CN111726774B - 防御攻击的方法、装置、设备及存储介质 - Google Patents
防御攻击的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111726774B CN111726774B CN202010597499.4A CN202010597499A CN111726774B CN 111726774 B CN111726774 B CN 111726774B CN 202010597499 A CN202010597499 A CN 202010597499A CN 111726774 B CN111726774 B CN 111726774B
- Authority
- CN
- China
- Prior art keywords
- instruction
- vehicle
- attack
- suspicious
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 108
- 238000003860 storage Methods 0.000 title claims abstract description 24
- 238000012545 processing Methods 0.000 claims abstract description 91
- 238000004458 analytical method Methods 0.000 claims abstract description 72
- 230000006399 behavior Effects 0.000 claims description 78
- 238000001514 detection method Methods 0.000 claims description 48
- 230000015654 memory Effects 0.000 claims description 31
- 238000004891 communication Methods 0.000 claims description 18
- 230000000903 blocking effect Effects 0.000 claims description 10
- 238000013139 quantization Methods 0.000 claims description 7
- 238000007781 pre-processing Methods 0.000 claims description 3
- 230000007123 defense Effects 0.000 abstract description 10
- 238000010586 diagram Methods 0.000 description 20
- 238000004590 computer program Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 17
- 238000005065 mining Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000013461 design Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 239000000243 solution Substances 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000002688 persistence Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种防御攻击的方法、装置、设备及存储介质,涉及信息安全技术领域,可用于智能交通或自动驾驶场景。具体实现方案为:获取包括用于控制车辆状态的至少一条指令的指令集,将该指令集中的每条指令分别与攻击行为知识库中的至少一条攻击指令进行对比,确定每条指令对应的最大相似度值,根据每条指令对应的最大相似度值和预设相似度范围,确定每条指令的类型和处理策略。该技术方案中,由于攻击行为知识库中的每条攻击指令均是对至少一个车载组件的链式数据集合进行攻击分析得到的,其生成时关联了源数据的上下文数据,从而提高了确定的指令类型的准确度和攻击防御的精度。
Description
技术领域
本申请实施例涉及数据处理技术领域中的信息安全技术领域,尤其涉及一种防御攻击的方法、装置、设备及存储介质。
背景技术
随着车联网技术的发展,智能车辆越来越多,例如,智能车辆接入网络后,能够进行实时路况导航、下载视频音频、语音交互等,但是车联网给用户带来生活出行的便利的同时,也可能增添许多安全隐患,例如,不法分子可以通过网络攻击任意一辆网联车辆,窃取车内数据,甚至夺取驾驶控制权,进而对人的生命安全和财产安全造成威胁。
现有技术中,为了提高车联网的信息安全,通常方案如下:车辆终端将采集到的外部数据发送至云端服务器或PC终端,然后利用云端服务器或PC终端对接收到的外部数据进行安全分析,以判断外部数据中是否存在攻击数据,最后将判断结果发送至车载终端,以便车载终端确定后续操作。
发明内容
本申请提供了一种防御攻击的方法、装置、设备及存储介质。
根据本申请的第一方面,提供了一种防御攻击的方法,包括:
获取指令集,所述指令集包括:用于控制车辆状态的至少一条指令;
将所述指令集中的每条指令分别与攻击行为知识库中的至少一条攻击指令进行对比,确定每条指令对应的最大相似度值,每条攻击指令是对至少一个车载组件的链式数据集合进行攻击分析得到的;
针对所述指令集中的任意一条指令,根据所述指令对应的最大相似度值和预设相似度范围,确定所述指令的类型和处理策略。
根据本申请的第二方面,提供了一种防御攻击的方法,包括:
接收车载终端发送的数据集,所述数据集包括:至少一个可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告;
对于每个可疑指令,基于所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告对所述可疑指令的链式数据进行分析,确定所述可疑指令的攻击分析结果,所述攻击分析结果用于指示所述可疑指令实际上为非法指令还是安全指令;
将所述可疑指令的攻击分析结果发送至所述车载终端。
根据本申请的第三方面,提供了一种防御攻击的装置,包括:获取模块、处理模块和确定模块;
所述获取模块,用于获取指令集,所述指令集包括:用于控制车辆状态的至少一条指令;
所述处理模块,用于将所述指令集中的每条指令分别与攻击行为知识库中的至少一条攻击指令进行对比,确定每条指令对应的最大相似度值,每条攻击指令是对至少一个车载组件的链式数据集合进行攻击分析得到的;
所述确定模块,用于针对所述指令集中的任意一条指令,根据所述指令对应的最大相似度值和预设相似度范围,确定所述指令的类型和处理策略。
根据本申请的第四方面,提供了一种防御攻击的装置,包括:接收模块、处理模块和发送模块;
所述接收模块,用于接收车载终端发送的数据集,所述数据集包括:至少一个可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告;
所述处理模块,用于对于每个可疑指令,基于所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告对所述可疑指令的链式数据进行分析,确定所述可疑指令的攻击分析结果,所述攻击分析结果用于指示所述可疑指令实际上为非法指令还是安全指令;
所述发送模块,用于将所述可疑指令的攻击分析结果发送至所述车载终端。
根据本申请的第五方面,提供了一种车载终端,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行第一方面所述的方法。
根据本申请的第六方面,提供了一种云服务器,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行第二方面所述的方法。
根据本申请的第七方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行第一方面所述的方法。
根据本申请的第八方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行第二方面所述的方法。
根据本申请的第九方面,提供了一种防御攻击的方法,包括:
将获取到的外部指令分别与攻击行为知识库中的至少一条攻击指令进行对比,判断所述外部指令是否为攻击指令;
在确定所述外部指令为攻击指令时,阻断所述攻击指令。
根据本申请的第十方面,提供一种计算机程序产品,包括:计算机程序,所述计算机程序存储在可读存储介质中,车载终端的至少一个处理器可以从所述可读存储介质读取所述计算机程序,所述至少一个处理器执行所述计算机程序使得车载终端执行第一方面所述的方法。
根据本申请的第十一方面,提供一种计算机程序产品,包括:计算机程序,所述计算机程序存储在可读存储介质中,云服务器的至少一个处理器可以从所述可读存储介质读取所述计算机程序,所述至少一个处理器执行所述计算机程序使得云服务器执行第二方面所述的方法。
应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是本申请实施例提供的防御攻击的方法的应用场景示意图;
图2是本申请第一实施例提供的防御攻击的方法的流程示意图;
图3是本申请第二实施例提供的防御攻击的方法的流程示意图;
图4是本申请第三实施例提供的防御攻击的方法的流程示意图;
图5是本申请第四实施例提供的防御攻击的方法的流程示意图;
图6是本申请第五实施例提供的防御攻击的方法的流程示意图;
图7是本申请第六实施例提供的防御攻击的方法的流程示意图;
图8是本申请实施例提供的用于防御攻击的车载终端的结构示意图;
图9是本申请实施例提供的车载终端防御系统的结构示意图;
图10为攻击行为知识库的建立和使用过程的框图;
图11是本申请第一实施例提供的防御攻击的装置的结构示意图;
图12是本申请第二实施例提供的防御攻击的装置的结构示意图;
图13是用来实现本申请实施例提供的防御攻击的方法的车载终端的框图;
图14是用来实现本申请实施例提供的防御攻击的方法的云服务器的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
现阶段,随着车联网技术的迅速发展,车辆在连接上网络后,可以进行实时路况导航、下载视频音频、进行语音交互等操作。同时,车辆内部的空调、天窗,甚至车刹、变速箱等设备都可以由计算机控制。然而,这些功能给人们生活出行带来便利的同时,也增添了许多安全隐患。例如,若黑客通过网络攻击车辆网中的任意一台车辆,都可能会窃取车内数据,甚至夺取驾驶控制权,进而可能存在车辆信息、用户信息泄露的风险,更严重的还可能存在人身安全、信息安全的问题。
