1.本技术涉及车载网络信息安全领域,尤其涉及一种车载网络信息安全系统。
背景技术:
::2.目前,车载网络系统在进行通信的过程中,为保证系统的安全性,当车载终端发送数据包时,需对其发送的数据包进行签名和加密的操作;当车载终端接收数据包时,需对其接收的数据包进行解签和解密的操作,以防止攻击者的恶意攻击。3.但在车载终端对数据包进行加解密和认证时,将开销车载终端的大量计算资源,因此导致车载终端进行收发数据包时,通常具有一定的延时性。且因为车载终端的本身的局限性,部分的加密和解密的工作,需要路侧设备的协同才能进行,而在路侧设备本身的安全性不足时,车载终端也容易受到恶意的攻击。技术实现要素:4.为了解决上述技术问题,本技术提供了一种车载网络信息安全系统,以在减少计算资源开销的基础上,提升车载终端的安全性,降低受到恶意攻击的几率。5.为了实现上述目的,本技术实施例提供的技术方案如下:6.本技术实施例提供一种车载网络信息安全系统,所述车载网络安全系统应用于车载终端,其特征在于,所述系统包括:7.数据包获取模块、防火墙和入侵检测模块;所述防火墙与所述入侵检测模块均与所述数据获取模块连接;8.所述数据包获取模块用于,获取数据包;9.所述防火墙用于,当所述数据包与白盒规则库匹配成功时,使所述数据包通过;否则,丢弃所述数据包;所述白盒规则库包括多条白盒规则;10.所述入侵检测模块用于,利用神经网络模型对所述数据包进行检测,当检测结果指示所述数据包中包含攻击数据时,发出第一告警消息。11.可选地,所述白盒规则库包括多个类型的所述白盒规则,每个所述类型至少包含一条所述白盒规则;12.所述防火墙具体用于,当确定所述白盒规则库中包含至少一条与所述数据包类型相同且匹配的白盒规则时,所述数据包与所述白盒规则库匹配成功。13.可选地,所述类型包括:14.上载数据类型或下载数据类型。15.可选地,所述白盒规则库位于所述防火墙的白盒规则库链表中;16.所述防火墙还连接规则服务器;所述防火墙还用于,定时查询所述规则服务器,若确定所述规则服务器中的白盒规则库更新,则在本端建立一个新的规则库链表,并根据所述规则服务器中的更新后的白盒规则库完善所述新的规则库链表,将规则库链表头部指针指向所述新的规则库链表。17.可选地,所述防火墙还用于,当丢弃所述数据包时,发出第二告警消息。18.可选地,所述利用神经网络模型对所述数据包进行检测包括:对所述数据包进行预处理和特征提取,获得所述数据包的数据特征,利用神经网络模型对所述数据包的数据特征进行检测。19.可选地,所述入侵检测模块还用于,获得包含所述攻击数据的数据包的数据特征,根据包含所述攻击数据的数据包的数据特征对所述神经网络模型进行实时训练以对所述神经网络模型进行更新。20.可选地,所述数据包的数据特征包括:21.所述数据包对应的报文头部。22.可选地,所述系统还包括:23.日志记录模块;所述日志记录模块与所述入侵检测模块连接;所述入侵检测模块还用于发送日志消息;所述日志记录模块用于记录所述日志消息。24.可选地,所述系统还包括:25.安全警告模块;所述安全警告模块分别与所述防火墙和所述入侵检测模块连接;所述安全警告模块用于接收所述第一告警消息和/或所述第二告警消息,以发出安全警告;所述第一告警消息和/或所述第二告警消息用于更新所述白盒规则库。26.通过上述技术方案可知,本技术具有以下有益效果:27.本技术实施例提供了一种车载网络信息安全系统及相关方法,该系统包括:数据获取模块、防火墙和入侵检测模块;数据包获取模块用于,获取数据包;防火墙用于,当数据包匹配白盒规则库时,使数据包通过;否则,丢弃数据包;白盒规则库包括多条安全规则;入侵检测模块用于,利用神经网络模型对数据包进行检测,当检测结果指示数据包中存在攻击数据包时,对攻击数据包进行记录并发出第一告警消息。可见,本技术所提供的系统,通过防火墙对不符合白盒规则的数据包进行过滤,不需要路侧设备协同进行加密和解密的认证便可保证车载终端的安全,节省了车载终端中大量的计算资源的开销,减少了车载终端的延时性;通过入侵检测模块,进一步提高本技术提供的方法的安全性,充分检测了数据包中的攻击数据。