[发明专利]一种车辆ECU的HOST-IDS安全检测系统及方法

权利要求书

1.一种车辆ECU的HOST-IDS安全检测系统，其特征在于：包括HOST-IDS安全组件，所述HOST-IDS安全组件以SDK的形式或库文件的形式集成至ECU的系统中，ECU的系统运行时，实时向HOST-IDS安全组件反馈ECU的系统运行状态的数据；所述HOST-IDS安全组件包括系统文件监控模块、进程监控模块、资源监控模块和网络安全模块，所述系统文件监控模块的输出端连接进程监控模块，所述进程监控模块的输出端连接资源监控模块，所述资源监控模块的输出端连接网络安全模块；所述系统文件监控模块用于对ECU系统文件的完整性进行监控，所述进程监控模块用于对ECU系统进程的安全进行监控，所述资源监控模块用于对CPU的资源占有率进行监控，所述网络安全模块用于对ECU系统网络的安全进行监控。

2.如权利要求1所述的车辆ECU的HOST-IDS安全检测系统，其特征在于：所述系统文件监控模块对于监控目录文件操作行为进行监控，如果检测到被破坏，则进行安全日志记录；以及对于文件异常操作的行为进行监控，如果检测到被篡改，则进行安全日志记录。

3.如权利要求1所述的车辆ECU的HOST-IDS安全检测系统，其特征在于：所述进程监控模块监控异常系统进程，如果检测到被破坏，则进行安全日志记录；以及监控系统进程的异常输出事件，如果检测到被篡改，则进行安全日志记录。

4.如权利要求1所述的车辆ECU的HOST-IDS安全检测系统，其特征在于：所述资源监控模块监控HOST-IDS安全组件的CPU占有率是否小于10％，若不小于10％，则被攻击，进行安全日志记录。

5.如权利要求1所述的车辆ECU的HOST-IDS安全检测系统，其特征在于：所述网络安全模块对ECU系统的IP白名单设置、攻击防御设置、会话连接数量设置、网络端口防止扫描设置进行监控。

6.如权利要求1所述的车辆ECU的HOST-IDS安全检测系统，其特征在于：还包括安全日志文件管理模块，安全日志文件管理模块连接网络安全模块，并将安全事件以日志的形式进行记录，安全日志文件管理模块对安全日志进行分类、存储和上传。

7.一种车辆ECU的HOST-IDS安全检测方法，其特征在于，包括以下步骤：

1)HOST-IDS安全组件以SDK的形式或库文件的形式集成至ECU的系统中，ECU的系统运行时，实时向HOST-IDS安全组件反馈ECU的系统运行状态的数据；

2)ECU系统启动后，HOST-IDS安全组件定期查看系统文件的完整性，系统定期反馈所有系统文件编号列表和HOST IDS存储的文件列表做对比，如果不一致，则记录HOST IDS安全日志；

3)如果文件列表一致，则时刻查看系统线程，即时刻监控系统线程编号列表和HOSTIDS存储的线程编号列表做对比，如果不一致，则记录HOST IDS安全日志；

4)如果线程编号列表一致，则时刻查看系统内存和CPU的使用率，当CPU占有率小于10％，则无攻击，如果超出10％，则被攻击，记录HOST IDS安全日志；

5)最后，时刻查看系统网络端口，即时刻通过网络检测方式监控ECU网络端口，防止黑客通过端口扫描或非法IP的方式入侵到ECU系统中。