[发明专利]用于向车载网络提供安全性的系统及方法

权利要求书

1.一种用于向车载网络提供安全性的入侵检测系统，其包括：

消息队列模块，其配置为将从车载网络收集到的网络消息存储在消息队列中；

存储装置，其配置为安全地存储多种检测技术中使用的规则集；以及

规则引擎，其配置为以从外部网络上的后端服务器下载的新规则集对存储在存储装置中的规则集进行更新，并且对收集到的网络消息顺序地应用所述多种检测技术，以确定收集到的网络消息是否为安全威胁消息。

2.根据权利要求1所述的入侵检测系统，其中，所述规则引擎配置为：响应于多种检测技术中的任意一种确定收集到的网络消息为安全威胁消息，跳过其余检测技术对收集到的网络消息的后续应用。

3.根据权利要求1所述的入侵检测系统，其中，所述多种检测技术包括：静态检测技术、误用检测技术以及异常检测技术。

4.根据权利要求1所述的入侵检测系统，其中，所述规则引擎配置为：以静态检测技术、误用检测技术和异常检测技术的顺序对收集到的网络消息应用检测技术。

5.根据权利要求1所述的入侵检测系统，其嵌入在以下装置的任意一个中：

中央网关，其配置为连接外部网络与车载网络；

子网关，其配置为连接车载网络的每个功能域与中央网关；以及

电子控制单元(ECU)，其属于所述每个功能域。

6.根据权利要求5所述的入侵检测系统，其中，所述规则引擎配置为：响应于多种检测技术全部确定收集到的网络消息不是安全威胁消息，允许将收集到的网络消息传输到中央网关、子网关或电子控制单元的软件应用程序。

7.根据权利要求1所述的入侵检测系统，其是作为节点连接到车载网络的单独的计算装置。

8.根据权利要求1所述的入侵检测系统，其进一步包括：

加密模块，其配置为执行规则集的加密和解密并管理相关的密钥。

9.根据权利要求1所述的入侵检测系统，其进一步包括：

接口管理器，其配置为管理与后端服务器的通信链接，使得能够从后端服务器下载新规则集，或者能够将检测日志发送到后端服务器。

10.根据权利要求1所述的入侵检测系统，其中，所述车载网络包括：

控制器局域网(CAN)。

11.一种由入侵检测系统执行的用于向车载网络提供安全性的方法，所述方法包括：

从外部网络上的后端服务器下载多种检测技术中使用的规则集，从而对预先存储的规则集进行更新；

将从车载网络收集到的网络消息存储在消息队列中；

对收集到的网络消息顺序地应用所述多种检测技术，以确定收集到的网络消息是否为安全威胁消息。

12.根据权利要求11所述的方法，其中，顺序地应用多种检测技术包括：

响应于多种检测技术中的任何一种确定收集到的网络消息为安全威胁消息，跳过其余检测技术对收集到的网络消息的后续应用。

13.一种用于向车载网络提供安全性的系统，其包括：

第一电子装置，其配置为操作以作为车载网络上的第一节点，以及第二电子装置，其配置为操作以作为第二节点，其中：

第一电子装置和第二电子装置中的每一个包括：

消息队列模块，其配置为将从车载网络收集到的网络消息存储在消息队列中；

存储装置，其配置为安全地存储一种或更多种检测技术中使用的规则集；以及

规则引擎，其配置为：以从外部网络上的后端服务器下载的新规则集对存储在存储装置中的规则集进行更新，并且对收集到的网络消息顺序地应用所述一种或更多种检测技术，以确定收集到的网络消息是否为安全威胁消息；

其中，第一电子装置包括中央网关或子网关，该中央网关配置为将外部网络与车载网络连接，该子网关配置为将车载网络的每个功能域与中央网关连接；第二电子装置包括电子控制单元(ECU)，该电子控制单元属于所述每个功能域；

第一电子装置利用静态检测技术、误用检测技术和异常检测技术，第二电子装置仅利用静态检测技术、误用检测技术和异常检测技术中的一部分。