为了提升车联网系统的安全,防御车辆遭受攻击,当车辆获取到外部输入的数据时,可以对接收到的外部数据进行安全分析,以确保车辆处理的指令是合法指令或安全指令。目前,通常将获取到的外部数据发送至云端服务器或PC终端,基于云端服务器或PC终端的分析结果确定车辆获取到的外部数据存在安全威胁。然而,该方法中云端服务器或PC终端只能对接收到的外部数据进行分析,存在检测准确度低的问题。
针对上述问题,本申请实施例提供了一种防御攻击的方法、装置、设备及存储介质,应用于数据处理技术领域中信息安全技术领域,可用于智能交通或自动驾驶场景,以提高数据检测的准确度,提升攻击防御的效果,进而提高车辆安全和人身安全。
下面在介绍本申请的具体方案之前,首先对本申请的应用背景进行说明。示例性的,图1是本申请实施例提供的防御攻击的方法的应用场景示意图。如图1所示,本实施例的应用场景可以包括:发出指令的用户11、车辆12和云服务器13。
其中,用户11可以通过终端设备发出控制车辆12的指令,也可以通过触控方式发出指令,以控制车辆12的状态。
车辆12上设置有车载终端(未示出),该车载终端可以接收用户11发出的控制指令,以执行相应的操作。对于该车辆12而言,由于该控制指令为外部指令,因而,车载终端在执行控制指令的操作之前,首先需要验证该控制指令的合法性,以避免出现车辆被攻击的风险。
可选的,在本申请的实施例中,在车载终端不能确定接收到的控制指令是否合法时,其可以将该控制指令的相关数据均发送至云服务器13,由云服务器13对其进行进一步的判断。
需要说明的是,附图1仅是本申请实施例提供的一种应用场景的示意图,图1中以一个终端设备、一个车辆和一个云服务器进行解释说明。本申请实施例并不限定图1所示应用场景包括的内容,其均可以根据实际需求设定,此处不再赘述。
下面,通过具体实施例对本申请的技术方案进行详细说明。需要说明的是,下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图2是本申请第一实施例提供的防御攻击的方法的流程示意图。该方法的执行主体是车载终端。如图2所示,该方法可以包括如下步骤:
S201、获取指令集,该指令集包括:用于控制车辆状态的至少一条指令。
在本申请的实施例中,车辆是指位于车联网系统中的车辆,其通常通过无线方式连接到网络中,这样用户可以利用同样接入网络的移动终端对车辆进行控制。
在实际应用中,用户可以通过多种方式控制车辆的状态,例如,通过远程或近距离或触控等多种方式分别向车辆发出指令,进而通过指令控制车辆启动或关闭、车辆运行或停止、多媒体开启或关闭等各种功能。本申请实施例并不对指令控制的车辆状态形式进行限定,其可以根据实际场景确定,此处不再赘述。
在本申请的实施例中,车载终端是车辆上具有控制和处理功能的一个组件,其可以直接接收外部发出的指令,也可以从其他车载组件获取指令,进而可以对获取到的指令集进行处理,以实现对外部攻击的防御。
可以理解的是,在本实施例中,将该车载终端获取到的所有指令的集合称为指令集。
S202、将上述指令集中的每条指令分别与攻击行为知识库中的至少一条攻击指令进行对比,确定每条指令对应的最大相似度值。
其中,每条攻击指令是对至少一个车载组件的链式数据集合进行攻击分析得到的。
在本申请的实施例中,车载终端上可以预先配置攻击行为知识库,该攻击行为知识库中存储有至少一条攻击指令,每条攻击指令都是通过对每个车载组件的链式数据集合进行处理,确定出其包括的指令,进而基于该指令的关联数据,对该指令的可能的攻击入口、攻击路径、攻击目的等信息进行分析得到的。
示例性的,该攻击行为知识库可以是攻击策略、技术和通用知识库(AdversarialTactics,Techniques,and Common Knowledge,ATT&CK),也称为攻击行为知识库和模型,主要应用于评估攻防能力覆盖、高级持续性威胁(Advanced Persistent Threat,APT)情报分析、威胁狩猎及攻击模拟等领域,它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型,其可以将一次生命周期中的攻击者行为定义到了一个能将其更有效映射到防御的程度,并且将中间层次的模型有效连接起来。
在本申请的实施例中,当车载终端获取到指令集时,对于指令集中的任意一条指令,车载终端均可以执行如下操作:将该指令与攻击行为知识库中的所有攻击指令依次进行对比,确定出该指令与每个攻击指令之间的相似度值,并从所有的相似度值中确定出取值做大的相似度值,作为该指令对应的相似度值。
S203、针对该指令集中的任意一条指令,根据该指令对应的最大相似度值和预设相似度范围,确定该指令的类型和处理策略。
在本申请的实施例中,该车载终端中预先配置有预设相似度范围,利用该预设相似度范围的上限值和下限值,将获取到的指令划分为不同的类型。
示例性,针对指令集中的任意一条指令,将上述S202确定的该指令对应的最大相似度值与预设相似度范围的上限值、下限值进行对比,判断该指令对应的最大相似度值所处的区间,进而确定出指令的类型。
可选的,车载终端中还可以预先设置有不同类型指令的处理策略,因而,在车载终端确定出每个指令的类型后,也可以相应的确定出针对每条指令的处理策略。
本申请实施例提供的防御攻击的方法,通过获取指令集,该指令集包括:用于控制车辆状态的至少一条指令,将该指令集中的每条指令分别与攻击行为知识库中的至少一条攻击指令进行对比,确定每条指令对应的最大相似度值,每条攻击指令是对至少一个车载组件的链式数据集合进行攻击分析得到的,针对该指令集中的任意一条指令,根据该指令对应的最大相似度值和预设相似度范围,确定该指令的类型和处理策略。该技术方案中,由于攻击行为知识库中的每条攻击指令均是对至少一个车载组件的链式数据集合进行攻击分析得到的,其生成时关联了外部数据的上下文等相关数据,因而,可以得到准确度较高的指令最大相似度值,从而提高了指令类型的准确度和攻击防御的精度。
示例性的,在上述实施例的基础上,图3是本申请第二实施例提供的防御攻击的方法的流程示意图。如图3所示,上述S203中的根据该指令对应的最大相似度值和预设相似度范围,确定该指令的类型和处理策略可以通过如下步骤实现:
S301、确定该指令对应的最大相似度值与预设相似度范围的上限值、下限值的关系。
在本申请的实施例中,车载终端获取到指令对应的最大相似度值之后,可以将其分别与预设相似度范围的上限值、下限值进行比较,从而能够确定该指令与上限值和下限值之间的关系。可选的,在本实施例中,预设相似度范围的上限值大于下限值。
可选的,利用预设相似度范围的上限值、下限值可以将相似度划分为不同的区间,包括:小于下限值的第一区间,小于上限值且大于或等于下限值的第二区间,大于上限值的第三区间。相应的,每个区间可以对应一个指令类型,例如,最大相似度值位于第一区间的指令,其类型为安全指令;最大相似度值位于第二区间的指令,其类型为可疑指令;最大相似度值位于第三区间的指令,其类型为非法指令。
示例性的,预设相似度范围的上限值例如可以为80%,下限值例如可以是30%,本申请实施例并不对上限值和下限值的具体取值进行限定,其具体可以根据实际场景确定,此处不再赘述。
作为一种示例,在该指令对应的最大相似度值大于或等于预设相似度范围的上限值时,执行S302。
S302、确定该指令的类型为非法指令、该指令的处理策略为阻断。
在本示例中,若该指令对应的最大相似度值大于或等于预设相似度范围的上限值,即攻击行为知识库中存在与该指令相似度极高的攻击指令,因而,基于上述对于指令的划分方式,车载终端可以确定该指令的类型为非法指令,相应的,也可以确定针对该非法指令的处理策略为阻断,以避免该非法指令对车辆带来攻击,从而有效降低了车辆被无法控制的风险。
作为另一种示例,在该指令对应的最大相似度值小于预设相似度范围的下限值时,执行S303。
S303、确定该指令的类型为安全指令、该指令的处理策略为运行。
可选的,在本示例中,若该指令对应的最大相似度值小于预设相似度范围的上限值,即攻击行为知识库中存在的攻击指令与该指令之间的相似度均较低,因而,基于上述对于指令的划分方式,车载终端可以确定该指令的类型为安全指令,相应的,也可以确定针对该安全指令的处理策略为运行,以控制车辆进而在相应的状态。
作为再一种示例,在该指令对应的最大相似度值小于预设相似度范围的上限值且大于或等于预设相似度范围的下限值时,执行S304。
S304、确定该指令的类型为可疑指令、该指令的处理策略为对该可疑指令进行二次判断。
可选的,在本示例中,若该指令对应的最大相似度值小于预设相似度范围的上限值且大于或等于预设相似度范围的下限值,这时无法准确的将该指令判定为非法指令或安全指令,故将其称为可疑指令。相应的,针对该可疑指令,确定处理策略为对该可疑指令进行二次判断,以确定其实际类型。通过对该可疑指令进行二次判断,不仅可以有效的避免车辆遭到不法分子的攻击,也可以有效的避免错失安全指令。
本申请实施例提供的防御攻击的方法,在指令对应的最大相似度值大于或等于预设相似度范围的上限值时,确定该指令的类型为非法指令、该指令的处理策略为阻断,在该指令对应的最大相似度值小于预设相似度范围的下限值时,确定该指令的类型为安全指令、该指令的处理策略为运行,在该指令对应的最大相似度值小于预设相似度范围的上限值且大于或等于预设相似度范围的下限值时,确定该指令的类型为可疑指令、该指令的处理策略为对可疑指令进行二次判断。该技术方案中,车载终端根据指令对应的最大相似度值和预设相似度范围,既能够确定出准确的指令类型,也可以确定出相适应的处理策略,有效避免了车辆受到攻击的风险,保证了人身和财产安全。
可选的,在上述实施例的基础上,图4是本申请第三实施例提供的防御攻击的方法的流程示意图。该方法以车载终端和云服务器之间的交互进行解释说明。如图4所示,在确定指令为可疑指令时,需要对可疑指令进行二次判断,因而,该方法还可以包括如下步骤:
S401、车载终端确定可疑指令对应的数据集,该数据集包括:可疑指令对应的源数据、该源数据的关联数据和车辆检测报告。
在本申请的实施例中,由于指令是经过标准化处理的数据,而数据不是单独存在的,在不同的场景下,数据具有不同的上下文数据等关联数据,因而,对于确定的可疑指令,车载终端首先基于该可疑指令的获取途径,确定出其对应的源数据,进而根据该源数据的传输链信息,确定出该源数据的关联数据。
进一步的,为了提高云服务器的分析精度,车载终端还可以将其所在车辆的车辆检测报告发送给云服务器。可选的,该车辆检测报告可以包括指令集中某些指令的检测结果,还可以包括车辆其他方面的检测结果,例如,车辆的状态数据等。
可以理解的是,本申请实施例并不限定可疑指令对应的数据集和车辆检测报告包括的具体内容,其可以根据实际情况确定,此处不再赘述。
S402、车载终端将上述数据集发送至云服务器。
在实际应用中,攻击场景的挖掘通常涉及到较大的数据量,处理过程通常比较复杂,进而需要处理能力很高的处理组件,而处理组件的处理能力越高,制造成本也会越大。在本申请的实施例中,为了降低车辆的成本,攻击场景的挖掘通常在云端进行,因而,车载终端可以将可疑指令对应的数据集发送至云服务器,以使云服务器对接收到的数据集进行相应的处理,进而确定出可疑指令应划分为非法指令还是安全指令。
可选的,对于每个可疑指令,云服务器执行如下操作:
S403、云服务器基于接收到的可疑指令对应的源数据、该源数据的关联数据和车辆检测报告对该可疑指令对应的链式数据进行分析,确定该可疑指令的攻击分析结果。
其中,该攻击分析结果用于指示该可疑指令实际上为非法指令还是安全指令。
可选的,在本申请的实施例中,若车载终端向云服务器发送了至少一个数据集,则服务器可以对接收到的每个数据集进行处理,进而确定出每个数据集对应的可疑指令、该可疑指令对应的源数据、该源数据的关联数据,以及该数据集中携带的车辆检测报告等信息。
通常情况下,车载终端将可疑指令对应的数据集发送给云服务器后,云服务器对接收到的数据集进行处理时,需要根据后续的攻击场景挖掘才能最终确定每个数据集对应的指令类型。
可以理解的是,云服务器可以接收至少一个车载终端发送的数据集,进而通过对每个车载终端的数据集进行分析,能够确定出每个数据集对应的至少一个可疑指令以及每个可疑指令对应的源数据、源数据的关联数据以及其他车辆检测报告。
示例性的,云服务器可以包括数据处理模块和攻击场景挖掘模块,其中,数据处理模块可以对数据集中的每条数据进行格式化处理,将其处理成攻击场景挖掘模块能够识别的格式,并将处理后的格式化数据提供给攻击场景挖掘模块,攻击场景挖掘模块用于基于接收到的处理后格式化数据进行新的攻击场景挖掘和旧的攻击场景完善。
在本申请的一种示例中,该S403中的云服务器基于接收到的可疑指令对应的源数据、该源数据的关联数据和车辆检测报告对该可疑指令对应的链式数据进行分析,确定该可疑指令的攻击分析结果,具体可以通过如下步骤实现:
A1、根据该可疑指令对应的源数据、该源数据的关联数据,确定该可疑指令对应的入口信息、指示信息和对车辆的影响信息。
在本申请的实施例中,云服务器首先对该可疑指令对应的源数据进行分析,确定该可疑指令对应的入口信息,进而根据数据之间关联关系和源数据的关联数据,可以确定出该可疑指令的目的、控制目标、传输路径等指示信息和对车辆的影响信息。
可选的,可疑指令的入口信息可以包括入口点信息、入口方式信息等。例如,入口点信息可以指芯片调试口,入口方式信息可以是通过芯片调试口的利用进入入口点,具体的,基于jtag、uart等方式。入口点信息还可以指应用程序,入口方式信息可以是通过恶意应用程序的安装进入入口点等。可以理解的是,入口点信息还可以有其他的方式,例如,外部接口利用、无线电接口利用、供应链攻击、充电桩攻击、SIM卡等等方式,本申请实施例并不限定入口点信息的具体表现形式,其可以根据实际场景进行扩展,此处不再赘述。
可选的,指示信息可以指执行的目的、作用范围等。例如,通过芯片调试口的利用改变程序状态,进而修改固件(例如,篡改flash),通过外部接口的利用,在命令行界面篡改车载通信盒(T-BOX)镜像,通过安装恶意应用程序,致使中间人攻击修改可信执行环境等。关于指示信息的具体内容需要根据入口点信息确定,此处不再赘述。
可选的,可疑指令对车辆的影响信息可以包括删除设备数据、伪造控车命令等。关于具体的影响需要根据实际情况确定,此处不再赘述。
A2、根据该可疑指令对应的入口信息、指示信息和对车辆的影响信息,确定该可疑指令的攻击分析结果。
在本申请的实施例中,云服务器根据上述确定的可疑指令对应的入口信息、指示信息和对车辆的影响信息,对车载终端在执行该可疑指令请求操作时的结果进行分析,确定其是否存在非法控制车辆或窃取车辆信息的风险,从而得出该可疑指令的攻击分析结果。
可选的,攻击行为知识库中的数据是链式的结果,根据源数据可以确定出采集的源数据的所有上下文数据以及与源数据一同传输至车载终端的其他信息,因而,通过对可疑指令对应的数据集进行分析,能够有效地将低抽象层级的概念(如漏洞利用、恶意软件)放入上下文中进行思考,从而可以准确的确定出可疑指令的攻击分析结果。
可以理解的是,虽然漏洞利用和恶意软件对于攻击者的武器库来说很有用,但要完全理解它们的实用性,需要了解它们在实现目标过程中的上下文。所以,通过将可疑指令(威胁情报)和事件数据联系起来,能够准确的确定出该可疑指令的实际类型。
S404、云服务器将该可疑指令的攻击分析结果发送至车载终端。
在本申请的实施例中,云服务器在得到可疑指令的攻击结果之后,可以将其发送给车载终端,以便车载终端基于该攻击分析结果执行相应的操作。
S405、车载终端根据该可疑指令的攻击分析结果,确定该可疑指令的类型为非法指令或安全指令。
示例性的,由于攻击分析结果能够指示该可疑指令的实际类型,因而,车载终端从云服务器接收到该可疑指令的攻击分析结果后,在将攻击分析结果处理成车载终端能够识别的格式后,便可以确定该可疑指令最后被归为非法指令,还是安全指令。
可选的,车载终端在确定出可疑指令的具体类型后,相应的,可以确定出对应的处理策略,即若可疑指令为安全指令,则车载终端会运行该指令,以实现相应的操作,若可疑指令为非法指令,则车载终端会阻断或拦截或者查杀该指令,以防止该指令的执行带来信息泄露或安全风险。
本申请实施例提供的防御攻击的方法,车载终端确定可疑指令对应的数据集,并该数据集发送至云服务器,云服务器对于每个可疑指令,基于接收到的可疑指令对应的源数据、该源数据的关联数据和车辆检测报告对该可疑指令对应的链式数据进行分析,确定该可疑指令的攻击分析结果,并将其发送至车载终端,从而使得车载终端能够根据该可疑指令的攻击分析结果,确定该可疑指令的类型为非法指令或安全指令。该技术方案,通过结合可疑指令的源数据、源数据的上下文数据对当前指令的安全性进行判断,提高了指令的判断精度,在避免攻击的基础上,提高了用户体验。
示例性的,在上述图4所示实施例的基础上,图5是本申请第四实施例提供的防御攻击的方法的流程示意图。如图5所示,该方法还可以包括如下步骤:
S501、云服务器根据上述至少一个可疑指令的攻击分析结果,生成更新信息。
其中,该更新信息包括针对攻击行为知识库的更新内容和/或车载终端中扫描模块的更新内容。
在本申请的实施例中,云服务器确定出可疑指令的攻击分析结果之后,可以利用该攻击分析结果指示的可疑指令的实际类型生成针对攻击行为知识库的更新内容,还可以对车载终端中扫描模块的能力进行更新,以提高扫描模块的攻击行为的发现能力,因而,也可以生成针对车载终端中扫描模块的更新内容。
作为一种示例,若可疑指令实际上为非法指令,则可以利用非法指令和该非法指令的对应的链式数据集合生成该可疑指令对应的攻击指令,并作为攻击行为知识库的更新信息;相应的,基于扫描模块的能力提升点,生成针对扫描模块的更新内容,例如,版本信息等。
作为另一种示例,若该可疑指令实际上为安全指令,则可以基于该可疑指令对应的链式数据集合对攻击行为知识库中的至少一个攻击指令进行更改,生成攻击行为知识库的更新信息,以使得可疑指令与该至少一个攻击指令之间的相似度值均小于预设相似度范围的下限值。可选的,上述至少一个攻击指令是攻击行为知识库中与可疑指令之间的相似度值大于预设相似度范围下限值的指令。类似的,也可以针对基于扫描模块的能力提升点,生成针对扫描模块的更新内容。
S502、云服务器将上述更新信息发送至车载终端。
S503、车载终端根据接收到的更新信息,更新攻击行为知识库和/或车载终端中的扫描模块。
可选的,云服务器生成针对攻击行为知识库的更新内容和/或车载终端的更新内容后,通过将该更新信息的形式,将其发送至车载终端,这样车载终端可以基于接收到的更新信息,分别对攻击行为知识库进行内容更新和/或车载终端中的扫描模块进行内容更新和/或版本更新。
本申请实施例提供的防御攻击的方法,云服务器根据上述至少一个可疑指令的攻击分析结果,生成更新信息,并将其发送至车载终端,这样车载终端可以根据接收到的更新信息,更新攻击行为知识库和/或车载终端中的扫描模块。该技术方案中,通过对攻击行为知识库和/或扫描模块进行更新,可以提高车载终端的攻击防御能力和防御精度,从而在一定程度上提高了车辆的信息安全和人身安全。
可选的,在上述各实施例的基础上,图6是本申请第五实施例提供的防御攻击的方法的流程示意图。如图6所示,在上述S501之前,该方法还可以包括如下步骤:
S601、获取至少一个车载组件的链式数据集合,该链式数据集合包括:对应车载组件采集的源数据和关联数据。
在本申请的实施例中,云服务器可以从至少一个车载终端接收至少一个车载组件的链式数据集合,也可以从车载组件对应的存储设备中获取至少一个车载组件的链式数据集合,还可以基于其他的方式。本申请实施例并不对车载组件的链式数据集合的获取方式进行限定,其可以根据实际需求确定,此处不再赘述。
示例性的,在本实施例中,每个车载组件的链式数据集合既可以包括其采集的源数据,也可以包括该源数据的关联数据,例如,源数据对应功能的上下文数据。本申请实施例也不对链式数据集合的具体内容进行限定,可以基于实际需求确定。
在本申请的实施例中,当车载组件的数据为多个时,则多个车载组件可以包括车载信息娱乐系统(in-vehicle infotainment,IVI),也可以包括车载通信盒(elematicsBOX,T-BOX),还可以包括网关或车载诊断系统(on-Board Diagnostic,OBD)。本申请实施例并不对车载组件的具体类型进行限定,其可以根据实际需求确定。
S602、根据每个车载组件的链式数据集合,建立每个车载组件的攻击行为知识库模型。
在实际应用中,每个车载组件的链式数据集合可以包括很多方面的内容,例如,数据入口、数据进入车辆的方式、数据执行的结果、影响等。
示例性的,下述以T-BOX为例,介绍攻击行为知识库模型的建立过程。可选的,对于T-BOX,可以从如下至少一个方面对攻击指令的形成进行说明。可选的,上述至少一个方面可以包括如下至少一种:入口点、入口点-子项、进入方式、持久化信息、特权提升、防御绕过、获取凭证、凭据访问-子项、披露、横向移动、影响力、数据窃取、命令与控制、网络影响、远程访问影响。
可选的,攻击数据可以通过芯片调试口(入口点-子项可以是jtag、uart等)利用、外部接口(入口点-子项可以是USB、ADB、OBD等)利用、无线电接口(入口点-子项可以是蜂窝网、WiFi、蓝牙、NFC、GPS等)利用、安装恶意的应用程序、重新包装的应用程序(在合法应用正植入恶意代码)、供应链攻击(具体的,第三方库漏洞或通过开发工具植入)、充电桩(对于充电车辆)利用、SIM卡(具体为复制SIM卡)等方式进入T-BOX。
可选的,基于进入的攻击数据生成非法指令的方式可以是通过改变程序状态(即程序状态的执行)、在命令行界面执行、通过API执行、中间人攻击、文件感染、脚本编写、用户执行中的任意一种。
可选的,攻击指令持久化的方式为修改固件(篡改FLASH)、篡改T-BOX镜像、修改系统分区、修改可信指令环境、修改操作系统内核或引导分区、代码注入、修改OTA升级流程、文件感染等方式中的任意一种。
可选的,可疑指令可以通过利用操作系统的漏洞、IEE漏洞、第三方软件的漏洞、ADB和/或串口的root漏洞、root登录弱密码暴力破解漏洞、OTA升级流程漏洞等方式中的至少一种进行特权提升。
示例性的,非法指令可以通过混淆或加密文件、在固件升级时绕过升级包校验机制、绕过车辆端蓝牙设备配对验证、绕过硬件安全保护措施、绕过防火墙功能、绕过防御固件提取措施、绕过访问控制策略、绕过系统升级回滚机制、绕过ADB登录机制等方式中的至少一项绕过防御。
可选的,可疑指令可以通过弱口令暴力破解(具体的,对root登录、TELNET登录、SSH登录、FIP/SFIP登录等其中的任一项实施弱密码暴力破解)、IEE漏洞、获取私钥(例如,从PFE证书中获取私钥)等方式中的任意一种获取凭证。
可选的,攻击数据能够基于如下任意一种披露方式进行T-BOX,可选的,披露方式可以包括如下方式中的任意一种或多种:系统发布版本披露、ADB服务权限披露、对于QNX系统,通过判断是否留存远程调试代理pdebug披露、对于QNX系统,通过判断是否留存了开发服务qconn披露、应用APP权限披露、selinux使用情况披露、敏感文件的访问控制权限披露、T-BOX电路板披露、WiFi模块支持算法类型披露、芯片已知漏洞情况披露、第三方库已知漏洞披露、固件中敏感信息泄露披露、系统和应用日志敏感信息披露、绕过分析环境披露、iptables披露、开关端口列表披露、进程列表披露、程序上传披露、位置识别披露。
可选的,非法指令可以通过ISP的APN网络利用作用到其他的组件(横向移动),进而产生擦除设备数据、伪造控车指令等影响力。
可选的,非法指令可以通过如下方式中的任意一种窃取数据,例如,分析V2X通信中的敏感信息、分析各种算法的私钥、从OTA升级过程中获取固件升级包、分析设备日志中的敏感数据、分析文件中的敏感数据或凭据。
可选的,非法指令可以通过如下方式中的任意一种产生命令与控制,例如,标准加密协议、系统端口、DDOS、改变程序状态、伪装、修改控制逻辑、修改参数、程序下载、未经授权的命令消息、欺骗消息等。其中,欺骗消息对应的命令与控制子项可以包括如下方式中的任意一种:1、伪造V2X通信节点,对目标车辆进行攻击;2、篡改V2X通信节点之间的通信内容;3、仿冒伪造T-BOX与云端TSP通讯;4、篡改T-BOX跟TSP的通讯数据;5、重放T-BOX监听端口应用层报文;6、重放短信和信令;7、重放短信和信令;8、重放T-BOX上的MCU模块下发的CAN命令;8、重放T-BOX跟TSP的通讯。
可选的,非法指令的执行可能会产生删除设备数据、控制车辆等网络影响,以及产生获取设备云备份、未经授权远程控制车辆、未经授权远程擦除数据以及未经授权远程跟踪设备等远能程服务影响。
在本申请的实施例中,云服务器可以基于T-BOX相关的入口点、入口点-子项、进入方式、持久化信息、特权提升、防御绕过、获取凭证、凭据访问-子项、披露、横向移动、影响力、数据窃取、命令与控制、网络影响、远程访问影响中的至少两个方面以及每个方面的至少一种方式的排序组合进行出发,建立攻击数据、各关联数据以及攻击指令之间的关联关系,从而得到T-BOX的攻击行为知识库模型。本申请实施例并不对T-BOX的攻击行为知识库模型中每条攻击指令的具体实现进行限定,其可以根据需求设定,此处不再赘述。
可以理解的是,上述介绍了T-BOX的攻击行为知识库模型的建立过程,关于其他车载组件(例如,IVI、网关、OBD)的攻击行为知识库模型的建立过程类似,此处不再赘述。
S603、对至少一个车载组件的攻击行为知识库模型进行量化处理,得到该攻击行为知识库,该攻击行为知识库包括至少一条攻击指令。
在本实施例中,云服务器在得到至少一个车载组件的攻击行为知识库模型后,为了在后续处理过程中提高效率,可以将每个车载组件的攻击行为知识库模型进行量化处理,得到至少一条攻击指令,进而将所有车载组件的攻击行为知识库模型对应的攻击指令进行整合处理,得到攻击行为知识库,即ATT&CK知识库。
S604、将该攻击行为知识库传输至车载终端。
可选的,服务器可以将该攻击行为知识库发送至车载终端,这样车载终端在接收到指令集时,可以基于该攻击行为知识库中的攻击指令判断接收到的指令是否合法。可以理解的是,云服务器只需要在攻击行为知识库首先建立时,将其发送至车载终端,后续只需要将更新信息发送给车载终端即可,无需全量发送,降低了传输成本。
本申请实施例提供的防御攻击的方法,通过获取至少一个车载组件的链式数据集合,该链式数据集合包括:对应车载组件采集的源数据和关联数据,根据每个车载组件的链式数据集合,建立每个车载组件的攻击行为知识库模型,对至少一个车载组件的攻击行为知识库模型进行量化处理,得到该攻击行为知识库,并将其传输至车载终端。该技术方案中,通过将建立攻击行为知识库传输至车载终端,这样车载终端在接收到指令时,能够直接对其进行判断,在保证判断精度的基础上,提高了检测效率。
可选的,在上述各实施例的基础上,图7是本申请第六实施例提供的防御攻击的方法的流程示意图。如图7所示,上述S201可以通过如下步骤实现:
S701、获取外部数据集,该外部数据集包括如下信息中的至少一个:IVI采集的信息、T-BOX采集的信息、CAN网关采集的信息。
在实际应用中,IVI是采用车载专用中央处理器,基于车身总线系统和互联网服务形成的车载综合信息处理系统,因而,非法指令可能通过车身总线系统和互联网进入车辆,故车载终端可以通过IVI获取外部数据。
车载T-BOX是车联网系统的组成部分,其主要用于和后台系统/手机APP通信,实现手机APP的车辆信息显示与控制。由于通过T-BOX,车辆可以按照指定协议访问TSP服务器,并进行数据的收发,不法分子可以通过这个数据通道植入病毒或程序,从而获得汽车的控制权,因而可能存在通过攻击TBOX入侵ECU的风险。故车载终端可以通过T-BOX获取外部数据集。
网关(CAN网关)会连接总线系统,其允许其他通信系统通过该网关接入CAN网络,从而将协议映射到另一个通信模型。因而,攻击数据也可能通过该网关进入车辆,故车载终端可以获取网关采集到的信息。
可以理解的是,本申请实施例并不限定外部数据集的来源,例如,其还可以是从OBD设备获取到的数据等。关于外部数据集的具体来源可以根据实际场景确定,此处不再赘述。
S702、对外部数据集进行预处理,得到标准化的指令集。
在本申请的实施例中,外部数据集可以是远程数据、近场数据或接触类数据,其中,远程数据可以是通过远程命令方式控制车辆状态的数据,近场数据可以是在车辆的近距离范围内通过无线电接口连接车辆,并发出控制信息的数据,接触类数据可以是通过车上的按键启动车辆或关闭车辆的操作。本申请并不对外部数据集的表现形式进行限定。
本申请实施例提供的防御攻击的方法,通过获取外部数据集,对外部数据集进行预处理,得到标准化的指令集,从而将外部数据集处理成车载终端可以识别的形式,为后续指令类型的判断提供了实现可能。
上述介绍了本申请的技术方案,下述通过具体的示例对本申请的方案进行解释说明。
图8是本申请实施例提供的用于防御攻击的车载终端的结构示意图。如图8所示,车载终端可以通过IVI、T-BOX和CAN网关获取外部数据集。可选的,车辆可以通过部署在IVI上的扫描模块、部署在T-BOX和CAN网关上探针等获取外部数据集。其中,外部数据集可以包括正常数据、攻击数据等。
在本申请的实施例中,IVI上的扫描模块可以接收T-BOX和CAN网关传输的数据,并结合自身采集的数据进行对外部数据集进行攻击的判定,从而达到保护车辆安全的目的。
进一步的,本申请实施例还提供了一个车载终端防御系统,示例性的,图9是本申请实施例提供的车载终端防御系统的结构示意图。如图9所示,该系统可以包括车载终端和云服务器。其中,车载终端可以对外部数据集进行数据标准化处理,得到指令集,再将其输入到扫描模块中进行类型判断。可选的,该扫描模块可以结合ATT&CK检测库对输入的指令集进行攻击判断,从而得到扫描报告。
可选的,外部数据集(攻击数据和/或正常数据)主要包括远程数据、近场数据和接触类数据等。
具体的,扫描模块将上述指令集与ATT&CK检测库中的至少一条攻击指令进行比对,得到最大相似度值。例如,当最大相似度值大于或等于80%时,确定该指令的类型为非法指令,并将其阻断;当最大相似度值小于30%,确定该指令为安全指令,并对其放行;当最大相似度值大于或等于30%且小于80%时,确定该指令的类型为可疑指令,此时,需要确定该可疑指令/指令集对应的源数据及其上下文数据和车辆其他方面检测结果形成的数据集合,并上报至云服务器。
可选的,云服务器可以包括数据处理模块、攻击场景挖掘模块、更新模块(用于更新攻击行为知识库和/或车载终端的扫描模块)和更新发布模块。其中,数据处理模块可以接收车载终端发送的可疑指令对应的数据集以及车辆扫描报告,并对其进行格式化处理,并将处理后的数据传输至攻击场景挖掘模块进行新的攻击场景挖掘和旧的攻击场景完善,以及确定出可疑指令的攻击分析结果,通过更新模块进行对ATT&CK检测库和扫描模块进行更新,生成更新信息,最后通过更新发布模块发布到车载终端,使得车载终端根据接收到的更新信息更新ATT&CK检测库和扫描模块。
可选的,在实际应用中,车辆在每次启动时会自动检测ATT&CK检测库和扫描模块是否有更新发布,若有,则先进行更新,再进行检测,若无,则直接检测。车辆中的扫描模块会记录车辆在每次启动到熄火的检测日志,并定期上传到云端,从而为攻击场景挖掘模块提供验证依据。
示例性的,图10为攻击行为知识库的建立和使用过程的框图。如图10所示,云服务器首先根据获取到的车辆IVI的链式数据集合建立车辆IVI的ATT&CK威胁建模模型,基于获取到的车辆T-BOX的链式数据集合建立车辆T-BOX的ATT&CK威胁建模模型,基于获取到的车辆CAN网关的链式数据集合建立车辆CAN网关的ATT&CK威胁建模模型;其次,对车辆IVI的ATT&CK威胁建模模型、车辆T-BOX的ATT&CK威胁建模模型和车辆CAN网关的ATT&CK威胁建模模型进行量化处理得到ATT&CK检测库,从而同步至车载终端,相应的,车载终端中的扫描模块可以基于ATT&CK检测库,从硬件检测、系统检测、通信检测、应用检测、控车检测和隐私检测等方面进行检测,并得到检测结果。
可以理解的是,在本申请的实施例中,ATT&CK检测库包含的车辆中多个车载组件的ATT&CK威胁建模模型,且每个模型会不断的迭代更新,本申请实施例并不对其进行限定。
由上述分析可知,本申请实施例提供的防御攻击的方法,通过云服务器和车载终端的协作能够完成对来自外部的指令集进行攻击判定,从而实现了保护车辆安全的目的。
上述介绍了本申请实施例提到的防御攻击的方法的具体实现,下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图11是本申请第一实施例提供的防御攻击的装置的结构示意图。该装置可以集成车载终端中,也可以通过车载终端实现。如图11所示,在本实施例中,该防御攻击的装置110,包括:获取模块1101、处理模块1102和确定模块1103。
其中,该获取模块1101,用于获取指令集,所述指令集包括:用于控制车辆状态的至少一条指令;
该处理模块1102,用于将所述指令集中的每条指令分别与攻击行为知识库中的至少一条攻击指令进行对比,确定每条指令对应的最大相似度值,每条攻击指令是对至少一个车载组件的链式数据集合进行攻击分析得到的;
该确定模块1103,用于针对所述指令集中的任意一条指令,根据所述指令对应的最大相似度值和预设相似度范围,确定所述指令的类型和处理策略。
在本申请的一种可能设计中,该确定模块1103,具体用于:
在所述指令对应的最大相似度值大于或等于预设相似度范围的上限值时,确定所述指令的类型为非法指令、所述指令的处理策略为阻断;
在所述指令对应的最大相似度值小于预设相似度范围的下限值时,确定所述指令的类型为安全指令、所述指令的处理策略为运行;
在所述指令对应的最大相似度值小于预设相似度范围的上限值且大于或等于预设相似度范围的下限值时,确定所述指令的类型为可疑指令、所述指令的处理策略为对所述可疑指令进行二次判断。
可选的,确定模块1103,还用于在确定所述指令的类型为可疑指令之后,确定所述可疑指令对应的数据集,所述数据集包括:所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告;
在该可能设计中,参照图11所示,该防御攻击的装置110还可以包括:收发模块1104;
收发模块1104,还用于将所述数据集发送至云服务器,从所述云服务器接收所述可疑指令的攻击分析结果,所述攻击分析结果是所述云服务器基于所述数据集对所述可疑指令对应的链式数据进行分析确定的;
确定模块1103,还用于根据所述可疑指令的攻击分析结果,确定所述可疑指令的类型为非法指令或安全指令。
在本申请的实施例中,收发模块1104,还用于接收所述云服务器发送的更新信息,所述更新信息包括针对所述攻击行为知识库的更新内容和/或车载终端中扫描模块的更新内容;
处理模块1102,还用于根据所述更新信息,更新所述攻击行为知识库和/或所述车载终端中的扫描模块。
在本申请的另一种可能设计中,获取模块1101,具体用于获取外部数据集,所述外部数据集包括如下信息中的至少一个:车载信息娱乐系统IVI采集的信息、车载通信盒T-BOX采集的信息、CAN网关采集的信息;
处理模块1102,还用于对所述外部数据集进行预处理,得到标准化的所述指令集。
本申请实施例提供的装置,可用于执行前述任一方法实施例中车载终端的方案,其实现原理和技术效果类似,在此不再赘述。
图12是本申请第二实施例提供的防御攻击的装置的结构示意图。该装置可以集成云服务器中,也可以通过云服务器实现。如图12所示,在本实施例中,该防御攻击的装置120可以包括:接收模块1201、处理模块1202和发送模块1203。
其中,接收模块1201,用于接收车载终端发送的数据集,所述数据集包括:至少一个可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告;
处理模块1202,用于对于每个可疑指令,基于所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告对所述可疑指令的链式数据进行分析,确定所述可疑指令的攻击分析结果,所述攻击分析结果用于指示所述可疑指令实际上为非法指令还是安全指令;
发送模块1203,用于将所述可疑指令的攻击分析结果发送至所述车载终端。
在本申请实施例的一种可能设计中,处理模块1202,具体用于:
根据所述可疑指令对应的源数据、所述源数据的关联数据,确定所述可疑指令对应的入口信息、指示信息和对车辆的影响信息;
根据所述可疑指令对应的入口信息、指示信息和对车辆的影响信息,确定所述可疑指令的攻击分析结果。
在本申请实施例的另一种可能设计中,处理模块1202,还用于根据所述至少一个可疑指令的攻击分析结果,生成更新信息,所述更新信息包括针对攻击行为知识库的更新内容和/或所述车载终端中扫描模块的更新内容;
发送模块1203,还用于将所述更新信息发送至所述车载终端。
示例性的,参照图12所示,该防御攻击的装置120还可以包括:获取模块1204。
获取模块1204,用于在处理模块1202根据所述至少一个可疑指令的攻击分析结果,生成更新信息之前,获取至少一个车载组件的链式数据集合,所述链式数据集合包括:对应车载组件采集的源数据和关联数据;
处理模块1202,还用于根据每个车载组件的链式数据集合,建立每个车载组件的攻击行为知识库模型,以及对所述至少一个车载组件的攻击行为知识库模型进行量化处理,得到所述攻击行为知识库,所述攻击行为知识库包括至少一条攻击指令;
发送模块1203,还用于将所述攻击行为知识库传输至所述车载终端。
本申请实施例提供的装置,可用于执行前述任一方法实施例中云服务器的方案,其实现原理和技术效果类似,在此不再赘述。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,处理模块可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上处理模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
进一步的,根据本申请的实施例,本申请还提供了一种车载终端、云服务器和一种计算机可读存储介质。
图13是用来实现本申请实施例提供的防御攻击的方法的车载终端的框图。在本申请的实施例中,车载终端由车辆中的各种形式的车载组件表示,其是具有处理能力的终端。
示例性的,如图13所示,该车载终端可以包括:至少一个处理器1301、与至少一个处理器1301通信连接的存储器1302;其中,存储器1302存储有可被至少一个处理器1301执行的指令,该指令被至少一个处理器1301执行,以使所述至少一个处理器1301能够执行上述图2至图10所示实施例中车载终端的方案。
可选的,在本申请的实施例中,车载终端还可以包括:输入装置1303和输出装置1304。处理器1301、存储器1302、输入装置1303和输出装置1304可以通过总线或者其他方式连接,图13中以通过总线连接为例。
图14是用来实现本申请实施例提供的防御攻击的方法的云服务器的框图。在本申请的实施例中,云服务器旨在表示各种形式的数字计算机,诸如,工作台、服务器、刀片式服务器、大型计算机和其它适合的计算平台。
示例性的,如图14所示,该云服务器可以包括:至少一个处理器1401、与至少一个处理器1401连接的存储器1402;其中,存储器1402存储有可被至少一个处理器1401执行的指令,该指令被至少一个处理器1401执行,以使所述至少一个处理器1401能够执行上述图2至图10所示实施例中云服务器的方案。
可选的,在本申请的实施例中,云服务器还可以包括:输入装置1403和输出装置1404。处理器1401、存储器1402、输入装置1403和输出装置1404可以通过总线或者其他方式连接,图14中以通过总线连接为例。
可以理解的是,上述图13和图14所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
在上述图13和图14所示的示意图,车载终端和服务器均还可以包括用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在车载终端和云服务器内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。
在上述图13和图14所示的示意图,存储器即为本申请所提供的非瞬时计算机可读存储介质。其中,所述存储器存储有可由至少一个处理器执行的指令,以使所述至少一个处理器执行本申请所提供的方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的方法。
存储器作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的防御攻击的方法对应的程序指令/模块。处理器通过运行存储在存储器中的非瞬时软件程序、指令以及模块,从而执行云服务器的各种功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据终端设备和/或服务器的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端设备和/或服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置可接收输入的数字或字符信息,以及产生与终端设备和/或服务器的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端(车载终端)和云服务器。客户端和云服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-云服务器关系的计算机程序来产生客户端和云服务器的关系。
进一步的,本申请的实施例还提供一种防御攻击的方法,包括:
将获取到的外部指令分别与攻击行为知识库中的至少一条攻击指令进行对比,判断所述外部指令是否为攻击指令;
在确定所述外部指令为攻击指令时,阻断所述攻击指令。
关于该方案的具体实现,可以参见上述图2至图10所示实施例中的记载,此处不再赘述。
根据本申请实施例的技术方案,通过将获取到的外部指令分别与攻击行为知识库中的至少一条攻击指令进行对比,判断该外部指令是否为攻击指令,并且在确定该外部指令为攻击指令时,阻断该攻击指令,能够及时有效的将攻击指令阻断,从而降低了车辆遭受攻击的风险,在一定程度上确保了车辆安全。
根据本申请的实施例,本申请还提供了一种计算机程序产品,包括:计算机程序,计算机程序存储在可读存储介质中,车载终端的至少一个处理器可以从可读存储介质读取计算机程序,至少一个处理器执行计算机程序使得车载终端执行前述任一方法实施例中车载终端的方案。
根据本申请的实施例,本申请还提供了一种计算机程序产品,包括:计算机程序,计算机程序存储在可读存储介质中,云服务器的至少一个处理器可以从可读存储介质读取计算机程序,至少一个处理器执行计算机程序使得云服务器执行前述任一方法实施例中云服务器的方案。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (23)
1.一种防御攻击的方法,包括:
获取指令集,所述指令集包括:用于控制车辆状态的至少一条指令;
将所述指令集中的每条指令分别与攻击行为知识库中的至少一条攻击指令进行对比,确定每条指令对应的最大相似度值,每条攻击指令是对至少一个车载组件的链式数据集合进行攻击分析得到的;
针对所述指令集中的任意一条指令,根据所述指令对应的最大相似度值和预设相似度范围,确定所述指令的类型和处理策略,所述预设相似度范围的上限值和下限值用于将所述指令的类型分为非法指令、可疑指令和安全指令;
当确定出所述指令的类型为可疑指令后,所述方法包括:
将确定的与所述可疑指令对应的数据集发送至云服务器,以使所述云服务器基于所述数据集对所述可疑指令进行二次判断,其中,所述数据集包括:所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告。
2.根据权利要求1所述的方法,其中,所述根据所述指令对应的最大相似度值和预设相似度范围,确定所述指令的类型和处理策略,包括:
在所述指令对应的最大相似度值大于或等于预设相似度范围的上限值时,确定所述指令的类型为非法指令、所述指令的处理策略为阻断;
在所述指令对应的最大相似度值小于预设相似度范围的下限值时,确定所述指令的类型为安全指令、所述指令的处理策略为运行;
在所述指令对应的最大相似度值小于预设相似度范围的上限值且大于或等于预设相似度范围的下限值时,确定所述指令的类型为可疑指令、所述指令的处理策略为对所述可疑指令进行二次判断。
3.根据权利要求2所述的方法,其中,所述方法还包括:
从所述云服务器接收所述可疑指令的攻击分析结果,所述攻击分析结果是所述云服务器基于所述数据集对所述可疑指令对应的链式数据进行分析确定的;
根据所述可疑指令的攻击分析结果,确定所述可疑指令的类型为非法指令或安全指令。
4.根据权利要求3所述的方法,所述方法还包括:
接收所述云服务器发送的更新信息,所述更新信息包括针对所述攻击行为知识库的更新内容和/或车载终端中扫描模块的更新内容;
根据所述更新信息,更新所述攻击行为知识库和/或所述车载终端中的扫描模块。
5.根据权利要求1-4任一项所述的方法,其中,所述获取指令集,包括:
获取外部数据集,所述外部数据集包括如下信息中的至少一个:车载信息娱乐系统IVI采集的信息、车载通信盒T-BOX采集的信息、CAN网关采集的信息;
对所述外部数据集进行预处理,得到标准化的所述指令集。
6.一种防御攻击的方法,包括:
接收车载终端发送的数据集,所述数据集包括:至少一个可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告,所述数据集为所述车载终端在确定出指令为可疑指令之后确定,且所述数据集用于对所述可疑指令进行二次判断;
对于每个可疑指令,基于所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告对所述可疑指令的链式数据进行分析,确定所述可疑指令的攻击分析结果,所述攻击分析结果用于指示所述可疑指令实际上为非法指令还是安全指令;
将所述可疑指令的攻击分析结果发送至所述车载终端。
7.根据权利要求6所述的方法,其中,所述基于所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告对所述可疑指令对应的链式数据进行分析,确定所述可疑指令的攻击分析结果,包括:
根据所述可疑指令对应的源数据、所述源数据的关联数据,确定所述可疑指令对应的入口信息、指示信息和对车辆的影响信息;
根据所述可疑指令对应的入口信息、指示信息和对车辆的影响信息,确定所述可疑指令的攻击分析结果。
8.根据权利要求6或7所述的方法,所述方法还包括:
根据所述至少一个可疑指令的攻击分析结果,生成更新信息,所述更新信息包括针对攻击行为知识库的更新内容和/或所述车载终端中扫描模块的更新内容;
将所述更新信息发送至所述车载终端。
9.根据权利要求8所述的方法,在所述根据所述至少一个可疑指令的攻击分析结果,生成更新信息之前,所述方法还包括:
获取至少一个车载组件的链式数据集合,所述链式数据集合包括:对应车载组件采集的源数据和关联数据;
根据每个车载组件的链式数据集合,建立每个车载组件的攻击行为知识库模型;
对所述至少一个车载组件的攻击行为知识库模型进行量化处理,得到所述攻击行为知识库,所述攻击行为知识库包括至少一条攻击指令;
将所述攻击行为知识库传输至所述车载终端。
10.一种防御攻击的装置,包括:获取模块、处理模块和确定模块;
所述获取模块,用于获取指令集,所述指令集包括:用于控制车辆状态的至少一条指令;
所述处理模块,用于将所述指令集中的每条指令分别与攻击行为知识库中的至少一条攻击指令进行对比,确定每条指令对应的最大相似度值,每条攻击指令是对至少一个车载组件的链式数据集合进行攻击分析得到的;
所述确定模块,用于针对所述指令集中的任意一条指令,根据所述指令对应的最大相似度值和预设相似度范围,确定所述指令的类型和处理策略,所述预设相似度范围的上限值和下限值用于将所述指令的类型分为非法指令、可疑指令和安全指令;
在所述确定模块确定出所述指令的类型为可疑指令后,所述确定模块,还用于:将确定的与所述可疑指令对应的数据集发送至云服务器,以使所述云服务器根据所述数据集对所述可疑指令进行二次判断,其中,所述数据集包括:所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告。
11.根据权利要求10所述的装置,其中,所述确定模块,具体用于:
在所述指令对应的最大相似度值大于或等于预设相似度范围的上限值时,确定所述指令的类型为非法指令、所述指令的处理策略为阻断;
在所述指令对应的最大相似度值小于预设相似度范围的下限值时,确定所述指令的类型为安全指令、所述指令的处理策略为运行;
在所述指令对应的最大相似度值小于预设相似度范围的上限值且大于或等于预设相似度范围的下限值时,确定所述指令的类型为可疑指令、所述指令的处理策略为对所述可疑指令进行二次判断。
12.根据权利要求11所述的装置,其中,
所述装置还包括:收发模块;
所述收发模块,还用于从所述云服务器接收所述可疑指令的攻击分析结果,所述攻击分析结果是所述云服务器基于所述数据集对所述可疑指令对应的链式数据进行分析确定的;
所述确定模块,还用于根据所述可疑指令的攻击分析结果,确定所述可疑指令的类型为非法指令或安全指令。
13.根据权利要求12所述的装置,所述收发模块,还用于接收所述云服务器发送的更新信息,所述更新信息包括针对所述攻击行为知识库的更新内容和/或车载终端中扫描模块的更新内容;
所述处理模块,还用于根据所述更新信息,更新所述攻击行为知识库和/或所述车载终端中的扫描模块。
14.根据权利要求10-13任一项所述的装置,其中,所述获取模块,具体用于获取外部数据集,所述外部数据集包括如下信息中的至少一个:车载信息娱乐系统IVI采集的信息、车载通信盒T-BOX采集的信息、CAN网关采集的信息;
所述处理模块,还用于对所述外部数据集进行预处理,得到标准化的所述指令集。
15.一种防御攻击的装置,包括:接收模块、处理模块和发送模块;
所述接收模块,用于接收车载终端发送的数据集,所述数据集包括:至少一个可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告,所述数据集为所述车载终端在确定出指令为可疑指令之后确定,且所述数据集用于对所述可疑指令进行二次判断;
所述处理模块,用于对于每个可疑指令,基于所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告对所述可疑指令的链式数据进行分析,确定所述可疑指令的攻击分析结果,所述攻击分析结果用于指示所述可疑指令实际上为非法指令还是安全指令;
所述发送模块,用于将所述可疑指令的攻击分析结果发送至所述车载终端。
16.根据权利要求15所述的装置,其中,所述处理模块,具体用于:
根据所述可疑指令对应的源数据、所述源数据的关联数据,确定所述可疑指令对应的入口信息、指示信息和对车辆的影响信息;
根据所述可疑指令对应的入口信息、指示信息和对车辆的影响信息,确定所述可疑指令的攻击分析结果。
17.根据权利要求15或16所述的装置,所述处理模块,还用于根据所述至少一个可疑指令的攻击分析结果,生成更新信息,所述更新信息包括针对攻击行为知识库的更新内容和/或所述车载终端中扫描模块的更新内容;
所述发送模块,还用于将所述更新信息发送至所述车载终端。
18.根据权利要求17所述的装置,还包括:获取模块;
所述获取模块,用于在所述处理模块根据所述至少一个可疑指令的攻击分析结果,生成更新信息之前,获取至少一个车载组件的链式数据集合,所述链式数据集合包括:对应车载组件采集的源数据和关联数据;
所述处理模块,还用于根据每个车载组件的链式数据集合,建立每个车载组件的攻击行为知识库模型,以及对所述至少一个车载组件的攻击行为知识库模型进行量化处理,得到所述攻击行为知识库,所述攻击行为知识库包括至少一条攻击指令;
所述发送模块,还用于将所述攻击行为知识库传输至所述车载终端。
19.一种车载终端,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-5任一项所述的方法。
20.一种云服务器,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求6-9任一项所述的方法。
21.一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行权利要求1-5任一项所述的方法。
22.一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行权利要求6-9任一项所述的方法。
23.一种防御攻击的方法,包括:
将获取到的外部指令分别与攻击行为知识库中的至少一条攻击指令进行对比,根据所述外部指令对应的最大相似度值和预设相似度范围,判断所述外部指令是否为攻击指令,每条攻击指令是对至少一个车载组件的链式数据集合进行攻击分析得到的;
在确定出所述外部指令对应的最大相似度值大于或等于预设相似度范围的上限值,则确定所述外部指令为攻击指令,阻断所述攻击指令;
所述方法还包括:
若所述外部指令对应的最大相似度值处于预设相似度范围,则确定所述外部指令为可疑指令;
将所述可疑指令对应的数据集发送至云服务器,以使所述云服务器基于所述数据集对所述可疑指令进行二次判断,其中,所述数据集包括:所述可疑指令对应的源数据、所述源数据的关联数据和车辆检测报告。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010597499.4A CN111726774B (zh) | 2020-06-28 | 2020-06-28 | 防御攻击的方法、装置、设备及存储介质 |
| US17/124,557 US11797674B2 (en) | 2020-06-28 | 2020-12-17 | Method and apparatus for defending against attacks, device and storage medium |
| EP20217279.7A EP3820115B1 (en) | 2020-06-28 | 2020-12-24 | Method and apparatus for defending against attacks, device and storage medium |
| JP2021032545A JP7241791B2 (ja) | 2020-06-28 | 2021-03-02 | 攻撃を防御するための方法、装置、機器および記憶媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010597499.4A CN111726774B (zh) | 2020-06-28 | 2020-06-28 | 防御攻击的方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111726774A CN111726774A (zh) | 2020-09-29 |
| CN111726774B true CN111726774B (zh) | 2023-09-05 |
Family
ID=72569052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010597499.4A Active CN111726774B (zh) | 2020-06-28 | 2020-06-28 | 防御攻击的方法、装置、设备及存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11797674B2 (zh) |
| EP (1) | EP3820115B1 (zh) |
| JP (1) | JP7241791B2 (zh) |
| CN (1) | CN111726774B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017004620A1 (en) * | 2015-07-02 | 2017-01-05 | Reliaquest Holdings, Llc | Threat intelligence system and method |
| CN112667290A (zh) * | 2020-12-31 | 2021-04-16 | 北京梧桐车联科技有限责任公司 | 指令管理方法、装置、设备及计算机可读存储介质 |
| CN113395288B (zh) * | 2021-06-24 | 2022-06-24 | 浙江德迅网络安全技术有限公司 | 基于sdwan主动防御ddos系统 |
| CN113452700B (zh) * | 2021-06-25 | 2022-12-27 | 阿波罗智联(北京)科技有限公司 | 处理安全信息的方法、装置、设备以及存储介质 |
| CN113642005B (zh) * | 2021-08-17 | 2023-07-21 | 安天科技集团股份有限公司 | 安全防护产品的防御性评估方法、装置、设备及介质 |
| CN113422787B (zh) * | 2021-08-24 | 2021-11-09 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络系统的智能防攻击方法 |
| CN113688382B (zh) * | 2021-08-31 | 2022-05-03 | 中科柏诚科技(北京)股份有限公司 | 基于信息安全的攻击意图挖掘方法及人工智能分析系统 |
| CN113726803B (zh) * | 2021-09-02 | 2023-02-07 | 重庆邮电大学 | 一种基于att&ck矩阵映射的物联网终端威胁检测方法 |
| CN113778900B (zh) * | 2021-09-28 | 2023-06-16 | 中国科学技术大学先进技术研究院 | 基于v2x的自动驾驶测试场信息采集及多车测试方法及系统 |
| CN114900326A (zh) * | 2022-03-30 | 2022-08-12 | 深圳市国电科技通信有限公司 | 终端指令操作的监控和防护方法、系统及存储介质 |
| CN115225308B (zh) * | 2022-05-17 | 2024-03-12 | 国家计算机网络与信息安全管理中心 | 大规模群体攻击流量的攻击团伙识别方法及相关设备 |
| CN114979230B (zh) * | 2022-05-26 | 2024-02-02 | 重庆长安汽车股份有限公司 | 一种车载终端远程调试系统及方法 |
| CN115296860B (zh) * | 2022-07-15 | 2023-08-15 | 智己汽车科技有限公司 | 基于中央计算平台的车辆安全运维运营系统及车辆 |
| CN115150187B (zh) * | 2022-07-28 | 2024-04-26 | 中汽创智科技有限公司 | 车载总线报文安全检测方法、装置、车载终端及存储介质 |
| CN115442249B (zh) * | 2022-08-25 | 2023-09-01 | 广州侨远信息科技有限公司 | 基于大数据和联邦学习技术的网络自动化运维方法及系统 |
| WO2024092384A1 (zh) * | 2022-10-31 | 2024-05-10 | 华为技术有限公司 | 数据管理方法及装置、车载设备和终端设备 |
| CN116127455B (zh) * | 2022-12-31 | 2024-03-15 | 北京海泰方圆科技股份有限公司 | 一种病毒防御方法、装置以及云端浏览器 |
| CN115879162B (zh) * | 2023-02-27 | 2023-05-09 | 北京景安云信科技有限公司 | 一种数据库监测的违规操作告警阻断系统 |
| CN116628767B (zh) * | 2023-07-20 | 2023-10-17 | 常州楠菲微电子有限公司 | 一种预防系统启动后flash系统固件攻击方法及flash控制器 |
| CN117692905B (zh) * | 2024-02-02 | 2024-05-07 | 鹏城实验室 | 汽车网络安全测试方法、装置、介质及设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719783A (zh) * | 2004-07-09 | 2006-01-11 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| JP2013232716A (ja) * | 2012-04-27 | 2013-11-14 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム |
| CN105871816A (zh) * | 2016-03-22 | 2016-08-17 | 乐卡汽车智能科技(北京)有限公司 | 服务器、通信方法、车辆终端、防攻击方法及系统 |
| CN107360175A (zh) * | 2017-07-28 | 2017-11-17 | 广州亿程交通信息有限公司 | 车联网控车安全方法 |
| WO2018121675A1 (zh) * | 2016-12-28 | 2018-07-05 | 北京奇虎科技有限公司 | 一种车辆攻击检测方法和装置 |
| WO2019157943A1 (zh) * | 2018-02-13 | 2019-08-22 | 西安中兴新软件有限责任公司 | 车载数据传输方法及装置、车载远程信息处理器 |
| CN110753321A (zh) * | 2018-07-24 | 2020-02-04 | 上汽通用五菱汽车股份有限公司 | 一种车载tbox与云服务器的安全通信方法 |
| CN108924835B (zh) * | 2018-06-29 | 2021-08-17 | 百度在线网络技术(北京)有限公司 | 车辆控制系统、方法和安全控制单元 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9401923B2 (en) * | 2013-10-23 | 2016-07-26 | Christopher Valasek | Electronic system for detecting and preventing compromise of vehicle electrical and control systems |
| US9282110B2 (en) * | 2013-11-27 | 2016-03-08 | Cisco Technology, Inc. | Cloud-assisted threat defense for connected vehicles |
| US9703955B2 (en) * | 2014-07-17 | 2017-07-11 | VisualThreat Inc. | System and method for detecting OBD-II CAN BUS message attacks |
| EP3326312A4 (en) * | 2015-07-22 | 2019-01-09 | Arilou Information Security Technologies Ltd. | DATA SECURITY FOR VEHICLE COMMUNICATION BUS |
| US10250689B2 (en) * | 2015-08-25 | 2019-04-02 | Robert Bosch Gmbh | Security monitor for a vehicle |
| US10757114B2 (en) | 2015-09-17 | 2020-08-25 | Harman International Industries, Incorporated | Systems and methods for detection of malicious activity in vehicle data communication networks |
| CN105553946B (zh) | 2015-12-08 | 2018-08-14 | 严威 | 基于can总线防火墙的车载系统及其控制方法 |
| JP6649215B2 (ja) | 2015-12-14 | 2020-02-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、ネットワークシステム及び攻撃検知方法 |
| WO2017127639A1 (en) * | 2016-01-20 | 2017-07-27 | The Regents Of The University Of Michigan | Exploiting safe mode of in-vehicle networks to make them unsafe |
| US10601845B2 (en) * | 2016-09-06 | 2020-03-24 | Radware, Ltd. | System and method for predictive attack sequence detection |
| JP6782679B2 (ja) | 2016-12-06 | 2020-11-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 情報処理装置、情報処理方法及びプログラム |
| JP6539363B2 (ja) | 2017-04-07 | 2019-07-03 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正通信検知方法、不正通信検知システム及びプログラム |
| US20180300477A1 (en) * | 2017-04-13 | 2018-10-18 | Argus Cyber Security Ltd. | In-vehicle cyber protection |
| JP7194184B2 (ja) | 2017-07-27 | 2022-12-21 | アップストリーム セキュリティー リミテッド | コネクテッド車両サイバー・セキュリティのためのシステム及び方法 |
| CN108200042A (zh) | 2017-12-28 | 2018-06-22 | 北京奇虎科技有限公司 | 一种车辆安全的检测方法及车辆安全管理平台 |
| US11509499B2 (en) * | 2018-05-02 | 2022-11-22 | Saferide Technologies Ltd. | Detecting abnormal events in vehicle operation based on machine learning analysis of messages transmitted over communication channels |
| US11297089B2 (en) * | 2018-05-02 | 2022-04-05 | Blackberry Limited | Providing secure sensor data to automated machines |
| US20190356685A1 (en) * | 2018-05-18 | 2019-11-21 | GM Global Technology Operations LLC | Detection and localization of attack on a vehicle communication network |
| DE102019113818B4 (de) * | 2018-05-31 | 2023-03-30 | Panasonic Intellectual Property Management Co., Ltd. | Elektronische steuerungseinrichtung, überwachungsverfahren, programm und gateway-einrichtung |
| CN108881267A (zh) | 2018-06-29 | 2018-11-23 | 百度在线网络技术(北京)有限公司 | 车辆异常检测方法、车载终端、服务器及存储介质 |
| KR20200102213A (ko) * | 2019-02-21 | 2020-08-31 | 현대자동차주식회사 | 차량 내 네트워크에서 보안을 제공하는 방법 및 시스템 |
| US11368471B2 (en) | 2019-07-01 | 2022-06-21 | Beijing Voyager Technology Co., Ltd. | Security gateway for autonomous or connected vehicles |
| US11546353B2 (en) * | 2019-07-18 | 2023-01-03 | Toyota Motor North America, Inc. | Detection of malicious activity on CAN bus |
| US11423145B2 (en) * | 2019-12-26 | 2022-08-23 | Intel Corporation | Methods and arrangements for multi-layer in-vehicle network intrusion detection and characterization |
| CN111885060B (zh) | 2020-07-23 | 2021-08-03 | 上海交通大学 | 面向车联网的无损式信息安全漏洞检测系统和方法 |
-
2020
- 2020-06-28 CN CN202010597499.4A patent/CN111726774B/zh active Active
- 2020-12-17 US US17/124,557 patent/US11797674B2/en active Active
- 2020-12-24 EP EP20217279.7A patent/EP3820115B1/en active Active
-
2021
- 2021-03-02 JP JP2021032545A patent/JP7241791B2/ja active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719783A (zh) * | 2004-07-09 | 2006-01-11 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| JP2013232716A (ja) * | 2012-04-27 | 2013-11-14 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム |
| CN105871816A (zh) * | 2016-03-22 | 2016-08-17 | 乐卡汽车智能科技(北京)有限公司 | 服务器、通信方法、车辆终端、防攻击方法及系统 |
| WO2018121675A1 (zh) * | 2016-12-28 | 2018-07-05 | 北京奇虎科技有限公司 | 一种车辆攻击检测方法和装置 |
| CN107360175A (zh) * | 2017-07-28 | 2017-11-17 | 广州亿程交通信息有限公司 | 车联网控车安全方法 |
| WO2019157943A1 (zh) * | 2018-02-13 | 2019-08-22 | 西安中兴新软件有限责任公司 | 车载数据传输方法及装置、车载远程信息处理器 |
| CN108924835B (zh) * | 2018-06-29 | 2021-08-17 | 百度在线网络技术(北京)有限公司 | 车辆控制系统、方法和安全控制单元 |
| CN110753321A (zh) * | 2018-07-24 | 2020-02-04 | 上汽通用五菱汽车股份有限公司 | 一种车载tbox与云服务器的安全通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3820115A3 (en) | 2021-11-03 |
| EP3820115B1 (en) | 2023-07-26 |
| US20210192044A1 (en) | 2021-06-24 |
| JP7241791B2 (ja) | 2023-03-17 |
| JP2021093203A (ja) | 2021-06-17 |
| EP3820115A2 (en) | 2021-05-12 |
| US11797674B2 (en) | 2023-10-24 |
| CN111726774A (zh) | 2020-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111726774B (zh) | 防御攻击的方法、装置、设备及存储介质 | |
| US11509666B2 (en) | Automated security policy generation for controllers | |
| US11012451B2 (en) | Centralized controller management and anomaly detection | |
| US11790074B2 (en) | Context-based secure controller operation and malware prevention | |
| US10642715B1 (en) | Dynamic authorization of requested actions using adaptive context-based matching | |
| US20210044612A1 (en) | In-vehicle apparatus and incident monitoring method | |
| CN103051601B (zh) | 用于提供网络安全的方法 | |
| CN111770069B (zh) | 一种基于入侵攻击的车载网络仿真数据集生成方法 | |
| CN111010384A (zh) | 一种物联网终端自我安全防御系统及其安全防御方法 | |
| CN115001870A (zh) | 信息安全防护系统、方法及存储介质 | |
| CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| Huq et al. | Driving security into connected cars: threat model and recommendations | |
| KR102617219B1 (ko) | 악성 코드를 이용한 침투 테스트 방법 및 장치 | |
| Yekta et al. | VATT&EK: Formalization of Cyber Attacks on Intelligent Transport Systems-a TTP based approach for Automotive and Rail | |
| CN117413490A (zh) | 检测并减轻基于蓝牙的攻击 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20211021 Address after: 100176 101, floor 1, building 1, yard 7, Ruihe West 2nd Road, Beijing Economic and Technological Development Zone, Daxing District, Beijing Applicant after: Apollo Zhilian (Beijing) Technology Co.,Ltd. Address before: 2 / F, baidu building, 10 Shangdi 10th Street, Haidian District, Beijing 100085 Applicant before: BEIJING BAIDU NETCOM SCIENCE AND TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |