一种车端入侵检测规则更新系统及方法与流程

1.本发明涉及软件架构的技术领域，特别涉及一种车端入侵检测规则更新系统及方法。


背景技术：

2.随着汽车向联网化、智能化的方向快速发展，汽车不在是一个独立与互联网外的独立环境,汽车在使用过程中，车端网络会受到来自各个方面的黑客攻击，使得汽车受到干扰和控制，为保证汽车行驶的安全性，对汽车下线时配置的入侵检测规则更新具有重要意义。
3.汽车下线时配置的入侵检测规则能够识别黑客的入侵行为，防止车辆隐私数据或敏感数据丢失，同时将汽车的安全风险降到最低，但入侵检测规则在汽车使用过程中，面临着无法优化现有入侵检测规规则以及新增入侵检测规则等问题，导致汽车行驶的安全性受到重大影响，因此，需要针对车端入侵检测规则更新设计一种系统架构，保证车辆行驶的安全性能。现有专利文献公开了一种车辆入侵检测方法及防御系统，获取车辆虚拟测试数据集和车辆行驶过程中的正常行为数据集；根据车辆测试数据集和正常行为数据集，分析获得检测车辆入侵检测规则库；制定防御策略；根据实际应用场景，当车辆行为异常时，实施防御策略；结合机器学习，实际测试数据，以及后续使用过程中产生的相关数据，持续优化策略库；但该方法根据车辆测试数据集和正常行为数据集，分析获得检测车辆入侵检测规则库,结合实际测试数据，以及后续使用过程中产生的相关数据，持续优化策略库,一系列数据操作均在车端完成，而车辆产生的数据毕竟有限，仅依靠车端难以处理入侵检测规则的更新与优化所需要的庞大数据，车端算力有限。


技术实现要素：

4.为解决在现有车辆入侵检测方法技术中，入侵检测规则训练所需要的数据有限和车端算力有限的问题，本发明旨在提供一种车端入侵检测规则更新系统及方法，使系统在运行过程中拥有充沛的数据与算力来支撑入侵检测规则的更新与优化。
5.为了达到上述技术效果，本发明的技术方案如下：
6.一种车端入侵检测规则更新系统，所述系统包括：车端、管端和云端；
7.车端，用于采集行驶过程中的入侵检测数据集；
8.管端，用于将行驶过程中的入侵检测数据集推送至云端；
9.云端，用于接收入侵检测数据集并存储，对存储的入侵检测数据集进行规则分析处理，生成入侵检测规则库，将入侵检测规则库分发至车端，更新车端配置的入侵检测规则库。
10.进一步，所述云端设有数据接收单元、数据存储单元、规则分析单元和规则分发单元；
11.数据接收单元，用于接收车端通过管端推送的入侵检测数据集；
12.数据存储单元，用于对接收的入侵检测数据集进行解析，将解析后的入侵检测数据集进行持久化存储；
13.规则分析单元，用于对存储的入侵检测数据集进行规则分析处理，生成入侵检测规则库；
14.规则分发单元，用于分发生成的入侵检测规则库至车端。
15.进一步，所述管端设有在云端和车端之间双向传输数据的数据通道。
16.本发明还提出了一种车端入侵检测规则更新方法，包括以下步骤：
17.s1.获取车端行驶过程中的入侵检测数据集；
18.s2.利用管端将行驶过程的入侵检测数据集推送至云端；
19.s3.利用云端接收入侵检测数据集并存储；
20.s4.对存储的入侵检测数据集进行规则分析处理，生成入侵检测规则库；
21.s5.利用云端分发入侵检测规则库至车端；
22.s6.基于云端分发至车端的入侵检测规则库，更新车端配置的入侵检测规则库。
23.进一步，获取车端行驶过程中的入侵检测数据集，具体步骤为：
24.s11.对车端入侵攻击行为进行分析，制定用于检测车端入侵攻击行为的攻击特性的入侵检测虚拟规则数据集；
25.s12.基于入侵检测虚拟规则数据集，持续检测车辆行驶过程中的行驶数据，组成行驶数据集。
26.进一步，对存储的入侵检测数据集进行规则分析处理，具体处理步骤为：利用统计、分组、分时的分析方法，对存储的入侵检测数据集进行横纵向分类分析，并与预设虚拟数据进行识别对比，在云端生成入侵检测规则库。
27.进一步，对存储的入侵检测数据集进行横纵向分类分析，具体横纵向分类分析步骤为：
28.横向根据车型与攻击类型进行分组分类，统计入侵检测规则触发率，评估入侵检测规则是否严格，选择需要放行日志，生成横向入侵规则；
29.纵向根据单车提取分析全部攻击检测日志，与公开漏洞库攻击向量特征比较，分析出在车端攻击路径与手法，制定车端攻击路径与手法对应的纵向入侵规则；
30.基于横向入侵规则和纵向入侵规则，在云端生成入侵检测规则库。
31.进一步，所述车端包括智能网联汽车，所述智能网联汽车上设有若干个用于执行车端入侵检测规则的规则执行单元ecu和通讯盒子tbox，每一个规则执行单元ecu均双向连接通讯盒子tbox。
32.进一步，将入侵检测规则库分发至车端，具体分发步骤为：按照智能网联汽车的车型，将云端生成的入侵检测规则库分发至车型对应的智能网联汽车的通讯盒子tbox。
33.进一步，更新车端配置的入侵检测规则库，具体更新步骤为：智能网联汽车的通讯盒子tbox将云端发送的入侵检测规则转发至规则执行单元ecu，规则执行单元ecu接收云端最新发送的入侵检测规则，对车端配置的入侵检测规则库进行更新，并在规则执行单元ecu上执行更新后的入侵检测规则。
34.与现有技术相比，本发明技术方案的有益效果是：
35.本发明提出一种车端入侵检测规则更新系统及方法，首先获取车端行驶过程中的
入侵检测数据集，将行驶过程的入侵检测数据集推送至云端，车端的作用是数据生成、规则执行、生成数据推送到云端，然后利用云端接收入侵检测数据集并存储，并对存储的入侵检测数据集进行规则分析处理，在云端生成入侵检测规则库，达到了运用云端充沛的算力对入侵检测数据集进行分析，并分发生成的入侵检测规则库至车端，保证了当车端出现被攻击迹象，所有车端配置的入侵检测规则库均能够得到更新与优化，避免了入侵检测规则训练所需要的数据有限而无法支撑数据分析的问题，使系统在运行过程中拥有充沛的数据与算力来支撑入侵检测规则的更新与优化。
附图说明
36.图1表示本发明实施例中提出的一种车端入侵检测规则更新系统的结构示意图；
37.图2表示本发明实施例中提出的一种车端入侵检测规则更新方法的流程示意图；
38.1.车端；2.管端；2.1.数据通道；3.云端；31.数据接收单元；32.规则分发单元；33.规则分析单元；34.数据存储单元。
具体实施方式
39.附图仅用于示例性说明，不能理解为对本专利的限制；
40.为了更好地说明本实施例，附图某些部位会有省略、放大或缩小，并不代表实际尺寸，“上”“下”等部位方向的描述非对本专利的限制；
41.对于本领域技术人员来说，附图中某些公知内容说明可能省略是可以理解的；
42.附图中描述位置关系的用于仅用于示例性说明，不能理解为对本专利的限制；
43.下面结合附图和实施例对本发明的技术方案做进一步的说明。
44.如图1所示，本实施例提出了一种车端入侵检测规则更新系统，所述系统包括：车端1、管端2和云端3；
45.车端1，用于采集行驶过程中的入侵检测数据集；所述车端包括智能网联汽车，所述智能网联汽车上设有若干个用于执行车端入侵检测规则的规则执行单元ecu和通讯盒子tbox，每一个规则执行单元ecu均双向连接通讯盒子tbox。
46.管端2，用于将行驶过程中的入侵检测数据集推送至云端；所述管端设有在云端和车端之间双向传输数据的数据通道。
47.云端3，用于接收入侵检测数据集并存储，对存储的入侵检测数据集进行规则分析处理，生成入侵检测规则库，将入侵检测规则库分发至车端，更新车端配置的入侵检测规则库。
48.所述云端3是指远程框架所能完成的一系列系统或装置的集合，云端主要包含智能网联汽车推送数据接收和处置与存储的一系列系统；云端对接收的入侵检测数据集进行解析，然后将数据持久化到持久化设备中，实现了对所有车端上传数据的解析存储，为后续数据分析提供必要的数据原材料；云端3设有数据接收单元31、规则分析单元32、规则分发单元33和数据存储单元34；
49.数据接收单元31，用于接收车端通过管端推送的入侵检测数据集；
50.数据存储单元34，用于对接收的入侵检测数据集进行解析，将解析后的入侵检测数据集进行持久化存储；
51.规则分析单元32，用于对存储的入侵检测数据集进行规则分析处理，生成入侵检测规则库；
52.在规则分析单元中，规则分析单元通过使用持久化到存储设备中的数据，运用统计、分组、分时等分析方法，对数据进行统计分析，做到基于车型、单车、电子控制元件ecu等分类分析，并识别对比现有虚拟数据，对现有车端配置的入侵检测规则库进行优化以及在云端分析出新的入侵检测规则库，将分析出来的入侵检测规则库，持久化待后续步骤规则分发单元进行入侵检测规则库分发。
53.规则分发单元33，用于分发生成的入侵检测规则库至车端。
54.在规则分发单元中，规则分发单元作用是将规则分析单元分析出来的入侵检测规则库通过管端分发给对应智能网联汽车，解决相同车型相同问题不同智能网联汽车配置的入侵检测规则库无法更新问题；由于有车端数据发送装置tbox，管端传递数据，云端接收数据并对数据进行加工处理与分发使得一辆智能网联汽车受到攻击经过分析数据可以共享给相关车型智能网联汽车避免发送相同问题；进一步经过对不同车型进行分析可以将相关规则推送给问题向关联车型。
55.在本实施例中，首先获取车端行驶过程中的入侵检测数据集，将行驶过程的入侵检测数据集推送至云端，车端的作用是数据生成、规则执行、生成数据推送到云端，然后利用云端接收入侵检测数据集并存储，并对存储的入侵检测数据集进行规则分析处理，在云端生成入侵检测规则库，达到了运用云端充沛的算力对入侵检测数据集进行分析，并分发生成的入侵检测规则库至车端，保证了当车端出现被攻击迹象，所有车端配置的入侵检测规则库均能够得到更新与优化，避免了入侵检测规则训练所需要的数据有限而无法支撑数据分析的问题，使系统在运行过程中拥有充沛的数据与算力来支撑入侵检测规则的更新与优化。
56.需要特别说明的是，在云端实际处理数据时，云端包括不限于数据接收单元、数据存储单元、规则分析单元和规则分发单元等，上述云端的组成部分仅是本实施例的一个具体实施例说明，并不代表云端的全部组成。
57.参见图1及图2，本实施例还提出了一种车端入侵检测规则更新方法，包括以下步骤：
58.s1.获取车端行驶过程中的入侵检测数据集；
59.在步骤s1中，所述车端1包括智能网联汽车，所述智能网联汽车上设有用于执行车端入侵检测规则的规则执行单元ecu和通讯盒子tbox，每一个规则执行单元ecu均双向连接通讯盒子tbox，车端通过实际的运行过程中通过实验规则数据生成实际数据，主要作用为数据生成、规则执行、生成数据推送到云端3。
60.获取车端行驶过程中的入侵检测数据集，具体步骤为：
61.s11.对车端入侵攻击行为进行分析，制定用于检测车端入侵攻击行为的攻击特性的入侵检测虚拟规则数据集；
62.在步骤s11中，通过对常见的车端入侵攻击行为进行分析，制定初步的入侵检测虚拟规则数据集，入侵检测虚拟规则数据集能正常检测出常见的车端入侵攻击行为包括但不限于sql注入攻击、xss攻击、越权攻击等常见的攻击特征，入侵检测虚拟规则数据集为后续检测实施提供基础。
63.s12.基于入侵检测虚拟规则数据集，持续检测车辆行驶过程中的行驶数据，组成入侵检测数据集。
64.在步骤s12中，通过在规则执行单元ecu上的规则执行程序应用入侵检测虚拟规则数据集，持续检测车辆运行过程中的数据。
65.s2.利用管端将行驶过程的入侵检测数据集推送至云端；
66.在步骤s2中，参见图2，通过用于数据传输的管端2将行驶过程的入侵检测数据集推送至云端3，所述管端2设有在云端和车端之间双向传输数据的数据通道21，管端2是实现车端与云端实现数据传输的通道装置，连接生产者与消费者的桥梁；对车辆行驶过程中产生的入侵检测数据集，定期通过通讯盒子tbox连接网络，将规则执行产生数据通过管端2推送到云端3，推送过程中，车端1与云端3分别作为生产者和消费者的两端对产生数据进行传递。
67.s3.利用云端接收入侵检测数据集并存储；
68.s4.对存储的入侵检测数据集进行规则分析处理，在云端生成入侵检测规则库；
69.在步骤s4中，对存储的入侵检测数据集进行规则分析处理，具体处理步骤为：
70.利用统计、分组、分时的分析方法，对存储的入侵检测数据集进行横纵向分类分析，并与预设虚拟数据进行识别对比，在云端生成入侵检测规则库。
71.对存储的入侵检测数据集进行横纵向分类分析，具体横纵向分类分析步骤为：
72.横向根据车型与攻击类型进行分组分类，统计入侵检测规则触发率，评估入侵检测规则是否严格，选择需要放行日志，生成横向入侵规则；
73.纵向根据单车提取分析全部攻击检测日志，与公开漏洞库攻击向量特征比较，分析出在车端攻击路径与手法，制定车端攻击路径与手法对应的纵向入侵规则；
74.基于横向入侵规则和纵向入侵规则，在云端生成入侵检测规则库。
75.s5.利用云端分发入侵检测规则库至车端；
76.在步骤s5中，将入侵检测规则库分发至车端，具体分发步骤为：按照智能网联汽车的车型，将云端生成的入侵检测规则库分发至车型对应的智能网联汽车的通讯盒子tbox，通过云端分发生成入侵检测规则库给所有智能网联汽车，达到分发入侵检测规则库更新车端配置的入侵检测规则库的目的，本步骤运用云端生成的数据与管端设备，实现将云端分析出的入侵检测规则库分发给车端，做到分发给指定的车型，对指定车型的电子控制控制单元ecu上执行的入侵检测规则库进行更新或新增使之能达到数据共享的目的。
77.s6.基于云端分发至车端的入侵检测规则库，更新车端配置的入侵检测规则库；
78.在步骤s6中，更新车端配置的入侵检测规则库，具体更新步骤为：智能网联汽车的通讯盒子tbox将云端发送的入侵检测规则库转发至规则执行单元ecu，规则执行单元ecu接收云端最新发送的入侵检测规则库，对车端配置的入侵检测规则库库进行更新，并在规则执行单元ecu上执行更新后的入侵检测规则；智能网联汽车更新车辆配置的入侵检测规则库并运用，通过通讯盒子tbox获取最新的规则数据更新到对应的规则执行单元ecu上进行执行，用以执行产生新的运行数据，主要依托p2dr模型对车端配置的入侵检测规则库进行更新与实施，以此循环往复不断的产生新数据不断优化车端入侵检测规则库，其中，p2dr模型是动态网络安全体系的代表模型，也是动态安全模型的雏形。
79.显然，本发明的上述实施例仅是为清楚地说明本发明所作的举例，而并非是对本
发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。

技术特征：
1.一种车端入侵检测规则更新系统，其特征在于，所述系统包括：车端、管端和云端；车端，用于采集行驶过程中的入侵检测数据集；管端，用于将行驶过程中的入侵检测数据集推送至云端；云端，用于接收入侵检测数据集并存储，对存储的入侵检测数据集进行规则分析处理，生成入侵检测规则库，将入侵检测规则库分发至车端，更新车端配置的入侵检测规则库。2.根据权利要求1所述的车端入侵检测规则更新系统，其特征在于，所述云端设有数据接收单元、数据存储单元、规则分析单元和规则分发单元；数据接收单元，用于接收车端通过管端推送的入侵检测数据集；数据存储单元，用于对接收的入侵检测数据集进行解析，将解析后的入侵检测数据集进行持久化存储；规则分析单元，用于对存储的入侵检测数据集进行规则分析处理，生成入侵检测规则库；规则分发单元，用于分发生成的入侵检测规则库至车端。3.根据权利要求1所述的车端入侵检测规则更新系统，其特征在于，所述管端设有在云端和车端之间双向传输数据的数据通道。4.一种车端入侵检测规则更新方法，其特征在于，包括以下步骤：s1.获取车端行驶过程中的入侵检测数据集；s2.利用管端将行驶过程的入侵检测数据集推送至云端；s3.利用云端接收入侵检测数据集并存储；s4.对存储的入侵检测数据集进行规则分析处理，生成入侵检测规则库；s5.利用云端分发入侵检测规则库至车端；s6.基于云端分发至车端的入侵检测规则库，更新车端配置的入侵检测规则库。5.根据权利要求4所述的车端入侵检测规则更新方法，其特征在于，获取车端行驶过程中的入侵检测数据集，具体步骤为：s11.对车端入侵攻击行为进行分析，制定用于检测车端入侵攻击行为的攻击特性的入侵检测虚拟规则数据集；s12.基于入侵检测虚拟规则数据集，持续检测车辆行驶过程中的行驶数据，组成行驶数据集。6.根据权利要求4所述的车端入侵检测规则更新方法，其特征在于，对存储的入侵检测数据集进行规则分析处理，具体处理步骤为：利用统计、分组、分时的分析方法，对存储的入侵检测数据集进行横纵向分类分析，并与预设虚拟数据进行识别对比，在云端生成入侵检测规则库。7.根据权利要求6所述的车端入侵检测规则更新方法，其特征在于，对存储的入侵检测数据集进行横纵向分类分析，具体横纵向分类分析步骤为：横向根据车型与攻击类型进行分组分类，统计入侵检测规则触发率，评估入侵检测规则是否严格，选择需要放行日志，生成横向入侵规则；纵向根据单车提取分析全部攻击检测日志，与公开漏洞库攻击向量特征比较，分析出在车端攻击路径与手法，制定车端攻击路径与手法对应的纵向入侵规则；基于横向入侵规则和纵向入侵规则，在云端生成入侵检测规则库。
8.根据权利要求4所述的车端入侵检测规则更新方法，其特征在于，所述车端包括智能网联汽车，所述智能网联汽车上设有若干个用于执行车端入侵检测规则的规则执行单元ecu和通讯盒子tbox，每一个规则执行单元ecu均双向连接通讯盒子tbox。9.根据权利要求8所述的车端入侵检测规则更新方法，其特征在于，将入侵检测规则库分发至车端，具体分发步骤为：按照智能网联汽车的车型，将云端生成的入侵检测规则库分发至车型对应的智能网联汽车的通讯盒子tbox。10.根据权利要求9所述的车端入侵检测规则更新方法，其特征在于，更新车端配置的入侵检测规则库，具体更新步骤为：智能网联汽车的通讯盒子tbox将云端发送的入侵检测规则转发至规则执行单元ecu，规则执行单元ecu接收云端最新发送的入侵检测规则，对车端配置的入侵检测规则库进行更新，并在规则执行单元ecu上执行更新后的入侵检测规则。

技术总结
本发明提出一种车端入侵检测规则更新系统及方法，涉及软件架构的技术领域，解决了现有车辆入侵检测方法技术中，入侵检测规则训练所需要的数据有限和车端算力有限的问题，方法包括：获取车端行驶过程中的入侵检测数据集，将行驶过程的入侵检测数据集推送至云端，利用云端接收入侵检测数据集并存储，对存储的入侵检测数据集进行规则分析处理，在云端生成入侵检测规则库，利用云端分发入侵检测规则库至车端，更新车端配置的入侵检测规则库，避免了入侵检测规则训练所需要的数据有限而无法支撑数据分析的问题，使系统在运行过程中拥有充沛的数据与算力来支撑入侵检测规则的更新与优化。化。化。


技术研发人员：宋军庆
受保护的技术使用者：重庆长安汽车股份有限公司
技术研发日：2023.04.14
技术公布日：2023/7/20