[发明专利]一种车载网络IDPS联防联动系统

说明书

本发明公开了一种车载网络IDPS联防联动系统，包括：多个ETH－IDPS节点，每个ETH－IDPS节点包括ETH－IDPS组件、SOME/IP Server端和SOME/IP Client端，SOME/IP Server端接收ETH－IDPS组件生成的入侵检测结果，将入侵检测结果中的入侵事件输出，并根据入侵检测结果生成规则更新事件输出；ETH－IDPS节点的SOME/IP Client端订阅其他ETH－IDPS节点输出的规则更新事件，判断是否更新规则文件。通过实施本发明，在ETH－IDPS节点中部署SOME/IP Server端和SOME/IP Client端实现了多个节点之间的联防联动。

技术领域

本发明涉及车载网络技术领域，具体涉及一种车载网络IDPS联防联动系统。

背景技术

车辆入侵检测与防御系统(Intrusion DetectionPrevention System，IDPS)，用来检测针对车辆内部网络的入侵事件，包括can网络入侵，以太网的入侵，并通过4G或者5G网络将威胁事件上报到态势感知平台进行呈现，然后对威胁事件进行分析，将处理结果与防护策略再下发给终端进行防护。

随着以太网在汽车内的普及，支持以太网的节点也越来越来，进而需要部署以太网－车辆入侵检测与防御系统(ETH－IDPS)的节点也越来越多，一般情况下，每一路CAN总线上部署一个CAN－IDS(基于CAN总线入侵检测系统)程序，每一个具备以太网通信能力的终端上部署一个ETH－IDPS程序。在一般的整车IDPS防御系统拓扑结构中，所有的检测节点(如ETH－IDPS)都是独立的，之间无法实现互联互通。

并且，ETH－IDPS对威胁报文的检测是通过各种规则文件里配置的规则条目进行匹配检测的，而检测规则又分为很多类，比如端口扫描类的规则文件，SSH协议攻击的规则检测文件、HTTP协议攻击的规则检测文件，而每一类规则文件中，又有非常多的针对该类的检测规则，从而对不同网络攻击报文进行精准识别。如果对某一类攻击配置了检测规则，则可以检测出来攻击，如果没有配置，则无法检测出来，而车内所有的ETH－IDPS节点配置的检测规则选项也不尽相同。当某一个节点检测出一类攻击后，很有可能这类攻击会对其他节点造成严重威胁，而其他有的节点并没有配置相关的检测规则，就会造成严重的后果。

发明内容

有鉴于此，本发明实施例提供了涉及一种车载网络IDPS联防联动系统，以解决现有技术中整车防御系统中ETH－IDPS检测节点无法实现互联互通，导致存在攻击威胁的技术问题。

本发明提出的技术方案如下：

本发明实施例第一方面提供一种车载网络IDPS联防联动系统，包括：多个ETH－IDPS节点，每个ETH－IDPS节点包括ETH－IDPS组件、SOME/IP Server端和SOME/IP Client端，所述SOME/IP Server端接收所述ETH－IDPS组件生成的入侵检测结果，将所述入侵检测结果中的入侵事件输出，并根据所述入侵检测结果生成规则更新事件输出；所述ETH－IDPS节点的SOME/IP Client端订阅其他ETH－IDPS节点输出的规则更新事件，根据所述规则更新事件判断是否更新规则文件。

根据本发明实施例第一方面，在第一方面第一实施方式中，车载网络IDPS联防联动系统还包括：中央连接管理模块，所述中央连接管理模块订阅所述入侵事件，将所述入侵事件上报；所述中央连接管理模块部署在具有联网功能的终端上，所述终端包括车载T－BOX以及智能网关，所述终端中包括ETH－IDPS节点；所述ETH－IDPS节点部署在具备以太网通信功能的终端产品上，所述终端产品包括底盘域、车身域、动力域以及娱乐域。

根据本发明实施例第一方面，在第一方面第二实施方式中，所述规则更新事件包括：规则文件名称、检测规则的唯一识别码以及具体的检测规则。