CN116707965A - 一种威胁检测方法、装置、存储介质以及电子设备 - Google Patents
一种威胁检测方法、装置、存储介质以及电子设备 Download PDFInfo
- Publication number
- CN116707965A CN116707965A CN202310804091.3A CN202310804091A CN116707965A CN 116707965 A CN116707965 A CN 116707965A CN 202310804091 A CN202310804091 A CN 202310804091A CN 116707965 A CN116707965 A CN 116707965A
- Authority
- CN
- China
- Prior art keywords
- detection
- data
- detection result
- message data
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 416
- 238000003860 storage Methods 0.000 title claims abstract description 28
- 230000002159 abnormal effect Effects 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000013507 mapping Methods 0.000 claims description 32
- 230000005856 abnormality Effects 0.000 claims description 20
- 238000007781 pre-processing Methods 0.000 claims description 12
- 238000012549 training Methods 0.000 claims description 10
- 238000013528 artificial neural network Methods 0.000 claims description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 238000004140 cleaning Methods 0.000 claims description 4
- 238000003066 decision tree Methods 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 4
- 238000007637 random forest analysis Methods 0.000 claims description 4
- 238000005070 sampling Methods 0.000 claims description 4
- 238000012706 support-vector machine Methods 0.000 claims description 4
- 238000002372 labelling Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 23
- 238000012545 processing Methods 0.000 description 21
- 238000004891 communication Methods 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本公开涉及一种威胁检测方法、装置、计算机可读存储介质及电子设备。上述威胁检测方法包括基于威胁检测规则集合对报文数据进行威胁检测得到第一检测结果;基于智能检测模型对报文数据进行威胁检测得到第二检测结果;在上述第一检测结果或上述第二检测结果指示上述报文数据异常的情况下,确定检测结果为数据异常;在上述第一检测结果和上述第二检测结果不一致的情况下,确定争议数据集,基于上述争议数据集更新上述威胁检测规则集合。本公开可以检测到已知威胁和未知威胁,提升整体检测率,同时降低误报率及漏报率。
Description
技术领域
本公开涉及信息安全领域,尤其涉及一种威胁检测方法、装置、存储介质以及电子设备。
背景技术
常见的控制器局域网总线威胁检测方法一般分为两种,一种是基于智能分析的检测方法,另一种是基于规则检测的方法,此种检测方法通过匹配关键字或统计阈值的方式进行威胁检测。这两种检测系统各有优缺点。基于智能分析的检测方法利用历史数据自动总结异常报文段的规律和特征进行建模,对于未知威胁检测效果较好,但对于已知威胁可能存在误报情况;基于规则检测的检测方法是指利用人为总结定义好的规则,对报文进行特征匹配,满足规则定义的条件即可输出对应的威胁事件,检测效果的好坏取决于规则制定的完整性及阈值设定的精准度,因此该检测方法对于已知威胁的检测效果较好,但是对于未知威胁会存在漏报情况。
发明内容
为了解决上述提出的至少一个技术问题,本公开提出了一种威胁检测方法、装置、存储介质和电子设备。
根据本公开的一方面,提供了一种威胁检测方法,其包括:获取控制器局域网总线中的报文数据;基于威胁检测规则集合对上述报文数据进行威胁检测得到第一检测结果,上述威胁检测规则集合包括至少一个威胁检测规则;基于智能检测模型对上述报文数据进行威胁检测得到第二检测结果;在上述第一检测结果或上述第二检测结果指示上述报文数据异常的情况下,确定检测结果为数据异常,上述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种;在上述第一检测结果和上述第二检测结果不一致的情况下,确定争议数据集,基于上述争议数据集更新上述威胁检测规则集合,上述争议数据集包括检测结果为数据异常的报文数据以及上述报文数据对应的第一检测信息和第二检测信息。
