CN114051220A - 一种基于本体的车联网动态贝叶斯攻击图生成方法及系统 - Google Patents

Abstract

本发明涉及一种基于本体的车联网动态贝叶斯攻击图生成方法，该方法包括以下步骤：步骤1：基于本体的车联网安全要素及其关系建模，从而构建车联网安全本体；步骤2：对车联网安全本体进行实例化，包括车联网安全信息收集和车联网推理规则知识库构建，并将车联网安全信息和相关推理规则输入推理引擎；步骤3：通过基于边缘计算技术的车联网动态贝叶斯攻击图生成算法构建贝叶斯攻击图，用以将车联网网络风险可视化，与现有技术相比，本发明具有形成车联网安全知识的形式化规范表达、降低车联网动态拓扑变化特点带来的贝叶斯攻击图生成延迟以及直观综合地展现车联网系统中的潜在风险等优点。

Description

一种基于本体的车联网动态贝叶斯攻击图生成方法及系统

技术领域

本发明涉及车联网信息安全评估领域，尤其是涉及一种基于本体的车联网动态贝叶斯攻击图生成方法及系统。

背景技术

随着现代汽车智能网联化程度不断加深、车联网V2X(vehicle-to-everything)技术的不断进步，智慧交通领域的成果为人们的日常出行带来了极大便利。但是，在效率和便捷的背后，车联网技术的飞速发展同样也带来了一系列潜在的安全威胁。据报道，仅在2020年1月至9月，针对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击，达到280余万次，其中平台的漏洞、通信的劫持、隐私泄露等风险十分严重。当前车联网系统安全形势严峻，对其进行综合的风险可视化，显然对于车联网安全管理有重要意义。而以色列汽车网络信息安全公司IOActive对收集到的汽车相关漏洞以分数1-5进行危害程度打分时，发现其中72％左右的汽车相关漏洞属于中低可能性类别。这意味总体上漏洞风险等级大多为中度和低度，但大量的中风险和低风险漏洞并不一定意味着没有重大风险。单独来看，这些漏洞可能并不严重，但是当多个漏洞组合起来被利用，造成的风险程度不可估量。由此可见，对于单一漏洞的利用分析是不足的，更具有实际研究意义的是分析利用组合漏洞的多步攻击行为，即利用不止一个漏洞作为跳板不断获取所需的权限或数据来实施对最终目标的攻击行为。

贝叶斯攻击图是一种展示攻击者可能利用的攻击路径的有向图，由不同类型的顶点以及有向边构成，能够可视化地展示攻击者利用不同资产部件上的多个漏洞逐步获取账户以及主机权限的所有潜在路径，更好地将脆弱节点同其在网络中的位置联系起来，便于网络安全管理人员及时识别网络中的关键脆弱组件，有的放矢地实施相应的安全管理策略。当前，针对车联网的安全风险评估集中在单一脆弱点的影响分析，未涉及多个漏洞组合利用带来的安全风险，将贝叶斯攻击图技术应用到车联网网络安全领域，能对车联网系统中存在的漏洞进行组合关联分析，进而更好地进行车联网网络安全管理。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于本体的车联网动态贝叶斯攻击图生成方法及系统。

本发明的目的可以通过以下技术方案来实现：

一种基于本体的车联网动态贝叶斯攻击图生成方法，该方法包括以下步骤：

步骤1：基于本体的车联网安全要素及其关系建模，从而构建车联网安全本体；

步骤2：对车联网安全本体进行实例化，包括车联网安全信息收集和车联网推理规则知识库构建，并将车联网安全信息和相关推理规则输入推理引擎；

步骤3：基于边缘计算技术的车联网动态贝叶斯攻击图生成算法，即通过MulVAL推理引擎，对输入的车联网推理规则知识库和实时收集的安全信息进行关联分析构建贝叶斯攻击图，用以将车联网网络风险可视化。

所述的步骤1中，所述的车联网安全本体包括五类实体：资产类实体、脆弱性组件类实体、漏洞类实体、攻击类实体和攻击者类实体。

所述的资产类实体包括车联网系统各层次中需要进行安全管理的资产设备和敏感信息数据；

所述的脆弱性组件类实体为攻击目标资产中漏洞所在的位置，包括固件Firmware、硬件Hardware、程序Program与服务Service子类，且均为车联网的网络资产中的组件类型；

所述的漏洞类实体为实施攻击的技术突破口，根据漏洞所在位置将漏洞类实体分成各漏洞子类实体：软件漏洞、硬件漏洞以及协议漏洞，所述的漏洞类实体为狭义的、位于软件或硬件上的安全漏洞，不包括人为造成的网络漏洞，人为造成的网络漏洞包括由多个本体类和类间关系表达的配置漏洞和管理漏洞；

所述的攻击类实体包括远距离无线攻击、近距离无线攻击和物理访问攻击，所述的远距离无线攻击包括通过Wifi、蜂窝网络4G、蜂窝网络5G、云平台和GPS进行攻击，近距离无线攻击包括通过蓝牙Bluetooth、无钥匙进入KES系统、专用短程通信DSRC进行攻击，物理访问攻击包括通过攻击者实际的物理接触进行攻击；

