CN109547401B - 网络安全漏洞优先化和修复 - Google Patents

网络安全漏洞优先化和修复 Download PDF

Info

Publication number
CN109547401B
CN109547401B CN201811080572.XA CN201811080572A CN109547401B CN 109547401 B CN109547401 B CN 109547401B CN 201811080572 A CN201811080572 A CN 201811080572A CN 109547401 B CN109547401 B CN 109547401B
Authority
CN
China
Prior art keywords
network security
metric
malicious
final
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811080572.XA
Other languages
English (en)
Other versions
CN109547401A (zh
Inventor
K·M·巴尔特斯
K·B·勒伯夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of CN109547401A publication Critical patent/CN109547401A/zh
Application granted granted Critical
Publication of CN109547401B publication Critical patent/CN109547401B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • H04L41/5022Ensuring fulfilment of SLA by giving priorities, e.g. assigning classes of service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种评估一个或多个网络安全漏洞以对一个或多个网络安全漏洞中的每一个建立优先级度量的系统和方法,该方法包括:对一个或多个网络安全漏洞中的每一个构建网络安全攻击模式;对一个或多个网络安全漏洞中的每一个的多个恶意动作中的每一个确定一个或多个资源度量;对一个或多个网络安全漏洞中的每一个基于评估一个或多个资源度量中的每一个而获取一个或多个最终资源度量;对一个或多个网络安全漏洞中的每一个获取影响度量,该影响度量指示可能由网络安全漏洞引起的损害程度;以及对一个或多个网络安全漏洞中的每一个基于影响度量和一个或多个最终资源度量来计算网络安全优先级。

Description

网络安全漏洞优先化和修复
技术领域
本发明涉及优先化网络安全漏洞并且根据它们相应的优先级来解决网络安全漏洞。
背景技术
随着庞大的计算机群体不断增长,恶意动作者暴露并掠夺各种计算网络(诸如车辆中使用的那些网络)中存在的各种网络安全漏洞。一些这样的网络安全漏洞可能比其它这样的网络安全漏洞更加危险并造成更大的损害风险。
发明内容
根据本发明的第一方面,提供了一种评估一个或多个网络安全漏洞以对一个或多个网络安全漏洞中的每一个建立优先级度量的方法,该方法包括:对一个或多个网络安全漏洞中的每一个构建网络安全攻击模式,其中网络安全攻击模式模拟暴露网络安全漏洞的各种途径,其中网络安全攻击模式包括可以执行的多个恶意动作,并且其中网络安全漏洞的暴露允许对目标对象的潜在恶意损害;对一个或多个网络安全漏洞中的每一个的多个恶意动作中的每一个确定一个或多个资源度量;对一个或多个网络安全漏洞中的每一个基于使用网络安全攻击方案迭代过程评估一个或多个资源度量中的每一个而获取一个或多个最终资源度量;对一个或多个网络安全漏洞中的每一个获取影响度量,该影响度量指示可能由网络安全漏洞引起的损害程度;以及对一个或多个网络安全漏洞中的每一个基于影响度量和一个或多个最终资源度量来计算网络安全优先级。
在一个或多个特定实施例中,该方法可以包括任何技术上可行的组合中的任何一个或多个以下特征:
●纠正一个或多个网络安全漏洞中的至少一个的步骤;
●基于一个或多个网络安全漏洞的网络安全优先级选择要修复的至少一个网络安全漏洞;
●该修复步骤包括获取新的软件模块或新的硬件部件,该获取新的软件模块或新的硬件部件被配置为解决至少一个网络安全漏洞和基于多个相关恶意动作中的至少一个;
●该修复步骤进一步包括将新的软件模块或新的硬件部件安装到目标对象中;
●该修复步骤包括将新的软件模块安装到目标对象中,并且其中该修复步骤进一步包括通过陆地网络和蜂窝载波系统将软件模块上传到目标对象,并且随后执行安装步骤。
●该目标对象是车辆,并且其中车辆被配置为在包括于车辆的车辆电子装置中的远程信息处理单元处接收软件模块,并且其中车辆电子装置进一步包括安装有软件模块的一个或多个车辆系统模块。
●蜂窝载波系统包括多个网络硬件部件,其能够根据一个或多个蜂窝通信协议传输和接收无线电传输;
●该一个或多个资源度量包括:成本度量,其表示执行恶意动作的估计的或确定的成本;位置度量,其与可以执行恶意动作的位置相关联;可扩展性度量,其与可以在没有新资源的情况下对附加系统执行恶意动作的程度相关联;以及技能度量,其与恶意攻击者执行恶意动作所需的技能水平相关联;
●获取最终资源度量步骤包括获取最终成本度量、最终位置度量、最终可扩展性度量以及最终技能度量;
●为每个最终资源度量分配数字值,并且其中该计算步骤进一步包括使用下面的公式中的数字值来获取网络安全漏洞优先级:100×tanh(C×R影响×R成本×R位置×R可扩展性×R技能),其中C表示非零常数值、R影响表示影响度量、R成本表示最终成本度量、R位置表示最终位置度量、R可扩展性表示最终可扩展性度量,而R技能表示最终技能度量;
●其中该影响度量是基于安全影响指示符、数据敏感度影响指示符以及善意影响指示符;和/或
●其中基于以下等式确定该影响度量:(safety影响,data_sensitivity影响,good_will影响)中的最大值,其中R影响表示影响度量、safety影响表示安全影响指示符、data_sensitivity影响表示数据敏感度影响指示符,而good_will影响表示善意影响指示符。
根据本发明的另一个方面,提供了一种评估一个或多个网络安全漏洞以对一个或多个网络安全漏洞中的每一个建立优先级度量的方法,该方法包括:对一个或多个网络安全漏洞中的每一个构建网络安全攻击模式,其中网络安全攻击模式模拟暴露网络安全漏洞的各种途径,其中网络安全攻击模式包括可以执行的多个恶意动作,并且其中网络安全漏洞的暴露允许对目标对象的潜在恶意损害;对一个或多个网络安全漏洞中的每一个基于评估一个或多个资源度量中的每一个而获取一个或多个最终资源度量;对一个或多个网络安全漏洞中的每一个获取影响度量,该影响度量指示可能由网络安全漏洞引起的损害程度;对一个或多个网络安全漏洞中的每一个基于该影响度量和一个或多个最终资源度量来计算网络安全优先级;以及获取新的软件模块或新的硬件部件,该新的软件模块或新的硬件部件被配置为解决至少一个网络安全漏洞并且基于多个相关恶意动作中的至少一个。
附图说明
在下文中将结合附图描述本发明的一个或多个实施例,其中相同的标号表示相同的元件,并且其中:
图1是描绘可以结合本文公开的方法使用的通信系统的实施例的框图;
图2是说明评估一个或多个网络安全漏洞以对一个或多个网络安全漏洞中的每一个建立优先级度量的系统和方法的流程图;
图3是说明可以在本文提供的方法的一个或多个实施例中使用的各种资源度量的框图;
图4是说明评估一个或多个网络安全漏洞以对一个或多个网络安全漏洞中的每一个建立优先级度量的系统和方法的流程图;
图5是说明解析网络安全攻击模式以确定给定网络安全漏洞的最高优先级的方法的流程图;以及
图6是说明网络安全攻击模式的一个实施例的框图。
具体实施方式
下面描述的系统和方法使得能够优先化并修复特定计算机系统下可能存在的网络安全漏洞。本文讨论的本系统和方法可以用于保护一个或多个基于计算机的模块和/或电气系统(即,目标对象或系统)免于被盗、损害或其它恶意活动。目标对象(即,可能已暴露网络安全漏洞的模块或系统)可能具有多个网络安全漏洞,它们可以由恶意动作者经由一个或多个恶意动作来暴露和/或利用。根据至少一些实施例,本文的系统和方法使得能够优先化目标对象的网络安全漏洞,并且可以提供根据它们相应的优先级来修复这种网络安全漏洞的能力。
参考图1,示出了操作环境,该操作环境包括车辆通信系统10并且可以用于实施本文公开的方法的一个或多个实施例的至少一些步骤。通信系统10通常包括车辆12、一个或多个无线载波系统14、陆地通信网络16、计算机18以及呼叫中心20。应当理解的是,所公开的方法可以与任何数量的不同系统一起使用,并且不具体限于这里示出的操作环境。而且,系统10和其单独部件的架构、构造、设置以及操作在本领域中通常是已知的。因此,以下段落仅简要概述了一个这样的通信系统10;然而,这里未示出的其它系统也可以采用所公开的方法。
在所说明的实施例中,车辆12被描绘为乘用车,但是应当明白的是,也可以使用包括摩托车、卡车、运动型多功能车(SUV)、休闲车(RV)、船舶、飞机等的任何其它车辆。一些车辆电子装置28总体上在图1中示出,并且包括远程信息处理单元30、麦克风32、一个或多个按钮或其它控制输入34、音频系统36、可视显示器38以及全球导航卫星系统(GNSS)模块40以及多个车辆系统模块(VSM)42。这些装置中的一些装置可以直接连接到远程信息处理单元,诸如例如麦克风32和按钮34,而其它装置使用诸如通信总线44或娱乐总线46等一个或多个网络连接间接地连接。合适的网络连接的示例包括控制器局域网(CAN)、媒体导向系统传输(MOST)、本地互连网络(LIN)、局域网(LAN)以及其它适当的连接(诸如以太网或符合已知的ISO、SAE和IEEE标准和规范的其它网络),仅举几例。
远程信息处理单元30可以是OEM安装(嵌入式)或售后装置,该售后装置安装在车辆中并且通过无线载波系统14和经由无线联网实现无线语音和/或数据通信。这使得车辆能够与呼叫中心20、其它启用远程信息处理的车辆或某个其它实体或装置进行通信。远程信息处理单元优选地使用无线电传输来与无线载波系统14建立通信信道(语音信道和/或数据信道),使得可以通过该信道发送和接收语音和/或数据传输。通过提供语音和数据通信这两者,远程信息处理单元30使得车辆能够提供许多不同的服务,包括与导航、电话、紧急援助、诊断、信息娱乐等相关的服务。数据可以使用本领域已知的技术经由数据连接(诸如经由通过数据信道的分组数据传输)或经由语音信道来发送。对于涉及语音通信(例如,与呼叫中心20处的实时顾问或语音响应单元进行的语音通信)和数据通信(例如,向呼叫中心20提供GPS位置数据或车辆诊断数据)的组合服务来说,系统可以利用通过语音信道的单个呼叫并且根据需要通过语音信道在语音和数据传输之间加以切换,并且这可以使用本领域技术人员已知的技术完成。
根据一个实施例,远程信息处理单元30利用根据GSM、CDMA或LTE标准的蜂窝通信,并且因此包括用于语音通信(如免提呼叫)的标准的蜂窝芯片集50、用于数据传输的无线调制解调器、电子处理装置52、一个或多个数字存储器装置54以及双天线56。应当明白的是,调制解调器可以通过存储在远程信息处理单元中并且由处理器52执行的软件来实施,或者它可以为位于远程信息处理单元30内部或外部的单独硬件部件。调制解调器可以使用诸如LTE、EVDO、CDMA、GPRS和EDGE等任何数量的不同标准或协议来操作。还可以使用远程信息处理单元30执行车辆与其它联网装置之间的无线联网。为此,远程信息处理单元30可以被配置为根据一个或多个无线协议(包括短程无线通信(SRWC),诸如IEEE 802.11协议、WiMAX、ZigBeeTM、Wi-Fi直连、蓝牙TM(包括低功耗蓝牙TM(BLE))或近场通信(NFC)中的任一种)进行无线通信。当用于诸如TCP/IP等分组交换数据通信时,远程信息处理单元可以被配置有静态IP地址或可以被设置成从网络上的另一个装置(诸如路由器)或从网络地址服务器自动地接收所分配的IP地址。
处理器52可以为能够处理电子指令的任何类型的装置,包括微处理器、微控制器、主机处理器、控制器、车辆通信处理器以及专用集成电路(ASIC)。其可以为仅用于远程信息处理单元30的专用处理器,或者可以与其它车辆系统共享。处理器52执行各种类型的数字存储指令,诸如存储在存储器54中的软件或固件程序,该指令使得远程信息处理单元能够提供多种服务。例如,处理器52可以执行程序或过程数据以执行本文所讨论的方法的至少一部分。
远程信息处理单元30可以用于提供涉及往返于车辆的无线通信的各种各样的车辆服务。这样的服务包括:与基于GNSS的车辆导航模块40结合地提供的逐向导航和其它导航相关的服务;与一个或多个碰撞传感器接口模块(诸如车身控制模块(BCM)(未示出))结合地提供的安全气囊展开通知和其它与紧急援助或路边援助有关的服务;使用一个或多个诊断模块的诊断报告;以及信息娱乐相关服务,其中音乐、网页、电影、电视节目、视频游戏和/或其它信息是由信息娱乐模块(未示出)下载并且存储以供当前或后续回放。上文列举的服务决不是远程信息处理单元30的全部能力的详尽列举,而仅仅是远程信息处理单元能够提供的一些服务的枚举。另外,应当理解的是,至少一些前述提及的模块可以按照保存在远程信息处理单元30内部或外部的软件指令的形式来实施,它们可为位于远程信息处理单元30内部或外部的硬件部件,或者它们可以与彼此或与位于整辆车中的其它系统集成和/或共享,这里仅列举几种可能性。如果模块被实施为位于远程信息处理单元30外部的VSM42,则它们可以利用车辆总线44来与远程信息处理单元交换数据和命令。
发动机控制单元(ECU)48可以控制发动机操作的各个方面,诸如燃料点火和点火正时以及制动。ECU 48连接到通信总线44,并且可以从车身控制模块(BCM)(未示出)或其它车辆系统模块(诸如远程信息处理单元30或VSM 42)接收操作指令。例如,ECU 48可以从BCM接收命令以启动车辆,即,发起车辆点火或其它主要推进系统(例如,电池供电的电动机)。在另一种情况下,ECU 48可以从BCM或远程信息处理单元30接收命令以致动车辆12的一个或多个制动器。
全球导航卫星系统(GNSS)模块40从GNSS卫星群60接收无线电信号。根据这些信号,模块40可以确定用于向车辆驾驶员提供导航和其它位置相关服务的车辆位置。导航信息可以呈现在显示器38(或车辆内的其它显示器)上或者可以用语言呈现,诸如在提供逐向导航时这样做。可以使用专用车内导航模块(其可以为GNSS模块40的一部分)提供导航服务,或者可以经由远程信息处理单元30完成一些或全部导航服务,其中将位置信息发送到远程位置用于给车辆提供导航地图、地图注释(兴趣点、餐馆等)、路线计算等。可以将位置信息供应到呼叫中心20或其它远程计算系统(诸如计算机18)以便用于其它目的,诸如车队管理。而且,可以经由远程信息处理单元30将新的或更新的地图数据从呼叫中心20下载到GNSS模块40。可以使用各种类型的卫星系统,诸如全球定位系统(GPS)。
除音频系统36和GNSS模块40之外,车辆12可以包括呈电子硬件部件形式的其它车辆系统模块(VSM)42,该电子硬件部件位于整辆车中并且通常从一个或多个传感器接收输入并使用所感测的输入来执行诊断、监测、控制、报告和/或其它功能。每个VSM 42均优选地由通信总线44连接到其它VSM以及远程信息处理单元30,并且可以被编程为运行车辆系统和子系统诊断测试。作为示例,一个VSM 42可以为控制诸如燃料点火和火花正时等发动机操作的各个方面的发动机控制模块(ECM),另一个VSM 42可以为调节车辆动力系的一个或多个部件的操作的动力系控制模块,而另一个VSM 42可以为控制位于整辆车中的各种电部件(如车辆的电动门锁和车头灯)的车身控制模块。根据一个实施例,发动机控制模块被配备有车载诊断(OBD)特征,其提供诸如从包括车辆排放传感器等各种传感器接收的数据的多种实时数据,并且提供允许技术人员快速地识别并修复车辆内故障的一系列标准化诊断故障代码(DTC)。如本领域技术人员所明白的是,上述提及的VSM仅仅是可以在车辆12中使用的一些模块的示例,因为许多其它模块也是可能的。
车辆电子装置28还包括多个车辆用户界面,其向车辆乘员提供用于提供和/或接收信息的装置,包括麦克风32、按钮34、音频系统36以及可视显示器38。如本文所使用,术语‘车辆用户界面'广泛地包括任何合适形式的电子装置,其包括硬件和软件部件这两者,该电子装置位于车辆上并且使得车辆用户能够与车辆的部件通信或通过车辆的部件进行通信。麦克风32向远程信息处理单元提供音频输入以使得驾驶员或其它乘员能够经由无线载波系统14提供语音命令并执行免提呼叫。为此,其可以利用本领域中已知的人机界面(HMI)技术连接到车载自动语音处理单元。按钮34允许手动用户输入进入远程信息处理单元30以发起无线电话呼叫并且提供其它数据、响应或控制输入。单独的按钮可以用于发起紧急呼叫与对呼叫中心20进行的常规服务救援呼叫。音频系统36向车辆乘员提供音频输出,并且可以是专用的独立系统或主要车辆音频系统的一部分。根据这里所示的特定实施例,音频系统36操作地联接到车辆总线44和娱乐总线46这两者,并且可以提供AM、FM以及卫星无线电、CD、DVD和其它多媒体功能。该功能可以与上述信息娱乐模块结合或独立提供。可视显示器38优选地是诸如仪表板上的触摸屏或从挡风玻璃反射的平视显示器等图形显示器,并且可以用于提供多种输入和输出功能。也可利用各种其它车辆用户界面,因为图1的界面仅仅是一个特定实施方案的示例。
无线载波系统14优选地是蜂窝电话系统,其包括多个手机信号塔70(仅示出一个)、一个或多个移动交换中心(MSC)72以及将无线载波系统14与陆地网络16连接所需要的任何其它联网部件。每个手机信号塔70都包括发送和接收天线以及基站,其中来自不同手机信号塔的基站直接或经由诸如基站控制器等中间设备连接到MSC 72。蜂窝系统14可以实施任何合适的通信技术,包括(例如)诸如AMPS等模拟技术或诸如CDMA(例如,CDMA2000)或GSM/GPRS等较新数字技术。如本领域技术人员将明白的是,各种手机信号塔/基站/MSC布置是可能的并且可以结合无线系统14使用。例如,基站和手机信号塔可以共同位于相同站点处或它们可以远离彼此,每个基站可以负责单个手机信号塔或单个基站可以服务于各个手机信号塔,且各个基站可以联接到单个MSC,这里仅列举几种可能布置。
除使用无线载波系统14之外,可以使用呈卫星通信的形式的不同无线载波系统来提供与车辆的单向或双向通信。这可以使用一个或多个通信卫星62和上行链路传输站64来进行。单向通信可以为(例如)卫星无线电服务,其中节目内容(新闻、音乐等)是由传输站64接收、封装上传并且然后发送到卫星62,从而向用户广播该节目。双向通信可以为(例如)使用卫星62以在车辆12与传输站64之间中继电话通信的卫星电话服务。如果使用,则除了或代替无线载波系统14,可以利用该卫星电话。
陆地网络16可以为连接到一个或多个陆线电话并且将无线载波系统14连接至呼叫中心20的常规陆基电信网络。例如,陆地网络16可以包括诸如用于提供硬接线电话、分组交换数据通信以及因特网基础设施的公共交换电话网(PSTN)。一段或多段陆地网络16可以通过使用标准有线网络、光纤或其它光学网络、电缆网络、电力线、其它无线网络(诸如无线局域网(WLAN))或提供宽带无线接入(BWA)的网络或其任何组合来实施。另外,呼叫中心20不需要经由陆地网络16连接,反而可以包括无线电话设备使得其可以直接与无线网络(诸如无线载波系统14)通信。
计算机18可以为可经由诸如因特网等专用或公共网络接入的许多计算机中的一种。每个这样的计算机18可以用于一个或多个目的,诸如可由车辆经由远程信息处理单元30和无线载波14接入网络服务器。其它这样的可接入计算机18可以为例如:服务中心计算机,其中可以经由远程信息处理单元30从车辆上传诊断信息和其它车辆数据;由车主或其它用户使用的客户端计算机,其用于诸如接入或接收车辆数据或设置或配置用户偏好或控制车辆功能等目的;或第三方数据仓库,将车辆数据或其它信息提供到该第三方数据仓库或从该第三方数据仓库提供车辆数据或其它信息,而无关于是否与车辆12或呼叫中心20或这两者进行通信。计算机18还可以用于提供诸如DNS服务器或网络地址服务器等因特网连接性,该网络地址服务器使用DHCP或其它合适协议来将IP地址分配到车辆12。
呼叫中心20被设计为对车辆电子装置28提供许多不同的系统后端功能,并且根据这里所示的示例性实施例,通常包括本领域中全部所已知的一个或多个交换机80、服务器82、数据库84、实时顾问86以及自动语音响应系统(VRS)88。这些不同的呼叫中心部件优选地经由有线或无线局域网90彼此联接。交换机80(其可以为专用交换分机(PBX)交换机)路由传入信号使得语音传输通常由常规的电话发送到实时顾问86或使用VoIP发送到自动语音响应系统88。实时顾问电话还可以使用VoIP,如图1中的虚线所指示。通过交换机80进行的VoIP和其它数据通信经由连接在交换机80与网络90之间的调制解调器(未示出)来实施。数据传输经由调制解调器传递到服务器82和/或数据库84。数据库84可以存储诸如用户认证信息、车辆标识符、简档记录、行为模式和其它相关用户信息等账户信息,以及与多个网络安全漏洞有关的信息,诸如网络安全漏洞优先级、网络安全漏洞攻击模式以及用于各种相关恶意动作的资源度量。数据传输也可以由诸如802.11x、GPRS等无线系统进行。虽然所说明的实施例已经被描述为其将结合使用实时顾问86的人工呼叫中心20使用,但是应当明白的是,数据中心反而可以利用VRS 88作为自动顾问,或者可以使用VRS88与实时顾问86的组合。
车辆12还可以经由短程无线通信(SRWC)(诸如上面提到的IEEE 802.11或蓝牙TM协议)与移动装置96或被动进入技术钥匙链或其它钥匙进行无线通信,本文称为被动进入钥匙(PEK)98。PEK 98可以包括主体,该主体包括用于用户交互的一个或多个开关或按钮;另外,该主体可以携带用于SRWC的处理器、存储器以及无线传输器。如本领域技术人员将明白,PEK存储器可以存储和传输用于车辆处的PEK验证的密码密钥。PEK98与车辆12的一些功能可以是被动的(例如,不需要用户手动输入),诸如当PEK在车辆附近时能够解锁车门,而其它功能可能需要激活输入,诸如按下PEK 98上的按钮以例如解锁车辆的行李箱。在任何情况下,包括密码密钥的无线信号的传输可以发起或控制一个或多个车辆功能,诸如锁定和解锁车门、启动车辆、操作车辆警报系统、操作车辆行李箱开启等。
移动装置96可以包括:启用蜂窝电信和SRWC的硬件、软件和/或固件以及其它移动装置应用程序。移动装置96的硬件可以包括:用于存储软件、固件等的处理器和存储器(例如,被配置为与处理器一起操作的非暂时性计算机可读介质)。移动装置处理器和存储器可以启用各种软件应用程序,其可以由用户(或制造商)预先安装或安装(例如,具有软件应用程序或图形用户界面或GUI)。车辆-移动装置应用程序的一种实施方案可以使得车辆用户能够与车辆12进行通信和/或控制车辆的各个方面或功能-例如,尤其允许用户远程锁定/解锁车门、打开或关闭车辆点火装置、检查车辆轮胎压力、燃料水平、油寿命等。在一些实施例中,移动装置96能够用作被动进入钥匙,诸如上述PEK 98。另外,该应用程序还可以允许用户随时与呼叫中心20或呼叫中心顾问连接。
现在转向图2,示出了评估网络安全漏洞以建立网络安全漏洞的优先级度量的方法200。方法200可以用作方法400(图4)的一部分,该方法400是评估一个或多个网络安全漏洞以对一个或多个网络安全漏洞中的每一个建立优先级度量的系统和方法的实施例。
方法200开始于步骤210,其中构建网络安全攻击模式。网络安全攻击模式模拟了暴露网络安全漏洞的各种途径,并且包括可以执行的多个恶意动作。如本文所使用,恶意动作是被或者可以被视为暴露或利用网络安全漏洞的一部分的任何动作或行为。在一个实施例中,网络安全攻击模式可以通过表示各种恶意动作以及它们的相互关系来模拟暴露网络安全漏洞的各种途径。根据许多实施例,网络安全漏洞的暴露允许对目标对象的潜在恶意损害。
可以使用各种系统和/或模拟图来构建网络安全攻击模式。例如,计算机18或服务器82可以用于开发攻击模式。该模式可以使用各种软件应用程序(例如,Microsoft WordTM、Microsoft PowerPointTM、Microsoft VisioTM、AutoCADTM或其它CAD软件)来模拟,并且可以基于存储在一个或多个数据库84中的信息而自动生成。或者,可以通过用户使用计算机18或服务器82向一个或多个软件应用程序提供输入来手动模拟模式。在一些实施例中,网络安全攻击模式构建步骤可以包括接收用户模拟输入,其中用户输入用户模拟输入,其指示软件应用程序构建模式的特定项目,诸如恶意动作或连接器。一旦构建了网络安全攻击模式,网络安全攻击模式就可以存储在计算机可读存储器上,诸如非暂时性计算机可读存储器。
参考图6,示出了网络安全攻击模式600的说明性实施例,该网络安全攻击模式可以被创建用于评估可能导致车辆的制动功能的恶意致动的网络安全漏洞。框610表示攻击模式600的网络安全漏洞(例如,车辆的制动功能的恶意致动)。连接器620和630表示用于表示恶意动作625、635、640和645之间的关系的逻辑连接器。
连接器630是逻辑“或”连接器(或门),并且用于表示需要执行其相关恶意动作635、640或645中的至少一个以暴露网络安全漏洞。连接器630馈入到连接器620(即,作为其输入),该连接器620是逻辑“与”连接器(或门),并且用于表示需要执行其所有相关恶意动作以暴露网络安全漏洞。因此,图6的攻击模式图示理解为需要恶意动作625以及用于暴露网络安全漏洞610的恶意动作635、640或645中的一个。如下面将更详细解释的,每个恶意动作可以包括一个或多个相关资源度量,其可以与网络安全攻击模式结合使用以获取一个或多个对应的最终资源度量。然后,这些最终资源度量可以与影响度量一起使用以获取总体网络安全优先级度量,如下面将更详细地解释的。
返回参考图2,在构建网络安全攻击模式之后,方法200继续到步骤220。在步骤220中,获取针对网络安全漏洞的影响度量。如本文所使用,影响度量是指示可能由网络安全漏洞引起的损害程度或以其它方式与其相关联的度量。影响度量可以由计算机18或服务器82经由用户输入或经由从数据库84调用信息来获取。