在一些可能的实施方式中,上述威胁检测规则包括周期参数和阈值参数,上述基于威胁检测规则对上述报文数据进行威胁检测得到第一检测结果,包括如下情况中的至少一种:在上述报文数据出现的间隔时间小于基于上述周期参数确定的间隔时间的情况下,确定上述报文数据的第一检测结果为数据异常中的拒绝服务攻击;在上述报文数据连续出现的次数大于预设次数,并且上述报文数据的载荷随机的情况下,确定上述报文数据的第一检测结果为数据异常中的模糊攻击;在上述报文数据出现的间隔时间大于基于上述周期参数确定的间隔时间,并且上述报文数据出现的频率大于基于上述阈值参数确定阈值的情况下,确定上述报文数据的第一检测结果为数据异常中的重放攻击。
在一些可能的实施方式中,上述基于智能检测模型对上述报文数据进行威胁检测得到第二检测结果,包括:将上述报文数据输入上述智能检测模型;基于上述智能检测模型中的上述报文数据分类映射关系,对上述报文数据进行分类映射得到分类结果,上述分类结果包括数据正常或数据异常,上述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种;基于上述分类结果确定上述第二检测结果。
在一些可能的实施方式中,上述基于智能检测模型对上述报文数据进行威胁检测得到第二检测结果之前,上述方法还包括:获取历史报文数据,对上述历史报文数据进行预处理,上述预处理包括数据清洗、数据采样、数据特征提取中的至少一种;对上述预处理之后的上述历史报文数据进行标注,包括:将正常的上述报文数据标记为正常,将可能存在威胁的上述报文数据标记为异常;基于上述标注后的历史报文数据训练上述智能检测模型,上述智能检测模型包含的智能算法包括朴素贝叶斯分类、支持向量机、决策树、随机森林、神经网络中的至少一种;对训练好的上述智能检测模型进行评估,上述评估的指标包括上述智能检测模型的精度、准确度、召回率中的至少一种。
在一些可能的实施方式中,上述基于上述争议数据集更新上述威胁检测规则,包括:在上述第一检测结果为数据正常,上述第二检测结果为数据异常的情况下:提取上述争议数据集的数据特征;基于上述数据特征与上述第二检测结果,确定第一目标分类映射关系;基于上述第一目标分类映射关系确定第一目标威胁检测规则,将上述第一目标威胁检测规则加入上述威胁检测规则集合。
在一些可能的实施方式中,上述基于上述争议数据集更新上述威胁检测规则,还包括:在上述第一检测结果为数据异常,上述第二检测结果为数据正常的情况下:基于上述争议数据集与上述第一检测结果确定第二目标威胁检测规则;基于上述争议数据集与上述第二检测结果确定第二目标分类映射关系;基于上述第二目标分类映射关系更新上述第二目标威胁检测规则的周期参数和阈值参数。
在一些可能的实施方式中,上述方法还包括:在上述第一检测结果和上述第二检测结果均指示上述报文数据正常的情况下,确定上述检测结果为数据正常。
根据本公开的第二方面,提供了一种威胁检测装置,上述装置包括:
数据获取模块,用于获取控制器局域网总线中的报文数据;
第一检测模块,用于基于威胁检测规则集合对上述报文数据进行威胁检测得到第一检测结果,上述威胁检测规则集合包括至少一个威胁检测规则;
第二检测模块,用于基于智能检测模型对上述报文数据进行威胁检测得到第二检测结果;
数据异常确定模块,用于在上述第一检测结果或上述第二检测结果指示上述报文数据异常的情况下,确定检测结果为数据异常,上述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种;
规则更新模块,用于在上述第一检测结果和上述第二检测结果不一致的情况下,确定争议数据集,基于上述争议数据集更新上述威胁检测规则集合,上述争议数据集包括检测结果为数据异常的报文数据以及上述报文数据对应的第一检测信息和第二检测信息。
根据本公开的第三方面,提供了一种电子设备,包括至少一个处理器,以及与上述至少一个处理器通信连接的存储器;其中,上述存储器存储有可被上述至少一个处理器执行的指令,上述至少一个处理器通过执行上述存储器存储的指令实现如第一方面中任意一项上述的威胁检测方法。
根据本公开的第四方面,提供了一种计算机可读存储介质,上述计算机可读存储介质中存储有至少一条指令或至少一段程序,上述至少一条指令或至少一段程序由处理器加载并执行以实现如第一方面中任意一项上述的威胁检测方法。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本公开。
实施本公开,具有以下有益效果:本公开的技术方案通过基于威胁检测规则集合对报文数据进行威胁检测得到第一检测结果;基于智能检测模型对报文数据进行威胁检测得到第二检测结果;在上述第一检测结果或上述第二检测结果指示上述报文数据异常的情况下,确定检测结果为数据异常;在上述第一检测结果和上述第二检测结果不一致的情况下,确定争议数据集,基于上述争议数据集更新上述威胁检测规则集合,本公开的技术方案结合了智能检测和规则检测的优点,既能够检测到已知威胁,又能够识别未知威胁,提升了整体检测率,同时基于智能检测对检测规则的改进,能够有效降低误报率及漏报率。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1示出根据本公开实施例的一种威胁检测方法的流程示意图;
图2示出根据本公开实施例的判断数据异常类型的方法的流程示意图;
图3示出根据本公开实施例的基于智能检测模型的威胁检测方法的流程示意图;
图4示出根据本公开实施例的一种智能检测模型的训练方法流程示意图;
图5示出根据本公开实施例的一种更新威胁检测规则的方法流程示意图;
图6示出根据本公开实施例的另一种更新威胁检测规则的方法流程示意图;
图7示出根据本公开实施例的一种威胁检测装置的框图;
图8示出根据本公开实施例的一种电子设备的框图;
图9示出根据本公开实施例的另一种电子设备的框图。
具体实施方式
下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
另外,为了更好地说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图1示出根据本公开实施例的一种威胁检测方法的流程示意图,如图1所示,上述方法包括:
S10:获取控制器局域网总线中的报文数据。
在本公开实施例中,报文数据指的是在计算机网络中,从源节点传输到目标节点的信息的组成部分。报文数据通常包含了网络层以下各层协议所要传输的数据内容。在网络通信中,报文数据会被划分成许多小块进行传输,每个小块被称为数据包。数据包中除了包含实际数据外,还会包含一些用于数据传输的控制信息,例如源节点和目标节点的地址等。
报文数据一般包括报文头和报文体两部分。报文头通常包含发送者和接收者的地址信息、协议类型、数据类型、数据长度、校验码等信息,用于在传输过程中对报文进行标识和校验。报文体是具体的数据内容,根据不同的应用场景可能包括不同的字段和数据格式,例如文本、二进制数据、图像、音频等。
S20:基于威胁检测规则集合对上述报文数据进行威胁检测得到第一检测结果,上述威胁检测规则集合包括至少一个威胁检测规则。
本公开实施例不限制上述威胁检测规则集合所包含的威胁检测规则,示例性地,上述威胁检测规则可以从下面几个角度进行考虑:
针对数据长度的检测规则:控制器局域网总线(CAN总线)上的报文数据长度应该是符合协议规定的,可以通过检测报文数据的长度是否符合协议规定来判断是否存在威胁。例如,检测报文数据长度是否小于等于8个字节、是否超过了最大数据长度等。
针对数据内容的检测规则:控制器局域网总线上的报文数据内容应该是符合协议规定的,可以通过检测报文数据的内容是否符合协议规定来判断是否存在威胁。例如,检测报文数据中是否包含不合法的控制字符、是否存在不符合协议规定的命令、是否存在异常的数据等。
针对报文频率的检测规则:控制器局域网总线上的报文发送频率应该是符合正常操作的,可以通过检测报文发送的频率是否符合正常范围来判断是否存在威胁。例如,检测报文发送的时间间隔是否异常短、是否存在异常的报文发送频率等。
针对报文顺序的检测规则:控制器局域网总线上的报文发送顺序应该是符合协议规定的,可以通过检测报文发送的顺序是否符合协议规定来判断是否存在威胁。例如,检测报文的发送顺序是否符合协议要求、是否存在异常的发送顺序等。
针对报文内容异常的检测规则:控制器局域网总线上的报文数据应该是符合正常操作的,可以通过检测报文数据是否存在异常内容来判断是否存在威胁。例如,检测报文中是否存在异常的数据类型、是否存在恶意代码等。
在一些可能的实施例中,上述威胁检测规则包括周期参数和阈值参数,上述基于威胁检测规则对上述报文数据进行威胁检测得到第一检测结果,包括如图2所示的下述情况中的至少一种:
S201:在上述报文数据出现的间隔时间小于基于上述周期参数确定的间隔时间的情况下,确定上述报文数据的第一检测结果为数据异常中的拒绝服务攻击。
CAN总线中的拒绝服务(Denial-of-Service,DoS)攻击,又称DoS攻击,它是指攻击者通过某种方式向CAN总线上发送大量的无效数据或占用总线带宽的数据,导致合法数据无法传输或无法被正确处理,从而使系统无法正常工作。CAN总线是一个实时性要求比较高的通信总线,当总线带宽被占用过多时,可能会导致系统性能下降或甚至崩溃,因此CAN总线的DoS攻击对系统的稳定性和可靠性造成了威胁。
在一具体的实施例中,周期性地以帧为单位对报文数据进行检测,若同一标志的报文出现的间隔时间小于5毫秒时,判定此时为拒绝服务攻击,即此时该报文数据的第一检测结果为数据异常中的拒绝服务攻击。
S202:在上述报文数据连续出现的次数大于预设次数,并且上述报文数据的载荷随机的情况下,确定上述报文数据的第一检测结果为数据异常中的模糊攻击。
在CAN总线中,模糊攻击是一种基于物理层的攻击,通常是通过发送具有特定特征的噪声信号来干扰CAN总线上的通信。这些噪声信号可以是短脉冲或长脉冲,或者是频率、幅度或相位的变化。模糊攻击可以干扰CAN总线上的通信,导致数据包传输错误或被重复传输,最终会对车辆的功能和安全造成威胁。为了防范模糊攻击,可以采取物理层的安全措施,例如添加电磁屏蔽和使用错误检测和纠错码等。
在一具体的实施例中,当检测到大量的标志连续,报文内容随机的报文数据时,判定此时系统遭遇到了模糊攻击,即此时该报文数据的第一检测结果为数据异常中的模糊攻击。
S203:在上述报文数据出现的间隔时间大于基于上述周期参数确定的间隔时间,并且上述报文数据出现的频率大于基于上述阈值参数确定阈值的情况下,确定上述报文数据的第一检测结果为数据异常中的重放攻击。
在CAN总线中,重放攻击是指攻击者截获正常通信中的CAN消息,并将其重新发送到总线上,从而欺骗总线节点,使其误认为这是来自合法节点的消息。通过重放攻击,攻击者可以执行一些恶意操作,比如控制汽车的某些系统,例如制动系统或加速系统。为了防止CAN总线上的重放攻击,可以使用加密和认证技术来保护CAN消息,以确保其完整性和来源的真实性。
在一具体的实施例中,对单帧报文同时进行周期检测,若同一标志的报文数据发生周期异常超过10次(也即此时阈值参数为10),但周期间隔大于5毫秒,则检测为重放攻击,即此时该报文数据的第一检测结果为数据异常中的重放攻击,其中周期间隔的设置用于防止与上述DoS攻击混淆。
S30:基于智能检测模型对上述报文数据进行威胁检测得到第二检测结果。
图3示出本公开实施例的一种基于智能检测模型对报文数据进行威胁检测的方法的流程示意图,如图3所示,上述方法包括:
S301:将上述报文数据输入上述智能检测模型。
S302:基于上述智能检测模型中的上述报文数据分类映射关系,对上述报文数据进行分类映射得到分类结果,上述分类结果包括数据正常或数据异常,上述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种。
S303:基于上述分类结果确定上述第二检测结果。
在本公开实施例中,上述智能检测模型能够对实时的报文数据流进行不断地分类映射,通过分类结果能够判断其是否可能是具有威胁地异常数据,也即得到了第二检测结果,示例性地,在上述分类结果为数据正常的情况下,第二检测结果即为数据正常;在上述分类结果为数据异常中的模糊攻击的情况下,第二检测结果即为模糊攻击。
在一些可能的实施方式中,上述基于智能检测模型对上述报文数据进行威胁检测得到第二检测结果之前,上述方法还包括对智能检测模型的训练,如图4所示,上述对智能检测模型的训练包括如下步骤:
S3001:获取历史报文数据,对上述历史报文数据进行预处理,上述预处理包括数据清洗、数据采样、数据特征提取中的至少一种。
S3002:对上述预处理之后的上述历史报文数据进行标注,包括:将正常的上述报文数据标记为正常,将可能存在威胁的上述报文数据标记为异常。
S3003:基于上述标注后的历史报文数据训练上述智能检测模型,上述智能检测模型包含的智能算法包括朴素贝叶斯分类、支持向量机、决策树、随机森林、神经网络中的至少一种。
S3004:对训练好的上述智能检测模型进行评估,上述评估的指标包括上述智能检测模型的精度、准确度、召回率中的至少一种。
在本公开实施例中,通过对上述智能检测模型的训练,能够提高检测的准确率,智能检测模型可以通过学习大量数据,并将其归纳为某个规律或特征,从而可以更准确地对未知数据进行分类或检测;其次智能检测模型可以自动化地进行数据处理和决策,无需人工干预,从而可以提高工作效率;并且智能检测模型可以实时监测和处理数据,能够迅速地对异常情况做出反应,保证系统的实时性;此外智能检测模型可以替代部分人工检测工作,从而可以降低相关的成本,最后智能检测模型可以根据不同的需求和数据集进行不断优化和迭代,使其适应更多的应用场景。综上所述,通过训练智能检测模型可以在提高准确率、提高效率、实时性强、降低成本、可迭代性强等方面带来好处和效果。
S40:在上述第一检测结果或上述第二检测结果指示上述报文数据异常的情况下,确定检测结果为数据异常,上述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种。
在本公开实施例中,在基于规则的第一检测结果或者基于智能检测模型的第二检测结果中有一种结果认为报文数据存在异常的情况下,即认为存在威胁,这种判定关系能够最大程度上实现对威胁的检测,降低漏报率,保证系统的安全。
在一具体的实施例中,上述第一检测结果为数据异常,上述第二检测结果为数据异常中的重放攻击,即可确定此时的检测结果为数据异常中的重放攻击。
在另一具体的实施例中,上述第一检测结果为数据异常中的拒绝服务攻击,上述第二检测结果为数据正常,即可确定此时的检测结果为数据异常中的拒绝服务攻击。
S50:在上述第一检测结果和上述第二检测结果不一致的情况下,确定争议数据集,基于上述争议数据集更新上述威胁检测规则集合,上述争议数据集包括检测结果为数据异常的报文数据以及上述报文数据对应的第一检测信息和第二检测信息。
在一具体的实施例中,上述争议数据集以数据表的形式呈现,上述数据表包括若干列数据,其中各列数据分别为表中序号、时间戳、报文周期、CAN总线的标志信息、报文内容、报文对应的通道信息、原始标签、第一检测结果、第二检测结果、报文的数据索引信息等。
此外,在本公开的实施例中,在上述第一检测结果和所述第二检测结果均指示上述报文数据正常的情况下,确定上述检测结果为数据正常。
如图5所示,上述基于上述争议数据集更新上述威胁检测规则,包括如下步骤:
S501:在上述第一检测结果为数据正常,上述第二检测结果为数据异常的情况下:
S5011:提取上述争议数据集的数据特征。
S5012:基于上述数据特征与上述第二检测结果,确定第一目标分类映射关系。
在本公开实施例中,上述第一目标分类映射关系为该争议数据在智能检测模型中对应的分类映射关系。
在一具体的实施例中,智能检测模型提取的数据特征为出现了标志连续的8个报文数据,并且这些标志连续的报文数据的内容随机,此时第二检测结果为重放攻击,则此时的第一目标分类映射关系即为:出现8个标志连续内容随机的报文数据,则判定其为重放攻击。
S5013:基于上述第一目标分类映射关系确定第一目标威胁检测规则,将上述第一目标威胁检测规则加入上述威胁检测规则集合。
在上述情况下,基于现有规则的第一检测结果为正常,而基于智能检测模型的第二检测结果为数据异常,说明此时检测到为威胁可能是未知威胁,这时,根据第二检测结果,分析其是基于该报文数据的哪些数据特征判断其为数据异常的,将这些数据特征和对应的分类映射关系补充到威胁检测规则中,实现了对威胁检测规则集合的更新,在下次遇到相同类型的威胁时,基于规则的第一检测结果也会更新为数据异常,使其适用于更加广泛的场景。
如图6所示,上述基于上述争议数据集更新上述威胁检测规则,还可能包括如下步骤:
S502:在上述第一检测结果为数据异常,上述第二检测结果为数据正常的情况下:
S5021:基于上述争议数据集与上述第一检测结果确定第二目标威胁检测规则。
S5022:基于上述争议数据集与上述第二检测结果确定第二目标分类映射关系。
在本公开实施例中,上述第二目标检测规则为该争议数据集对应的威胁检测规则,第二目标分类映射关系为该争议数据集在智能检测模型中对应的分类映射关系。
在一具体的实施例中,第一检测结果为数据异常中的拒绝服务攻击,则对应的第二目标威胁检测规则即为判定其为拒绝服务攻击的那条检测规则;第二目标分类映射关系即为智能检测模型中判定其为数据正常的那个分类映射关系。
S5023:基于上述第二目标分类映射关系更新上述第二目标威胁检测规则的周期参数和阈值参数。
