CN117118761B - 一种贯穿智能汽车信息安全的纵深防御系统和方法 - Google Patents
一种贯穿智能汽车信息安全的纵深防御系统和方法 Download PDFInfo
- Publication number
- CN117118761B CN117118761B CN202311384485.4A CN202311384485A CN117118761B CN 117118761 B CN117118761 B CN 117118761B CN 202311384485 A CN202311384485 A CN 202311384485A CN 117118761 B CN117118761 B CN 117118761B
- Authority
- CN
- China
- Prior art keywords
- log
- engine
- information
- data
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000007123 defense Effects 0.000 title claims abstract description 29
- 230000000149 penetrating effect Effects 0.000 title claims abstract description 9
- 238000001514 detection method Methods 0.000 claims abstract description 40
- 238000004458 analytical method Methods 0.000 claims abstract description 32
- 238000012545 processing Methods 0.000 claims abstract description 30
- 238000012502 risk assessment Methods 0.000 claims abstract description 15
- 239000000523 sample Substances 0.000 claims abstract description 10
- 238000012544 monitoring process Methods 0.000 claims abstract description 8
- 230000000007 visual effect Effects 0.000 claims abstract description 6
- 238000007726 management method Methods 0.000 claims description 83
- 238000012549 training Methods 0.000 claims description 46
- 230000008569 process Effects 0.000 claims description 36
- 238000011217 control strategy Methods 0.000 claims description 18
- 238000010801 machine learning Methods 0.000 claims description 17
- 230000006870 function Effects 0.000 claims description 14
- 230000002776 aggregation Effects 0.000 claims description 11
- 238000004220 aggregation Methods 0.000 claims description 11
- 238000010606 normalization Methods 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000004140 cleaning Methods 0.000 claims description 7
- 230000004083 survival effect Effects 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 5
- 230000000737 periodic effect Effects 0.000 claims description 5
- 238000012913 prioritisation Methods 0.000 claims description 5
- 238000012800 visualization Methods 0.000 claims description 5
- 230000005856 abnormality Effects 0.000 claims description 3
- 230000036541 health Effects 0.000 claims description 3
- 230000001502 supplementing effect Effects 0.000 claims 1
- 238000007405 data analysis Methods 0.000 abstract description 4
- 238000013461 design Methods 0.000 abstract description 3
- 230000004044 response Effects 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000006854 communication Effects 0.000 description 3
- 238000012163 sequencing technique Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种贯穿智能汽车信息安全的纵深防御系统和方法,涉及计算机数据处理技术领域,本发明通过车端探针向数据采集代理发送日志信息,安全分析引擎对所述日志信息中事件进行分析解析,业务处理引擎通过风险分析引擎判断事件中安全威胁和漏洞,微服务API网关对事件中异常进行监控并响应,业务展示层实时展示系统运行状态;该系统设计了从车端流量检测、系统状态检测到数据采集、数据分析、风险分析、可视化呈现,然后到安全处置的全流程解决方案,同时,云端又不断的丰富车端的检测规则形成闭环,最后形成贯穿智能汽车信息安全的纵深防御系统的解决方案。
