基于sdn的车载网络入侵应对方法及使用该方法的系统
技术领域:
:1.本公开涉及一种用于检测和阻止对车载网络(ivn)的入侵或攻击的技术。
背景技术:
::2.本部分所描述的内容仅为本实施例提供背景信息,并且不构成现有技术。3.已经开发出应用车辆到一切事物(v2x)通信和基于网络的自动驾驶相关技术的商用车辆。然而,应用v2x通信和车载网络的商用车辆容易受到入侵通信网络或网络通信的攻击。图1是示出车辆的安全威胁类型的分类的示图。威胁车辆安全的攻击包括特权窃取攻击和非特权窃取攻击、基于攻击源的外部攻击以及针对车辆内部元件的内部攻击。内部攻击通常由攻击者通过物理访问目标车辆来造成明显的破坏,而外部攻击主要使用诸如短距离射频通信、无钥匙进入系统或轮胎压力监测系统的基于传感器的系统,因此其影响力是有限的。然而,随着ivn环境中的车辆内连接性和v2x环境中的车辆间连接性的增加,车辆外部攻击的影响力预计会增加。4.即使在恰当地检测到攻击或入侵时,如何应对地缓解攻击或入侵也一直是一个问题。先前提出的缓解方法并不是对ivn车辆攻击的恰当的替代方案。5.换言之,缺乏用于检测和恰当地应对支持v2x和ivn的车辆风险的技术框架的开发。目前,由于车辆系统的计算能力的限制,搭载在车辆中的入侵检测系统(intrusiondetectionsystem,ids)仅有限地支持轻量级算法。因此,需要设计一种克服这种计算能力的限制的用于检测入侵并进行应对的入侵应对系统(intrusionresponsesystem,irs)。技术实现要素:6.技术问题7.本公开提供一种使用软件定义网络(software-definednetworking,sdn)技术来检测和应对对基于以太网的车载网络(ivn)的攻击的方法和使用该方法的系统。8.技术方案9.根据本公开的一个方面,提供一种用于车载网络(ivn)的入侵应对系统。该入侵应对系统的特征在于,包括:软件定义网络(sdn)支持交换机,安装在车辆的ivn中并且通过参照来自流表的流条目(flowentry)来控制流入的数据包的流;以及sdn控制器,与sdn支持交换机进行通信,以一定的时间间隔t从sdn支持交换机接收流表以执行监控,并将监控结果传送到sdn支持交换机。sdn控制器将流表传送到入侵检测系统(ids)以便ids执行入侵检测,并从ids接收作为监控结果的执行入侵检测的结果。10.根据本公开的另一方面,提供一种使用搭载在车辆的车载网络(ivn)中的软件定义网络(sdn)支持交换机和设置在车辆外部的sdn控制器检测和应对车辆入侵的方法。该方法的特征在于,包括:由sdn支持交换机以一定的时间间隔t将流表传送到sdn控制器;由sdn控制器接收流表,并将接收到的流表传送到入侵检测系统(ids);由sdn控制器使ids基于包括在流表中的每个流条目的全部或部分字段执行入侵检测,并且由sdn控制器从ids接收入侵检测的结果;由sdn控制器将包括入侵检测的结果的数据包输出消息(packet-outmessage)传送到sdn支持交换机;以及由sdn支持交换机基于该数据包输出消息更新流表。11.有益效果12.本公开的sdn支持交换机可以同时监控和阻止流入ivn的流量。也就是说,sdn支持交换机在基于流表监控流入车辆的流量的同时,可以选择性地阻止被识别为攻击的流量。13.根据本公开,判断流入车辆的数据包是否是入侵数据包以及执行流控制动作是远程确定而不是在ivn中确定,从而可以基于例如深度学习或人工智能方法的要求高计算性能的高性能检测技术来检测入侵数据包,而不管车辆的内部环境如何,并且可以根据检测结果给出恰当的应对命令。此外,设置在车辆外部的入侵检测系统能够实时更改或更新检测算法或模型,而不管车辆环境如何。14.此外,根据本公开,可以在一个地方同时且全面地监控发生在多个车辆中的内部流量。这可以通过收集难以从单个车辆检测到的模糊异常并将收集的异常与其他车辆的正常流量进行比较,实现更精确的攻击检测。15.本公开的技术还可以通过将sdn设备添加到设置在现有的基于以太网的车辆中的普通交换机来应用。因此,可以在尽可能减少基于以太网的ivn的拓扑结构的变化的同时应用本公开的技术。附图说明16.图1是示出车辆的安全威胁类型的分类的示图。17.图2是示出典型的软件定义网络(sdn)的架构的概念图。18.图3示出构成sdn系统的sdn控制器和sdn设备以及构成搭载在sdn设备中的流表(flowtable)的流条目的构成字段。19.图4是示意性地示出根据本公开的实施例的入侵应对系统的结构的概念图。20.图5a和图5b是示出根据本公开的实施例的车载网络(ivn)的示例性拓扑结构的示图。21.图6a和图6b是示出根据本公开的实施例的入侵应对系统的集中式结构和分布式结构的控制平面拓扑结构的示图。22.图7a和图7b是示出根据本公开的实施例的可应用于入侵应对系统的入侵检测系统(ids)的拓扑结构的示图。23.图8是示出支持根据本公开的入侵应对系统的有用性的用例场景的示图。24.图9a和图9b是示出根据本实施例的数据驱动入侵检测和应对方法的流程图。具体实施方式25.在下文中,将参照附图详细描述本公开的一些实施例。应当注意的是,在对各个附图中的组件添加附图标记时,相同的附图标记表示相同的组件,尽管这些组件在不同的附图中示出。此外,在本公开的以下描述中,将省略对相关的已知功能和配置的详细描述以免使得本公开的要旨不清楚。26.此外,诸如第一、第二、a、b、(a)、(b)等的各种术语仅用于区分一个组件与另一组件,而不是用于暗示或指示组件的本质、顺序或次序。在整个本说明书中,当一个部件“包括”或“包括有”组件时,除非另有明确说明,否则意味着该部件进一步包括其他组件,而不排除包括其他组件。此外,说明书中记载的“单元”、“模块”等术语是指用于处理至少一种功能或操作的一个或多个单元,其可以通过硬件、软件或硬件和软件的组合来实现。27.下面参照附图给出的详细描述旨在解释本发明的示例性实施例,而不仅是示出可以根据本发明实施的实施例。28.本公开涉及一种使用软件定义网络(sdn)技术来检测和应对对基于以太网的车载网络(ivn)的攻击的入侵应对方法和入侵应对系统。29.sdn是一种技术,其将诸如交换机和路由器的网络设备的控制部分与网络设备的数据传送部分分离,向外部提供可以定义网络设备的功能的开放接口,并通过开放接口利用编程的软件设置、控制和管理各种网络路径。30.图2是示出典型的sdn的架构的概念图。sdn架构被定义为三层,包括应用层、控制层和基础结构层(infrastructurelayer)。应用层、控制层和基础结构层也分别称为应用平面、控制平面和基础结构平面(或数据平面)。各层通过开放接口(openinterface)相互通信。被称为“北向api(northboundapi)”的应用层和控制层之间的开放接口是能够开发具有各种功能的应用并与其他运行工具通信的api,北向api中一般使用restfulapi。被称为“南向api(southboundapi)”的控制层和基础结构层之间的开放接口是用于转发控制、信息收集等的接口,并且可以包括例如openflow、of-config、netconf等。31.图3示出包括sdn控制器和sdn设备的sdn系统,以及包括在搭载在sdn设备中的流表中的流条目的字段。sdn控制器是逻辑实体(entity),设置在sdn系统的控制平面上,并且sdn设备是硬件设备,设置在数据平面上。