一种加密流量识别方法、装置、设备及介质

一种加密流量识别方法、装置、设备及介质

　　技术领域

　　本公开涉及车辆通信安全技术领域，尤其涉及一种加密流量识别方法、装置、设备及介质。

　　背景技术

　　随着车联网的发展，车辆信息安全越来越受到广泛关注。而现阶段，控制器局域网络(Controller Area Network，CAN)总线通信是现车辆内部的主要通信方式，并没有设置强制统一的加密方式，需要厂商自行实现。因此，CAN总线上的数据是否采用了加密手段进行防护是许多主机厂、检测机构关注的安全测试项。

　　目前，对网络流量的加密识别通常采用两种方式，一种是深度报文分析(DeepPacket Inspection，DPI)技术，另一种是提取电子控制单元(Electronic Control Unit，ECU)的固件进行逆向分析，从逆向的代码逻辑中识别是否加密。但是，上述两种方式中，深度报文分析技术主要基于数据格式、特征的匹配，由于车辆加密方式的巨大差异性造成无法有效识别，而固件提取进而逆向分析的方式，存在难度大、耗时长和通用性差的缺陷。

　　发明内容

　　为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种加密流量识别方法、装置、设备及介质。

　　本公开实施例提供了一种加密流量识别方法，所述方法包括：

　　采集车辆总线数据；

　　确定所述车辆总线数据中各数据单位取值为设定值的出现概率；

　　将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位；

　　根据所述目标数据单位的数量与设定数量阈值的比对结果，对所述车辆总线数据进行加密识别。

　　本公开实施例还提供了一种加密流量识别装置，所述装置包括：

　　数据采集模块，用于采集车辆总线数据；

　　概率确定模块，用于确定所述车辆总线数据中各数据单位取值为设定值的出现概率；

　　概率匹配模块，用于将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位；

　　加密识别模块，用于根据所述目标数据单位的数量与设定数量阈值的比对结果，对所述车辆总线数据进行加密识别。

　　本公开实施例还提供了一种电子设备，所述电子设备包括：处理器；用于存储所述处理器可执行指令的存储器；所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现如本公开实施例提供的加密流量识别方法。

　　本公开实施例还提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行如本公开实施例提供的加密流量识别方法。

　　本公开实施例提供的技术方案与现有技术相比具有如下优点：本公开实施例提供的加密流量识别方案，采集车辆总线数据，确定车辆总线数据中各数据单位取值为设定值的出现概率，将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位，根据目标数据单位的数量与设定数量阈值的比对结果，对车辆总线数据进行加密识别。采用上述技术方案，可以在无需了解报文协议格式的情况下，准确分析车内总线数据流量的加密情况，降低了实施难度，提高了车辆网络数据加密识别的识别效率和通用性。

　　附图说明

　　此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

　　为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

　　图1为本公开实施例提供的一种加密流量识别方法的流程示意图；

　　图2为本公开实施例提供的另一种加密流量识别方法的流程示意图；

　　图3为本公开实施例提供的一种加密流量识别的示意图；

　　图4为本公开实施例提供的一种加密流量识别装置的结构示意图；

　　图5为本公开实施例提供的一种电子设备的结构示意图。

　　具体实施方式

　　为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。

　　在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。

　　传统的针对网络流量的检测方法通常采用深度报文分析技术，该深度报文分析技术主要基于数据格式、特征的匹配，因此对于私有协议、加密流量的识别仍然无法解决。并且汽车行业中，车内CAN总线上的报文协议格式属于完全私有化的范畴，每家车企、每款车型都有很大的差异性，因此深度报文分析技术无法用来分析车内CAN总线数据流量。而提取电子控制单元的固件进行逆向，从逆向的代码逻辑中寻找采用的加密方式，逆向实施难度大、耗时长以及通用性差，单个电子控制单元的逆向只能分析出当前电子控制单元发送的报文是否采取加密措施，并不能分析出总线上所有的报文的加密情况，因此提取电子控制单元的固件进行逆向分析，工作量巨大。基于上述缺陷，本公开实施例中提供了一种加密流量识别方法。

　　图1为本公开实施例提供的一种加密流量识别方法的流程示意图，该方法可以由加密流量识别装置执行，其中该装置可以采用软件和/或硬件实现，一般可集成在电子设备中。如图1所示，该方法包括：