这样,在保证车载终端安全性的情况下,减少了车载终端的计算开销,提高了车载终端的性能。附图说明28.为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。29.图1为本技术实施例提供的一种车载网络信息安全系统的结构示意图;30.图2为本技术实施例提供的一种白盒规则库链表结构示意图;31.图3为本技术实施例提供的一种浅层卷积神经网络模型的结构示意图;32.图4为本技术实施例提供的一种入侵检测模块的检测方法流程示意图;33.图5为本技术实施例提供的另一种车载网络安全系统的结构示意图。具体实施方式34.为使本技术的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本技术实施例作进一步详细的说明。35.目前的车载网络信息安全系统由车载终端和路侧设备对收发的数据包进行加解密,从而保证系统的安全性。但,在车载终端对数据包进行加解密和认证时,将开销车载终端的大量计算资源,且因为车载终端的本身的局限性,部分的加密和解密的工作,需要路侧设备的协同才能进行,而在路侧设备本身的安全性不足时,车载终端也容易受到恶意的攻击。针对上述的问题,本技术实施例提供了一种车载网络信息安全系统,该系统利用将原本安全系统中用于识别攻击数据的黑盒规则,替换为用于识别安全数据的白盒规则,不需要路侧设备协同进行加密和解密的认证便可保证车载终端的安全,节省了车载终端中大量的计算资源的开销。同时为了改善白盒规则无法识别记录攻击数据的特性,本技术实施例提供的车载网络信息安全系统,还通过入侵检测模块,对攻击数据进行检测,进一步提高本技术提供的车载网络信息安全系统的安全性。36.可以理解,本技术实施例提供的车载网络信息安全系统可以应用于车载终端上。车载网络信息安全系统可以以程序的形式存储在车载终端上,车载终端通过执行上述的程序来实现本技术实施例所提供的方案。37.参见图1,该图为本技术实施例提供的一种车载网络信息安全系统的结构示意图。如图1所示,本技术实施例所提供的车载网络信息安全系统,包括:38.数据包获取模块100、防火墙200和入侵检测模块300。防火墙200与入侵检测模块300均与数据获取模块100连接。39.其中,数据包获取模块100用于,获取数据包。防火墙200用于,当数据包与白盒规则库匹配成功时,使数据包通过;否则,丢弃数据包;白盒规则库包括多条白盒规则。入侵检测模块300用于,利用神经网络模型对数据包进行检测,当检测结果指示数据包中包含攻击数据时,发出第一告警消息。40.首先,先对本技术实施例提供的车载网络信息安全系统中的防火墙进行详细介绍:41.在本技术实施例中,白盒规则库包括多个类型的白盒规则,每个类型至少包含一条白盒规则。需要说明的是,本技术实施例中的白盒规则的类型为,白盒规则对应的数据包类型。例如:数据包a为上载数据,那么其对应的白盒规则的类型为上载数据类型;数据包b为下载数据,那么其对应的白盒规则的类型为下载数据类型。具体地,防火墙可以用于,当确定白盒规则库中包含至少一条与数据包类型相同且匹配的白盒规则时,数据包与白盒规则库匹配成功。在实际的应用中,当防火墙接收到一个数据包时,首先确定该数据包的类型,再与该类型的白盒规则进行匹配,若该类型的白盒规则中有至少一条与该数据包匹配成功时,防火墙将接受该数据包。若该数据包的类型不属于任何一个白盒规则的类型,或,该数据包不能与同类型下的任何一条白盒规则进行匹配,则丢弃该数据包。为了对攻击数据进行预警,方便运行人员了解该系统的运行状况,作为一种可能的实施方式,防火墙还可以用于,当丢弃所述数据包时,发出第二告警消息。42.由上可知,本技术实施例利用白盒规则对数据包进行过滤,节省了车载终端中大量的计算资源的开销,减少了车载终端的延时性。然而,相比于黑盒规则,白盒规则需要更频繁的更新以适应不断更新的车载网络通信协议。因此,为了降低白盒规则库的更新时的延时性,本技术实施例还提供了一种白盒规则库的链表结构。43.参见图2,该图为本技术实施例提供的一种白盒规则库链表结构示意图。如图2所示,白盒规则库位于防火墙的白盒规则链表中,本技术实施例提供的白盒规则库链表包含一个链表头部ruletablehead和多个子链表,图2中每一列链表表示一个子链表,每个子链表包括一个类型的多个白盒规则rulelistnode;每个子链表包括一个链表头部rulelisthead,该链表头部rulelisthead定义了属于该白盒规则子链表的白盒规则的类型。44.根据上述提供的白盒规则库链表,本技术实施例中的防火墙可以连接规则服务器。当防火墙与规则服务器连接时,防火墙还用于,定时查询规则服务器,若确定规则服务器中的白盒规则库更新,则在本端建立一个新的规则库链表,并根据规则服务器中的更新后的白盒规则库完善新的规则库链表,将第一规则库链表头部指针指向新的规则库链表。由上述可知,本技术所提供的系统在白盒规则库更新时,在本端建立一个新的规则库链表,并将规则库链表头部指针指向新的规则库链表。如此,本技术实施例通过新引入的规则库链表实现了共享数据间的同步更新,当完善新的规则库链表时,不影响原规则库链表的读取和使用;当新规则库链表完全载入,则通过将规则库链表头部指针指向新的规则库链表,实现了在极短时间内的白盒规则库更新操作,降低白盒规则库的更新时的延时性。45.为了进一步保证白盒规则库的更新性能,作为一种可能的实施方式,将规则库链表头部指针指向新的规则库链表的操作可以为计算机中的原子操作。可以理解的是,当将规则库链表头部指针指向新的规则库链表的操作为原子操作时,可以保证写入线程在执行这一操作时不被其他的操作打断,从而保证了在极短时间内更新白盒规则库。46.其次,对本技术实施例提供的车载网络信息安全系统中的入侵检测模块进行详细介绍:47.本技术实施例提供的入侵检测模块,利用神经网络模型对数据包进行检测,包括:对数据包进行预处理和特征提取,获得数据包的数据特征,利用神经网络模型对数据包的数据特征进行检测。48.在实际的应用中,内容媒体服务商,客户以及云服务器中的数据包通过因特网进入车载终端后,因为因特网和车载终端的通信协议的不同,需要进行预处理。具体地,预处理可以包括:将数据包按照网络协议从链路层到应用层进行封装得到报文,该报文的格式为各层协议头部加上报文内容;然后对该报文进行协议转换,得到基于车载通信协议的报文。49.在实际的应用中,网络的攻击行为通常是依赖协议信息,这些包含协议信息的攻击数据通常都包含在数据报文的头部字段,即攻击数据大多都包含在报文头部中。考虑到目前大部分的车载终端的数据处理能力有限,作为一种可能的实施方式,特征提取可以包括:提取预处理后的数据包对应的数据报文头部作为数据包的数据特征,输入卷积神经网络模型。作为示例,数据报文头部包括:数据报报头、以太网帧头、传输层报文头部和ip层报文头部。50.作为一种可能的实施方式,本技术中的神经网络模型可以具体为浅层卷积神经网络(cnn,convolutionalneuralnetwork),其可以在相邻层的神经元之间实现局部连接模式来利用空间局部相关性。在本技术实施例中,其包括两个重要的运算方法,一个是卷积运算,另一个是池化运算。首先,通过卷积运算,可以发现数据包数据的更多局部信息。池化运算可以增强卷积神经网络的健壮性,当相邻域中的每个输入数据单元有细微变化时,池化层的输出不变。这保证了该运算在细微的扰动下没有很大的时间开销,另一方面由于避免了细微扰动的影响,提高了整体系统的检测率。51.参见图3,该图为本技术实施例提供的一种浅层卷积神经网络模型的结构示意图。如图3所示,数据包的数据特征作为模型的输入特征向量,会被重构为12*12的二维矩阵,之后经过两层卷积和两层最大池化操作,卷积核大小为3*3,步长为1,池化窗口大小为2*2,步长为1,接着将得到的矩阵展开成一维向量,输入全连接层中,最后通过逻辑回归分类器softmax,给出分类结果。