季一木，焦志鵬，劉尚東，吳飛，孫靜，王娜，陳治宇，畢強(qiáng)，田鵬浩

基于通信特征的CAN總線泛洪攻擊檢測方法

季一木1,2,3,4，焦志鵬1,3，劉尚東1,2,3,4，吳飛3,5，孫靜1,3，王娜1,3，陳治宇1,3，畢強(qiáng)1,3，田鵬浩1,3

（1. 南京郵電大學(xué)計算機(jī)學(xué)院，江蘇 南京 210023；2. 南京郵電大學(xué)江蘇省無線傳感網(wǎng)高技術(shù)研究重點實驗室，江蘇 南京 210023；3. 南京郵電大學(xué)高性能計算與大數(shù)據(jù)處理研究所，江蘇 南京 210023；4. 南京郵電大學(xué)高性能計算與智能處理工程研究中心，江蘇 南京 210023；5. 南京郵電大學(xué)自動化學(xué)院，江蘇 南京 210023）

CAN由于其突出的可靠性和靈活性，已成為當(dāng)代汽車應(yīng)用最廣泛的現(xiàn)場總線。但是標(biāo)準(zhǔn)CAN協(xié)議沒有提供足夠的安全措施，易遭受竊聽、重放、泛洪、拒絕服務(wù)攻擊。為了有效檢測CAN總線是否遭受到攻擊，并在遭受泛洪攻擊時將惡意報文濾除。對車載CAN總線報文通信特征進(jìn)行了分析，提出一種入侵檢測方法，該方法可以有效進(jìn)行入侵檢測、惡意報文濾除。通過實驗驗證，該方法可以100%檢測出CAN總線是否遭受攻擊，惡意報文過濾的準(zhǔn)確率可達(dá)99%以上。

CAN總線；通信特征；入侵檢測；惡意報文過濾

1 引言

現(xiàn)代汽車依靠電子控制單元（ECU，electronic control unit）實現(xiàn)對許多子系統(tǒng)的控制[1]，這些ECU通過總線連接進(jìn)行通信[2]。由BOSCH于20世紀(jì)80年代早期開發(fā)的車載控制器局域網(wǎng)（CAN，controller area network）總線是一種串行總線，CAN總線使用雙絞線電纜兩根電線之間的電壓差異進(jìn)行串行通信，速率可達(dá)1 Mbit/s，現(xiàn)已成為現(xiàn)代汽車總線標(biāo)準(zhǔn)協(xié)議。每個連接在CAN總線上的ECU通過設(shè)置兩條雙絞線之間的電壓差作為信號來傳輸數(shù)據(jù)，同時，CAN總線上的其他ECU通過檢測電壓差來接收數(shù)據(jù)。由于ECU直接控制汽車的大部分傳感器與執(zhí)行模塊，因此對車載CAN總線上的報文進(jìn)行干擾、欺騙可能使ECU接收錯誤信息從而造成嚴(yán)重的安全事故。2016年，在拉斯維加斯舉辦的黑帽大會上，Miller和Valasek演示了使用筆記本通過接入汽車CAN總線，并向CAN總線發(fā)送一些惡意報文，使汽車方向盤失控，而在此之前，他們的攻擊使Jeep切諾基在高速公路上驟停，這也導(dǎo)致了140萬輛汽車的召回。而隨著智能駕駛的發(fā)展，車載診斷（OBD，on-board diagnostics）接口、輔助媒體端口等車載網(wǎng)絡(luò)外部接口的普及，以及車聯(lián)網(wǎng)技術(shù)的進(jìn)步也使車載網(wǎng)絡(luò)的攻擊面變大，增加了車載網(wǎng)絡(luò)對安全性的需求。文獻(xiàn)[3]系統(tǒng)地分析了車輛可能遭受攻擊的途徑（如藍(lán)牙、Wi-Fi、蜂窩網(wǎng)絡(luò)等），以及ECU遭受攻擊的表現(xiàn)。

車載CAN網(wǎng)絡(luò)有別于傳統(tǒng)的互聯(lián)網(wǎng)，互聯(lián)網(wǎng)中廣泛應(yīng)用的網(wǎng)絡(luò)防御方法無法在車載CAN網(wǎng)絡(luò)中很好的應(yīng)用。本文在分析了車載CAN網(wǎng)絡(luò)的攻擊模型和通信特征之后，提出一種基于車載CAN網(wǎng)絡(luò)通信特征的泛洪攻擊入侵檢測、惡意報文濾除系統(tǒng)，該系統(tǒng)適用于車載CAN網(wǎng)絡(luò)，并能在檢測到攻擊后將攻擊報文濾除，提升車載CAN網(wǎng)絡(luò)的安全性。

2 相關(guān)工作

車載網(wǎng)絡(luò)是利用傳輸介質(zhì)將汽車內(nèi)部ECU、傳感器和執(zhí)行模塊連接起來的通信網(wǎng)絡(luò)，其中，應(yīng)用最廣泛的是CAN總線。由于CAN總線通信協(xié)議缺乏必要的安全保護(hù)措施，使其容易遭受嗅探、重放、泛洪、拒絕服務(wù)攻擊。在文獻(xiàn)[4]提出的3種攻擊中，攻擊方式都是泛洪地注入惡意報文到車載CAN總線上。

目前主要有兩種應(yīng)對車載網(wǎng)絡(luò)攻擊的防御方式：消息認(rèn)證和入侵檢測。消息認(rèn)證是發(fā)送者在消息中添加鑒別碼并加密，接收者按照約定的算法解密、鑒別運(yùn)算檢驗消息可靠性的方法。入侵檢測系統(tǒng)對網(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)視，發(fā)現(xiàn)可疑的數(shù)據(jù)傳輸時發(fā)出警報或采取相應(yīng)措施。

Andreea等[5]提出了一種輕量級認(rèn)證協(xié)議，該協(xié)議允許車載CAN網(wǎng)絡(luò)中的ECU相互認(rèn)證。文獻(xiàn)[6]提出了一種消息認(rèn)證的方法來加強(qiáng)車載CAN總線的安全性，將CAN報文的時間間隔和時鐘偏移隱藏到最低有效位中進(jìn)行認(rèn)證。消息認(rèn)證可以提供一定安全性，并且在互聯(lián)網(wǎng)領(lǐng)域廣泛使用，但在CAN消息數(shù)據(jù)段長度最大為8 byte，添加認(rèn)證碼的可用空間有限，以及車載CAN網(wǎng)絡(luò)通信的實時性要求，導(dǎo)致了消息認(rèn)證很少在CAN總線入侵防御方面應(yīng)用。

入侵檢測系統(tǒng)廣泛應(yīng)用于車載CAN總線的安全防護(hù)，Hoppe等[7]首次提出車載網(wǎng)絡(luò)入侵檢測系統(tǒng)的概念，并將CAN總線的周期性特征作為檢測CAN總線注入式攻擊的重要特征，但沒有給出具體算法、代碼和實驗。由于車載CAN報文的周期、內(nèi)容恒定或者范圍可預(yù)測，因此這一特征可以作為檢測車載CAN網(wǎng)絡(luò)是否遭受到攻擊的有力依據(jù)，文獻(xiàn)[8-9]已經(jīng)驗證這種方法有效。Muter等[10]提出一種入侵檢測系統(tǒng)，它監(jiān)視兩幀報文之間的時間間隔并計算它們的熵。除了報文的時間間隔，一些研究者還驗證報文的內(nèi)容來檢測CAN總線是否遭受攻擊，文獻(xiàn)[11]驗證了報文數(shù)據(jù)的取值范圍。Moore等[12]同樣利用CAN總線周期性作為檢測依據(jù)，首先觀察總線一段時間，估算出總線的通信周期，以及周期的最大誤差，以此為依據(jù)，當(dāng)實時檢測過程中周期性誤差大于觀測時的最大誤差則認(rèn)為遭受到注入式攻擊。

現(xiàn)有的入侵檢測系統(tǒng)可以以很高的精度辨別CAN總線是否遭受到攻擊。但CAN報文不發(fā)送攜帶ECU的信息，這些入侵檢測系統(tǒng)無法辨別哪些報文是攻擊報文，以及攻擊報文是由哪個ECU發(fā)出。這些入侵檢測系統(tǒng)檢測到攻擊后一般采用發(fā)出警報的方式提醒駕駛者，但駕駛者一般沒有專業(yè)知識來處理攻擊，反而可能因為檢測系統(tǒng)的提醒分心而導(dǎo)致事故。因此，本文提出一種入侵檢測系統(tǒng)，這種入侵檢測系統(tǒng)在基于報文周期性特征檢測出攻擊之后，再根據(jù)惡意報文和正常通信報文內(nèi)容的區(qū)別將攻擊報文濾除。