在上述情况下,基于现有规则的第一检测结果为数据异常,说明此时检测到为威胁是已知威胁,而基于智能检测模型的第二检测结果为数据正常,由于智能检测模型不断地更新迭代,说明此时该异常对应的检测规则的参数需要进行更新,以使其检测效果更加准确,例如,在某种情况下,针对重放攻击的阈值参数是5,而通过智能检测模型的学习,认为将阈值参数设置为10能够更加准确地识别重放攻击,此时就可以将威胁检测规则集合中相应地阈值参数调整为10。
通过本公开技术方案中周期参数的引进,还能够降低错报率,通过对基于规则的检测过程的分析发现,规则通过记录历史报文数据的时间戳和周期来判断Dos攻击和重放攻击。但是一定周期以外的历史报文记录会对当前时刻的检测产生负面影响。因此,通过改进规则,将历史报文时间戳的记录周期限定在一个发送周期内,从而消除了正常数据下重放攻击和Dos攻击与正常报文的误报。
通过本公开技术方案中阈值参数的设定,来对当前批的报文的异常情况进行判断。在还未满足设定的阈值时,Dos报文并不会被规则检测认定为异常报文,只有对当前批报文进行统计时满足设定的阈值才会上报。Dos攻击并不是仅发生在一条报文的攻击,它是对总线整体资源消耗的一个完整事件。对于这种异常攻击类型,智能检测模型,特别是基于循环神经网络的智能检测模型,能够提取序列段的特征,并将其汇总为一个完整异常事件上报。基于规则的检测虽可以经过统计处理只上报一个完整事件,但因其本身检测机制的缺陷,无法像智能检测模型一样对攻击发生的位置进行定位。
由于基于规则的检测是通过阈值的设定和异常周期报文的统计来判断重放攻击和Dos攻击,因其检测原理相似,故两种攻击在异常上报时会出现一定的误报。而智能检测模型是通过关联报文前后流量、总结报文序列自身特性来提取当前报文在整体网络流中的状态特征,进而进行异常事件的识别。智能检测模型的这一特性在Dos攻击和重放攻击的识别中起到了关键作用。通过分析原理可以发现,重放攻击和Dos攻击都会在总线上注入正常的报文,但是二者的目标有一定的区别。重放会重放部分总线上的报文,使相关的报文信息重复地作用到相关的电子控制单元上,来造成一些预期外的危险事件。而Dos攻击会不断地注入高优先级报文来实现对车内总线资源的占用,从而阻塞车内网络的正常通信。两种攻击最显著的区别是对车内资源的占用程度,重放并不会阻塞车内通信,而Dos会阻塞车内通信。因此,可以通过改进规则,将周期异常的统计结合负载率检测来改进规则检测,从而将重放攻击和Dos攻击更好地区分出来。
模糊攻击是通过生成一系列随机、无效或非预期的报文后,将这些报文发送至目标总线上,以达到目标总线出现非预期的行为的一种渗透测试方式。由于这个特性使得规则难以制定合理的条件或阈值对该种攻击进行有效检测,而循环神经网络算法则可以自己学习构建其模糊的特征,探索其上下文之间的内在规律,有效的将其检测出来,从而本公开技术方案可以降低系统威胁的漏报、误报率。
本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的撰写顺序并不意味着严格地执行顺序而对实施过程构成任何限定,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
可以理解,本公开提及的上述各个方法实施例,在不违背原理逻辑的情况下,均可以彼此相互结合形成结合后的实施例,限于篇幅,本公开不再赘述。
图7示出根据本公开实施例的一种威胁检测装置的框图;如图7所示,上述装置包括:
数据获取模块101,用于获取控制器局域网总线中的报文数据;
第一检测模块102,用于基于威胁检测规则集合对上述报文数据进行威胁检测得到第一检测结果,上述威胁检测规则集合包括至少一个威胁检测规则;
第二检测模块103,用于基于智能检测模型对上述报文数据进行威胁检测得到第二检测结果;
数据异常确定模块104,用于在上述第一检测结果或上述第二检测结果指示上述报文数据异常的情况下,确定检测结果为数据异常,上述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种;
规则更新模块105,用于在上述第一检测结果和上述第二检测结果不一致的情况下,确定争议数据集,基于上述争议数据集更新上述威胁检测规则集合,上述争议数据集包括检测结果为数据异常的报文数据以及上述报文数据对应的第一检测信息和第二检测信息。
在一些可能的实施方式中,上述威胁检测规则包括周期参数和阈值参数,上述第一检测模块102基于威胁检测规则对上述报文数据进行威胁检测得到第一检测结果,包括如下情况中的至少一种:在上述报文数据出现的间隔时间小于基于上述周期参数确定的间隔时间的情况下,确定上述报文数据的第一检测结果为数据异常中的拒绝服务攻击;在上述报文数据连续出现的次数大于预设次数,并且上述报文数据的载荷随机的情况下,确定上述报文数据的第一检测结果为数据异常中的模糊攻击;在上述报文数据出现的间隔时间大于基于上述周期参数确定的间隔时间,并且上述报文数据出现的频率大于基于上述阈值参数确定阈值的情况下,确定上述报文数据的第一检测结果为数据异常中的重放攻击。
在一些可能的实施方式中,第二检测模块103基于智能检测模型对上述报文数据进行威胁检测得到第二检测结果,包括:将上述报文数据输入上述智能检测模型;基于上述智能检测模型中的上述报文数据分类映射关系,对上述报文数据进行分类映射得到分类结果,上述分类结果包括数据正常或数据异常,上述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种;基于上述分类结果确定上述第二检测结果。
在一些可能的实施方式中,上述威胁检测装置还包括训练模块106,上述训练模块106用于对上述智能检测模型进行训练,包括获取历史报文数据,对上述历史报文数据进行预处理,上述预处理包括数据清洗、数据采样、数据特征提取中的至少一种;对上述预处理之后的上述历史报文数据进行标注,包括:将正常的上述报文数据标记为正常,将可能存在威胁的上述报文数据标记为异常;基于上述标注后的历史报文数据训练上述智能检测模型,上述智能检测模型包含的智能算法包括朴素贝叶斯分类、支持向量机、决策树、随机森林、神经网络中的至少一种;对训练好的上述智能检测模型进行评估,上述评估的指标包括上述智能检测模型的精度、准确度、召回率中的至少一种。
