本发明涉及汽车网络
技术领域:
:,尤其涉及一种汽车以太网流量监控方法、终端设备及存储介质。
背景技术:
::汽车联网已经是一种大趋势,从而把汽车从一个封闭的系统推向一个互联开放的系统。但是联网之后汽车存在的巨大安全威胁一直是车厂谨慎入网,持观望态度的一个原因。汽车以太网相关的威胁防御不像传统互联网上对威胁防御那样成熟,引起的关注度和使用的相关防御技术手段都在探索中。当然传统以太网防御技术手段也可以借鉴到汽车以太网上,但是由于应用场景和环境的不一样,需要进行重新调整和设计。一般传统以太网流量监控因为有强大的硬件支持,对数据流量的监控过滤规则策略设计比较随意,在汽车以太网上由于硬件资源的限制需要更精细的控制和管理。技术实现要素:针对上述问题,本发明旨在提供一种汽车以太网流量监控方法、终端设备及存储介质,针对汽车上硬件的处理能力有限,对汽车网关/防火墙上的流量监控方式进行了重新设计使其更适合在汽车上使用,从而有效的对潜在的以太网安全威胁流量进行监测和控制的使汽车入网更安全。具体方案如下:一种汽车以太网流量监控方法,包括以下步骤:s100:根据网络流量的特性划分为多条主链,设定每条主链上均包括多条二级链,每条二级链均为能够识别流量特性的,相互独立的链;s200:当接收到网络流量时,根据网络流量的特性,将其划分至一条主链上;s300:根据主链上的二级链按顺序进行特征匹配,以删选出符合主链上与该网络流量的特性相一致的二级链的匹配条件的网络流量进行接收。进一步的,设定汽车网络流量分为本地流量、外部流程和转发流量三种,分别针对三种流量的流入和流出设定六条主链,分别为:第一主链:从本地局域网流入到汽车网关/防火墙,并以汽车网关/防火墙作为最终目标设备;第二主链:汽车网关/防火墙作为源发出的,并以本地局域网内的设备作为最终目标设备;第三主链:从互联网流入到汽车网关/防火墙,并以汽车网关/防火墙作为最终目标设备;第四主链:汽车网关/防火墙作为源发出的,并以互联网上的设备作为最终目标设备;第五主链:从互联网流入到汽车网关/防火墙,并转发到其所防护的局域网内的最终目标设备上;第六主链:汽车网关/防火墙所防护的局域网内的设备做为源发出的,并通过汽车网关/防火墙转发到互联网上的最终目标设备上。进一步的,步骤s100中所述二级链的设置过程为:所有二级链均存储在一个特征链池内,每个主链根据需求从该特征链池内提取需要的特征链,并挂接到主链上作为二级链。进一步的,步骤s300中每条二级链的特征匹配的规则为:判断网络流量是否满足该二级链的入链条件,如果满足,则进入该二级链,对该二级链上的规则集进行逐条匹配,如果满足匹配条件,则返回主链,如果不满足匹配条件,则将该网络流量丢弃;如果不满足入链要求,则跳到下一条二级链进行特征匹配,直到主链上的所有二级链匹配完毕。一种汽车以太网流量监控终端设备,包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。本发明采用如上技术方案,针对汽车上硬件的处理能力有限,对汽车网关/防火墙上的流量监控方式进行了重新设计使其更适合在汽车上使用,从而有效的对潜在的以太网安全威胁流量进行监测和控制的使汽车入网更安全。附图说明图1所示为本发明实施例一的结构示意图。图2所示为本发明实施例一的二级链设置过程示意图。图3所示为本发明实施例一的流程示意图。具体实施方式为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。现结合附图和具体实施方式对本发明进一步说明。实施例一:本发明实施例一提供了一种汽车以太网流量监控方法,使用linux内核的netfilter和应用层的iptables基础技术,来设计相应的机制以对汽车以太网网关/防火墙的网络流量进行全面的监控,包括以下步骤:s100:根据网络流量的特性划分为多条主链,如图1所示,该实施例中具体为:设定汽车网络流量分为本地流量、外部流程和转发流量三种,分别针对三种流量的流入和流出设定六条主链,分别为:第一主链localin(本地流入):从本地局域网流入到汽车网关/防火墙,并以汽车网关/防火墙作为最终目标设备;第二主链localout(本地流出):汽车网关/防火墙作为源发出的,并以本地局域网内的设备作为最终目标设备;第三主链externalin(外部流入):从互联网流入到汽车网关/防火墙,并以汽车网关/防火墙作为最终目标设备;第四主链externalout(外部流出):汽车网关/防火墙作为源发出的,并以互联网上的设备作为最终目标设备;第五主链forwardin(转发流入):从互联网流入到汽车网关/防火墙,并转发到其所防护的局域网内的最终目标设备上;第六主链forwardout(转发流出):汽车网关/防火墙所防护的局域网内的设备作为源发出的,并通过汽车网关/防火墙转发到互联网上的最终目标设备上。设定每条主链上均包括多条二级链,每条二级链均为能够识别流量特性的,相互独立的链,所有二级链均存放在特征链池中。s200:当接收到网络流量时,根据网络流量的特性,将其划分至一条主链上。s300:根据主链上的二级链按顺序进行特征匹配,以删选出符合主链上与该网络流量的特性相一致的二级链的匹配条件的网络流量。在基于主链对网络流量进行初步的分流之后,这些分流之后的流量会被送往挂接在主链上的二级链进行进一步的监控,如图3所示,流量按顺序通过二级链进行特征匹配,比如流量会快速匹配是否满足二级链1的入链条件,如果不满足,则直接跳到下一条二级链去快速匹配直到主链上的所有二级链匹配完毕;如果满足某条二级链的入链要求,则进入到该二级链,对链上的规则集进行逐条匹配,如果满足匹配条件,则返回主链,进入下一条二级链进行特征匹配,直到主链上的所有二级链匹配完毕,如果不满足匹配条件,则将该网络流量丢弃。如果流量经过所有的二级链的过滤之后依然无法被匹配到,就会跳到预设的默认处理策略如接受或丢弃。主链上的所有二级链均来自一个特征链池,如图2所示,这个特征链池里面包含一些能够识别流量特征的链,这些链相互独立,各个主链根据需要可以从这个特征链池里面提取需要的特征链,并挂接到自己的链上作为二级链。同时主链也可以动态的删除不需要的二级链,或者调整某个二级链在主链中的挂接位置。所述入链条件为区分流量特征的条件,进行初步的删选,如针对tcp和udp两条二级链的入链条件不同,当网络流量为tcp时,只能进入符合tcp入链条件的二级链,而不能进入符合udp入链条件的二级链。目前特征链池支持的特征链如表1所示。这些特征链使用iptables自定义的链来管理,并通过把能够识别某种流量特征的规则放入到该自定义的链,如果流量流经该链并被特征链中的规则集匹配上则进行相应的操作,否则的话按该特征链默认的策略进行处理或者只是简单的从该特征链返回。表1特征链名称监控流量1ip_mac_bind_chainip/mac地址绑定监测2net_scan_protect_chain网络扫描监测3connection_tracking_chain状态跟踪检查4packets_inspect_chain包内容检查5concurent_limit_chain并发连接数限制6src_ip_check_chain源ip欺骗监测7dns_server_query_chaindns服务请求监测8dns_server_response_chaindns服务响应监测9udp_service_request_chainudp服务请求监测10udp_service_response_chainudp服务响应监测11tcp_service_request_chaintcp服务请求监测12tcp_service_response_chaintcp服务响应监测下面对二级链进行举例说明:比如ip_mac_bind_chain二级链用来检测ip是否绑定到特定的mac,如果数据包的ip和mac信息不是按二级链中预设的白名单列表中那样去绑定的话数据包就会被丢弃,如果在白名单之列则从该二级链返回主链。其他特征链检测和处理的过程类似,这里不在细说。在实际使用中6条主链可以根据需要去挂接自己需要的特征链来对分流进来的流量进行精细监控。比如localin主链根据需要从特征池中挂接了ip_mac_bind_chain,connection_tracking_chain,concurent_limit_chain,packets_inspect_chain等特征链,从而按特征链挂接顺序对流入的流量进行监控,比如这边的对汽车内部局域网的ip和mac合法性进行监控,对流量进行状态监控,对流量最大并发数进行限制,对流量的包内容进行检查等,当然流量在进入某条特征链的过程中如果不满足匹配条件,则就会进行处理(比如直接丢弃),并不会继续往下监控。实施例二:本发明还提供一种汽车以太网流量监控终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。