(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111566108.3 (22)申请日 2021.12.20 (71)申请人 国汽 （北京） 智能网联汽车研究院有 限公司 地址 100176 北京市大兴区亦庄经济技 术 开发区荣华南路13号院7号楼1-4层 101 (72)发明人 齐辉　辛克铎　罗承刚　靳龙辉　 段树明　邱亮　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 代理人 林韵英 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01)B60R 16/023(2006.01) (54)发明名称 一种车载网络ID PS联防联动系统 (57)摘要 本发明公开了一种车载网络IDPS联防联动 系统， 包括： 多个ETH－IDPS节点， 每个ETH－IDPS 节点包括ETH－IDPS组件、 SOME/IP  Server端和 SOME/IP Client端， SOME/IP  Server端接收 ETH－IDPS组件生成的入侵检测结果， 将入侵检 测结果中的入侵事件输出， 并根据入侵检测结果 生成规则更新事件输出； ETH－IDPS节点的SOME/ IP Client端订阅其他ETH－IDPS节点输出的规 则更新事件， 判断是否更新规则文件。 通过实施 本发明， 在ETH－IDPS节点中部署SOME/IP   Server端和SOME/IP  Client端实现了多个节点 之间的联防联动。 权利要求书1页 说明书7页 附图4页 CN 114257447 A 2022.03.29 CN 114257447 A 1.一种车 载网络ID PS联防联动系统， 其特 征在于， 包括： 多个ETH－ IDPS节点， 每个ETH－IDPS节点包括ETH－IDPS组件、 SOME/IP  Server端和SOME/IP  Client端， 所 述SOME/IP  Server端接收所述ETH－IDPS 组件生成 的入侵检测结果， 将所述入侵检测结果 中的入侵事 件输出， 并根据所述入侵检测结果 生成规则更新事 件输出； 所述ETH－IDPS节点的SOME/IP  Client端订阅其他ETH－IDPS节点输出 的规则更新事 件， 根据所述 规则更新事 件判断是否更新 规则文件。 2.根据权利要求1所述的车载网络IDPS联防联动系统， 其特征在于， 还包括： 中央连接 管理模块， 所述中央连接管理模块 订阅所述入侵事 件， 将所述入侵事 件上报； 所述中央连接管理模块部署在具有联网功能的终端上， 所述终端包括车载T－BOX以及 智能网关， 所述终端中包括ETH－ IDPS节点； 所述ETH－IDPS节点部署在具备以太网通信功能的终端产品上， 所述终端产品包括底 盘域、 车身域、 动力域以及娱乐 域。 3.根据权利要求1所述的车载网络IDPS联防联动系统， 其特征在于， 所述规则更新事件 包括： 规则文件名称、 检测规则的唯一识别码以及具体的检测规则。 4.根据权利要求3所述的车载网络IDPS联防联动系统， 其特征在于， 所述ETH－IDPS节 点根据所述规则文件名称判断是否存在对应的规则文件， 若存在， 根据所述检测规则的唯 一识别码判断对应的规则文件中对应的规则条目是否存在， 若不存在， 根据所述具体的检 测规则将检测规则添加到对应的规则文件中。 5.根据权利 要求1所述的车载网络IDPS联防联动系统， 其特征在于， 还包括： 多个CAN－ IDS节点， 每 个CAN－IDS节点将检测的威胁信息发送至 ETH－IDPS节点。 6.根据权利要求1所述的车载网络IDPS联防联动系统， 其特征在于， 还包括： 态势感知 平台， 所述态势感知平台接收所述中央连接管理模块上报的入侵事件， 将所述入侵事件展 示； 所述态势感知平台部署在云端。 7.根据权利要求1所述的车载网络IDPS联防联动系统， 其特征在于， 还包括： 数据分析 处理单元， 所述数据分析处理单元用于对所述入侵事件进行分析处理， 生成防御策略， 将所述防 御策略下发至多个ETH－ IDPS节点。 8.根据权利要求1所述的车载网络IDPS联防联动系统， 其特征在于， 还包括： 内核防火 墙， 所述内核防火墙用于获取网络报文数据流置 于队列中， 供 所述ETH－ IDPS组件读取。 9.根据权利要求8所述的车 载网络ID PS联防联动系统， 其特 征在于， 所述内核防火墙还用于根据所述ETH－IDPS组件的入侵检测结果判断所述网络报文是 否合法， 当合法时， 将所述网络报文转发， 当不 合法时， 将所述网络报文丢弃。 10.根据权利要求1所述的车载网络IDPS联防联动系统， 其特征在于， 所述ETH－IDPS组 件用于获取网络报文数据包、 传输层协议解析、 模式匹配、 在规则库中进行规则检测、 生成 入侵检测结果。权　利　要　求　书 1/1 页 2 CN 114257447 A 2一种车载网 络IDPS联防联动系统 技术领域 [0001]本发明涉及车 载网络技 术领域， 具体涉及一种车 载网络ID PS联防联动系统。 背景技术 [0002]车辆入侵检测与防御系统(Intrusion  Detection&Prev ention System， IDPS)， 用 来检测针对车辆内部网络的入侵事件， 包括can网络入侵， 以太网的入侵， 并通过4G或者5G 网络将威胁事件上报到态势感知平台进行呈现， 然后对威胁事件进行分析， 将处理结果与 防护策略再 下发给终端 进行防护。 [0003]随着以太网在汽车内的普及， 支持以太网的节点也越来越来， 进而需要部署以太 网－车辆入侵检测与防御系统(ETH－IDPS)的节点也越来越多， 一般情况下， 每一路CAN总 线上部署一个CAN－IDS(基于CAN总线入侵检测系统)程序， 每一个具备以太网通信能力的 终端上部署一个ETH－IDPS程序。 在一般的整车IDPS防御系统拓扑结构中， 所有的检测节 点 (如ETH－ IDPS)都是独立的， 之间无法实现互联互通。 [0004]并且， ETH－IDPS对威胁报文的检测是通过各种规则文件里配置的规则条目进行 匹配检测的， 而检测规则又分为很多类， 比如端口扫描类的规则文件， SSH协议攻击的规则 检测文件、 HTTP协 议攻击的规则检测文件， 而每一类规则文件中， 又有非常多的针对 该类的 检测规则， 从而对不同网络攻击报文进 行精准识别。 如果对某一类攻击配置了检测规则， 则 可以检测出来攻击， 如果没有配置， 则 无法检测出来， 而车内所有的ETH－IDPS节点配置的 检测规则选项也不尽相同。 当某一个节点检测出一类攻击后， 很有可能这类攻击会对其他 节点造成严重威胁， 而其 他有的节点并没有配置相关的检测规则， 就会造成严重的后果。 发明内容 [0005]有鉴于此， 本发明实施例提供了涉及一种车载网络IDPS联 防联动系统， 以解决现 有技术中整车防御系统中ETH－IDPS检测节点无法实现互联互通， 导致存在攻击威胁的技 术问题。 [0006]本发明提出的技 术方案如下： [0007]本发明实施例第一方面提供一种车载网络IDPS联防联动系统， 包括： 多个ETH－ IDPS节点， 每个ETH－IDPS节点包括ETH－IDPS组件、 S OME/IP Server端和 SOME/IP Client 端， 所述SOME/IP  Server端接收所述ETH－IDPS组件生 成的入侵检测结果， 将所述入侵检测 结果中的入侵事件输出， 并根据所述入侵检测结果生 成规则更新事件输出； 所述ETH－IDPS 节点的SOME/IP  Client端订阅其他ETH－IDPS节点输出的规则更新事件， 根据所述规则更 新事件判断是否更新 规则文件。 [0008]根据本发明实施例第一方面， 在第一方面第一实施方式中， 车载网络IDPS联 防联 动系统还包括： 中央连接管理模块， 所述中央连接管理模块订阅所述入侵事件， 将所述入侵 事件上报； 所述中央连接管理模块部署在具有联网功能的终端上， 所述终端包括车载T－ BOX以及智能网关， 所述终端中包括ETH－IDPS节 点； 所述ETH－IDPS节点部署在具备以太网说　明　书 1/7 页 3 CN 114257447 A 3