搭载在sdn设备中的流表包括以下三个主要字段以处理sdn设备接收到的数据包。主要字段包括定义流的包头信息(packetheaderinformation)(规则(rule)字段)、指示如何处理数据包的动作(action)字段以及表示每个流的统计数据的stats字段。控制器可以使用包括注册新流或删除流的功能的南向api在交换机中创建流表。32.图4是示意性地示出根据本公开的实施例的入侵应对系统(irs)的结构的概念图。33.如上所述,本公开的入侵应对系统400利用sdn技术。由于sdn是一种虚拟化架构,因此不需要在物理上将其部件设置在相同的位置。根据本公开的入侵应对系统400,将具有sdn支持交换机(简称为sdn交换机(sdnswitch))410的车载网络(ivn)设置在sdn系统的数据平面上,将sdn控制器420设置在sdn系统的控制平面上,并且将入侵检测系统(ids)430设置在sdn系统的应用平面上。34.入侵应对系统400从ivn中分离出逻辑或物理实体,该逻辑或物理实体通过分析发生流量的车辆和流量的统计数据来判断是否存在入侵,并根据判断结果确定应对。ids430的操作主体可以不同于sdn控制器420的操作主体。35.设置在ivn中的sdn支持交换机410基于流表来控制发生在ivn中的流量或流入ivn的流量。设置在车辆外部通过v2i通信与车辆连接的sdn控制器420以一定的时间间隔周期性地从sdn支持交换机410接收流表,并从ids接收作为对接收到的流表的监控结果的执行入侵检测的结果以使sdn支持交换机410更新流表。36.在下文中,将详细描述所提出的入侵应对系统400中的sdn支持交换机410、sdn控制器420和ids430的功能和操作。37.sdn支持交换机410搭载在车辆中并且控制流入车辆的ivn或v2x通信的所有流量或数据包(下文统称为“数据包”)的流。sdn支持交换机410可以是sdn交换机或与sdn设备组合以在sdn环境中操作的普通交换机,然而其不限于此。例如,根据本实施例的sdn支持交换机410可以是任何交换机,只要该交换机能够控制在车辆的ivn中或在v2x环境中生成的数据包的流并且能够与控制平面的sdn控制器420进行通信即可。38.sdn支持交换机410使用流表控制流入sdn支持交换机410的数据包。根据本实施例的一个方面,sdn支持交换机410将诸如端口信息的数据包相关数据与流表中的每个流条目的规则字段进行匹配,并提取或引用与特定数据包匹配的流条目。这种匹配根据与sdn支持交换机410和sdn控制器420之间的通信协议相对应的南向api的规范(specification)而变化。例如,如图4所示,流条目的规则字段可以包括交换机端口(switchport)、mac源(macsrc)、以太网类型(ethtype)、vlanid、ip源(ipsrc)等。在这种情况下,可以通过相对于规则字段的规范的全部匹配、在预设范围内匹配或者预设数量以上的匹配来建立数据包数据和流条目之间的匹配。在这种情况下,可能有多个流条目与特定数据包匹配。39.当存在与流入的数据包匹配的流条目时,sdn支持交换机410提取流条目并执行流条目的动作字段的命令。根据本实施例的一个方面,当存在与流入的数据包匹配的多个流条目时,sdn支持交换机410可以利用包括在每个流条目中的优先级字段(priorityfield)在多个流条目中提取具有最高优先级的流条目。40.将流入sdn支持交换机410的所有数据包传送到sdn控制器420可能导致隐私侵犯和资源浪费。因此,根据本实施例的一个方面,当不能仅使用流表进行数据包控制时,例如不存在与流入的数据包匹配的流条目的情况以及匹配的流条目的有效期已到期(expire)的情况下,可以将包括流入的数据包的数据包输入消息传送到sdn控制器420。按照sdn支持交换机410和sdn控制器420所应用的接口生成数据包输入消息。sdn控制器420可以将包括数据包输入消息中包括的数据包和转发动作的数据包输出消息传送到sdn支持交换机410。sdn支持交换机410通过基于接收到的数据包输出消息更新流表来恰当地控制引入的数据包。41.可选地,sdn支持交换机410可以采用使用sdn支持交换机410的基于流表控制所有数据包数据的功能的数据驱动入侵检测方法。在该数据驱动入侵检测方法中,sdn支持交换机410以一定的时间间隔“t”或响应以一定的时间间隔“t”从sdn控制器420接收到的用于请求流表的查询而将流表传送到sdn控制器420,以便执行入侵检测,并且sdn支持交换机410从sdn控制器420接收入侵检测的结果并基于该入侵检测的结果更新流表。在该数据驱动入侵检测方法中,数据包控制和入侵检测分开进行。42.这里,sdn控制器420接收流表的时间间隔“t”可以基于车辆的内部或外部环境、驾驶环境、ids430所采用的入侵检测方法和执行入侵检测的结果中的全部或部分来设置或重置。时间间隔“t”的设置或重置可以由sdn支持交换机410基于从sdn控制器420接收的数据包输出消息来确定,可以由sdn控制器420基于对接收到的数据包输入消息或数据包流的监控来确定,或者可以由ids430确定。43.数据包输出消息可以包括入侵检测的结果。例如,当判断存在入侵时,数据包输出消息可以包括能够过滤掉入侵数据包或攻击的规则以及相应的应对(例如,数据包丢弃动作、数据包丢弃和源阻断动作、数据包丢弃和转发到控制器动作、时间间隔“t”的减少等)。sdn支持交换机410可以基于数据包输出消息,通过将新的流条目添加到流表、更新现有流表或改变时间间隔“t”来响应入侵检测。确定这些规则和相应动作的主体可以是已经从sdn控制器420接收到请求的外部设备(例如,ids430等)或sdn控制器420本身。稍后将参照图9a和图9b详细描述数据驱动入侵检测方法。44.流条目不仅包括上述的规则字段和动作字段,而且可以进一步包括统计字段(图4的stats字段)。统计字段是收集或计算有关数据包的统计数据并存储的字段,并且可以包括计数器字段(counterfield)。计数器字段记录流条目的规则字段与流入的数据包匹配的数量,在某些情况下,该数量可以累积增加或以预设周期初始化。计数器字段可以包括匹配计数器(matchcounter),该匹配计数器被设置为在预定参考值内计数与流入的数据包匹配的数量,或者计数器字段还可以包括字节计数器(bytescounter),该字节计数器被设置为计数匹配数据包的每秒字节数。45.sdn支持交换机410可以仅在接收到来自sdn控制器420的消息时更新流表。在与sdn控制器420的通信(例如,基于南向api的通信)被断开时或直到在冷启动(例如,发动机启动)时恢复与sdn控制器420的连接,sdn支持交换机410在故障安全模式(fail-safemode)下操作。sdn支持交换机410可以在故障安全模式下基于由车辆制造商设置为默认的流表来控制数据包流。在这种情况下,sdn支持交换机410作为普通交换机(commonswitch)来操作。46.sdn控制器420从sdn支持交换机410接收数据包输入消息或流表。如上所述,当sdn控制器420接收到数据包输入消息时,sdn控制器420生成包括相应数据包和转发动作的数据包输出消息,并将该数据包输出消息传送到sdn支持交换机410。