WO2022205122A1

WO2022205122A1 - 确定防护方案的方法、装置、设备及计算机可读存储介质

Info

Publication number: WO2022205122A1
Application number: PCT/CN2021/084518
Authority: WO
Inventors: 赵付霞; 冀浩杰; 王云鹏; 于海洋; 秦洪懋; 王颖会
Original assignee: 华为技术有限公司
Priority date: 2021-03-31
Filing date: 2021-03-31
Publication date: 2022-10-06
Also published as: CN113228594A; CN113228594B

Abstract

本申请公开了一种确定防护方案的方法、装置、设备及计算机可读存储介质，属于网联汽车安全技术领域。方法包括基于多个攻击路径中每个攻击路径分别对应的攻击路径防护方案，确定多个组合防护方案，其中，组合防护方案由所述多个攻击路径中每个攻击路径分别对应的一个攻击路径防护方案组成。确定每个组合防护方案对应的防护成本，并确定每个组合防护方案对应的风险值。基于每个组合防护方案对应的防护成本和风险值，确定满足防护性价比条件的组合防护方案。通过本申请，可以更加高效的选择出防护方案，且还可以减少不必要的成本浪费。

Description

确定防护方案的方法、装置、设备及计算机可读存储介质

技术领域

本申请涉及网联汽车安全技术领域，特别涉及一种确定防护方案的方法、装置、设备及计算机可读存储介质。

背景技术

随着网联汽车的不断普及，网联汽车的信息安全也越来越被人们所重视。目前，针对网联汽车的信息安全攻击，通常是按照攻击路径进行攻击，使网联汽车产生较大的信息安全风险。其中，攻击路径由至少一个主体组成，主体可以为网联汽车中的车载通信盒子(telematics box，T-Box)、网关(gateway，GW)、电子控制单元(electronic control unit，ECU)等节点中的应用程序、操作系统等。

目前，技术人员对于每个可能的攻击路径均给出了至少一种防护方案，对于同一攻击路径来说，不同防护方案的防护程度不同，可以满足不同的需求。在网联汽车开发阶段，开发人员结合自己的经验针对每种攻击路径选择对应的一种防护方案。

在选择防护方案后，开发人员需要对该防护方案进行试验以确定是否满足需求，如果不满足则要重新选择，这样，在选择每个攻击路径的防护方案时均需反复尝试，选择效率较低。

发明内容

本申请实施例提供了一种确定防护方案的方法、装置、设备及计算机可读存储介质，可以更加高效的确定出整体防护性价比更好的防护方案，且还可以降低不必要的成本浪费，技术方案如下：

第一方面，提供了一种确定防护方案的方法，该方法包括：

基于每个攻击路径分别对应的攻击路径防护方案，确定多个组合防护方案，其中，组合防护方案由多个攻击路径中每个攻击路径分别对应的一个攻击路径防护方案组成。确定每个组合防护方案对应的防护成本，并确定每个组合防护方案对应的风险值。基于每个组合防护方案对应的防护成本和风险值，确定满足防护性价比条件的组合防护方案。

在本申请实施例所示的方案中，先确定出多个组合防护方案，每个组合防护方案由多个攻击路径中每个攻击路径分别对应的一个攻击路径防护方案组成。然后，在这些组合防护方案中结合组合防护方案的风险值和防护成本，选择出防护性价比较好的组合防护方案。可见，在本申请中并非对于每条攻击路径单独确定其防护方案，而是一次确定出对应多条攻击路径的组合防护方案，效率更高。此外，在本申请中，确定组合防护时，综合考虑了风险值和防护成本，使得最终确定出的组合防护方案是性价比较好的，可以有效降低成本的浪费。

另外，对于多个攻击路径可能存在相同的主体，例如，第一攻击路径包括的主体为A、B、C，第二攻击路径包括的主体的A、D。在某种实施方式中，单独确定每条攻击路径的防护方案，对于上述第一攻击路径来说，可能选择在第一攻击路径对应的各攻击路径防护方案中选择出性价比较好的攻击路径防护方案是B1(主体B的主体防护措施)加C1(主体C的主体防护措施)，对于第二攻击路径来说，可能选择在第二攻击路径对应的各攻击路径防护方案中选择出性价比较好的攻击路径防护方案是D1(主体D的主体防护措施)。而攻击路径防护方案A1(主体A的主体防护措施)无论对于第一攻击路径还是对于第二攻击路径，都并未是性价比最好的防护方案。但是，A1即可以防护第一攻击路径也可以防护第二攻击路径，且其防护成本要小于B1+C1+D1，对第一条攻击路径来说，A1的防护效果好于B1+C1；对第二条攻击路径来说，A1的防护效果好于D1。那么，在对于第一攻击路径和第二攻击路径一起选择性价比最好的组合防护方案时，A1将会被选出，作为性价比最好的组合防护方案。显然，对于第一攻击路径和第二攻击路径来说，选择A1要比选择B1+C1+D1性价比高。

在一种可能的实现方式中，还可以将各组合防护方案划分到不同的信息安全等级下，并在每个信息安全等级中选择出满足防护性价比条件的组合防护方案，这样，可以更好的适应不同信息安全需求的网联汽车。具体的，基于每个组合防护方案对应的风险值，以及各信息安全等级对应的风险值范围，确定每个组合防护方案所属的信息安全等级。对于每个信息安全等级，基于属于该信息安全等级的各组合防护方案分别对应的防护成本和风险值，确定属于该信息安全等级的满足防护性价比条件的组合防护方案。

在一种可能的实现方式中，防护性价比条件为防护性价比最高。

在一种可能的实现方式中，可以对最大风险值R等比划分为N份，得到N个风险值范围，每个风险值范围对应一个信息安全等级。其中，第i个信息安全等级对应的风险值范围的下限为

上限为

对于边界值可以划分到较高的信息安全等级对应的风险值范围。信息安全等级越高对应的风险值越小。

在一种可能的实现方式中，确定每个组合防护方案对应的防护成本的方法可以如下：

计算每个组合防护方案包括的各攻击路径的防护方案对应的防护成本之和，作为每个组合防护方案对应的防护成本。

在一种可能的实现方式中，确定每个组合防护方案对应的风险值的方法可以如下：

计算每个组合防护方案包括的各攻击路径的防护方案对应的风险值之和，作为每个组合防护方案对应的风险值。

在一种可能的实现方式中，本申请实施例提供的技术方案应用于网联汽车领域。

在网联汽车开发阶段，或者在网联汽车投入使用后，出于网联汽车安全的考虑，需要对网联汽车中存在的威胁网联汽车安全的攻击路径进行防护。此时，可以采用本申请实施例提供的方法针对威胁网联汽车安全的攻击路径，选择防护方案。具体的，基于网联汽车的每个攻击路径分别对应的攻击路径防护方案，确定网联汽车的多个组合防护方案。然后，确定网联汽车的每个组合防护方案对应的防护成本，并确定每个组合防护方案对应的风险值。最后，基于网联汽车的每个组合防护方案对应的防护成本和风险值，确定网联汽车的满足防护性价比条件的组合防护方案。

此外，在选择出网联汽车的满足防护性价比的组合防护方案后，可以将确定的组合防护方案的相关信息进行显示。其中，相关信息可以包括组合防护方案的具体实施步骤、预计防护效果、防护成本、注意事项等等。这样，技术人员可以清晰的获知组合防护方案的相关信息，进而技术人员可以基于组合防护方案的相关信息在网联汽车中实施该组合防护方案，以对网联汽车的攻击路径进行防护。

第二方面，提供了一种确定防护方案的装置，该装置用于执行上述第一方面所述的方法。具体地，该装置包括用于执行上述第一方面所述的方法的模块。

第三方面，提供了一种计算机设备，该计算机设备包括处理器和存储器，其中：

所述存储器存储指令，所述处理器执行所述指令，以实现如上述第一方面所述的确定防护方案的方法。

第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，所述指令由处理器加载并执行，以实现如上述第一方面所述的确定防护方案的方法。

第五方面，提供了一种芯片系统，该芯片系统包括处理器和接口；

接口用于获取程序或指令；

处理器用于调用所述程序或指令，以实现或者支持终端计算机设备实现如上述第一方面以及第一方面中任意一种可能的实施方式所述的确定防护方案的方法。

第六方面，提供了一种计算机程序产品，该计算机程序产品中包括有指令，所述指令由处理器加载并执行，以实现如第一方面以及第一方面中任意一种可能的实施方式所描述的方法。

第七方面，提供了一种确定防护方案的装置，该装置包括至少一个处理器和通信接口，所述通信接口用于发送和/或接收数据，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得所述装置实现如第一方面以及第一方面中任意一种可能的实施方式所描述的方法。

第八方面，提供了一种芯片系统，该芯片系统包括至少一个处理器，用于支持实现上述第一方面以及第一方面中任意一种可能的实施方式中所涉及的功能，例如，接收或处理上述方法中所涉及的数据和/或信息。

在一种可能的设计中，该芯片系统还包括存储器，该存储器，用于保存程序指令和数据，存储器位于处理器之内或处理器之外。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

附图说明

图1是本申请实施例提供的一种网联汽车电子电气架构图；

图2是本申请实施例提供的一种节点级攻击路径示意图；

图3是本申请实施例提供的一种主体级攻击路径和节点级攻击路径的关系示意图；

图4是本申请实施例提供的一种确定防护方案的方法流程图；

图5是本申请实施例提供的一种主体的脆弱点示意图；

图6是本申请实施例提供的一种确定防护方案的装置结构示意图；

图7是本申请实施例提供的一种计算机设备的结构示意图。

具体实施方式

本申请实施例提供了一种确定防护方案的方法，该方法可以由计算机设备实现，其中，计算机设备可以为笔记本电脑(Laptop)、台式电脑、平板电脑(pad)等。在本申请实施例中，计算机设备可以一次确定出对应多条攻击路径的组合防护方案，效率更高。此外，在本申请实施例中，还综合考虑了组合防护方案的风险值和防护成本，使得最终确定出的组合防护方案是性价比较好的，可以有效避免成本的浪费。

上述防护方案可以部署在网联汽车中，参见图1示出了一种可能的网联汽车电子电气架构图。在图1中，车载通信盒子(telematics box，T-BOX)用于和外界进行通信，网关(gateway，GW)用于执行协议转换、数据交换等。除T-Box和GW以外的部分，可以包括动力域、底盘域、车身域和信息娱乐域和高级驾驶辅助系统(Advanced Driver Assistance System，ADAS)。每个域包括相应的域控制器(Domain Controller，DC)、控制器局域网络(Controller Area Network，CAN)以及至少一个电子控制单元(Electronic Control Unit，ECU)。

在图1中，动力域包括DC1、动力总成控制器局域网络(Powertrain CAN，PT CAN)、ECU1、ECU2等，其中，ECU可以为发动机控制模块(Engine Control Module，ECM)、电池管理系统(Battery Management System，BMS)等。底盘域包括DC2、底盘控制器局域网络(Chassis CAN，CH CAN)、ECU3、ECU4等，其中，ECU可以为防抱死制动系统(Antilock Brake System，ABS)、车身电子稳定系统(Electronic Stability Program，ESP)等。车身域包括DC3、车身控制器局域网络(Body CAN)、车身控制模块(Body Control Module，BCM)ECU5、ECU6等，其中，ECU可以为胎压监测系统(Tire Pressure Monitoring System，TPMS)、全景式监控影像系统(Around View Monitor，AVM)等。信息娱乐域包括DC4、信息娱乐控制器局域网络(information CAN，info CAN)、ECU7、车载信息娱乐(In-Vehicle Infotainment，IVI)系统等，其中，ECU可以为组合仪表(Instrument Pack，IPK)等。

为了便于对本申请实施例的理解，下面先对本申请中的攻击路径进行说明。

从硬件层面来说，攻击路径为节点级攻击路径，从硬件中具体被攻击的主体来说，攻击路径为主体级攻击路径。

每个节点级攻击路径中包括至少一个节点，节点可以为网联汽车中的硬件模块，如T-Box、GW、DC、ECU等。例如，攻击目的是使网联汽车的远光灯开启，则对应的节点级攻击路径可以如图2所示，即先攻击T-Box，再攻击GW，再攻击车身域的DC，最后攻击控制远光灯的ECU。

参见图3，示出了一种可能的节点级攻击路径和主体级攻击路径之间的关系。在图3中，示出了一个节点级攻击路径，该节点级攻击路径包括的节点依次为T-Box、GW、DC1、ECU1，其中，T-Box包括多个主体，在这多个主体中主体1和主体2为被攻击的主体，GW包括多个主体，在这多个主体中主体3和主体4为被攻击的主体，DC1包括多个主体，主体5和主体6为被攻击的主体，ECU1包括多个主体，在这多个主体中主体7为被攻击的主体。对应于该节点级攻击路径，图3还示出了三个主体级攻击路径，其中，第一个主体级攻击路径包括的主体依次为主体2、主体1、主体3、主体5、主体7，第二个主体级攻击路径包括的主体依次为主体1、主体4、主体6、主体7，第三个主体级攻击路径包括的主体依次为主体2、主体3、主体5、主体7。

