CN115001815A - 一种车载系统攻击事件监控方法、系统、介质及电子设备 - Google Patents

Abstract

本发明提供一种车载系统攻击事件监控方法、系统、介质及电子设备，通过预先获取车载娱乐系统在受到各种攻击事件时产生的特征数据，然后采集系统数据，并从系统数据中分离出需要检测监测的目标数据，根据预先建立的匹配规则并对目标数据进行检测，匹配规则用于描述特征数据，检测到目标数据中存在与特征数据匹配的数据时，判定车载娱乐系统存在攻击事件，同时采集系统日志数据、攻击事件的属性，将系统日志数据、攻击事件的属性、目标数据合并，生成攻击日志，以日志的形式展示攻击事件；从而实现对车载娱乐攻击事件的监控。

Description

一种车载系统攻击事件监控方法、系统、介质及电子设备

技术领域

本申请涉及汽车电器技术领域，具体涉及一种车载系统攻击事件监控方法、系统、介质及电子设备。

背景技术

近年来车端安全事件频发，车端安全也越来越受重视。其中车载系统是车端较脆弱，对外接口较多的零部件。因为是用于娱乐的系统，让人安全方面的重视程度不高，但是它较多的对外接口，反而是黑客攻击的对象。所以，车载系统的安全也成为车端安全的热点。但是现有技术中并没有针对车载娱乐系统进行监控，从而导致车载娱乐系统在受到攻击后也难以发觉。

