[发明专利]轻量级车载T-BOX网络入侵检测探针

权利要求书

1.轻量级车载T-BOX网络入侵检测探针，其特征在于：包括态势感知模块、日志管理模块、日志上报模块和配置管理模块，所述态势感知模块首先读入配置管理模块攻击检测相关配置，然后捕获T-Box数据总线上的网络流量，所述态势感知模块检测网络流量中的可能的攻击行为，并将检测结果输送至日志管理模块，由日志管理模块完成日志的生成、格式化，并将格式化的日志输送至日志上报模块，所述日志上报模块将日志上传至云服务器。

2.如权利要求1所述的轻量级车载T-BOX网络入侵检测探针，其特征在于：所述态势感知模块，用于主动捕获T-Box数据总线上的网络流量，并检测流量中可能的攻击行为；

所述态势感知模块从配置管理模块读入攻击检测相关配置后进入流量监听循环，然后处理TCP流量和IP流量，最后进入网络流量事件循环。

3.如权利要求1所述的轻量级车载T-BOX网络入侵检测探针，其特征在于：所述态势感知模块包括IP地址黑名单、DoS攻击、端口扫描和HTTP攻击。

4.如权利要求3所述的轻量级车载T-BOX网络入侵检测探针，其特征在于：所述IP地址黑名单，通过建立IP地址黑名单在车载T-BOX访问互联网非法IP或外部非法IP试图访问车载T-BOX时，对于每一条流量，若为IP地址黑名单中的信息，则态势感知模块发出报警；若否，则态势感知模块不报警。

5.如权利要求3所述的轻量级车载T-BOX网络入侵检测探针，其特征在于：所述DoS攻击，用于识别两类基于TCP三次握手的DoS拒绝服务攻击，包括来自同一IP地址的主机发起的DoS攻击，以及从多个IP地址主机向车载T-BOX发起的DDoS分布式拒绝服务攻击。

6.如权利要求3所述的轻量级车载T-BOX网络入侵检测探针，其特征在于：所述端口扫描，用于提供两类恶意端口扫描检测，包括通过设置在TCP报文头部的SYN、FIN标志位进行的端口扫描，以及通过发送UDP报文并检测是否收到ICMP PORT_UNREACHABLE响应报文以判别端口是否开放的端口扫描。

7.如权利要求1所述的轻量级车载T-BOX网络入侵检测探针，其特征在于：所述HTTP攻击，用于支持四类HTTP异常流量检测，包括反射型XSS、HTTP请求头中Host与实际访问IP不符、流量中存在异常数据以及存储型XSS。

8.如权利要求1所述的轻量级车载T-BOX网络入侵检测探针，其特征在于：

所述配置管理模块，用于在探针启动时提供态势感知模块所需读取得配置信息，并将相关配置信息输送至态势感知模块和日志管理模块。

9.如权利要求8所述的轻量级车载T-BOX网络入侵检测探针，其特征在于：5所述配置管理模块支持xml、json格式的配置文件数据信息；

其中，json格式的配置文件信息基于cJSON开源库进行读取。

10.如权利要求1所述的轻量级车载T-BOX网络入侵检测探针，其特征在于：所述日志管理模块，用于将态势感知模块输出的安全态势感知检测结果格式化成日志信息，并通过kafka消息系统队列上传到云服务器；Kafka消息系0统为点对点消息系统。