(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111562672.8 (22)申请日 2021.12.20 (71)申请人 国汽 （北京） 智能网联汽车研究院有 限公司 地址 100176 北京市大兴区亦庄经济技 术 开发区荣华南路13号院7号楼1-4层 101 (72)发明人 邱亮　辛克铎　罗承刚　靳龙辉　 段树明　齐辉　管航　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 代理人 林韵英 (51)Int.Cl. G06F 3/06(2006.01) H04L 9/40(2022.01)H04L 69/04(2022.01) H04L 12/40(2006.01) (54)发明名称 一种CAN总线 入侵检测方法及系统 (57)摘要 本发明公开了一种CAN总线入侵检测方法及 系统， 方法包括： 将入侵检测规则二进制文件分 块压缩后存储至flash中， 并建立报文ID与数据 块的对应关系表， 从而不需要使用大容量flash 即可实现对全部入侵检测规则二进制文件的存 储； 根据待检查数据报文 ID， 查找对应关系表， 得 到存储待检查数据报文的入侵检测规则数据所 在数据块， 将该数据块解压至RAM中， 从而实现不 需要使用大容量RAM即可 实现对入侵检测规则二 进制文件的解压， 降低具有CAN总线入侵检测功 能的MCU的成本； 入侵检测程序根据RAM中解压的 入侵检测规则数据， 对待检查数据报文进行检 测， 从而实现对报文的检测。 权利要求书2页 说明书7页 附图5页 CN 114253479 A 2022.03.29 CN 114253479 A 1.一种CAN总线入侵检测方法， 其特 征在于， 包括如下步骤： 将入侵检测规则二进制文件分块压缩后存储至flash中， 并建立报文ID与数据块的对 应关系表， 所述入侵检测规则二进制文件 包括所有报文ID的入侵检测规则数据； 根据待检查数据报文ID， 查找所述对应关系表， 得到存储待检查数据报文的入侵检测 规则数据所在数据块， 将该 数据块解压至RAM中； 入侵检测程序根据RAM中解压的入侵检测规则数据， 对所述待检查数据报文 进行检测。 2.根据权利要求1所述的CAN总线入侵检测方法， 其特征在于， 所述将入侵检测规则二 进制文件分块压缩后存 储至flash中的步骤， 包括： 根据报文ID的周期大小， 对每 个报文对应的入侵检测规则数据进行排序； 对排序后的入侵检测规则二进制文件进行分块， 得到多个数据块， 每个所述数据块包 含至少一个报文ID对应的入侵检测规则数据； 将每个数据块分别压缩后存 储至flash中。 3.根据权利要求2所述的CAN总线入侵检测方法， 其特 征在于， 每个所述数据块中只包括高频报文的入侵检测规则数据， 或所述数据块中只包括低频 报文的入侵检测规则数据。 4.根据权利要求1所述的CAN总线入侵检测方法， 其特征在于， 建立所述对应关系表 的 过程， 包括： 建立报文ID、 入侵检测规则数据所在数据块的块号、 数据块中的对应入侵检测数据的 条目号的对应关系表。 5.根据权利要求1所述的CAN总线入侵检测方法， 其特征在于， 在查找所述待检查数据 报文的入侵检测规则数据所在数据块之前， 还 包括： 在RAM中开辟两个缓冲区： 静态缓冲区及动态缓冲区。 6.根据权利要求5所述的CAN总线入侵检测方法， 其特征在于， 所述将该数据块解压至 RAM的过程， 包括： 根据报文ID的周期的大小， 判断所述待检查数据报文是否为低频报文； 当所述待检查数据报文为低频报文， 无论是初次还是再次对该待检查数据报文进行检 测， 均将该待检查数据报文对应的数据块 解压至所述动态缓冲区。 7.根据权利要求5所述的CAN总线入侵检测方法， 其特征在于， 所述将该数据块解压至 RAM的过程， 包括： 根据报文ID的周期的大小， 判断所述待检查数据报文是否为高频报文； 当所述待检查数据报文为高频报文、 且初次对该待检查数据报文进行检测时， 将该待 检查数据报文对应的数据块解压至所述静态缓冲区中， 解压后的入侵检测规则数据储存在 所述静态缓冲区中； 当所述待检查数据报文为高频报文、 且再次对该待检查数据报文进行 检测时， 无需再将该待检查数据报文对应得到数据块进行解压， 入侵检测程序直接根据静 态缓冲区储 存的入侵检测规则数据对该待检查数据报文 进行检测。 8.一种CAN总线入侵检测系统， 其特 征在于， 包括： 分块压缩模块， 用于将入侵检测规则二进制文件分块压缩后存储至flash中， 并建立报 文ID与数据块的对应关系表， 所述入侵检测规则二进制文件包括所有报文ID的入侵检测规 则数据；权　利　要　求　书 1/2 页 2 CN 114253479 A 2解压模块， 用于根据待检查数据报文ID， 查找所述对应关系表， 得到存储待检查数据报 文的入侵检测规则数据所在数据块， 将该 数据块解压至RAM中； 检测模块， 用于入侵检测程序根据RAM中解压的入侵检测规则数据， 对所述待检查数据 报文进行检测。 9.一种计算机设备， 其特征在于， 包括： 至少一个处理器， 以及与所述至少一个处理器 通信连接的存储器， 其中， 所述存储器存储有可被所述至少一个处理器执行的指 令， 所述指 令被所述至少一个处理器执行， 以使所述至少一个处理器执行权利要求1 ‑7中任一所述的 CAN总线入侵检测方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机指 令， 所述计算机指 令用于使 所述计算机执行权利要求 1‑7中任一所述的CA N总线入侵检测方 法。权　利　要　求　书 2/2 页 3 CN 114253479 A 3