CN113347134B - 针对车联网tsp平台的攻击检测方法及系统 - Google Patents
针对车联网tsp平台的攻击检测方法及系统 Download PDFInfo
- Publication number
- CN113347134B CN113347134B CN202010099782.4A CN202010099782A CN113347134B CN 113347134 B CN113347134 B CN 113347134B CN 202010099782 A CN202010099782 A CN 202010099782A CN 113347134 B CN113347134 B CN 113347134B
- Authority
- CN
- China
- Prior art keywords
- data
- feature
- attack
- characteristic
- optimal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种针对车联网TSP平台的攻击检测方法及系统,其中方法包括以下步骤:采集目标TSP平台的通信流量数据;对所述通信流量数据进行数据提取,获得待检测特征值,将所述待检测特征值与预设的攻击识别特征数据进行比较,根据比较结果判断所述待检测特征值中是否存在攻击行为,输出检测结果。本发明能够有效检测出目标TSP平台是否被攻击,进一步保障车联网安全。
Description
技术领域
本发明涉及攻击检测领域,尤其涉及一种针对车联网TSP平台的攻击检测方法及系统。
背景技术
随着车联网通信技术的发展,车联网的安全隐患日益凸显,近几年,全世界范围车联网网络攻击风险不断加剧,已经发生多起针对车联网的网络攻击事件,部分案例中攻击者可控制汽车动力系统,导致驾驶者的生命安全遭到威胁;且应《国家第六阶段机动车污染物排放标准》、《GB/T32960电动汽车远程服务与管理系统技术规范》等要求,车辆终端信息需上传至国家或地方TSP平台,而分析当下车联网攻击事件,主要的车联网攻击威胁事件包括TSP平台攻击、车联网移动应用安全漏洞利用、车载终端安全漏洞利用、通信协议漏洞利用,而其中针对TSP平台的攻击尤为突出,且TSP平台作为车联网服务的中枢,其安全威胁不容忽视。现有方案大多仅将TSP平台的攻击检测纳入传统网站安全监测的范畴,并无考虑车联网特性。
综上,需要对现有技术做进一步改进。
发明内容
本发明针对现有技术中的缺点,提供了一种针对车联网TSP平台的攻击检测方法及系统。
为了解决上述技术问题,本发明通过下述技术方案得以解决:
一种针对车联网TSP平台的攻击检测方法,包括以下步骤:
采集目标TSP平台的通信流量数据;
对所述通信流量数据进行数据提取,获得待检测特征值,将所述待检测特征值与预设的攻击识别特征数据进行比较,根据比较结果判断所述待检测特征值中是否存在攻击行为,输出检测结果。
作为一种可实施方式:
所述通信流量数据包括网络流量数据和/或CDR数据;
所述预设的攻击识别特征数据包括测量数据和/或攻击行为特征数据,其中测量数据包括若干个测量项及其正常运行数据,所述正常运行数据为所述目标TSP平台正常运行时所述测量项的取值范围。
作为一种可实施方式,对所述通信流量数据进行数据提取,获得待检测特征值,将所述待检测特征值与预设的攻击识别特征数据进行比较,根据比较结果判断所述待检测特征值中是否存在攻击行为,输出检测结果的具体步骤为:
所述通信流量数据采用网络流量数据,所述预设的攻击识别特征数据采用测量数据;
基于所述测量项从网络流量数据中提取当前运行数据,所述当前运行数据与所述测量项一一对应,所有提取的当前运行数据构成待检测特征值;
将所述当前运行数据与对应测量项的正常运行数据进行比较,当所述当前运行数据超出所述正常运行数据时,判定存在攻击行为。
作为一种可实施方式,对所述通信流量数据进行数据提取,获得待检测特征值,将所述待检测特征值与预设的攻击识别特征数据进行比较,根据比较结果判断所述待检测特征值中是否存在攻击行为,输出检测结果的具体步骤为:
所述通信流量数据包括网络流量数据和CDR数据;所述预设的攻击识别特征数据包括攻击行为特征数据;
对所述通信流量数据进行特征提取,获得最优网络流量特征数据;
将所述最优网络流量特征数据与所述攻击行为特征数据进行特征匹配,当匹配成功时,判定存在攻击行为。