所述的攻击者类实体为实施攻击行为的主体，根据攻击者的身份分为内部攻击者和外部攻击者，攻击者具有拥有权限的属性，所述的权限包括根用户root权限、普通用户user权限和命令注入commandInjection权限。

所述的车联网系统的三层架构为云、管和端；

所述的云对应于应用层，用以为智能网联汽车提供智能交通服务，实现对车辆数据的收集、计算、管理和指引的功能，所述的应用层中的设备为各类数据收集处理与云服务支撑服务器，所述的应用层中的设备包括数据库服务器、web服务器和出行导航数据处理服务器；

所述的管对应于网络层，用以传输和处理数据，为车车、车人、车路和车云的数据交互通信提供支持，所述的网络层包括蜂窝网2G、蜂窝网3G、蜂窝网4G、WLAN和卫星通信网络；

所述的端对应于感知层，是数据产生的源头，用以负责对车联位置信息和车辆周边交通信息的采集，感知车辆运行过程中的环境与状态，所述的感知层中的设备包括RFID读写器以及通信终端，所述的通信终端包括车载终端、移动应用端和路侧设备。

所述的车联网安全本体的实体与实体之间的属性包括数据属性和对象属性，所述的数据属性为单个实体具有的属性，所述的对象属性为定义不同实体之间关联关系的属性。

所述的数据属性包括：

资产类实体具有的数据属性包括资产名称、资产所在层级、资产重要性等级和资产运动状态；

脆弱性组件类实体具有的数据属性包括组件名称、组件版本号、组件功能和组件涉及信息的重要性等级，所述的组件功能和组件涉及信息的重要性等级用以计算该组件被攻陷后对资产造成的影响程度；

漏洞类实体具有的数据属性包括漏洞ID、漏洞描述信息、漏洞影响实体、漏洞CVSS评分、漏洞补丁信息和漏洞利用概率Pe；

攻击类实体具有的数据属性包括攻击CAPEC ID、攻击描述、攻击危害等级和攻击所需技能，攻击的前置条件和后置后果通过推理规则描述，不在数据属性中体现；

攻击者类实体具有的数据属性包括攻击者所在位置、攻击者能力和攻击者权限；

所述的对象属性包括：

访问属性access：为对称属性，用以构建资产类实例之间的访问关系；

攻陷属性compromise：用以表明某个攻击实例成功攻陷某个资产实例；

具有组件属性hasComponent：用以表明某个资产实例具有某个组件实例；

具有漏洞属性hasVulnerability：用以表明某个组件实例存在某个漏洞实例；

利用属性exploit：用以表明某个攻击实例需要利用某个漏洞实例进行攻击；

使用属性equippedWith：用以表明某个攻击者实例需要利用某类攻击实施攻击行为。

所述的步骤2中，车联网安全信息包括网络拓扑信息、通信节点配置信息和已发现漏洞信息。

所述的车联网推理规则知识库包括漏洞存在性判断规则、漏洞可利用性判断规则和网络连通性判断规则，不同的推理规则在贝叶斯攻击图构建过程中具有不同功能；

所述的漏洞存在性判断规则用以构建漏洞知识库，从资产的类别和资产的当前版本判断该资产是否存在漏洞；

所述的漏洞可利用性判断规则用以构建单步的攻击路径，判断攻击者当前状态下所拥有的资源是否能够对指定资产进行攻击；

所述的网络连通性判断规则用以构建攻击场景中的网络拓扑关系。

所述的步骤3中，基于MEC的车联网动态贝叶斯攻击图生成算法构建贝叶斯攻击图的过程具体包括以下步骤：

步骤1：采用固定时间间隔进行更新的方法，通过推理引擎，输入车联网贝叶斯攻击图生成规则集，推理生成云平台局部贝叶斯攻击图；

步骤2：在更新完成后到下一次更新的时间段中，车联网云平台的局部贝叶斯攻击图存储在云平台中，以拼接生成全局贝叶斯攻击图；

步骤3：云平台更新局部贝叶斯攻击图后，将攻击者在云平台中某些特殊通信节点上能得到的最强能力及其概率发送至车联网所有服务区的MEC服务器中，作为特殊攻击者信息参与车联网各服务区局部贝叶斯攻击图的生成；

步骤4：服务区内的各类终端将各自的实时安全信息数据库传输至服务区内的网络边缘的MEC服务器；

步骤5：服务区的MEC服务器实时收集本服务区的安全信息和来自云平台的特殊攻击者信息，若发现本服务区的安全信息发生改变则立即使用推理引擎，输入实时安全信息和车联网贝叶斯攻击图生成规则集，实时更新服务区的局部贝叶斯攻击图；

步骤6：服务区的局部贝叶斯攻击图更新后，立即上传至云平台以更新全局贝叶斯攻击图；

步骤7：特殊攻击者既作为最深节点存在于云平台局部贝叶斯攻击图中，也作为一种攻击者节点，即起始节点，存在于各服务区局部贝叶斯攻击图中，通过将云平台局部贝叶斯攻击图和服务区局部贝叶斯攻击图的特殊攻击者节点进行对应的合并，实现云平台局部贝叶斯攻击图和服务区局部贝叶斯攻击图的拼接；

步骤8：当已经存在全局贝叶斯攻击图且只需要更新全局贝叶斯攻击图中某个服务区的部分时，通过删除全局贝叶斯攻击图中的该服务区的部分，并将该服务区的最新局部贝叶斯攻击图与全局贝叶斯攻击图进行拼接，实现局部更新，以进一步减小计算复杂度。

一种实现如所述的车联网动态贝叶斯攻击图生成方法的系统，该系统包括：

车联网安全本体构建模块：构建车联网安全本体，车联网安全本体包括攻击目标、脆弱性组件类实体、漏洞类实体、攻击类实体和攻击者类实体；

车联网本体实例化模块：对车联网安全本体进行实例化，包括车联网安全信息收集和车联网推理规则知识库构建；

车联网动态贝叶斯攻击图生成模块：收集实时安全信息和转化为Datalog语言的相关车联网贝叶斯攻击图生成规则知识库，输入MulVAL推理引擎，生成云平台各个服务区的局部贝叶斯攻击图，进而根据拼接算法将云平台的局部贝叶斯攻击图和各个服务区的局部贝叶斯攻击图拼接生成全局贝叶斯攻击图。

与现有技术相比，本发明具有以下优点：

1、构建了车联网网络安全本体模型，对车联网系统中各类安全要素及关系进行建模，构建了车联网推理规则知识库，对车联网安全知识库中的漏洞利用方法和攻击方法进行了形式化描述；

2、提出了基于MEC的车联网动态贝叶斯攻击图分布式并行拼接生成算法，将贝叶斯攻击图的计算成本分摊到各服务区中，有效地降低了车联网动态拓扑变化特点带来的贝叶斯攻击图生成延迟；

3、基于MEC的车联网动态贝叶斯攻击图生成算法，结合车联网网络架构和网络环境的特点，能够更好地描绘车联网攻击场景，更直观综合地展现车联网系统中的潜在风险。

附图说明

图1为面向车联网的动态贝叶斯攻击图生成方案模型图。

图2为车联网安全本体结构图。

图3为分布式并行贝叶斯攻击图生成系统模型图。

图4为攻击场景拓扑图。

图5为云平台局部贝叶斯攻击图的示意图。

图6为服务区1局部贝叶斯攻击图的示意图。

图7为服务区2局部贝叶斯攻击图的示意图。

图8为服务区3局部贝叶斯攻击图的示意图。

图9为左半部分的全局贝叶斯攻击图。

图10为右半部分的全局贝叶斯攻击图。

图11为拓扑变化后变化部分的全局贝叶斯攻击图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

实施例

如图1所示，本发明提供了一种基于本体的车联网动态贝叶斯攻击图生成方法，该方法包括以下步骤：

步骤1：基于本体的车联网安全要素及其关系建模，结合车联网系统的架构构建车联网安全本体；

步骤2：对车联网安全本体进行实例化，包括车联网安全信息收集和车联网推理规则知识库构建，并将车联网安全信息和相关推理规则输入推理引擎；

步骤3：基于边缘计算技术(Mobile Edge Computing，MEC)的车联网动态贝叶斯攻击图生成算法，即通过MulVAL推理引擎，对输入的车联网推理规则知识库和实时收集的安全信息进行关联分析构建贝叶斯攻击图。

如图2所示，在步骤1中，车联网安全本体构建是在以漏洞为核心的通用网络安全本体基础上进行构建的，通用网络安全本体主要包括三个要素：资产、漏洞和攻击，使用Protégé和OWL语言基于车联网的“云”、“管”和“端”三层架构及其组成以及车联网的安全风险与需求构建了车联网安全本体，车联网安全本体包括五类实体：资产类实体、脆弱性组件类实体、漏洞类实体、攻击类实体和攻击者类实体。

各实体的定义如下：

资产类实体：资产(Asset)为车联网系统各层次中需要进行安全管理的资产设备及敏感信息数据，车联网系统的三层架构为云、管和端，云对应于应用层，用以为智能网联汽车提供智能交通服务，实现对车辆数据的收集、计算、管理和指引的功能，应用层中的设备为各类数据收集处理与云服务支撑服务器，包括数据库服务器、web服务器和出行导航数据处理服务器，管对应于网络层，用以传输和处理数据，为车车、车人、车路和车云的数据交互通信提供支持，网络层包括蜂窝网2G、蜂窝网3G、蜂窝网4G、WLAN和卫星通信网络，端对应于感知层，是数据产生的源头，用以负责对车联位置信息和车辆周边交通信息的采集，感知车辆运行过程中的环境与状态，感知层中的设备包括RFID读写器以及通信终端，通信终端包括车载终端、移动应用端和路侧设备；

脆弱性组件类实体(Component)：指攻击目标资产中漏洞所在的位置，分为固件Firmware、硬件Hardware、程序Program、与服务Service等子类，它们都是车联网网络资产中常见的组件类型；

漏洞类实体(Vulnerability)：是实施攻击的技术突破口，按照漏洞所在位置将漏洞分为软件漏洞、硬件漏洞、以及协议漏洞等。值得注意的是，这里的安全漏洞类仅指狭义的、位于软件或硬件上的安全漏洞，并不包括配置漏洞、管理漏洞等人为造成的网络漏洞，配置漏洞和管理漏洞这些漏洞由多个本体类和类间关系进行表达。