Description
技术领域
本发明属于计算机数据处理领域,尤其涉及一种贯穿智能汽车信息安全的纵深防御系统和方法。
背景技术
随着互联网、5G 网络和车用无线通信技术(V2X)等科技的兴起,为了保障智能网联汽车在车联网通信过程的安全、以及固件、硬件、和总线的安全,需要在车端安装IDPS软件,并与云端搭建大规模数据的实时数据采集、实时异常监测和分析、用户异常行为分析、固件安全分析、系统安全分析的等数据采集和分析为基础;以漏洞库、威胁情报库等知识情报为作证;以数据可视化、风险预测、应急响应处置为手段的车联网安全汽车信息安全系统。
目前,由于车辆网数据量的增长速度快,车型种类发展方向多,导致信息安全系统存在可扩展性差、分析能力不足、运营成本高等问题,如何提高信息安全系统的分析能力和可扩展性成为亟待解决的技术问题。
发明内容
针对安全运营平台存在可扩展性差,分析能力不足的问题。本发明提出了一种贯穿智能汽车信息安全的纵深防御系统和方法。
第一方面,本发明提供了一种贯穿智能汽车信息安全的纵深防御系统,所述系统包括:
车端探针、数据采集代理、安全分析引擎、业务处理引擎、微服务API网关和业务展示层;
所述车端探针包括基于网络的入侵检测系统NIDS,基于主机的入侵检测系统HIDS,防火墙,CAN报文检测模块;
所述数据采集代理包括注册通道,心跳通道,日志上报通道,策略下发通道;
所述安全分析引擎包括流式分析引擎,数据清洗引擎,数据归并引擎,规则训练引擎,机器学习引擎;
所述业务处理引擎包括自动化编排引擎,数据仓库,风险分析引擎,工作流引擎,可视化配置引擎;
所述微服务API网关包括安全认证模块,负载均衡模块,异常监控模块,链路跟踪模块,API管理模块;
所述业务展示层包括资产管理模块,安全可视化模块,配置管理模块,知识管理模块,安全处置模块;
其中,所述HIDS对文件进行监控、对系统权限进行监控、对系统状态进行监控、对系统日志进行监控,以及将日志信息通过日志上报通道发送到态势感知平台VSOC;
所述NIDS采集流量信息,通过流量检测引擎和深度包检测引擎检测出安全日志,将安全日志上报到VSOC,通过防火墙对黑名单阻断和白名单放行,在VOSC端更新黑名单和白名单;
所述CAN报文检测模块对数据包进行检测、经过报文信号关系检测引擎、报文负载检测引擎、报文序列检测引擎、报文健康检查引擎对报文进行检测,将检测的日志信息通过日志上报通道发送到VSOC。
可选的,所述数据采集代理接受车端发送的点火请求后,通过注册通道向云端管理服务器发送证书请求;
所述数据采集代理通过注册通道接收所述云端管理服务器发布的证书并对车端验证后,向车端发送所述证书;
所述数据采集代理接收车端定时发送的存活状态信息后,通过心跳通道向云端管理服务器发送心跳日志;
所述数据采集代理接收车端定时发送的日志后,对日志解析出不同主题,通过日志通道向云端管理服务器发送带有主题信息的日志;
当控制策略或者规则库更新时,所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库,并将更新后的控制策略或者规则库传输到各个车端。
可选的,所述数据清洗引擎接收kafka的topicA中带有主题信息的日志后,对日志进行读取解析,获得字段映射文件,根据所述字段映射文件中的映射关系将日志中的字段转换生成事件;读取资产数据后富化资产信息,加载规则标签后富化规则标签,加载IP定位库后富化IP定位信息,将经富化后的带有新主题的日志信息发送至kafka的topicB;将日志主题中资产信息、规则标签、IP定位信息采用标准化模板进行标准化扩展,将经标准化扩展后的日志信息发送至kafka的topicC;
所述数据清洗引擎接收带有主题信息的日志后,若主题信息包含规则信息,则将所述日志发送至规则训练引擎。
可选的,所述流式分析引擎用于通过Flink实时计算,流计算或者通过机器学习对安全日志进行训练。
可选的,所述规则训练引擎为主从架构的Flink集群,规则训练引擎支持自定义的规则训练模型,从Kafka消息队列获取带有主题的日志,以数据并行和流水线方式执行数据程序,Master用于调度除与数据库进行周期同步的其余Flink进程,调度步骤包括:
S51,Flink从Kafka中取数据,Flink进程轮询Kafka,查询是否有数据更新,返回结果;如果有,则获取最新数据;
S52,Flink进程中对所述日志进行归一化处理,再将处理后的安全事件返回Kafka;
S53,Flink进程周期性同步Mysql数据,获取关联规则及威胁情报,缓存在Flink中;
S54,Flink进程将安全事件与关联规则、威胁情报进行匹配,如果匹配则产生告警;
S55,Flink进程将所述日志、处理后的安全事件保存至数据库,如果产生告警,同样保存至数据库。
可选的,所述规则训练引擎用于优化智能汽车入侵检测防御系统IDPS的规则,优化步骤包括:
S61、云端管理服务器把全局模型参数传送给车端;
S62、在各个车端上进行本地训练,并对本地模型参数进行归一化;
S63、将归一化后的参数发送至所述云端管理服务器;
S64、所述云端管理服务器在收集所有车端的参数更新后,对其进行归一化平均;
S65、所述云端管理服务器将更新后的模型参数分发回各个车端,直到模型参数满足误差要求,否则再次执行S61-S65。
可选的,所述风险分析引擎用于计算安全风险,包括以下步骤:
S71、确定安全威胁和漏洞:识别威胁来源和攻击方式,将所述威胁来源和攻击方式关联漏洞点;
S72、评估威胁的概率:根据历史数据、统计信息评估每个威胁发生的概率;
S73、评估威胁的影响:确定每个威胁发生时对系统业务中断时长和数据泄露等级;
S74、计算风险值:计算每个威胁的风险值,通过加权模型计算综合风险值;
S75、优先级排序和风险管理:根据每个威胁的风险值,对威胁进行优先级排序,确定威胁处理顺序以及处理策略。
可选的,所述微服务API网关为Kong网关,设置白名单、黑名单、身份认证功能、网速流量限流插件;
所述网速流量限流插件用于,当一车端网络流量消耗速度超过阈值且持续时间超过预期时间,将车端置入黑名单,当黑名单内车端数超过最大数值时,触发用户选择策略,根据用户选择切换或关闭端口。
第二方面,本发明提供了一种贯穿智能汽车信息安全的纵深防御方法,包括如下步骤:
S0、车端探针向数据采集代理发送日志信息,安全分析引擎对所述日志信息中事件进行分析解析,业务处理引擎通过风险分析引擎判断事件中安全威胁和漏洞,微服务API网关对事件中异常进行监控并响应,业务展示层实时展示系统运行状态;