圖1 CLAD檢測流程

Figure 1 Detection process of CLAD

3 CLAD檢測方法

本文提出一種基于車載CAN總線報文通信特征的入侵檢測系統(tǒng)（CLAD），該系統(tǒng)工作流程如圖1所示。

1) 攻擊者向攻擊模型輸入攻擊報文，攻擊模型輸出混雜著攻擊報文和正常通信報文的報文序列。

2) 檢測模塊接收一段時間內(nèi)的報文序列，計算正常通信報文預(yù)期到達(dá)的合法時間段，在這個合法時間段之外到達(dá)的報文，可直接視為攻擊報文，而在這個時間段之內(nèi)接收到多幀報文也認(rèn)為遭受到攻擊，一旦檢測到攻擊，這個模塊向過濾模塊輸入合法時間段內(nèi)所有的報文序列。

3) 過濾模塊接收到檢測模塊輸出的合法時間段報文后，根據(jù)報文類型，采用聚類或者霍夫變換的方法，判別哪一幀為正常通信報文并輸出。

3.1 通信特征

很多研究者以車載CAN總線報文的周期性作為注入式攻擊檢測的主要依據(jù)。當(dāng)總線上流量激增，或者周期紊亂的時候可以肯定CAN總線遭受到了注入式估計，但僅憑借這一特征還不能達(dá)到將注入總線上的報文過濾掉的目的。經(jīng)過實車報文采集、分析，研究發(fā)現(xiàn)，車載CAN總線報文還有穩(wěn)定性特征。車載CAN總線報文有兩個重要的通信特征詳細(xì)描述如下。

(1) 周期性

(2) 穩(wěn)定性

本文將以上述兩個特征為重要依據(jù)，進(jìn)行車載CAN總線報文的注入式攻擊檢測，并將惡意報文分離出來。

3.2 攻擊模型

在車載CAN總線上，當(dāng)ECU接收到報文便根據(jù)其攜帶的數(shù)據(jù)執(zhí)行相應(yīng)的指令，直到接收到下一幀報文根據(jù)下一幀報文內(nèi)容執(zhí)行相應(yīng)動作。本文假設(shè)攻擊者可以通過接觸或者非接觸的方法，操控汽車上的ECU，向車載CAN網(wǎng)絡(luò)注入帶有偽造的ID、數(shù)據(jù)的欺騙報文來實施攻擊。攻擊的方式是向CAN發(fā)送惡意報文，盡可能快地覆蓋關(guān)鍵ECU定期發(fā)出的正常通信報文，使接收報文的ECU執(zhí)行合法指令的時間趨向于0，而其他時間執(zhí)行攻擊者發(fā)送的惡意指令。

目前研究中，攻擊后果最嚴(yán)重的攻擊方式為泛洪攻擊：攻擊者偽造ID以較高的頻率向CAN執(zhí)行發(fā)送惡意報文，當(dāng)其他節(jié)點接收到合法數(shù)據(jù)，很快就會被惡意ECU A發(fā)送的攻擊報文覆蓋。文獻(xiàn)[8,11,13-14]詳細(xì)描述了這樣的攻擊，文獻(xiàn)[11]以原有報文10倍的頻率向CAN總線注入惡意報文來進(jìn)行攻擊，可以實現(xiàn)操控儀表盤顯示預(yù)期的里程計數(shù)值、發(fā)動機(jī)轉(zhuǎn)速等攻擊。