当sdn控制器420接收到流表时,sdn控制器420将流表传送到ids430。然后,ids430执行入侵检测,并且sdn控制器接收执行入侵检测的结果(例如,动作)。sdn控制器420将包括执行入侵检测的结果的数据包输出消息传送到sdn支持交换机410。47.sdn控制器420可以是用于sdn的专用控制器或者是与sdn设备结合以在sdn环境中操作的通用控制器,然而其不限于此。例如,根据本实施例的sdn控制器420可以包括任何控制器,只要该控制器能够管理在ivn或v2x环境中生成的数据包并且能够与sdn支持交换机410或搭载有sdn支持交换机410的车辆进行通信即可。48.sdn控制器420可以根据从ids430接收到的执行入侵检测的结果生成能够过滤掉相应入侵的新规则(例如,时间间隔“t”的改变、流条目的规则字段的设置等),并且可以将新规则包括在数据包输出消息中。这样的新规则可以通过从ids430或外部设备接收来生成。49.根据本实施例的另一方面,sdn控制器420可以使用搭载在一个或多个车辆中的一个或多个sdn支持交换机410来执行诸如openflow的基于南向api的连接的维护、流表管理或数据包统计收集。sdn控制器420还可以使用一个或多个ids(例如图4中的430)来执行诸如ad-hocapi、restfulapi或其他编程接口的基于北向api的连接的维护。50.ids430与sdn控制器420进行通信,从sdn控制器420接收流表,执行入侵检测,确定与执行入侵检测的结果相对应的动作,并将确定的动作传送到sdn控制器420。例如,根据本实施例的一个方面,ids430监控流表中的每个流条目的每个字段,并且当计数器增量异常时或当未授权的源节点向要求授权的处理器发送数据包时,ids430可以将该情况确定为攻击,指定过滤掉相应流的规则,或者可以指定特定流条目的动作字段为数据包丢弃命令。根据本实施例的另一方面,ids430可以将数据包丢弃命令和转发到控制器命令确定为动作。该动作使sdn支持交换机410丢弃ivn中的该数据包类型并将该数据包类型转发到sdn控制器420,使得sdn控制器420能够监控该数据包类型。对于这样的监控,sdn控制器420可以从另一设备或sdn支持交换机410接收流统计数据。51.在下文中,分别参照图5a、图5b、图6a、图6b、图7a和图7b、描述所提出的入侵应对系统的数据平面、控制平面和应用平面的示例性拓扑结构。52.图5a和图5b是示出根据本公开的实施例的ivn的示例性拓扑结构的示图。53.图5a示出具有混合结构的ivn的示例性拓扑结构。示出的ivn包括各种以太网设备、信息娱乐(infortainment)设备、一个或多个电子控制单元(ecu)、以及包括连接到这些设备的sdn交换机的基于以太网的lan。通常,诸如高级驾驶辅助系统(adas)和多媒体的高速数据应用可以通过基于以太网的lan连接到sdn交换机。此外,示出的ivn包括用于诸如要求消息优先级的动力传动系统的不适合使用以太网的某些应用的传统can总线(legacycanbus)。传统can总线可以通过支持以太网和can总线之间的通信的eth-can网关(eth-cangateway)连接到sdn支持交换机。sdn交换机可以通过v2i通信调制解调器与包括位于远程的sdn控制器420的其他设备、服务器、系统等进行通信。54.图5b示出基于以太网的ivn的示例性拓扑结构。示出的ivn包括3个交换机(即交换机1、交换机2和基础交换机3)以及九个ecu。应注意的是,交换机的数量或ecu设备的数量可以根据配置拓扑结构的方法而变化。为了保证ecu生成的所有数据包都通过交换机传送到最终目的地节点,每个ecu必须单独连接到交换机,并且多个ecu不占用一条总线路线。55.交换机1和交换机2是具有激活的sdn功能的sdn支持交换机。这两个交换机通过负责车辆与外部基础设施之间的通信(即v2i通信)的无线调制解调器(wirelessmodem)连接到sdn控制器。当与sdn控制器建立连接时,交换机1和交换机2根据从sdn控制器接收到的动作处理ecu1至ecu6的数据包,并且不能自行确定每个数据包的动作。然而,当与sdn控制器的连接由于无线调制解调器故障而被断开时,交换机1和交换机2像稍后将描述的基础交换机3一样工作。因此,基于根据本实施例的入侵应对系统400的车辆即使在紧急情况下也可以保持正常操作(例如,故障安全操作),并且允许选择性地应用入侵应对系统400的每个功能。56.根据从sdn控制器接收到的命令或动作,交换机1和交换机2可以阻止被认为是攻击的数据包,而不将该数据包转发到其他ecu,此外,交换机1或交换机2可以将该数据包传送到sdn控制器进行后期分析。由外部入侵检测系统来执行判断数据包是否对应于攻击者的入侵。57.基础交换机3不是根据本实施例的sdn支持交换机,而是已被现有车辆应用的执行mac地址学习(macaddresslearning)的传统交换机。当基础交换机3知道由ecu7至ecu9传送的数据包的目的地时,基础交换机3将数据包转发到特定端口,并且当基础交换机3不知道目的地时,基础交换机3将数据包广播(broadcast)到所有端口。基础交换机3不支持用于入侵检测/应对的数据包信息收集功能,并且不从诸如sdn控制器的外部设备接收指定用于控制数据包流的动作。58.图6a和图6b是示出根据本公开的实施例的入侵应对系统的集中式结构和分布式结构的控制平面拓扑结构的示图。59.通常,设置在控制平面上的sdn控制器可以向多个车辆内的sdn交换机传送数据以及从多个车辆内的sdn交换机接收数据。图6a示出一种集中式结构,其中单个sdn控制器管理所有车辆数据包。本公开的ids可以只用一个sdn控制器就可以实现预期的目的,但考虑到时延(latency)和负载均衡(loadbalancing),也可以安装并操作多个sdn控制器。图6b示出一种分布式结构,其中若干基地sdn控制器中的每一个都管理物理上或逻辑上靠近该sdn控制器的一个或多个车辆。例如,sdn控制器可以在每个基地的边缘云服务器(edgecloudserver)或雾服务器(fogserver)中实现。每个基地的sdn控制器可以与物理上或逻辑上靠近sdn控制器的车辆进行主要通信,并将其结果传送给集中式sdn控制器。在集中式架构中,单个sdn控制器使用北向api执行与ids430的通信,而在分布式架构中,集中式sdn控制器使用北向api执行与ids430的通信。60.图7a和图7b是示出根据本公开的实施例的可应用于入侵应对系统的ids的拓扑结构的示图。61.最近提出的基于深度学习的ids需要更多例如gpu的资源来获得精确的检测结果。搭载在车辆中的计算系统具有驾驶所需的最低性能,因此该计算系统不适合操作基于深度学习的ids。设置在车辆外部的ids在计算入侵检测算法时不再需要考虑车载性能问题。因此,所提出的入侵应对系统可以采用操作诸如图7a中所示的深度学习算法的需要高计算能力的精确入侵检测算法的ids。62.在所提出的入侵应对系统中,可以同时操作多个ids。每个ids负责针对特定协议的入侵检测(例如,针对ssh的ids1、针对avtp的ids2、针对udp的ids3),可选地,如图7b所示,可以使用利用操作不同的检测算法的若干ids的检测结果的集成(ensemble)方法。63.将ids设置在车辆外部而不是设置在ivn内部在入侵应对系统的操作中提供了很大的灵活性。