52.在本技术实施例中,为了减少对入侵检测模块的维护成本,入侵检测模块还可以用于,获得包含所述攻击数据的数据包的数据特征,根据包含所述攻击数据的数据包的数据特征对所述神经网络模型进行实时训练以对所述神经网络模型进行更新。目前的入侵检测技术主要是基于规则匹配模式。规则匹配模式通常不能预测未知攻击,只能针对已知攻击类型构建规则。本技术实施例提供的车载网络安全系统,通过对神经网络模型进行训练,并自动更新神经网络模型,可以对攻击数据相似的攻击进行防御,从而对未知攻击的攻击类型进行预测,进而充分检测数据包中的攻击行为。53.为了更直观地展示本技术实施例中的入侵检测模块,本技术实施例还提供了一种入侵检测模块的检测方法。参见图4,该图为本技术实施例提供的一种入侵检测模块的检测方法流程示意图。如图4所示,本技术实施例提供的入侵检测模块的检测方法具体包括步骤s401至s404:54.s401:异步开启两个进程,第一进程用来检测,第二进程用来训练模型;55.s402:第一进程将检测到的包含攻击数据的数据包提取特征并保存;56.s403:第二进程定时使用保存的数据特征来训练更新模型。57.s404:更新模型后,重新启动第一进程。58.综上所述,本技术实施例提供的车载网络安全系统,通过防火墙对不符合白盒规则的数据包进行过滤,不需要路侧设备协同进行加密和解密的认证便可保证车载终端的安全,节省了车载终端中大量的计算资源的开销,减少了车载终端的延时性;通过入侵检测模块,进一步提高本技术提供的方法的安全性,充分检测了数据包中的攻击数据。这样,在保证车载终端安全性的情况下,减少了车载终端的计算开销,提高了车载终端的性能。59.根据上述实施例提供的车载网络安全系统,本技术实施例还提供了另一种车载网络安全系统:60.参见图5,该图为本技术实施例提供的另一种车载网络安全系统的结构示意图。如图5所示,相比于上述的车载网络安全系统,本技术实施例提供的网络安全系统还包括:日志记录模块400和安全警告模块500。61.日志记录模块400与入侵检测模块500连接;入侵检测模块300还用于发送日志消息;日志记录模块400用于记录日志消息。安全警告模块500分别与防火墙200和入侵检测模块300连接;安全警告模块500用于接收第一告警消息和/或第二告警消息,以发出安全警告;第一告警消息和/或第二告警消息用于更新白盒规则库。第一告警消息和第二告警消息可以用来作为更新白盒规则库的依据。其中第一告警消息和第二告警消息的输出方式可以相同也可以不同。62.由上可知,本技术实施例提供的车载网络安全系统,通过日志记录模块对日志消息进行记录,方便了维护人员对该系统的历史数据进行查看,从而对其进行维护;通过安全警告模块,接收第一警告消息和第二警告消息,发出安全警告,有利于提醒系统的维护人员查看系统可能遭受的攻击,从而针对系统可能遭受的攻击及时地更新白盒规则库。63.通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者诸如媒体网关等网络通信设备,等等)执行本技术各个实施例或者实施例的某些部分所述的方法。64.需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的方法而言,由于其与实施例公开的系统相对应,所以描述的比较简单,相关之处参见系统部分说明即可。65.还需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。66.对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本技术。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下,在其它实施例中实现。因此,本技术将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。当前第1页12当前第1页12
背景技术:
::2.目前,车载网络系统在进行通信的过程中,为保证系统的安全性,当车载终端发送数据包时,需对其发送的数据包进行签名和加密的操作;当车载终端接收数据包时,需对其接收的数据包进行解签和解密的操作,以防止攻击者的恶意攻击。3.但在车载终端对数据包进行加解密和认证时,将开销车载终端的大量计算资源,因此导致车载终端进行收发数据包时,通常具有一定的延时性。且因为车载终端的本身的局限性,部分的加密和解密的工作,需要路侧设备的协同才能进行,而在路侧设备本身的安全性不足时,车载终端也容易受到恶意的攻击。技术实现要素:4.为了解决上述技术问题,本技术提供了一种车载网络信息安全系统,以在减少计算资源开销的基础上,提升车载终端的安全性,降低受到恶意攻击的几率。5.为了实现上述目的,本技术实施例提供的技术方案如下:6.本技术实施例提供一种车载网络信息安全系统,所述车载网络安全系统应用于车载终端,其特征在于,所述系统包括:7.数据包获取模块、防火墙和入侵检测模块;所述防火墙与所述入侵检测模块均与所述数据获取模块连接;8.所述数据包获取模块用于,获取数据包;9.所述防火墙用于,当所述数据包与白盒规则库匹配成功时,使所述数据包通过;否则,丢弃所述数据包;所述白盒规则库包括多条白盒规则;10.所述入侵检测模块用于,利用神经网络模型对所述数据包进行检测,当检测结果指示所述数据包中包含攻击数据时,发出第一告警消息。11.可选地,所述白盒规则库包括多个类型的所述白盒规则,每个所述类型至少包含一条所述白盒规则;12.所述防火墙具体用于,当确定所述白盒规则库中包含至少一条与所述数据包类型相同且匹配的白盒规则时,所述数据包与所述白盒规则库匹配成功。13.可选地,所述类型包括:14.上载数据类型或下载数据类型。15.可选地,所述白盒规则库位于所述防火墙的白盒规则库链表中;16.所述防火墙还连接规则服务器;所述防火墙还用于,定时查询所述规则服务器,若确定所述规则服务器中的白盒规则库更新,则在本端建立一个新的规则库链表,并根据所述规则服务器中的更新后的白盒规则库完善所述新的规则库链表,将规则库链表头部指针指向所述新的规则库链表。17.可选地,所述防火墙还用于,当丢弃所述数据包时,发出第二告警消息。18.可选地,所述利用神经网络模型对所述数据包进行检测包括:对所述数据包进行预处理和特征提取,获得所述数据包的数据特征,利用神经网络模型对所述数据包的数据特征进行检测。19.可选地,所述入侵检测模块还用于,获得包含所述攻击数据的数据包的数据特征,根据包含所述攻击数据的数据包的数据特征对所述神经网络模型进行实时训练以对所述神经网络模型进行更新。20.可选地,所述数据包的数据特征包括:21.所述数据包对应的报文头部。22.可选地,所述系统还包括:23.日志记录模块;所述日志记录模块与所述入侵检测模块连接;所述入侵检测模块还用于发送日志消息;所述日志记录模块用于记录所述日志消息。24.可选地,所述系统还包括:25.安全警告模块;所述安全警告模块分别与所述防火墙和所述入侵检测模块连接;所述安全警告模块用于接收所述第一告警消息和/或所述第二告警消息,以发出安全警告;所述第一告警消息和/或所述第二告警消息用于更新所述白盒规则库。26.通过上述技术方案可知,本技术具有以下有益效果:27.本技术实施例提供了一种车载网络信息安全系统及相关方法,该系统包括:数据获取模块、防火墙和入侵检测模块;数据包获取模块用于,获取数据包;防火墙用于,当数据包匹配白盒规则库时,使数据包通过;否则,丢弃数据包;白盒规则库包括多条安全规则;入侵检测模块用于,利用神经网络模型对数据包进行检测,当检测结果指示数据包中存在攻击数据包时,对攻击数据包进行记录并发出第一告警消息。可见,本技术所提供的系统,通过防火墙对不符合白盒规则的数据包进行过滤,不需要路侧设备协同进行加密和解密的认证便可保证车载终端的安全,节省了车载终端中大量的计算资源的开销,减少了车载终端的延时性;通过入侵检测模块,进一步提高本技术提供的方法的安全性,充分检测了数据包中的攻击数据。