【技术实现步骤摘要】
一种贯穿智能汽车信息安全的纵深防御系统和方法
[0001]本专利技术属于计算机数据处理领域,尤其涉及一种贯穿智能汽车信息安全的纵深防御系统和方法
。
技术介绍
[0002]随着互联网
、5G 网络和车用无线通信技术(
V2X
)等科技的兴起,为了保障智能网联汽车在车联网通信过程的安全
、
以及固件
、
硬件
、
和总线的安全,需要在车端安装
IDPS
软件,并与云端搭建大规模数据的实时数据采集
、
实时异常监测和分析
、
用户异常行为分析
、
固件安全分析
、
系统安全分析的等数据采集和分析为基础;以漏洞库
、
威胁情报库等知识情报为作证;以数据可视化
、
风险预测
、
应急响应处置为手段的车联网安全汽车信息安全系统
。
[0003]目前,由于车辆网数据量的增长速度快,车型种类发展方向多,导致信息安全系统
【技术保护点】
【技术特征摘要】
1.
一种贯穿智能汽车信息安全的纵深防御系统,其特征在于,所述系统包括:车端探针
、
数据采集代理
、
安全分析引擎
、
业务处理引擎
、
微服务
API
网关和业务展示层;所述车端探针包括基于网络的入侵检测系统
NIDS
,基于主机的入侵检测系统
HIDS
,防火墙,
CAN
报文检测模块;所述数据采集代理包括注册通道,心跳通道,日志上报通道,策略下发通道;所述安全分析引擎包括流式分析引擎,数据清洗引擎,数据归并引擎,规则训练引擎,机器学习引擎;所述业务处理引擎包括自动化编排引擎,数据仓库,风险分析引擎,工作流引擎,可视化配置引擎;所述微服务
API
网关包括安全认证模块,负载均衡模块,异常监控模块,链路跟踪模块,
API
管理模块;所述业务展示层包括资产管理模块,安全可视化模块,配置管理模块,知识管理模块,安全处置模块;其中,所述
HIDS
对文件进行监控
、
对系统权限进行监控
、
对系统状态进行监控
、
对系统日志进行监控,以及将日志信息通过日志上报通道发送到态势感知平台
VSOC
;所述
NIDS
采集流量信息,通过流量检测引擎和深度包检测引擎检测出安全日志,将安全日志上报到
VSOC
,通过防火墙对黑名单阻断和白名单放行,在
VOSC
端更新黑名单和白名单;所述
CAN
报文检测模块对数据包进行检测
、
经过报文信号关系检测引擎
、
报文负载检测引擎
、
报文序列检测引擎
、
报文健康检查引擎对报文进行检测,将检测的日志信息通过日志上报通道发送到
VSOC。2.
根据权利要求1所述贯穿智能汽车信息安全的纵深防御系统,其特征在于:所述数据采集代理接受车端发送的点火请求后,通过注册通道向云端管理服务器发送证书请求;所述数据采集代理通过注册通道接收所述云端管理服务器发布的证书并对车端验证后,向车端发送所述证书;所述数据采集代理接收车端定时发送的存活状态信息后,通过心跳通道向云端管理服务器发送心跳日志;所述数据采集代理接收车端定时发送的日志后,对日志解析出不同主题,通过日志上报通道向云端管理服务器发送带有主题信息的日志;当控制策略或者规则库更新时,所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库,并将更新后的控制策略或者规则库传输到各个车端
。3.
根据权利要求2所述贯穿智能汽车信息安全的纵深防御系统,其特征在于:所述数据清洗引擎接收
kafka
的
topicA
中带有主题信息的日志后,对日志进行读取解析,获得字段映射文件,根据所述字段映射文件中的映射关系将日志中的字段转换生成事件;读取资产数据后富化资产信息,加载规则标签后富化规则标签,加载
IP
定位库后富化
IP
定位信息,将经富化后的带有新主题的日志信息发送至
kafka
的
topicB
;将日志主题中资产
信息
、
规则标签
、IP
定位信息采用标准化模板进行标准化扩展,将经标准化扩展后的日志信息发送至
kafka
的
topicC
;所述数据清洗引擎接收带有主题信息的日志后,若主题信息包含规则信息,则将所述日志发送至规则训练引擎
。4.
根据权利要求3所述贯穿智能汽车信息安全的纵深防御系统,其特征在于:所述流式分析引擎用于通过
Flink
实时计算,流计算或者通过机器学习对安全日志进行训练
。5.
根据权利要求4所述贯穿智能汽车信息安全的纵深防御系统,其特征在于:所述规则训练引擎为主从架构的
Flink
集群,规则训练引擎支持自定义的规则训练模型,从
Kafka
消息队列获取带有主题的日志,以数据并行和流水线方式执行数据程序,
Master
用于调度除与数据库进行周期同步的其余
Flink
进程,调度步骤包括:
S51
,
Flink
从
Kafka
中取数据,
Flink
进程轮询
Kafka
,查询是否有数据更新,返回结果;如果有,则获取最新数据;
S52
,
Flink
进程中对所述日志进行归一化处理,再将处理后的安全事件返回
Kafka
;
S53
,
Flink
进程周期性同步
Mysql
数据,获取关联规则及威胁情报,缓存在
Flink
中;
S54
,
Flink
进程将安全事件与关联规则
、
威胁情报进行匹配,如果匹配则产生告警;
S55
,
Flink
进程...
【专利技术属性】
技术研发人员:卢旭,种统洪,李忠月,李鉴,潘成龙,刘平一,
申请(专利权)人:中汽智联技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。