无论被分析车辆的位置或状态如何,ids都可以被实时更新。例如,即使待分析的车辆正在行驶,ids也可以动态地添加、重新配置或去除入侵检测模型或算法。此外,如果在单个车辆中引入新功能或发现针对单个车辆的新攻击模式,操作员(或服务提供商)可以使用相关的数据更新检测模型。64.图8是示出支持根据本公开的入侵应对系统的有用性的用例场景的示图。65.(1)每当检测到攻击时,所有车辆通过云服务器或雾服务器上的sdn控制器将检测到的攻击信息传送到ids。在这种情况下,路侧单元(rsu)可以中继相邻车辆和每个服务器之间的通信。rsu的通信方法可以基于近场通信(nfc)、低功率蓝牙(ble)、无线局域网(wifi)、超宽带(uwb)、射频、红外数据通讯(irda)、zigbee、lte,或5g来实现。66.(2)当作为应用本公开的入侵应对系统或方法的车辆之一的某个车辆受到攻击时,搭载在该车辆(a)中的ids将攻击流量信息或疑似攻击的数据包传送到云服务器或雾服务器。67.(3)云服务器或雾服务器上的sdn控制器将攻击流量信息或数据包传送到ids,并且ids对数据进行分析。如果判断为存在攻击,则ids通过sdn控制器将绕行该车辆(a)的警告命令传送到附近的每个车辆。68.(4)当车辆对车辆(v2v)通信被激活时,该车辆(a)可以与相邻车辆共享其状态。69.(5)当允许外部设备进行远程控制时,外部设备可以根据云服务器或雾服务器的请求控制该车辆(a)减速和牵引行驶。70.图9a和图9b是示出根据本实施例的数据驱动入侵检测和应对方法的流程图。71.图9a示出sdn支持交换机410和sdn控制器420执行数据驱动入侵检测的过程。72.当应用根据本实施例的入侵应对系统400的车辆(例如,cav)开始行驶时,数据包从ivn或v2x环境流入sdn支持交换机410(s900)。73.sdn支持交换机410判断是否在搭载的流表中存在具有与流入的数据包匹配的规则字段的流条目(s902)。74.当存在匹配的流条目时,sdn支持交换机410判断是否在匹配的流条目的动作字段命令中包括数据包丢弃命令(s904),当不存在数据包丢弃命令时,sdn支持交换机410执行动作字段的命令而不丢弃数据包(s906)。75.当存在数据包丢弃命令时,sdn支持交换机410丢弃相应数据包并阻止来自相应源的流量(s912)。76.当不存在与流入的数据包匹配的流条目时或当匹配的流条目到期而最终不存在匹配的流条目时,sdn支持交换机410将包括诸如端口编号的事件信息和包括相应数据包的数据包输入消息传送到设置在车辆外部的sdn控制器420(s910),丢弃相应数据包,并阻止相应流量(s912)。77.sdn控制器420接收数据包输入消息(s920),指定转发动作(s922),生成包括该转发动作的数据包输出消息,并将该数据包输出消息传送到sdn支持交换机410(s992)。78.sdn控制器420从ids430接收请求流表的查询(s940),并将该查询传送到sdn支持交换机410。79.sdn支持交换机410从sdn控制器420接收请求流表的查询并将流表传送到sdn控制器420(s950和s952)。80.在从sdn支持交换机410接收到流表时,sdn控制器420将流表传送到ids430(s960)。81.sdn控制器420从ids430接收基于流表执行入侵检测的结果(s990),生成包括执行入侵检测的结果的数据包输出消息,并将该数据包输出消息传送到sdn支持交换机410(s992)。82.sdn支持交换机410从sdn控制器420接收数据包输出消息(s996)并更新流表(s998)。这种更新可以包括添加新的流条目,更新到期流条目的到期信息或流条目的每个字段,或者如果没有要更新的新内容,则保持流表不变。83.图9b示出ids430执行数据驱动入侵检测的过程。84.ids430等待用于请求流表的时间间隔(s930中的“t”)(s930),并向sdn控制器420查询(s932)。85.当从sdn控制器420接收到流表(s970)时,ids430基于流表中的每个流条目的每个字段和流统计数据来执行入侵检测(s972)。86.当ids430判断为存在入侵时(s974),ids430确定丢弃与入侵相关联的数据包(s980)。该确定还可以通过将丢弃命令包括在和与入侵相关联的数据包匹配的流条目的动作字段中来执行。ids430将包括丢弃动作的检测结果传送到sdn控制器420(s982)。87.然而,如果判断为不存在入侵,则ids430不传送检测结果(s976)。88.尽管图9a和图9b中描述了顺序地执行每个过程,但这仅仅是说明本公开的实施例的技术思想。换言之,在不脱离本公开的实施例的本质特征的情况下,本公开的实施例所属领域的技术人员可以进行各种修改和变化以便应用,例如通过改变在图9a和图9b中描述的顺序来执行过程或者并行执行每个过程的一个或多个过程,并且因此,本公开不限于图9a和图9b的时序顺序。89.本文所述的系统和方法的各种实施方式可以通过数字电子电路、集成电路、现场可编程门阵列(fpga)、专用集成电路(asic)、计算机硬件、固件、软件和/或其组合来实现。这些各种实施方式可以包括作为在可编程系统上可运行的一个或多个计算机程序的实施方式。可编程系统包括至少一个可编程处理器(其可以是专用处理器或通用处理器),其被联接以从存储系统、至少一个输入设备以及至少一个输出设备接收数据和指令,并向存储系统、至少一个输入设备以及至少一个输出设备传送数据和指令。计算机程序(也称为程序、软件、软件应用或代码)包括用于可编程处理器的指令并存储在“计算机可读介质”中。90.计算机可读记录介质包括由存储计算机系统可读的数据的所有类型的记录设备。计算机可读记录介质可以是诸如rom、cd-rom、磁带、软盘、存储卡、硬盘、磁光盘和存储设备的非易失性或非暂时性介质,并且可以进一步包括诸如数据传送介质的暂时性介质。此外,计算机可读记录介质可以分布在连接网络的计算机系统中,并且计算机可读代码可以以分布式方式存储和运行。91.本文描述的系统和技术的各种实施方式可以由可编程计算机实现。这里,计算机包括可编程处理器、数据存储系统(包括易失性存储器、非易失性存储器或其他类型的存储系统,或其组合)以及至少一个通信接口。例如,可编程计算机可以是服务器、网络设备、机顶盒、嵌入式设备、计算机扩展模块、个人计算机、便携式计算机、个人数据助理(pda)、云计算系统和移动设备中的一种。92.以上描述仅是描述本实施例的技术思想,本实施例所属领域的技术人员能够在不超出本实施例的基本特征的情况下进行各种修改和变化。因此,本实施例旨在描述而不是限制本实施例的技术思想,并且本实施例的技术思想的范围不受这些实施例的限制。本实施例的保护范围应由所附权利要求书来解释,在其等同范围内的技术思想均应理解为包含在本实施例的权利范围内。93.附图标记说明94.400:入侵应对系统95.410:sdn支持交换机96.420:sdn控制器97.430:入侵检测系统(ids)98.相关申请的交叉引用99.本技术要求于2019年7月31日提交的申请号为10-2019-0093503的韩国专利申请以及于2020年7月30日提交的申请号为10-2020-0095519的韩国专利申请的优先权的权益,这些韩国专利申请的全部内容通过引用并入本文。当前第1页12当前第1页12
技术领域:
:1.本公开涉及一种用于检测和阻止对车载网络(ivn)的入侵或攻击的技术。
背景技术:
::2.本部分所描述的内容仅为本实施例提供背景信息,并且不构成现有技术。3.已经开发出应用车辆到一切事物(v2x)通信和基于网络的自动驾驶相关技术的商用车辆。然而,应用v2x通信和车载网络的商用车辆容易受到入侵通信网络或网络通信的攻击。图1是示出车辆的安全威胁类型的分类的示图。威胁车辆安全的攻击包括特权窃取攻击和非特权窃取攻击、基于攻击源的外部攻击以及针对车辆内部元件的内部攻击。内部攻击通常由攻击者通过物理访问目标车辆来造成明显的破坏,而外部攻击主要使用诸如短距离射频通信、无钥匙进入系统或轮胎压力监测系统的基于传感器的系统,因此其影响力是有限的。然而,随着ivn环境中的车辆内连接性和v2x环境中的车辆间连接性的增加,车辆外部攻击的影响力预计会增加。4.即使在恰当地检测到攻击或入侵时,如何应对地缓解攻击或入侵也一直是一个问题。先前提出的缓解方法并不是对ivn车辆攻击的恰当的替代方案。5.换言之,缺乏用于检测和恰当地应对支持v2x和ivn的车辆风险的技术框架的开发。目前,由于车辆系统的计算能力的限制,搭载在车辆中的入侵检测系统(intrusiondetectionsystem,ids)仅有限地支持轻量级算法。因此,需要设计一种克服这种计算能力的限制的用于检测入侵并进行应对的入侵应对系统(intrusionresponsesystem,irs)。技术实现要素:6.技术问题7.本公开提供一种使用软件定义网络(software-definednetworking,sdn)技术来检测和应对对基于以太网的车载网络(ivn)的攻击的方法和使用该方法的系统。8.技术方案9.根据本公开的一个方面,提供一种用于车载网络(ivn)的入侵应对系统。该入侵应对系统的特征在于,包括:软件定义网络(sdn)支持交换机,安装在车辆的ivn中并且通过参照来自流表的流条目(flowentry)来控制流入的数据包的流;以及sdn控制器,与sdn支持交换机进行通信,以一定的时间间隔t从sdn支持交换机接收流表以执行监控,并将监控结果传送到sdn支持交换机。sdn控制器将流表传送到入侵检测系统(ids)以便ids执行入侵检测,并从ids接收作为监控结果的执行入侵检测的结果。10.根据本公开的另一方面,提供一种使用搭载在车辆的车载网络(ivn)中的软件定义网络(sdn)支持交换机和设置在车辆外部的sdn控制器检测和应对车辆入侵的方法。该方法的特征在于,包括:由sdn支持交换机以一定的时间间隔t将流表传送到sdn控制器;由sdn控制器接收流表,并将接收到的流表传送到入侵检测系统(ids);由sdn控制器使ids基于包括在流表中的每个流条目的全部或部分字段执行入侵检测,并且由sdn控制器从ids接收入侵检测的结果;由sdn控制器将包括入侵检测的结果的数据包输出消息(packet-outmessage)传送到sdn支持交换机;以及由sdn支持交换机基于该数据包输出消息更新流表。11.有益效果12.本公开的sdn支持交换机可以同时监控和阻止流入ivn的流量。也就是说,sdn支持交换机在基于流表监控流入车辆的流量的同时,可以选择性地阻止被识别为攻击的流量。13.根据本公开,判断流入车辆的数据包是否是入侵数据包以及执行流控制动作是远程确定而不是在ivn中确定,从而可以基于例如深度学习或人工智能方法的要求高计算性能的高性能检测技术来检测入侵数据包,而不管车辆的内部环境如何,并且可以根据检测结果给出恰当的应对命令。此外,设置在车辆外部的入侵检测系统能够实时更改或更新检测算法或模型,而不管车辆环境如何。14.此外,根据本公开,可以在一个地方同时且全面地监控发生在多个车辆中的内部流量。这可以通过收集难以从单个车辆检测到的模糊异常并将收集的异常与其他车辆的正常流量进行比较,实现更精确的攻击检测。15.本公开的技术还可以通过将sdn设备添加到设置在现有的基于以太网的车辆中的普通交换机来应用。因此,可以在尽可能减少基于以太网的ivn的拓扑结构的变化的同时应用本公开的技术。附图说明16.图1是示出车辆的安全威胁类型的分类的示图。17.图2是示出典型的软件定义网络(sdn)的架构的概念图。18.图3示出构成sdn系统的sdn控制器和sdn设备以及构成搭载在sdn设备中的流表(flowtable)的流条目的构成字段。19.图4是示意性地示出根据本公开的实施例的入侵应对系统的结构的概念图。20.图5a和图5b是示出根据本公开的实施例的车载网络(ivn)的示例性拓扑结构的示图。21.图6a和图6b是示出根据本公开的实施例的入侵应对系统的集中式结构和分布式结构的控制平面拓扑结构的示图。22.图7a和图7b是示出根据本公开的实施例的可应用于入侵应对系统的入侵检测系统(ids)的拓扑结构的示图。23.图8是示出支持根据本公开的入侵应对系统的有用性的用例场景的示图。24.图9a和图9b是示出根据本实施例的数据驱动入侵检测和应对方法的流程图。具体实施方式25.在下文中,将参照附图详细描述本公开的一些实施例。应当注意的是,在对各个附图中的组件添加附图标记时,相同的附图标记表示相同的组件,尽管这些组件在不同的附图中示出。此外,在本公开的以下描述中,将省略对相关的已知功能和配置的详细描述以免使得本公开的要旨不清楚。26.此外,诸如第一、第二、a、b、(a)、(b)等的各种术语仅用于区分一个组件与另一组件,而不是用于暗示或指示组件的本质、顺序或次序。在整个本说明书中,当一个部件“包括”或“包括有”组件时,除非另有明确说明,否则意味着该部件进一步包括其他组件,而不排除包括其他组件。此外,说明书中记载的“单元”、“模块”等术语是指用于处理至少一种功能或操作的一个或多个单元,其可以通过硬件、软件或硬件和软件的组合来实现。27.下面参照附图给出的详细描述旨在解释本发明的示例性实施例,而不仅是示出可以根据本发明实施的实施例。28.本公开涉及一种使用软件定义网络(sdn)技术来检测和应对对基于以太网的车载网络(ivn)的攻击的入侵应对方法和入侵应对系统。29.sdn是一种技术,其将诸如交换机和路由器的网络设备的控制部分与网络设备的数据传送部分分离,向外部提供可以定义网络设备的功能的开放接口,并通过开放接口利用编程的软件设置、控制和管理各种网络路径。30.图2是示出典型的sdn的架构的概念图。sdn架构被定义为三层,包括应用层、控制层和基础结构层(infrastructurelayer)。应用层、控制层和基础结构层也分别称为应用平面、控制平面和基础结构平面(或数据平面)。各层通过开放接口(openinterface)相互通信。被称为“北向api(northboundapi)”的应用层和控制层之间的开放接口是能够开发具有各种功能的应用并与其他运行工具通信的api,北向api中一般使用restfulapi。被称为“南向api(southboundapi)”的控制层和基础结构层之间的开放接口是用于转发控制、信息收集等的接口,并且可以包括例如openflow、of-config、netconf等。31.图3示出包括sdn控制器和sdn设备的sdn系统,以及包括在搭载在sdn设备中的流表中的流条目的字段。sdn控制器是逻辑实体(entity),设置在sdn系统的控制平面上,并且sdn设备是硬件设备,设置在数据平面上。搭载在sdn设备中的流表包括以下三个主要字段以处理sdn设备接收到的数据包。主要字段包括定义流的包头信息(packetheaderinformation)(规则(rule)字段)、指示如何处理数据包的动作(action)字段以及表示每个流的统计数据的stats字段。控制器可以使用包括注册新流或删除流的功能的南向api在交换机中创建流表。32.图4是示意性地示出根据本公开的实施例的入侵应对系统(irs)的结构的概念图。33.如上所述,本公开的入侵应对系统400利用sdn技术。由于sdn是一种虚拟化架构,因此不需要在物理上将其部件设置在相同的位置。根据本公开的入侵应对系统400,将具有sdn支持交换机(简称为sdn交换机(sdnswitch))410的车载网络(ivn)设置在sdn系统的数据平面上,将sdn控制器420设置在sdn系统的控制平面上,并且将入侵检测系统(ids)430设置在sdn系统的应用平面上。34.入侵应对系统400从ivn中分离出逻辑或物理实体,该逻辑或物理实体通过分析发生流量的车辆和流量的统计数据来判断是否存在入侵,并根据判断结果确定应对。ids430的操作主体可以不同于sdn控制器420的操作主体。35.设置在ivn中的sdn支持交换机410基于流表来控制发生在ivn中的流量或流入ivn的流量。设置在车辆外部通过v2i通信与车辆连接的sdn控制器420以一定的时间间隔周期性地从sdn支持交换机410接收流表,并从ids接收作为对接收到的流表的监控结果的执行入侵检测的结果以使sdn支持交换机410更新流表。36.在下文中,将详细描述所提出的入侵应对系统400中的sdn支持交换机410、sdn控制器420和ids430的功能和操作。37.sdn支持交换机410搭载在车辆中并且控制流入车辆的ivn或v2x通信的所有流量或数据包(下文统称为“数据包”)的流。sdn支持交换机410可以是sdn交换机或与sdn设备组合以在sdn环境中操作的普通交换机,然而其不限于此。例如,根据本实施例的sdn支持交换机410可以是任何交换机,只要该交换机能够控制在车辆的ivn中或在v2x环境中生成的数据包的流并且能够与控制平面的sdn控制器420进行通信即可。38.sdn支持交换机410使用流表控制流入sdn支持交换机410的数据包。根据本实施例的一个方面,sdn支持交换机410将诸如端口信息的数据包相关数据与流表中的每个流条目的规则字段进行匹配,并提取或引用与特定数据包匹配的流条目。这种匹配根据与sdn支持交换机410和sdn控制器420之间的通信协议相对应的南向api的规范(specification)而变化。例如,如图4所示,流条目的规则字段可以包括交换机端口(switchport)、mac源(macsrc)、以太网类型(ethtype)、vlanid、ip源(ipsrc)等。在这种情况下,可以通过相对于规则字段的规范的全部匹配、在预设范围内匹配或者预设数量以上的匹配来建立数据包数据和流条目之间的匹配。在这种情况下,可能有多个流条目与特定数据包匹配。39.当存在与流入的数据包匹配的流条目时,sdn支持交换机410提取流条目并执行流条目的动作字段的命令。根据本实施例的一个方面,当存在与流入的数据包匹配的多个流条目时,sdn支持交换机410可以利用包括在每个流条目中的优先级字段(priorityfield)在多个流条目中提取具有最高优先级的流条目。40.将流入sdn支持交换机410的所有数据包传送到sdn控制器420可能导致隐私侵犯和资源浪费。因此,根据本实施例的一个方面,当不能仅使用流表进行数据包控制时,例如不存在与流入的数据包匹配的流条目的情况以及匹配的流条目的有效期已到期(expire)的情况下,可以将包括流入的数据包的数据包输入消息传送到sdn控制器420。按照sdn支持交换机410和sdn控制器420所应用的接口生成数据包输入消息。sdn控制器420可以将包括数据包输入消息中包括的数据包和转发动作的数据包输出消息传送到sdn支持交换机410。sdn支持交换机410通过基于接收到的数据包输出消息更新流表来恰当地控制引入的数据包。41.可选地,sdn支持交换机410可以采用使用sdn支持交换机410的基于流表控制所有数据包数据的功能的数据驱动入侵检测方法。在该数据驱动入侵检测方法中,sdn支持交换机410以一定的时间间隔“t”或响应以一定的时间间隔“t”从sdn控制器420接收到的用于请求流表的查询而将流表传送到sdn控制器420,以便执行入侵检测,并且sdn支持交换机410从sdn控制器420接收入侵检测的结果并基于该入侵检测的结果更新流表。在该数据驱动入侵检测方法中,数据包控制和入侵检测分开进行。42.这里,sdn控制器420接收流表的时间间隔“t”可以基于车辆的内部或外部环境、驾驶环境、ids430所采用的入侵检测方法和执行入侵检测的结果中的全部或部分来设置或重置。时间间隔“t”的设置或重置可以由sdn支持交换机410基于从sdn控制器420接收的数据包输出消息来确定,可以由sdn控制器420基于对接收到的数据包输入消息或数据包流的监控来确定,或者可以由ids430确定。43.数据包输出消息可以包括入侵检测的结果。例如,当判断存在入侵时,数据包输出消息可以包括能够过滤掉入侵数据包或攻击的规则以及相应的应对(例如,数据包丢弃动作、数据包丢弃和源阻断动作、数据包丢弃和转发到控制器动作、时间间隔“t”的减少等)。sdn支持交换机410可以基于数据包输出消息,通过将新的流条目添加到流表、更新现有流表或改变时间间隔“t”来响应入侵检测。确定这些规则和相应动作的主体可以是已经从sdn控制器420接收到请求的外部设备(例如,ids430等)或sdn控制器420本身。稍后将参照图9a和图9b详细描述数据驱动入侵检测方法。44.流条目不仅包括上述的规则字段和动作字段,而且可以进一步包括统计字段(图4的stats字段)。统计字段是收集或计算有关数据包的统计数据并存储的字段,并且可以包括计数器字段(counterfield)。计数器字段记录流条目的规则字段与流入的数据包匹配的数量,在某些情况下,该数量可以累积增加或以预设周期初始化。计数器字段可以包括匹配计数器(matchcounter),该匹配计数器被设置为在预定参考值内计数与流入的数据包匹配的数量,或者计数器字段还可以包括字节计数器(bytescounter),该字节计数器被设置为计数匹配数据包的每秒字节数。45.sdn支持交换机410可以仅在接收到来自sdn控制器420的消息时更新流表。在与sdn控制器420的通信(例如,基于南向api的通信)被断开时或直到在冷启动(例如,发动机启动)时恢复与sdn控制器420的连接,sdn支持交换机410在故障安全模式(fail-safemode)下操作。sdn支持交换机410可以在故障安全模式下基于由车辆制造商设置为默认的流表来控制数据包流。在这种情况下,sdn支持交换机410作为普通交换机(commonswitch)来操作。46.sdn控制器420从sdn支持交换机410接收数据包输入消息或流表。如上所述,当sdn控制器420接收到数据包输入消息时,sdn控制器420生成包括相应数据包和转发动作的数据包输出消息,并将该数据包输出消息传送到sdn支持交换机410。当sdn控制器420接收到流表时,sdn控制器420将流表传送到ids430。