作为一种可实施方式,对所述通信流量数据进行特征提取,获得最优网络流量特征数据的具体步骤为:
基于预设的提取规则从所述通信流量数据中提取网络流量特征数据,构建第一特征数据集;
基于CFS算法和信息增益算法对所述第一特征数据集进行特征选择,获得第二特征数据集;
基于流量识别特征算法对所述第二特征数据集进行特征提取,获得最优网络流量特征数据。
作为一种可实施方式,还包括恶意代码监测方法。
本发明还提出一种针对车联网TSP平台的攻击检测系统,包括:
数据采集模块,用于采集目标TSP平台的通信流量数据;
攻击检测模块,用于对所述通信流量数据进行数据提取,获得待检测特征值,将所述待检测特征值与预设的攻击识别特征数据进行比较,根据比较结果判断所述待检测特征值中是否存在攻击行为,输出检测结果。
作为一种可实施方式:
所述通信流量数据包括网络流量数据和/或CDR数据;
所述预设的攻击识别特征数据包括测量数据和/或攻击行为特征数据,其中测量数据包括若干个测量项及其正常运行数据,所述正常运行数据为所述目标TSP平台正常运行时所述测量项的取值范围;
所述攻击检测模块包括第一检测单元和/或第二检测单元。
作为一种可实施方式:
所述第一检测单元被配置为:
所述通信流量数据采用网络流量数据,所述预设的攻击识别特征数据采用测量数据;
基于所述测量项从网络流量数据中提取当前运行数据,所述当前运行数据与所述测量项一一对应,所有提取的当前运行数据构成待检测特征值;
将所述当前运行数据与对应测量项的正常运行数据进行比较,当所述当前运行数据超出所述正常运行数据时,判定存在攻击行为,记录所述攻击行为;
所述第二检测单元被配置为:
所述通信流量数据包括网络流量数据和CDR数据;所述预设的攻击识别特征数据包括攻击行为特征数据;
对所述通信流量数据进行特征提取,获得最优网络流量特征数据;
将所述最优网络流量特征数据与所述攻击行为特征数据进行特征匹配,当匹配成功时,判定存在攻击行为。
本发明还提出一种计算机可读存储介质,其存储有计算机程序,其特征在于,该程序被处理器执行时实现上述任意一项所述方法的步骤。
本发明由于采用了以上技术方案,具有显著的技术效果:
本发明通过利用目标TSP平台的通信流量数据与预设的攻击识别特征数据进行比较,从而比较结果实现对攻击行为的识别,基于车联网的特性实现攻击检测,进一步保障车联网的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一种针对车联网TSP平台的攻击检测方法的流程示意图;
图2是本发明一种针对车联网TSP平台的攻击检测系统的模块连接示意图;
图3是实施例6中一种针对车联网TSP平台的攻击检测系统的模块连接示意图。
具体实施方式
下面结合实施例对本发明做进一步的详细说明,以下实施例是对本发明的解释而本发明并不局限于以下实施例。
实施例1、一种针对车联网TSP平台的攻击检测方法,下文中简称为攻击检测方法,如图1所示,包括以下步骤:
S100、采集目标TSP平台的通信流量数据;
S200、对所述通信流量数据进行数据提取,获得待检测特征值,将所述待检测特征值与预设的攻击识别特征数据进行比较,根据比较结果判断所述待检测特征值中是否存在攻击行为,输出检测结果。
车联网具有以TSP平台作为车联网服务的中枢,与各车辆的车载终端以及各第三方平台(企业、地方和国家平台)进行数据交互的特性,由于该特性,当TSP平台被攻击时,其通信流量数据会发生相应改变,本实施例中基于采集的通信流量数据和预设的攻击识别特征数据实现攻击检测,从而进一步保障车联网的安全。
本实施例中,步骤S100中采集目标TSP平台的通信流量数据的步骤为:
获取目标TSP平台地址;
按照所述目标TSP平台地址,采用旁路方式对目标TSP平台的流量数据进行采集,获得全量流量数据,所述全量流量数据至少包括网络流量数据和CDR数据;
本实施例中,将所采集的网络流量数据作为通信数据流量。
采集目标TSP平台的通信流量数据为现有技术,例如可采用现有已公开的镜像技术或分光技术实现,故在本实施例中不对具体采集步骤进行详细介绍。
本实施例中网络流量数据为车载终端(T-BOX或车机娱乐系统)上传信息至目标TSP平台过程中所产生的流量数据,CDR数据为目标TSP平台在企业、地方和国家平台流转过程中所产生的流量数据。
本实施例中,所述预设的攻击识别特征数据为测量数据,所述测量数据包括若干个测量项及其正常运行数据。
所述正常运行数据为所述目标TSP平台正常运行时所述测量项的取值范围,本实施例中所述正常运行数据的获取方式为:预先运行目标TSP平台,收集并统计所述目标TSP平台正常使用时的网络流量数据,获得统计结果,并从统计结果中提取各测试项对应的数据范围作为所述测试项的取值范围;
注:
相关领域的技术人员可根据统计结果和实际需要设计可偏差值,基于所述可偏差值和对应测试项的数据范围设置所述测试项的取值范围。
相关领域的技术人员可根据实际需要自行设置测量项的类别和数量,也可根据实际需要自行设置预先运行目标TSP平台的时长,本实施例不对其做限定;本实施例中测量数据包括IP范围、流量大小、时间特征、访问次数、操作失败次数和延时。
所述步骤S200的具体实现步骤为:
所述通信流量数据采用网络流量数据,所述预设的攻击识别特征数据采用测量数据;
基于所述测量项从网络流量数据中提取当前运行数据,所述当前运行数据与所述测量项一一对应,所有提取的当前运行数据构成待检测特征值;
将所述当前运行数据与对应测量项的正常运行数据进行比较,当所述当前运行数据超出所述正常运行数据时,判定存在攻击行为。
由上可知,本实施例通过预先获取测量数据,并在开始进行攻击检测时,实时获取目标TSP平台的当前运行数据,当某一测试项的当前运行数据大于或小于对应正常运行数据时,即可判定有入侵发生,从而实现对攻击行为的检测。
实施例2、将实施例1所公开的攻击检测方法中通信流量数据由“网络流量数据”更改为“全量流量数据”,并将攻击识别特征数据由“测量数据”更改为“攻击行为特征数据”,其余均等同与实施例1;
上述全量流量数据包括网络流量数据和CDR数据;本实施例中攻击行为特征数据可直接采用现有已公开的网络入侵和系统误用模式数据库,该数据库能够体现传统攻击行为(web攻击、系统攻击、服务攻击、数据库攻击等)下TSP平台的流量特征;
本实施例中,所述步骤S200的具体实现步骤为:
S210、对所述通信流量数据进行特征提取,获得最优网络流量特征数据;具体步骤为:
S211、基于预设的提取规则从所述通信流量数据中提取网络流量特征数据,构建第一特征数据集;
本实施例中,提取规则为基于《GB/T32960电动汽车远程服务与管理系统技术规范》中要求的标准字段格式,该标准字段格式包含61个字段,即,以上述61个字段作为特征,从所述通信流量数据中提取对应特征的数据构成第一特征数据集;
注,本步骤中所述的通信流量数据为全量流量数据。
S212、基于CFS(Correlation based Feature Selection)算法和信息增益算法对所述第一特征数据集进行特征选择,获得第二特征数据集;
本实施例中,所述信息增益算采用现有已公开的最佳优先搜索算法(best firstsearch),所述第二特征数据集为四元组最优特征子集。
步骤S212的具体实现步骤为:
采用所述最佳优先搜索算法对所述第一特征数据集进行搜索获得特征子集,并在所述搜索过程中,基于所述CFS算法对搜索获得的特征子集进行计算,计算结果用于表征所述特征子集中每个特征的预测能力以及相互之间的冗余度,根据所述计算结果生成四元组最优特征子集;
本实施例中,所述四元组最优特征子集包含以下特征:车辆状态、运行模式、车速、车辆位置(经度、纬度);
S213、基于流量识别特征算法对所述第二特征数据集进行特征提取,最优网络流量特征数据。
所述流量识别特征算法可采用现有已公开的基于机器学习的流量特征识别算法,无需详细告知本领域的技术人员也能轻易实现对第二特征数据集的特征提取。
本实施例中,基于流量识别特征算法对所述第二特征数据集进行特征提取,获得八元组最优特征子集,以所述八元组最优特征子集作为最优网络流量特征数据。
S220、将所述最优网络流量特征数据与所述攻击行为特征数据进行特征匹配,当匹配成功时,判定存在攻击行为。
本实施例中攻击行为特征数据为现有已公开的网络入侵和系统误用模式数据库,故将所述最优网络流量特征数据与所述网络入侵和系统误用模式数据库中的对应特征进行特征匹配,当匹配成功时即可判定出现网络入侵和/或系统误用等问题,从而发现违背安全策略的行为。
由上可知,本实施例可以通过对攻击特征模式匹配,实现对网络攻击行为的有效检测;且可根据实际情况对攻击行为特征数据进行更新和扩充,从而不断加强对新型攻击行为的识别能力,进一步提高目标TSP平台的安全性。
实施例3、在实施例1的步骤S200与实施例2所公开的步骤200相结合,其余均等同于实施例1;
即,所述通信流量数据为通信流量数据,所述攻击识别特征数据包括测量数据和攻击行为特征数据;
将通信流量数据按照实施例2所公开的步骤进行特征提取,获得最优网络流量特征数据,并将所述最优网络流量特征数与所述攻击行为特征数据进行特征匹配,当匹配成功时,判定存在攻击行为,并记录所述攻击行为;本步骤具体对新能源汽车的流量数据进行提取分析,故能有效对针对新能源汽车攻击行为进行识别。
同时,将通信流量数据中的网络流量数据按照实施例1所公开的步骤进行数据提取,获得当前运行数据,并将当前运行数据与预设的正常运行数据进行匹配,当出现偏差时,判定存在攻击行为,并记录所述攻击行为;本步骤能够实现对未知的攻击行为的检测,且能够实现针对非新能源汽车的攻击检测,从而克服车联网流量应用复杂化、多样化的特点,多维度的对目标TSP平台实现攻击检测。
进一步的,针对车联网TSP平台的攻击检测方法还包括恶意代码监测方法;
本实施例通过增加恶意代码监测方法,从而能够更全面的对目标TSP平台进行攻击检测,进一步提高目标TSP平台的安全性。
通过执行所述恶意代码监测方法,获得检测到的攻击行为;本实施例中将上述基于攻击特征模式匹配所记录的攻击行为、基于网络流量数据统计分析所记录攻击行为和基于恶意代码监测所记录的攻击行为进行整合,生成攻击检测日志反馈给相关工作人员,从而全面展示目标TSP平台被攻击的情况,为相关企业感知、防控安全风险提供切实有效的支撑。上述恶意代码监测方法可直接采用现有已公开的任一恶意代码监测方法,例如可通过以下步骤实现:
A、样本获取:
本实施例通过爬取公网中目标TSP平台的样本文件,并接收目标TSP平台的服务器监测口流量获取传输日志,解析还原所述样本文件和所述传输日志,获得监测数据。
B、样本检测:
将所述监测数据输入样本检测引擎,由所述样本检测引擎对所述监测数据依次进行基础检测、静态分析和动态分析;
上述基础检测为特征码检测,每个样本文件均包含特征码,如哈希值,本步骤从所述监测数据中提取各样本文件的特征码,对特征码进行监测。
上述静态分析为信息解析,指在不执行二进制的条件下进行分析,例如可采用现有已公开的静态反汇编分析、静态源代码分析、二进制统计分析、反编译分析等手段实现,生成相应的静态分析结果。
上述动态分析是指恶意代码执行的情况下利用程序调试工具对恶意代码开展跟踪和观察,确定恶意代码的工作过程对静态分析结果进行验证,即将恶意代码在沙箱环境中运行进行监测,从而获取文件程序名称、文件MD5、操作系统、编译器版本等信息,生成动态分析结果。
C、综合分析:
对接第三方分析引擎,基于动态分析结果检测样本进程操作、文件操作、系统权限操作、网络连接情况等数据,并由第三方分析引擎进行样本综合鉴定分析、样本威胁关联挖掘、同源性分析等分析过程,综合鉴定样本威胁情况,并发现有关攻击组织,根据分析结果对相应攻击行为进行记录。
上述第三方分析引擎为现有已公开的分析引擎,且上述分析手段均为现有通用技术,故不对其进行详细介绍,相关领域的技术人员也能轻易实现。
实施例4、一种针对车联网TSP平台的攻击检测系统,如图2所示,包括数据采集模块100和攻击检测模块200;
所述数据采集模块100,用于采集目标TSP平台的通信流量数据;
所述攻击检测模块200,用于对所述通信流量数据进行数据提取,获得待检测特征值,将所述待检测特征值与预设的攻击识别特征数据进行比较,根据比较结果判断所述待检测特征值中是否存在攻击行为,输出检测结果。
本实施例中,所述通信流量数据包括网络流量数据;所述预设的攻击识别特征数据包括测量数据,所述测量数据包括若干个测量项及其正常运行数据,所述正常运行数据为所述目标TSP平台正常运行时所述测量项的取值范围;
所述攻击检测模块200采用第一检测单元210,所述第一检测单元210被配置为:
基于所述测量项从网络流量数据中提取当前运行数据,所述当前运行数据与所述测量项一一对应,所有提取的当前运行数据构成待检测特征值;
将所述当前运行数据与对应测量项的正常运行数据进行比较,当所述当前运行数据超出所述正常运行数据时,判定存在攻击行为,记录所述攻击行为。
本实施例为与实施例1相对应的装置实施例,由于其与方法实施例(实施例1)基本相似,所以描述的比较简单,相关之处参见方法实施例(实施例1)的部分说明即可。
实施例5、将实施例4中攻击检测模块200由第一检测单元210变换为第二检测单元220,其余均等同于实施例4;
本实施例中,所述通信流量数据为全量流量数据,所述全量流量数据至少包括网络流量数据和CDR数据;所述预设的攻击识别特征数据包括攻击行为特征数据;
所述第二检测单元220包括特征提取子单元和攻击特征匹配子单元;
所述特征提取子单元,用于对所述通信流量数据进行特征提取,获得最优网络流量特征数据;
所述攻击特征匹配子单元,用于将所述最优网络流量特征数据与所述攻击行为特征数据进行特征匹配,当匹配成功时,判定存在攻击行为。
所述特征提取子单元被配置为:
基于预设的提取规则从所述通信流量数据中提取网络流量特征数据,构建第一特征数据集;
基于CFS算法和信息增益算法对所述第一特征数据集进行特征选择,获得第二特征数据集;
基于流量识别特征算法对所述第二特征数据集进行特征提取,获得最优网络流量特征数据。
本实施例为与实施例2相对应的装置实施例,由于其与方法实施例(实施例2)基本相似,所以描述的比较简单,相关之处参见方法实施例(实施例2)的部分说明即可。
实施例6、于实施例4中攻击检测模块200中增加第二检测单元220,如图3所示,攻击检测模块200包括第一检测单元210和第二检测单元220,其余均等同于实施例4;
所述第二检测单元220为实施例5所公开的第二检测单元220。
本实施例为与实施例3相对应的装置实施例,由于其与方法实施例(实施例3)基本相似,所以描述的比较简单,相关之处参见方法实施例(实施例3)的部分说明即可。
实施例7、一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现实施例1至3任意一项所述方法的步骤。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是:
说明书中提到的“一个实施例”或“实施例”意指结合实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,说明书通篇各个地方出现的短语“一个实施例”或“实施例”并不一定均指同一个实施例。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
此外,需要说明的是,本说明书中所描述的具体实施例,其零、部件的形状、所取名称等可以不同。凡依本发明专利构思所述的构造、特征及原理所做的等效或简单变化,均包括于本发明专利的保护范围内。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离本发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
Claims (6)
1.一种针对车联网TSP平台的攻击检测方法,其特征在于包括以下步骤:
采集目标TSP平台的通信流量数据,所述通信流量数据包括网络流量数据和CDR数据;
对所述通信流量数据进行数据提取,获得待检测特征值,将所述待检测特征值与预设的攻击识别特征数据进行比较,根据比较结果判断所述待检测特征值中是否存在攻击行为,输出检测结果,所述预设的攻击识别特征数据包括攻击行为特征数据,具体步骤为:
基于预设的提取规则从所述通信流量数据中提取网络流量特征数据,构建第一特征数据集;
采用最佳优先搜索算法对所述第一特征数据集进行搜索获得特征子集,并在搜索过程中,基于CFS算法对搜索获得的特征子集进行计算,计算结果用于表征所述特征子集中每个特征的预测能力以及相互之间的冗余度,根据所述计算结果生成四元组最优特征子集,所述四元组最优特征子集包含车辆状态、运行模式、车速和车辆位置;
将所述四元组最优特征子集作为第二特征数据集;
基于流量识别特征算法对所述第二特征数据集进行特征提取,获得八元组最优特征子集,以所述八元组最优特征子集作为最优网络流量特征数据;
将所述最优网络流量特征数据与所述攻击行为特征数据进行特征匹配,当匹配成功时,判定存在攻击行为。
2.根据权利要求1所述的针对车联网TSP平台的攻击检测方法,其特征在于,采集目标TSP平台的通信流量数据的具体步骤为:
获取目标TSP平台地址;
按照所述目标TSP平台地址,采用旁路方式对目标TSP平台的流量数据进行采集,获得全量流量数据,所述全量流量数据包括网络流量数据和CDR数据。
3.根据权利要求1所述的针对车联网TSP平台的攻击检测方法,其特征在于还包括恶意代码监测方法。
4.一种针对车联网TSP平台的攻击检测系统,其特征在于包括:
数据采集模块,用于采集目标TSP平台的通信流量数据,所述通信流量数据包括网络流量数据和CDR数据;
攻击检测模块,用于对所述通信流量数据进行数据提取,获得待检测特征值,将所述待检测特征值与预设的攻击识别特征数据进行比较,根据比较结果判断所述待检测特征值中是否存在攻击行为,输出检测结果;
所述攻击检测模块包括特征提取子单元和攻击特征匹配子单元:
所述特征提取子单元被配置为:
基于预设的提取规则从所述通信流量数据中提取网络流量特征数据,构建第一特征数据集;
采用最佳优先搜索算法对所述第一特征数据集进行搜索获得特征子集,并在搜索过程中,基于CFS算法对搜索获得的特征子集进行计算,计算结果用于表征所述特征子集中每个特征的预测能力以及相互之间的冗余度,根据所述计算结果生成四元组最优特征子集,所述四元组最优特征子集包含车辆状态、运行模式、车速和车辆位置;
将所述四元组最优特征子集作为第二特征数据集;
基于流量识别特征算法对所述第二特征数据集进行特征提取,获得八元组最优特征子集,以所述八元组最优特征子集作为最优网络流量特征数据;
所述攻击特征匹配子单元,用于将所述最优网络流量特征数据与所述攻击行为特征数据进行特征匹配,当匹配成功时,判定存在攻击行为。
5.根据权利要求4所述的针对车联网TSP平台的攻击检测系统,其特征在于,所述数据采集模块被配置为:
获取目标TSP平台地址;
按照所述目标TSP平台地址,采用旁路方式对目标TSP平台的流量数据进行采集,获得全量流量数据,所述全量流量数据包括网络流量数据和CDR数据。
6.一种计算机可读存储介质,其存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至3任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010099782.4A CN113347134B (zh) | 2020-02-18 | 2020-02-18 | 针对车联网tsp平台的攻击检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010099782.4A CN113347134B (zh) | 2020-02-18 | 2020-02-18 | 针对车联网tsp平台的攻击检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113347134A CN113347134A (zh) | 2021-09-03 |
| CN113347134B true CN113347134B (zh) | 2022-07-19 |
Family
ID=77467047
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010099782.4A Active CN113347134B (zh) | 2020-02-18 | 2020-02-18 | 针对车联网tsp平台的攻击检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113347134B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001815A (zh) * | 2022-05-31 | 2022-09-02 | 重庆长安汽车股份有限公司 | 一种车载系统攻击事件监控方法、系统、介质及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107948172A (zh) * | 2017-11-30 | 2018-04-20 | 恒安嘉新(北京)科技股份公司 | 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统 |
| WO2018121675A1 (zh) * | 2016-12-28 | 2018-07-05 | 北京奇虎科技有限公司 | 一种车辆攻击检测方法和装置 |
| CN110535703A (zh) * | 2019-08-30 | 2019-12-03 | 艾西威汽车科技(北京)有限公司 | 一种车联网通信检测方法、装置及平台和计算机可读存储介质 |
| CN110752977A (zh) * | 2019-10-11 | 2020-02-04 | 中国海洋大学 | 一种车联网can总线的异常入侵检测方法及装置 |
-
2020
- 2020-02-18 CN CN202010099782.4A patent/CN113347134B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018121675A1 (zh) * | 2016-12-28 | 2018-07-05 | 北京奇虎科技有限公司 | 一种车辆攻击检测方法和装置 |
| CN107948172A (zh) * | 2017-11-30 | 2018-04-20 | 恒安嘉新(北京)科技股份公司 | 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统 |
| CN110535703A (zh) * | 2019-08-30 | 2019-12-03 | 艾西威汽车科技(北京)有限公司 | 一种车联网通信检测方法、装置及平台和计算机可读存储介质 |
| CN110752977A (zh) * | 2019-10-11 | 2020-02-04 | 中国海洋大学 | 一种车联网can总线的异常入侵检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113347134A (zh) | 2021-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
| CN106828362B (zh) | 汽车信息的安全测试方法及装置 | |
| CN111881452B (zh) | 一种面向工控设备的安全测试系统及其工作方法 | |
| CN112685682B (zh) | 一种攻击事件的封禁对象识别方法、装置、设备及介质 | |
| EP3805928A1 (en) | Analyzing device, analysis system, analysis method, and program | |
| CN105264861A (zh) | 用于检测多阶段事件的方法和设备 | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| EP4024249A1 (en) | Abnormal vehicle detection server and abnormal vehicle detection method | |
| CN114386032A (zh) | 电力物联网设备的固件检测系统及方法 | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| CN109344042B (zh) | 异常操作行为的识别方法、装置、设备及介质 | |
| GB2592132A (en) | Enterprise network threat detection | |
| CN113347134B (zh) | 针对车联网tsp平台的攻击检测方法及系统 | |
| CN115185823A (zh) | 一种车载信息交互系统信息安全测试方法和系统 | |
| CN113704772B (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
| CN113626829A (zh) | 基于漏洞情报的智能终端操作系统漏洞修复方法及系统 | |
| CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 | |
| CN108427882B (zh) | 基于行为特征抽取的安卓软件动态分析检测法 | |
| CN112953895B (zh) | 一种攻击行为检测方法、装置、设备及可读存储介质 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN113660223A (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
| CN111027052A (zh) | 基于应用程序版本虚拟机文档判别方法、装置及存储设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |