[发明专利]一种基于DoIP协议的入侵检测防御方法及系统

权利要求书

1.一种基于DoIP协议的入侵检测防御方法，其特征在于，包括：

在外部测试设备中设置DoIP协议模块，在车内DoIP实体中设置DoIP协议模块和DoIP入侵检测模块；

在所述车内DoIP实体中设置DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测策略；

当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述车内DoIP实体按照所述检测策略依次进行DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测；

所述DoIP报文格式的检测策略包括：报文头格式检测策略，以及报文类型、报文长度与报文传输层协议检测策略；所述报文头格式检测策略为报文头参数的合法值域的检测策略，所述报文头参数包括协议版本信息、协议版本按位取反信息、数据类型和数据长度；所述报文类型、报文长度与报文传输层协议检测策略为检测不同报文数据类型是否符合设定的数据长度和传输层协议类型的策略，所述报文数据类型包括发送报文数据和接收报文数据，所述传输层协议类型包括UDP协议和TCP协议；

所述DoIP报文场景的检测策略为检测不同报文数据类型是否支持设定的工作场景的策略，所述工作场景包括车辆发现、TCP连接、路由激活、车辆诊断中的至少一种；

所述DoIP报文间隔的检测策略为检测报文处理是否符合设定的时间间隔的策略；

当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述车内DoIP实体按照所述检测策略依次进行DoIP报文格式、DoIP报文场景和DoIP报文间隔的检测，具体包括：

当所述外部测试设备对所述车内DoIP实体进行诊断通讯时，所述外部测试设备通过其DoIP协议模块对诊断数据进行封装后生成DoIP报文，并发送至所述车内DoIP实体；

所述车内DoIP实体接收到封装后的所述DoIP报文后，上传至其DoIP入侵检测模块；

所述车内DoIP实体通过其DoIP入侵检测模块解析封装后的所述DoIP报文后，使用所述报文头格式检测策略检测所述DoIP报文的报文头各个参数是否在合法值域内，若不在合法值域内，则所述DoIP报文为非法报文；若在合法值域内，则开始检测报文类型；

所述车内DoIP实体通过其DoIP入侵检测模块使用所述报文类型检测策略检测所述DoIP报文是否符合接收报文数据类型，若不符合，则所述DoIP报文为非法报文；若符合，则开始检测报文长度；

所述车内DoIP实体通过其DoIP入侵检测模块使用所述报文长度检测策略检测所述DoIP报文的数据长度与设定的数据长度是否一致，若不一致，则所述DoIP报文为非法报文；若一致，则开始检测报文传输层协议；

所述车内DoIP实体通过其DoIP入侵检测模块使用所述报文传输层协议检测策略检测所述DoIP报文的传输层协议与设定的传输层协议是否一致，若不一致，则所述DoIP报文为非法报文；若一致，则开始检测报文场景；

所述车内DoIP实体通过其DoIP入侵检测模块使用所述DoIP报文场景的检测策略检测所述DoIP报文是否支持设定的工作场景，若所述DoIP报文属于设定的工作场景以外的报文，则所述DoIP报文为非法报文；若所述DoIP报文支持设定的工作场景，则开始检测当前是否还在处理上一DoIP报文请求；

若所述车内DoIP实体通过其DoIP入侵检测模块检测获知当前正在处理上一DoIP报文请求且通过所述DoIP报文间隔的检测策略判断处理时间并未超过设定的时间间隔，则所述DoIP报文为非法报文；否则，将所述DoIP报文发送至其DoIP协议模块进行处理，并将处理的响应结果返回至所述外部测试设备。

2.根据权利要求1所述的入侵检测防御方法，其特征在于，所述车内DoIP实体通过其DoIP入侵检测模块在检测所述报文头格式、所述报文类型和所述报文长度的过程中，在检测获知DoIP报文为非法报文后，通知其DoIP协议模块进行否定响应的发送，DoIP入侵检测模块记录所述DoIP报文的错误日志并结束退出；

所述车内DoIP实体通过其DoIP入侵检测模块在检测所述报文传输层协议、所述报文场景和所述报文间隔的过程中，在检测获知DoIP报文为非法报文后，通过DoIP入侵检测模块记录所述DoIP报文的错误日志并结束退出。