S1、数据采集代理接受车端发送的点火请求后,通过注册通道向云端管理服务器发送证书请求;
S2、数据采集代理通过注册通道接收所述云端管理服务器发布的证书后并对车端验证后,向车端发送所述证书;
S3、数据采集代理接收车端定时发送的存活状态信息后,通过心跳通道向云端管理服务器发送心跳日志;
S4、数据采集代理接收车端定时发送的日志后,对日志解析出不同主题,通过日志通道向云端管理服务器发送带有主题信息的日志;
S5,当控制策略或者规则库更新时,所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库,并将更新后的控制策略或者规则库传输到各个车端;
其中,规则训练引擎为主从架构的Flink集群,规则训练引擎支持自定义的规则训练模型,Master用于调度除与数据库进行周期同步的其余Flink进程,调度步骤包括:
S51,Flink从Kafka中取数据,Flink进程轮询Kafka,查询是否有数据更新,返回结果;如果有,则获取最新数据;
S52,Flink进程中对所述日志进行归一化处理,再将处理后的安全事件返回Kafka;
S53,Flink进程周期性同步Mysql数据,获取关联规则及威胁情报,缓存在Flink中;
S54,Flink进程将安全事件与关联规则、威胁情报进行匹配,如果匹配则产生告警;
S55,Flink进程将所述日志、处理后的安全事件保存至数据库,如果产生告警,同样保存至数据库;
其中,规则训练引擎用于优化智能汽车入侵检测防御系统IDPS的规则,优化步骤包括:
S61、云端管理服务器把全局模型参数传送给车端;
S62、在各个车端上进行本地训练,并对本地模型参数进行归一化;
S63、将归一化后的参数发送至所述云端管理服务器;
S64、所述云端管理服务器在收集所有车端的参数更新后,对其进行归一化平均;
S65、所述云端管理服务器将更新后的模型参数分发回各个车端,直到模型参数满足误差要求,否则再次执行S61-S65。
本发明的有益效果如下:
1)相对于传统网络的信息安全系统,贯穿智能汽车信息安全的纵深防御系统有其独特性,同时其监测规则、分析规则有别于传统网络,本方案适配车端环境,利用大数据和人工智能技术,不断的丰富车联网的安全监测规则。
2)设计了从车端流量检测、系统状态检测到数据采集、数据分析、风险分析、可视化呈现,然后到安全处置的全流程解决方案,云端又不断的丰富车端的检测规则形成闭环,最后形成贯穿智能汽车信息安全的纵深防御系统的解决方案。
上述说明,仅是本发明技术方案的概述,为了能够更清楚了解本发明技术手段,可依照说明书的内容予以实施,并且为了让本发明的上述说明和其它目的、特征及优点能够更明显易懂,特举较佳实施例,详细说明如下。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。
图1为贯穿智能汽车信息安全的纵深防御系统的结构图;
图2为通过机器学习对安全日志训练的流程图;
图3为流式分析引擎对日志进行处理流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
实施例1
本发明实施例提供一种贯穿智能汽车信息安全的纵深防御系统,该系统包括:车端探针、数据采集代理、安全分析引擎、业务处理引擎、微服务API网关和业务展示层;
所述车端探针包括基于网络的入侵检测系统NIDS(Network- based intrusiondetection system),基于主机的入侵检测系统HIDS(Host- based intrusion detectionsystem),防火墙,CAN报文检测模块;
所述数据采集代理包括注册通道,心跳通道,日志上报通道,策略下发通道;
所述安全分析引擎包括流式分析引擎,数据清洗引擎,数据归并引擎,规则训练引擎,机器学习引擎;
所述业务处理引擎包括自动化编排引擎,数据仓库,风险分析引擎,工作流引擎,可视化配置引擎;
所述微服务API网关包括安全认证模块,负载均衡模块,异常监控模块,链路跟踪模块,API管理模块;
所述业务展示层包括资产管理模块,安全可视化模块,配置管理模块,知识管理模块,安全处置模块;
其中,所述HIDS对文件进行监控、对系统权限进行监控、对系统状态进行监控、对系统日志进行监控,以及将日志信息通过日志上报通道发送到态势感知平台VSOC;
所述NIDS采集流量信息,通过流量检测引擎和深度包检测引擎检测出安全日志,将安全日志上报到VSOC,通过防火墙对黑名单阻断和白名单放行,在VOSC端更新黑名单和白名单;
所述CAN报文检测模块对数据包进行检测、经过报文信号关系检测引擎、报文负载检测引擎、报文序列检测引擎、报文健康检查引擎对报文进行检测,将检测的日志信息通过日志上报通道发送到VSOC。
进一步地,所述数据采集代理接受车端发送的点火请求后,通过注册通道向云端管理服务器发送证书请求;所述数据采集代理通过注册通道接收所述云端管理服务器发布的证书并对车端验证后,向车端发送所述证书;
所述数据采集代理接收车端定时发送的存活状态信息后,通过心跳通道向云端管理服务器发送心跳日志;
所述数据采集代理接收车端定时发送的日志后,对日志解析出不同主题,通过日志通道向云端管理服务器发送带有主题信息的日志;
当控制策略或者规则库更新时,所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库,并将更新后的控制策略或者规则库传输到各个车端。
进一步地,所述数据清洗引擎接收kafka的topicA中带有主题信息的日志后,对日志进行读取解析,获得字段映射文件,根据所述字段映射文件中的映射关系将日志中的字段转换生成事件;读取资产数据后富化资产信息,加载规则标签后富化规则标签,加载IP定位库后富化IP定位信息,将经富化后的带有新主题的日志信息发送至kafka的topicB;将日志主题中资产信息、规则标签、IP定位信息采用标准化模板进行标准化扩展,将经标准化扩展后的日志信息发送至kafka的topicC。
其中,富化指的是打标签和补充信息等对原有信息进行扩展的操作。示例性的,主题:将编号001出租车在北京西站第5基站发送消息:接到乘客2人;经过标准化后,得到主题:车牌号为京C001的自营出租车在IP为192.168.1.1的北京西站基站发送消息;可以使得主题更加清晰,便于分类处理;又如IDS发送日志为公网IP="124.64.23.215"、VIN=”LFV5A24GXH0012345”、规则ID=311、类型=2的数据,标准化后会补充IP的地理位置、VIN的对应的资产信息、根据规则ID和类型判定分析的模型,补充规则训练模型ID。
