[发明专利]一种检测注入式攻击的控制器局域网汽车总线报警网关

权利要求书

1.一种用于控制器局域网汽车总线报警网关的检测注入式攻击的方法，网关的内存持两个表格：静态表和动态表，其中静态表记录CAN总线上所有ECU发出消息的ID，周期T、ECU发出消息中的数据的最大值Max最小值Min及响应请求帧的响应时间R，按ID由小到大排序；动态表记录着CAN总线上的所有两次数据帧发出的时间、数据帧中数据的数值大小和请求帧发出的时间及对应的响应帧的时间和大小，按ID由小到大排序；其特征在于包括如下步骤：

(1)网关循环接收数据帧或请求帧；

(2)如果是数据帧，①首先检测其ID是否在静态表中，如果不是就报警；如果是，②则检测数据帧中数据的数值(Value)是否在最大值Max和最小值Min之间，如果不是就报警；否则在动态表中查找类型为周期数据帧的该ID的数据帧；③如果该周期数据帧前面没有请求帧，说明是ECU自己周期性地发出数据，第二次接收到的数据的时间和大小存入动态表中周期数据帧的本次发出或响应数据帧时间和数据的数值大小字段，然后比较数据发出的周期T是否正常，不正常报警；否则用周期数据帧的本次发出或响应数据帧时间和数据的数值大小字段中的接收时间和大小替换周期数据帧的上次发出或请求时间和数据的数值大小字段，转第(1)步，等待下一个(Next)数据帧，如此循环往复；④如果该数据帧前面有请求帧，说明有其它ECU请求数据，收到数据帧后将收到的时间和大小存入动态表中ID且类型为请求帧记录中的本次发出或响应数据帧时间和数据的数值大小字段，比较响应时间R是否正常，不正常报警，否则删除动态表中ID且类型为请求帧的记录，转第(1)步；

(3)如果是请求帧，①首先检测其ID是否在静态表中，如果不是就报警；如果是，②则在动态表中新建ID且类型为请求帧的记录，并将请求时间填入请求帧的的上次发出或请求时间和数据的数值大小字段中的时间字段，大小为0，转第(1)步。

2.如权利要求1所述的用于控制器局域网汽车总线报警网关的检测注入式攻击的方法，其特征在于：步骤(2)第②步中，若动态表没有查找到类型为周期数据帧的ID，则新建周期数据帧，第一次数据接收到的日期和大小存入动态表中周期数据帧的上次发出或请求时间和数据的数值大小字段。