圖2 攻擊模型

Figure 2 Attack model

上述理論已經(jīng)通過了本文的實驗驗證，實驗利用嵌入式設(shè)備單片機(jī)、CAN收發(fā)器等設(shè)備模擬了車燈攻擊實驗，通過惡意節(jié)點以高頻率向總線注入惡意消息，可以達(dá)到操縱LED燈開關(guān)的效果。因此，本文的檢測方法針對的攻擊模型中，輸入為攻擊報文的ID、攻擊數(shù)據(jù)以及攻擊頻率。其中，偽造的ID決定攻擊者的攻擊目標(biāo)，攻擊數(shù)據(jù)決定受到攻擊的模塊執(zhí)行的虛假指令，攻擊頻率越高則會導(dǎo)致模塊執(zhí)行虛假指令的時間占總時間的百分比越高。最終，模型的輸出為遭到攻擊的汽車模塊遭到攻擊后的表現(xiàn)。

3.3 檢測模塊

雖然利用車載CAN總線報文的周期性可以有效檢測出CAN總線是否遭受到注入式攻擊和惡意攻擊報文的數(shù)量，但無法將正常通信的報文和惡意攻擊報文區(qū)分開，當(dāng)需要將惡意攻擊報文濾除的時候，就需要用到以車載CAN總線的穩(wěn)定性特征為依據(jù)的過濾模塊。

3.4 過濾模塊

過濾模塊根據(jù)報文類型采用不同的過濾策略，當(dāng)CAN總線離散型報文遭受到攻擊，在預(yù)測范圍內(nèi)接收到多幀報文時，首先根據(jù)報文的數(shù)據(jù)段這些報文聚類，由于一個周期一般只有幾十毫秒，在這個時間段內(nèi)攻擊者發(fā)送的報文也趨向穩(wěn)定，所以，分類之后最可能有如下兩種情況：

1) 一個周期時間內(nèi)的報文被分成多類，其中，一類只有一幀報文并且和上一幀正常通信報文數(shù)據(jù)相同，則這一幀是正常通信報文；

2) 如果預(yù)測范圍內(nèi)接收到的多幀報文數(shù)據(jù)段全部相同，并且只分為一類，由于預(yù)測范圍內(nèi)肯定有一幀正常通信的報文，那么可以根據(jù)上一幀接收時間和平均周期計算出一個時間點，選擇接收時間與這個時間點誤差最小的報文作為正常通信的報文。

而當(dāng)攻擊者的攻擊意圖剛好在預(yù)測范圍內(nèi)發(fā)生改變時，會發(fā)生超出上述兩點之外的分類情況，但一個周期之后，聚類結(jié)果就會再次回歸到上述兩種主要的分類情況。一旦聚類結(jié)果發(fā)生這些情況時，在數(shù)據(jù)段與上一幀正常通信報文數(shù)據(jù)段相同的一類中，根據(jù)上一幀接收時間和平均周期計算出一個時間點，選擇接收時間與這個時間點誤差最小的報文作為正常通信的報文。

通常來說，惡意報文攜帶的數(shù)據(jù)與正常通信報文的數(shù)據(jù)差異較大，出現(xiàn)第一種情況的概率較大，要將惡意報文濾除，本文首先利用霍夫變換擬合出這些報文對應(yīng)的線段，再找到離線段距離最遠(yuǎn)的點即為正常通信報文。

霍夫變換可以檢測出坐標(biāo)系中可能存在的直線，輸入坐標(biāo)系中多個點坐標(biāo)，輸出這些點組成的直線方程。設(shè)有

由式(1)可得出如下推理。

圖3 霍夫變換示例

Figure 3 Examples of Hough transform

4 實驗

4.1 通信特征與攻擊模式

本文以知豆D2S為例驗證 CAN總線報文通信特征，利用USB-CAN設(shè)備連接知豆D2S汽車的OBD接口采集了汽車36 486幀CAN總線報文進(jìn)行分析。USB-CAN設(shè)備主要記錄了接收時間、報文ID，以及0~7總計8個字節(jié)的報文數(shù)據(jù)，如表1所示。

表1 采集到的部分車載CAN總線報文

圖4 CAN總線信道

Figure 4 CAN bus channel

圖5 受到攻擊的CAN總線信道

Figure 5 CAN bus channel under attack

從采集到的報文看，車載CAN總線上的ECU總是周期性地發(fā)送報文，即其他連接在CAN總線上的ECU從接收到某一ID的報文起，到下一次接收到相同ID的報文的時間間隔大致是一個常量。這個時間間隔大小因報文ID而異，觀察采集到的CAN報文發(fā)現(xiàn)，時間間隔常量從20 ms到2 000 ms不等，時間軸上的點表示在該時刻接收到ID為0X400的報文，可以看出接收到報文的時間呈現(xiàn)明顯的周期性如圖4所示，報文兩幀之間時間間隔大約為210 ms，最大誤差為0.558 ms。