　　步骤101、采集车辆总线数据。

　　其中，车辆总线数据是指车辆CAN总线上的网络通信数据，可以包括多个CAN报文数据。

　　具体的，采集车辆总线数据，可以包括：基于数据帧标识分类采集车辆总线数据。数据帧标识即为数据帧ID，实时监测车辆CAN总线中的数据帧，可以数据帧标识区分不同类型的CAN报文数据，基于每个数据帧标识可以采集多个对应的CAN报文数据，进而检测不同类型的CAN报文数据的数据加密情况。

　　步骤102、确定车辆总线数据中各数据单位取值为设定值的出现概率。

　　本公开实施例中，每个CAN报文数据的数据域长度小于或等于8 字节(Byte)，一个字节等于8比特(bit)，通过单个比特或多个比特的组合来表示车辆内的各种信号值。比特又称位，是信息量的最小单位，数据单位即为比特，比特取值为0或1，设定值可以设置为1，也可以设置为0。

　　通常情况下，同一类型的CAN报文数据的数据域取值变化范围不会太大，而通过加密算法处理的数据变化范围将会变大，足够优秀的加密方案，加密出来的结果接近于随机数。因此，本公开实施例中基于每个比特取值为1的出现概率来进行加密识别。

　　具体的，确定车辆总线数据中各数据单位取值为设定值的出现概率，可以包括：采用概率公式确定车辆总线数据中各数据单位取值为设定值的出现概率，概率公式为qi＝di/N(i＝1,2,3,…,M)，其中，N表示车辆总线数据中CAN报文数据的数量，qi表示第i个数据单位取值为a的出现概率，a表示设定值，M表示每个CAN报文数据中包括的数据单位的数量，di表示第i个数据单位取值为a的数量。当每个CAN 报文数据为8字节，则M＝64。基于上述概率公式计算出车辆总线数据中每个比特取值为1的出现概率，即q1,q2,q3...qM。

　　步骤103、将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位。

　　其中，概率范围为预先确定的数据单位取值为设定值的最小概率和最大概率之间的阈值范围，在概率范围内表示满足随机数要求。不同数据单位对应的概率范围可以不同。目标数据单位是指与概率范围匹配成功的数据单位，即取值满足随机数要求的数据单位。

　　具体的，将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位，可以包括：将出现概率与对应的概率范围匹配成功的数据单位确定为目标数据单位，其中，不同数据单位对应的概率范围不同。依次将每个数据单位的出现概率与对应的概率范围进行匹配，如果一个数据单位取值为设定值的出现概率在该数据单位的概率范围内，则匹配成功，该数据单位为目标数据单位；否则，匹配失败。

　　步骤104、根据目标数据单位的数量与设定数量阈值的比对结果，对车辆总线数据进行加密识别。

　　其中，设定数量阈值可以为预先根据实际测试结果确定的满足随机数要求的数据单位的数量阈值，用于进行加密识别。

　　具体的，根据目标数据单位的数量与设定数量阈值的比对结果，对车辆总线数据进行加密识别，可以包括：如果目标数据单位的数量大于或等于设定数量阈值，则确定车辆总线数据经过加密；否则，确定车辆总线数据未经过加密。确定目标数据单位之后，可以统计目标数据单位的数量，并与设定数量阈值进行比对，实现加密识别。

　　本公开实施例提供的加密流量识别方案，采集车辆总线数据，确定车辆总线数据中各数据单位取值为设定值的出现概率，将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位，根据目标数据单位的数量与设定数量阈值的比对结果，对车辆总线数据进行加密识别。采用上述技术方案，可以在无需了解报文协议格式的情况下，准确分析车内总线数据流量的加密情况，降低了实施难度，提高了车辆网络数据加密识别的识别效率和通用性。

　　在一些实施例中，上述加密流量识别方法还可以包括：基于样本随机数据中各数据单位取值为设定值的样本概率，确定各数据单位取值为设定值的平均概率和平均方差，并基于平均概率和平均方差确定各数据单位对应的概率范围。

