基于本地连接车载信息交互系统的漏洞扫描方法及系统
文献发布时间:2023-06-19 19:28:50
技术领域
本发明涉及汽车车载信息交互系统安全技术领域,具体地说,涉及一种基于本地连接车载信息交互系统的漏洞扫描方法及系统。
背景技术
随着智能网联汽车的普及,车载信息交互系统功能越来越丰富,同时也越来越复杂。功能的激增就会导致系统规模越来越大,则有可能导致系统的漏洞增多。
汽车行业有别于传统互联网行业,对系统的安全有相当高的标准和要求,网络安全问题在汽车上可能会导致功能安全出现严重的人身财产损害问题。如何快速地发现并修复系统存在的漏洞以避免被被恶意利用,这是急需解决的问题。
虽然目前有一些扫描器可以实现系统漏洞扫描,但是存在以下问题:
(1)车载信息交互系统类型不一,一款扫描器无法适应多种类型的车载信息交互系统。
(2)不同车载信息交互系统差别较大,直接通过web漏洞检测工具进行扫描,扫描深度不足,结果不准确存在漏扫和误报问题。
(3)由于被检目标系统的限制,直接安装到被检目标系统内的扫描器生成的扫描结果导出不方便,且对于扫描结果无法进行统计分析与系统化管理。
发明内容
本发明的内容是提供一种基于本地连接车载信息交互系统的漏洞扫描方法及系统,通过适配主流车载信息交互系统的访问接口,实现对市面上各类主流车载信息交互系统的漏洞扫描并生成检测报告,提高系统漏洞扫描效率,从而保证车载信息交互系统的安全性。
根据本发明的一种基于本地连接车载信息交互系统的漏洞扫描方法,其包括以下步骤:
S1:根据待扫描车载信息交互系统类型以及硬件情况,设置对应漏洞扫描规则以及连接方式;
S2:在扫描系统中下载车载信息交互系统对应的扫描引擎,并将扫描引擎安装在车载信息交互系统中;
S3:按照扫描系统页面所提供的操作指引,将扫描系统与车载信息交互系统通过有线ADB或者局域网络进行连接;
S4:在扫描系统中启动漏洞扫描程序,会自动将扫描指令通过有线ADB或者局域网络发送给车载信息交互交互系统所安装的扫描引擎,扫描引擎接收到指令开始进行扫描;
S5:扫描引擎执行扫描任务完成后,将漏洞扫描结果数据通过有线ADB或者局域网络发送到扫描系统中;
S6:扫描系统将步骤S5产生的漏洞扫描结果数据进行归纳整理并存储到数据库中,通过漏洞扫描结果详情展示页或者导出扫描报告查看扫描详情。
作为优选,步骤S1中,不同的车型所提供的硬件环境不同,应根据车型的硬件来灵活设置扫描规则。
作为优选,步骤S2中,扫描系统提供各系统版本对应的扫描引擎,同时提供安装引导页,方便用户操作。
作为优选,步骤S4中,扫描系统与待扫描的车载信息交互系统连接完成,启动在待扫描的车载信息交互系统中安装的扫描引擎,然后在扫描系统查找要扫描的系统,如果查找失败,则进行提示查找失败的原因,查找成功,则选择要扫描的系统,最后由扫描系统向待扫描的车载信息交互系统发送开始扫描的指令,扫描引擎开始对车载信息交互系统进行扫描;
在扫描过程中,扫描引擎会实时向扫描系统发送扫描过程数据以及扫描进度,扫描系统处理接收到的过程数据展示在页面中,用户可了解扫描实时进度。
作为优选,步骤S6中,漏洞扫描结果数据通过数据库录入以及分类管理,漏洞扫描系统对漏洞扫描结果数据完成回收,每一次的漏洞扫描结果数据都将会被记录且在详情展示页页面会进行扫描详情展示。
作为优选,步骤S6中,在扫描报告中,除了展示扫描的系统基本信息以及所扫描出来的漏洞的基本信息外,还提供每个漏洞的检测原理用于解释漏洞被扫描出来的根据,同时给予所扫描出来的漏洞修复建议,还能对漏洞的等级以及出现情况进行统计。
本发明还提供了一种基于本地连接车载信息交互系统的漏洞扫描系统,其包括样品管理模块、任务管理模块、漏洞库模块和结果管理模块,其中:
样品管理模块,用于录入待检测的车载信息交互系统的基本信息以及系统类型,并确定漏洞扫描系统与车载信息交互系统的本地连接方式;
任务管理模块,用于录入待扫描的样品,并进行任务执行,然后按照以下步骤进行漏洞分析:
S1:根据待扫描车载信息交互系统类型以及硬件情况,设置对应漏洞扫描规则以及连接方式;
S2:在扫描系统中下载车载信息交互系统对应的扫描引擎,并将扫描引擎安装在车载信息交互系统中;
S3:按照扫描系统页面所提供的操作指引,将扫描系统与车载信息交互系统通过有线ADB或者局域网络进行连接;
S4:在扫描系统中启动漏洞扫描程序,会自动将扫描指令通过有线ADB或者局域网络发送给车载信息交互交互系统所安装的扫描引擎,扫描引擎接收到指令开始进行扫描;
S5:扫描引擎执行扫描任务完成后,将漏洞扫描结果数据通过有线ADB或者局域网络发送到扫描系统中;
S6:扫描系统将步骤S5产生的漏洞扫描结果数据进行归纳整理并存储到数据库中,通过漏洞扫描结果详情展示页或者导出扫描报告查看扫描详情;
漏洞库模块,用于展示扫描系统内置的漏洞库,可以查询以及查看漏洞的一些基本信息;
结果管理模块,用于汇总样品管理模块、任务管理模块、漏洞库模块所录入的信息以及扫描引擎返回的漏洞扫描结果数据,展示扫描过程数据、扫描结果详情以及结果分析,同时也能导出扫描结果报告。
本发明基于本地连接的漏洞扫描方法及系统,根据待测的车载信息交互系统的类型,在录入样品时选择系统类型以及设置对应的连接方式,在车载信息交互系统中安装本地扫描引擎并启动,然后将漏洞扫描系统与车载信息交互系统通过有线ADB或者局域网络的方式进行本地连接,待环境准备完成后,执行扫描任务并下发指令到扫描引擎进行漏洞检测,最后扫描系统将扫描引擎回传的扫描结果录入数据库并进行展示,用户可在扫描结果模块中查看扫描详情以及导出扫描结果。本发明可以实现车载信息交互系统漏洞的自动分析与报告生成,并且适应了车载信息交互系统不同的硬件环境,保证扫描系统与车载信息交互系统能通过各种方式进行连接,极大地提高了对汽车车载信息交互系统的漏洞扫描效率,同时也解决了扫描结果缺少分析以及结果导出的问题,从而保证车载信息交互系统的安全性。
附图说明
图1为实施例中一种基于本地连接车载信息交互系统的漏洞扫描方法的流程图;
图2为实施例中一种基于本地连接车载信息交互系统的漏洞扫描系统的示意图。
具体实施方式
为进一步了解本发明的内容,结合附图和实施例对本发明作详细描述。应当理解的是,实施例仅仅是对本发明进行解释而并非限定。
实施例
如图1所示,本实施例提供了一种基于本地连接车载信息交互系统的漏洞扫描方法,其包括以下步骤:
S1:根据待扫描车载信息交互系统类型以及硬件情况,设置对应漏洞扫描规则以及连接方式;
根据待扫描的操作系统的类型,设置对应的漏洞扫描规则,选择连接方式。汽车所搭载的车载信息交互系统,有多种类型,例如:Linux系统、Android系统,鸿蒙系统,不同的系统则需要选择对应的扫描引擎,否则扫描引擎无法在待扫描的车载信息交互系统中正常运行。一些汽车厂商开放了ADB权限,而有一些厂商并未开发,针对这种情况,则需要选择不同的连接方式来保证漏洞扫描系统与车载信息交互系统的数据交换。如果汽车厂商开放了ADB权限,则可以直接将扫描系统与待扫描的系统通过有线ADB的方式进行连接,若没有开放ADB权限,则可以通过本地局域网组网的方式(如:WI-FI连接、以太网直连等)将扫描系统与待扫描的系统进行连接。不同的车型所提供的硬件环境不尽相同,在实际应用时应根据车型的硬件来灵活设置扫描规则。
S2:在扫描系统中下载车载信息交互系统对应的扫描引擎,并将扫描引擎安装在车载信息交互系统中;
由于汽车所搭载的操作系统类型不一,因此为了保证扫描引擎能在不同的操作系统中正常运行,扫描系统提供各系统版本对应的扫描引擎,同时提供安装引导页,方便用户操作。
S3:按照扫描系统页面所提供的操作指引,将扫描系统与车载信息交互系统通过有线ADB或者局域网络进行连接;
在待扫描的车载信息交互系统中安装好扫描引擎后,还需要将漏洞扫描系统与待扫描的系统进行连接,本发明采用了一种本地连接方式。
本地连接方式,是指漏洞扫描系统不同于其他漏洞扫描器直接放置在待测系统中进行操作,而是将漏洞扫描系统与待扫描的车载信息交互系统分开,然后通过有线ADB或者本地局域网(如:WI-FI连接、以太网直连等)的方式将漏洞扫描系统与待扫描的车载信息交互系统进行连接,使得相互间可以通过ADB或者网络进行通信,传输数据,从而达到漏洞扫描系统与待扫描的车载信息交互系统进行分离,用户可以直接通过浏览器对车载信息交互系统进行扫描,极大的提升了用户友好度以及方便度。
S4:在扫描系统中启动漏洞扫描程序,会自动将扫描指令通过有线ADB或者局域网络发送给车载信息交互交互系统所安装的扫描引擎,扫描引擎接收到指令开始进行扫描;
扫描系统与待扫描的车载信息交互系统连接完成,启动在待扫描的车载信息交互系统中安装的扫描引擎,然后在扫描系统查找要扫描的系统,如果查找失败,则进行提示查找失败的原因(如:连接异常、扫描引擎未安装等),查找成功,则选择要扫描的系统,最后由扫描系统向待扫描的车载信息交互系统发送开始扫描的指令,扫描引擎开始对车载信息交互系统进行扫描。
在扫描过程中,扫描引擎会实时向扫描系统发送扫描过程数据以及扫描进度,扫描系统处理接收到的过程数据展示在页面中,用户可了解扫描实时进度。
S5:扫描引擎执行扫描任务完成后,将漏洞扫描结果数据通过有线ADB或者局域网络发送到扫描系统中;
S6:扫描系统将步骤S5产生的漏洞扫描结果数据进行归纳整理并存储到数据库中,通过漏洞扫描结果详情展示页或者导出扫描报告查看扫描详情。
根据扫描引擎扫描的过程数据以及扫描完成后向扫描系统发送的结果数据,通过数据库录入以及分类管理,扫描系统对漏洞扫描结果完成回收。
每一次的扫描结果都将会被记录且在页面会进行扫描详情展示,方便用户查看且对漏洞扫描结果进行分析,也可以对漏洞扫描结果进行分类管理。
在漏洞扫描报告中,除了展示扫描的系统基本信息以及所扫描出来的漏洞的基本信息外,还提供每个漏洞的检测原理用于解释漏洞被扫描出来的根据,同时给予所扫描出来的漏洞修复建议,还可以对漏洞的等级以及出现情况进行统计。
基于以上,本实施例还提出了一种基于本地连接车载信息交互系统,如图2所示,包括样品管理模块、任务管理模块、漏洞库模块和结果管理模块,下面分别对各个模块进行详细说明。
样品管理模块,用于录入待检测的车载信息交互系统的基本信息以及系统类型,并确定漏洞扫描系统与车载信息交互系统的本地连接方式;
任务管理模块,用于录入待扫描的样品,并进行任务执行,然后按照以下步骤进行漏洞分析:
S1:根据待扫描车载信息交互系统类型以及硬件情况,设置对应漏洞扫描规则以及连接方式;
S2:在扫描系统中下载车载信息交互系统对应的扫描引擎,并将扫描引擎安装在车载信息交互系统中;
S3:按照扫描系统页面所提供的操作指引,将扫描系统与车载信息交互系统通过有线ADB或者局域网络进行连接;
S4:在扫描系统中启动漏洞扫描程序,会自动将扫描指令通过有线ADB或者局域网络发送给车载信息交互交互系统所安装的扫描引擎,扫描引擎接收到指令开始进行扫描;
S5:扫描引擎执行扫描任务完成后,将漏洞扫描结果数据通过有线ADB或者局域网络发送到扫描系统中;
S6:扫描系统将步骤S5产生的漏洞扫描结果数据进行归纳整理并存储到数据库中,通过漏洞扫描结果详情展示页或者导出扫描报告查看扫描详情;
漏洞库模块,用于展示扫描系统内置的漏洞库,可以查询以及查看漏洞的一些基本信息;
结果管理模块,用于汇总样品管理模块、任务管理模块、漏洞库模块所录入的信息以及扫描引擎返回的漏洞扫描结果数据,展示扫描过程数据、扫描结果详情以及结果分析,同时也能导出扫描结果报告。
本实施例可以实现车载信息交互系统漏洞的自动分析与报告生成,并且适应了车载信息交互系统不同的硬件环境,保证扫描系统与车载信息交互系统能通过各种方式进行连接,极大地提高了对汽车车载信息交互系统的漏洞扫描效率,同时也解决了扫描结果缺少分析以及结果导出的问题,从而保证车载信息交互系统的安全性。
以上示意性的对本发明及其实施方式进行了描述,该描述没有限制性,附图中所示的也只是本发明的实施方式之一,实际的结构并不局限于此。所以,如果本领域的普通技术人员受其启示,在不脱离本发明创造宗旨的情况下,不经创造性的设计出与该技术方案相似的结构方式及实施例,均应属于本发明的保护范围。
- 一种基于ETC的车载信息交互方法及系统
- 基于语音触屏的信息交互方法、系统、存储介质、车载终端