然后,ids430执行入侵检测,并且sdn控制器接收执行入侵检测的结果(例如,动作)。sdn控制器420将包括执行入侵检测的结果的数据包输出消息传送到sdn支持交换机410。47.sdn控制器420可以是用于sdn的专用控制器或者是与sdn设备结合以在sdn环境中操作的通用控制器,然而其不限于此。例如,根据本实施例的sdn控制器420可以包括任何控制器,只要该控制器能够管理在ivn或v2x环境中生成的数据包并且能够与sdn支持交换机410或搭载有sdn支持交换机410的车辆进行通信即可。48.sdn控制器420可以根据从ids430接收到的执行入侵检测的结果生成能够过滤掉相应入侵的新规则(例如,时间间隔“t”的改变、流条目的规则字段的设置等),并且可以将新规则包括在数据包输出消息中。这样的新规则可以通过从ids430或外部设备接收来生成。49.根据本实施例的另一方面,sdn控制器420可以使用搭载在一个或多个车辆中的一个或多个sdn支持交换机410来执行诸如openflow的基于南向api的连接的维护、流表管理或数据包统计收集。sdn控制器420还可以使用一个或多个ids(例如图4中的430)来执行诸如ad-hocapi、restfulapi或其他编程接口的基于北向api的连接的维护。50.ids430与sdn控制器420进行通信,从sdn控制器420接收流表,执行入侵检测,确定与执行入侵检测的结果相对应的动作,并将确定的动作传送到sdn控制器420。例如,根据本实施例的一个方面,ids430监控流表中的每个流条目的每个字段,并且当计数器增量异常时或当未授权的源节点向要求授权的处理器发送数据包时,ids430可以将该情况确定为攻击,指定过滤掉相应流的规则,或者可以指定特定流条目的动作字段为数据包丢弃命令。根据本实施例的另一方面,ids430可以将数据包丢弃命令和转发到控制器命令确定为动作。该动作使sdn支持交换机410丢弃ivn中的该数据包类型并将该数据包类型转发到sdn控制器420,使得sdn控制器420能够监控该数据包类型。对于这样的监控,sdn控制器420可以从另一设备或sdn支持交换机410接收流统计数据。51.在下文中,分别参照图5a、图5b、图6a、图6b、图7a和图7b、描述所提出的入侵应对系统的数据平面、控制平面和应用平面的示例性拓扑结构。52.图5a和图5b是示出根据本公开的实施例的ivn的示例性拓扑结构的示图。53.图5a示出具有混合结构的ivn的示例性拓扑结构。示出的ivn包括各种以太网设备、信息娱乐(infortainment)设备、一个或多个电子控制单元(ecu)、以及包括连接到这些设备的sdn交换机的基于以太网的lan。通常,诸如高级驾驶辅助系统(adas)和多媒体的高速数据应用可以通过基于以太网的lan连接到sdn交换机。此外,示出的ivn包括用于诸如要求消息优先级的动力传动系统的不适合使用以太网的某些应用的传统can总线(legacycanbus)。传统can总线可以通过支持以太网和can总线之间的通信的eth-can网关(eth-cangateway)连接到sdn支持交换机。sdn交换机可以通过v2i通信调制解调器与包括位于远程的sdn控制器420的其他设备、服务器、系统等进行通信。54.图5b示出基于以太网的ivn的示例性拓扑结构。示出的ivn包括3个交换机(即交换机1、交换机2和基础交换机3)以及九个ecu。应注意的是,交换机的数量或ecu设备的数量可以根据配置拓扑结构的方法而变化。为了保证ecu生成的所有数据包都通过交换机传送到最终目的地节点,每个ecu必须单独连接到交换机,并且多个ecu不占用一条总线路线。55.交换机1和交换机2是具有激活的sdn功能的sdn支持交换机。这两个交换机通过负责车辆与外部基础设施之间的通信(即v2i通信)的无线调制解调器(wirelessmodem)连接到sdn控制器。当与sdn控制器建立连接时,交换机1和交换机2根据从sdn控制器接收到的动作处理ecu1至ecu6的数据包,并且不能自行确定每个数据包的动作。然而,当与sdn控制器的连接由于无线调制解调器故障而被断开时,交换机1和交换机2像稍后将描述的基础交换机3一样工作。因此,基于根据本实施例的入侵应对系统400的车辆即使在紧急情况下也可以保持正常操作(例如,故障安全操作),并且允许选择性地应用入侵应对系统400的每个功能。56.根据从sdn控制器接收到的命令或动作,交换机1和交换机2可以阻止被认为是攻击的数据包,而不将该数据包转发到其他ecu,此外,交换机1或交换机2可以将该数据包传送到sdn控制器进行后期分析。由外部入侵检测系统来执行判断数据包是否对应于攻击者的入侵。57.基础交换机3不是根据本实施例的sdn支持交换机,而是已被现有车辆应用的执行mac地址学习(macaddresslearning)的传统交换机。当基础交换机3知道由ecu7至ecu9传送的数据包的目的地时,基础交换机3将数据包转发到特定端口,并且当基础交换机3不知道目的地时,基础交换机3将数据包广播(broadcast)到所有端口。基础交换机3不支持用于入侵检测/应对的数据包信息收集功能,并且不从诸如sdn控制器的外部设备接收指定用于控制数据包流的动作。58.图6a和图6b是示出根据本公开的实施例的入侵应对系统的集中式结构和分布式结构的控制平面拓扑结构的示图。59.通常,设置在控制平面上的sdn控制器可以向多个车辆内的sdn交换机传送数据以及从多个车辆内的sdn交换机接收数据。图6a示出一种集中式结构,其中单个sdn控制器管理所有车辆数据包。本公开的ids可以只用一个sdn控制器就可以实现预期的目的,但考虑到时延(latency)和负载均衡(loadbalancing),也可以安装并操作多个sdn控制器。图6b示出一种分布式结构,其中若干基地sdn控制器中的每一个都管理物理上或逻辑上靠近该sdn控制器的一个或多个车辆。例如,sdn控制器可以在每个基地的边缘云服务器(edgecloudserver)或雾服务器(fogserver)中实现。每个基地的sdn控制器可以与物理上或逻辑上靠近sdn控制器的车辆进行主要通信,并将其结果传送给集中式sdn控制器。在集中式架构中,单个sdn控制器使用北向api执行与ids430的通信,而在分布式架构中,集中式sdn控制器使用北向api执行与ids430的通信。60.图7a和图7b是示出根据本公开的实施例的可应用于入侵应对系统的ids的拓扑结构的示图。61.最近提出的基于深度学习的ids需要更多例如gpu的资源来获得精确的检测结果。搭载在车辆中的计算系统具有驾驶所需的最低性能,因此该计算系统不适合操作基于深度学习的ids。设置在车辆外部的ids在计算入侵检测算法时不再需要考虑车载性能问题。因此,所提出的入侵应对系统可以采用操作诸如图7a中所示的深度学习算法的需要高计算能力的精确入侵检测算法的ids。62.在所提出的入侵应对系统中,可以同时操作多个ids。每个ids负责针对特定协议的入侵检测(例如,针对ssh的ids1、针对avtp的ids2、针对udp的ids3),可选地,如图7b所示,可以使用利用操作不同的检测算法的若干ids的检测结果的集成(ensemble)方法。63.将ids设置在车辆外部而不是设置在ivn内部在入侵应对系统的操作中提供了很大的灵活性。无论被分析车辆的位置或状态如何,ids都可以被实时更新。