一種基于本體的車聯網動態貝葉斯攻擊圖生成方法及系統技術方案

本發明專利技術涉及一種基于本體的車聯網動態貝葉斯攻擊圖生成方法，該方法包括以下步驟：步驟1：基于本體的車聯網安全要素及其關系建模，從而構建車聯網安全本體；步驟2：對車聯網安全本體進行實例化，包括車聯網安全信息收集和車聯網推理規則知識庫構建，并將車聯網安全信息和相關推理規則輸入推理引擎；步驟3：通過基于邊緣計算技術的車聯網動態貝葉斯攻擊圖生成算法構建貝葉斯攻擊圖，用以將車聯網網絡風險可視化，與現有技術相比，本發明專利技術具有形成車聯網安全知識的形式化規范表達、降低車聯網動態拓撲變化特點帶來的貝葉斯攻擊圖生成延遲以及直觀綜合地展現車聯網系統中的潛在風險等優點。優點。優點。

【技術實現步驟摘要】
一種基于本體的車聯網動態貝葉斯攻擊圖生成方法及系統


[0001]本專利技術涉及車聯網信息安全評估領域，尤其是涉及一種基于本體的車聯網動態貝葉斯攻擊圖生成方法及系統。

技術介紹

[0002]隨著現代汽車智能網聯化程度不斷加深、車聯網V2X(vehicle
?
to
?
everything)技術的不斷進步，智慧交通領域的成果為人們的日常出行帶來了極大便利。但是，在效率和便捷的背后，車聯網技術的飛速發展同樣也帶來了一系列潛在的安全威脅。據報道，僅在2020年1月至9月，針對整車企業、車聯網信息服務提供商等相關企業和平臺的惡意攻擊，達到280余萬次，其中平臺的漏洞、通信的劫持、隱私泄露等風險十分嚴重。當前車聯網系統安全形勢嚴峻，對其進行綜合的風險可視化，顯然對于車聯網安全管理有重要意義。而以色列汽車網絡信息安全公司IOActive對收集到的汽車相關漏洞以分數1
?
5進行危害程度打分時，發現其中72％左右的汽車相關漏洞屬于中低可能性類別。這意味總體上漏洞風險等級大多為中度和低度，但大量的中風險和低風險漏洞并不一定意味著沒有重大風險。單獨來看，這些漏洞可能并不嚴重，但是當多個漏洞組合起來被利用，造成的風險程度不可估量。由此可見，對于單一漏洞的利用分析是不足的，更具有實際研究意義的是分析利用組合漏洞的多步攻擊行為，即利用不止一個漏洞作為跳板不斷獲取所需的權限或數據來實施對最終目標的攻擊行為。
[0003]貝葉斯攻擊圖是一種展示攻擊者可能利用的攻擊路徑的有向圖，由不同類型的頂點以及有向邊構成，能夠可視化地展示攻擊者利用不同資產部件上的多個漏洞逐步獲取賬戶以及主機權限的所有潛在路徑，更好地將脆弱節點同其在網絡中的位置聯系起來，便于網絡安全管理人員及時識別網絡中的關鍵脆弱組件，有的放矢地實施相應的安全管理策略。當前，針對車聯網的安全風險評估集中在單一脆弱點的影響分析，未涉及多個漏洞組合利用帶來的安全風險，將貝葉斯攻擊圖技術應用到車聯網網絡安全領域，能對車聯網系統中存在的漏洞進行組合關聯分析，進而更好地進行車聯網網絡安全管理。