　　其中，样本随机数据为计算机产生的伪随机数，用于仿真加密的数据流量。假设样本随机数据可以包括K个CAN报文数据，K的取值尽量大，设定值为1，每个CAN报文数据为8字节，具体数据格式可以为：报文1为b1b2b3b4b5b6b7b8b9......b64；报文2为b1b2b3b4b5b6b7b8b9......b64；报文3为b1b2b3b4b5b6b7b8b9......b64；报文 4为b1b2b3b4b5b6b7b8b9......b64；报文5为b1b2b3b4b5b6b7b8 b9......b64；......报文K为b1b2b3b4b5b6b7b8b9......b64。

　　计算上述样本随机数据中每个比特取值为1的概率，以第一比特为例，计算K个CAN报文数据中第一比特取值为1的概率记作p1，依次计算出每个比特取值为1的概率，即为p1,p2,p3...p64。样本随机数据可以为L组，L的取值越大越好，重复上述计算每个比特取值为1的概率的步骤。之后，计算出每个比特取值为1的平均概率P1,P2,P3... P64和平均方差α1,α2,α3...α64。将每个比特对应的概率范围设置为该比特的平均概率的X倍置信区间，即概率范围分别为Φ1＝[P1-Xα1,P1 +Xα1],Φ2＝[P2-Xα2,P2+Xα2],Φ3＝[P3-Xα3,P3+Xα3]...Φ64＝[P64-Xα6 4,P64+Xα64]。上述X可以根据实际情况进行设定，例如X可以设置为10。

　　这样设置的好处在于，基于加密的数据流量与随机数的相似性，可以采用伪随机数作为样本确定每个数据单位取值为设定值的概率范围，用于进行后续的加密识别，提高了识别效率。

　　图2为本公开实施例提供的另一种加密流量识别方法的流程示意图，本实施例在上述实施例的基础上，进一步优化了上述加密流量识别方法。如图2所示，该方法包括：

　　步骤201、基于样本随机数据确定各数据单位对应的概率范围。

　　具体的，基于样本随机数据中各数据单位取值为设定值的样本概率，确定各数据单位取值为设定值的平均概率和平均方差，并基于平均概率和平均方差确定各数据单位对应的概率范围。

　　步骤202、采集车辆总线数据。

　　步骤203、确定车辆总线数据中各数据单位取值为设定值的出现概率。

　　步骤204、将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位。

　　步骤205、判断目标数据单位的数量是否大于或等于设定数量阈值，若是，则执行步骤206；否则执行步骤207。

　　步骤206、确定车辆总线数据经过加密。

　　步骤207、确定车辆总线数据未经过加密。

　　示例性的，图3为本公开实施例提供的一种加密流量识别的示意图，假设车辆总线数据中各数据单位取值为设定值的出现概率为qi， i＝1,2,3,…,64，则出现概率分别为q1,q2,q3...q64，各数据单位取值为设定值的概率范围为Φi，目标数据单位的数量为n，设定数量阈值为Y。从计算得到的64个比特的出现概率中第一个开始，依次比较每个比特的qi是否在对应的概率范围Φi内，若在，则计数器n加1，然后判断计数器n是否超过设定数量阈值Y，若是，则确定该数据流量为加密流量，否则该数据流量为未加密流量。

　　参见图3，具体过程可以为：开始，采集数据，并计算qi。判断i 是否小于64，若是，则将i+1，判断是否满足qi∈Φi，若满足，则将n+1。如果不满足qi∈Φi，则返回继续判断i是否小于64。当i等于 64时，则表示每个数据单元的出现概率qi均与对应的概率范围Φi完成匹配，判断n是否大于或等于Y，若是，则该数据流量为加密流量，否则，该数据流量为未加密流量。

　　本方案中，通过采集大量同一类型的CAN报文数据，计算出数据域中每个比特取值为1的出现概率，并将计算的出现概率与事先通过样本随机数据计算的平均概率比较，当计算的出现概率出现在平均概率的置信区间内，则认为该数据流量是加密的，否则该数据流量未加密。

　　本公开实施例提供了一种针对车内CAN网络上私有报文格式的加密流量检测方法，实现了在无需了解报文协议格式的情况下，准确分析车内总线数据流量的加密情况，具有较高的识别效率和准确率。相比于传统的深度报文分析技术，该方法无需了解协议本身细节，对于任何私有协议均可进行分析；相比于固件逆向，该方法通用性强，实施难度低。