发明内容

鉴于以上所述现有技术的缺点，本发明提供一种车载系统攻击事件监控方法、系统、介质及电子设备，以解决上述技术问题。

本发明提供的一种车载系统攻击事件监控方法，包括步骤：

获取目标数据、目标特征数据、系统日志数据，所述目标特征数据在车载系统受到攻击事件时产生；

将所述目标数据与所述目标特征数据进行匹配；

当所述目标数据中存在与所述目标特征数据匹配的数据时，判定车载系统存在攻击事件；

提取所述攻击事件的属性，并将所述攻击事件的属性、所述系统日志数据、所述目标数据进行合并，生成攻击日志文件；

基于所述攻击日志文件对车载系统的攻击事件进行监控。

可选地，获取目标特征数据，包括：

获取防火墙基于预先设置的白名单对系统数据流拦截时的动作记录，将所述动作记录作为所述目标特征数据。

可选地，获取目标特征数据，包括：

获取包含攻击特征的数据包，将所述包含攻击特征的数据包作为所述目标特征数据。

可选地，获取目标数据，包括：

从车载系统的内核中获取数据流；

对所述数据流进行分解，获取与所述目标特征数据关联的关联数据；

对所述关联数据进行编码或者解码，将所述关联数据转换为预设格式的所述目标数据。

可选地，基于所述攻击日志文件对车载系统的攻击事件进行监控之后，还包括：

获取新的目标特征数据；

按照预先设定的加密规则对所述新的目标特征数据进行加密，获得加密数据；

将所述加密数据发送至所述目标特征数据所在的策略管理模块中，控制所述策略管理模块按照预设的解密规则对所述规则加密数据进行解密，获得所述新的目标特征数据；

根据所述新的目标特征数据对所述策略管理模块中的所述目标特征数据进行更新。

可选地，基于所述攻击日志文件对车载系统的攻击事件进行监控，包括：

按照预定的加密规则对所述攻击日志进行加密，生成加密文件；

将所述加密文件发送至预先设置的监控模块，控制所述监控模块按照预定的解密规则对所述加密文件进行解密，得到所述攻击日志；

通过所述监控模块对所述攻击日志进行展示，并根据展示内容对车载系统的攻击事件进行监控。

可选地，判定车载系统存在攻击事件之后，还包括：

生成报警信号，并输出所述报警信号进行报警。

本发明还提供一种车载系统攻击事件监控系统，包括：

采集模块，用于获取目标数据、目标特征数据、系统日志数据，所述目标特征数据在车载系统受到攻击事件时产生；

匹配模块，用于将所述目标数据与所述目标特征数据进行匹配，并根据匹配结果判断所述目标数据中是否存在与所述目标特征数据匹配的数据；

判定模块，用于当所述目标数据中存在与所述目标特征数据匹配的数据时，判定车载系统存在攻击事件；

日志模块，用于提取所述攻击事件的属性，并将所述攻击事件的属性、所述系统日志数据、所述目标数据进行合并，生成攻击日志文件；

监控模块，基于所述攻击日志文件对车载系统的攻击事件进行监控。

本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述方法。

本发明还提供一种电子终端，包括：处理器及存储器；

所述存储器用于存储计算机程序，所述处理器用于执行所述存储器存储的计算机程序，以使所述终端执行如上述任一项所述方法。

本发明的有益效果：本发明中的一种车载系统攻击事件监控方法、系统、介质及电子设备，通过预先获取车载娱乐系统在受到各种攻击事件时产生的特征数据，然后采集系统数据，并从系统数据中分离出需要检测监测的目标数据，根据预先建立的匹配规则并对目标数据进行检测，匹配规则用于描述特征数据，检测到目标数据中存在与特征数据匹配的数据时，判定车载娱乐系统存在攻击事件，同时采集系统日志数据、攻击事件的属性，将系统日志数据、攻击事件的属性、目标数据合并，生成攻击日志，以日志的形式展示攻击事件；从而实现对车载娱乐攻击事件的监控。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术者来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1是本申请的一示例性实施例示出的车载娱乐系统的实施环境示意图；

图2是本申请的一示例性实施例示出的车载系统攻击事件监控方法的流程图；

图3是本申请的一示例性实施例示出的获取目标特征数据的流程图；

图4是本申请的另一示例性实施例示出的获取目标特征数据的流程图；

图5是本申请的一示例性实施例示出的获取目标数据的流程图；

图6是图2所示实施例中步骤S250之后的一示例性的实施例中的流程图；

图7是图2所示实施例中步骤S250的一示例性的实施例中的流程图；

图8是图2所示实施例中步骤S230之后的一示例性的实施例中的流程图；

图9是本申请的一示例性实施例示出的车载系统攻击事件监控系统的结构框图；

图10示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

具体实施方式

以下将参照附图和优选实施例来说明本申请的实施方式，本领域技术人员可由本说明书中所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本申请的精神下进行各种修饰或改变。应当理解，优选实施例仅为了说明本申请，而不是为了限制本申请的保护范围。

需要说明的是，以下实施例中所提供的图示仅以示意方式说明本申请的基本构想，遂图式中仅显示与本申请中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

在下文描述中，探讨了大量细节，以提供对本申请实施例的更透彻的解释，然而，对本领域技术人员来说，可以在没有这些具体细节的情况下实施本申请的实施例是显而易见的，在其他实施例中，以方框图的形式而不是以细节的形式来示出公知的结构和设备，以避免使本申请的实施例难以理解。

首先需要说明的是，车载娱乐系统发展至今，已经成为一个能够上网的，集互联、控制于一身的车联网系统：除了能够上网，还能进行车身的控制，例如控制车窗，空调，座椅等，此外通过各式各样的传感器，还增加了汽车全景可视系统、汽车驾驶辅助系统。

现有的车载娱乐系统很多是基于安卓系统、Lunix系统等进行二次开发，因此现有的车载娱乐系统相当于一个智能终端，从而实现更加丰富、复杂的功能。但正是由于车载娱乐系统功能越来越丰富，系统本身越来越复杂，导致现有的车载娱乐系统容易受到攻击。

如图1是本申请的一示例性实施例示出的车载娱乐系统应用场景图，现有的车载娱乐系统一般可以实现联网功能，车载互联不但丰富了汽车的娱乐功能，还能作为控制汽车的人机交互界面控制汽车，相当于一个智能终端，例如：车载娱乐系统从服务器中获取地图数据、定位数据，根据地图数据、定位数据进行导航；例如车载娱乐系统从服务器中音乐数据，将音乐数据进行解析、转换后驱动车载音响进行播放。

其中，图1所示的智能终端210可以是智能手机、车载电脑、平板电脑、笔记本电脑或者可穿戴设备等任意支持安装车载娱乐系统的终端设备，但并不限于此。图2所示的服务器220是汽车导航服务器，例如可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器，在此也不进行限制。智能终端210可以通过3G(第三代的移动信息技术)、4G(第四代的移动信息技术)、5G(第五代的移动信息技术)等无线网络与导航服务端220进行通信，本处也不对此进行限制。

如图2所示，在一示例性的实施例中，车载系统攻击事件监控方法至少包括步骤S210至步骤S260，详细介绍如下：

S210.获取目标数据、目标特征数据、系统日志数据，目标特征数据在车载系统受到攻击事件时产生；

首先需要说明的是，系统数据是指车载娱乐系统在运行时产生的所有数据，如播放器的音视频文件数据、导航时的定位数据、地图数据等；特征数据是指车载娱乐系统在遭受攻击事件时，产生的对应的数据，例如系统遭受非法IP访问时，防火墙会对其进行阻拦，然后产生对应的记录，该记录即为特征数据；

目标特征数据是已经经过筛选后的特征数据，目标特征数据根据预先建立的检测规则进行筛选，检测规则用于描述车载娱乐系统遭受攻击后的特性，例如防火墙进行拦截时的记录，基于防火墙进行拦截时的记录建立检测规则，筛选出的目标特征数据便是与防火墙进行拦截动作相关的特征数据。

S220.将目标数据与目标特征数据进行匹配；

目标数据是从车载娱乐系统获取的数据，因此可以通过目标数据反应车载娱乐系统对应部分的工作状态，例如，目标数据是与防火墙相关的数据，通过分析目标数据便可以得到系统防火墙的工作状态。当目标特征数据反应防火墙在受到攻击时的记录时，通过判断目标数据中是否存在与目标特征数据匹配的数据，便可以判断车载娱乐系统的防火墙是否受到攻击。

S230.当目标数据中存在与特征数据匹配的数据时，判定车载系统存在攻击事件；

在本实施例中，不同的特征数据对应不同的攻击事件，通过判断特征数据的类型还可以判断攻击事件的类型；本实施例中并不限于防火墙受到攻击时产生的特征数据，例如：还可以是文件管理器受到攻击时产生的特征数据、还可以是任务管理器受到攻击时产生的特征数据等。

S240.提取攻击事件的属性，并将攻击事件的属性、系统日志数据、目标数据进行合并，生成攻击日志文件；

攻击事件的属性以日志的形式进行记录，其内容至少包含系统时间、攻击规则中匹配的类型、匹配结果、匹配成功数据；在本实施例中，车载娱乐系统基于Lunix内核，因此还需要同时根据时间信息访问Lunix内核，读取该时间相关的系统日志数据，比如系统状态、版本、网络状态等基本数据；然后对攻击事件的属性、系统日志数据、目标数据进行整理合并，生成攻击日志文件；攻击日志文件详细记录了攻击事件的内容、时间信息、以及对应的系统状态信息。

S250.基于攻击日志文件对车载系统的攻击事件进行监控；

具体地，攻击日志文件需要加密后上传至云端，然后通过后台设备接收，接收后解密，并展示在后台进行监控；本实施例中所述的后台，可以是后台系统所安装的设备，如服务器、远程主体、移动终端等。

图3为图2所示实施例中步骤S210在一示例性的实施例中的流程图。如图3所示，获取目标特征数据可以包括步骤S310，详细介绍如下：

S310.获取防火墙基于预先设置的白名单对系统数据流拦截时的动作记录，将动作记录作为目标特征数据。

本实施例中，通过预先建立的检测规则筛选特征数据，获得目标特征数据，检测规则描述了车载娱乐系统受到攻击后的特性，本实施例便是基于防火墙的特性建立的检测规则，检测规则确定了目标特征数据。

同时，因为选用的是安卓系统，该系统自带防火墙功能，即iptables(iptables是与最新的3.5版本Linux内核集成的IP信息包过滤系统)功能，可基于此功能进行匹配规则的设置。预设白名单进iptables，进行阻断，同时记录阻断情况，可根据iptables的防御状态判断攻击事件。

本实施例中具体地，目标特征数据包括：

(1)防火墙基于应用内容的访问控制的记录；

(2)扫描攻击的记录，即Scanning攻击记录；

(3)英特网控制消息协议的请求包，即ICMP请求包；

(4)密码爆破的记录，即password blasting记录；

(5)拒绝服务攻击的记录，即DoS攻击记录；

(6)报文篡改的记录；

(7)欺骗攻击的记录，即Spoofing攻击记录；

(8)空报文；

(9)基于会话状态信息检测及阻断的记录；

(10)防火墙阻断非法使用端口的记录。

图4为图2所示实施例中步骤S210在一示例性的实施例中的流程图。如图3所示，获取目标特征数据可以包括步骤S410，详细介绍如下：

S410.获取包含攻击特征的数据包，将包含攻击特征的数据包作为目标特征数据；

本实施例中，通过预先建立的检测规则筛选特征数据，获得目标特征数据，检测规则描述了车载娱乐系统受到攻击后的特性，本实施例便是基于攻击事件本身的特性建立的检测规则，检测规则确定了目标特征数据；车载娱乐系统遭受攻击之后一般会在系统中存留一些数据包，因此本实施例中的目标特征数据便是这些包含攻击特征的数据包；

具体地，目标特征数据包括：

(1)包含目标系统指令的数据包，具体地包括：包含OS Command(remount)的数据包、包含OS Command(init)的数据包、检测包含OS Command(find)的数据包、包含OSCommand(ps)的数据包、包含OS Command(wget)的数据包、包含OS Command(chown)的数据包、包含OS Command(chmod)的数据包、包含OS Command(rm)的数据包、包含OS Command(kill)的数据包、包含OS Command(shutdown)的数据包、包含OS Command(bash)的数据包；

(2)包含SQL(目标结构化查询语言)的数据包，具体地包括：包含SQL Query(special character)的数据包、包含SQL Query(union)的数据包、包含SQL Query(@@version)的数据包、包含SQL Query(datadir)的数据包、包含SQL Query(select)的数据包、包含SQL Query(drop)的数据包、包含SQL Query(insert)的数据包、包含SQL Query(concat)的数据包、包含SQL Query(sleep)的数据包、包含SQL Query(benchmark)的数据包、包含SQL Query(system_user)的数据包、包含SQL Query(database)的数据包、包含SQLQuery(exec)的数据包、包含SQL Query(declare)的数据包、包含SQL Query(expandprocedure)的数据包；

(3)否包含恶意脚本的数据包，具体地包括：包含恶意脚本(script)的数据包、包含恶意脚本(document.cookie)的数据包、包含恶意脚本(alert)的数据包、包含恶意脚本(img)的数据包、包含恶意脚本(onfocus)的数据包、包含恶意脚本(onblur)的数据包、包含恶意脚本(onchange)的数据包、包含恶意脚本(onclick)的数据包、包含恶意脚本(ondblclick)的数据包、包含恶意脚本(onerror)的数据包、包含恶意脚本(javascript)的数据包、包含恶意脚本(vbscript)的数据包、包含恶意脚本(eval)的数据包；

(4)试图访问车载系统账户文件的数据包；

(5)试图访问拥有备份文件扩展的数据包；

(6)试图访问开发形象管理设定文件的数据包；

(7)试图访问目标格式文件的数据包，具体地包括：试图访问PHP文件的数据包、试图访问ASP及JSP文件的数据包；

(8)试图访问网站服务器设置文件的数据包；

(9)试图访问脚本语言文件的数据包

(10)试图Directory traversal(目录遍历)的数据包；

(11)目标网络请求方式的数据包，具体地包括：试图访问HTTP PUT Method的数据包、试图访问HTTP DELETE Method的数据包。

图5为图2所示实施例中步骤S210在一示例性的实施例中的流程图，获取目标数据可以包括步骤S510至步骤S530，详细介绍如下：

S510.从车载系统的内核中获取数据流；

在本实施例中，车载娱乐系统基于Lunix内核，因此需要将从Lunix内核提取的系统数据流。

S520.对所述数据流进行分解，获取与所述目标特征数据关联的关联数据；

并不是所有采集的系统数据都是有用的，所以需进行一个预处理，进行初步的分解，便于后续检测；预处理即对系统数据进行分解，提取出需要的预设格式的目标数据，例如需要对防火墙相关的数据进行检测，则需要提取出与防火墙相关的数据，以便于后续检测。

S530.对所述关联数据进行编码或者解码，将所述关联数据转换为预设格式的所述目标数据。

编码或者解码的格式根据识别格式来确定，只要能够进行识别即可。

图6为图2所示实施例中步骤S250之后的一示例性的实施例中的流程图，基于攻击日志文件对车载系统的攻击事件进行监控之后还可以包括步骤S610至步骤S520，详细介绍如下：

S610.获取新的目标特征数据；

在一些实施例中，不仅可以按照防火墙特性、攻击事件本身的特性设置检测规则，还可以添加一些其他的检测规则，然后根据其他的检测规则确定目标特征数据，从而实现更大范围的攻击事件检测；

S620.按照预先设定的加密规则对新的目标特征数据进行加密，获得加密数据；

具体地，加密规则包括两种：一是采用https方式进行传输，对匹配规则数据计算SHA256值，进行签名、加密处理，保证匹配规则数据本身的安全；二是采用https加双向认证的方法传递给预先设置的策略管理模块，终端证书和根证书预设在预设的加密模块中保证安全。传输前策略管理模块与安全检测模块进行密钥协商，协商出一个临时密钥，直至此次传输结束都使用临时协商密钥，下次传输，再进行密钥协商，保证密钥的安全。两种方法分别从传输数据本身和传输通道进行保护，可按实际情况进行选择。

S630.将加密数据发送至目标特征数据所在的策略管理模块中，控制策略管理模块按照预设的解密规则对规则加密数据进行解密，获得新的目标特征数据；

策略管理模块用于存储检测规则和目标特征数据，策略管理模块对应地采用解密、验签、验哈希进行解密，或者采用密钥进行解密，以获得新的目标检测数据。

S640.根据新的目标特征数据对目标特征数据进行更新；然后按照新的目标特征数据与对应的目标数据进行匹配。

图7为图2所示实施例中步骤S250的一示例性的实施例中的流程图，基于攻击日志文件对车载系统的攻击事件进行监控可以包括步骤S710至步骤S730：

S710.按照预定的加密规则对攻击日志进行加密，生成加密文件；

具体地，通过调用预设的安全管理模块对攻击日志进行哈希运算、加密处理、签名处理，其中对称加密算法在AES128以上，非对称加解密算法在RSA2048以上，哈希算法在SHA256以上，签名算法采用数字签名。

S720.将加密文件发送至预先设置的监控模块，控制监控模块按照预定的解密规则对加密文件进行解密，得到攻击日志；

攻击日志需增加文件类型以便于后台处理或其他后台接收到日志后可进行识别分类的特征值。将攻击日志储存在某个固定路径下，此路径需提前设定，用于向后台传输数据时，在此路径下提取；最后，通过4G或TBOX等联网模块在固定路径下提取数据并上传至云端。云端根据特征值识别出为攻击日志，对日志进行解密、验签、验哈希，通过后识别日志。

S730.通过监控模块对攻击日志进行展示，并根据展示内容对车载系统的攻击事件进行监控；

监控模块即为后台，通过后台对攻击日志进行可视化展示，从而实现对攻击事件的监控。

图8为图2所示实施例中步骤S230之后的一示例性的实施例中的流程图，判定车载系统存在攻击事件之后还可以包括步骤S810：

S810.生成报警信号，并输出报警信号进行报警。

在判断车载娱乐系统中存在攻击事件后，除了生成攻击日志之后，还生成报警信号进行报警，从而对使用者进行提示。

本申请中的一种车载系统攻击事件监控方法，通过预先获取车载娱乐系统在受到各种攻击事件时产生的特征数据，然后采集系统数据，并从系统数据中分离出需要检测监测的目标数据，根据预先建立的匹配规则并对目标数据进行检测，匹配规则用于描述特征数据，检测到目标数据中存在与特征数据匹配的数据时，判定车载娱乐系统存在攻击事件，同时采集系统日志数据、攻击事件的属性，将系统日志数据、攻击事件的属性、目标数据合并，生成攻击日志，以日志的形式展示攻击事件；从而实现对车载娱乐攻击事件的监控。

如图9所示，本申请还提供一种车载系统攻击事件监控系统，包括：

第一采集单元，用于获取目标数据、目标特征数据、系统日志数据，所述目标特征数据在车载系统受到攻击事件时产生；

匹配模块，用于将所述目标数据与所述目标特征数据进行匹配，并根据匹配结果判断所述目标数据中是否存在与所述目标特征数据匹配的数据；

判定模块，用于当所述目标数据中存在与所述目标特征数据匹配的数据时，判定车载系统存在攻击事件；

日志模块，用于提取所述攻击事件的属性，并将所述攻击事件的属性、所述系统日志数据、所述目标数据进行合并，生成攻击日志文件；

监控模块，基于所述攻击日志文件对车载系统的攻击事件进行监控。

本申请中的一种车载系统攻击事件监控系统，还包括：

第二采集单元，用于从车载系统的内核中获取数据流；

预处理模块，用于对数据流进行分解，获取与目标特征数据关联的关联数据；

编解码模块，用于对关联数据进行编码或者解码，将关联数据转换为预设格式的目标数据；

策略管理模块，用于存放特征数据，特征数据为车载娱乐系统受到多种攻击事件后产生的数据，并根据预设的检测规则对特征数据进行筛选，得到目标特征数据；

安全管理模块，

其中，第一采集单元和第二采集单元归属于采集模块；匹配模块、判定模块、预处理模块、编解码模块归属于安全检测子系统。

本申请中的一种车载系统攻击事件监控系统，通过预先获取车载娱乐系统在受到各种攻击事件时产生的特征数据，然后采集系统数据，并从系统数据中分离出需要检测监测的目标数据，根据预先建立的匹配规则并对目标数据进行检测，匹配规则用于描述特征数据，检测到目标数据中存在与特征数据匹配的数据时，判定车载娱乐系统存在攻击事件，同时采集系统日志数据、攻击事件的属性，将系统日志数据、攻击事件的属性、目标数据合并，生成攻击日志，以日志的形式展示攻击事件；从而实现对车载娱乐攻击事件的监控。

需要说明的是，上述实施例所提供的路况刷新装置与上述实施例所提供的路况刷新方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。上述实施例所提供的路况刷新装置在实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能，本处也不对此进行限制。

本申请的实施例还提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现上述各个实施例中提供的路况刷新方法。

图10示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。需要说明的是，图10示出的电子设备的计算机系统1000仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图10所示，计算机系统1000包括中央处理单元(Central Processing Unit，CPU)1001，其可以根据存储在只读存储器(Read-Only Memory，ROM)1002中的程序或者从储存部分1008加载到随机访问存储器(Random Access Memory，RAM)1003中的程序而执行各种适当的动作和处理，例如执行上述实施例中所述的方法。在RAM1003中，还存储有系统操作所需的各种程序和数据。CPU 1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(Input/Output，I/O)接口1005也连接至总线1004。

以下部件连接至I/O接口1005：包括键盘、鼠标等的输入部分1006；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分1007；包括硬盘等的储存部分1008；以及包括诸如LAN(Local AreaNetwork，局域网)卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1010上，以便于从其上读出的计算机程序根据需要被安装入储存部分1008。

特别地，根据本申请的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分1009从网络上被下载和安装，和/或从可拆卸介质1011被安装。在该计算机程序被中央处理单元(CPU)1001执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

本申请的另一方面还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前所述的路况刷新方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的，也可以是单独存在，而未装配入该电子设备中。

本申请的另一方面还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各个实施例中提供的路况刷新方法。

上述实施例仅示例性说明本申请的原理及其功效，而非用于限制本申请。任何熟悉此技术的人士皆可在不违背本申请的精神及范畴下，对上述实施例进行修饰或改变。因此，但凡所属技术领域中具有通常知识者在未脱离本申请所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本申请的权利要求所涵盖。

Claims (10)

1.一种车载系统攻击事件监控方法，其特征在于，包括步骤：

获取目标数据、目标特征数据、系统日志数据，所述目标特征数据在车载系统受到攻击事件时产生；

将所述目标数据与所述目标特征数据进行匹配；

在所述目标数据中存在与所述目标特征数据匹配的数据时，判定车载系统存在攻击事件；

提取所述攻击事件的属性，并将所述攻击事件的属性、所述系统日志数据、所述目标数据进行合并，生成攻击日志文件；

基于所述攻击日志文件对车载系统的攻击事件进行监控。

2.根据权利要求1所述的一种车载系统攻击事件监控方法，其特征在于，获取目标特征数据，包括：

获取防火墙基于预先设置的白名单对系统数据流拦截时的动作记录，将所述动作记录作为所述目标特征数据。

3.根据权利要求1所述的一种车载系统攻击事件监控方法，其特征在于，获取目标特征数据，包括：

获取包含攻击特征的数据包，将所述包含攻击特征的数据包作为所述目标特征数据。

4.根据权利要求1所述的一种车载系统攻击事件监控方法，其特征在于，获取目标数据，包括：

从车载系统的内核中获取数据流；

对所述数据流进行分解，获取与所述目标特征数据关联的关联数据；

对所述关联数据进行编码或者解码，将所述关联数据转换为预设格式的所述目标数据。

5.根据权利要求1所述的一种车载系统攻击事件监控方法，其特征在于，基于所述攻击日志文件对车载系统的攻击事件进行监控之后，还包括：

获取新的目标特征数据；

按照预先设定的加密规则对所述新的目标特征数据进行加密，获得加密数据；

将所述加密数据发送至所述目标特征数据所在的策略管理模块中，控制所述策略管理模块按照预设的解密规则对所述规则加密数据进行解密，获得所述新的目标特征数据；

根据所述新的目标特征数据对所述策略管理模块中的所述目标特征数据进行更新。

6.根据权利要求1所述的一种车载系统攻击事件监控方法，其特征在于，基于所述攻击日志文件对车载系统的攻击事件进行监控，包括：

按照预定的加密规则对所述攻击日志进行加密，生成加密文件；

将所述加密文件发送至预先设置的监控模块，控制所述监控模块按照预定的解密规则对所述加密文件进行解密，得到所述攻击日志；

通过所述监控模块对所述攻击日志进行展示，并根据展示内容对车载系统的攻击事件进行监控。

7.根据权利要求1所述的一种车载系统攻击事件监控方法，其特征在于，判定车载系统存在攻击事件之后，还包括：

生成报警信号，并输出所述报警信号进行报警。

8.一种车载系统攻击事件监控系统，其特征在于，包括：

采集模块，用于获取目标数据、目标特征数据、系统日志数据，所述目标特征数据在车载系统受到攻击事件时产生；

匹配模块，用于将所述目标数据与所述目标特征数据进行匹配，并根据匹配结果判断所述目标数据中是否存在与所述目标特征数据匹配的数据；

判定模块，用于当所述目标数据中存在与所述目标特征数据匹配的数据时，判定车载系统存在攻击事件；

日志模块，用于提取所述攻击事件的属性，并将所述攻击事件的属性、所述系统日志数据、所述目标数据进行合并，生成攻击日志文件；

监控模块，基于所述攻击日志文件对车载系统的攻击事件进行监控。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述方法。

10.一种电子终端，其特征在于，包括：处理器及存储器；

所述存储器用于存储计算机程序，所述处理器用于执行所述存储器存储的计算机程序，以使所述终端执行如权利要求1至7中任一项所述方法。

Images