ECU周期性地向CAN總線發(fā)送報文的好處主要有兩個：首先，每個傳感器的數(shù)據(jù)可以被及時連接在CAN總線上的其他ECU接收，因此保證了車載CAN網(wǎng)絡(luò)的實時性；其次，即使一幀報文出現(xiàn)故障，這一故障報文很快就會被而后接收到的正常報文覆蓋掉，增強(qiáng)了車載CAN網(wǎng)絡(luò)的穩(wěn)健性。

攻擊者必然要周期性地發(fā)送惡意報文到CAN總線上，否則將會被正常的周期性報文所覆蓋。因此，在攻擊者進(jìn)行攻擊時，惡意報文與正常報文混合在一起出現(xiàn)在總線上，導(dǎo)致兩幀報文之間的時間間隔變短。如圖5所示，在CAN總線正常通信時，以100 ms為周期注入惡意報文進(jìn)行攻擊，于是原本CAN總線信道上任意兩幀之間時間間隔由穩(wěn)定的210 ms變?yōu)閺?.2 ms到100 ms不等的時間間隔。

CAN總線報文的ID表示發(fā)送節(jié)點身份，而報文的數(shù)據(jù)段通常代表節(jié)點發(fā)送的傳感器感知信息或者節(jié)點的控制指令。通常情況下，離散型報文數(shù)據(jù)段以較大的概率保持原狀態(tài)。以車燈狀態(tài)為例，假如表示車燈的報文ID為0X00，周期為100 ms，駕駛員將車燈打開10 min再關(guān)閉。則這10 min內(nèi)CAN總線上可以接收到6 000幀ID為0X00的報文，其中車燈狀態(tài)變化了兩次，即由關(guān)閉到打開，再由打開到關(guān)閉。所以在這6 000幀報文中，有5 998幀報文的數(shù)據(jù)段與上一幀保持不變，保持原狀態(tài)的概率超過99.96%。ID為0XCFF01DC的報文信息如表2所示。其數(shù)據(jù)段長度為8，第1字節(jié)到第7字節(jié)數(shù)據(jù)保持不變，每幀報文的最后一個字節(jié)自增16用來校驗是否丟幀。

而連續(xù)型報文數(shù)據(jù)段反映的一般是汽車上某傳感器的感知數(shù)據(jù)，如壓力數(shù)據(jù)、發(fā)動機(jī)轉(zhuǎn)速數(shù)據(jù)，溫度數(shù)據(jù)等。車載CAN總線報文周期一般為幾十毫秒，兩幀報文的數(shù)據(jù)變化量非常小。

可見，實驗采集到的這些CAN報文符合第3.1節(jié)提出的周期性特征和穩(wěn)定性特征。

表2 ID為0XCFF01DC的報文信息

4.2 檢測與過濾

本文主要借鑒文獻(xiàn)[9]的實驗方法，在文獻(xiàn)[9]的實驗中，作者在40 min內(nèi)持續(xù)檢測車載CAN總線報文，并在隨機(jī)時間向總線注入惡意消息，每次攻擊注入30條消息，持續(xù)5~10 s，隨后在40 min的樣本中隨機(jī)抽樣獲得100個1 min的樣本，這些樣本有兩種狀態(tài)，包含攻擊消息或者純凈的正常通信報文，經(jīng)過該研究提出的檢測方法檢測后，結(jié)果顯示，該方法可以有效檢測注入式攻擊。

本文的實驗環(huán)境與文獻(xiàn)[15]類似，利用單片機(jī)驅(qū)動CAN總線收發(fā)模塊MCP_2515CAN作為一個節(jié)點連接在CAN總線上。如圖6所示，模擬網(wǎng)絡(luò)中有A、B、C 3個節(jié)點，其中節(jié)點B每隔200 ms向CAN總線發(fā)送ID為0X17C0EFF4的報文，C負(fù)責(zé)接收ID為0X17C0EFF4的報文，而節(jié)點A作為攻擊節(jié)點，向總線發(fā)送惡意攻擊消息。正如文獻(xiàn)[9,11,14]中表明，攻擊者的發(fā)送速度應(yīng)該為正常通信ECU的5~100倍，使正常通信的ECU發(fā)出的報文盡快被攻擊報文覆蓋，使接收節(jié)點執(zhí)行攻擊節(jié)點發(fā)出的指令。因此本文中A節(jié)點以B節(jié)點5倍、10倍的頻率隨機(jī)向CAN總線發(fā)送惡意攻擊報文，每次攻擊持續(xù)2 s，同時利用USB-CAN設(shè)備監(jiān)聽所有總線消息，將監(jiān)聽到的消息序列保存至PC后，隨機(jī)采樣出100個20 s的樣本，利用檢測程序進(jìn)行檢測、過濾。

圖6 實驗CAN總線架構(gòu)

Figure 6 CAN bus architecture in experiment

首先，節(jié)點B發(fā)送模擬車燈開關(guān)狀態(tài)的離散型報文，節(jié)點A以5倍、10倍速度向CAN總線發(fā)送ID相同的惡意報文，C節(jié)點接收并對接收到的報文進(jìn)行檢測。本文創(chuàng)建了100個5倍攻擊速度的待檢測樣本，每個樣本通信時間為20 s，其中有39個樣本包含2 s的攻擊，61個樣本正常通信，創(chuàng)建了100個10倍攻擊速度的待檢測樣本，每個樣本通信時間為20 s，其中有63個樣本包含2 s的攻擊，37個樣本正常通信。實驗結(jié)果顯示，檢測系統(tǒng)可以100%測出是否遭受到攻擊，進(jìn)行攻擊信號濾除時，100個10倍攻擊速度樣本中共有16 314幀正常通信報文，將攻擊報文濾除后得出10 014幀正常通信報文，其中有9幀攻擊報文被誤判為正常通信報文，準(zhǔn)確率為99.94%。

然后，節(jié)點B發(fā)送模擬車速的連續(xù)型報文，節(jié)點A以5倍、10倍速度向CAN總線發(fā)送ID相同的惡意報文，C節(jié)點接收并對接收到的報文進(jìn)行檢測。本文創(chuàng)建了100個5倍攻擊速度的待檢測樣本，每個樣本通信時間為20 s，其中有45個樣本包含2 s的攻擊，55個樣本正常通信，創(chuàng)建了100個10倍攻擊速度的待檢測樣本，每個樣本通信時間為20 s，其中有54個樣本包含2 s的攻擊，46個樣本正常通信。與離散型樣本一樣，檢測系統(tǒng)可以100%測出是否遭受到攻擊，進(jìn)行攻擊信號濾除時，100個10倍攻擊速度樣本中共有15 418幀正常通信報文，將攻擊報文濾除后得出10 037幀正常通信報文，其中有105幀攻擊報文被誤判為正常通信報文，準(zhǔn)確率為99.31%。擬合檢測過程直線擬合實例如圖7所示，由于正常通信節(jié)點B發(fā)送的車速與攻擊節(jié)點發(fā)送的車速有差別，檢測系統(tǒng)對接收到的報文進(jìn)行檢測之后正常通信報文明顯在擬合出的直線之外。

從實驗結(jié)果來看，本文提出的入侵檢測系統(tǒng)可以有效進(jìn)行入侵檢測、惡意報文過濾，本文實驗結(jié)果與其他同類研究使用結(jié)果的對比如表3所示。

圖7 檢測實例

Figure 7 Example of detection

表3 本文提出的入侵檢測系統(tǒng)檢測效果與同類研究對比

5 結(jié)束語

在第4.1節(jié)中發(fā)現(xiàn)，同一ID的車載CAN總線報文具有明顯的周期性，遭受惡意報文攻擊時兩幀報文之間的時間間隔明顯變短，這一特征可以作為是否遭受到攻擊的檢測依據(jù)。同時，由于報文的周期性，可以預(yù)測下一幀正常通信報文接收時間的大致范圍，在這個范圍之外的報文為攻擊報文可以過濾掉，由于這個預(yù)測時間范圍很短，在這個范圍內(nèi)如果遭受攻擊，一連串攻擊報文序列攜帶的數(shù)據(jù)基本保持不變或者變化量很小，在時間坐標(biāo)軸上基本形成一條直線。攻擊者發(fā)送的數(shù)據(jù)一般與車輛正常數(shù)據(jù)不同，正常通信報文在坐標(biāo)軸上的點一般在此直線之外，這一特征可以作為攻擊報文濾除的依據(jù)。

因此，本文在分析了車載CAN總線周期性和報文攜帶的數(shù)據(jù)穩(wěn)定性的基礎(chǔ)上，提出了一種入侵檢測系統(tǒng)，該系統(tǒng)可以成功檢測出車載CAN總線是否遭受攻擊，并在受到攻擊時將惡意攻擊報文濾除。在第4.2節(jié)檢測與過濾中，該系統(tǒng)在入侵檢測時，檢測精度達(dá)100%并且沒有誤判。在進(jìn)行惡意報文濾除時，準(zhǔn)確率達(dá)99%以上，產(chǎn)生誤差的原因很大程度是攻擊報文攜帶的數(shù)據(jù)與正常通信報文的數(shù)據(jù)誤差很小，這種情況下對車輛的安全不會造成太大威脅。

[1] WOLF M, WEIMERSKIRCH A, WOLLINGER T, et al. State of the art: embedding security in vehicles[J]. EURASIP Journal on Embedded Systems, 2007(5): 1-16.

[2] NOLTE T, HANSSON H, BELLO L L, et al. Automotive communications-past, current and future[C]//IEEE International Conference on Emerging Technologies and Factory Automation. 2005: 19-22.

[3] CHECKOWAY S, MCCOY D, KANTOR B, et al. Comprehensive experimental analyses of automotive attack surfaces[C]//USENIX Security Symposium. 2011.

[4] AVATEFIPOUR O. MALIK H. State-of-the-art survey on in-vehicle network communication can-bus security and vulnerabilities[J]. Comput Sci Netw, 2017, 6: 720–727.

[5] ANDREEA R, FLAVIO D. LeiA: A lightweight authentication protocol for CAN[C]//Computer Science-ESORIC, 2016: 283-300

[6] YING X, BERNIERI G, CONTI M, ET AL. TACAN: transmitter authentication through covert channels in controller area networks[J]. arXiv preprint arXiv.1903.05231, 2019.

[7] HOPPE T, KILTZ S, DITTMANN J, et al. Security threats to automotive can networks practical examples and selected short term countermeasures[J]. Reliability Engineering and System Safety, 2011(96): 11-25.

[8] TAYLOR A, JAPKOWICZ N, LEBLANC S, et al. Frequency-based anomaly detection for the automotive CAN bus[C]//World Congress on Industrial Control Systems Security. 2015: 45-49.

[9] SONG H M, KIM H R, KIM H K, et al. Intrusion detection system based on the analysis of time intervals of CAN messages for in-vehicle network[C]//2016 International Conference on Information Networking (ICOIN). 2016: 63-68.

[10] MUTER M, ASAJ N. Entropy-based anomaly detection for in-vehicle networks[C]. IEEE Intelligent Vehicles Symposium. 2011: 1110-1115.

[11] MUTER M, GROLL A, FRELING F, et al. A structured approach to anomaly detection for in-vehicle networks[C]//International Conference on Information Assurance and Security. 2010: 92-98.

[12] MOORE M R, BRIDGES R A, COMBS F L, et al. Modeling inter-signal arrival times for accurate detection of can bus signal injection attacks: a data-driven approach to in-vehicle intrusion detection[C]//Annual Conference on Cyber and Information Security Research. 2017: 11.

[13] MILLER C, VALASEK C. Adventures in automotive networks and control units[C]//Def Con. 2013: 260-264.

[14] MILLER C, VALASEK C. A survey of remote automotive attack surfaces[C]//BlackHat USA, 2014: 94.

[15] SAGONG S U, YING X, BUSHNELL L, et al. Exploring attack surfaces of voltage-based intrusion detection systems in controller area networks[C]//ESCAR Europe 2018. 2018: 1-13.

CAN bus flood attack detection based on communication characteristics

JI Yimu1,2,3,4, JIAO Zhipeng1,3, LIU Shangdong1,2,3,4, WU Fei3,5, SUN Jing1,3, WANG Na1,3, CHEN Zhiyu1,3, BI Qiang1,3, TIAN Penghao1,3

1. School of Computer Science, Nanjing University of Posts and Telecommunications, Nanjing 210023, China 2. Jiangsu Key Laboratory of High-Tech Research on Wireless Sensor Networks, Nanjing University of Posts and Telecommunications, Nanjing 210023, China 3. Institute of High Performance Computing and Big Data Processing, Nanjing University of Posts and Telecommunications, Nanjing 210023, China 4. Research Center for High Performance Computing and Intelligent Processing Engineering, Nanjing University of Posts and Telecommunications, Nanjing 210023, China 5. School of Automation, Nanjing University of Posts and Telecommunications, Nanjing 210023, China

CAN has become the most extensive fieldbus for contemporary automotive applications due to its outstanding reliability and flexibility. However, the standard CAN protocol does not provide sufficient security measures and is vulnerable to eavesdropping, replay, flooding, and denial of service attacks. In order to effectively detect whether the CAN bus is attacked, and to filter malicious messages when subjected to flooding attacks. The characteristics of vehicle CAN bus message communication were analyzed, and an intrusion detection method was proposed, which could effectively perform intrusion detection and malicious message filtering. Through experimental verification, the method can detect whether the CAN bus is attacked by 100%, and the accuracy of malicious packet filtering can reach over 99%.

CAN bus, communication characteristics, intrusion detection, malicious message filtering

s: The National Key R&D Program of China (No.2017YFB1401302, No.2017YFB0202200), The National Natural Science Foundation of China (No.61572260, No.61872196), The Jiangsu Natural Science Foundation Excellent Youth Fund Project (No.BK20170100), The Jiangsu Provincial Key R&D Program (No.BE2017166)

TP336

A

10.11959/j.issn.2096?109x.2020005

季一木（1978– ），男，江蘇南京人，南京郵電大學(xué)教授、博士生導(dǎo)師，主要研究方向為P2P網(wǎng)絡(luò)、云計算和大數(shù)據(jù)安全等。

焦志鵬（1994– ），男，江蘇淮安人，南京郵電大學(xué)碩士生，主要研究方向為總線安全。

劉尚東（1979– ），男，甘肅永靖人，南京郵電大學(xué)講師，主要研究方向為網(wǎng)絡(luò)行為分析，大數(shù)據(jù)處理等。

吳飛（1989– ），男，江蘇常州人，博士，南京郵電大學(xué)講師，主要研究方向為人工智能、模式識別。

孫靜（1993– ），女，江蘇南京人，南京郵電大學(xué)博士生，主要研究方向為機(jī)器學(xué)習(xí)。

王娜（1995– ），女，安徽蕪湖人，南京郵電大學(xué)碩士生，主要研究方向為計算機(jī)視覺。

陳治宇（1994– ），男，江蘇徐州人，南京郵電大學(xué)碩士生，主要研究方向為視覺與激光雷達(dá)的傳感器融合。

畢強(qiáng)（1995– ），男，江蘇宿遷人，南京郵電大學(xué)碩士生，主要研究方向為計算機(jī)視覺。

田鵬浩（1996– ），男，江蘇連云港人，南京郵電大學(xué)碩士生，主要研究方向為路徑規(guī)劃。

論文引用格式：季一木, 焦志鵬, 劉尚東, 等. 基于通信特征的CAN總線泛洪攻擊檢測方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2020, 6(1): 27-37.

JI Y M, JIAO Z P, LIU S D, et al. CAN bus flood attack detection based on communication characteristics [J]. Chinese Journal of Network and Information Security, 2020, 6(1): 27-37.

2019?05?02；

2019?07?29

焦志鵬，1577869867@qq.com

國家重點研發(fā)計劃基金資助項目（No.2017YFB1401302, No.2017YFB0202200）；國家自然科學(xué)基金資助項目（No.61572260，No.61872196）；江蘇省自然科學(xué)基金優(yōu)秀青年基金資助項目（No.BK20170100）；江蘇省重點研發(fā)計劃基金資助項目（No.BE2017166）