攻击类实体(Attack)：包括远距离无线攻击(Long-rangeWirelessAttack)、近距离无线攻击(Short-rangeWirelessAttack)和物理访问攻击(PhysicalAccessAttack)，其中，远距离无线攻击通过Wifi、蜂窝网络(4G/5G)、云平台、GPS等进行攻击；近距离无线攻击通过蓝牙Bluetooth、无钥匙进入KES(keylessEntranceSystem)、专用短程通信DSRC等进行攻击，物理访问攻击则是通过攻击者实际的物理接触进行攻击；

攻击者类实体(Attacker)：指实施攻击行为的主体，根据攻击者的身份可以分为内部攻击者和外部攻击者，攻击者具有的属性为拥有权限，包括根用户root权限、普通用户user权限和命令注入commandInjection权限等。

所有定义的实体及实体之间的属性有数据属性和对象属性，其中，数据属性为单个实体具有的属性，对象属性为定义不同实体之间关联关系的属性。

数据属性包括：

资产类实体具有的数据属性包括资产名称、资产所在层级、资产重要性等级和资产运动状态；

脆弱性组件类实体具有的数据属性包括组件名称、组件版本号、组件功能和组件涉及信息重要性等级，所述的组件功能和组件涉及信息重要性等级用以计算该组件被攻陷后对资产造成的影响程度；

漏洞类实体具有的数据属性包括漏洞ID、漏洞描述信息、漏洞影响实体、漏洞CVSS评分、漏洞补丁信息和漏洞利用概率Pe；

攻击类实体具有的数据属性包括攻击CAPECID、攻击描述、攻击危害等级和攻击所需技能，攻击的前置条件和后置后果通过推理规则描述，不在数据属性中体现；

攻击者类实体具有的数据属性包括攻击者所在位置、攻击者能力和攻击者权限；

对象属性包括：

访问属性access(Asset1,Asset2)：为对称属性，用以构建资产类实例之间的访问关系；

攻陷属性compromise(Attack1,Asset1)：用以表明某个攻击实例成功攻陷某个资产实例；

具有组件属性hasComponent(Asset1,Component1)：用以表明某个资产实例具有某个组件实例；

具有漏洞属性hasVulnerability(Component1,Vulnerability1)，用以表明某个组件实例存在某个漏洞实例；

利用属性exploit(Attack1,Vulne rability1)：用以表明某个攻击实例需要利用某个漏洞实例进行攻击；

使用属性equippedWith(Attacker1,Attack1)：用以表明某个攻击者实例需要利用某类攻击实施攻击行为。

在步骤2中，构建的车联网推理规则知识库包括漏洞存在性判断规则、漏洞可利用性判断规则和网络连通性判断规则，不同的推理规则承担了贝叶斯攻击图产生过程中的不同功能：

1、漏洞存在性判断规则

漏洞存在性判断规则用于构建漏洞知识库，从资产的类别和资产的当前版本来判断该资产是否存在漏洞，规则为：

Component(？comp)^hasversion(？comp,？x)^Vulnerability(？vul)^hasupdateversion(？vul,？comp,？y)^swrlb:lessThan(？x,？y)->hasVulnerability(？comp,？vul)

Component为脆弱性组件类实体，comp为组件实例，hasversion(？comp,？x)表示组件实例当前的版本为x，Vulnerability为漏洞类实体，vul为漏洞，实例hasupdateversion(？vul,？comp,？y)表示而这个组件记载的漏洞更新的最新版本为y，swrlb:lessThan用以判断x是否小于y，hasVulnerability表示该组件comp存在该漏洞vul。

这条规则的含义为：当实例化实体满足条件：组件实例当前的版本为x，而这个组件记载的漏洞更新的最新版本为y，且x小于y，则认为该组件具有该漏洞。

2、漏洞可利用性判断规则

漏洞可利用性判断规则用于构建单步的攻击路径，判断攻击者当前状态下所拥有的资源是否能够对指定资产进行攻击，规则为：

Asset(？asset)^Component(？comp)^Vulnerability(？vul)^Attacker(？attacker)^Attack(？attack)^hasComponent(？asset,？comp)^hasVulnerability(？comp,？vul)^exploit(？attack,？vul)^equippedWith(？attacker,？attack)^connectWith(？asset,？attacker)->compromise(？attacker,？asset)

Asset为资产类实体，asset为资产实例，Component为脆弱性组件类实体，comp为组件实例，Vulnerability为漏洞类实体，vul为漏洞实例，Attacker为攻击者类实体，attacker为某个攻击者实例，Attack为攻击类实体，attack为某个攻击实例，表示某种攻击方式，hasComponent(？asset,？comp)表示某个资产实例asset具有某个组件实例comp，exploit(？attack,？vul)表示某个攻击实例attack需要利用某个漏洞实例vul进行攻击，equippedWith(？attacker,？attack)表示某个攻击者实例attacker需要利用某个攻击实例attack实施攻击行为，connectWith(？asset,？attacker)表示资产实例asset和某个攻击者实例attacker能够进行通信，compromise(？attacker,？asset)表示某个攻击者attacker实例成功攻陷某个资产实例asset。

这条规则的含义为：当实例化实体满足条件：资产实例有脆弱性组件实例，而该脆弱性组件有漏洞实例，同时有某种攻击方式可以利用该漏洞实例，攻击者具备使用这种攻击方式的知识且能够成功访问资产实例，则能够推理得到该资产能够被攻击者所利用。

该条规则为通用性规则，并未体现漏洞被利用之后具体的攻击后果，实际使用中的规则根据攻击后果的类型可以分为特权提升、横向移动、敏感信息获取、拒绝服务等不同类型的漏洞可利用性判断规则。

3、网络连通性判断规则

网络连通性判断规则用以构建攻击场景中的网络拓扑关系，例子如下所示：

compromise(？asset1,？attacker1)^connectWith(？asset1,？asset2)->connectWith(？attacker1,？asset2)

compromise(？attacker1,？asset1)表示攻击者attacker1实例成功攻陷资产实例asset1，connectWith(？asset1,？asset2)表示资产实例asset1和资产实例asset2能够进行通信，connectWith(？attacker1,？asset2)表示攻击者attacker1与资产实例asset2能够进行通信。

这条规则的含义为：当实例化实体满足条件：资产1被攻击者攻陷且资产1与资产2能够进行通信，则能够推理得到该攻击者与资产2能够进行通信。

如图3所示，在步骤3中，本发明基于MEC的车联网动态贝叶斯攻击图生成算法生成全局贝叶斯攻击图，将分布式并行计算的思想与车联网的C-V2X通信架构以及MEC技术相结合，使得贝叶斯攻击图的分布式并行生成技术能适用于车联网，系统主要分为三个模块：终端、MEC服务器和云服务器，其中终端负责维护车内安全信息数据库；MEC服务器维护服务区内安全信息数据库，并生成实时局部贝叶斯攻击图并上传至云服务器；云服务器接收系统内各服务区局部贝叶斯攻击图，与云平台的局部贝叶斯攻击图拼接，生成全局贝叶斯攻击图。

全局贝叶斯攻击图的生成分为两个过程：生成局部贝叶斯攻击图和拼接攻击图，局部贝叶斯攻击图生成的过程具体为：

生成局部贝叶斯攻击图的过程包括生成云平台的局部贝叶斯攻击图和生成各服务区的局部贝叶斯攻击图：

车联网云平台类似于传统的数据中心网络，其网络中的变化少，主要的安全信息变化是漏洞信息的变化，所以车联网云平台局部贝叶斯攻击图对时效性的要求少，基于以上原因，车联网云平台的局部贝叶斯攻击图生成与分析结果采用固定时间间隔进行更新的方法，在生成或更新车联网云平台的局部贝叶斯攻击图时，采用MulVAL推理引擎，输入车联网贝叶斯攻击图生成规则集，推导生成云平台贝叶斯攻击图，在更新完成后到下一次更新前的这一段时间里，车联网云平台的局部贝叶斯攻击图将存储在云平台中，以拼接生成全局贝叶斯攻击图，云平台更新自己的局部贝叶斯攻击图后，将会把攻击者在云平台中某些特殊通信节点上能得到的最强能力及其概率发送至车联网所有服务区的MEC服务器中，作为“特殊攻击者”信息参与车联网各服务区局部贝叶斯攻击图的生成；

车联网服务区的局部贝叶斯攻击图的生成是整个车联网实时贝叶斯攻击图分布式生成与分析方案的核心，各服务区的局部贝叶斯攻击图通过每个服务区的MEC服务器实时生成，每个MEC服务器实时收集本服务区的实时安全信息(包括来自云平台的“特殊攻击者”信息)，若发现本服务区的安全信息发生改变，如某条安全信息被删除、某条安全信息失效或某条安全信息重新生效等，则立即使用推理引擎，输入实时安全信息和车联网贝叶斯攻击图生成规则集，生成实时局部贝叶斯攻击图，即服务区的安全信息变化将触发MEC服务器更新局部贝叶斯攻击图，服务区的局部贝叶斯攻击图更新后，立即上传至云平台以供更新全局贝叶斯攻击图，由于各服务区的MEC服务器是分布式独立生成局部贝叶斯攻击图的，因此生成整个车联网各服务区子网的所有局部贝叶斯攻击图的平均时间复杂度接近单个服务区子网的时间复杂度，若单个服务区子网的网络规模不变，生成局部贝叶斯攻击图和全局贝叶斯攻击图的时间复杂度将为常数，不论车联网的整体规模有多大，贝叶斯攻击图的生成延迟都很低。