这样,在保证车载终端安全性的情况下,减少了车载终端的计算开销,提高了车载终端的性能。附图说明28.为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。29.图1为本技术实施例提供的一种车载网络信息安全系统的结构示意图;30.图2为本技术实施例提供的一种白盒规则库链表结构示意图;31.图3为本技术实施例提供的一种浅层卷积神经网络模型的结构示意图;32.图4为本技术实施例提供的一种入侵检测模块的检测方法流程示意图;33.图5为本技术实施例提供的另一种车载网络安全系统的结构示意图。具体实施方式34.为使本技术的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本技术实施例作进一步详细的说明。35.目前的车载网络信息安全系统由车载终端和路侧设备对收发的数据包进行加解密,从而保证系统的安全性。但,在车载终端对数据包进行加解密和认证时,将开销车载终端的大量计算资源,且因为车载终端的本身的局限性,部分的加密和解密的工作,需要路侧设备的协同才能进行,而在路侧设备本身的安全性不足时,车载终端也容易受到恶意的攻击。针对上述的问题,本技术实施例提供了一种车载网络信息安全系统,该系统利用将原本安全系统中用于识别攻击数据的黑盒规则,替换为用于识别安全数据的白盒规则,不需要路侧设备协同进行加密和解密的认证便可保证车载终端的安全,节省了车载终端中大量的计算资源的开销。同时为了改善白盒规则无法识别记录攻击数据的特性,本技术实施例提供的车载网络信息安全系统,还通过入侵检测模块,对攻击数据进行检测,进一步提高本技术提供的车载网络信息安全系统的安全性。36.可以理解,本技术实施例提供的车载网络信息安全系统可以应用于车载终端上。车载网络信息安全系统可以以程序的形式存储在车载终端上,车载终端通过执行上述的程序来实现本技术实施例所提供的方案。37.参见图1,该图为本技术实施例提供的一种车载网络信息安全系统的结构示意图。如图1所示,本技术实施例所提供的车载网络信息安全系统,包括:38.数据包获取模块100、防火墙200和入侵检测模块300。防火墙200与入侵检测模块300均与数据获取模块100连接。39.其中,数据包获取模块100用于,获取数据包。防火墙200用于,当数据包与白盒规则库匹配成功时,使数据包通过;否则,丢弃数据包;白盒规则库包括多条白盒规则。入侵检测模块300用于,利用神经网络模型对数据包进行检测,当检测结果指示数据包中包含攻击数据时,发出第一告警消息。40.首先,先对本技术实施例提供的车载网络信息安全系统中的防火墙进行详细介绍:41.在本技术实施例中,白盒规则库包括多个类型的白盒规则,每个类型至少包含一条白盒规则。需要说明的是,本技术实施例中的白盒规则的类型为,白盒规则对应的数据包类型。例如:数据包a为上载数据,那么其对应的白盒规则的类型为上载数据类型;数据包b为下载数据,那么其对应的白盒规则的类型为下载数据类型。具体地,防火墙可以用于,当确定白盒规则库中包含至少一条与数据包类型相同且匹配的白盒规则时,数据包与白盒规则库匹配成功。在实际的应用中,当防火墙接收到一个数据包时,首先确定该数据包的类型,再与该类型的白盒规则进行匹配,若该类型的白盒规则中有至少一条与该数据包匹配成功时,防火墙将接受该数据包。若该数据包的类型不属于任何一个白盒规则的类型,或,该数据包不能与同类型下的任何一条白盒规则进行匹配,则丢弃该数据包。为了对攻击数据进行预警,方便运行人员了解该系统的运行状况,作为一种可能的实施方式,防火墙还可以用于,当丢弃所述数据包时,发出第二告警消息。42.由上可知,本技术实施例利用白盒规则对数据包进行过滤,节省了车载终端中大量的计算资源的开销,减少了车载终端的延时性。然而,相比于黑盒规则,白盒规则需要更频繁的更新以适应不断更新的车载网络通信协议。