技術實現思路

[0004]本專利技術的目的就是為了克服上述現有技術存在的缺陷而提供一種基于本體的車聯網動態貝葉斯攻擊圖生成方法及系統。
[0005]本專利技術的目的可以通過以下技術方案來實現：
[0006]一種基于本體的車聯網動態貝葉斯攻擊圖生成方法，該方法包括以下步驟：
[0007]步驟1：基于本體的車聯網安全要素及其關系建模，從而構建車聯網安全本體；
[0008]步驟2：對車聯網安全本體進行實例化，包括車聯網安全信息收集和車聯網推理規則知識庫構建，并將車聯網安全信息和相關推理規則輸入推理引擎；
[0009]步驟3：基于邊緣計算技術的車聯網動態貝葉斯攻擊圖生成算法，即通過MulVAL推理引擎，對輸入的車聯網推理規則知識庫和實時收集的安全信息進行關聯分析構建貝葉斯
攻擊圖，用以將車聯網網絡風險可視化。
[0010]所述的步驟1中，所述的車聯網安全本體包括五類實體：資產類實體、脆弱性組件類實體、漏洞類實體、攻擊類實體和攻擊者類實體。
[0011]所述的資產類實體包括車聯網系統各層次中需要進行安全管理的資產設備和敏感信息數據；
[0012]所述的脆弱性組件類實體為攻擊目標資產中漏洞所在的位置，包括固件Firmware、硬件Hardware、程序Program與服務Service子類，且均為車聯網的網絡資產中的組件類型；
[0013]所述的漏洞類實體為實施攻擊的技術突破口，根據漏洞所在位置將漏洞類實體分成各漏洞子類實體：軟件漏洞、硬件漏洞以及協議漏洞，所述的漏洞類實體為狹義的、位于軟件或硬件上的安全漏洞，不包括人為造成的網絡漏洞，人為造成的網絡漏洞包括由多個本體類和類間關系表達的配置漏洞和管理漏洞；
[0014]所述的攻擊類實體包括遠距離無線攻擊、近距離無線攻擊和物理訪問攻擊，所述的遠距離無線攻擊包括通過Wifi、蜂窩網絡4G、蜂窩網絡5G、云平臺和GPS進行攻擊，近距離無線攻擊包括通過藍牙Bluetooth、無鑰匙進入KES系統、專用短程通信DSRC進行攻擊，物理訪問攻擊包括通過攻擊者實際的物理接觸進行攻擊；
[0015]所述的攻擊者類實體為實施攻擊行為的主體，根據攻擊者的身份分為內部攻擊者和外部攻擊者，攻擊者具有擁有權限的屬性，所述的權限包括根用戶root權限、普通用戶user權限和命令注入commandInjection權限。
[0016]所述的車聯網系統的三層架構為云、管和端；
[0017]所述的云對應于應用層，用以為智能網聯汽車提供智能交通服務，實現對車輛數據的收集、計算、管理和指引的功能，所述的應用層中的設備為各類數據收集處理與云服務支撐服務器，所述的應用層中的設備包括數據庫服務器、web服務器和出行導航數據處理服務器；
[0018]所述的管對應于網絡層，用以傳輸和處理數據，為車車、車人、車路和車云的數據交互通信提供支持，所述的網絡層包括蜂窩網2G、蜂窩網3G、蜂窩網4G、WLAN和衛星通信網絡；
[0019]所述的端對應于感知層，是數據產生的源頭，用以負責對車聯位置信息和車輛周邊交通信息的采集，感知車輛運行過程中的環境與狀態，所述的感知層中的設備包括RFID讀寫器以及通信終端，所述的通信終端包括車載終端、移動應用端和路側設備。
[0020]所述的車聯網安全本體的實體與實體之間的屬性包括數據屬性和對象屬性，所述的數據屬性為單個實體具有的屬性，所述的對象屬性為定義不同實體之間關聯關系的屬性。
[0021]所述的數據屬性包括：
[0022]資產類實體具有的數據屬性包括資產名稱、資產所在層級、資產重要性等級和資產運動狀態；
[0023]脆弱性組件類實體具有的數據屬性包括組件名稱、組件版本號、組件功能和組件涉及信息的重要性等級，所述的組件功能和組件涉及信息的重要性等級用以計算該組件被攻陷后對資產造成的影響程度；
[0024]漏洞類實體具有的數據屬性包括漏洞ID、漏洞描述信息、漏洞影響實體、漏洞CVSS評分、漏洞補丁信息和漏洞利用概率Pe；
[0025]攻擊類實體具有的數據屬性包括攻擊CAPEC ID、攻擊描述、攻擊危害等級和攻擊所需技能，攻擊的前置條件和后置后果通過推理規則描述，不在數據屬性中體現；
[0026]攻擊者類實體具有的數據屬性包括攻擊者所在位置、攻擊者能力和攻擊者權限；
[0027]所述的對象屬性包括：
[0028]訪問屬性access：為對稱屬性，用以構建資產類實例之間的訪問關系；
[0029]攻陷屬性compromise：用以表明某個攻擊實例成功攻陷某個資產實例；
