[发明专利]轻量级车载T-BOX网络入侵检测探针

说明书

本申请涉及车联网安全技术领域，具体为一种轻量级车载T‑BOX网络入侵检测探针，包括态势感知模块、日志管理模块、日志上报模块和配置管理模块，态势感知模块首先读入配置管理模块攻击检测相关配置，然后捕获T‑Box数据总线上的网络流量，态势感知模块检测网络流量中的可能的攻击行为，并将检测结果输送至日志管理模块。本申请支持DDoS攻击、恶意端口扫描等数十种网络入侵行为检测，检测灵活高效，占用计算和存储资源少；软件环境依赖少，交叉编译部署较为简单，为资源受限的硬件平台提供网络安全态势感知服务，进而为车辆联网、车联网智能化提供网络安全保障，应用前景十分广泛。

技术领域

本申请属于车联网安全技术领域，更具体地说，是涉及一种轻量级车载T-BOX网络入侵检测探针。

背景技术

随着信息化、智能化引领，全球车联网产业进入快速发展阶段，全球车联网服务需求逐渐加大，据公安部交管局公布数据，截止2019年6月底，国内汽车保有量已达2.5亿辆，国内汽车市场巨大并处于持续增长中。在享受汽车智能化带来便捷和舒适的同时，我们也面临汽车接入互联网与车联网内部所带来的安全隐患，尤其是来自互联网的网络入侵行为。

本申请面向计算资源、存储资源受限的车载T-BOX终端，提供网络入侵检测与报警功能，实现网络安全态势感知。已有网络入侵检系统，如Snort等，虽能提供全面且高效的网络入侵检测服务，但其目标平台大多为资源充足PC端，无法直接运行在内存只有数兆的T-BOX上；而面向嵌入式平台如网关路由等设备的Suricata，虽不是PC端，但网关硬件的计算能力与存储空间也不能与T-BOX相提并论。此外还有一些面向资源受限场景的流量审计系统，它们大多只提供网络流量的日志汇总与上报，而无法检测流量中潜在的攻击行为。且该类系统大多采用C/C++语言编写，涉及依赖库较多，无法轻松的不属于借助交叉编译部署的T-BOX系统上。

综上所述，现有网络入侵检测系统存在占用资源多，无法直接部署于车载T-BOX等资源受限硬件平台上、面向小型嵌入式操作系统的探针无法提供态势感知服务的问题，因此急需解决该上述问题。

申请内容

为实现上述目的，本申请采用的技术方案是：提供一种轻量级车载T-BOX网络入侵检测探针，包括态势感知模块、日志管理模块、日志上报模块和配置管理模块，态势感知模块首先读入配置管理模块攻击检测相关配置，然后捕获T-Box数据总线上的网络流量，态势感知模块检测网络流量中的可能的攻击行为，并将检测结果输送至日志管理模块，由日志管理模块完成日志的生成、格式化，并将格式化的日志输送至日志上报模块，日志上报模块将日志上传至云服务器。

可选地，态势感知模块，用于主动捕获T-Box数据总线上的网络流量，并检测流量中可能的攻击行为；

态势感知模块从配置管理模块读入攻击检测相关配置后进入流量监听循环，通过向libnids注册tcp_callback和ip_callback回调函数负责处理TCP流量和IP流量，最后调用nids_run函数进入网络流量事件循环。

可选地，态势感知模块包括IP地址黑名单、DoS攻击、端口扫描和HTTP攻击。

可选地，IP地址黑名单，对于每一条流量，通过建立IP地址黑名单在车载T-BOX访问互联网非法IP或外部非法IP试图访问车载T-BOX时，若为IP地址黑名单中的信息，则态势感知模块发出报警；若否，则态势感知模块不报警。

可选地，DoS攻击，用于识别两类基于TCP三次握手的DoS拒绝服务攻击，包括来自同一IP地址的主机发起的DoS攻击，以及从多个IP地址主机向车载T-BOX发起的DDoS分布式拒绝服务攻击。

可选地，端口扫描，用于提供两类恶意端口扫描检测，包括通过设置在TCP报文头部的SYN、FIN标志位进行的端口扫描，以及通过发送UDP报文并检测是否收到ICMP PORT_UNREACHABLE响应报文以判别端口是否开放的端口扫描。