第一阈值时确定发生攻击。

相关申请的交叉引用

本申请基于并要求于2012年12月12日向韩国知识产权局提交的韩国专利申请第10-2012-0144900号的优先权，将其全部内容通过引用结合于此。

技术领域

本发明构思涉及用于检测车内网络攻击的装置和方法，更具体地，涉及用于提前检测对车内网络的外部任意攻击的装置和方法。

背景技术

通常地，由于车内网络独立于外部网络运行，所以没有用于保护车内网络信息的设备。

近来，由于车内网络可被连接到外部网络（如无线通讯网络（3G/4G）、蓝牙等），并被连接到汽车诊断装置，所以汽车网络很有可能受到不良的影响。即，当外部网络的恶意攻击者侵扰内部网络时，汽车操作就会发生严重问题，可能威胁到乘客的安全。

同时，具有相同IP地址的互联网包的特性（包尺寸、延迟时间、发生频率等）随着时间推移发生变化，并且这些包还具有不规则和随机特性。因此，检测网络攻击的技术通常基于每单位时间所接受的包数目来判定是否发生攻击。

另一方面，车内网络产生的流量对于每个ID具有不同的包生成频率，但是每个ID的流量都是较有规律地生成的。在这种情况下，当两个包同时被生成时，基于优先级确定发送顺序。

因此，当具有ID的包高速生成时，仅通过基于每单位时间接收的包数目的分析，可能无法检测将优先级高于该ID的包注入频率与具有该ID的包的生成频率相似的网络中的攻击。

即，由于具有较高优先级的攻击的ID、而不是具有较低优先级的普通ID被注入网络，所以攻击可能无法仅通过对包数目计数的方法而检测出来。

因此，需要一种适用于汽车流量的流量分析方法，这种方法不同于用于互联网入侵检测的方法。

发明内容

因此，进行本发明构思是为了在完整保留现有技术所实现的优点的同时解决现有技术中发生的上述问题。

本发明构思的一方面涉及一种用于检测车内网络攻击的装置和方法，其对被连接至车内网络总线的每个设备（ID）的包进行累积计数，每当对包进行累积计数时都累积检查值S以计算累计值，并且当通过将累计值除以累积计数所获得的平均累计值不超过第一阈值时确定发生攻击。

本发明构思的另一方面包括一种用于检测车内网络攻击的装置和方法，其对被连接至车内网络总线的装置（ID）中包括在预定优先级范围中的每个设备（ID）的包进行累积计数，每当对包进行累积计数时都累积检查值S以计算累计值，并且当通过将累计值除以累积计数所获得的平均累计值不超过第三阈值时确定发生攻击。

本发明构思的一方面涉及一种用于检测在对于包发送具有定义的优先级的设备连接至车内网络总线的车内网络环境下的车内网络攻击的装置。该装置包括：包收集器，被配置为收集经由车内网络总线传送的包；包计数器，被配置为对由包收集器收集的包数目进行累积计数；检查值计算器，被配置为基于具有相同ID的包的生成时间差异计算检查值；累计值计算器，被配置为通过将由检查值计算器计算出的检查值与前一个计算出的检查值相加来计算累计值；平均累计值计算器，被配置为通过将由累计值计算器计算出的累计值除以由包计数器累积计数的值来计算平均累计值；以及攻击确定器，被配置为基于由平均累计值计算器计算出的平均累计值确定是否发生攻击。