CN113641991A - 一种汽车安全审计方法及系统 - Google Patents
一种汽车安全审计方法及系统 Download PDFInfo
- Publication number
- CN113641991A CN113641991A CN202110822761.5A CN202110822761A CN113641991A CN 113641991 A CN113641991 A CN 113641991A CN 202110822761 A CN202110822761 A CN 202110822761A CN 113641991 A CN113641991 A CN 113641991A
- Authority
- CN
- China
- Prior art keywords
- safety
- bpf
- event
- kernel
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000012550 audit Methods 0.000 title claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 26
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000001914 filtration Methods 0.000 abstract 1
- 230000008569 process Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种汽车安全审计方法及系统,方法中首先调用BPF主程序,通过BPF内核模块采集记录系统的安全事件信息;其次BPF主程序将采集到的安全事件上报至云端系统;然后在云端系统中对安全事件处理并分类;最后根据处理分类结果,由云端系统向警报子系统发送告警信息;另外还公开了应用本方法的汽车安全审计系统。本发明利用BPF过滤封包提高了数据的准确性和系统的安全稳定性,分类处理提高了系统执行的高效性,综合全面提升了系统的性能,具有广泛的应用前景。
Description
技术领域
本发明涉及一种汽车安全审计方法及系统,属于智能汽车领域。
背景技术
随着智能汽车技术的发展,在智能汽车中加入的信息娱乐系统(HU)和通信控制系统(TCU)在给驾驶人员的驾驶过程带来便利的同时,也提高了驾驶的舒适性。现有的智能汽车中常用的HU和TCU系统主要基于Linux和Android操作系统,进一步搭载多种功能对应的软硬件设备,包括浏览器、USB连接读取、蓝牙、无线网卡等。而由于其基础操作系统的限制,多种便捷娱乐功能的软硬件也造成了系统漏洞增加的弊端。如腾讯科恩实验室在过去两年里针对特斯拉、宝马、丰田等知名汽车的操作系统的安全攻击测试中,都发现其存在漏洞能够被攻击控制。因此,提高智能汽车操作系统的安全性是智能汽车发展必须要面对处理的问题。
发明内容
发明目的:本发明目的在于提供一种利用eBPF(extended Berkeley PacketFilter,扩展伯克利包过滤)内核技术,发现并记录智能汽车操作系统的安全事件和受攻击行为以提高系统安全性能的汽车安全审计方法及系统。
技术方案:本发明的汽车安全审计方法,包括以下步骤:
(1)调用BPF主程序,通过BPF内核模块采集记录系统的安全事件信息;
(2)BPF主程序将采集到的安全事件上报至云端系统;
(3)在云端系统中对安全事件处理并分类;
(4)根据处理分类结果,由云端系统向警报子系统发送告警信息。
优选的,所述步骤1中,BPF内核模块包括硬盘读写子模块、网络传输子模块、USB设备子模块和蓝牙设备子模块。
所述步骤1中,采集记录系统安全事件包括以下步骤:
11)加载BPF内核模块并挂载到内核挂载点;
12)通过与各内核挂载点相连接的各子模块采集安全事件信息;
13)记录采集到的安全事件信息并与云端系统建立联系。
进一步的,所述步骤2中,采集到的安全事件数据存储在内核Map中,内核Map的作是内核程序与用户态主程序交互数据的通道,BPF主程序对存储在内核Map中的安全事件读取解读后上报云端系统,并且对Map中数据监视。
所述步骤3中,安全事件处理过程包括以下步骤:
31)通过规则引擎配置安全事件数据处理规则;
32)根据处理规则对安全事件数据分类处理,得到数据的种类结果;
33)根据获得的种类结果,执行相应的处理动作。
进一步的,所述步骤31中规则引擎的配置规则包括敏感事件的匹配规则和敏感事件等级,如:安全文件列表、异常网络宽带流量、可信任USB设备列表等。在系统打开敏感文件时,规则指定敏感文件名列表,当事件打开文件中包含敏感文件时,这条事件标记为对应等级敏感事件。
进一步的,所述步骤32中数据种类结果包括敏感文件的读写和USB设备的插拔的三级安全等级、产生网络连接流量和蓝牙设备连接的二级安全等级、其余事件的一级安全等级。
进一步的,所述步骤33中的处理动作包括针对一级安全事件的记录、二级安全事件的通知、三级安全事件的通知并告警。
一种汽车安全审计系统,包括用户端系统和云端系统,所述用户端系统包括BPF内核模块,BPF内核模块通过各功能子模块的采集并记录事件信息;所述云端系统包括配置事件信息规则的规则引擎。
优选的,所述功能子模块包括硬盘读写子模块、网络传输子模块、USB设备子模块和蓝牙设备子模块。
有益效果:与现有技术相比,本发明具有如下显著优点:BPF过滤封包,减少系统负担的同时降低了丢包率,提高了事件数据的准确性;对事件数据采集记录后根据规则引擎处理分类,准确且高效针对性执行对应操作,减少了应对安全攻击时系统损失;从基础系统内核到系统对安全事件的处理,都有效提高系统的安全性能。
附图说明
图1为本发明的方法流程图;
图2为本发明的系统结构图。
具体实施方式
下面结合附图对本发明的技术方案作进一步说明。
如图1所示,本发明的汽车安全审计方法,包括以下步骤:
(1)调用BPF主程序,通过BPF内核模块采集记录系统的安全事件信息;
(2)BPF主程序将采集到的安全事件上报至云端系统;
(3)在云端系统中对安全事件处理并分类;
(4)根据处理分类结果,由云端系统向警报子系统发送告警信息。
优选的,所述步骤1中,BPF内核模块包括硬盘读写子模块、网络传输子模块、USB设备子模块和蓝牙设备子模块。
所述步骤1中,采集记录系统安全事件包括以下步骤:
11)加载BPF内核模块并挂载到内核挂载点;
12)通过与各内核挂载点相连接的各子模块采集安全事件信息;
13)记录采集到的安全事件信息并与云端系统建立联系。
进一步的,所述步骤2中,采集到的安全事件数据存储在内核Map中,内核Map的作是内核程序与用户态主程序交互数据的通道,BPF主程序对存储在内核Map中的安全事件读取解读后上报云端系统,并且对Map中数据监视。
所述步骤3中,安全事件处理过程包括以下步骤:
31)通过规则引擎配置安全事件数据处理规则;
32)根据处理规则对安全事件数据分类处理,得到数据的种类结果;
33)根据获得的种类结果,执行相应的处理动作。
步骤31中规则引擎的配置规则包括敏感事件的匹配规则和敏感事件等级,如:安全文件列表、异常网络宽带流量、可信任USB设备列表等。在系统打开敏感文件时,规则指定敏感文件名列表,当事件打开文件中包含敏感文件时,这条事件标记为对应等级敏感事件。
所述步骤32中数据种类结果包括包括敏感文件的读写和USB设备的插拔的三级安全等级、产生网络连接流量和蓝牙设备连接的二级安全等级、其余事件的一级安全等级。其中,一级为一般性事件,二级为一般安全隐患事件,三级为严重安全事件。应对一级安全事件,执行记录工作;应对二级安全事件,执行安全通知工作;应对三级安全事件,执行安全通知并告警工作。
如图2所示,本发明的汽车安全审计系统,包括用户端系统和云端系统,其中,所述用户端系统包括BPF内核模块,在审计系统工作过程中,硬盘读写子模块、网络传输子模块、USB设备子模块和蓝牙设备子模块分别从硬盘、无线网络、USB和蓝牙获取事件信息,BPF内核模块通过各功能子模块的采集并记录事件信息后,由BPF主程序调用处理,再传递至云端系统;所述云端系统包括配置事件信息规则的规则引擎和系统平台,规则引擎对接受到的事件信息进行分类识别,根据识别结果向系统平台发送相应的执行指令,进而完成安全审计过程。事件的采集、处理、分类识别和指令执行过程如上文所述。
Claims (10)
1.一种汽车安全审计方法,其特征在于,包括以下步骤:
(1)调用BPF主程序,通过BPF内核模块采集记录系统的安全事件信息;
(2)BPF主程序将采集到的安全事件上报至云端系统;
(3)在云端系统中对安全事件处理并分类;
(4)根据处理分类结果,由云端系统向警报子系统发送告警信息。
2.根据权利要求1所述的汽车安全审计方法,其特征在于,所述步骤1中,BPF内核模块包括硬盘读写子模块、网络传输子模块、USB设备子模块和蓝牙设备子模块。
3.根据权利要求1所述的汽车安全审计方法,其特征在于,所述步骤1中,采集记录系统安全事件包括以下步骤:
11)加载BPF内核模块并挂载到内核挂载点;
12)通过与各内核挂载点相连接的各子模块采集安全事件信息;
13)记录采集到的安全事件信息并与云端系统建立联系。
4.根据权利要求1所述的汽车安全审计方法,其特征在于,所述步骤2中,采集到的安全事件数据存储在内核Map中,BPF主程序对存储在内核Map中的安全事件读取解读后上报云端系统。
5.根据权利要求1所述的汽车安全审计方法,其特征在于,所述步骤3中,安全事件处理过程包括以下步骤:
31)通过规则引擎配置安全事件数据处理规则;
32)根据处理规则对安全事件数据分类处理,得到数据的种类结果;
33)根据获得的种类结果,执行相应的处理动作。
6.根据权利要求5所述的汽车安全审计方法,其特征在于,所述步骤31中规则引擎的配置规则包括敏感事件的匹配规则和敏感事件等级。
7.根据权利要求5所述的汽车安全审计方法,其特征在于,所述步骤32中数据种类结果包括敏感文件的读写和USB设备的插拔的三级安全等级、产生网络连接流量和蓝牙设备连接的二级安全等级、其余事件的一级安全等级。
8.根据权利要求5或7所述的汽车安全审计方法,其特征在于,所述步骤33中的处理动作包括针对一级安全事件的记录、二级安全事件的通知、三级安全事件的通知并告警。
9.一种汽车安全审计系统,包括用户端系统和云端系统,其特征在于,所述用户端系统包括通过各功能子模块的采集并记录事件信息的BPF内核模块;所述云端系统包括配置事件信息规则的规则引擎和云端处理器。
10.根据权利要求9所述的汽车安全审计系统,其特征在于,所述功能子模块包括硬盘读写子模块、网络传输子模块、USB设备子模块和蓝牙设备子模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110822761.5A CN113641991A (zh) | 2021-07-21 | 2021-07-21 | 一种汽车安全审计方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110822761.5A CN113641991A (zh) | 2021-07-21 | 2021-07-21 | 一种汽车安全审计方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113641991A true CN113641991A (zh) | 2021-11-12 |
Family
ID=78417880
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110822761.5A Pending CN113641991A (zh) | 2021-07-21 | 2021-07-21 | 一种汽车安全审计方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113641991A (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102529903A (zh) * | 2010-12-31 | 2012-07-04 | 上海博泰悦臻电子设备制造有限公司 | 综合车辆故障检测系统 |
CN104660552A (zh) * | 2013-11-20 | 2015-05-27 | 南京理工高新技术发展有限公司 | 一种wlan网络入侵检测系统 |
CN106936858A (zh) * | 2015-12-29 | 2017-07-07 | 研祥智能科技股份有限公司 | 一种云平台监控系统及方法 |
CN106936859A (zh) * | 2015-12-29 | 2017-07-07 | 研祥智能科技股份有限公司 | 一种云服务器策略部署系统及方法 |
CN110149303A (zh) * | 2019-03-27 | 2019-08-20 | 李登峻 | 一种党校的网络安全预警方法及预警系统 |
CN110851461A (zh) * | 2019-10-31 | 2020-02-28 | 深信服科技股份有限公司 | 非关系型数据库的审计方法、装置和存储介质 |
CN112153002A (zh) * | 2020-08-24 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 告警信息分析方法、装置、计算机设备和存储介质 |
CN112784268A (zh) * | 2021-01-28 | 2021-05-11 | 深信服科技股份有限公司 | 一种主机行为数据的分析方法、装置、设备及存储介质 |
CN112860484A (zh) * | 2021-01-29 | 2021-05-28 | 深信服科技股份有限公司 | 容器运行时异常行为检测、模型训练方法及相关装置 |
-
2021
- 2021-07-21 CN CN202110822761.5A patent/CN113641991A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102529903A (zh) * | 2010-12-31 | 2012-07-04 | 上海博泰悦臻电子设备制造有限公司 | 综合车辆故障检测系统 |
CN104660552A (zh) * | 2013-11-20 | 2015-05-27 | 南京理工高新技术发展有限公司 | 一种wlan网络入侵检测系统 |
CN106936858A (zh) * | 2015-12-29 | 2017-07-07 | 研祥智能科技股份有限公司 | 一种云平台监控系统及方法 |
CN106936859A (zh) * | 2015-12-29 | 2017-07-07 | 研祥智能科技股份有限公司 | 一种云服务器策略部署系统及方法 |
CN110149303A (zh) * | 2019-03-27 | 2019-08-20 | 李登峻 | 一种党校的网络安全预警方法及预警系统 |
CN110851461A (zh) * | 2019-10-31 | 2020-02-28 | 深信服科技股份有限公司 | 非关系型数据库的审计方法、装置和存储介质 |
CN112153002A (zh) * | 2020-08-24 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 告警信息分析方法、装置、计算机设备和存储介质 |
CN112784268A (zh) * | 2021-01-28 | 2021-05-11 | 深信服科技股份有限公司 | 一种主机行为数据的分析方法、装置、设备及存储介质 |
CN112860484A (zh) * | 2021-01-29 | 2021-05-28 | 深信服科技股份有限公司 | 容器运行时异常行为检测、模型训练方法及相关装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600441B (zh) | 联盟链信息发布控制方法及终端设备 | |
CN112905548B (zh) | 一种安全审计系统及方法 | |
CN112256542A (zh) | 基于eBPF的微服务系统性能检测方法、装置和系统 | |
CN111191248B (zh) | 针对Android车载终端系统的漏洞检测系统及方法 | |
CN103023693A (zh) | 一种行为日志数据管理系统及方法 | |
EP3623983A1 (en) | Method and device for identifying security threats, storage medium, processor and terminal | |
CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
CN112784268A (zh) | 一种主机行为数据的分析方法、装置、设备及存储介质 | |
CN110083575A (zh) | 履职监控方法、装置、设备及计算机可读存储介质 | |
WO2021144859A1 (ja) | 侵入経路分析装置および侵入経路分析方法 | |
CN109359251A (zh) | 应用系统使用情况的审计预警方法、装置和终端设备 | |
CN110138780B (zh) | 一种基于探针技术实现物联网终端威胁检测的方法 | |
CN111224807B (zh) | 分布式日志处理方法、装置、设备及计算机存储介质 | |
CN111123892A (zh) | 基于5g技术的远程诊断系统及方法 | |
CN113556335A (zh) | 车载总线安全测试方法和系统 | |
CN113641991A (zh) | 一种汽车安全审计方法及系统 | |
CN112306871A (zh) | 数据处理方法、装置、设备及存储介质 | |
CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
Klement et al. | Man-in-the-OBD: A modular, protocol agnostic firewall for automotive dongles to enhance privacy and security | |
CN115061924A (zh) | 自动化测试案例的生成方法、生成装置 | |
US20230098006A1 (en) | Method and System for Collecting and Managing Vehicle-Generated Data | |
CN115102890A (zh) | 一种车载终端系统入侵检测功能测试系统和方法 | |
CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 | |
CN114884849A (zh) | 基于Adaboost的CAN总线异常检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230308 Address after: 851414 11th Floor, Liuwu Building, Liuwu New District, Lhasa, Tibet Autonomous Region Applicant after: Tibet ningsuan Technology Group Co.,Ltd. Address before: 210001 floor 11, building A1, zone a, Huizhi science and Technology Park, Qixia District, Nanjing, Jiangsu Province Applicant before: DILU TECHNOLOGY Co.,Ltd. |
|
TA01 | Transfer of patent application right |