针对车辆安全事件的关联分析方法与流程

1.本发明涉及车辆网络安全技术领域，特别是一种针对车辆安全事件的关联分析方法。


背景技术：

2.关联分析是一种简单、实用的分析技术，就是发现存在于大量数据集中的关联性或相关性，从而描述了一个事物中某些属性同时出现的规律和模式。在常规网络环境中，关联分析是一个用于分析日志等网络信息相关性，帮助安全人员从海量数据中发现网络异常的方法。它可以提高安全团队发现网络威胁的效率，为安全人员提供整个网络安全态势的全局实时感知能力，让安全人员能够在海量安全事件中快速准确找出真正有威胁的安全事件。同样技术在车辆网络安全上使用得并不多，车辆网络安全在现有资料中缺少关联分析的步骤，技术人员没有办法对针对车辆的复杂攻击进行分析，寻找事件之间的关联也是分析复杂攻击的痛点所在。


技术实现要素：

3.为解决现有技术中存在的问题，本发明的目的是提供一种针对车辆安全事件的关联分析方法，本发明为了解决车辆安全分析中的关联分析部分，将车端检测到的安全事件按照一定规则进行组装，作为复杂攻击事件进行输出，并且为安全人员展示该复杂攻击的攻击链，为车辆网络安全人员提供一种直观地发现网络异常的方法。
4.为实现上述目的，本发明采用的技术方案是：一种针对车辆安全事件的关联分析方法，包括以下步骤：
5.步骤1、从车端idps系统中获取车辆安全事件，并将所有车辆安全事件在云端进行汇总；
6.步骤2、编写关联分析规则；
7.步骤3、将车端数据进行格式化；
8.步骤4、使用流数据处理框架以数据流的形式从数据库中获取步骤3中得到的车端数据，得到一个事件数据流；
9.步骤5、确保后续事件处理是以单车上发生的事件为基础，将步骤4中得到的事件数据流根据车辆vin号进行分组，得到分组后的数据流；
10.步骤6、设置时间窗口，即分析周期；以分析周期长度为窗口长度，将步骤5中得到的分组后数据流用窗口进行划分，得到划分后的分组数据流；
11.步骤7、从数据库中获取现有的所有关联分析配置，每个关联分析配置为一条规则链，一条规则链中包含了多个规则；使用获取到的关联分析配置对步骤6中得到的数据流进行匹配过滤后得到事件集合；
12.步骤8、对步骤7得到的事件集合使用深度优先遍历算法得到事件集合代表的复杂攻击；
13.步骤9、对多个复杂攻击的每个事件进行解析，获得关于对应复杂攻击的一个点边集，随后将此点边集存入数据库；
14.步骤10、将步骤9中获得的点边集与相对应的复杂攻击进行关联，并且存储此关系，保存在复杂攻击对象中；当一个分析周期完成时，将此时已获得的复杂攻击对象存储起来，结束当前时间窗口的处理，并且将当前时间窗口关闭，进入下一个时间窗口，开启新的分析周期，重复以上步骤。
15.作为本发明的进一步改进，在步骤2中，所述关联分析规则由识别规则链组成，识别规则部分包括：源ip、目的ip、攻击类型、设备名；关联分析规则部分包括：关联分析规则名、复杂攻击危险等级，其中，攻击类型为必填项，其余为可填项；一条关联分析规则至少由两条识别规则组成，且识别规则有先后关系。
16.作为本发明的进一步改进，步骤3具体如下：
17.将车端idps检测到的安全事件拆解，重新封装为事件格式，其中包含信息：源ip、目的ip、攻击类型和设备名；封装完成后存入数据库。
18.作为本发明的进一步改进，在步骤3中，对数据流进行匹配过滤具体如下：
19.根据以下条件依次进行过滤：攻击类型、设备名、源ip、目的ip；若符合条件，将事件放入一个过滤集合中；如果过滤集合中已有此事件，则将这个事件的记录数量加一，最终得到的是一个符合规则的所有事件的事件集合。
20.作为本发明的进一步改进，所述步骤8具体如下：
21.对于规则链中的每一条规则，每当找到一个时间及其他条件均符合规则链的子事件集合，将此子事件集合加入结果集合中，每个子事件集合都按照时间顺序排列；当遍历结束，获得的结果集合包含多个事件集合，每个事件集合代表一个复杂攻击。
22.作为本发明的进一步改进，步骤9具体如下：
23.对获得的多个复杂攻击的每个事件进行解析，获得事件中的源ip、目的ip、设备名、攻击类型，以及在该复杂攻击中此事件发生的次数；将源ip、目标ip使用节点对象存储，随后对节点进行去重，确保不会存储重复节点；将设备名、攻击类型、攻击次数存到边对象中，就此，获得一个关于此复杂攻击的一个点边集，随后将此点边集存入数据库。
24.本发明的有益效果是：
25.1、本发明解决了对车端大量安全事件的关联分析问题，为安全人员提供了直观的复杂攻击展示，安全人员可以以此对系统中的攻击进行较早的察觉。
26.2、本发明为安全作人员对复杂攻击进行分类，让安全人员可以根据具体的复杂攻击采取针对性措施。
27.3、本发明使用规则链约束，寻找隐蔽的链状攻击，为安全人员解决复杂链状攻击的识别问题。
附图说明
28.图1为本发明实施例2的流程图。
具体实施方式
29.下面结合附图对本发明的实施例进行详细说明。
30.实施例1
31.一种针对车辆安全事件的关联分析方法，具体步骤包括：
32.s1：从车端idps系统中获取车辆安全事件，并将所有车辆安全事件在云端进行汇总，以便下一步处理；
33.s2：编写关联分析规则。关联分析规则由识别规则链组成，识别规则部分包括：源ip、目的ip、攻击类型、设备名。关联分析规则部分包括：关联分析规则名、复杂攻击危险等级，其中，攻击类型为必填项，其余为可填项。一条关联分析规则至少由两条识别规则组成，识别规则有先后关系；
34.s3：将车端数据进行格式化。将车端idps检测到的安全事件拆解，重新封装为事件格式，其中包含信息：源ip、目的ip、攻击类型、设备名。封装完成后存入数据库；
35.s4：使用流数据处理框架以数据流的形式从数据库中获取步骤s3中得到的车端数据，得到一个事件数据流；
36.s5：确保后续事件处理是以单车上发生的事件为基础，将s4中得到的事件数据流根据车辆vin号进行分组，得到分组后的数据流；
37.s6：设置时间窗口，即分析周期。以分析周期长度为窗口长度，将s5中得到的分组后数据流用窗口进行划分，得到划分后的分组数据流；
38.s7：从数据库中获取现有的所有关联分析配置，每个关联分析配置为一条规则链，一条规则链中包含了多个规则。使用获取到的关联分析配置对s6中得到的数据流进行匹配过滤，具体来说，根据以下条件依次进行过滤：攻击类型、设备名、源ip、目的ip。若符合条件，将事件放入一个过滤集合中。如果过滤集合中已有此事件，则将这个事件的记录数量加一，最终得到的是一个符合规则的所有事件的事件集合；
39.s8：对s7得到的事件集合使用深度优先遍历算法，具体来说，对于规则链中的每一条规则，每当找到一个时间及其他条件均符合规则链的子事件集合，将此子事件集合加入结果集合中，每个子事件集合都按照时间顺序排列。当遍历结束，获得的结果集合包含多个事件集合，每个事件集合代表一个复杂攻击；
40.s9：s8中获得的多个复杂攻击，对其中的每个事件进行解析，获得事件中的源ip、目的ip、设备名、攻击类型，以及在该复杂攻击中此事件发生的次数。将源ip、目标ip使用节点对象存储，随后对节点进行去重，确保不会存储重复节点。将设备名、攻击类型、攻击次数存到边对象中，就此，获得一个关于此复杂攻击的一个点边集，随后将此点边集存入数据库；
41.s10：将s9中获得的点边集与相对应的复杂攻击进行关联，并且存储此关系，保存在复杂攻击对象中。当一个分析周期完成时，将此时已获得的复杂攻击对象存储起来，结束当前时间窗口的处理，并且将当前时间窗口关闭，进入下一个时间窗口，开启新的分析周期，重复以上步骤。
42.本实施例针对车辆安全事件的关联分析方法，根据人工设置的规则链条，周期性对车端检测到的安全事件进行处理，得到符合规则链的链状攻击式的复杂攻击并进行存储，同时为用户展示攻击链条。
43.实施例2
44.如图1所示，一种针对车辆安全事件的关联分析方法，具体步骤包括：
45.s101：接收并包装车端数据：
46.由车端idps检测数据，将数据输入车端数据处理程序，车端数据处理程序负责将检测数据进行包装，将包装后的事件数据输入数据库待分析。
47.s102：编写复杂攻击关联分析链状规则：
48.在分析平台上安全人员可以编写需要的复杂攻击关联分析链状规则。关联分析规则由识别规则链组成，识别规则部分包括：源ip、目的ip、攻击类型、设备名。关联分析规则部分包括：关联分析规则名、复杂攻击危险等级，其中，攻击类型为必填项，其余为可填项。安全人员可根据过往经验、事件总结或者其他已知信息进行规则编写。
49.s103：流数据分组以及窗口划分：
50.s101中获得的包装后的事件数据以数据流获取到流数据处理框架中，使用流数据处理框架对此数据流根据车辆vin号进行分组，随后，对分组后的流数据按照分析周期进行窗口划分，得到划分后的分组数据流。
51.s104：根据现有规则对数据流中的事件进行初步过滤：
52.从数据库中获取现有的所有关联分析配置，每个关联分析配置为一条规则链，一条规则链中包含了多个规则。使用获取到的关联分析配置对步骤s101中得到的数据流进行匹配过滤。具体来说，根据以下条件依次进行过滤：攻击类型、设备名、源ip、目的ip。若符合条件，将事件放入一个过滤集合中。如果过滤集合中已有此事件，则将这个事件的记录数量加一，得到符合规则的所有事件的事件集合。
53.s105：使用深度优先遍历算法从分组数据中获取复杂攻击：
54.对于s104中读取的规则链中的每一条规则，使用深度优先遍历算法寻找符合该规则链的链状事件：每当找到一个时间及其他条件均符合规则链的子事件集合，将此子事件集合加入结果集合中，每个子事件集合都按照时间顺序排列。当遍历结束，获得的结果集合包含多个事件集合，每个事件集合代表一个复杂攻击。
55.s106：保存复杂攻击以及生成攻击链：
56.读取保存的复杂攻击中的基础事件数据，将基础事件数据中的源ip与目的ip进行去重，并作为节点保存进数据库。同时，将基础事件作为边保存进数据库，以保存的点边集，可以构造出该复杂攻击的攻击链图像。
57.以上所述实施例仅表达了本发明的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

技术特征：
1.一种针对车辆安全事件的关联分析方法，其特征在于，包括以下步骤：步骤1、从车端idps系统中获取车辆安全事件，并将所有车辆安全事件在云端进行汇总；步骤2、编写关联分析规则；步骤3、将车端数据进行格式化；步骤4、使用流数据处理框架以数据流的形式从数据库中获取步骤3中得到的车端数据，得到一个事件数据流；步骤5、确保后续事件处理是以单车上发生的事件为基础，将步骤4中得到的事件数据流根据车辆vin号进行分组，得到分组后的数据流；步骤6、设置时间窗口，即分析周期；以分析周期长度为窗口长度，将步骤5中得到的分组后数据流用窗口进行划分，得到划分后的分组数据流；步骤7、从数据库中获取现有的所有关联分析配置，每个关联分析配置为一条规则链，一条规则链中包含了多个规则；使用获取到的关联分析配置对步骤6中得到的数据流进行匹配过滤后得到事件集合；步骤8、对步骤7得到的事件集合使用深度优先遍历算法得到事件集合代表的复杂攻击；步骤9、对多个复杂攻击的每个事件进行解析，获得关于对应复杂攻击的一个点边集，随后将此点边集存入数据库；步骤10、将步骤9中获得的点边集与相对应的复杂攻击进行关联，并且存储此关系，保存在复杂攻击对象中；当一个分析周期完成时，将此时已获得的复杂攻击对象存储起来，结束当前时间窗口的处理，并且将当前时间窗口关闭，进入下一个时间窗口，开启新的分析周期，重复以上步骤。2.根据权利要求1所述的针对车辆安全事件的关联分析方法，其特征在于，在步骤2中，所述关联分析规则由识别规则链组成，识别规则部分包括：源ip、目的ip、攻击类型、设备名；关联分析规则部分包括：关联分析规则名、复杂攻击危险等级，其中，攻击类型为必填项，其余为可填项；一条关联分析规则至少由两条识别规则组成，且识别规则有先后关系。3.根据权利要求2所述的针对车辆安全事件的关联分析方法，其特征在于，步骤3具体如下：将车端idps检测到的安全事件拆解，重新封装为事件格式，其中包含信息：源ip、目的ip、攻击类型和设备名；封装完成后存入数据库。4.根据权利要求3所述的针对车辆安全事件的关联分析方法，其特征在于，在步骤3中，对数据流进行匹配过滤具体如下：根据以下条件依次进行过滤：攻击类型、设备名、源ip、目的ip；若符合条件，将事件放入一个过滤集合中；如果过滤集合中已有此事件，则将这个事件的记录数量加一，最终得到的是一个符合规则的所有事件的事件集合。5.根据权利要求4所述的针对车辆安全事件的关联分析方法，其特征在于，所述步骤8具体如下：对于规则链中的每一条规则，每当找到一个时间及其他条件均符合规则链的子事件集合，将此子事件集合加入结果集合中，每个子事件集合都按照时间顺序排列；当遍历结束，
获得的结果集合包含多个事件集合，每个事件集合代表一个复杂攻击。6.根据权利要求5所述的针对车辆安全事件的关联分析方法，其特征在于，步骤9具体如下：对获得的多个复杂攻击的每个事件进行解析，获得事件中的源ip、目的ip、设备名、攻击类型，以及在该复杂攻击中此事件发生的次数；将源ip、目标ip使用节点对象存储，随后对节点进行去重，确保不会存储重复节点；将设备名、攻击类型、攻击次数存到边对象中，就此，获得一个关于此复杂攻击的一个点边集，随后将此点边集存入数据库。

技术总结
本发明公开了一种针对车辆安全事件的关联分析方法，包括：从车端IDPS系统中获取车辆安全事件；编写关联分析规则；将车端数据进行格式化；以数据流的形式从数据库中获取车端数据，得到事件数据流；将事件数据流根据车辆VIN号进行分组，得到分组后以及窗口划分后的数据流；从数据库中获取现有的所有关联分析配置，对数据流进行匹配过滤后得到事件集合；得到事件集合代表的复杂攻击；获得关于复杂攻击的点边集；将点边集与相对应的复杂攻击进行关联；本发明为车辆网络安全人员提供一种直观地发现网络异常的方法。现网络异常的方法。现网络异常的方法。


技术研发人员：陈太升 曾凡 熊平海 赵焕宇 宋雪冬 王程
受保护的技术使用者：广东为辰信息科技有限公司
技术研发日：2023.06.27
技术公布日：2023/10/6