[0030]具有組件屬性hasComponent：用以表明某個資產實例具有某個組件實例；
[0031]具有漏洞屬性hasVulnerability：用以表明某個組件實例存在某個漏洞實例；<本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種基于本體的車聯網動態貝葉斯攻擊圖生成方法，其特征在于，該方法包括以下步驟：步驟1：基于本體的車聯網安全要素及其關系建模，從而構建車聯網安全本體；步驟2：對車聯網安全本體進行實例化，包括車聯網安全信息收集和車聯網推理規則知識庫構建，并將車聯網安全信息和相關推理規則輸入推理引擎；步驟3：基于邊緣計算技術的車聯網動態貝葉斯攻擊圖生成算法，即通過MulVAL推理引擎，對輸入的車聯網推理規則知識庫和實時收集的安全信息進行關聯分析構建貝葉斯攻擊圖，用以將車聯網網絡風險可視化。2.根據權利要求1所述的一種基于本體的車聯網動態貝葉斯攻擊圖生成方法，其特征在于，所述的步驟1中，所述的車聯網安全本體包括五類實體：資產類實體、脆弱性組件類實體、漏洞類實體、攻擊類實體和攻擊者類實體。3.根據權利要求2所述的一種基于本體的車聯網動態貝葉斯攻擊圖生成方法，其特征在于，所述的資產類實體包括車聯網系統各層次中需要進行安全管理的資產設備和敏感信息數據；所述的脆弱性組件類實體為攻擊目標資產中漏洞所在的位置，包括固件Firmware、硬件Hardware、程序Program與服務Service子類，且均為車聯網的網絡資產中的組件類型；所述的漏洞類實體為實施攻擊的技術突破口，根據漏洞所在位置將漏洞類實體分成各漏洞子類實體：軟件漏洞、硬件漏洞以及協議漏洞，所述的漏洞類實體為狹義的、位于軟件或硬件上的安全漏洞，不包括人為造成的網絡漏洞，人為造成的網絡漏洞包括由多個本體類和類間關系表達的配置漏洞和管理漏洞；所述的攻擊類實體包括遠距離無線攻擊、近距離無線攻擊和物理訪問攻擊，所述的遠距離無線攻擊包括通過Wifi、蜂窩網絡4G、蜂窩網絡5G、云平臺和GPS進行攻擊，近距離無線攻擊包括通過藍牙Bluetooth、無鑰匙進入KES系統、專用短程通信DSRC進行攻擊，物理訪問攻擊包括通過攻擊者實際的物理接觸進行攻擊；所述的攻擊者類實體為實施攻擊行為的主體，根據攻擊者的身份分為內部攻擊者和外部攻擊者，攻擊者具有擁有權限的屬性，所述的權限包括根用戶root權限、普通用戶user權限和命令注入commandInjection權限。4.根據權利要求3所述的一種基于本體的車聯網動態貝葉斯攻擊圖生成方法，其特征在于，所述的車聯網系統的三層架構為云、管和端；所述的云對應于應用層，用以為智能網聯汽車提供智能交通服務，實現對車輛數據的收集、計算、管理和指引的功能，所述的應用層中的設備為各類數據收集處理與云服務支撐服務器，所述的應用層中的設備包括數據庫服務器、web服務器和出行導航數據處理服務器；所述的管對應于網絡層，用以傳輸和處理數據，為車車、車人、車路和車云的數據交互通信提供支持，所述的網絡層包括蜂窩網2G、蜂窩網3G、蜂窩網4G、WLAN和衛星通信網絡；所述的端對應于感知層，是數據產生的源頭，用以負責對車聯位置信息和車輛周邊交通信息的采集，感知車輛運行過程中的環境與狀態，所述的感知層中的設備包括RFID讀寫器以及通信終端，所述的通信終端包括車載終端、移動應用端和路側設備。5.根據權利要求3所述的一種基于本體的車聯網動態貝葉斯攻擊圖生成方法，其特征
在于，所述的車聯網安全本體的實體與實體之間的屬性包括數據屬性和對象屬性，所述的數據屬性為單個實體具有的屬性，所述的對象屬性為定義不同實體之間關聯關系的屬性。6.根據權利要求5所述的一種基于本體的車聯網動態貝葉斯攻擊圖生成方法，其特征在于，所述的數據屬性包括：資產類實體具有的數據屬性包括資產名稱、資產所在層級、資產重要性等級和資產運動狀態；脆弱性組件類實體具有的數據屬性包括組件名稱、組件版本號、組件功能和組件涉及信息的重要性等級，所述的組件功能和組件涉及信息的重要性等級用以計算該組件被攻陷后對資產造成的影響程度；漏洞類實體具有的數據屬性包括漏洞ID、漏洞描述信息、漏洞影響實體、漏洞CVSS評分、漏洞補丁信息和漏洞利用概率Pe；攻擊類實體具有的數據屬性包括攻擊CAPEC ID、攻擊描述、攻擊危害等級和攻擊所需技能，攻擊的前置條件和后置后果...

【專利技術屬性】
技術研發人員：陳秀真，殷承良，侯書凝，馬進，周志洪，于海洋，劉浩文，
申請(專利權)人：上海交通大學，
類型：發明
國別省市：