[发明专利]一种入侵风险的检测方法和装置

权利要求书

1.一种入侵风险的检测方法，其特征在于，所述方法包括：

检测车辆的IVI系统中的第一异常事件；

检测所述车辆的CAN总线上的第二异常事件；

分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性；

根据所述相关性确定所述车辆被入侵的风险；

所述分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性包括：

在一个时间窗口内，分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性；

所述在一个时间窗口内，分析所述第一异常事件的发生时间和所述第二异常事件的发生时间之间的相关性包括：

将所述时间窗口划分为第二预定值个子时间窗口；

基于所述子时间窗口确定所述第一异常事件中每一类异常事件的第一发生周期；

基于所述子时间窗口确定所述第二异常事件中每一类异常事件的第二发生周期；

根据所述第一发生周期和所述第二发生周期确定所述相关性。

2.如权利要求1所述的方法，其特征在于，所述检测车辆的IVI系统中的第一异常事件包括：

对照一病毒库判断所述车辆的IVI系统是否感染病毒，如果感染病毒，认为所述IVI系统出现第一异常事件。

3.如权利要求1所述的方法，其特征在于，所述检测车辆的IVI系统中的第一异常事件包括：

对照一网络行为异常模式库判断所述车辆的IVI系统的网络行为是否异常，如果异常，认为所述IVI系统出现第一异常事件。

4.如权利要求1所述的方法，其特征在于，所述检测车辆的IVI系统中的第一异常事件包括：

判断所述车辆的IVI系统中是否存在安全性不符合要求的应用程序运行，如果存在，认为所述IVI系统出现第一异常事件。

5.如权利要求4所述的方法，其特征在于，所述检测车辆的IVI系统中的第一异常事件还包括：

根据所述应用程序的软件功能描述和所述应用程序所申请或使用的权限判断所述应用程序的安全性。

6.如权利要求1所述的方法，其特征在于，所述检测所述车辆的CAN总线上的第二异常事件包括：

判断所述车辆的CAN总线上传输的报文的ID是否在白名单中，如果不在所述白名单中，认为所述CAN总线上出现第二异常事件。

7.如权利要求1所述的方法，其特征在于，所述检测所述车辆的CAN总线上的第二异常事件包括：

判断一报文出现的周期与安全基线的报文周期之间的误差是否超过一第一预定值，如果超过所述第一预定值，认为所述CAN总线上出现第二异常事件。

8.如权利要求1所述的方法，其特征在于，所述时间窗口是滑动时间窗口。

9.如权利要求1所述的方法，其特征在于，所述根据所述第一发生周期和所述第二发生周期确定所述相关性包括：

根据相同的所述第一发生周期和所述第二发生周期的对数，以及所述第一异常事件和所述第二异常事件的种类之和确定所述相关性的代表值。