攻击图拼接：

攻击者在云平台中的某些特殊通信节点上能得到的最强能力及其概率将被发送至各MEC服务器，作为“特殊攻击者”信息参与各服务区局部贝叶斯攻击图生成，因此，这些“特殊攻击者”信息为云平台局部贝叶斯攻击图与各服务区局部贝叶斯攻击图间的纽带，特殊“攻击者”信息既作为最深节点存在于云平台局部贝叶斯攻击图中，也作为一种“攻击者”节点，即起始节点，存在于各服务区局部贝叶斯攻击图中，因此，通过将云平台局部贝叶斯攻击图和服务区局部贝叶斯攻击图的“特殊攻击者”信息节点进行对应的合并，从而实现云平台局部贝叶斯攻击图和服务区局部贝叶斯攻击图的拼接，另外，若已经存在全局贝叶斯攻击图，并且只是需要更新全局贝叶斯攻击图中某个服务区的部分，通过只删除全局贝叶斯攻击图中的该服务区部分，并拼接入该服务区的最新局部贝叶斯攻击图，进行局部更新，而不需要改变贝叶斯攻击图的其他部分，进一步减小了计算复杂度。

如图4所示的攻击场景拓扑图，该攻击场景测试用例为一个较为复杂的横跨“云”、“管”和“端”三层的车联网系统，该车联网系统包括一个云平台与三个蜂窝服务区，t₀时刻云平台及各蜂窝服务区的初始用户实体、网络资产、组件、安全漏洞及其关系的安全信息如表1所示，另外，表中还加入了车辆的初始状态的信息作为攻击者初始能力的一部分，如已上锁(静止)、已解锁(静止)和移动中，在生成贝叶斯攻击图前，将表中的安全信息用Datalog语言标准化表达，另外，由于实时贝叶斯攻击图生成的拼接算法要指定云平台需要下发到各蜂窝服务区的特殊节点，这里设定云平台的cloudplat_webserver1为特殊节点，在云平台虚拟机生成局部贝叶斯攻击图后，会将攻击者可能在这些特殊节点得到的最强能力，即“特殊攻击者”信息下发到各蜂窝服务区的MEC服务器虚拟机中，以辅助蜂窝服务区实时生成局部贝叶斯攻击图。

所示的贝叶斯攻击图中，存在三类节点：

方形节点为LEAF型节点，即叶子节点，是一种属性节点，可作为原子攻击的条件，其内容为攻击图生成所需的网络安全信息；

椭圆节点为AND型节点，即“与”节点，又称原子攻击节点，其表示单步攻击，在MulVAL推导引擎中，AND型节点又表示单步基于攻击图生成规则的推导，是攻击图生成规则的实例，AND型节点为真的条件是其所有父节点均为真，即该原子攻击的所有条件都满足才能进行一步原子攻击；

棱形节点为OR型节点，即“或”节点，和LEAF型节点一样是一种属性节点，可作为原子攻击的条件，其表示一次原子攻击后的攻击结果，即经过原子攻击加强后的攻击者能力，OR型节点为真的条件是任一父节点为真，即任一父节点的原子攻击成功后都可得到该节点。

表1测试场景安全信息

t₀时刻车联网贝叶斯攻击图生成：

如图5、图6、图7和图8所示，将测试场景各服务区的安全信息用Datalog语言标准化表示，与构建好的车联网贝叶斯攻击图生成规则集一起输入MulVAL推理引擎即可生成各服务区局部车联网贝叶斯攻击图，其中，云平台贝叶斯攻击图中的节点“11:execCode(cloudplat_webserver1,user)”(攻击者能在cloudplat_webserver1以user用户的权限执行任意代码)是攻击者在云平台cloudplat_webserver1上所能获得的最强能力，因此将该节点作为“特殊攻击者”节点，由于MulVAL推理引擎的限制，将该“特殊攻击者”节点下发至各蜂窝服务区之前，需先将该节点从OR型节点转化为LEAF型节点，本发明的处理方式是在“特殊攻击者”节点的信息描述前加上“pv”(primitivevector)字符串，表示其为“特殊攻击者”节点转化而来的LEAF节点，蜂窝服务区接收到该节点后，通过规则“pvexecCode(cloudplat_webserver1,user)→RULE38(PVrule)→execCode(cloudplat_webserver1,user)”将其重新推导为原本的OR型节点参与贝叶斯攻击图推导。

如图9和图10所示，云平台获取各个服务区的局部贝叶斯攻击图后，将云平台贝叶斯攻击图中的节点“11:execCode(cloudplat_webserver1,user)”即“特殊攻击者”节点作为拼接局部贝叶斯攻击图的纽带，同服务区局部贝叶斯攻击图的“特殊攻击者”节点进行一一对应，从而实现云平台局部贝叶斯攻击图和服务区局部贝叶斯攻击图的拼接，生成全局贝叶斯攻击图。

t₁时刻车联网实时贝叶斯攻击图生成：

本测试场景实例中车联网动态变化的情况为拓扑变化，t₁时刻，原来在服务区3的vehicle9与mobile9移动到服务区2，这一拓扑变化被服务区2和服务区3的MEC服务器收集，vehicle9与mobile9的安全信息在服务区3的MEC服务器中被标为失效，而服务区2的MEC服务器收集到vehicle9与mobile9的安全信息并标为有效，实际实现时，通过删除服务区2的Datalog安全信息文件中与vehicle9、mobile9相关的安全信息条目，并在服务区3的Datalog安全信息文件中加入vehicle9与mobile9的安全信息条目来模拟实现这一过程，服务区的Datalog安全信息文件被更改代表收集到车联网蜂窝服务区的安全信息变化，如图11所示，云平台虚拟机更新了实时全局贝叶斯攻击图和描述服务区2与服务区3贝叶斯攻击图的XML文件，由于vehicle9移动到了蜂窝服务区2中，攻击者无法通过近程V2V与仍在蜂窝服务区3中的vehicle10通信，也就无法利用vehicle10上的可物理近程利用的验证绕过节点，所以更新后的贝叶斯攻击图中经过vehicle10的两条攻击路径消失(原全局贝叶斯攻击图的第8和第9条攻击路径)，服务区3只剩下一条攻击路径(节点6[3]以下部分)，由于vehicle9上的可远程利用的漏洞仍存在，经过vehicle9的攻击路径不变(节点42[2]以下部分，从节点编号可以看到vehicle9的攻击路径现在位于服务区2中)，但风险值减少了，这是因为其对车联网造成的直接损害降低了(无法再攻陷vehicle10)，除此之外，没有新的攻击路径出现。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的工作人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于本体的车联网动态贝叶斯攻击图生成方法，其特征在于，该方法包括以下步骤：

步骤1：基于本体的车联网安全要素及其关系建模，从而构建车联网安全本体；

步骤2：对车联网安全本体进行实例化，包括车联网安全信息收集和车联网推理规则知识库构建，并将车联网安全信息和相关推理规则输入推理引擎；

步骤3：基于边缘计算技术的车联网动态贝叶斯攻击图生成算法，即通过MulVAL推理引擎，对输入的车联网推理规则知识库和实时收集的安全信息进行关联分析构建贝叶斯攻击图，用以将车联网网络风险可视化。

2.根据权利要求1所述的一种基于本体的车联网动态贝叶斯攻击图生成方法，其特征在于，所述的步骤1中，所述的车联网安全本体包括五类实体：资产类实体、脆弱性组件类实体、漏洞类实体、攻击类实体和攻击者类实体。

3.根据权利要求2所述的一种基于本体的车联网动态贝叶斯攻击图生成方法，其特征在于，所述的资产类实体包括车联网系统各层次中需要进行安全管理的资产设备和敏感信息数据；

所述的脆弱性组件类实体为攻击目标资产中漏洞所在的位置，包括固件Firmware、硬件Hardware、程序Program与服务Service子类，且均为车联网的网络资产中的组件类型；

所述的漏洞类实体为实施攻击的技术突破口，根据漏洞所在位置将漏洞类实体分成各漏洞子类实体：软件漏洞、硬件漏洞以及协议漏洞，所述的漏洞类实体为狭义的、位于软件或硬件上的安全漏洞，不包括人为造成的网络漏洞，人为造成的网络漏洞包括由多个本体类和类间关系表达的配置漏洞和管理漏洞；

所述的攻击类实体包括远距离无线攻击、近距离无线攻击和物理访问攻击，所述的远距离无线攻击包括通过Wifi、蜂窝网络4G、蜂窝网络5G、云平台和GPS进行攻击，近距离无线攻击包括通过蓝牙Bluetooth、无钥匙进入KES系统、专用短程通信DSRC进行攻击，物理访问攻击包括通过攻击者实际的物理接触进行攻击；

所述的攻击者类实体为实施攻击行为的主体，根据攻击者的身份分为内部攻击者和外部攻击者，攻击者具有拥有权限的属性，所述的权限包括根用户root权限、普通用户user权限和命令注入commandInjection权限。

4.根据权利要求3所述的一种基于本体的车联网动态贝叶斯攻击图生成方法，其特征在于，所述的车联网系统的三层架构为云、管和端；

所述的云对应于应用层，用以为智能网联汽车提供智能交通服务，实现对车辆数据的收集、计算、管理和指引的功能，所述的应用层中的设备为各类数据收集处理与云服务支撑服务器，所述的应用层中的设备包括数据库服务器、web服务器和出行导航数据处理服务器；

所述的管对应于网络层，用以传输和处理数据，为车车、车人、车路和车云的数据交互通信提供支持，所述的网络层包括蜂窝网2G、蜂窝网3G、蜂窝网4G、WLAN和卫星通信网络；

所述的端对应于感知层，是数据产生的源头，用以负责对车联位置信息和车辆周边交通信息的采集，感知车辆运行过程中的环境与状态，所述的感知层中的设备包括RFID读写器以及通信终端，所述的通信终端包括车载终端、移动应用端和路侧设备。

5.根据权利要求3所述的一种基于本体的车联网动态贝叶斯攻击图生成方法，其特征在于，所述的车联网安全本体的实体与实体之间的属性包括数据属性和对象属性，所述的数据属性为单个实体具有的属性，所述的对象属性为定义不同实体之间关联关系的属性。

6.根据权利要求5所述的一种基于本体的车联网动态贝叶斯攻击图生成方法，其特征在于，所述的数据属性包括：

资产类实体具有的数据属性包括资产名称、资产所在层级、资产重要性等级和资产运动状态；

脆弱性组件类实体具有的数据属性包括组件名称、组件版本号、组件功能和组件涉及信息的重要性等级，所述的组件功能和组件涉及信息的重要性等级用以计算该组件被攻陷后对资产造成的影响程度；

漏洞类实体具有的数据属性包括漏洞ID、漏洞描述信息、漏洞影响实体、漏洞CVSS评分、漏洞补丁信息和漏洞利用概率Pe；

攻击类实体具有的数据属性包括攻击CAPEC ID、攻击描述、攻击危害等级和攻击所需技能，攻击的前置条件和后置后果通过推理规则描述，不在数据属性中体现；

攻击者类实体具有的数据属性包括攻击者所在位置、攻击者能力和攻击者权限；

所述的对象属性包括：

访问属性access：为对称属性，用以构建资产类实例之间的访问关系；

攻陷属性compromise：用以表明某个攻击实例成功攻陷某个资产实例；

具有组件属性hasComponent：用以表明某个资产实例具有某个组件实例；

具有漏洞属性hasVulnerability，用以表明某个组件实例存在某个漏洞实例；

利用属性exploit：用以表明某个攻击实例需要利用某个漏洞实例进行攻击；

使用属性equippedWith：用以表明某个攻击者实例需要利用某类攻击实施攻击行为。

7.根据权利要求1所述的一种基于本体的车联网动态贝叶斯攻击图生成方法，其特征在于，所述的步骤2中，车联网安全信息包括网络拓扑信息、通信节点配置信息和已发现漏洞信息。

8.根据权利要求7所述的一种基于本体的车联网动态贝叶斯攻击图生成方法，其特征在于，所述的车联网推理规则知识库包括漏洞存在性判断规则、漏洞可利用性判断规则和网络连通性判断规则，不同的推理规则在贝叶斯攻击图构建过程中具有不同功能；

所述的漏洞存在性判断规则用以构建漏洞知识库，从资产的类别和资产的当前版本判断该资产是否存在漏洞；

所述的漏洞可利用性判断规则用以构建单步的攻击路径，判断攻击者当前状态下所拥有的资源是否能够对指定资产进行攻击；

所述的网络连通性判断规则用以构建攻击场景中的网络拓扑关系。

9.根据权利要求1所述的一种基于本体的车联网动态贝叶斯攻击图生成方法，其特征在于，所述的步骤3中，基于MEC的车联网动态贝叶斯攻击图生成算法构建贝叶斯攻击图的过程具体包括以下步骤：

步骤1：采用固定时间间隔进行更新的方法，通过推理引擎，输入车联网贝叶斯攻击图生成规则集，推理生成云平台局部贝叶斯攻击图；

步骤2：在更新完成后到下一次更新的时间段中，车联网云平台的局部贝叶斯攻击图存储在云平台中，以拼接生成全局贝叶斯攻击图；

步骤3：云平台更新局部贝叶斯攻击图后，将攻击者在云平台中某些特殊通信节点上能得到的最强能力及其概率发送至车联网所有服务区的MEC服务器中，作为特殊攻击者信息参与车联网各服务区局部贝叶斯攻击图的生成；

步骤4：服务区内的各类终端将各自的实时安全信息数据库传输至服务区内的网络边缘的MEC服务器；

步骤5：服务区的MEC服务器实时收集本服务区的安全信息和来自云平台的特殊攻击者信息，若发现本服务区的安全信息发生改变则立即使用推理引擎，输入实时安全信息和车联网贝叶斯攻击图生成规则集，实时更新服务区的局部贝叶斯攻击图；

步骤6：服务区的局部贝叶斯攻击图更新后，立即上传至云平台以更新全局贝叶斯攻击图；

步骤7：特殊攻击者既作为最深节点存在于云平台局部贝叶斯攻击图中，也作为一种攻击者节点，即起始节点，存在于各服务区局部贝叶斯攻击图中，通过将云平台局部贝叶斯攻击图和服务区局部贝叶斯攻击图的特殊攻击者节点进行对应的合并，实现云平台局部贝叶斯攻击图和服务区局部贝叶斯攻击图的拼接；

步骤8：当已经存在全局贝叶斯攻击图且只需要更新全局贝叶斯攻击图中某个服务区的部分时，通过删除全局贝叶斯攻击图中的该服务区的部分，并将该服务区的最新局部贝叶斯攻击图与全局贝叶斯攻击图进行拼接，实现局部更新，以进一步减小计算复杂度。

10.一种实现如权利要求1～9任一项所述的车联网动态贝叶斯攻击图生成方法的系统，其特征在于，该系统包括：

车联网安全本体构建模块：构建车联网安全本体，车联网安全本体包括攻击目标、脆弱性组件类实体、漏洞类实体、攻击类实体和攻击者类实体；

车联网本体实例化模块：对车联网安全本体进行实例化，包括车联网安全信息收集和车联网推理规则知识库构建；

车联网动态贝叶斯攻击图生成模块：收集实时安全信息和转化为Datalog语言的相关车联网贝叶斯攻击图生成规则知识库，输入MulVAL推理引擎，生成云平台各个服务区的局部贝叶斯攻击图，进而根据拼接算法将云平台的局部贝叶斯攻击图和各个服务区的局部贝叶斯攻击图拼接生成全局贝叶斯攻击图。

Images