技术特征:
1.一种车载网络入侵检测方法,其特征在于,包括:获取可信流量规则表;所述可信流量规则表包括:连接五元组、连接方向、流量触发时间段、连接发生频率、流量关联应用信誉度、以及流量可信度;根据所述可信流量规则表,获取待检测流量的流量可信度;确定网络入侵检测引擎的负载状态;所述网络入侵检测引擎的负载状态包括:低负载状态、中负载状态、高负载状态、以及异常状态;将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较,确定所述待检测流量是否需要过滤;若所述待检测流量不需要过滤,则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。2.根据权利要求1所述的方法,其特征在于,所述获取可信流量规则表,包括:获取待检测流量的报文信息、流量触发时间段、连接发生频率、以及流量关联应用信誉度;所述待检测流量的报文信息包括连接五元组和连接方向;根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度,确定所述待检测流量的流量可信度;根据所述待检测流量的报文信息、所述流量触发时间段、所述连接发生频率、所述流量关联应用信誉度、以及所述待检测流量的流量可信度,获取可信流量规则表。3.根据权利要求2所述的方法,其特征在于,所述根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度,确定所述待检测流量的流量可信度,包括:根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度的乘积,获取所述待检测流量的流量可信度。4.根据权利要求1所述的方法,其特征在于,所述确定网络入侵检测引擎的负载状态,包括:根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值,确定所述网络入侵检测引擎的负载状态。5.根据权利要求4所述的方法,其特征在于,所述根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值,确定所述网络入侵检测引擎的负载状态,包括:当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值小于等于第一预设值时,确定所述网络入侵检测引擎的负载状态为低负载状态;当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第一预设值,且小于等于第二预设值时,确定所述网络入侵检测引擎的负载状态为中负载状态;当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第二预设值,且小于等于第三预设值时,确定所述网络入侵检测引擎的负载状态为高负载状态;当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第三预设值,且小于等于第四预设值时,确定所述网络入侵检测引擎的负载状态为异常状态。6.根据权利要求1所述的方法,其特征在于,在将所述流量可信度、所述网络入侵检测
引擎的负载状态与预设流量过滤规则进行比较,确定所述待检测流量是否需要过滤之前,所述方法还包括:根据所述流量可信度和所述网络入侵检测引擎的负载状态,设置流量过滤规则。7.根据权利要求6所述的方法,其特征在于,根据所述流量可信度和所述网络入侵检测引擎的负载状态,设置流量过滤规则,包括:根据所述流量可信度将所述待检测流量划分为高可信度流量、中可信度流量、以及低可信度流量中的任意一个;当所述网络入侵检测引擎的负载状态为低负载状态时,则无需过滤流量;当所述网络入侵检测引擎的负载状态为中负载状态时,则过滤掉所述高可信度流量;当所述网络入侵检测引擎的负载状态为高负载状态时,则过滤掉所述高可信度流量和所述中可信度流量;当所述网络入侵检测引擎的负载状态为异常状态时,则过滤掉所述高可信度流量、所述中可信度流量、以及所述低可信度流量。8.一种车载网络入侵检测装置,其特征在于,包括:规则表获取模块,用于获取可信流量规则表;所述可信流量规则表包括:连接五元组、连接方向、流量触发时间段、连接发生频率、流量关联应用信誉度、以及流量可信度;可信度获取模块,用于根据所述可信流量规则表,获取待检测流量的流量可信度;状态确定模块,用于确定网络入侵检测引擎的负载状态;所述网络入侵检测引擎的负载状态包括:低负载状态、中负载状态、高负载状态、以及异常状态;流量过滤模块,用于将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较,确定所述待检测流量是否需要过滤;入侵检测模块,用于若所述待检测流量不需要过滤,则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。9.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的车载网络入侵检测方法。10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7中任一项所述的车载网络入侵检测方法。
技术总结
本公开提供了一种车载网络入侵检测方法、装置、电子设备及存储介质,涉及汽车信息安全领域。该方法包括:获取可信流量规则表;根据所述可信流量规则表,获取待检测流量的流量可信度;确定网络入侵检测引擎的负载状态;所述网络入侵检测引擎的负载状态包括:低负载状态、中负载状态、高负载状态、以及异常状态;将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较,确定所述待检测流量是否需要过滤;若所述待检测流量不需要过滤,则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。采用本方法能够有效减轻网络入侵检测系统的负担。络入侵检测系统的负担。络入侵检测系统的负担。
技术研发人员:纪建芳
受保护的技术使用者:北京天融信科技有限公司 北京天融信软件有限公司
技术研发日:2022.11.21
技术公布日:2023/3/28