根据攻击路径包括的节点数量，可以分为单节点攻击路径和多节点攻击路径。其中，单节点攻击路径指在攻击路径中只包括一个节点的攻击路径，即攻击该一个节点即可产生风险。多节点攻击路径指在攻击路径中包括多个节点的攻击路径。

根据攻击路径中ECU的数量，可以分为无ECU攻击路径、单ECU攻击路径和多ECU攻击路径。

参见图4，本申请实施例提供了一种确定防护方案的方法，该方法的处理流程可以包括如下步骤：

步骤401、确定对网联汽车进行信息安全攻击的多个攻击路径中每种攻击路径对应的攻击路径防护方案。

其中，一个攻击路径对应的攻击路径防护方案由该攻击路径包括的至少一个主体对应的主体防护措施组成。一个攻击路径可以对应有至少一个攻击路径防护方案。主体防护措施可以为主体中脆弱点或漏洞的补丁代码，也可以为用于防护脆弱点或漏洞的硬件模块等。

参见图5所示，主体1对应有两个主体防护措施，在未实施任何主体防护措施时，主体1有四个脆弱点或漏洞，对主体1实施主体防护措施1后，主体1还剩一个脆弱点或漏洞，对主体1实施主体防护措施2后，主体1还剩3个脆弱点或漏洞。

在实施中，技术人员可以预先确定出网联汽车可能存在的k个攻击路径，k为大于1的整数。并且对于各攻击路径中的主体，技术人员可以给出相应的主体防护措施，每个主体可以对应有至少一种主体防护措施。

对于一个攻击路径来说，该攻击路径的一个攻击路径防护方案由该攻击路径所包括的每个主体分别对应的最多一个主体防护措施组成。也即是，在攻击路径的一个攻击路径防护方案中，对于该攻击路径的每个主体，可以对应一个主体防护措施，也可以不实施主体防护措施。一个攻击路径对应的攻击路径防护方案的数量可以如下公式表示：

其中，Y _j是k个攻击路径中的第j个攻击路径对应的攻击路径防护方案的数量。N _i是第j个攻击路径中的第i个主体对应的主体防护措施的数量。N _i+1表示对于第i个主体可以选择的主体防护措施有N _i个，还可以选择不对该第i个主体实施主体防护措施。m是第j个攻击路径包括的主体的数量，C为排列组合符号。

步骤402、基于每个攻击路径分别对应的攻击路径防护方案，确定多个组合防护方案。

其中，组合防护方案由多个攻击路径中每个攻击路径分别对应的一个攻击路径防护方案组成。此处需要说明的是，对于一个攻击路径来说，该攻击路径对应的攻击路径防护方案包括不对该攻击路径实施防护方案。

在实施中，多个攻击路径防护方案可以组成一个组合防护方案，那么，对于k个攻击路径，组合防护方案的数量可以由以下公式计算表示：

其中，k为攻击路径的数量，Y _j是k个攻击路径中的第j个攻击路径对应的攻击路径防护方案的数量。

在一种可能的实现方式中，在上述S种组合防护方案中，如果某个组合防护方案中对应同一主体包括了多个可实施的主体防护措施，那么，可以将该组合防护方案剔除。

例如，在某组合防护方案中，第一攻击路径防护方案中包括有对应第一主体的主体防护措施，第二攻击路径防护方案中也包括有对应上述第一主体的主体防护措施。而在实际实施时，对于第一攻击路径防护方案中对应上述第一主体的主体防护措施和第二攻击路径防护方案中对应上述第一主体的主体防护措施只会实施一个。那么，该组合防护方案最后便不会被采用，可以将该组合防护方案剔除。

假设对应相同包括多个主体防护措施的组合防护方案数量有X，那么，剔除后剩余的组合防护方案数量为S′＝S-X。

步骤403、确定每个组合防护方案对应的防护成本，并确定每个组合防护方案对应的风险值。

其中，每个组合防护方案指上述剔除后剩余的组合防护方案中的每个组合防护方案。

在实施中，对于每个组合防护方案的防护成本，可以先计算该组合防护方案包括的各攻击路径防护方案的防护成本，再将各攻击路径防护方案的防护成本相加，得到该组合防护方案的防护成本。具体的，对于某组合防护方案的防护成本可以由如下公式计算得到：

其中，CS′为组合防护方案的防护成本，k为该组合防护方案中包括的攻击路径防护方案数量，也即是攻击路径的数量，C _j为该组合防护方案中第j个攻击路径防护方案的防护成本。

对于第j个攻击路径防护方案的防护成本可以由以下公式计算得到：

其中，m为该第j个攻击路径包括的主体数量，c _i为第i个主体对应的防护成本，如果在该第j个攻击路径防护方案中，对于该第i个主体实施主体防护措施，则c _i为实施该主体防护措施所产生的防护成本，如果在该第j个攻击路径防护方案中，对于该第i个主体不实施主体防护措施，则c _i为0。主体防护措施的防护成本是指实施该主体防护措施所要付出的人力、物力等的量化值，可以由技术人员根据实验测试得到。

对于每个组合防护方案的风险值，可以先计算该组合防护方案包括的各攻击路径防护方案的风险值，再将各攻击路径防护方案的风险值相加，得到该组合防护方案的风险值。具体的，对于某组合防护方案的风险值可以由如下公式计算得到：

其中，RS′为组合防护方案的风险值，k为该组合防护方案中包括的攻击路径防护方案数量，也即是攻击路径的数量，R _j为该组合防护方案中第j个攻击路径防护方案的风险值。

对于第j个攻击路径防护方案的风险值可以由以下公式计算得到：

其中，m为该第j个攻击路径包括的主体数量，r _i为该第j个攻击路径中的第i个主体对应的攻击概率。I为攻击路径的影响结果量化值。r _i和I均为已知量，可以由技术人员根据实验测试得到。下面对于r _i的取值情况进行说明：

情况一、如果在该第j个攻击路径的攻击路径防护方案中，该第i个主体实施主体防护措施，则将实施该主体防护措施后的该第i个主体被攻击成功的概率作为r _i。

情况二、如果在该第j个攻击路径的攻击路径防护方案中，该第i个主体不实施主体防护措施，且在该组合防护方案中不存在对应该第i个主体的主体防护措施，则将该第i个主体不实施任何主体防护措施时对应的攻击概率作为r _i。

情况三、如果在该第j个攻击路径的攻击路径防护方案中，该第i个主体不实施主体防护措施，且在该组合防护方案中存在对应该第i个主体的主体防护措施，则将实施该主体防护措施后该第i个主体被攻击成功的概率作为r _i。

步骤404、基于每个组合防护方案对应的防护成本和风险值，确定满足防护性价比条件的组合防护方案。

在实施中，在上述剔除处理后剩余的组合防护中，选择出防护性价比最好的组合防护方案，具体的，选择的方法可以有多种，下面列举几种进行说明：

方法一：

将各组合防护方案按照对应的风险值大小降序排列，将排列后的第一个组合防护方案设置为第一对比组合防护方案，将排列后的第二个组合防护方案设置为第二对比组合防护方案。基于第一对比组合防护方案对应的防护成本和风险值，以及第二对比组合防护方案对应的防护成本和风险值，确定第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案，作为候选组合防护方案。

自排列后的第三个组合防护方案开始，按排列顺序逐个获取组合防护方案，每获取一个组合防护方案，将最新确定的候选组合防护方案设置第一对比组合防护方案，将当前获取的组合防护方案作为第二对比组合防护方案，基于第一对比组合防护方案对应的防护成本和风险值，以及第二对比组合防护方案对应的防护成本和风险值，确定第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案，作为候选组合防护方案。

将最后确定的候选组合防护方案，确定为防护性价比最高的组合防护方案。

在该方法一中，确定第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案时，可以采用如下方法：

如果第一对比组合防护方案对应的防护成本大于第二对比组合防护方案对应的防护成本，则将第二对比组合防护方案确定为第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案。

如果第一对比组合防护方案对应的防护成本小于第二对比组合防护方案对应的防护成本，则计算第二对比组合防护方案相对于第一对比组合防护方案的成本增加率，并计算第二对比组合防护方案相对于第一对比组合防护方案的风险降低率。计算成本增加率和风险降低率的差值。

如果差值小于0，则将第二对比组合防护方案确定为所述第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案。

如果所述差值不小于0，则将第一对比组合防护方案确定为第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案。

方法二：

将各组合防护方案按照对应的风险值大小升序排列。将排列后的第一个组合防护方案设置为第一对比组合防护方案，将排列后的第二个组合防护方案设置为第二对比组合防护方案。基于第一对比组合防护方案对应的防护成本和风险值，以及第二对比组合防护方案对应的防护成本和风险值，确定第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案，作为候选组合防护方案。

在该方法二中，确定第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案时，可以采用如下方法：

如果第一对比组合防护方案对应的防护成本小于第二对比组合防护方案对应的防护成本，则将第一对比组合防护方案确定为所述第一对比组合防护方案和所述第二对比组合防护方案中防护性价比较高的组合防护方案。

如果第一对比组合防护方案对应的防护成本大于所述第二对比组合防护方案对应的防护成本，则计算第一对比组合防护方案相对于第二对比组合防护方案的成本增加率，并计算第一对比组合防护方案相对于第二对比组合防护方案的风险降低率。计算成本增加率和风险降低率的差值。

如果差值小于0，则将第一对比组合防护方案确定为第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案。

如果所述差值不小于0，则将第二对比组合防护方案确定为第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案。

方法三、

在各组合防护方案中随机选择两个组合防护方案，分别设置为第一对比组合防护方案和第二对比组合防护方案。基于第一对比组合防护方案对应的防护成本和风险值，以及第二对比组合防护方案对应的防护成本和风险值，确定第一对比组合防护方案和所述第二对比组合防护方案中防护性价比较高的组合防护方案，作为候选组合防护方案。

逐个获取剩余的组合防护方案，每获取一个组合防护方案，将最新确定的候选组合防护方案设置第一对比组合防护方案，将当前获取的组合防护方案作为第二对比组合防护方案，基于第一对比组合防护方案对应的防护成本和风险值，以及第二对比组合防护方案对应的防护成本和风险值，确定第一对比组合防护方案和所述第二对比组合防护方案中防护性价比较高的组合防护方案，作为候选组合防护方案。

在该方法三中，确定第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案时，可以采用如下方法：

计算第一对比组合防护方案相对于所述第二对比组合防护方案的成本增加率，并计算所述第一对比组合防护方案相对于所述第二对比组合防护方案的风险降低率。计算成本增加率和所述风险降低率的差值。

如果差值大于0，则将第二对比组合防护方案确定为第一对比组合防护方案和第二对比组合防护方案中防护性价比较高的组合防护方案。

在一种可能的实现方式中，在选择满足防护性价比条件的组合防护方案之前，可以先根据各组合防护方案的风险值，将各组合防护方案划分到不同的信息安全等级中。

信息安全等级的划分方法可以如下：

先对最大风险值R等比划分为N份，得到N个风险值范围，每个风险值范围对应一个信息安全等级。其中，第i个信息安全等级对应的风险值范围的下限为

上限为

边界值可以划分到较高的信息安全等级对应的风险值范围。信息安全等级越高对应的风险值越小。

然后，对于每个组合防护方案，判断该组合防护方案的风险值所属的风险值范围对应的信息安全等级，并将该组合防护方案划分至该信息安全等级。

在将组合防护方案划分到相应的信息安全等级后，可以对于每个信息安全等级计算出一个防护性价比最高的组合防护方案。这样，可以针对不同信息安全要求的网联汽车，给出相应的组合防护方案。此处，对于每个信息安全等级中的各组合防护方案选择防护性价比最高的组合防护的方法，与上述步骤404在在剔除处理后剩余的组合防护中选择出防护性价比最高的组合防护方案的方法相同，在此不再赘述。

在本申请实施例所示的方案中，先确定出多个组合防护方案，每个组合防护方案由多个攻击路径中每个攻击路径分别对应的一个攻击路径防护方案组成。然后，在这些组合防护方案中结合组合防护方案的风险值和防护成本，选择出防护性价比较好的组合防护方案。可见，在本申请中并非对于每条攻击路径单独确定其防护方案，而是一次确定出对应多条攻击路径的组合防护方案，效率更高。此外，在本申请中，确定组合防护时，综合考虑了风险值和防护成本，使得最终确定出的组合防护方案是性价比较好的，可以有效避免成本的浪费。

基于相同的技术构思，本申请实施例还提供了一种确定攻击路径的防护方案的装置，该装置可以为计算机设备，如图6所示，该装置包括组合模块610、计算模块620和选择模块630。

组合模块610，用于基于多个攻击路径中的每个攻击路径分别对应的攻击路径防护方案，确定多个组合防护方案，其中，组合防护方案由多个攻击路径中每个攻击路径分别对应的一个攻击路径防护方案组成；具体的，该组合模块610用于执行上述步骤401和402。

计算模块620，用于确定每个组合防护方案对应的防护成本，并确定每个组合防护方案对应的风险值；具体的，该计算模块620用于执行上述步骤403。

选择模块630，用于基于每个组合防护方案对应的防护成本和风险值，确定满足防护性价比条件的组合防护方案。具体的，该选择模块630用于执行上述步骤404。

在一种可能的实现方式中，装置还包括：

分级模块，用于基于每个组合防护方案对应的风险值，以及各信息安全等级对应的风险值范围，确定每个组合防护方案所属的信息安全等级；

选择模块630，用于：

对于每个信息安全等级，基于属于信息安全等级的各组合防护方案分别对应的防护成本和风险值，确定属于信息安全等级的满足防护性价比条件的组合防护方案。

在一种可能的实现方式中，选择模块630，用于：

基于属于信息安全等级的各组合防护方案分别对应的防护成本和风险值，确定属于信息安全等级的防护性价比最高的组合防护方案。

在一种可能的实现方式中，划分模块，还用于：

确定第i个信息安全等级对应的风险值范围的下限为

上限为

其中，R为未实施组合防护方案时网联汽车对应的风险值，N为信息安全等级的级数。

在一种可能的实现方式中，计算模块620，用于：

需要说明的是：上述实施例提供的确定攻防护方案的装置在确定防护方案时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将计算机设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的确定防护方案的装置与确定防护方案的方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

参见图7，本申请实施例提供了一种计算机设备700示意图。该计算机设备700包括至少一个处理器701，内部连接702，存储器703以及至少一个收发器704。

该计算机设备700是一种硬件结构的装置，可以用于实现图6所示的装置中的功能模块。例如，本领域技术人员可以想到图6所示的装置中的计算模块620可以通过该至少一个处理器701调用存储器703中的代码来实现，组合模块610和选择模块630也可以通过该至少一个处理器701调用存储器703中的代码来实现。

可选的，上述处理器701可以是一个通用中央处理器(central processing unit，CPU)，网络处理器(network processor，NP)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

上述内部连接702可包括一通路，在上述组件之间传送信息。可选的，内部连接702为单板或总线等。

上述收发器704，用于与其他设备或通信网络通信。

上述存储器703可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器703用于存储执行本申请方案的应用程序代码，并由处理器701来控制执行。处理器701用于执行存储器703中存储的应用程序代码，以及配合至少一个收发器704，从而使得该计算机设备700实现本申请中的功能。

在具体实现中，作为一种实施例，处理器701可以包括一个或多个CPU，例如图7中的CPU0和CPU1。

在具体实现中，作为一种实施例，该计算机设备700可以包括多个处理器。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令或程序，指令或程序由处理器加载并执行，以实现本申请实施例提供的确定防护方案的方法。

本申请实施例还提供了一种计算机程序产品，该计算机程序产品中包括指令，指令由处理器加载并执行，以实现本申请实施例提供的确定防护方案的方法。

本申请实施例还提供了一种芯片系统，该芯片系统包括处理器和接口；接口用于获取程序或指令；处理器用于调用所述程序或指令，以实现或者支持终端计算机设备实现本申请实施例提供的确定防护方案的方法。

本申请实施例还提供了一种芯片系统，该芯片系统包括至少一个处理器，用于支持实现本申请实施例提供的确定防护方案的方法中所涉及的功能，例如，处理上述方法中所涉及的数据和/或信息。

本申请实施例还提供了一种确定防护方案的装置，该装置包括至少一个处理器和通信接口，所述通信接口用于发送和/或接收数据，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得所述装置实现如本申请实施例提供的确定攻击路径的防护方案的方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现，当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令，在设备上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴光缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是设备能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(如软盘、硬盘和磁带等)，也可以是光介质(如数字视盘(Digital Video Disk，DVD)等)，或者半导体介质(如固态硬盘等)。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本申请的实施例，并不用以限制本申请，凡在本申请原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种确定防护方案的方法，其特征在于，所述方法包括：

基于多个攻击路径中的每个攻击路径分别对应的攻击路径防护方案，确定多个组合防护方案，其中，所述组合防护方案由所述多个攻击路径中每个攻击路径分别对应的一个攻击路径防护方案组成；

确定每个组合防护方案对应的防护成本，并确定每个组合防护方案对应的风险值；

基于所述每个组合防护方案对应的防护成本和风险值，确定满足防护性价比条件的组合防护方案。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

基于每个组合防护方案对应的风险值，以及各信息安全等级对应的风险值范围，确定每个组合防护方案所属的信息安全等级；

所述基于每个组合防护方案对应的防护成本和风险值，确定满足防护性价比条件的组合防护方案，包括：

对于每个信息安全等级，基于属于所述信息安全等级的各组合防护方案分别对应的防护成本和风险值，确定属于所述信息安全等级的满足防护性价比条件的组合防护方案。
根据权利要求2所述的方法，其特征在于，所述基于属于所述信息安全等级的各组合防护方案分别对应的防护成本和风险值，确定属于所述信息安全等级的满足防护性价比条件的组合防护方案，包括：

基于属于所述信息安全等级的各组合防护方案分别对应的防护成本和风险值，确定属于所述信息安全等级的防护性价比最高的组合防护方案。
根据权利要求2或3所述的方法，其特征在于，所述基于每个组合防护方案对应的风险值，以及各信息安全等级对应的风险值范围，确定每个组合防护方案所属的信息安全等级之前，所述方法还包括：

确定第i个信息安全等级对应的风险值范围的下限为
上限为
其中，R为未实施组合防护方案时网联汽车对应的风险值，N为信息安全等级的级数。
根据权利要求1-4中任一项所述的方法，其特征在于，所述确定每个组合防护方案对应的防护成本，包括：

计算每个组合防护方案包括的各攻击路径的防护方案对应的防护成本之和，作为每个组合防护方案对应的防护成本。
根据权利要求1-5中任一项所述的方法，其特征在于，所述确定每个组合防护方案对应的风险值，包括：

计算每个组合防护方案包括的各攻击路径的防护方案对应的风险值之和，作为每个组合防护方案对应的风险值。
一种确定防护方案的装置，其特征在于，所述装置包括：

组合模块，用于基于多个攻击路径中的每个攻击路径分别对应的攻击路径防护方案，确定多个组合防护方案，其中，所述组合防护方案由所述多个攻击路径中每个攻击路径分别对应的一个攻击路径防护方案组成；

计算模块，用于确定每个组合防护方案对应的防护成本，并确定每个组合防护方案对应的风险值；

选择模块，用于基于每个组合防护方案对应的防护成本和风险值，确定满足防护性价比条件的组合防护方案。
根据权利要求9所述的装置，其特征在于，所述装置还包括：

分级模块，用于基于每个组合防护方案对应的风险值，以及各信息安全等级对应的风险值范围，确定每个组合防护方案所属的信息安全等级；

所述选择模块，用于：

对于每个信息安全等级，基于属于所述信息安全等级的各组合防护方案分别对应的防护成本和风险值，确定属于所述信息安全等级的满足防护性价比条件的组合防护方案。
根据权利要求8所述的装置，其特征在于，所述选择模块，用于：

基于属于所述信息安全等级的各组合防护方案分别对应的防护成本和风险值，确定属于所述信息安全等级的防护性价比最高的组合防护方案。
根据权利要求8或9所述的装置，其特征在于，所述划分模块，还用于：

确定第i个信息安全等级对应的风险值范围的下限为
上限为
其中，R为未实施组合防护方案时所述网联汽车对应的风险值，N为信息安全等级的级数。
根据权利要求7-10中任一项所述的装置，其特征在于，所述计算模块，用于：

计算每个组合防护方案包括的各攻击路径的防护方案对应的防护成本之和，作为每个组合防护方案对应的防护成本。
根据权利要求7-11中任一项所述的装置，其特征在于，所述确计算模块，用于：

计算每个组合防护方案包括的各攻击路径的防护方案对应的风险值之和，作为每个组合防护方案对应的风险值。
一种计算机设备，其特征在于，所述计算机设备包括处理器和存储器，其中：

所述存储器存储指令，所述处理器执行所述指令，以实现如权利要求1至6中任一项所述的确定防护方案的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，所述指令由处理器加载并执行，以实现如权利要求1至6中任一项所述的确定防护方案的方法。
一种芯片系统，其特征在于，所述芯片系统包括至少一个处理器，所述处理器用于支持实现如权利要求1至6中任一项所述的确定防护方案的方法。
根据权利要求15所述的芯片系统，其特征在于，所述芯片系统还包括存储器，所述存储器用于保存程序指令和数据，所述存储器位于所述处理器之内或所述处理器之外。
一种计算机程序产品，其特征在于，所述计算机程序产品中包括有指令，所述指令由处理器加载并执行，以实现如权利要求1至6中任一项所述的确定防护方案的方法。