本技術(shù)涉及數(shù)據(jù)安全��,特別是涉及一種汽車(chē)分布式入侵檢測(cè)與防御系統(tǒng)及其工作方法�。
背景技術(shù):
1���、在智能網(wǎng)聯(lián)汽車(chē)信息安全領(lǐng)域中�,入侵檢測(cè)與防御系統(tǒng)(intrusion?detectionand?prevention?system����,idps)扮演著至關(guān)重要的角色。隨著智能網(wǎng)聯(lián)汽車(chē)技術(shù)的不斷發(fā)展����,網(wǎng)絡(luò)安全攻擊手段也日益復(fù)雜和多樣化,這對(duì)汽車(chē)網(wǎng)絡(luò)安全提出了更高的挑戰(zhàn)�����。idps作為汽車(chē)網(wǎng)絡(luò)安全的核心組成部分����,其主要功能是檢測(cè)并防御車(chē)載網(wǎng)絡(luò)中的潛在安全威脅,以確保車(chē)輛網(wǎng)絡(luò)通信的安全和穩(wěn)定����。
2��、目前����,現(xiàn)有的入侵檢測(cè)與防御系統(tǒng)大多采用靜態(tài)規(guī)則庫(kù)進(jìn)行安全防護(hù)�����。靜態(tài)規(guī)則庫(kù)通常包含已知的惡意ip(internet?protocol��,?網(wǎng)際協(xié)議?)地址����、病毒簽名、攻擊模式等規(guī)則信息����,用于匹配并識(shí)別潛在的網(wǎng)絡(luò)安全攻擊。然而����,規(guī)則的下發(fā)往往依賴于人工干預(yù)或定期更新���,這不僅導(dǎo)致入侵檢測(cè)與防御系統(tǒng)響應(yīng)速度慢���,還容易在規(guī)則更新過(guò)程中出現(xiàn)遺漏或錯(cuò)誤�。此外�,面對(duì)快速演變的網(wǎng)絡(luò)安全攻擊手段,靜態(tài)規(guī)則庫(kù)往往難以適應(yīng)����,導(dǎo)致入侵檢測(cè)與防御系統(tǒng)對(duì)新型網(wǎng)絡(luò)安全攻擊的檢測(cè)能力不足,存在較大的安全隱患���。顯然����,傳統(tǒng)的靜態(tài)規(guī)則庫(kù)檢測(cè)已難以滿足高效�、實(shí)時(shí)的安全防護(hù)需求,特別是在大規(guī)模網(wǎng)絡(luò)環(huán)境中����,如何確保各個(gè)檢測(cè)節(jié)點(diǎn)能夠及時(shí)、準(zhǔn)確地獲取并執(zhí)行最新的規(guī)則����,成為當(dāng)前亟待解決的技術(shù)難題����。
技術(shù)實(shí)現(xiàn)思路
1��、本技術(shù)的目的是提供一種汽車(chē)分布式入侵檢測(cè)與防御系統(tǒng)及其工作方法��,可滿足高效�、實(shí)時(shí)的安全防護(hù)需求。
2��、為實(shí)現(xiàn)上述目的�,本技術(shù)提供了如下方案。
3��、第一方面�����,本技術(shù)提供了一種汽車(chē)分布式入侵檢測(cè)與防御系統(tǒng)��,所述汽車(chē)分布式入侵檢測(cè)與防御系統(tǒng)包括:多個(gè)分布式檢測(cè)節(jié)點(diǎn)和一個(gè)中央控制單元����,多個(gè)所述分布式檢測(cè)節(jié)點(diǎn)的監(jiān)控范圍不同;
4、所述分布式檢測(cè)節(jié)點(diǎn)用于實(shí)時(shí)監(jiān)控并采集得到車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)���;
5、所述中央控制單元分別與每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)通信連接�����;所述中央控制單元用于接收并分析每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)采集的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)�,來(lái)判斷汽車(chē)是否受到網(wǎng)絡(luò)安全攻擊,并在汽車(chē)受到網(wǎng)絡(luò)安全攻擊時(shí)���,基于網(wǎng)絡(luò)安全攻擊的類型確定新的入侵檢測(cè)與防御規(guī)則�,將新的入侵檢測(cè)與防御規(guī)則下發(fā)至每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)��。
6��、可選地���,所述分布式檢測(cè)節(jié)點(diǎn)的數(shù)量與汽車(chē)中關(guān)鍵控制器的數(shù)量相同�,一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)對(duì)應(yīng)一個(gè)所述關(guān)鍵控制器��,所述分布式檢測(cè)節(jié)點(diǎn)為與所述分布式檢測(cè)節(jié)點(diǎn)對(duì)應(yīng)的關(guān)鍵控制器����;所述關(guān)鍵控制器為汽車(chē)中具備對(duì)外通信能力�����、承擔(dān)數(shù)據(jù)傳輸功能和承擔(dān)安全相關(guān)功能的控制器�����;
7��、所述中央控制單元為云端的車(chē)輛安全運(yùn)營(yíng)中心�����。
8����、可選地�����,所述分布式檢測(cè)節(jié)點(diǎn)用于實(shí)時(shí)監(jiān)控車(chē)外接口�����、車(chē)內(nèi)網(wǎng)絡(luò)及控制器系統(tǒng),并采集得到車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)��;所述車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)包括系統(tǒng)運(yùn)行狀態(tài)�����、進(jìn)程狀態(tài)和通信狀態(tài)�����,所述系統(tǒng)運(yùn)行狀態(tài)包括cpu占用率��、系統(tǒng)訪問(wèn)和文件讀寫(xiě)�,所述通信狀態(tài)包括源ip���、目的ip����、源端口�����、目的端口����、流量大小��、協(xié)議類型和協(xié)議狀態(tài)��。
9���、可選地,所述分布式檢測(cè)節(jié)點(diǎn)用于對(duì)所述車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理�����,得到預(yù)處理后的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)����,并將預(yù)處理后的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)傳輸至所述中央控制單元;所述數(shù)據(jù)預(yù)處理包括數(shù)據(jù)清洗和格式轉(zhuǎn)換���。
10�、可選地�����,所述中央控制單元包括分析模塊和自動(dòng)化規(guī)則下發(fā)模塊�����;
11、所述分析模塊分別與每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)通信連接�����;所述分析模塊用于接收每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)采集的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)���,并分別以每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)采集的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)作為輸入���,利用訓(xùn)練好的識(shí)別模型判斷汽車(chē)是否受到網(wǎng)絡(luò)安全攻擊以及確定在汽車(chē)受到網(wǎng)絡(luò)安全攻擊時(shí)網(wǎng)絡(luò)安全攻擊的類型�����,以分析每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)采集的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)����;
12、所述自動(dòng)化規(guī)則下發(fā)模塊分別與所述分析模塊和每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)通信連接�����;所述自動(dòng)化規(guī)則下發(fā)模塊用于在汽車(chē)受到網(wǎng)絡(luò)安全攻擊時(shí)���,基于網(wǎng)絡(luò)安全攻擊的類型確定新的入侵檢測(cè)與防御規(guī)則����,并將新的入侵檢測(cè)與防御規(guī)則下發(fā)至每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)。
13�、可選地,所述訓(xùn)練好的識(shí)別模型采用機(jī)器學(xué)習(xí)模型��,所述網(wǎng)絡(luò)安全攻擊的類型包括dos攻擊��、端口掃描���、非法訪問(wèn)和暴力破解密碼�。
14����、可選地,所述自動(dòng)化規(guī)則下發(fā)模塊內(nèi)存儲(chǔ)有多種類型的網(wǎng)絡(luò)安全攻擊中每一種類型的網(wǎng)絡(luò)安全攻擊對(duì)應(yīng)的入侵檢測(cè)與防御規(guī)則��,且所述自動(dòng)化規(guī)則下發(fā)模塊內(nèi)存儲(chǔ)的入侵檢測(cè)與防御規(guī)則定時(shí)更新��,所述定時(shí)更新是基于上一次更新到當(dāng)前更新之間汽車(chē)受到的網(wǎng)絡(luò)安全攻擊情況來(lái)完成的���。
15�、可選地,所述分布式檢測(cè)節(jié)點(diǎn)內(nèi)存儲(chǔ)有規(guī)則庫(kù)�,所述規(guī)則庫(kù)存儲(chǔ)有若干個(gè)入侵檢測(cè)與防御規(guī)則;所述分布式檢測(cè)節(jié)點(diǎn)用于基于所述規(guī)則庫(kù)對(duì)所述車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)進(jìn)行識(shí)別���,判斷汽車(chē)是否受到網(wǎng)絡(luò)安全攻擊��,并在汽車(chē)受到網(wǎng)絡(luò)安全攻擊時(shí)向所述分析模塊發(fā)送告警信息����;所述告警信息包括車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)和網(wǎng)絡(luò)安全攻擊的類型��;
16�����、所述分析模塊用于以所述告警信息中的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)作為輸入���,利用訓(xùn)練好的識(shí)別模型判斷汽車(chē)是否受到網(wǎng)絡(luò)安全攻擊以及確定在汽車(chē)受到網(wǎng)絡(luò)安全攻擊時(shí)網(wǎng)絡(luò)安全攻擊的類型,若確定汽車(chē)未受到網(wǎng)絡(luò)安全攻擊或者確定的網(wǎng)絡(luò)安全攻擊的類型與所述告警信息中的網(wǎng)絡(luò)安全攻擊的類型不同���,則確定所述告警信息不正確���;
17�����、所述自動(dòng)化規(guī)則下發(fā)模塊用于在所述告警信息不正確時(shí)���,對(duì)所述告警信息中的網(wǎng)絡(luò)安全攻擊的類型對(duì)應(yīng)的入侵檢測(cè)與防御規(guī)則進(jìn)行優(yōu)化更新,并將更新后的入侵檢測(cè)與防御規(guī)則下發(fā)至每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)�����,以對(duì)所述分布式檢測(cè)節(jié)點(diǎn)的規(guī)則庫(kù)進(jìn)行更新��。
18����、可選地,所述自動(dòng)化規(guī)則下發(fā)模塊用于將新的入侵檢測(cè)與防御規(guī)則或者更新后的入侵檢測(cè)與防御規(guī)則通過(guò)安全通道下發(fā)至每一個(gè)所述分布式檢測(cè)節(jié)點(diǎn)���。
19����、第二方面�����,本技術(shù)提供了一種汽車(chē)分布式入侵檢測(cè)與防御系統(tǒng)的工作方法,應(yīng)用于上述的汽車(chē)分布式入侵檢測(cè)與防御系統(tǒng)�����,所述汽車(chē)分布式入侵檢測(cè)與防御系統(tǒng)的工作方法包括:
20�、分布式檢測(cè)節(jié)點(diǎn)實(shí)時(shí)監(jiān)控并采集得到車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù);
21�、中央控制單元接收并分析每一個(gè)分布式檢測(cè)節(jié)點(diǎn)采集的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù),來(lái)判斷汽車(chē)是否受到網(wǎng)絡(luò)安全攻擊���,并在汽車(chē)受到網(wǎng)絡(luò)安全攻擊時(shí)����,基于網(wǎng)絡(luò)安全攻擊的類型確定新的入侵檢測(cè)與防御規(guī)則��,將新的入侵檢測(cè)與防御規(guī)則下發(fā)至每一個(gè)分布式檢測(cè)節(jié)點(diǎn)����。
22�、根據(jù)本技術(shù)提供的具體實(shí)施例,本技術(shù)具有以下技術(shù)效果:
23���、本技術(shù)提供了一種汽車(chē)分布式入侵檢測(cè)與防御系統(tǒng)及其工作方法����,設(shè)置多個(gè)分布式檢測(cè)節(jié)點(diǎn)和一個(gè)中央控制單元,分布式檢測(cè)節(jié)點(diǎn)用于實(shí)時(shí)監(jiān)控并采集得到車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)����,中央控制單元用于接收并分析每一個(gè)分布式檢測(cè)節(jié)點(diǎn)采集的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù),來(lái)判斷汽車(chē)是否受到網(wǎng)絡(luò)安全攻擊��,并在汽車(chē)受到網(wǎng)絡(luò)安全攻擊時(shí)���,基于網(wǎng)絡(luò)安全攻擊的類型確定新的入侵檢測(cè)與防御規(guī)則�����,將新的入侵檢測(cè)與防御規(guī)則下發(fā)至每一個(gè)分布式檢測(cè)節(jié)點(diǎn)�����。本技術(shù)可基于分布式檢測(cè)節(jié)點(diǎn)采集的車(chē)輛網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)來(lái)判斷汽車(chē)是否受到網(wǎng)絡(luò)安全攻擊���,進(jìn)一步基于網(wǎng)絡(luò)安全攻擊的類型確定新的入侵檢測(cè)與防御規(guī)則,并將新的入侵檢測(cè)與防御規(guī)則下發(fā)至每一個(gè)分布式檢測(cè)節(jié)點(diǎn)���,從而確保各個(gè)分布式檢測(cè)節(jié)點(diǎn)能夠及時(shí)����、準(zhǔn)確地獲取并執(zhí)行最新的入侵檢測(cè)與防御規(guī)則,實(shí)現(xiàn)規(guī)則的動(dòng)態(tài)更新��,解決靜態(tài)規(guī)則庫(kù)存在的問(wèn)題��,可滿足高效����、實(shí)時(shí)的安全防護(hù)需求。