【技术实现步骤摘要】
本专利技术涉及智能汽车领域,尤其涉及一种车端入侵的安全取证方法及系统。
技术介绍
1、目前应用较为广泛的入侵检测系统有网络入侵检测及主机入侵检测。车载网络入侵检测又分can入侵检测和以太网入侵检测系统。这些入侵检测系统通常在检测到入侵后上报告警事件,安全运营人员无法进行一步分析和验证攻击事件。
2、云端分析车端上报的告警事件后,如果要进一步分析和验证攻击事件,需要找到并接触相关车辆进行取证分析,或者远程登录到该车辆进行取证分析。然而面对已售卖的用户车,接触被攻击车辆的方案可行性不高。远程登录到被攻击车辆,也面临法律法规的风险,且远程登录的后门也是一个安全隐患。
技术实现思路
1、针对上述技术问题,本专利技术提供了一种车端入侵的安全取证方法及系统,增加了入侵事件的可分析性,增强了入侵检测的准确性。
2、本专利技术的第一方面,提供一种车端入侵的安全取证方法,包括:
3、获取多个车辆的车端入侵检测系统检测到的安全告警事件,将所述安全告警事件的攻击向量上传至云端;
4、云端根据所述攻击向量将所述安全告警事件定性为入侵事件后,判断所述入侵事件是否为目标入侵事件;
5、若是目标入侵事件则发起面向车端的安全取证,在获得车主授权后监控并采集车端存留的入侵攻击证据。
6、在一可选实施方式中,所述获取多个车辆的车端入侵检测系统检测到的安全告警事件,将所述安全告警事件的攻击向量上传至云端,包括:
7、获取can总线入侵检
8、分别将所述第一安全告警事件、所述第二安全告警事件、所述第三安全告警事件去重融合后存储于安全区域,用以将安全告警事件汇聚形成某一时间段内的事件相关性数据;
9、分别将所述第一安全告警事件、所述第二安全告警事件、所述第三安全告警事件的攻击向量上传云端,若攻击向量的数据量大于对应的阈值时,仅上报攻击的特征数据。
10、在一可选实施方式中,所述云端根据所述攻击向量将所述安全告警事件定性为入侵事件后,判断所述入侵事件是否为目标入侵事件,包括:
11、云端已根据已知的攻击场景和攻击路径对所述安全告警事件的所述攻击向量进行预分类,以确定攻击类型;
12、对于无法进行预分类的所述安全告警事件确定为目标入侵事件;
13、使用关联规则算法获得所述目标入侵事件的相关联的数据信息;所述相关联的数据信息用以确定攻击场景与攻击路径。
14、在一可选实施方式中,所述云端根据所述攻击向量将所述安全告警事件定性为入侵事件后,判断所述入侵事件是否为目标入侵事件,包括:
15、通过安全运营人员对目标入侵事件的分析,获得所述目标入侵事件对应的目标攻击场景与目标攻击路径;
16、将所述目标攻击场景与所述目标攻击路径添加至所述车端入侵检测系统的攻击场景与攻击路径集中,生成相应的入侵识别规则。
17、在一可选实施方式中,所述若是目标入侵事件则发起面向车端的安全取证,在获得车主授权后监控并采集车端存留的入侵攻击证据,包括:
18、向车端发起安全取证请求时告知用户本次攻击事件的相关信息和云端安全运营的分析结果,用户同意所述安全取证请求时在车端生成授权凭证,将所述授权凭证发送至安全运营人员的账号;
19、安全运营人员基于所述授权凭证远程连接车端,监控并采集车端存留的入侵攻击证据,所述入侵攻击证据用于验证所述入侵事件。
20、在一可选实施方式中,若攻击向量的数据量大于对应的阈值时,仅上报攻击的特征数据,包括:
21、若攻击向量的数据量大于对应的阈值时,将所述攻击向量的摘要信息及安全告警事件的类型上传云端,所述摘要信息包括来源ip、来源端口、目标ip、目标端口、网络协议、触发规则信息、车端被攻击业务名和版本、攻击软件名和版本、一个有效攻击向量的哈希值信息。
22、本专利技术的第二方面,提供一种车端入侵的安全取证系统,包括:
23、获取模块,用于获取多个车辆的车端入侵检测系统检测到的安全告警事件,将所述安全告警事件的攻击向量上传至云端;
24、判断模块,用于云端根据所述攻击向量将所述安全告警事件定性为入侵事件后,判断所述入侵事件是否为目标入侵事件;
25、取证模块,用于若是目标入侵事件则发起面向车端的安全取证,在获得车主授权后监控并采集车端存留的入侵攻击证据。
26、本专利技术的第三方面,提供一种车端入侵的安全取证方法,应用于车端,包括:
27、收集获取车端入侵检测系统检测到的安全告警事件,将所述安全告警事件汇聚形成某一时间段内的事件相关性数据,将所述某一时间段内的所述安全告警事件的攻击向量上传至云端;
28、接收云端反馈的入侵分析结果及安全取证请求;
29、展示所述入侵分析结果及安全取证请求的范围,生成本次授权凭证并颁发给安全运营人员,允许安全运营人员远程实现监控并采集车端存留的入侵攻击证据。
30、本专利技术的第四方面,提供一种安全取证系统,包括:
31、至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如本专利技术第一方面所述的车端入侵的安全取证方法。
32、本专利技术的第五方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被计算机运行时,执行如本专利技术实施例的第一方面所述的方法。
33、本专利技术通过获取多个车浪的车端入侵检测系统检测到的安全告警事件,统一在云端进行处理与识别,在确定为目标入侵事件后,可向车端发起安全取证,在获得车主授权后监控并采集车端存留的入侵攻击证据。本专利技术通过上述方式增加了入侵事件的可分析性,从而有助于安全运营人员制定全面的安全事件处理方案,保护车内外人员生命和财产安全。
34、另外本专利技术还集成了多个入侵检测系统,可以增强入侵检测的准确性,还可以通过融合分析的方式更好地处理安全事件。
本文档来自技高网...【技术保护点】
1.一种车端入侵的安全取证方法,其特征在于,包括:
2.根据权利要求1所述的车端入侵的安全取证方法,其特征在于,所述获取多个车辆的车端入侵检测系统检测到的安全告警事件,将所述安全告警事件的攻击向量上传至云端,包括:
3.根据权利要求2所述的车端入侵的安全取证方法,其特征在于,所述云端根据所述攻击向量将所述安全告警事件定性为入侵事件后,判断所述入侵事件是否为目标入侵事件,包括:
4.根据权利要求3所述的车端入侵的安全取证方法,其特征在于,所述云端根据所述攻击向量将所述安全告警事件定性为入侵事件后,判断所述入侵事件是否为目标入侵事件,包括:
5.根据权利要求3所述的车端入侵的安全取证方法,其特征在于,所述若是目标入侵事件则发起面向车端的安全取证,在获得车主授权后监控并采集车端存留的入侵攻击证据,包括:
6.根据权利要求2所述的车端入侵的安全取证方法,其特征在于,若攻击向量的数据量大于对应的阈值时,仅上报攻击的特征数据,包括:
7.一种车端入侵的安全取证系统,其特征在于,包括:
8.一种车端入侵的安全取
9.一种安全取证系统,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被计算机运行时,执行如权利要求1至6中任一项所述的车端入侵的安全取证方法。
...【技术特征摘要】
1.一种车端入侵的安全取证方法,其特征在于,包括:
2.根据权利要求1所述的车端入侵的安全取证方法,其特征在于,所述获取多个车辆的车端入侵检测系统检测到的安全告警事件,将所述安全告警事件的攻击向量上传至云端,包括:
3.根据权利要求2所述的车端入侵的安全取证方法,其特征在于,所述云端根据所述攻击向量将所述安全告警事件定性为入侵事件后,判断所述入侵事件是否为目标入侵事件,包括:
4.根据权利要求3所述的车端入侵的安全取证方法,其特征在于,所述云端根据所述攻击向量将所述安全告警事件定性为入侵事件后,判断所述入侵事件是否为目标入侵事件,包括:
5.根据权利要求3所述的车端入侵的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。