进一步地,所述流式分析引擎用于通过Flink实时计算、流计算或者通过机器学习对安全日志进行训练。
进一步地,所述规则训练引擎为主从架构的Flink集群,规则训练引擎支持自定义的规则训练模型,从Kafka消息队列获取带有主题的日志,以数据并行和流水线方式执行数据程序,Master用于调度除与数据库进行周期同步的其余Flink进程,包括:
S51,Flink从Kafka中取数据,Flink进程轮询Kafka,查询是否有数据更新,返回结果;如果有,则获取最新数据;
S52,Flink进程中对所述日志进行归一化处理,再将处理后的安全事件返回Kafka;
S53,Flink进程会周期性同步Mysql数据,获取关联规则及威胁情报,缓存在Flink中;
S54,Flink进程将安全事件与关联规则、威胁情报进行匹配,匹配上产生告警;
S55,Flink进程将所述日志、归一化后(处理后)的安全事件保存至Click House数据库,如果产生告警,同样保存至Click House数据库。
进一步地,所述规则训练引擎用于优化IDPS的规则,所述优化包括如下步骤:
S61、云端管理服务器把全局模型参数传送给车端;
S62、在各个车端上进行本地训练,并对本地模型参数进行归一化;
S63、将归一化后的参数发送至所述云端管理服务器;
S64、所述云端管理服务器在收集所有车端的参数更新后,对其进行归一化平均;
S65、所述云端管理服务器将更新后的模型参数分发回各个车端,直到模型参数满足误差要求,否则再次执行S61-S65。
进一步地,所述风险分析引擎计算安全风险包括以下步骤:
S71、确定安全威胁和漏洞:识别威胁来源和攻击方式,将所述威胁来源和攻击方式关联漏洞点;
S72、评估威胁的概率:根据历史数据、统计信息评估每个威胁发生的概率;
S73、评估威胁的影响:确定每个威胁发生时对系统业务中断时长和数据泄露等级;
S74、计算风险值:计算每个威胁的风险值,通过加权模型计算综合风险值;
S75、优先级排序和风险管理:根据每个威胁的风险值,对威胁进行优先级排序,确定威胁处理顺序以及处理策略。
进一步地,所述微服务API网关为Kong网关,设置白名单、黑名单、身份认证功能、网速流量限流插件;
所述网速流量限流插件用于,当一车端网络流量消耗速度超过阈值且持续时间超过预期时间,将车端置入黑名单,当黑名单内车端数超过最大数值时,触发用户选择策略,根据用户选择切换或关闭端口。
Kong作为API网关,不仅仅能实现nginx具备的反向代理和负载均衡功能,还可以基于插件化实现更多功能,比如身份认证、请求限流、黑白名单配置等,都可以基于Kong的插件非常方便的实现。网关一个最大的作用就是可以将一些通用的操作都提取到网关层来实现,让底层的后端服务只需要关注具体的业务即可。
进一步地,通过机器学习引擎对日志进行处理。
机器学习架构使用sk-learn、tensorflow框架;用户在界面上通过拖拽建立模型,需要做的步骤有:选择数据源、数据预处理、特征工程、机器学习算法,用户在每个步骤选择参数,完成了初步的建模。再通过Click House获取训练数据集,训练后得到训练后模型,参见图2。
进一步地,通过安全处置模块对于安全风险进行响,系统通过告警分析模块接收安全日志,系统通过多个过滤字段自由组合或者采用NoSQL的方式进行过滤,过滤后的安全日志后,进行归并引擎出去相对重复的安全日志,然后通过告警生成引擎生成告警,然后调用自动化响应引擎就行安全处置。
自动化响应引擎SOAR(Security Orchestration, Automation, and Response)是指安全编排、自动化和响应,是一种综合性的网络安全解决方案。它结合了人工智能、机器学习和自动化技术,旨在提高网络安全团队的工作效率和响应能力。SOAR可以集成多个安全工具和系统,自动化执行各种安全操作和任务,如事件响应、威胁情报分析、漏洞管理和恶意代码分析等。它还可以通过编排和自动化工作流程,将不同的安全事件和警报进行关联,并提供实时的响应和决策支持。SOAR的应用可以帮助安全团队更快速地检测、响应和解决安全事件,减少人工操作和错误,提高安全运营效率。它还可以帮助团队更好地管理和分析安全数据,提供全面的安全可视化和报告。在贯穿智能汽车信息安全的纵深防御系统中可以集成企业微信、邮件、工单、声音报警、播报等多种通知通告的方式,同时也能通过策略下发通道联动IDPS完成防护和系统检查的作用。总之,SOAR在网络安全领域的应用可以提供更强大的安全自动化和编排能力,帮助组织更好地应对不断增长的网络威胁和安全挑战。
进一步地,系统采用基于Vue3.0、Ant Desigin Pro等最新的前端技术栈来搭建前后端分离的web服务,提炼典型页面,包括常用组件、动态菜单、主题切换、国际化等功能。平台目前包括多个常用基础组件和典型页面模板,涵盖各类常见页面模型。
实施例2
本发明实施例提供一种贯穿智能汽车信息安全的纵深防御方法,包括:
S0、车端探针向数据采集代理发送日志信息,安全分析引擎对所述日志信息中事件进行分析解析,业务处理引擎通过风险分析引擎判断事件中安全威胁和漏洞,微服务API网关对事件中异常进行监控并响应,业务展示层实时展示系统运行状态;
S1、数据采集代理接受车端发送的点火请求后,通过注册通道向云端管理服务器发送证书请求;
S2、数据采集代理通过注册通道接收所述云端管理服务器发布的证书后并对车端验证后,向车端发送所述证书;
S3、数据采集代理接收车端定时发送的存活状态信息后,通过心跳通道向云端管理服务器发送心跳日志;
S4、数据采集代理接收车端定时发送的日志后,对日志解析出不同主题,通过日志通道向云端管理服务器发送带有主题信息的日志;
S5,当控制策略或者规则库更新时,所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库,并将更新后的控制策略或者规则库传输到各个车端;
其中,规则训练引擎为主从架构的Flink集群,规则训练引擎支持自定义的规则训练模型,Master用于调度除与数据库进行周期同步的其余Flink进程,调度步骤包括:
S51,Flink从Kafka中取数据,Flink进程轮询Kafka,查询是否有数据更新,返回结果;如果有,则获取最新数据;
S52,Flink进程中对所述日志进行归一化处理,再将处理后的安全事件返回Kafka;
S53,Flink进程周期性同步Mysql数据,获取关联规则及威胁情报,缓存在Flink中;
S54,Flink进程将安全事件与关联规则、威胁情报进行匹配,如果匹配则产生告警;
S55,Flink进程将所述日志、处理后的安全事件保存至数据库,如果产生告警,同样保存至数据库;
其中,规则训练引擎用于优化智能汽车入侵检测防御系统IDPS的规则,优化步骤包括:
S61、云端管理服务器把全局模型参数传送给车端;
S62、在各个车端上进行本地训练,并对本地模型参数进行归一化;
S63、将归一化后的参数发送至所述云端管理服务器;
S64、所述云端管理服务器在收集所有车端的参数更新后,对其进行归一化平均;
S65、所述云端管理服务器将更新后的模型参数分发回各个车端,直到模型参数满足误差要求,否则再次执行S61-S65。进一步地,规则更新也可以包括,
S611:云端管理服务器选择参与联邦学习的车端节点,选中的车端节点向云端服务器申请下载初始化模型参数和模型的训练程序;
S612:车端节点训练局部模型,被选中的车端节点根据模型训练程序在本地进行局部模型更新,在本地私有数据上运行梯度下降;
S613:云端管理服务器接收到车端节点上传的局部模型参数,用于全局模型的生成。当满足数量的车端节点上传模型参数后,便可进行全局聚合。全局聚合时还可添加用于增加隐私的安全性聚合,用于提高通信效率的有损压缩,以及添加噪声的差分隐私。
S614:全局聚合,对收集到的局部模型根据预先制定好的规则,进行全局模型的聚合,生成全局更新模型。
其中局部训练模型为:
其中,是第k个车端的损失函数,/>代表梯度,/>代表第k个车端t轮梯度下降后更新的参数,/>代表t轮的学习率,t表示轮数,x t是第t轮的输入参数。
全局聚合模型为:
n代表参与训练的总数据量,代表第k个车端提供的数据量。
进一步地,所述风险分析引擎计算安全风险包括以下步骤:
S71、确定安全威胁和漏洞:识别威胁来源和攻击方式,将所述威胁来源和攻击方式关联漏洞点;
S72、评估威胁的概率:根据历史数据、统计信息评估每个威胁发生的概率;
S73、评估威胁的影响:确定每个威胁发生时对系统业务中断时长和数据泄露等级;
S74、计算风险值:计算每个威胁的风险值,通过加权模型计算综合风险值;
S75、优先级排序和风险管理:根据每个威胁的风险值,对威胁进行优先级排序,确定威胁处理顺序以及处理策略。
进一步地,所述风险值计算模型为:
其中,S表示风险值数值,n表示威胁数量,c表示系统业务中断时长分数值,b表示数据泄露等级分数值;b、c通过归一化的方式获得数值,w表示权重,i是威胁的序号;
进一步地,所述微服务API网关为Kong网关;设置白名单、黑名单、身份认证、网速流量限流插件,当某车端网络流量消耗,网速均超过阈值且持续时间超过预期时间,将该车端置入黑名单,当黑名单内用户数超过最大数值时,触发用户选择策略,根据用户选择切换或关闭端口。
Kong作为API网关,不仅仅能实现nginx具备的反向代理和负载均衡功能,还可以基于插件化实现更多功能,比如身份认证、请求限流、黑白名单配置等,都可以基于kong的插件非常方便的实现。网关一个最大的作用就是可以将一些通用的操作都提取到网关层来实现,让底层的后端服务只需要关注具体的业务即可。
进一步地,通过机器学习引擎对日志进行处理。
机器学习架构使用sk-learn、tensorflow框架;用户在界面上通过拖拽建立模型,需要做的步骤有:选择数据源、数据预处理、特征工程、机器学习算法,用户在每个步骤选择参数,完成了初步的建模。再通过Click House获取训练数据集,训练后得到训练后模型;
进一步地,通过安全处置模块对于安全风险进行响,系统通过告警分析模块接收安全日志,系统通过多个过滤字段自由组合或者采用NoSQL的方式进行过滤,过滤后的安全日志后,进行归并引擎出去相对重复的安全日志,然后通过告警生成引擎生成告警,然后调用自动化响应引擎就行安全处置。
自动化响应引擎SOAR(Security Orchestration, Automation, and Response)是指安全编排、自动化和响应,是一种综合性的网络安全解决方案。它结合了人工智能、机器学习和自动化技术,旨在提高网络安全团队的工作效率和响应能力。SOAR可以集成多个安全工具和系统,自动化执行各种安全操作和任务,如事件响应、威胁情报分析、漏洞管理和恶意代码分析等。它还可以通过编排和自动化工作流程,将不同的安全事件和警报进行关联,并提供实时的响应和决策支持。SOAR的应用可以帮助安全团队更快速地检测、响应和解决安全事件,减少人工操作和错误,提高安全运营效率。它还可以帮助团队更好地管理和分析安全数据,提供全面的安全可视化和报告。在贯穿智能汽车信息安全的纵深防御系统中可以集成企业微信、邮件、工单、声音报警、播报等多种通知通告的方式,同时也能通过策略下发通道联动IDPS完成防护和系统检查的作用。总之,SOAR在网络安全领域的应用可以提供更强大的安全自动化和编排能力,帮助组织更好地应对不断增长的网络威胁和安全挑战。
进一步地,系统采用基于Vue3.0、Ant Desigin Pro等最新的前端技术栈来搭建前后端分离的web服务,提炼典型页面,包括常用组件、动态菜单、主题切换、国际化等功能。平台目前包括多个常用基础组件和典型页面模板,涵盖各类常见页面模型。
本发明的有益效果如下:
1)相对于传统网络的信息安全系统,贯穿智能汽车信息安全的纵深防御系统有其独特性,同时其监测规则、分析规则有别于传统网络,本方案是适配与车端环境,利用大数据和人工智能技术,不断的丰富车联网的安全监测规则。
2)设计了从车端流量检测、系统状态检测到数据采集、数据分析、风险分析、可视化呈现,然后到安全处置的全流程解决方案,云端又不断的丰富车端的检测规则形成闭环,最后形成贯穿智能汽车信息安全的纵深防御系统的解决方案。
Claims (6)
1.一种贯穿智能汽车信息安全的纵深防御系统,其特征在于,所述系统包括:
车端探针、数据采集代理、安全分析引擎、业务处理引擎、微服务API网关和业务展示层;
所述车端探针包括基于网络的入侵检测系统NIDS,基于主机的入侵检测系统HIDS,防火墙,CAN报文检测模块;
所述数据采集代理包括注册通道,心跳通道,日志上报通道,策略下发通道;
所述安全分析引擎包括流式分析引擎,数据清洗引擎,数据归并引擎,规则训练引擎,机器学习引擎;
所述业务处理引擎包括自动化编排引擎,数据仓库,风险分析引擎,工作流引擎,可视化配置引擎;
所述微服务API网关包括安全认证模块,负载均衡模块,异常监控模块,链路跟踪模块,API管理模块;
所述业务展示层包括资产管理模块,安全可视化模块,配置管理模块,知识管理模块,安全处置模块;
其中,所述HIDS对文件进行监控、对系统权限进行监控、对系统状态进行监控、对系统日志进行监控,以及将日志信息通过日志上报通道发送到态势感知平台VSOC;
所述NIDS采集流量信息,通过流量检测引擎和深度包检测引擎检测出安全日志,将安全日志上报到VSOC,通过防火墙对黑名单阻断和白名单放行,在VOSC端更新黑名单和白名单;
所述CAN报文检测模块对数据包进行检测、经过报文信号关系检测引擎、报文负载检测引擎、报文序列检测引擎、报文健康检查引擎对报文进行检测,将检测的日志信息通过日志上报通道发送到VSOC;
其中,所述数据清洗引擎接收kafka的topicA中带有主题信息的日志后,对日志进行读取解析,获得字段映射文件,根据所述字段映射文件中的映射关系将日志中的字段转换生成事件;读取资产数据后富化资产信息,加载规则标签后富化规则标签,加载IP定位库后富化IP定位信息,将经富化后的带有新主题的日志信息发送至kafka的topicB;将日志主题中资产信息、规则标签、IP定位信息采用标准化模板进行标准化扩展,将经标准化扩展后的日志信息发送至kafka的topicC;
其中,富化指的是打标签和补充信息,对原有信息进行扩展的操作;
所述数据清洗引擎接收带有主题信息的日志后,若主题信息包含规则信息,则将所述日志发送至规则训练引擎;
所述规则训练引擎用于优化智能汽车入侵检测防御系统IDPS的规则,优化步骤包括:
S61、云端管理服务器把全局模型参数传送给车端;
S62、在各个车端上进行本地训练,并对本地模型参数进行归一化;
S63、将归一化后的参数发送至所述云端管理服务器;
S64、所述云端管理服务器在收集所有车端的参数更新后,对其进行归一化平均;
S65、所述云端管理服务器将更新后的模型参数分发回各个车端,直到模型参数满足误差要求,否则再次执行S61-S65;
其中,S611:云端管理服务器选择参与联邦学习的车端节点,选中的车端节点向云端服务器申请下载初始化模型参数和模型的训练程序;
S612:车端节点训练局部模型,被选中的车端节点根据模型训练程序在本地进行局部模型更新,在本地私有数据上运行梯度下降;
S613:云端管理服务器接收到车端节点上传的局部模型参数,用于全局模型的生成;当满足数量的车端节点上传模型参数后,便可进行全局聚合;
S614:全局聚合,对收集到的局部模型根据预先制定好的规则,进行全局模型的聚合,生成全局更新模型;
其中局部训练模型为:
其中,是第k个车端的损失函数,/>代表梯度,/>代表第k个车端t轮梯度下降后更新的参数,/>代表t轮的学习率,t表示轮数,x t是第t轮的输入参数;
全局聚合模型为:
n代表参与训练的总数据量,代表第k个车端提供的数据量;
其中,所述风险分析引擎用于计算安全风险,包括以下步骤:
S71、确定安全威胁和漏洞:识别威胁来源和攻击方式,将所述威胁来源和攻击方式关联漏洞点;
S72、评估威胁的概率:根据历史数据、统计信息评估每个威胁发生的概率;
S73、评估威胁的影响:确定每个威胁发生时对系统业务中断时长和数据泄露等级;
S74、计算风险值:计算每个威胁的风险值,通过加权模型计算综合风险值;
S75、优先级排序和风险管理:根据每个威胁的风险值,对威胁进行优先级排序,确定威胁处理顺序以及处理策略;
所述风险值计算模型为:
其中,S表示风险值数值,i表示威胁数量,c表示系统业务中断时长分数值,b表示数据泄露等级分数值;b、c通过归一化的方式获得数值,w表示权重;机器学习架构使用sk-learn、tensorflow框架。
2.根据权利要求1所述贯穿智能汽车信息安全的纵深防御系统,其特征在于:
所述数据采集代理接受车端发送的点火请求后,通过注册通道向云端管理服务器发送证书请求;
所述数据采集代理通过注册通道接收所述云端管理服务器发布的证书并对车端验证后,向车端发送所述证书;
所述数据采集代理接收车端定时发送的存活状态信息后,通过心跳通道向云端管理服务器发送心跳日志;
所述数据采集代理接收车端定时发送的日志后,对日志解析出不同主题,通过日志上报通道向云端管理服务器发送带有主题信息的日志;
当控制策略或者规则库更新时,所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库,并将更新后的控制策略或者规则库传输到各个车端。
3.根据权利要求2所述贯穿智能汽车信息安全的纵深防御系统,其特征在于:
所述流式分析引擎用于通过Flink实时计算,流计算或者通过机器学习对安全日志进行训练。
4.根据权利要求3所述贯穿智能汽车信息安全的纵深防御系统,其特征在于:
所述规则训练引擎为主从架构的Flink集群,规则训练引擎支持自定义的规则训练模型,从Kafka消息队列获取带有主题的日志,以数据并行和流水线方式执行数据程序,Master用于调度除与数据库进行周期同步的其余Flink进程,调度步骤包括:
S51,Flink从Kafka中取数据,Flink进程轮询Kafka,查询是否有数据更新,返回结果;如果有,则获取最新数据;
S52,Flink进程中对所述日志进行归一化处理,再将处理后的安全事件返回Kafka;
S53,Flink进程周期性同步Mysql数据,获取关联规则及威胁情报,缓存在Flink中;
S54,Flink进程将安全事件与关联规则、威胁情报进行匹配,如果匹配则产生告警;
S55,Flink进程将所述日志、处理后的安全事件保存至数据库,如果产生告警,同样保存至数据库。
5.根据权利要求1所述贯穿智能汽车信息安全的纵深防御系统,其特征在于:
所述微服务API网关为Kong网关,设置白名单、黑名单、身份认证功能、网速流量限流插件;
所述网速流量限流插件用于,当一车端网络流量消耗速度超过阈值且持续时间超过预期时间,将车端置入黑名单,当黑名单内车端数超过最大数值时,触发用户选择策略,根据用户选择切换或关闭端口。
6.一种贯穿智能汽车信息安全的纵深防御方法,其特征在于,包括如下步骤:
S0、车端探针向数据采集代理发送日志信息,安全分析引擎对所述日志信息中事件进行分析解析,业务处理引擎通过风险分析引擎判断事件中安全威胁和漏洞,微服务API网关对事件中异常进行监控并响应,业务展示层实时展示系统运行状态;
S1、数据采集代理接受车端发送的点火请求后,通过注册通道向云端管理服务器发送证书请求;
S2、数据采集代理通过注册通道接收所述云端管理服务器发布的证书后并对车端验证后,向车端发送所述证书;
S3、数据采集代理接收车端定时发送的存活状态信息后,通过心跳通道向云端管理服务器发送心跳日志;
S4、数据采集代理接收车端定时发送的日志后,对日志解析出不同主题,通过日志上报通道向云端管理服务器发送带有主题信息的日志;
S5,当控制策略或者规则库更新时,所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库,并将更新后的控制策略或者规则库传输到各个车端;
其中,规则训练引擎为主从架构的Flink集群,Master用于调度除与数据库进行周期同步的其余Flink进程,调度步骤包括:
S51,Flink从Kafka中取数据,Flink进程轮询Kafka,查询是否有数据更新,返回结果;如果有,则获取最新数据;
S52,Flink进程中对所述日志进行归一化处理,再将处理后的安全事件返回Kafka;
S53,Flink进程周期性同步Mysql数据,获取关联规则及威胁情报,缓存在Flink中;
S54,Flink进程将安全事件与关联规则、威胁情报进行匹配,如果匹配则产生告警;
S55,Flink进程将所述日志、处理后的安全事件保存至数据库,如果产生告警,同样保存至数据库;
其中,规则训练引擎用于优化智能汽车入侵检测防御系统IDPS的规则,优化步骤包括:
S61、云端管理服务器把全局模型参数传送给车端;
S62、在各个车端上进行本地训练,并对本地模型参数进行归一化;
S63、将归一化后的参数发送至所述云端管理服务器;
S64、所述云端管理服务器在收集所有车端的参数更新后,对其进行归一化平均;
S65、所述云端管理服务器将更新后的模型参数分发回各个车端,直到模型参数满足误差要求,否则再次执行S61-S65;其中,S611:云端管理服务器选择参与联邦学习的车端节点,选中的车端节点向云端服务器申请下载初始化模型参数和模型的训练程序;
S612:车端节点训练局部模型,被选中的车端节点根据模型训练程序在本地进行局部模型更新,在本地私有数据上运行梯度下降;
S613:云端管理服务器接收到车端节点上传的局部模型参数,用于全局模型的生成;
S614:全局聚合,对收集到的局部模型根据预先制定好的规则,进行全局模型的聚合,生成全局更新模型;
其中局部训练模型为:
其中,是第k个车端的损失函数,/>代表梯度,/>代表第k个车端t轮梯度下降后更新的参数,/>代表t轮的学习率,t表示轮数,x t是第t轮的输入参数;
全局聚合模型为:
n代表参与训练的总数据量,代表第k个车端提供的数据量;所述风险分析引擎计算安全风险包括以下步骤:
S71、确定安全威胁和漏洞:识别威胁来源、攻击方式、关联漏洞点;
S72、评估威胁的概率:根据历史数据、统计信息评估每个威胁发生的概率
S73、评估威胁的影响:确定每个威胁发生时对系统业务中断时长,数据泄露等级;
S74、计算风险值:计算每个威胁的风险值,通过加权模型计算综合风险值;
S75、优先级排序和风险管理:根据风险值,对威胁进行优先级排序,确定威胁处理顺序以及处理策略;
进一步地,所述风险值计算模型为:
其中,S表示风险值数值,i表示威胁数量,c表示系统业务中断时长分数值,b表示数据泄露等级分数值;b、c通过归一化的方式获得数值,w表示权重;
机器学习架构使用sk-learn、tensorflow框架。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311384485.4A CN117118761B (zh) | 2023-10-25 | 2023-10-25 | 一种贯穿智能汽车信息安全的纵深防御系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311384485.4A CN117118761B (zh) | 2023-10-25 | 2023-10-25 | 一种贯穿智能汽车信息安全的纵深防御系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117118761A CN117118761A (zh) | 2023-11-24 |
CN117118761B true CN117118761B (zh) | 2024-04-09 |
Family
ID=88796981
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311384485.4A Active CN117118761B (zh) | 2023-10-25 | 2023-10-25 | 一种贯穿智能汽车信息安全的纵深防御系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117118761B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108052824A (zh) * | 2017-12-25 | 2018-05-18 | 北京奇艺世纪科技有限公司 | 一种风险防控方法、装置及电子设备 |
CN113810362A (zh) * | 2021-07-28 | 2021-12-17 | 中国人寿保险股份有限公司上海数据中心 | 一种安全风险检测处置系统及其方法 |
CN114626808A (zh) * | 2022-03-04 | 2022-06-14 | 南斗六星系统集成有限公司 | 一种基于微服务架构的车联网大数据分析系统 |
CN115865526A (zh) * | 2023-02-20 | 2023-03-28 | 国家工业信息安全发展研究中心 | 一种基于云边协同的工业互联网安全检测方法及系统 |
CN116128164A (zh) * | 2023-04-13 | 2023-05-16 | 南京邮电大学 | 一种基于隐私保护的电力负荷短期预测系统及方法 |
CN116614277A (zh) * | 2023-05-24 | 2023-08-18 | 中国电子科技集团公司第三十研究所 | 基于机器学习与异常行为分析的网络安全监管系统与方法 |
CN116614532A (zh) * | 2023-06-06 | 2023-08-18 | 合众新能源汽车股份有限公司 | 一种车辆信息管理方法、系统及计算机存储介质 |
CN116775763A (zh) * | 2023-06-25 | 2023-09-19 | 中云开源数据技术(上海)有限公司 | 一种去中心化分布式共生共享的数据编织系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7413275B2 (ja) * | 2018-01-09 | 2024-01-15 | アーカイブ オート インク | 車両データの取得およびアクセスシステム、および方法 |
CN114257386B (zh) * | 2020-09-10 | 2023-03-21 | 华为技术有限公司 | 检测模型的训练方法、系统、设备及存储介质 |
EP4288917A1 (en) * | 2021-02-04 | 2023-12-13 | Google LLC | Deep neural network learning with controllable rules |
-
2023
- 2023-10-25 CN CN202311384485.4A patent/CN117118761B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108052824A (zh) * | 2017-12-25 | 2018-05-18 | 北京奇艺世纪科技有限公司 | 一种风险防控方法、装置及电子设备 |
CN113810362A (zh) * | 2021-07-28 | 2021-12-17 | 中国人寿保险股份有限公司上海数据中心 | 一种安全风险检测处置系统及其方法 |
CN114626808A (zh) * | 2022-03-04 | 2022-06-14 | 南斗六星系统集成有限公司 | 一种基于微服务架构的车联网大数据分析系统 |
CN115865526A (zh) * | 2023-02-20 | 2023-03-28 | 国家工业信息安全发展研究中心 | 一种基于云边协同的工业互联网安全检测方法及系统 |
CN116128164A (zh) * | 2023-04-13 | 2023-05-16 | 南京邮电大学 | 一种基于隐私保护的电力负荷短期预测系统及方法 |
CN116614277A (zh) * | 2023-05-24 | 2023-08-18 | 中国电子科技集团公司第三十研究所 | 基于机器学习与异常行为分析的网络安全监管系统与方法 |
CN116614532A (zh) * | 2023-06-06 | 2023-08-18 | 合众新能源汽车股份有限公司 | 一种车辆信息管理方法、系统及计算机存储介质 |
CN116775763A (zh) * | 2023-06-25 | 2023-09-19 | 中云开源数据技术(上海)有限公司 | 一种去中心化分布式共生共享的数据编织系统 |
Non-Patent Citations (1)
Title |
---|
信息安全风险多维动态管理模型及相关评估方法研究;葛海慧;北京邮电大学;第三章-第四章 * |
Also Published As
Publication number | Publication date |
---|---|
CN117118761A (zh) | 2023-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN111475804A (zh) | 一种告警预测方法及系统 | |
Garcia-Font et al. | Attack classification schema for smart city WSNs | |
US20160308725A1 (en) | Integrated Community And Role Discovery In Enterprise Networks | |
CN101282332B (zh) | 面向网络安全告警关联的攻击图生成系统 | |
JP2021513170A (ja) | モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出 | |
CN111885040A (zh) | 分布式网络态势感知方法、系统、服务器及节点设备 | |
CN112468347B (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
WO2011077013A1 (en) | Intrusion detection in communication networks | |
US20170288979A1 (en) | Blue print graphs for fusing of heterogeneous alerts | |
CN103237308B (zh) | 一种车载自组织网络的分布式入侵检测方法 | |
JP2017538229A (ja) | 神経言語挙動認識システム用の知覚関連メモリ | |
CN111885060A (zh) | 面向车联网的无损式信息安全漏洞检测系统和方法 | |
CN104506356A (zh) | 一种确定ip地址信誉度的方法和装置 | |
JP2019101672A (ja) | サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 | |
CN115174251B (zh) | 一种安全告警的误报识别方法、装置以及存储介质 | |
CN110149318A (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
Ercan et al. | New features for position falsification detection in vanets using machine learning | |
US20210350160A1 (en) | System And Method For An Activity Based Intelligence Contextualizer | |
CN115396324A (zh) | 一种网络安全态势感知预警处理系统 | |
CN111935189A (zh) | 工控终端策略控制系统及工控终端策略控制方法 | |
Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
CN117118761B (zh) | 一种贯穿智能汽车信息安全的纵深防御系统和方法 | |
CN117155667A (zh) | 网络安全设备信息处理系统、方法、设备及存储介质 | |
Gawali et al. | Anomaly detection system in 5G networks via deep learning model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |