一種攻擊檢測方法、系統及車輛與流程
2024-04-13 11:47:05
1.本技術屬於數據安全技術領域,尤其涉及一種攻擊檢測方法、系統及車輛。
背景技術:
2.車輛中的控制器區域網(can)總線是一種高效的標準總線,其主要用於車內電子控制單元(ecu)之間的通信。但是,由於其在設計之初安全功能相對較弱,無法對惡意攻擊數據進行有效的攔截和檢測,因此,在車輛的整體安全體系中缺少了重要一環去做相應的攻擊檢測與攔截,另外,目前已知的對車輛實施的網絡攻擊的特徵相對較少,車輛的可靠性要求較高,任何一個誤報都將影響到駕駛員以及車輛的安全,如何對車輛的惡意攻擊數據進行有效檢測和攔截,提高駕駛安全性成了亟待解決的問題。
3.一般實現中,大都通過檢測i p地址或協議的黑白名單來攔截惡意攻擊數據,如在車輛零部件接收到數據包時,通過判斷數據包的來源i p、埠等,對數據包進行棄包或拒絕接收的操作。但這種攻擊檢測方式存在以下缺陷:
4.1)在攻擊者偽造自身mac地址時,無法攔截其發送的惡意攻擊數據;
5.2)無法攔截變種攻擊數據;
6.3)數據有被中間人監聽的風險。
技術實現要素:
7.針對上述技術問題,本技術提供一種攻擊檢測方法、系統及車輛,通過建立控制邏輯,調整控制參數,以對車輛的惡意攻擊數據進行有效檢測和攔截,提高駕駛安全性。
8.本技術提供了一種攻擊檢測方法,包括,根據車輛的第一數據,建立數據特徵庫;其中,所述數據特徵庫包括多類數據的格式特徵和行為特徵;在所述數據特徵庫建立完成後,對所述車輛的第二數據的特徵與所述數據特徵庫中的特徵進行匹配;根據所述車輛的第二數據的特徵與所述數據特徵庫中的特徵的匹配結果,對所述第二數據執行對應的操作。
9.在一實施方式中,所述車輛的第一數據包括所述車輛的已知攻擊數據、變種攻擊數據和正常數據;所述根據車輛的第一數據,建立數據特徵庫,包括:對所述已知攻擊數據、所述變種攻擊數據和所述正常數據的格式和行為進行分析,確定所述多類數據的格式特徵和行為特徵。
10.在一實施方式中,在建立數據特徵庫之前,包括:對所述已知攻擊數據進行變種,確定所述變種攻擊數據。
11.在一實施方式中,所述對所述車輛的第二數據的特徵與所述數據特徵庫中的特徵進行匹配,包括:提取所述車輛的第二數據的格式特徵,將所述第二數據的格式特徵與所述數據特徵庫中的多類數據的格式特徵進行匹配;提取所述車輛的第二數據的行為特徵,將所述第二數據的行為特徵與所述數據特徵庫中的多類數據的行為特徵進行匹配。
12.在一實施方式中,所述根據所述車輛的第二數據的特徵與所述數據特徵庫中的特
徵的匹配結果,對所述第二數據執行對應的操作的步驟,包括:若所述第二數據的格式特徵與所述已知攻擊數據的任一格式特徵匹配成功,則丟棄所述第二數據;若所述第二數據的格式特徵與所述變種攻擊數據的任一格式特徵匹配成功,則丟棄所述第二數據,並將所述變種攻擊數據的對應格式特徵添加到所述已知攻擊數據的格式特徵中,以便確定攻擊來源;若所述第二數據的格式特徵與所述正常數據的任一格式特徵匹配成功,則將所述第二數據的行為特徵與所述數據特徵庫中的多類數據的行為特徵進行匹配。
13.在一實施方式中,所述將所述第二數據的行為特徵與所述數據特徵庫中的多類數據的行為特徵進行匹配,包括:若所述第二數據的行為特徵與所述已知攻擊數據的任一行為特徵匹配成功,則丟棄所述第二數據;若所述第二數據的行為特徵與所述變種攻擊數據的任一行為特徵匹配成功,則丟棄所述第二數據,並將所述變種攻擊數據的對應行為特徵添加到所述已知攻擊數據的行為特徵中,以便確定攻擊來源;若所述第二數據的行為特徵與所述正常數據的任一行為特徵匹配成功,則放行所述第二數據。
14.本技術還提供了一種攻擊檢測系統,所述攻擊檢測系統包括車輛控制器、攻擊檢測裝置及至少一個車輛部件;其中,所述車輛控制器與所述至少一個車輛部件,以及各車輛部件之間都通過所述攻擊檢測裝置進行通訊;所述攻擊檢測裝置包括特徵建庫模塊、特徵匹配模塊、處理模塊;所述特徵建庫模塊用於根據車輛的第一數據,建立數據特徵庫;其中,所述數據特徵庫包括多類數據的格式特徵和行為特徵;所述特徵匹配模塊用於在所述數據特徵庫建立完成後,對所述車輛的第二數據的特徵與所述數據特徵庫中的特徵進行匹配;所述處理模塊用於根據所述車輛的第二數據的特徵與所述數據特徵庫中的特徵的匹配結果,對所述第二數據執行對應的操作。
15.在一實施方式中,所述第一數據包括已知攻擊數據、變種攻擊數據及正常數據;所述攻擊檢測裝置還包括模糊測試模塊;所述模糊測試模塊用於對所述已知攻擊數據進行變種,確定所述變種攻擊數據;所述處理模塊包括防禦模塊;所述防禦模塊用於在所述第二數據的格式特徵與所述變種攻擊數據的任一格式特徵匹配成功時,將所述變種攻擊數據的對應格式特徵添加到所述已知攻擊數據的格式特徵中,和/或,在所述第二數據的行為特徵與所述變種攻擊數據的任一行為特徵匹配成功時,將所述變種攻擊數據的對應行為特徵添加到所述已知攻擊數據的行為特徵中,以便確定攻擊來源。
16.在一實施方式中,所述攻擊檢測裝置與所述車輛控制器和/或所述至少一個車輛部件之間採用雙向安全傳輸層協議(tls)進行加密通訊。
17.本技術還提供了一種車輛,所述車輛包括上述的攻擊檢測系統。
18.本技術提供的一種攻擊檢測方法、系統及車輛,通過建立包括多類數據的格式特徵和行為特徵的數據特徵庫,在數據特徵庫建立完成後,根據車輛的第二數據的特徵與數據特徵庫中的特徵的匹配結果,對第二數據執行對應的操作,能夠對車輛的惡意攻擊數據進行有效檢測和攔截,提高駕駛安全性。
附圖說明
19.圖1是本技術實施例一提供的攻擊檢測系統的結構示意圖;
20.圖2是本技術實施例二提供的攻擊檢測方法的流程示意圖;
21.圖3是本技術實施例二提供的攻擊檢測方法的具體流程示意圖;
22.圖4是本技術實施例三提供的攻擊檢測裝置的結構示意圖。
具體實施方式
23.以下結合說明書附圖及具體實施例對本技術技術方案做進一步的詳細闡述。除非另有定義,本技術所使用的所有的技術和科學術語與屬於本技術的技術領域的技術人員通常理解的含義相同。本文中在本技術的說明書中所使用的術語只是為了描述具體的實施例的目的,不是旨在於限制本技術。本文所使用的「和/或」包括一個或多個相關的所列項目的任意的和所有的組合。
24.圖1是本技術實施例一提供的攻擊檢測系統的結構示意圖。如圖1所示,本技術的攻擊檢測系統包括車輛控制器、攻擊檢測裝置及至少一個車輛部件;
25.其中,車輛控制器與至少一個車輛部件,以及各車輛部件之間都通過攻擊檢測裝置進行連接與通訊;攻擊檢測裝置對通過本裝置的數據進行攻擊檢測。
26.可選地,攻擊檢測裝置與車輛控制器和/或至少一個車輛部件之間採用雙向安全傳輸層協議(tls)或預共享密鑰進行加密通訊。
27.本技術實施例一提供的攻擊檢測系統,採用併線操作,將車輛控制器和各車輛部件通過相應的接口連接至攻擊檢測裝置的數據接口上,使得車輛控制器與所有車輛部件,以及各車輛部件之間的交互指令都經過攻擊檢測裝置,通過攻擊檢測裝置即可對所有數據進行攻擊檢測,能夠對車輛的惡意攻擊數據進行有效檢測和攔截,提高駕駛安全性;另外,攻擊檢測裝置與車輛控制器和/或各車輛部件之間採用雙向安全傳輸層協議(tls)進行加密通訊,通訊雙方各自存放對方的密鑰證書,通訊過程不進行密鑰交換,在被中間人監聽時,中間人會因不能匹配到雙方的tls而被拒絕連接,從而達到反監聽的效果。
28.圖2是本技術實施例二提供的攻擊檢測方法的流程示意圖。如圖2所示,本技術的攻擊檢測方法可應用於實施例一所述的攻擊檢測裝置,攻擊檢測方法可以包括如下步驟:
29.步驟s101:根據車輛的第一數據,建立數據特徵庫;其中,數據特徵庫包括多類數據的格式特徵和行為特徵;
30.可選地,車輛的第一數據是為了建立數據特徵庫而收集的車輛數據,包括車輛的已知攻擊數據、變種攻擊數據和正常數據;
31.在一實施方式中,根據車輛的第一數據,建立數據特徵庫,包括:
32.對已知攻擊數據、變種攻擊數據和正常數據的格式和行為進行分析,確定多類數據的格式特徵和行為特徵。
33.可選地,將現實中用於can攻擊的惡意數據包進行收集,途徑可以是實驗室、現實截獲的攻擊數據,為收集的已知攻擊數據建立指紋,並將已知攻擊數據輸入機器學習模型,通過提取已知攻擊數據的格式特徵和行為特徵,訓練機器學習模型學會識別已知攻擊數據;將已知攻擊數據的指紋與特徵對應存儲,形成已知攻擊數據的特徵庫,通過指紋hash校驗做映射,確定後續收集的已知攻擊數據屬於哪一類已知攻擊數據。
34.可選地,為收集的正常攻擊數據建立指紋,將正常攻擊數據輸入機器學習模型,通過提取正常攻擊數據的格式特徵和行為特徵,訓練機器學習模型學會識別正常攻擊數據;將正常攻擊數據的指紋與特徵對應存儲,形成正常攻擊數據的特徵庫。
35.在一實施方式中,在建立數據特徵庫之前,包括:
36.對已知攻擊數據進行變種,確定變種攻擊數據。
37.可選地,通過在已知攻擊數據中隨機插入差異值,對已知攻擊數據進行變種,確定變種攻擊數據。進一步,為變種攻擊數據建立指紋,將變種攻擊數據輸入機器學習模型,通過提取變種攻擊數據的格式特徵和行為特徵,訓練機器學習模型學會識別變種攻擊數據;將變種攻擊數據的指紋與特徵對應存儲,形成變種攻擊數據的特徵庫。
38.步驟s102:在數據特徵庫建立完成後,對車輛的第二數據的特徵與數據特徵庫中的特徵進行匹配;
39.可選地,車輛的第二數據是數據特徵庫建立完成後,實際攻擊檢測過程中獲取的車輛數據。
40.在一實施方式中,對車輛的第二數據的特徵與數據特徵庫中的特徵進行匹配,包括:
41.提取車輛的第二數據的格式特徵,將第二數據的格式特徵與數據特徵庫中的多類數據的格式特徵進行匹配;
42.提取車輛的第二數據的行為特徵,將第二數據的行為特徵與數據特徵庫中的多類數據的行為特徵進行匹配。
43.可選地,通過已經訓練的機器學習模型對第二數據的格式特徵及行為特徵與數據特徵庫中的格式特徵及行為特徵進行匹配,確定第二數據屬於哪一類數據,包括識別第二數據屬於哪一大類數據,如屬於已知攻擊數據、變種攻擊數據及正常數據3類數據中的哪一類,以及識別第二數據屬於哪個大類數據中的哪一小類,如屬於已知攻擊數據中的哪一小類。
44.步驟s103:根據車輛的第二數據的特徵與數據特徵庫中的特徵的匹配結果,對第二數據執行對應的操作。
45.在一實施方式中,步驟s103包括:
46.若第二數據的格式特徵與已知攻擊數據的任一格式特徵匹配成功,則丟棄第二數據;
47.若第二數據的格式特徵與變種攻擊數據的任一格式特徵匹配成功,則丟棄第二數據,並將變種攻擊數據的對應格式特徵添加到已知攻擊數據的格式特徵中,以便確定攻擊來源;
48.若第二數據的格式特徵與正常數據的任一格式特徵匹配成功,則將第二數據的行為特徵與數據特徵庫中的多類數據的行為特徵進行匹配。
49.在一實施方式中,將第二數據的行為特徵與數據特徵庫中的多類數據的行為特徵進行匹配,包括:
50.若第二數據的行為特徵與已知攻擊數據的任一行為特徵匹配成功,則丟棄第二數據;
51.若第二數據的行為特徵與變種攻擊數據的任一行為特徵匹配成功,則丟棄第二數據,並將變種攻擊數據的對應行為特徵添加到已知攻擊數據的行為特徵中,以便確定攻擊來源;
52.若第二數據的行為特徵與正常數據的任一行為特徵匹配成功,則放行第二數據。
53.圖3是本技術實施例二提供的攻擊檢測方法的具體流程示意圖。如圖3所示,本申
請的攻擊檢測方法可以包括如下步驟:首先獲取第二數據,然後對第二數據進行格式特徵匹配,判斷第二數據的格式是否合規,若第二數據的格式特徵與已知攻擊數據或變種攻擊數據的格式特徵匹配成功,則其格式不合規,直接將其丟棄,並將第二數據及其攻擊行為記錄到日誌數據中;若第二數據的格式特徵與正常數據的格式特徵匹配成功,則其格式合規,繼續對第二數據進行行為特徵匹配,判斷第二數據的行為是否合規,若第二數據的行為特徵與已知攻擊數據或變種攻擊數據的行為特徵匹配成功,則其行為不合規,直接將其丟棄,並將第二數據及其攻擊行為記錄到日誌數據中;若第二數據的行為特徵與正常數據的行為特徵匹配成功,其行為合規,放行第二數據,並將第二數據記錄到日誌數據中,以備查驗,接著進行下一輪的攻擊檢測,如此往復直至獲取到停止攻擊檢測指令(如攻擊檢測裝置的關機指令),停止攻擊檢測並將日誌數據保存後結束攻擊檢測。值得一提的是,將第二數據及其攻擊行為記錄到日誌數據中,不僅便於日後排查,還便於研究攻擊數據出現的新特徵,以制定新的攻擊檢測規則,不斷提升攻擊檢測效果,起到防禦強化的作用。
54.本技術實施例二提供的攻擊檢測方法,通過建立包括多類數據的格式特徵和行為特徵的數據特徵庫,在數據特徵庫建立完成後,根據車輛的第二數據的特徵與數據特徵庫中的特徵的匹配結果,對第二數據執行對應的操作,能夠對車輛的惡意攻擊數據進行有效檢測和攔截,提高駕駛安全性。
55.圖4是本技術實施例三提供的攻擊檢測裝置的結構示意圖。如圖4所示,本技術的攻擊檢測裝置包括特徵建庫模塊、特徵匹配模塊、處理模塊;
56.其中,特徵建庫模塊用於根據車輛的第一數據,建立數據特徵庫;其中,數據特徵庫包括多類數據的格式特徵和行為特徵;
57.特徵匹配模塊用於在數據特徵庫建立完成後,對車輛的第二數據的特徵與數據特徵庫中的特徵進行匹配;
58.處理模塊用於根據車輛的第二數據的特徵與數據特徵庫中的特徵的匹配結果,對第二數據執行對應的操作。
59.在一實施方式中,第一數據包括已知攻擊數據、變種攻擊數據及正常數據;
60.攻擊檢測裝置還包括模糊測試模塊;
61.模糊測試模塊用於對已知攻擊數據進行變種,確定變種攻擊數據;
62.處理模塊包括防禦模塊;
63.防禦模塊用於在第二數據的格式特徵與變種攻擊數據的任一格式特徵匹配成功時,將變種攻擊數據的對應格式特徵添加到已知攻擊數據的格式特徵中,和/或,在第二數據的行為特徵與變種攻擊數據的任一行為特徵匹配成功時,將變種攻擊數據的對應行為特徵添加到已知攻擊數據的行為特徵中,以便確定攻擊來源,起到防禦強化的作用。
64.本實施例的具體實現方法,參考實施例二,此處不再贅述。
65.本技術實施例三提供的攻擊檢測裝置,通過各模塊之間的交互,建立包括多類數據的格式特徵和行為特徵的數據特徵庫,並在數據特徵庫建立完成後,根據車輛的第二數據的特徵與數據特徵庫中的特徵的匹配結果,對第二數據執行對應的操作,能夠對車輛的惡意攻擊數據進行有效檢測和攔截,提高駕駛安全性。
66.本技術還提供一種車輛,包括上述的攻擊檢測系統。
67.值得一提的是,除了適用於車輛外,本技術提供的攻擊檢測系統適用於任何存在
內部網絡通訊的設備,可根據設備的內部傳輸數據量以及數據特點,增加攻擊檢測規則,通過接口替換與改裝後,即可用於其它設備的網絡攻擊檢測。
68.以上所述實施例的各技術特徵可以進行任意的組合,為使描述簡潔,未對上述實施例中的各個技術特徵所有可能的組合都進行描述,然而,只要這些技術特徵的組合不存在矛盾,都應當認為是本說明書記載的範圍。
69.在本文中,術語「包括」、「包含」或者其任何其他變體意在涵蓋非排他性的包含,除了包含所列的那些要素,而且還可包含沒有明確列出的其他要素。
70.以上所述,僅為本技術的具體實施方式,但本技術的保護範圍並不局限於此,任何熟悉本技術領域的技術人員在本技術揭露的技術範圍內,可輕易想到變化或替換,都應涵蓋在本技術的保護範圍之內。因此,本技術的保護範圍應以所述權利要求的保護範圍為準。