随着物联网技术与汽车产业的加速融合,现代车辆的智能化和网联化程度不断加深。为了向用户提供更舒适的行车体验,汽车电子控制单元(Electronic Control Unit,ECU)的数目逐年提升,与外界的通信信接口如3G/4G、蓝牙等愈加丰富,车辆不再是一个孤立封闭的机械产品,而是一个具有复杂车载网络的开放系统。车辆的开放性和电子化导致网络安全问题日益突出,黑客一旦通过外部接口进入车载网络即可实施攻击,轻则隐私泄露,重则车毁人亡。控制器局域网络(Controller Area Network,CAN)总线作为应用最广泛的车辆总线之一,是黑客重点攻击对象。近年来,攻击者接连通过蓝牙、车载诊断系统(On-Board Diagnostics，OBD)等接口渗入到CAN总线内部实施恶意攻击,严重危害行车安全。因此,研究CAN总线的安全防护方案对保障汽车网络安全有十分重要的意义。现有的安全防护方案中,最具有可行性的就是入侵检测技术。但现有的入侵检测系统可检测的攻击类型有限,且提供的攻击细节较少。针对CAN总线面临的安全问题和现有入侵检测技术的不足,本文提出了一种能够适用于大多数典型攻击场景,并能够确定攻击类型和攻击帧的入侵检测系统。本文在深入分析CAN总线通信特点和安全问题的基础上,总结了 CAN总线的典型攻击场景和安全脆弱性。为了进一步研究正常帧和入侵帧,采用实车硬件搭建CAN总线平台,读取真实数据并实施典型攻击。在此基础上,根据攻击对CAN总线影响的大小,本文将典型攻击分成高量级攻击和低量级攻击,提出了 CAN总线入侵检测系统的框架。基于提出的检测框架,本文分别提出两种入侵检测算法。针对高量级攻击提出了基于熵的ID域入侵检测算法,通过计算CAN总线的总线熵和相对熵识别入侵。理论分析和仿真表明,该算法对洪泛攻击,隔离攻击和重放攻击具有良好的检测效果。针对低量级攻击提出了基于C4.5决策树的数据域入侵检测算法,根据CAN总线帧的数据域特点构建决策树和关联位检测模型,仿真表明该算法对欺骗攻击的攻击帧的检测成功率可达96.7%。本文提出的入侵检测系统,将两种检测算法结合使用,可检测多种类型的CAN总线攻击,极大地提高了检测范围和成功率。