本发明专利技术提供了一种车载网络主机入侵检测方法及系统,通过将包括告警规则配置文件和eBPF运行配置文件的配置文件写入第一共享内存,并通过将eBPF程序加载到内核,从而在应用程序触发系统调用时,触发eBPF程序根据eBPF运行配置文件采集系统调用数据,并将系统调用数据写入第二共享内存,读取第二共享内存中的系统调用数据,对系统调用数据进行加工处理,根据告警规则配置文件即可确定加工处理后的系统调用数据是否存在告警事件,并在存在告警事件的情况下输出对应的告警信息。由于应用程序都需要触发系统调用,本发明专利技术不需要关心多样化的用户态应用程序,仅通过检测内核中系统调用数据即可进行主机入侵检测,降低了入侵检测系统的发开难度和工作量。
【技术实现步骤摘要】
本专利技术涉及网络安全,更具体的,涉及一种车载网络主机入侵检测方法及系统。
技术介绍
1、随着车载网络技术的发展,车辆已经从一个与外界无任何网络连接的独立个体转变成网络的一部分,实现软件在线升级、智能驾驶、辅助驾驶等功能,并提供车载娱乐等服务。但是车辆加入网络一方面使得方便车辆提供更多更灵活的服务,但同时也给非法入侵提供了可能,所以有必要在车载网络中引入主机入侵检测防御系统。
2、目前一般通过检测用户态应用程序进行主机入侵检测,入侵检测程序会关注用户态应用程序的初始配置、配置变化、运行状态、运行过程中的关键动作等,试图从用户态应用程序提取信息,从而判断本系统是否存在被入侵的风险。然而在不同的系统中运行的应用程序数量和种类不同,而且同一个系统中在不同时期运行的应用程序数量数也存在增减变化,主机入侵检测系统为了适配不同系统、以及适配同一系统的不同时期,需要修改检测行为并增减检测功能,这些均增加了入侵检测系统的开发者和维护者的工作难度和工作量。
技术实现思路
1、有鉴于此,本专利技术提供了一种车载网络主机入侵检测方法及系统,仅通过检测内核中系统调用数据即可进行主机入侵检测,降低了入侵检测系统的发开难度和工作量。
2、为了实现上述专利技术目的,本专利技术提供的具体技术方案如下:
3、第一方面,本专利技术实施例提供了一种车载网络主机入侵检测方法,包括:
4、将配置文件写入第一共享内存,所述配置文件包括告警规则配置文件和ebpf运行配置文件;p>5、将ebpf程序加载到内核中;
6、在应用程序触发系统调用时,触发所述ebpf程序根据所述ebpf运行配置文件采集系统调用数据,并将所述系统调用数据写入第二共享内存;
7、读取所述第二共享内存中的所述系统调用数据,对所述系统调用数据进行加工处理;
8、根据所述告警规则配置文件,确定加工处理后的系统调用数据中是否存在告警事件,并在存在告警事件的情况下输出对应的告警信息。
9、在一些实施例中,所述将ebpf程序加载到内核中,包括:
10、根据所述ebpf运行配置文件确定所述ebpf程序检测的至少一个目标系统调用;
11、将所述ebpf程序加载到内核中所述目标系统调用的入口和/或出口处。
12、在一些实施例中,所述在应用程序触发系统调用时,触发所述ebpf程序根据所述ebpf运行配置文件采集系统调用数据,包括:
13、在应用程序触发所述目标系统调用时,触发位于所述目标系统调用的入口和/或出口处的所述ebpf程序,根据所述ebpf运行配置文件采集所述目标系统调用产生的所述系统调用数据;
14、所述系统调用数据包括基础信息、进程相关信息、用户相关信息、用户组相关信息以及文件相关信息中的至少一项。
15、在一些实施例中,对所述系统调用数据进行加工处理,包括以下至少一项:
16、对所述系统调用数据进行格式化处理;
17、为所述系统调用数据添加时间戳;
18、为所述系统调用数据添加群组,所述群组表示攻击类别;
19、为所述系统调用数据添加电子控制单元ecu信息;
20、将所述系统调用数据中的系统可读标识转换为管理员可读的形式。
21、在一些实施例中,所述根据所述告警规则配置文件,确定加工处理后的系统调用数据中是否存在告警事件,包括:
22、读取所述告警规则配置文件,确定告警规则位置;
23、根据所述告警规则位置读取已生效告警规则,确定产生告警的条件;
24、对加工处理后的系统调用数据与所述产生告警的条件进行匹配,确定加工处理后的系统调用数据中是否存在告警事件。
25、在一些实施例中,所述在存在告警事件的情况下输出对应的告警信息,包括:
26、根据所述告警规则配置文件提取存在告警事件的系统调用数据中的告警信息要素;
27、根据所述告警信息要素生成告警信息;
28、按照所述告警规则配置文件中的告警信息输出配置信息,输出所述告警信息。
29、在一些实施例中,所述根据所述告警信息要素生成告警信息,包括:
30、根据所述告警信息要素中的告警规则名称、告警的摘要信息、告警信息内容、告警级别以及告警事件分组,生成告警信息。
31、在一些实施例中,所述按照所述告警规则配置文件中的告警信息输出配置信息,输出所述告警信息,包括:
32、按照所述告警规则配置文件中的告警信息输出配置信息,确定所述告警信息的输出格式和输出路径,所述输出路径包括输出到系统日志、输出到文件、输出到标准输出中的至少一项;
33、根据所述告警信息的输出格式和输出路径输出所述告警信息。
34、第二方面,本专利技术实施例提供了一种车载网络主机入侵检测系统,部署在车内电子控制单元ecu中,包括:用户态入侵检测程序单元、ebpf程序单元、第一共享内存和第二共享内存;
35、所述用户态入侵检测程序单元用于运行用户态入侵检测程序;
36、所述ebpf程序单元用于运行ebpf程序;
37、所述第一共享内存用于存储由所述用户态入侵检测程序写入的配置文件,所述配置文件包括告警规则配置文件和ebpf运行配置文件;
38、所述第二共享内存用于存储由所述ebpf程序写入的系统调用数据,所述系统调用数据是在应用程序触发系统调用时,所述ebpf程序根据所述ebpf运行配置文件采集到的;
39、所述用户态入侵检测程序用于执行第一方面中任意一种实现方式描述的车载网络主机入侵检测方法。
40、在一些实施例中,所述车载网络主机入侵检测系统还包括:
41、车辆入侵检测与防御系统idps管理模块,用于定时获取危险事件告警信息文件的新增告警信息,并将所述新增告警信息发送到云端入侵检测与防御系统服务器。
42、相对于现有技术,本专利技术的有益效果如下:
43、本专利技术公开的一种车载网络主机入侵检测方法及系统,通过将包括告警规则配置文件和ebpf运行配置文件的配置文件写入第一共享内存,并通过将ebpf程序加载到内核,从而在应用程序触发系统调用时,触发ebpf程序根据ebpf运行配置文件采集系统调用数据,并将系统调用数据写入第二共享内存,读取第二共享内存中的系统调用数据,对系统调用数据进行加工处理,根据告警规则配置文件即可确定加工处理后的系统调用数据是否存在告警事件,并在存在告警事件的情况下输出对应的告警信息。由于应用程序都需要触发系统调用,本专利技术不需要关心多样化的用户态应用程序,仅通过检测内核中系统调用数据即可进行主机入侵检测,降低了入侵检测系统的发开难度和工作量。并且本专利技术仅需将ebpf程序加载到内核即可改变内核态的行为,不需要重新编译内核态,也不需要重新启动内核态,简化了入侵检测系统的部署。
本文档来自技高网...
【技术保护点】
1.一种车载网络主机入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述将eBPF程序加载到内核中,包括:
3.根据权利要求2所述的方法,其特征在于,所述在应用程序触发系统调用时,触发所述eBPF程序根据所述eBPF运行配置文件采集系统调用数据,包括:
4.根据权利要求1所述的方法,其特征在于,对所述系统调用数据进行加工处理,包括以下至少一项:
5.根据权利要求1所述的方法,其特征在于,所述根据所述告警规则配置文件,确定加工处理后的系统调用数据中是否存在告警事件,包括:
6.根据权利要求1所述的方法,其特征在于,所述在存在告警事件的情况下输出对应的告警信息,包括:
7.根据权利要求6所述的方法,其特征在于,所述根据所述告警信息要素生成告警信息,包括:
8.根据权利要求6所述的方法,其特征在于,所述按照所述告警规则配置文件中的告警信息输出配置信息,输出所述告警信息,包括:
9.一种车载网络主机入侵检测系统,其特征在于,部署在车内电子控制单元ECU中,包括:用户态入侵检测程序单元、eBPF程序单元、第一共享内存和第二共享内存;
10.根据权利要求9所述的系统,其特征在于,还包括:
...
【技术特征摘要】
1.一种车载网络主机入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述将ebpf程序加载到内核中,包括:
3.根据权利要求2所述的方法,其特征在于,所述在应用程序触发系统调用时,触发所述ebpf程序根据所述ebpf运行配置文件采集系统调用数据,包括:
4.根据权利要求1所述的方法,其特征在于,对所述系统调用数据进行加工处理,包括以下至少一项:
5.根据权利要求1所述的方法,其特征在于,所述根据所述告警规则配置文件,确定加工处理后的系统调用数据中是否存在告警事件,包括:
...
【专利技术属性】
技术研发人员:胡秀兰,杨孙永,郭卫华,李玉平,
申请(专利权)人:北京经纬恒润科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。