在一个实施例中,影响度量可以基于安全指示符、数据敏感度指示符和/或善意损害指示符。安全指示符可以表示对网络安全漏洞所涉及的产品或装置的客户或用户的潜在或可能的影响。例如,在网络安全漏洞涉及车辆制动装置的恶意致动的情况下(如图6的示例性攻击模式600中所说明),可以将安全指示符设定为5作为0到5刻度的一部分(0指示对安全没有影响,而5指示对安全的严重影响),指示制动器被恶意致动的车辆12的客户或用户可能处于严重危险中。在一个实施例中,各种潜在安全指示符水平(例如,0到5)可以与汽车安全完整性等级(ASIL)(ISO 26262)相关联。
这些指示符可以通过从数据库84中调用某些数据或者通过在服务器82或计算机18处从用户接收输入来获取。在一个实施例中,可以运行一个或多个自动化软件或固件测试以获取可以用于获取影响度量的一个或多个指示符。例如,可以使用车辆12处的一个或多个车辆系统模块42来执行车辆模块软件/固件测试。或者,在其它实施例中,可以使用服务器82和/或计算机18处的虚拟车辆环境来测试VSM软件/固件。一旦获取这些指示符,就可以将它们组合和/或评估以获取影响度量。在一个实施例中,指示符的最大值可以用作影响度量。例如,在使用安全影响指示符、数据敏感度影响指示符以及善意影响指示符的情况下,影响度量可以被确定为这些值中的最大值,例如,R影响=(safety影响,data_sensitivity影响,good_will影响)中的最大值,其中R影响表示影响度量,safety影响表示安全影响指示符,data_sensitivity影响表示数据敏感度影响指示符,而good_will影响影响表示善意影响指示符。因此,如果安全影响指示符为4,数据敏感度影响指示符为2,并且善意影响指示符为3,则影响度量将被确定为4,因为4是(safety影响,data_sensitivity影响,good_will影响)中的最大值。在其它实施例中,可以获取一个以上的影响度量。方法200继续到步骤230。
在步骤230中,对网络安全漏洞的多个恶意动作中的每一个确定至少一个资源度量。如本文所使用,资源度量是与实现相关恶意动作所必需的资源相关联或者与恶意动作的可用性或可扩展性相关联的度量。参考图3,示出了四个资源度量310到340的实施例300:成本度量310、位置度量320、可扩展性度量330以及技能度量340。
成本度量310可以表示执行恶意动作的估计的或确定的成本。例如,恶意动作可能需要各种计算机硬件和/或软件使得可以执行恶意动作。可以使用这种计算机硬件和/或软件的成本来确定成本度量,其可以通过例如将特定成本度量值分配给特定成本范围来表示,例如:成本度量值“1”与超过1000万美元的成本相关;成本度量值“2”与100万到1000万美元之间的成本相关联;成本度量值“3”与100,000美元到100万美元之间的成本相关联;成本度量值“4”与10,000美元到100,000美元之间的成本相关联;以及成本度量值“5”与0美元到10,000美元之间的成本相关联。
位置度量320可以与可以执行恶意动作的位置相关联。例如,恶意动作可能需要对网络安全漏洞被暴露的系统的特定硬件部件进行内部物理访问。或者,在其它情况下,可以使用远程无线通信来执行恶意动作。这些各种潜在位置中的每一个都可以用于确定位置度量,其可以被分类为与可以执行恶意动作的位置相关联的多个储存区。
可扩展性度量330可以与可在没有新资源的情况下对附加系统执行恶意动作的程度相关联。例如,当恶意动作需要物理访问时,可扩展性度量可能较低(例如,在1到5的刻度上为1),由此指示必须对受到恶意攻击的每个目标对象(即,恶意动作者试图暴露其网络安全漏洞的每个目标对象)执行整个恶意动作。并且,在其它情况下,恶意动作可能是非常具有可扩展性的,因此可能具有高的可扩展性度量(例如,在1到5的刻度上为5)。高度可扩展的恶意动作的示例可以是经由使用恶意计算机程序执行的那些动作,并且其中恶意计算机程序不需要被重写或修改来对其它目标对象执行后续恶意动作。
技能指标340可以与恶意攻击者执行恶意动作所需的技能水平相关联。恶意动作可能不需要特定的一组技能或信息,并且在这种情况下,可以为恶意动作分配或确定高值的技能度量。替代地,恶意动作可能不需要非常特定的一组技能或某种信任信息,并且在这种情况下,可以为恶意动作分配或确定低值的技能度量。方法200继续到步骤240。
在步骤240中,获取一个或多个最终资源度量。如上面在步骤230中所提到的,可以使用单个或多个资源度量,并且每个恶意动作也可以具有一个或多个相关资源度量。然后可以根据一种或多种方法或过程来确定每个资源度量的最终值,其中的一种方法或过程在图5中提供,这将在下面更详细地解释。最终资源度量是基于构成给定网络安全漏洞的恶意动作的单独资源度量确定为给定网络安全漏洞的最终表示的那些资源度量。在一个实施例中,基于评估相关恶意动作的成本度量、位置度量、可扩展性度量以及技能度量中的每一个来获取最终成本度量、最终位置度量、最终可扩展性度量以及最终技能度量。例如,参考图6,恶意动作325、335、340和345中的每一个的资源度量可以用于确定网络安全漏洞600(或恶意目标610)的最终资源度量。
在一些实施例中,计算机18或服务器82可以用于计算或确定最终资源度量。例如,服务器82可以向数据库84查询与构成网络安全漏洞的每个恶意动作相关联的资源度量。然后,服务器82的处理器可以执行计算机指令,其基于所调用的资源度量来确定最终资源度量。然后可以将最终资源度量存储在存储器中,诸如非暂时性计算机可读存储器。方法200继续到步骤250。
在步骤250中,基于影响度量和最终资源度量来计算网络安全优先级。例如,网络安全优先级可以基于最终成本度量、最终位置度量、最终可扩展性度量以及最终技能度量。网络安全优先级可以是表示可能发生的损害量的大小的值,并且可以针对其它网络安全漏洞进行计算。
在一个实施例中,可以基于诸如以下特定公式计算分数:100×tanh(C×R影响×R成本×R位置×R可扩展性×R技能),其中C表示常数,R影响表示影响度量,R成本表示最终成本度量,R位置表示最终位置度量,R可扩展性表示最终可扩展性度量,而R技能表示最终技能度量。如本文所使用,“tanh”是指双曲正切函数。常数C可以是非零值,并且根据特定实施例,可以是大于0并且小于或等于0.01(0<C≤0.01)的任何值。在其它实施例中,可以使用各种其它公式或方法来计算网络安全优先级。在一些实施例中,计算机18或服务器82的处理器可以计算网络安全优先级。如下面将更详细描述的,一旦对给定的网络安全漏洞确定了网络安全优先级,就可以确定是否应当解决网络安全漏洞。下面描述的图4的方法400详述了如何进行该确定的许多实施例。然后方法200结束。
参考图4,示出了评估一个或多个网络安全漏洞以对一个或多个网络安全漏洞中的每一个建立优先级度量的方法400的实施例。方法400开始于步骤410,其中对一个或多个网络安全漏洞中的每一个计算网络安全优先级。该步骤可以根据上述方法200来执行。一旦对一个或多个网络安全漏洞中的每一个计算了网络安全优先级,方法400就继续到步骤420。
在步骤420中,确定是否应对给定的一个网络安全漏洞采取修复动作。在一个实施例中,可以确定对网络安全优先级等于或超过阈值网络安全等级的那些网络安全漏洞执行修复动作。该确定可以由服务器82或计算机18处的处理器进行。在其它实施例中,每个网络安全漏洞与其它网络安全漏洞相比可以具有它们的网络安全优先级,然后,基于这些等级,可以确定将解决网络安全漏洞的顺序(例如,首先解决具有最高网络安全优先级的网络安全漏洞)。
在其它实施例中,网络安全漏洞的网络安全优先级可以仅与涉及相同目标对象或系统的那些进行比较。例如,可以对ECU 48和远程信息处理单元30计算各种网络安全漏洞的各种优先级。然后,可以将与ECU 48相关的网络安全漏洞的优先级相互比较以确定应当解决哪些ECU网络安全漏洞,而且可以将与远程信息处理单元相关的网络安全漏洞的优先级相互比较以确定应当解决哪个远程信息处理单元网络安全漏洞。方法400继续到步骤430。