因此,为了降低白盒规则库的更新时的延时性,本技术实施例还提供了一种白盒规则库的链表结构。43.参见图2,该图为本技术实施例提供的一种白盒规则库链表结构示意图。如图2所示,白盒规则库位于防火墙的白盒规则链表中,本技术实施例提供的白盒规则库链表包含一个链表头部ruletablehead和多个子链表,图2中每一列链表表示一个子链表,每个子链表包括一个类型的多个白盒规则rulelistnode;每个子链表包括一个链表头部rulelisthead,该链表头部rulelisthead定义了属于该白盒规则子链表的白盒规则的类型。44.根据上述提供的白盒规则库链表,本技术实施例中的防火墙可以连接规则服务器。当防火墙与规则服务器连接时,防火墙还用于,定时查询规则服务器,若确定规则服务器中的白盒规则库更新,则在本端建立一个新的规则库链表,并根据规则服务器中的更新后的白盒规则库完善新的规则库链表,将第一规则库链表头部指针指向新的规则库链表。由上述可知,本技术所提供的系统在白盒规则库更新时,在本端建立一个新的规则库链表,并将规则库链表头部指针指向新的规则库链表。如此,本技术实施例通过新引入的规则库链表实现了共享数据间的同步更新,当完善新的规则库链表时,不影响原规则库链表的读取和使用;当新规则库链表完全载入,则通过将规则库链表头部指针指向新的规则库链表,实现了在极短时间内的白盒规则库更新操作,降低白盒规则库的更新时的延时性。45.为了进一步保证白盒规则库的更新性能,作为一种可能的实施方式,将规则库链表头部指针指向新的规则库链表的操作可以为计算机中的原子操作。可以理解的是,当将规则库链表头部指针指向新的规则库链表的操作为原子操作时,可以保证写入线程在执行这一操作时不被其他的操作打断,从而保证了在极短时间内更新白盒规则库。46.其次,对本技术实施例提供的车载网络信息安全系统中的入侵检测模块进行详细介绍:47.本技术实施例提供的入侵检测模块,利用神经网络模型对数据包进行检测,包括:对数据包进行预处理和特征提取,获得数据包的数据特征,利用神经网络模型对数据包的数据特征进行检测。48.在实际的应用中,内容媒体服务商,客户以及云服务器中的数据包通过因特网进入车载终端后,因为因特网和车载终端的通信协议的不同,需要进行预处理。具体地,预处理可以包括:将数据包按照网络协议从链路层到应用层进行封装得到报文,该报文的格式为各层协议头部加上报文内容;然后对该报文进行协议转换,得到基于车载通信协议的报文。49.在实际的应用中,网络的攻击行为通常是依赖协议信息,这些包含协议信息的攻击数据通常都包含在数据报文的头部字段,即攻击数据大多都包含在报文头部中。考虑到目前大部分的车载终端的数据处理能力有限,作为一种可能的实施方式,特征提取可以包括:提取预处理后的数据包对应的数据报文头部作为数据包的数据特征,输入卷积神经网络模型。作为示例,数据报文头部包括:数据报报头、以太网帧头、传输层报文头部和ip层报文头部。50.作为一种可能的实施方式,本技术中的神经网络模型可以具体为浅层卷积神经网络(cnn,convolutionalneuralnetwork),其可以在相邻层的神经元之间实现局部连接模式来利用空间局部相关性。在本技术实施例中,其包括两个重要的运算方法,一个是卷积运算,另一个是池化运算。首先,通过卷积运算,可以发现数据包数据的更多局部信息。池化运算可以增强卷积神经网络的健壮性,当相邻域中的每个输入数据单元有细微变化时,池化层的输出不变。这保证了该运算在细微的扰动下没有很大的时间开销,另一方面由于避免了细微扰动的影响,提高了整体系统的检测率。51.参见图3,该图为本技术实施例提供的一种浅层卷积神经网络模型的结构示意图。如图3所示,数据包的数据特征作为模型的输入特征向量,会被重构为12*12的二维矩阵,之后经过两层卷积和两层最大池化操作,卷积核大小为3*3,步长为1,池化窗口大小为2*2,步长为1,接着将得到的矩阵展开成一维向量,输入全连接层中,最后通过逻辑回归分类器softmax,给出分类结果。