一种检测车辆的网络入侵风险的方法和装置制造方法及图纸

本申请提供了一种检测车辆的网络入侵风险的方法和装置，涉及网络安全领域。所述方法包括：检测所述车辆的IVI系统中的第一异常事件；检测所述车辆的CAN总线上的第二异常事件；分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性；根据所述相关性确定所述车辆被入侵的风险。所述方法分别检测IVI系统和CAN总线的异常事件，并比较两种异常事件在发生时间上的相关性，相关性越高，则所述车辆被入侵的风险就越高，从而提出了一种简单易行的确定车辆被入侵风险的方法。

A Method and Device for Detecting Network Intrusion Risk of Vehicles

The application provides a method and device for detecting the network intrusion risk of vehicles, which relates to the field of network security. The method includes: detecting the first abnormal event in the IVI system of the vehicle; detecting the second abnormal event on the CAN bus of the vehicle; analyzing the correlation between the occurrence time of the first abnormal event and the occurrence time of the second abnormal event; and determining the risk of the vehicle being invaded according to the correlation. The method detects the abnormal events of IVI system and CAN bus respectively, and compares the correlation of the two abnormal events in the occurrence time. The higher the correlation, the higher the risk of the vehicle being invaded. Therefore, a simple and easy method to determine the risk of the vehicle being invaded is proposed.

【技术实现步骤摘要】
一种检测车辆的网络入侵风险的方法和装置
本申请涉及网络安全领域，尤其涉及一种检测车辆的网络入侵风险的方法和装置。
技术介绍
随着车辆智能化的发展，尤其是互联网汽车的发展，车载部件的可编程化和可远程控制化成为新的趋势，越来越多的出现在市场上。这一智能化、互联网化的趋势给用户带来便利的同时，也给黑客带来了新的入侵机会。并且由于车本身的价值和机动性，入侵后将会带来比个人电脑更大的损失和风险。如何判断车辆是否被黑客入侵，如何避免入侵，如何处置入侵，是目前面临的急需解决的问题。IVI(In-VehicleInfotainment，车载信息娱乐系统)系统，是采用车载专用中央处理器，基于车身总线系统和互联网服务，形成的车载综合信息处理系统。IVI能够实现包括三维导航、实时路况、IPTV(交互式网络电视)、辅助驾驶、故障检测、车辆信息、车身控制、移动办公、无线通讯、基于在线的娱乐功能及TSP(汽车远程服务提供商)服务等一系列应用，极大的提升的车辆电子化、网络化和智能化水平。CAN(ControllerAreaNetwork,控制器局域网络)总线是由以研发和生产汽车电子产品著称的德国BOSCH(博世)公司开发的，并最终成为国际标准ISO(国际标准组织)11898，是国际上应用最广泛的现场总线之一。在北美和西欧，CAN总线协议已经成为汽车计算机控制系统和嵌入式工业控制局域网的标准总线，并且拥有以CAN为底层协议专为大型货车和重工机械车辆设计的J1939协议。一般的，网关连接着CAN总线。攻击者如果获得网关连接设备的root权限，比如特斯拉的CID(CentreInformationDisplay)的权限，进而攻击网关及车内网系统，之后绕过完整性校验，刷写ECU(ElectronicControlUnit，电子控制单元)固件，攻击控制ECU，并可以发送数据到CAN网络。
技术实现思路
本申请的目的是：提供一种检测车辆的网络入侵风险的方法和装置，以解决上述问题中的至少一个。为解决上述技术问题，第一方面，本申请提供了一种检测车辆的网络入侵风险的方法，所述方法包括：检测所述车辆的IVI系统中的第一异常事件；检测所述车辆的CAN总线上的第二异常事件；分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性；根据所述相关性确定所述车辆被入侵的风险。结合第一方面的任一种可能的实现方式，在第二种可能的实现方式中，所述检测所述车辆的IVI系统中的第一异常事件包括：对照一病毒库判断所述车辆的IVI系统是否感染病毒，如果感染病毒，认为所述IVI系统出现第一异常事件。结合第一方面的任一种可能的实现方式，在第三种可能的实现方式中，所述检测所述车辆的IVI系统中的第一异常事件包括：对照一网络行为异常模式库判断所述车辆的IVI系统的网络行为是否异常，如果异常，认为所述IVI系统出现第一异常事件。结合第一方面的任一种可能的实现方式，在第四种可能的实现方式中，所述检测所述车辆的IVI系统中的第一异常事件包括：判断所述车辆的IVI系统中是否存在安全性不符合要求的应用程序运行，如果存在，认为所述IVI系统出现第一异常事件。结合第一方面的任一种可能的实现方式，在第五种可能的实现方式中，所述检测所述车辆的IVI系统中的第一异常事件还包括：根据所述应用程序的软件功能描述和所述应用程序所申请或使用的权限判断所述应用程序的安全性。结合第一方面的任一种可能的实现方式，在第六种可能的实现方式中，所述检测所述车辆的CAN总线上的第二异常事件包括：判断所述车辆的CAN总线上传输的报文的ID是否在白名单中，如果不在所述白名单中，认为所述CAN总线上出现第二异常事件。结合第一方面的任一种可能的实现方式，在第七种可能的实现方式中，所述检测所述车辆的CAN总线上的第二异常事件包括：判断一报文出现的周期与安全基线的报文周期之间的误差是否超过一第一预定值，如果超过所述第一预定值，认为所述CAN总线上出现第二异常事件。结合第一方面的任一种可能的实现方式，在第八种可能的实现方式中，所述分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性包括：在一个时间窗口内，分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性。结合第一方面的任一种可能的实现方式，在第九种可能的实现方式中，所述时间窗口是滑动时间窗口。结合第一方面的任一种可能的实现方式，在第十种可能的实现方式中，所述在一个时间窗口内，分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性包括：将所述时间窗口划分为第二预定值个子时间窗口；根据所述第一异常事件在每个所述子时间窗口内的发生次数，统计得到所述第一异常事件在所述时间窗口内的第一分布律；根据所述第二异常事件在每个所述子时间窗口内的发生次数，统计得到所述第二异常事件在所述时间窗口内的第二分布律；根据所述第一分布律和所述第二分布律确定所述相关性。结合第一方面的任一种可能的实现方式，在第十一种可能的实现方式中，所述根据所述第一分布律和所述第二分布律确定所述相关性包括：根据所述第一分布律对应的次数序列和所述第二分布律对应的次数序列之间的距离确定所述相关性的代表值。第二方面，本申请提供一种检测车辆的网络入侵风险的装置，所述装置包括：一第一检测模块，用于检测所述车辆的IVI系统中的第一异常事件；一第二检测模块，用于检测所述车辆的CAN总线上的第二异常事件；一分析模块，用于分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性；一确定模块，用于根据所述相关性确定所述车辆被入侵的风险。结合第二方面的任一种可能的实现方式，在第二种可能的实现方式中，所述第一检测模块包括：一病毒对照单元，用于对照一病毒库判断所述车辆的IVI系统是否感染病毒，如果感染病毒，认为所述IVI系统出现第一异常事件。结合第二方面的任一种可能的实现方式，在第三种可能的实现方式中，所述第一检测模块包括：一模式对照单元，用于对照一网络行为异常模式库判断所述车辆的IVI系统的网络行为是否异常，如果异常，认为所述IVI系统出现第一异常事件。结合第二方面的任一种可能的实现方式，在第四种可能的实现方式中，所述第一检测模块包括：一应用程序判断单元，用于判断所述车辆的IVI系统中是否存在安全性不符合要求的应用程序运行，如果存在，认为所述IVI系统出现第一异常事件。结合第二方面的任一种可能的实现方式，在第五种可能的实现方式中，所述第一检测模块还包括：一安全性判断单元，用于根据所述应用程序的软件功能描述和所述应用程序所申请或使用的权限判断所述应用程序的安全性。结合第二方面的任一种可能的实现方式，在第六种可能的实现方式中，所述第二检测模块包括：一白名单单元，用于判断所述车辆的CAN总线上传输的报文的ID是否在白名单中，如果不在所述白名单中，认为所述CAN总线上出现第二异常事件。结合第二方面的任一种可能的实现方式，在第七种可能的实现方式中，所述第二检测模块包括：一周期判断单元，用于判断一报文出现的周期与安全基线的报文周期之间的误差是否超过一第一预定值，如果超过所述第一预定值，认为所述CAN总线上出现第二异常事件。结合第二方面的任一种可能的实现方式，在第八种可能的实现方式本文档来自技高网...

【技术保护点】
1.一种检测车辆的网络入侵风险的方法，其特征在于，所述方法包括：检测所述车辆的IVI系统中的第一异常事件；检测所述车辆的CAN总线上的第二异常事件；分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性；根据所述相关性确定所述车辆被入侵的风险。

【技术特征摘要】
1.一种检测车辆的网络入侵风险的方法，其特征在于，所述方法包括：检测所述车辆的IVI系统中的第一异常事件；检测所述车辆的CAN总线上的第二异常事件；分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性；根据所述相关性确定所述车辆被入侵的风险。2.如权利要求1所述的方法，其特征在于，所述分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性包括：在一个时间窗口内，分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性。3.如权利要求2所述的方法，其特征在于，所述时间窗口是滑动时间窗口。4.如权利要求2或3所述的方法，其特征在于，所述在一个时间窗口内，分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性包括：将所述时间窗口划分为第二预定值个子时间窗口；根据所述第一异常事件在每个所述子时间窗口内的发生次数，统计得到所述第一异常事件在所述时间窗口内的第一分布律；根据所述第二异常事件在每个所述子时间窗口内的发生次数，统计得到所述第二异常事件在所述时间窗口内的第二分布律；根据所述第一分布律和所述第二分布律确定所述相关性。5.一种检测车辆的网络入侵风险的装置，其特征在于，所述装置包括：一第一检测模块，用于检测所述车辆的IVI系统中的第一异常事件；一第二检测模块，用于检测所述车辆的CAN总线上的第二异常事件；一分析模块，用于分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性；一确定模块，用于根据所述相关性确定所述车辆被入侵的风险。6.如权利要求5所述的装置，其特征在...

【专利技术属性】
技术研发人员：阚志刚，彭建芬，卢佐华，陈彪，
申请(专利权)人：北京梆梆安全科技有限公司，
类型：发明
国别省市：北京,11