一种汽车网络漏洞防护方法、系统、终端设备及介质

技术领域

本发明涉及信息安全技术领域，尤其是涉及一种通信数据劫持监控方法及系统、存储介质、电子设备。

背景技术

现代汽车包含更多的软件，并提供比以前更先进的功能和连接，这也意味着攻击面越来越大。汽车正在成为网络安全攻击的目标。近几年来针对汽车的信息安全事件频发，因此，在汽车投放市场之前找到并修复安全漏洞势在必行。在多种车载总线中，控制器局域网络(Controller Area Network，CAN)总线是使用最为广泛的一种，黑客可以通过汽车的多种对外接口渗透到车内CAN总线，但由于CAN总线缺乏信息安全保障机制，黑客可以在CAN总线上执行多种恶意攻击。

现有技术通过执行安全测试识别汽车的安全漏洞，利用汽车诊断设备对汽车进行性能测试和故障检测，从而查明故障部位及其原因。一般情况下，可能由于汽车诊断设备的诊断软件存在漏洞而使得汽车的诊断结果出现异常。

目前，汽车诊断软件的漏洞处理方式通常为：客户将汽车诊断软件出现的漏洞信息反馈给客服或市场人员，然后客服或市场人员将这些漏洞信息转发给相应的软件开发人员进行漏洞修复。这样的漏洞处理方式耗费较大的人力，而且存在处理效率低下以及处理成本高的问题。

发明内容

针对上述技术问题，本发明提出一种通信数据劫持监控方法及系统、存储介质、电子设备，以解决现有的CAN总线网络漏洞检测方法准确性差、检测效率低的问题。

其中，所述一种通信数据劫持监控方法，具体为：先构建自治系统，并输入训练种子至所述自治系统中，经判断数据为真实数据后，发送至分析平台进行深度学习，并经过硬动态分析验证后，生成不同的攻击载荷用于模拟不同的场景，由修复模块对不同场景进行漏洞识别，并激活 IDS入侵检测系统和补丁评分组件，对漏洞自动生成补丁。

其中，所述自治系统，还包括：

初始化并人工选择训练种子输入至自治系统中，并通过硬动态分析来确定所述训练种子是否为恶意或不正确数据，若是，则发出提示重新输入；若数据为正常，再发送至分析平台。

所述分析平台从SDN软件定义网络控制器收集信息用于深度学习优化。

所述攻击载荷用于模拟至少以下场景：中间主要，拒绝服务，命令注入和CAM 表溢出。

所述漏洞识别，包括：

当检测到异常时，激活 IDS入侵检测系统，根据 SDN 控制器中已有规则生成补丁；若无对应的规则，则录入新的规则后，再生成补丁。

每一所述补丁均经过补丁评分组件进行安全评估。

作为另一优先的，本发明还提供一种汽车网络漏洞防护系统，至少包括：

获取单元，用于通过预设的汽车网络获取待测汽车的汽车数据；

分析平台，用于对所述汽车数据进行分析，构建自治系统，并输入训练种子至所述自治系统中，经判断数据为真实数据后，发送至分析平台进行深度学习；

修复模块，经过硬动态分析验证后，生成不同的攻击载荷用于模拟不同的场景，由修复模块对不同场景进行漏洞识别，并激活 IDS入侵检测系统和补丁评分组件，对漏洞自动生成补丁。

其中，所述修复模块还用于：当检测到异常时，激活 IDS入侵检测系统，根据 SDN控制器中已有规则生成补丁；若无对应的规则，则录入新的规则后，再生成补丁。

作为另一优先的，本发明还提供一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令，其中，所述处理器执行所述计算机可读指令时实现如上所述的汽车网络漏洞防护方法的步骤。

作为另一优先的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可读指令， 其特征在于，所述计算机可读指令被处理器执行时实现如上所述的汽车网络漏洞防护方法的步骤。

综上所述，本发明提供一种汽车网络漏洞防护方法、系统、终端设备及介质，通过构建自治系统，并输入训练种子至所述自治系统中，经判断数据为真实数据后，发送至分析平台进行深度学习，并经过硬动态分析验证后，生成不同的攻击载荷用于模拟不同的场景，由修复模块对不同场景进行漏洞识别，并激活 IDS入侵检测系统和补丁评分组件，对漏洞自动生成补丁。能够有效减少车载系统的安全漏洞，避免汽车系统对外发布之后轻易遭到黑客攻击，危及驾驶员及乘客的安全。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明所述的一种汽车网络漏洞防护方法流程图。

图2为本发明所述的一种汽车网络漏洞防护系统示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示为本发明提出一种通信数据劫持监控方法流程图，其中，图1所描述的车载系统的安全检测方法适用的安全检测系统可以运行于个人电脑、工业控制计算机、或者云端服务器等服务设备，本发明实施例不做限定。

所述方法具体为：先构建自治系统，并输入训练种子至所述自治系统中，经判断数据为真实数据后，发送至分析平台进行深度学习，并经过硬动态分析验证后，生成不同的攻击载荷用于模拟不同的场景，由修复模块对不同场景进行漏洞识别，并激活 IDS入侵检测系统和补丁评分组件，对漏洞自动生成补丁。

其中，所述训练种子为车载系统记录的数据，即构成车载系统的文件集合，而车载系统优选为设置在汽车中控台上的车载大屏所使用的操作系统，比如说，可以为Android系统、IOS系统等，本发明实施例不做限定。车载应用系统上可能搭载有多个车载应用程序，可以包括车载应用系统自带的系统应用程序以及由第三方开发的第三发应用程序。车载固件具体可以为车载ECU固件，一般来说，车载固件与车载应用系统互相独立。

其中，所述自治系统，还包括：

初始化并人工选择训练种子输入至自治系统中，并通过硬动态分析来确定所述训练种子是否为恶意或不正确数据，若是，则发出提示重新输入；若数据为正常，再发送至分析平台。分析平台利用与该种子数据对应的功能模块进行检测，以得到该功能模块的安全检测结果。在本发明实施例中，针对不同的训练种子均有对应的功能，且与对应的安全漏洞一一对应，对安全漏洞进行分析时，可以从以下两个来源获取安全漏洞：一方面可以从面向公众公开的漏洞公告中获取安全漏洞，如CVE(Common Vulnerabilities&Exposures)漏洞；另一方面，可以对车载系统的日常测试中暴露的安全漏洞进行归纳整理，以日常测试中暴露的安全漏洞作为本次安全检测的漏洞来源。

所述分析平台从SDN软件定义网络控制器收集信息用于深度学习优化。深度学习优化可选用人工神经网络(ANN)，卷积神经网络。在此采用的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

所述攻击载荷用于模拟至少以下场景：中间主要，拒绝服务，命令注入和CAM 表溢出。

所述漏洞识别，包括：

当检测到异常时，激活IDS入侵检测系统，根据 SDN 控制器中已有规则生成补丁；若无对应的规则，则录入新的规则后，再生成补丁。其中，每一所述补丁均经过补丁评分组件进行安全评估。

由此可见，本实施例根据获取的漏洞信息以及与获取的漏洞信息对应的防御策略，生成相应的车机防御规则，从而对车联网中的车机终端可能存在的漏洞进行预测；并进一步将车机防御规则下发至车机终端，以供车机终端根据车机防御规则对预测的漏洞进行防御；并且，车机终端还可对自身进行攻击检测，并反馈受到的攻击所对应的漏洞信息，从而可快速生成与反馈的漏洞信息对应的防御策略，以供车机终端对当前所遭受的攻击进行阻断及漏洞修复，并可根据终端自身攻击检测及响应结果为另一终端提供漏洞预测，实现由点及面的安全防护。所以，采用本方案，可实现漏洞预测、对预测的漏洞进行防御、终端自身攻击检测、以及对终端自身攻击检测的快速响应，从而形成针对于车载系统的完整防护生态循环，进而可多方位一体化地实现对车载系统的安全防护；并且本方案可实现对车载系统的多点防护，有利于车载系统安全性及稳定性的进一步提高。

作为另一优先的，如图2所示，本发明还提供一种汽车网络漏洞防护系统，至少包括：

获取单元，用于通过预设的汽车网络获取待测汽车的汽车数据；

分析平台，用于对所述汽车数据进行分析，构建自治系统，并输入训练种子至所述自治系统中，经判断数据为真实数据后，发送至分析平台进行深度学习；

修复模块，经过硬动态分析验证后，生成不同的攻击载荷用于模拟不同的场景，由修复模块对不同场景进行漏洞识别，并激活 IDS入侵检测系统和补丁评分组件，对漏洞自动生成补丁。

其中，所述修复模块还用于：当检测到异常时，激活 IDS入侵检测系统，根据 SDN控制器中已有规则生成补丁；若无对应的规则，则录入新的规则后，再生成补丁。

作为另一优先的，本发明还提供一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令，其中，所述处理器执行所述计算机可读指令时实现如上所述的汽车网络漏洞防护方法的步骤。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例中的车载系统安全防护装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

作为另一优先的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可读指令， 其特征在于，所述计算机可读指令被处理器执行时实现如上所述的汽车网络漏洞防护方法的步骤。

本系统能够检测CAN网络和V2X网络漏洞，并向用户提出修复建议。目前车联网的安全问题众多，安全防御方法较少，本系统为用户提供了应用于车联网的通信数据劫持监控方法，可以应用于单体车辆、网络管理节点或是独立的检测服务器上，拥有真实的应用需求和丰富的应用场景。本系统中采用模块化设计，漏洞识别策略可随时更新、检测算法模块都可插拔。系统以其高效性和高检测成功率，适合于用户级和企业级的需求。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以，本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件，而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构；也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。