本發(fā)明涉及車輛數(shù)據(jù)防護領(lǐng)域，具體涉及一種車輛網(wǎng)絡(luò)數(shù)據(jù)的防護方法、系統(tǒng)及存儲介質(zhì)。

背景技術(shù)：

1、隨著智能網(wǎng)聯(lián)汽車的普及，車輛的網(wǎng)絡(luò)數(shù)據(jù)越來越多。當非法用戶在物理無接觸車輛的場景下對車輛的網(wǎng)絡(luò)數(shù)據(jù)(涉及安全的數(shù)據(jù))進行獲取和/或篡改，可能會影響車輛的行駛，還會危害到用戶的安全。

技術(shù)實現(xiàn)思路

1、針對現(xiàn)有技術(shù)中存在的缺陷，本發(fā)明解決的技術(shù)問題為：如何對車輛網(wǎng)絡(luò)數(shù)據(jù)進行防護。

2、為達到以上目的，第一方面，本申請實施例提供一種車輛網(wǎng)絡(luò)數(shù)據(jù)的防護方法，其特征在于，該方法包括以下步驟：根據(jù)車輛網(wǎng)絡(luò)數(shù)據(jù)的白名單信息配置防護規(guī)則文件，車輛網(wǎng)絡(luò)數(shù)據(jù)包括網(wǎng)絡(luò)數(shù)據(jù)和車端系統(tǒng)數(shù)據(jù)；根據(jù)防護規(guī)則文件對車輛網(wǎng)絡(luò)數(shù)據(jù)進行防護。

3、結(jié)合第一方面，在一種實施方式中，該方法還包括以下步驟：根據(jù)防護的網(wǎng)絡(luò)數(shù)據(jù)的分析結(jié)果對防護規(guī)則文件進行更新，更新方式包括新增和刪除白名單信息。

4、結(jié)合第一方面，在一種實施方式中，所述分析結(jié)果的獲取流程包括：獲取對車輛網(wǎng)絡(luò)數(shù)據(jù)進行防護過程中的數(shù)據(jù)防護信息，根據(jù)數(shù)據(jù)防護信息生成對應(yīng)網(wǎng)絡(luò)數(shù)據(jù)的分析結(jié)果。

5、結(jié)合第一方面，在一種實施方式中，所述根據(jù)防護的網(wǎng)絡(luò)數(shù)據(jù)的分析結(jié)果對防護規(guī)則文件進行更新的流程包括：對于分析結(jié)果為正常、但防護規(guī)則文件中沒有對應(yīng)白名單信息的網(wǎng)絡(luò)數(shù)據(jù)，將該網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)換為白名單信息并加入防護規(guī)則文件；對于分析結(jié)果為異常、但防護規(guī)則中存在對應(yīng)的白名單信息的網(wǎng)絡(luò)數(shù)據(jù)，將該網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的白名單信息從防護規(guī)則文件中刪除。

6、結(jié)合第一方面，在一種實施方式中，所述根據(jù)防護規(guī)則文件對車輛網(wǎng)絡(luò)數(shù)據(jù)進行防護的流程包括：采集網(wǎng)絡(luò)數(shù)據(jù)報文，將命中防護規(guī)則文件中的白名單信息的網(wǎng)絡(luò)數(shù)據(jù)報文進行傳輸，將未命中防護規(guī)則文件中的白名單信息的網(wǎng)絡(luò)數(shù)據(jù)報文進行攔截。

7、第二方面，本申請實施例提供了一種車輛網(wǎng)絡(luò)數(shù)據(jù)的防護系統(tǒng)，該系統(tǒng)用于實現(xiàn)第一方面提供的方法。

8、結(jié)合第二方面，在一種實施方式中，該系統(tǒng)包括：防護規(guī)則生成模塊、安全引擎、防護功能模塊、安全日志分析模塊和探針模塊；

9、防護規(guī)則生成模塊用于：根據(jù)車輛網(wǎng)絡(luò)數(shù)據(jù)的白名單信息配置防護規(guī)則文件；根據(jù)安全日志分析模塊傳輸?shù)姆治鼋Y(jié)果更新防護規(guī)則文件；

10、安全引擎用于：搭載防護規(guī)則生成模塊、防護功能模塊、安全日志生成模塊和探針模塊，根據(jù)防護功能模塊的工作信息生成安全日志并傳輸至安全日志分析模塊；

11、探針模塊用于：采集網(wǎng)絡(luò)報文和系統(tǒng)運行狀態(tài)報文；

12、防護功能模塊用于：根據(jù)防護規(guī)則生成模塊生成的防護規(guī)則文件，對探針模塊采集的網(wǎng)絡(luò)報文和系統(tǒng)運行狀態(tài)報文進行防護；

13、安全日志分析模塊用于：將安全引擎生成的安全日志上傳至云端，在云端進行統(tǒng)一管理；將云端返回的分析結(jié)果傳輸至防護規(guī)則生成模塊。

14、結(jié)合第二方面，在一種實施方式中，所述防護功能模塊具體用于：建立防火墻，防護墻包括網(wǎng)絡(luò)idps和主機idps；網(wǎng)絡(luò)idps用于對探針模塊采集的網(wǎng)絡(luò)報文進行防護，主機idps用于對探針模塊采集的系統(tǒng)運行狀態(tài)報文進行防護。

15、結(jié)合第二方面，在一種實施方式中，所述安全引擎具體用于：基于配置文件加載各個模塊，配置文件包括tcp/ip協(xié)議棧的相關(guān)配置，以及can協(xié)議棧的相關(guān)配置；

16、tcp/ip協(xié)議棧的相關(guān)配置提供三個鉤子接口：cdf_t_input、cdf_t_preroute和cdf_t_postroute；

17、cdf_t_input上掛載的模塊包括：

18、session會話模塊，用于：創(chuàng)建cdf_session，連接跟蹤并為其他模塊提供數(shù)據(jù)載體；

19、pf安全防護模塊，用于：基于cdf_session進行報文分析并進行防護；

20、ids入侵檢測模塊，用于：基于cdf_session和當前包進行分析網(wǎng)絡(luò)行為并記錄；

21、cdf_t_preroute上掛載的模塊包括：

22、snat源地址轉(zhuǎn)換模塊，用于：基于cdf_session進行條件判斷并更新會話；

23、cdf_t_postroute上掛載的模塊包括：

24、dnat目的地址轉(zhuǎn)換模塊，用于：基于cdf_session進行條件判斷并更新會話；

25、pb包處理模塊，用于：判斷包是否發(fā)生了會話更新，如果有，更新到報文中；

26、can協(xié)議棧的相關(guān)配置提供兩個鉤子接口：cdf_c_input和cdf_c_output；

27、cdf_c_input上掛載的模塊包括：

28、frame幀跟蹤模塊，用于：創(chuàng)建cdf_frame，記錄幀的狀態(tài)并為其他模塊提供數(shù)據(jù)載體；

29、pf安全防護模塊，用于：基于cdf_frame進行幀分析并進行防護；

30、ids入侵檢測模塊，用于：基于cdf_frame和當前幀進行分析網(wǎng)絡(luò)行為并記錄；

31、cdf_c_output上掛載的安全模塊包括：

32、fb幀處理模塊，用于：判斷包是否發(fā)生了幀更新，如果有，更新到真實幀中。

33、第三方面，本申請實施例提供了一種計算機可讀存儲介質(zhì)，該存儲介質(zhì)上存儲有車輛網(wǎng)絡(luò)數(shù)據(jù)的防護程序，所述計算機程序被執(zhí)行時實現(xiàn)第一方面提供的方法。

34、與現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)點在于：

35、(1)本發(fā)明能夠根據(jù)白名單信息配置的防護規(guī)則文件，根據(jù)防護規(guī)則文件能夠?qū)囕v網(wǎng)絡(luò)數(shù)據(jù)進行防護，進而保證了車輛數(shù)據(jù)的安全，隨之也保證了用戶的安全。

36、(2)本發(fā)明能夠通過根據(jù)數(shù)據(jù)防護信息得到的分析結(jié)果，來對防護規(guī)則文件進行更新，更新時會增加分析結(jié)果為正常的網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的白名單信息，還會刪除分析結(jié)果為異常的網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的白名單信息，以此實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)的精準防護。

37、(3)本發(fā)明設(shè)計安全引擎提供注冊平臺，可基于配置文件靈活釋放相關(guān)鉤子函數(shù)，指定配置策略。進行檢測行為的監(jiān)測與判定，以此實現(xiàn)系統(tǒng)針對監(jiān)測對象的動態(tài)調(diào)控。

技術(shù)特征：

1.一種車輛網(wǎng)絡(luò)數(shù)據(jù)的防護方法，其特征在于，該方法包括以下步驟：根據(jù)車輛網(wǎng)絡(luò)數(shù)據(jù)的白名單信息配置防護規(guī)則文件，車輛網(wǎng)絡(luò)數(shù)據(jù)包括網(wǎng)絡(luò)數(shù)據(jù)和車端系統(tǒng)數(shù)據(jù)；根據(jù)防護規(guī)則文件對車輛網(wǎng)絡(luò)數(shù)據(jù)進行防護。

2.如權(quán)利要求1所述的車輛網(wǎng)絡(luò)數(shù)據(jù)的防護方法，其特征在于，該方法還包括以下步驟：根據(jù)防護的網(wǎng)絡(luò)數(shù)據(jù)的分析結(jié)果對防護規(guī)則文件進行更新，更新方式包括新增和刪除白名單信息。

3.如權(quán)利要求2所述的車輛網(wǎng)絡(luò)數(shù)據(jù)的防護方法，其特征在于，所述分析結(jié)果的獲取流程包括：獲取對車輛網(wǎng)絡(luò)數(shù)據(jù)進行防護過程中的數(shù)據(jù)防護信息，根據(jù)數(shù)據(jù)防護信息生成對應(yīng)網(wǎng)絡(luò)數(shù)據(jù)的分析結(jié)果。

4.如權(quán)利要求3所述的車輛網(wǎng)絡(luò)數(shù)據(jù)的防護方法，其特征在于，所述根據(jù)防護的網(wǎng)絡(luò)數(shù)據(jù)的分析結(jié)果對防護規(guī)則文件進行更新的流程包括：對于分析結(jié)果為正常、但防護規(guī)則文件中沒有對應(yīng)白名單信息的網(wǎng)絡(luò)數(shù)據(jù)，將該網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)換為白名單信息并加入防護規(guī)則文件；對于分析結(jié)果為異常、但防護規(guī)則中存在對應(yīng)的白名單信息的網(wǎng)絡(luò)數(shù)據(jù)，將該網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的白名單信息從防護規(guī)則文件中刪除。

5.如權(quán)利要求4所述的車輛網(wǎng)絡(luò)數(shù)據(jù)的防護方法，其特征在于，所述根據(jù)防護規(guī)則文件對車輛網(wǎng)絡(luò)數(shù)據(jù)進行防護的流程包括：采集網(wǎng)絡(luò)數(shù)據(jù)報文，將命中防護規(guī)則文件中的白名單信息的網(wǎng)絡(luò)數(shù)據(jù)報文進行傳輸，將未命中防護規(guī)則文件中的白名單信息的網(wǎng)絡(luò)數(shù)據(jù)報文進行攔截。

6.一種車輛網(wǎng)絡(luò)數(shù)據(jù)的防護系統(tǒng)，其特征在于：該系統(tǒng)用于實現(xiàn)權(quán)利要求1至5任一項所述的方法。

7.如權(quán)利要求6所述的車輛網(wǎng)絡(luò)數(shù)據(jù)的防護系統(tǒng)，其特征在于，該系統(tǒng)包括：防護規(guī)則生成模塊、安全引擎、防護功能模塊、安全日志分析模塊和探針模塊；

8.如權(quán)利要求7所述的車輛網(wǎng)絡(luò)數(shù)據(jù)的防護系統(tǒng)，其特征在于，所述防護功能模塊具體用于：建立防火墻，防護墻包括網(wǎng)絡(luò)idps和主機idps；網(wǎng)絡(luò)idps用于對探針模塊采集的網(wǎng)絡(luò)報文進行防護，主機idps用于對探針模塊采集的系統(tǒng)運行狀態(tài)報文進行防護。

9.如權(quán)利要求8所述的車輛網(wǎng)絡(luò)數(shù)據(jù)的防護系統(tǒng)，其特征在于，所述安全引擎具體用于：基于配置文件加載各個模塊，配置文件包括tcp/ip協(xié)議棧的相關(guān)配置，以及can協(xié)議棧的相關(guān)配置；

10.一種計算機可讀存儲介質(zhì)，其特征在于，所述計算機可讀存儲介質(zhì)上存儲有車輛網(wǎng)絡(luò)數(shù)據(jù)的防護程序，其中所述車輛網(wǎng)絡(luò)數(shù)據(jù)的防護程序被執(zhí)行時，實現(xiàn)如權(quán)利要求1至5中任一項所述的車輛網(wǎng)絡(luò)數(shù)據(jù)的防護方法的步驟。

技術(shù)總結(jié)
本發(fā)明公開了一種車輛網(wǎng)絡(luò)數(shù)據(jù)的防護方法、系統(tǒng)及存儲介質(zhì)，涉及車輛數(shù)據(jù)防護領(lǐng)域。該方法的步驟包括：根據(jù)車輛網(wǎng)絡(luò)數(shù)據(jù)的白名單信息配置防護規(guī)則文件，車輛網(wǎng)絡(luò)數(shù)據(jù)包括網(wǎng)絡(luò)數(shù)據(jù)和車端系統(tǒng)數(shù)據(jù)；根據(jù)防護規(guī)則文件對車輛網(wǎng)絡(luò)數(shù)據(jù)進行防護。本發(fā)明能夠根據(jù)白名單信息配置的防護規(guī)則文件，根據(jù)防護規(guī)則文件能夠?qū)囕v網(wǎng)絡(luò)數(shù)據(jù)進行防護，進而保證了車輛數(shù)據(jù)的安全，隨之也保證了用戶的安全。本發(fā)明還能夠通過根據(jù)數(shù)據(jù)防護信息得到的分析結(jié)果，來對防護規(guī)則文件進行更新，更新時會增加分析結(jié)果為正常的網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的白名單信息，還會刪除分析結(jié)果為異常的網(wǎng)絡(luò)數(shù)據(jù)對應(yīng)的白名單信息，以此實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)的精準防護。

技術(shù)研發(fā)人員：王虹,舒暢,蔡艷波,朱其強,陳珠
受保護的技術(shù)使用者：東風汽車集團股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/10