进一步地,作为一个可执行方案,所述汽车以太网流量监控终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述汽车以太网流量监控终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述汽车以太网流量监控终端设备的组成结构仅仅是汽车以太网流量监控终端设备的示例,并不构成对汽车以太网流量监控终端设备的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述汽车以太网流量监控终端设备还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(centralprocessingunit,cpu),还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现成可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述汽车以太网流量监控终端设备的控制中心,利用各种接口和线路连接整个汽车以太网流量监控终端设备的各个部分。所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述汽车以太网流量监控终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。所述汽车以太网流量监控终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom,rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)以及软件分发介质等。尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。当前第1页1 2 3 当前第1页1 2 3
技术特征:1.一种汽车以太网流量监控方法,其特征在于:包括以下步骤:
s100:根据网络流量的特性划分为多条主链,设定每条主链上均包括多条二级链,每条二级链均为能够识别流量特性的,相互独立的链;
s200:当接收到网络流量时,根据网络流量的特性,将其划分至一条主链上;
s300:根据主链上的二级链按顺序进行特征匹配,以删选出符合主链上与该网络流量的特性相一致的二级链的匹配条件的网络流量进行接收。
2.根据权利要求1所述的汽车以太网流量监控方法,其特征在于:设定汽车网络流量分为本地流量、外部流程和转发流量三种,分别针对三种流量的流入和流出设定六条主链,分别为:
第一主链:从本地局域网流入到汽车网关/防火墙,并以汽车网关/防火墙作为最终目标设备;
第二主链:汽车网关/防火墙作为源发出的,并以本地局域网内的设备作为最终目标设备;
第三主链:从互联网流入到汽车网关/防火墙,并以汽车网关/防火墙作为最终目标设备;
第四主链:汽车网关/防火墙作为源发出的,并以互联网上的设备作为最终目标设备;
第五主链:从互联网流入到汽车网关/防火墙,并转发到其所防护的局域网内的最终目标设备上;
第六主链:汽车网关/防火墙所防护的局域网内的设备做为源发出的,并通过汽车网关/防火墙转发到互联网上的最终目标设备上。
3.根据权利要求1所述的以太网流量监控方法,其特征在于:步骤s100中所述二级链的设置过程为:所有二级链均存储在一个特征链池内,每个主链根据需求从该特征链池内提取需要的特征链,并挂接到主链上作为二级链。
4.根据权利要求1所述的汽车以太网流量监控方法,其特征在于:步骤s300中每条二级链的特征匹配的规则为:判断网络流量是否满足该二级链的入链条件,如果满足,则进入该二级链,对该二级链上的规则集进行逐条匹配,如果满足匹配条件,则返回主链,如果不满足匹配条件,则将该网络流量丢弃;如果不满足入链要求,则跳到下一条二级链进行特征匹配,直到主链上的所有二级链匹配完毕。
5.一种汽车以太网流量监控终端设备,其特征在于:包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~4所述方法的步骤。
6.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1~4所述方法的步骤。
技术总结本发明涉及一种汽车以太网流量监控方法、终端设备及存储介质,在该方法中,包括以下步骤:S100:根据网络流量的特性划分为多条主链,设定每条主链上均包括多条二级链,每条二级链均为能够识别流量特性的,相互独立的链;S200:当接收到网络流量时,根据网络流量的特性,将其划分至一条主链上;S300:根据主链上的二级链按顺序进行特征匹配,以删选出符合主链上与该网络流量的特性相一致的二级链的匹配条件的网络流量进行接收。本发明针对汽车上硬件的处理能力有限,对汽车网关/防火墙上的流量监控方式进行了重新设计使其更适合在汽车上使用,从而有效的对潜在的以太网安全威胁流量进行监测和控制的使汽车入网更安全。
技术研发人员:赵国开;王敏效;邓超;黄运峰;陈茹涛;韦昌荣
受保护的技术使用者:厦门雅迅网络股份有限公司
技术研发日:2018.11.29
技术公布日:2020.06.05