例如,即使待分析的车辆正在行驶,ids也可以动态地添加、重新配置或去除入侵检测模型或算法。此外,如果在单个车辆中引入新功能或发现针对单个车辆的新攻击模式,操作员(或服务提供商)可以使用相关的数据更新检测模型。64.图8是示出支持根据本公开的入侵应对系统的有用性的用例场景的示图。65.(1)每当检测到攻击时,所有车辆通过云服务器或雾服务器上的sdn控制器将检测到的攻击信息传送到ids。在这种情况下,路侧单元(rsu)可以中继相邻车辆和每个服务器之间的通信。rsu的通信方法可以基于近场通信(nfc)、低功率蓝牙(ble)、无线局域网(wifi)、超宽带(uwb)、射频、红外数据通讯(irda)、zigbee、lte,或5g来实现。66.(2)当作为应用本公开的入侵应对系统或方法的车辆之一的某个车辆受到攻击时,搭载在该车辆(a)中的ids将攻击流量信息或疑似攻击的数据包传送到云服务器或雾服务器。67.(3)云服务器或雾服务器上的sdn控制器将攻击流量信息或数据包传送到ids,并且ids对数据进行分析。如果判断为存在攻击,则ids通过sdn控制器将绕行该车辆(a)的警告命令传送到附近的每个车辆。68.(4)当车辆对车辆(v2v)通信被激活时,该车辆(a)可以与相邻车辆共享其状态。69.(5)当允许外部设备进行远程控制时,外部设备可以根据云服务器或雾服务器的请求控制该车辆(a)减速和牵引行驶。70.图9a和图9b是示出根据本实施例的数据驱动入侵检测和应对方法的流程图。71.图9a示出sdn支持交换机410和sdn控制器420执行数据驱动入侵检测的过程。72.当应用根据本实施例的入侵应对系统400的车辆(例如,cav)开始行驶时,数据包从ivn或v2x环境流入sdn支持交换机410(s900)。73.sdn支持交换机410判断是否在搭载的流表中存在具有与流入的数据包匹配的规则字段的流条目(s902)。74.当存在匹配的流条目时,sdn支持交换机410判断是否在匹配的流条目的动作字段命令中包括数据包丢弃命令(s904),当不存在数据包丢弃命令时,sdn支持交换机410执行动作字段的命令而不丢弃数据包(s906)。75.当存在数据包丢弃命令时,sdn支持交换机410丢弃相应数据包并阻止来自相应源的流量(s912)。76.当不存在与流入的数据包匹配的流条目时或当匹配的流条目到期而最终不存在匹配的流条目时,sdn支持交换机410将包括诸如端口编号的事件信息和包括相应数据包的数据包输入消息传送到设置在车辆外部的sdn控制器420(s910),丢弃相应数据包,并阻止相应流量(s912)。77.sdn控制器420接收数据包输入消息(s920),指定转发动作(s922),生成包括该转发动作的数据包输出消息,并将该数据包输出消息传送到sdn支持交换机410(s992)。78.sdn控制器420从ids430接收请求流表的查询(s940),并将该查询传送到sdn支持交换机410。79.sdn支持交换机410从sdn控制器420接收请求流表的查询并将流表传送到sdn控制器420(s950和s952)。80.在从sdn支持交换机410接收到流表时,sdn控制器420将流表传送到ids430(s960)。81.sdn控制器420从ids430接收基于流表执行入侵检测的结果(s990),生成包括执行入侵检测的结果的数据包输出消息,并将该数据包输出消息传送到sdn支持交换机410(s992)。82.sdn支持交换机410从sdn控制器420接收数据包输出消息(s996)并更新流表(s998)。这种更新可以包括添加新的流条目,更新到期流条目的到期信息或流条目的每个字段,或者如果没有要更新的新内容,则保持流表不变。83.图9b示出ids430执行数据驱动入侵检测的过程。84.ids430等待用于请求流表的时间间隔(s930中的“t”)(s930),并向sdn控制器420查询(s932)。85.当从sdn控制器420接收到流表(s970)时,ids430基于流表中的每个流条目的每个字段和流统计数据来执行入侵检测(s972)。86.当ids430判断为存在入侵时(s974),ids430确定丢弃与入侵相关联的数据包(s980)。该确定还可以通过将丢弃命令包括在和与入侵相关联的数据包匹配的流条目的动作字段中来执行。ids430将包括丢弃动作的检测结果传送到sdn控制器420(s982)。87.然而,如果判断为不存在入侵,则ids430不传送检测结果(s976)。88.尽管图9a和图9b中描述了顺序地执行每个过程,但这仅仅是说明本公开的实施例的技术思想。换言之,在不脱离本公开的实施例的本质特征的情况下,本公开的实施例所属领域的技术人员可以进行各种修改和变化以便应用,例如通过改变在图9a和图9b中描述的顺序来执行过程或者并行执行每个过程的一个或多个过程,并且因此,本公开不限于图9a和图9b的时序顺序。89.本文所述的系统和方法的各种实施方式可以通过数字电子电路、集成电路、现场可编程门阵列(fpga)、专用集成电路(asic)、计算机硬件、固件、软件和/或其组合来实现。这些各种实施方式可以包括作为在可编程系统上可运行的一个或多个计算机程序的实施方式。可编程系统包括至少一个可编程处理器(其可以是专用处理器或通用处理器),其被联接以从存储系统、至少一个输入设备以及至少一个输出设备接收数据和指令,并向存储系统、至少一个输入设备以及至少一个输出设备传送数据和指令。计算机程序(也称为程序、软件、软件应用或代码)包括用于可编程处理器的指令并存储在“计算机可读介质”中。90.计算机可读记录介质包括由存储计算机系统可读的数据的所有类型的记录设备。计算机可读记录介质可以是诸如rom、cd-rom、磁带、软盘、存储卡、硬盘、磁光盘和存储设备的非易失性或非暂时性介质,并且可以进一步包括诸如数据传送介质的暂时性介质。此外,计算机可读记录介质可以分布在连接网络的计算机系统中,并且计算机可读代码可以以分布式方式存储和运行。91.本文描述的系统和技术的各种实施方式可以由可编程计算机实现。这里,计算机包括可编程处理器、数据存储系统(包括易失性存储器、非易失性存储器或其他类型的存储系统,或其组合)以及至少一个通信接口。例如,可编程计算机可以是服务器、网络设备、机顶盒、嵌入式设备、计算机扩展模块、个人计算机、便携式计算机、个人数据助理(pda)、云计算系统和移动设备中的一种。92.以上描述仅是描述本实施例的技术思想,本实施例所属领域的技术人员能够在不超出本实施例的基本特征的情况下进行各种修改和变化。因此,本实施例旨在描述而不是限制本实施例的技术思想,并且本实施例的技术思想的范围不受这些实施例的限制。本实施例的保护范围应由所附权利要求书来解释,在其等同范围内的技术思想均应理解为包含在本实施例的权利范围内。93.附图标记说明94.400:入侵应对系统95.410:sdn支持交换机96.420:sdn控制器97.430:入侵检测系统(ids)98.相关申请的交叉引用99.本技术要求于2019年7月31日提交的申请号为10-2019-0093503的韩国专利申请以及于2020年7月30日提交的申请号为10-2020-0095519的韩国专利申请的优先权的权益,这些韩国专利申请的全部内容通过引用并入本文。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
