[发明专利]一种基于总线的入侵检测方法

权利要求书

1.一种基于总线的入侵检测方法，其特征在于，该方法包括以下具体步骤：

步骤1：监听并收集总线传输数据；

步骤2：利用总线的工作原理，在收集的总线数据中提取总线特征；

步骤3：将提取的总线特征提交到总线异常检测器检测，若消息合法，则让消息通过，否则生成入侵事件，将此入侵事件提交到入侵事件过滤器，若入侵检测过滤器能过滤此入侵事件，则让消息通过，否则停止总线传输此消息，阻止此次入侵；其中：

所述步骤2具体包括：

步骤B1：根据总线协议，提取消息时长，消息长度，方式代码，消息数据，消息时间间隔，消息频率；

步骤B2：提取出子系统的总线频率和总线信誉；

所述步骤3具体包括：

步骤C1：异常检测器检测子系统总线频率，消息频率，消息长度，消息数据是否在异常检测器检测的范围内，若不在异常检测器检测范围内，则为入侵检测事件，执行步骤C4；若在异常检测器检测范围内，则执行步骤C2；

步骤C2：预先建立的异常检测器检测方式代码是否在异常检测器的方式代码白名单内，若不在异常检测器的方式代码白名单内，则为入侵检测事件，执行步骤C4；若在异常检测器的方式代码白名单内，则执行步骤C3；

步骤C3：预先建立的异常检测器检测子系统总线信誉是否在异常检测器的总线信誉阈值内，若不在异常检测器的总线信誉阈值内，则为入侵检测事件，执行步骤C4；若在异常检测器的总线信誉阈值内，则不存在入侵，让消息成功传输；

步骤C4：将入侵检测事件提交到入侵检测过滤器，将此次表现为入侵事件的行为以九元组的形式记录，将此九元组提交到入侵检测过滤器，如果入侵检测过滤器能过滤此入侵事件，则让消息通过，否则停止总线传输消息，阻止此次入侵；其中，九元组形式为：子系统、消息时长、消息长度、方式代码、消息数据、消息时间间隔、消息频率、子系统总线频率及子系统总线信誉。

2.根据权利要求1所述的入侵检测方法，其特征在于，所述步骤1具体包括：

步骤A1：所述监听并收集总线传输数据，实时监听总线，记录子系统在总线上传输的数据和子系统使用总线的时间。

3.根据权利要求1所述的入侵检测方法，其特征在于，步骤B2中所述提取出子系统的总线频率是利用子系统使用总线发送的消息个数和消息的发送时间来计算子系统的总线频率，所述提取子系统的总线信誉是利用子系统总线频率，发送消息时使用总线时长计算子系统总线信誉。

4.根据权利要求1所述的入侵检测方法，其特征在于，步骤C4中入侵检测过滤器过滤入侵事件具体包括：

步骤D1：将入侵事件九元组特征归一化；

步骤D2：使用机器学习的算法计算入侵检测器提交的入侵事件九元组特征；

步骤D3：验证九元组特征值合法性，若不在机器学习算法接收的范围内，则为一次入侵事件，拒绝总线传输此消息；否则不存在入侵，让消息成功传输。

5.根据权利要求4所述的的入侵检测方法，其特征在于，步骤D2中所述使用机器学习的算法，其算法为K-近邻即KNN算法。