52.在本技术实施例中,为了减少对入侵检测模块的维护成本,入侵检测模块还可以用于,获得包含所述攻击数据的数据包的数据特征,根据包含所述攻击数据的数据包的数据特征对所述神经网络模型进行实时训练以对所述神经网络模型进行更新。目前的入侵检测技术主要是基于规则匹配模式。规则匹配模式通常不能预测未知攻击,只能针对已知攻击类型构建规则。本技术实施例提供的车载网络安全系统,通过对神经网络模型进行训练,并自动更新神经网络模型,可以对攻击数据相似的攻击进行防御,从而对未知攻击的攻击类型进行预测,进而充分检测数据包中的攻击行为。53.为了更直观地展示本技术实施例中的入侵检测模块,本技术实施例还提供了一种入侵检测模块的检测方法。参见图4,该图为本技术实施例提供的一种入侵检测模块的检测方法流程示意图。如图4所示,本技术实施例提供的入侵检测模块的检测方法具体包括步骤s401至s404:54.s401:异步开启两个进程,第一进程用来检测,第二进程用来训练模型;55.s402:第一进程将检测到的包含攻击数据的数据包提取特征并保存;56.s403:第二进程定时使用保存的数据特征来训练更新模型。57.s404:更新模型后,重新启动第一进程。58.综上所述,本技术实施例提供的车载网络安全系统,通过防火墙对不符合白盒规则的数据包进行过滤,不需要路侧设备协同进行加密和解密的认证便可保证车载终端的安全,节省了车载终端中大量的计算资源的开销,减少了车载终端的延时性;通过入侵检测模块,进一步提高本技术提供的方法的安全性,充分检测了数据包中的攻击数据。这样,在保证车载终端安全性的情况下,减少了车载终端的计算开销,提高了车载终端的性能。59.根据上述实施例提供的车载网络安全系统,本技术实施例还提供了另一种车载网络安全系统:60.参见图5,该图为本技术实施例提供的另一种车载网络安全系统的结构示意图。如图5所示,相比于上述的车载网络安全系统,本技术实施例提供的网络安全系统还包括:日志记录模块400和安全警告模块500。61.日志记录模块400与入侵检测模块500连接;入侵检测模块300还用于发送日志消息;日志记录模块400用于记录日志消息。安全警告模块500分别与防火墙200和入侵检测模块300连接;安全警告模块500用于接收第一告警消息和/或第二告警消息,以发出安全警告;第一告警消息和/或第二告警消息用于更新白盒规则库。第一告警消息和第二告警消息可以用来作为更新白盒规则库的依据。其中第一告警消息和第二告警消息的输出方式可以相同也可以不同。62.由上可知,本技术实施例提供的车载网络安全系统,通过日志记录模块对日志消息进行记录,方便了维护人员对该系统的历史数据进行查看,从而对其进行维护;通过安全警告模块,接收第一警告消息和第二警告消息,发出安全警告,有利于提醒系统的维护人员查看系统可能遭受的攻击,从而针对系统可能遭受的攻击及时地更新白盒规则库。63.通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者诸如媒体网关等网络通信设备,等等)执行本技术各个实施例或者实施例的某些部分所述的方法。64.需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的方法而言,由于其与实施例公开的系统相对应,所以描述的比较简单,相关之处参见系统部分说明即可。65.还需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。66.对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本技术。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下,在其它实施例中实现。因此,本技术将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