在一些可能的实施方式中,规则更新模块105基于上述争议数据集更新上述威胁检测规则,包括:在上述第一检测结果为数据正常,上述第二检测结果为数据异常的情况下:提取上述争议数据集的数据特征;基于上述数据特征与上述第二检测结果,确定第一目标分类映射关系;基于上述第一目标分类映射关系确定第一目标威胁检测规则,将上述第一目标威胁检测规则加入上述威胁检测规则集合。
在一些可能的实施方式中,规则更新模块105基于上述争议数据集更新上述威胁检测规则,还包括:在上述第一检测结果为数据异常,上述第二检测结果为数据正常的情况下:基于上述争议数据集与上述第一检测结果确定第二目标威胁检测规则;基于上述争议数据集与上述第二检测结果确定第二目标分类映射关系;基于上述第二目标分类映射关系更新上述第二目标威胁检测规则的周期参数和阈值参数。
在一些可能的实施方式中,上述数据异常确定模块104还用于在上述第一检测结果和上述第二检测结果均指示上述报文数据正常的情况下,确定上述检测结果为数据正常。
在一些实施例中,本公开实施例提供的装置具有的功能或包含的模块可以用于执行上述实施例描述的威胁检测方法,其具体实现可以参照上述实施例的描述,为了简洁,这里不再赘述。
本公开实施例还提出一种计算机可读存储介质,上述计算机可读存储介质中存储有至少一条指令或至少一段程序,上述至少一条指令或至少一段程序由处理器加载并执行时实现上述方法。计算机可读存储介质可以是非易失性计算机可读存储介质。
本公开实施例还提出一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,上述处理器被配置为上述威胁检测方法。
电子设备可以被提供为终端、服务器或其它形态的设备。
图8示出根据本公开实施例的一种电子设备的框图。例如,电子设备800可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等终端。
参照图8,电子设备800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制电子设备800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在电子设备800的操作。这些数据的示例包括用于在电子设备800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为电子设备800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为电子设备800生成、管理和分配电力相关联的组件。
多媒体组件808包括在上述电子设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。上述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与上述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当电子设备800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当电子设备800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为电子设备800提供各个方面的状态评估。例如,传感器组件814可以检测到电子设备800的打开/关闭状态,组件的相对定位,例如上述组件为电子设备800的显示器和小键盘,传感器组件814还可以检测电子设备800或电子设备800一个组件的位置改变,用户与电子设备800接触的存在或不存在,电子设备800方位或加速/减速和电子设备800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于电子设备800和其他设备之间有线或无线方式的通信。电子设备800可以接入基于通信标准的无线网络,如WiFi,2G、3G、4G、5G或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,上述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,电子设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述威胁检测方法。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器804,上述计算机程序指令可由电子设备800的处理器820执行以完成上述威胁检测方法。
图9示出根据本公开实施例的另一种电子设备的框图。例如,电子设备1900可以被提供为一服务器。参照图9,电子设备1900包括处理组件1922,其进一步包括一个或多个处理器,以及由存储器1932所代表的存储器资源,用于存储可由处理组件1922的执行的指令,例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件1922被配置为执行指令,以执行上述威胁检测方法。
电子设备1900还可以包括一个电源组件1926被配置为执行电子设备1900的电源管理,一个有线或无线网络接口1950被配置为将电子设备1900连接到网络,和一个输入输出(I/O)接口1958。电子设备1900可以操作基于存储在存储器1932的操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器1932,上述计算机程序指令可由电子设备1900的处理组件1922执行以完成上述威胁检测方法。
本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,上述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,上述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标准的功能也可以以不同于附图中所标准的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种威胁检测方法,其特征在于,所述方法包括:
获取控制器局域网总线中的报文数据;
基于威胁检测规则集合对所述报文数据进行威胁检测得到第一检测结果,所述威胁检测规则集合包括至少一个威胁检测规则;
基于智能检测模型对所述报文数据进行威胁检测得到第二检测结果;
在所述第一检测结果或所述第二检测结果指示所述报文数据异常的情况下,确定检测结果为数据异常,所述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种;
在所述第一检测结果和所述第二检测结果不一致的情况下,确定争议数据集,基于所述争议数据集更新所述威胁检测规则集合,所述争议数据集包括检测结果为数据异常的报文数据以及所述报文数据对应的第一检测信息和第二检测信息。
2.根据权利要求1所述的方法,其特征在于,所述威胁检测规则包括周期参数和阈值参数,所述基于威胁检测规则对所述报文数据进行威胁检测得到第一检测结果,包括如下情况中的至少一种:
在所述报文数据出现的间隔时间小于基于所述周期参数确定的间隔时间的情况下,确定所述报文数据的第一检测结果为数据异常中的拒绝服务攻击;
在所述报文数据连续出现的次数大于预设次数,并且所述报文数据的载荷随机的情况下,确定所述报文数据的第一检测结果为数据异常中的模糊攻击;
在所述报文数据出现的间隔时间大于基于所述周期参数确定的间隔时间,并且所述报文数据出现的频率大于基于所述阈值参数确定阈值的情况下,确定所述报文数据的第一检测结果为数据异常中的重放攻击。
3.根据权利要求1或2所述的方法,其特征在于,所述基于智能检测模型对所述报文数据进行威胁检测得到第二检测结果,包括:
将所述报文数据输入所述智能检测模型;
基于所述智能检测模型中的所述报文数据分类映射关系,对所述报文数据进行分类映射得到分类结果,所述分类结果包括数据正常或数据异常,所述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种;
基于所述分类结果确定所述第二检测结果。
4.根据权利要求3所述的方法,其特征在于,所述基于智能检测模型对所述报文数据进行威胁检测得到第二检测结果之前,所述方法还包括:
获取历史报文数据,对所述历史报文数据进行预处理,所述预处理包括数据清洗、数据采样、数据特征提取中的至少一种;
对所述预处理之后的所述历史报文数据进行标注,包括:将正常的所述报文数据标记为正常,将可能存在威胁的所述报文数据标记为异常;
基于所述标注后的历史报文数据训练所述智能检测模型,所述智能检测模型包含的智能算法包括朴素贝叶斯分类、支持向量机、决策树、随机森林、神经网络中的至少一种;
对训练好的所述智能检测模型进行评估,所述评估的指标包括所述智能检测模型的精度、准确度、召回率中的至少一种。
5.根据权利要求4所述的方法,其特征在于,所述基于所述争议数据集更新所述威胁检测规则,包括:
在所述第一检测结果为数据正常,所述第二检测结果为数据异常的情况下:
提取所述争议数据集的数据特征;
基于所述数据特征与所述第二检测结果,确定第一目标分类映射关系;
基于所述第一目标分类映射关系确定第一目标威胁检测规则,将所述第一目标威胁检测规则加入所述威胁检测规则集合。
6.根据权利要求5所述的方法,其特征在于,所述基于所述争议数据集更新所述威胁检测规则,还包括:
在所述第一检测结果为数据异常,所述第二检测结果为数据正常的情况下:
基于所述争议数据集与所述第一检测结果确定第二目标威胁检测规则;
基于所述争议数据集与所述第二检测结果确定第二目标分类映射关系;
基于所述第二目标分类映射关系更新所述第二目标威胁检测规则的周期参数和阈值参数。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述第一检测结果和所述第二检测结果均指示所述报文数据正常的情况下,确定所述检测结果为数据正常。
8.一种威胁检测装置,其特征在于,所述装置包括:
数据获取模块,用于获取控制器局域网总线中的报文数据;
第一检测模块,用于基于威胁检测规则集合对所述报文数据进行威胁检测得到第一检测结果,所述威胁检测规则集合包括至少一个威胁检测规则;
第二检测模块,用于基于智能检测模型对所述报文数据进行威胁检测得到第二检测结果;
数据异常确定模块,用于在所述第一检测结果或所述第二检测结果指示所述报文数据异常的情况下,确定检测结果为数据异常,所述数据异常包括重放攻击、模糊攻击、拒绝服务攻击中的至少一种;
规则更新模块,用于在所述第一检测结果和所述第二检测结果不一致的情况下,确定争议数据集,基于所述争议数据集更新所述威胁检测规则集合,所述争议数据集包括检测结果为数据异常的报文数据以及所述报文数据对应的第一检测信息和第二检测信息。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1至7中任意一项所述的威胁检测方法。
10.一种电子设备,其特征在于,包括至少一个处理器,以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现如权利要求1至7中任意一项所述的威胁检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310804091.3A CN116707965A (zh) | 2023-06-30 | 2023-06-30 | 一种威胁检测方法、装置、存储介质以及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310804091.3A CN116707965A (zh) | 2023-06-30 | 2023-06-30 | 一种威胁检测方法、装置、存储介质以及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116707965A true CN116707965A (zh) | 2023-09-05 |
Family
ID=87825724
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310804091.3A Pending CN116707965A (zh) | 2023-06-30 | 2023-06-30 | 一种威胁检测方法、装置、存储介质以及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116707965A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116915506A (zh) * | 2023-09-12 | 2023-10-20 | 北京安天网络安全技术有限公司 | 一种异常流量检测方法、装置、电子设备及存储介质 |
CN117544410A (zh) * | 2023-12-20 | 2024-02-09 | 北京天融信网络安全技术有限公司 | Can总线攻击类型的确定方法、处理器及计算机设备 |
-
2023
- 2023-06-30 CN CN202310804091.3A patent/CN116707965A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116915506A (zh) * | 2023-09-12 | 2023-10-20 | 北京安天网络安全技术有限公司 | 一种异常流量检测方法、装置、电子设备及存储介质 |
CN116915506B (zh) * | 2023-09-12 | 2023-12-01 | 北京安天网络安全技术有限公司 | 一种异常流量检测方法、装置、电子设备及存储介质 |
CN117544410A (zh) * | 2023-12-20 | 2024-02-09 | 北京天融信网络安全技术有限公司 | Can总线攻击类型的确定方法、处理器及计算机设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108632081B (zh) | 网络态势评估方法、装置及存储介质 | |
US10535019B2 (en) | Bot-based data collection for detecting phone solicitations | |
US20210019562A1 (en) | Image processing method and apparatus and storage medium | |
CN116707965A (zh) | 一种威胁检测方法、装置、存储介质以及电子设备 | |
JP2022529300A (ja) | 違反イベント検出方法及び装置、電子デバイス並びに記憶媒体 | |
US11234130B2 (en) | Systems and methods for monitoring user activity | |
CN110990801B (zh) | 信息校验方法及装置、电子设备和存储介质 | |
CN109842612B (zh) | 基于图库模型的日志安全分析方法、装置及存储介质 | |
CN113569992B (zh) | 异常数据识别方法及装置、电子设备和存储介质 | |
CN110942036A (zh) | 人员识别方法及装置、电子设备和存储介质 | |
KR20210110562A (ko) | 정보 인식 방법, 장치, 시스템, 전자 디바이스, 기록 매체 및 컴퓨터 프로그램 | |
CN110781842A (zh) | 图像处理方法及装置、电子设备和存储介质 | |
CN110808997B (zh) | 对服务器远程取证的方法、装置、电子设备、及存储介质 | |
CN113839852B (zh) | 邮件账号异常检测方法、装置及存储介质 | |
US11811815B2 (en) | IP-based security control method and system thereof | |
CN112953916B (zh) | 异常检测方法和装置 | |
WO2019119152A1 (en) | Method for detecting the possible taking of screenshots | |
CN115208647A (zh) | 一种攻击行为处置方法及装置 | |
CN108123960B (zh) | 直播房间人气验证方法、装置及电子设备 | |
CN113810328A (zh) | 异常账户确定方法、装置及存储介质 | |
CN113596016B (zh) | 恶意域名检测方法及装置、电子设备和存储介质 | |
CN115801466B (zh) | 基于流量的挖矿脚本检测方法和装置 | |
CN109815744A (zh) | 网页篡改的检测方法、装置及存储介质 | |
CN113556336B (zh) | 提权漏洞攻击的检测方法及装置、电子设备 | |
CN114121049B (zh) | 一种数据处理方法、装置以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |