[发明专利]基于SDN的车载网络入侵应对方法及使用该方法的系统

说明书

本公开提供一种入侵应对系统和方法，用于通过搭载在车载网络(IVN)中的SDN支持交换机和与SDN支持交换机进行通信的SDN控制器来检测和应对车辆入侵，在该方法中SDN控制器从SDN支持交换机接收流表，使入侵检测系统(IDS)执行入侵检测，并根据执行入侵检测的结果更新流表。

技术领域

本公开涉及一种用于检测和阻止对车载网络(IVN)的入侵或攻击的技术。

背景技术

本部分所描述的内容仅为本实施例提供背景信息，并且不构成现有技术。

已经开发出应用车辆到一切事物(V2X)通信和基于网络的自动驾驶相关技术的商用车辆。然而，应用V2X通信和车载网络的商用车辆容易受到入侵通信网络或网络通信的攻击。图1是示出车辆的安全威胁类型的分类的示图。威胁车辆安全的攻击包括特权窃取攻击和非特权窃取攻击、基于攻击源的外部攻击以及针对车辆内部元件的内部攻击。内部攻击通常由攻击者通过物理访问目标车辆来造成明显的破坏，而外部攻击主要使用诸如短距离射频通信、无钥匙进入系统或轮胎压力监测系统的基于传感器的系统，因此其影响力是有限的。然而，随着IVN环境中的车辆内连接性和V2X环境中的车辆间连接性的增加，车辆外部攻击的影响力预计会增加。

即使在恰当地检测到攻击或入侵时，如何应对地缓解攻击或入侵也一直是一个问题。先前提出的缓解方法并不是对IVN车辆攻击的恰当的替代方案。

换言之，缺乏用于检测和恰当地应对支持V2X和IVN的车辆风险的技术框架的开发。目前，由于车辆系统的计算能力的限制，搭载在车辆中的入侵检测系统(IntrusionDetection System，IDS)仅有限地支持轻量级算法。因此，需要设计一种克服这种计算能力的限制的用于检测入侵并进行应对的入侵应对系统(Intrusion Response System，IRS)。

发明内容

技术问题

本公开提供一种使用软件定义网络(Software-Defined Networking，SDN)技术来检测和应对对基于以太网的车载网络(IVN)的攻击的方法和使用该方法的系统。

技术方案

根据本公开的一个方面，提供一种用于车载网络(IVN)的入侵应对系统。该入侵应对系统的特征在于，包括：软件定义网络(SDN)支持交换机，安装在车辆的IVN中并且通过参照来自流表的流条目(flow entry)来控制流入的数据包的流；以及SDN控制器，与SDN支持交换机进行通信，以一定的时间间隔T从SDN支持交换机接收流表以执行监控，并将监控结果传送到SDN支持交换机。SDN控制器将流表传送到入侵检测系统(IDS)以便IDS执行入侵检测，并从IDS接收作为监控结果的执行入侵检测的结果。

根据本公开的另一方面，提供一种使用搭载在车辆的车载网络(IVN)中的软件定义网络(SDN)支持交换机和设置在车辆外部的SDN控制器检测和应对车辆入侵的方法。该方法的特征在于，包括：由SDN支持交换机以一定的时间间隔T将流表传送到SDN控制器；由SDN控制器接收流表，并将接收到的流表传送到入侵检测系统(IDS)；由SDN控制器使IDS基于包括在流表中的每个流条目的全部或部分字段执行入侵检测，并且由SDN控制器从IDS接收入侵检测的结果；由SDN控制器将包括入侵检测的结果的数据包输出消息(packet-outmessage)传送到SDN支持交换机；以及由SDN支持交换机基于该数据包输出消息更新流表。

有益效果

本公开的SDN支持交换机可以同时监控和阻止流入IVN的流量。也就是说，SDN支持交换机在基于流表监控流入车辆的流量的同时，可以选择性地阻止被识别为攻击的流量。