　　本公开实施例提供的加密流量识别方案，基于样本随机数据确定各数据单位对应的概率范围，采集车辆总线数据，确定车辆总线数据中各数据单位取值为设定值的出现概率，将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位，根据目标数据单位的数量与设定数量阈值的比对结果，对车辆总线数据进行加密识别。采用上述技术方案，可以在无需了解报文协议格式的情况下，准确分析车内总线数据流量的加密情况，降低了实施难度，提高了车辆网络数据加密识别的识别效率和通用性。

　　图4为本公开实施例提供的一种加密流量识别装置的结构示意图，该装置可由软件和/或硬件实现，一般可集成在电子设备中，可通过执行加密流量识别方法来实现车辆网络数据的加密识别。如图4所示，该装置包括：

　　数据采集模块301，用于采集车辆总线数据；

　　概率确定模块302，用于确定所述车辆总线数据中各数据单位取值为设定值的出现概率；

　　概率匹配模块303，用于将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位；

　　加密识别模块304，用于根据所述目标数据单位的数量与设定数量阈值的比对结果，对所述车辆总线数据进行加密识别。

　　本公开实施例提供的加密流量识别方案，采集车辆总线数据，确定车辆总线数据中各数据单位取值为设定值的出现概率，将各数据单位的出现概率与对应的概率范围进行匹配，确定目标数据单位，根据目标数据单位的数量与设定数量阈值的比对结果，对车辆总线数据进行加密识别。采用上述技术方案，可以在无需了解报文协议格式的情况下，准确分析车内总线数据流量的加密情况，降低了实施难度，提高了车辆网络数据加密识别的识别效率和通用性。

　　可选的，所述数据采集模块301具体用于：

　　基于数据帧标识分类采集所述车辆总线数据。

　　可选的，所述概率确定模块302具体用于：

　　采用概率公式确定所述车辆总线数据中各数据单位取值为设定值的出现概率，所述概率公式为qi＝di/N(i＝1,2,3,…,M)，其中，N表示所述车辆总线数据中CAN报文数据的数量，qi表示第i个数据单位取值为a的出现概率，a表示设定值，M表示每个CAN报文数据中包括的数据单位的数量，di表示第i个数据单位取值为a的数量。

　　可选的，所述数据单位为比特，所述设定值为1。

　　可选的，所述概率匹配模块303具体用于：

　　将出现概率与对应的概率范围匹配成功的数据单位确定为目标数据单位，其中，不同数据单位对应的概率范围不同。

　　可选的，所述加密识别模块304具体用于：

　　如果所述目标数据单位的数量大于或等于设定数量阈值，则确定所述车辆总线数据经过加密；否则，确定所述车辆总线数据未经过加密。

　　可选的，所述装置还包括概率单位确定模块，具体用于：

　　基于样本随机数据中各数据单位取值为设定值的样本概率，确定各数据单位取值为设定值的平均概率和平均方差，并基于所述平均概率和所述平均方差确定各数据单位对应的概率范围。

　　本公开实施例所提供的加密流量识别装置可执行本发明任意实施例所提供的加密流量识别方法，具备执行方法相应的功能模块和有益效果。

　　图5为本公开实施例提供的一种电子设备的结构示意图。如图5 所示，电子设备400包括一个或多个处理器401和存储器402。

　　处理器401可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备 400中的其他组件以执行期望的功能。

　　存储器402可以包括一个或多个计算机程序产品，所述计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器401可以运行所述程序指令，以实现上文所述的本公开的实施例的加密流量识别方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。

　　在一个示例中，电子设备400还可以包括：输入装置403和输出装置404，这些组件通过总线系统和/或其他形式的连接机构(未示出) 互连。

　　此外，该输入装置403还可以包括例如键盘、鼠标等等。

　　该输出装置404可以向外部输出各种信息，包括确定出的距离信息、方向信息等。该输出装置404可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。

　　当然，为了简化，图5中仅示出了该电子设备400中与本公开有关的组件中的一些，省略了诸如总线、输入/输出接口等等的组件。除此之外，根据具体应用情况，电子设备400还可以包括任何其他适当的组件。

　　除了上述方法和设备以外，本公开的实施例还可以是计算机程序产品，其包括计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的加密流量识别方法。

　　所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码，所述程序设计语言包括面向对象的程序设计语言，诸如Java、C++等，还包括常规的过程式程序设计语言，诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。

　　此外，本公开的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的加密流量识别方法。

　　所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

　　需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

　　以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。