在步骤430中,修复网络安全优先级等于或超过阈值网络安全优先级的一个或多个网络安全漏洞中的至少一个。在一些实施例中,该修复步骤可以包括获取新的软件模块或新的硬件部件,该新的软件模块或新的硬件部件被配置为解决至少一个网络安全漏洞和/或基于多个相关恶意动作中的至少一个。并且,在更特定的实施例中,修复步骤可以进一步包括将新的软件模块或新的硬件部件安装到目标对象中。在其它实施例中,对在步骤420中确定为对其采取了动作的每个网络安全漏洞采取修复动作。修复动作可以各种方式执行,并且可以取决于特定的网络安全漏洞、目标对象和/或网络安全漏洞的恶意动作。所描绘的方法400的实施例说明了可以用于解决特定网络安全漏洞的三个潜在修复动作432、434和436。
可以采用修复动作432,其中可以使用软件和/或固件更新来修复网络安全漏洞,或者至少减少它将被攻击并因此暴露的可能性。例如,该修复步骤可以包括通过陆地网络16和蜂窝载波系统70将更新(例如,软件模块)上传到目标对象,并且随后将更新安装到车辆。在一个实施例中,车辆的ECU 48可以是目标对象,并且因此可以经由陆地网络16和蜂窝载波系统70从计算机18或服务器82向车辆发送空中(OTA)更新。然后,通过将各种计算机指令写入存储器,诸如ECU 48的存储器装置或远程信息处理单元30的存储器54,可以将OTA更新安装在ECU 48处。
可以采用修复动作434,其中新的加密方案可以修复网络安全漏洞。例如,在网络安全漏洞是由不安全的加密方案引起的情况下,可以在目标对象上安装和/或实施新的软件或固件应用程序以防止和/或修复网络安全漏洞的暴露。
可以在目标对象保持网络安全攻击检测配置文件的情况下采取修复动作436。如本文所使用,网络安全攻击检测配置文件是一组特性、一组事件和/或已经被识别为与网络安全攻击和/或恶意活动相关联的一组行为。该配置文件可以保存在目标系统或对象的存储器装置中,诸如远程信息处理单元30的存储器54。可以更新网络安全攻击检测配置文件以防止和/或减轻恶意动作造成的损害。然后方法400结束。
参考图5,示出了可以由方法200用于执行步骤240(图2)的网络安全攻击模式迭代过程500。方法500是可以如何执行网络安全攻击模式迭代过程的一个示例。如本文所使用,网络安全攻击模式迭代过程是使用作为各种潜在途径的一部分的每个恶意动作的一个或多个资源度量来评估暴露网络安全漏洞的每个潜在途径的过程。将另外参考图6中所示的网络安全攻击模式600来讨论图5的方法500。该模式600被实施为一组起始条件(例如,网络安全风险/渗透)以及这些条件之间的逻辑关系的组合。
方法500开始于步骤510,其中该方法前进到模式600的下一个连接器。最初,该方法可以从在网络安全攻击模式的最低层级上的一个连接器(诸如图6的连接器630)开始。如下面将更详细讨论的,方法步骤540和550返回到步骤510,并且然后当出现这种情况时,用于步骤510的目的的下一个连接器可以是与最近分析的连接器处于相同层级的另一个连接器,或者如果没有其它连接器处于同一等级,则下一个连接器可以是下一个最低层级中的连接器。方法500继续到步骤520。
在步骤520中,确定是否已暴露网络安全漏洞(即,没有连接器可供分析)。如果否,则方法500继续到步骤530;否则,方法500继续到步骤560。
在步骤530中,确定连接器是逻辑“或”连接器还是逻辑“与”连接器。“或”连接器(诸如图6的连接器630)表示只有与其相关联的一个恶意动作(诸如恶意动作635、640和645)需要作为网络安全攻击的一部分来执行。“与”连接器(诸如图6的连接器620)表示全部与其相关联的一个恶意动作(诸如恶意动作625以及635、640中的一个)需要作为网络安全攻击的一部分来执行。如果连接器是“或”连接器,则方法500继续到步骤540,并且如果连接器是“与”连接器,则方法500继续到步骤550。可以使用其它这样的操作数。
在步骤540中,该方法可以临时执行与连接器相关联的每个恶意动作的步骤510到560。一旦对每个潜在的恶意动作执行了该方法,并且因此,基于使用选定恶意动作的资源度量结合该过程的其余部分对各种情况中的每一种情况获取网络安全优先级。然后,在步骤570中,可以使用最高的网络安全优先级。在步骤540之后,该方法继续到步骤510。
在步骤550中,对于每个资源度量,选择所有相关恶意动作或输入中的最低值(例如,“或”连接器630是“与”连接器620的输入)。在“或”连接器是“与”连接器的输入的情况下,执行过程500并且使用与“或”相关联的每个恶意动作计算网络安全优先级。方法500继续到步骤510。
在步骤560中,对每个潜在情况获取网络安全优先级度量。例如,网络安全攻击模式600呈现三种可能的情况,因为可以使用三种恶意动作635、640或645中的任何一种。可以对这三种潜在情况中的每一种计算网络安全优先级。方法500继续到步骤570。
在步骤570中,使用最高的网络安全优先级。例如,在关于网络安全漏洞可能如何暴露的众多潜在情况中,最高的网络安全优先级被用作该网络安全漏洞的总体网络安全优先级。然后方法500结束。
图6提供了可以用于评估制动系统的网络安全漏洞的示例性网络安全攻击模式600。在一个实施例中,模式600可以用于表示与车辆制动功能相关的网络安全漏洞。在这样的示例中,暴露恶意动作的目标可以由顶部框610表示,例如,恶意动作可以恶意地致动制动功能。连接器620可以表示在发动机控制单元(ECU)或车辆的其它电子控制单元上执行特权代码。连接器630可以表示在ECU上执行非特权代码。并且,恶意动作625可以表示查找和利用特权升级漏洞(技能度量为3,成本度量为5,没有位置度量,而可扩展性度量为5),恶意动作635可以表示移除存储器芯片和修改其内容(技能度量为4,成本度量为5,位置度量为1,而可扩展性度量为1),恶意动作640可以表示查找和利用通过Wi-FiTM暴露的服务中的漏洞(技能度量为2,成本度量为5,位置度量为3,而可扩展性度量为5),恶意动作645可表示访问通用串行总线(USB)调试服务(技能度量为5,成本度量为5,位置度量为2,而可扩展性度量为3)。模式600的总体影响度量可以是例如5。
网络安全攻击模式600包括恶意动作625、635、640和645。如所说明,恶意动作635、640和645经由逻辑“或”连接器连接,该逻辑“或”连接器表示必须执行恶意动作635、640和645中的仅一个以实现连接器630的对象,其中该对象在ECU上执行非特权代码。并且,恶意动作625和连接器630经由逻辑“与”连接器620彼此连接。因此,为了实现连接器620的目标,必须执行恶意动作625(用于查找和利用特权升级漏洞)并且连接器630必须评估为真,这将是执行恶意动作635、640和645中的任何一个或多个的情况。在连接器620评估为真时,可能暴露网络安全性,这可能导致恶意动作,如框610中所表示-例如,恶意地致动车辆的制动功能。如上面关于图5所讨论的,可以解析模式600以计算总体网络安全优先级或最高可能的网络安全优先级(然后将其用作总体网络安全优先级)。
应当理解的是,前述内容是对本发明的一个或多个实施方案的描述。本发明不限于本文公开的特定实施例,而是仅由下面的权利要求定义。另外,包括在前述描述中的声明涉及特定实施例,并且不能解释为定义本发明的范围或定义权利要求书中所使用的术语,除非术语或措词在上面进行了明确定义。对所公开的实施例的各种其它实施例和各种改变和修改对于本领域技术人员将是显而易见的。所有这些其它实施例、改变和修改旨在落入所附权利要求的范围内。
如本说明书和权利要求中所使用,术语“例如(e.g.)”、“例如(for example)”、“例如(for instance)”、“诸如”和“等”以及动词“包括(comprising)”、“具有”、“包括(including)”以及它们的其它动词形式在结合一个或多个部件或其它项目的列表使用时,各自被解释为开放式,意味着该列表不应被视为排除其它、另外的部件或项目。其它术语是使用它们的最广泛的合理含义来解释,除非它们用于要求有不同解释的上下文中。

Claims (10)

1.一种评估一个或多个网络安全漏洞以对所述一个或多个网络安全漏洞中的每一个建立优先级度量的方法,所述方法包括:
对所述一个或多个网络安全漏洞中的每一个构建网络安全攻击模式,其中所述网络安全攻击模式模拟暴露所述网络安全漏洞的各种途径,其中所述网络安全攻击模式包括可以执行的多个恶意动作,并且其中所述网络安全漏洞的暴露允许对目标对象的潜在恶意损害;
对所述一个或多个网络安全漏洞中的每一个的多个所述恶意动作中的每一个确定多个资源度量,其中,所述多个资源度量包括以下各者中的所有:
成本度量,其表示执行所述恶意动作的估计或确定的成本;
位置度量,其与可以执行所述恶意动作的位置相关联;
可扩展性度量,其与可在没有新资源的情况下对附加系统执行所述恶意动作的程度相关联;
对所述一个或多个网络安全漏洞中的每一个基于使用网络安全攻击方案迭代过程评估所述多个资源度量中的每一个而获取一个或多个最终资源度量;
对所述一个或多个网络安全漏洞中的每一个获取影响度量,所述影响度量指示可能由所述网络安全漏洞引起的损害程度;以及
对所述一个或多个网络安全漏洞中的每一个基于所述影响度量和所述一个或多个最终资源度量来计算网络安全优先级。
2.根据权利要求1所述的方法,进一步包括基于所述一个或多个网络安全漏洞的所述网络安全优先级来修复所述一个或多个网络安全漏洞中的至少一个的步骤。
3.根据权利要求2所述的方法,其中所述修复步骤包括获取新的软件模块或新的硬件部件,所述新的软件模块或新的硬件部件被配置为解决所述至少一个网络安全漏洞并且基于多个相关联的所述恶意动作中的至少一个,并且其中所述修复步骤进一步包括将所述新的软件模块或所述新的硬件部件安装到所述目标对象中。
4.根据权利要求3所述的方法,其中所述修复步骤包括将所述新的软件模块安装到所述目标对象中,并且其中所述修复步骤进一步包括通过陆地网络和蜂窝载波系统将所述软件模块上传到所述目标对象,并且随后执行所述安装步骤。
5.根据权利要求4所述的方法,其中所述目标对象是车辆,并且其中所述车辆被配置为在包括于所述车辆的车辆电子装置中的远程信息处理单元处接收所述软件模块,并且其中所述车辆电子装置进一步包括安装有所述软件模块的一个或多个车辆系统模块。
6.根据权利要求1所述的方法,其中所述多个资源度量还包括:
技能度量,其与恶意攻击者执行所述恶意动作所需的技能水平相关联。
7.根据权利要求6所述的方法,其中所述获取所述最终资源度量步骤包括获取最终成本度量、最终位置度量、最终可扩展性度量以及最终技能度量,并且其中为每个所述最终资源度量分配数字值,并且其中所述计算步骤进一步包括使用以下公式中的所述数字值来获取所述网络安全漏洞优先级:100×tanh(C×R影响×R成本×R位置×R可扩展性×R技能),其中C表示非零常数值,R影响表示所述影响度量,R成本表示所述最终成本度量,R位置表示所述最终位置度量,R可扩展性表示所述最终可扩展性度量,而R技能表示所述最终技能度量。
8.根据权利要求1所述的方法,其中所述影响度量是基于安全影响指示符、数据敏感度影响指示符以及善意影响指示符。
9.根据权利要求8所述的方法,其中基于以下等式确定所述影响度量:
(safety影响,data_sensitivity影响,good_will影响)中的最大值
其中R影响表示所述影响度量,safety影响表示所述安全影响指示符,data_sensitivity影响表示所述数据敏感度影响指示符,而good_will影响表示所述善意影响指示符。
10.一种评估一个或多个网络安全漏洞以对所述一个或多个网络安全漏洞中的每一个建立优先级度量的方法,所述方法包括:
对所述一个或多个网络安全漏洞中的每一个构建网络安全攻击模式,其中所述网络安全攻击模式模拟暴露所述网络安全漏洞的各种途径,其中所述网络安全攻击模式包括可以执行的多个恶意动作,并且其中所述网络安全漏洞的暴露允许对目标对象的潜在恶意损害;
对一个或多个网络安全漏洞中的每一个基于评估多个资源度量中的每一个而获取一个或多个最终资源度量,其中,所述多个资源度量包括以下各者中的所有:
成本度量,其表示执行所述恶意动作的估计或确定的成本;
位置度量,其与可以执行所述恶意动作的位置相关联;
可扩展性度量,其与可在没有新资源的情况下对附加系统执行所述恶意动作的程度相关联;
对所述一个或多个网络安全漏洞中的每一个获取影响度量,所述影响度量指示可能由所述网络安全漏洞引起的损害程度;
对所述一个或多个网络安全漏洞中的每一个基于所述影响度量和所述一个或多个最终资源度量来计算网络安全优先级;以及
获取新的软件模块,所述新的软件模块被配置为解决所述至少一个网络安全漏洞并且基于多个相关联的所述恶意动作中的至少一个。
CN201811080572.XA 2017-09-21 2018-09-17 网络安全漏洞优先化和修复 Active CN109547401B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/711,666 US10678954B2 (en) 2017-09-21 2017-09-21 Cybersecurity vulnerability prioritization and remediation
US15/711666 2017-09-21

Publications (2)

Publication Number Publication Date
CN109547401A CN109547401A (zh) 2019-03-29
CN109547401B true CN109547401B (zh) 2021-07-06

Family

ID=65526622

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811080572.XA Active CN109547401B (zh) 2017-09-21 2018-09-17 网络安全漏洞优先化和修复

Country Status (3)

Country Link
US (1) US10678954B2 (zh)
CN (1) CN109547401B (zh)
DE (1) DE102018123197A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6968722B2 (ja) * 2018-02-02 2021-11-17 フォルシアクラリオン・エレクトロニクス株式会社 車載装置、インシデント監視方法
JP7149888B2 (ja) * 2018-10-17 2022-10-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
JP6678798B1 (ja) * 2019-05-28 2020-04-08 株式会社ビズリーチ 処理装置及び処理方法
US11921853B2 (en) 2019-07-23 2024-03-05 Denso Corporation System for adaptive vehicle security and response
CN111581095B (zh) * 2020-05-08 2023-05-02 广州大学 一种基于无障碍服务的自启动usb调试方法、装置及存储介质
EP4087293A1 (en) * 2021-05-06 2022-11-09 Robert Bosch GmbH Methods and devices for radio communication

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1761208A (zh) * 2005-11-17 2006-04-19 郭世泽 网络信息系统的安全性及生存性评估的系统和方法
WO2008004498A1 (fr) * 2006-07-06 2008-01-10 Nec Corporation Système, dispositif, procédé et programme de gestion des risques de sécurité
CN101154257A (zh) * 2007-08-14 2008-04-02 电子科技大学 基于漏洞特征的动态执行补丁方法
CN101950338A (zh) * 2010-09-14 2011-01-19 中国科学院研究生院 一种基于层次化漏洞威胁评估的漏洞修复方法
CN102082659A (zh) * 2009-12-01 2011-06-01 厦门市美亚柏科信息股份有限公司 一种面向网络安全评估的漏洞扫描系统及其处理方法
CN102664876A (zh) * 2012-04-10 2012-09-12 星云融创(北京)科技有限公司 网络安全检测方法及系统
CN105164690A (zh) * 2013-07-12 2015-12-16 惠普发展公司,有限责任合伙企业 分析目标软件的安全漏洞
CN106611126A (zh) * 2016-12-22 2017-05-03 西北大学 一种漏洞严重性评估及修补方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
US8392997B2 (en) * 2007-03-12 2013-03-05 University Of Southern California Value-adaptive security threat modeling and vulnerability ranking
US8171283B2 (en) * 2007-03-19 2012-05-01 Telcordia Technologies, Inc. Vehicle segment certificate management using short-lived, unlinked certificate schemes
US8856936B2 (en) * 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
US9401926B1 (en) * 2013-10-31 2016-07-26 Fulcrum IP Services, LLC System and method for implementation of cyber security
US20150379443A1 (en) * 2014-06-27 2015-12-31 George Whitney System and method for enterprise risk management
US9680855B2 (en) * 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting
US9699209B2 (en) * 2014-12-29 2017-07-04 Cyence Inc. Cyber vulnerability scan analyses with actionable feedback
US9843597B2 (en) * 2015-01-05 2017-12-12 International Business Machines Corporation Controller area network bus monitor
US20160379326A1 (en) * 2015-06-25 2016-12-29 Marie N. Chan-Gove Risk modeling system
CN106663169B (zh) * 2015-07-24 2021-03-09 策安保安有限公司 使用无监督式机器学习和优先权算法的高速威胁情报管理的系统及方法
JP2017033149A (ja) * 2015-07-30 2017-02-09 株式会社東芝 情報処理装置、コントローラ、及び、情報処理装置の制御方法
US10185832B2 (en) * 2015-08-12 2019-01-22 The United States Of America As Represented By The Secretary Of The Army Methods and systems for defending cyber attack in real-time
US9979743B2 (en) * 2015-08-13 2018-05-22 Accenture Global Services Limited Computer asset vulnerabilities
US9916151B2 (en) * 2015-08-25 2018-03-13 Ford Global Technologies, Llc Multiple-stage secure vehicle software updating
US9747570B1 (en) * 2016-09-08 2017-08-29 Secure Systems Innovation Corporation Method and system for risk measurement and modeling

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1761208A (zh) * 2005-11-17 2006-04-19 郭世泽 网络信息系统的安全性及生存性评估的系统和方法
WO2008004498A1 (fr) * 2006-07-06 2008-01-10 Nec Corporation Système, dispositif, procédé et programme de gestion des risques de sécurité
CN101154257A (zh) * 2007-08-14 2008-04-02 电子科技大学 基于漏洞特征的动态执行补丁方法
CN102082659A (zh) * 2009-12-01 2011-06-01 厦门市美亚柏科信息股份有限公司 一种面向网络安全评估的漏洞扫描系统及其处理方法
CN101950338A (zh) * 2010-09-14 2011-01-19 中国科学院研究生院 一种基于层次化漏洞威胁评估的漏洞修复方法
CN102664876A (zh) * 2012-04-10 2012-09-12 星云融创(北京)科技有限公司 网络安全检测方法及系统
CN105164690A (zh) * 2013-07-12 2015-12-16 惠普发展公司,有限责任合伙企业 分析目标软件的安全漏洞
CN106611126A (zh) * 2016-12-22 2017-05-03 西北大学 一种漏洞严重性评估及修补方法

Also Published As

Publication number Publication date
US20200034574A1 (en) 2020-01-30
CN109547401A (zh) 2019-03-29
US10678954B2 (en) 2020-06-09
DE102018123197A1 (de) 2019-03-21

Similar Documents

Publication Publication Date Title
CN109547401B (zh) 网络安全漏洞优先化和修复
US20180107473A1 (en) Determining whether to install a vehicle system update in a vehicle
US10027672B2 (en) Access restriction device, on-board communication system and method for communication restriction
US9425963B2 (en) Securing electronic control units using message authentication codes
US9866542B2 (en) Responding to electronic in-vehicle intrusions
US8464068B2 (en) Electronic module update detection
US9014910B2 (en) Method and system for providing vehicle data to third party authorized recipients
US8788731B2 (en) Vehicle message filter
RU2706887C2 (ru) Система и способ блокирования компьютерной атаки на транспортное средство
US9817838B2 (en) Purging user data from vehicle memory
ben Othmane et al. Towards extended safety in connected vehicles
US9767065B2 (en) Dynamic vehicle bus subscription
CN105871830A (zh) 一种汽车车载信息系统的防火墙
CN108377260B (zh) 展示车辆信息的系统和方法
US11170585B2 (en) Vehicle fault diagnosis and analysis based on augmented design failure mode and effect analysis (DFMEA) data
US9438581B2 (en) Authenticating data at a microcontroller using message authentication codes
Winsen Threat modelling for future vehicles: on identifying and analysing threats for future autonomous and connected vehicles
US10706140B2 (en) Vehicle computer update authentication
US20150073649A1 (en) Managing diagnostic trouble codes in a vehicle
EP4057583A1 (en) System for the inspection, evaluation and diagnosis of the level of cybersecurity of a vehicle
Apvrille et al. Design and verification of secure autonomous vehicles
US20150100195A1 (en) Routing evaluation events
US10195940B2 (en) Vehicle task recommendation system
Tratter et al. Shared Mobility for Transport and Its Environmental Impact VeSIPreS: A Vehicular Soft Integrity Preservation Scheme for Shared Mobility
Nguyen et al. Addressing automotive cybersecurity risks with an ARM Morello capability-enhanced prototype

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant