[发明专利]一种基于本体的车联网动态贝叶斯攻击图生成方法及系统

说明书

本发明涉及一种基于本体的车联网动态贝叶斯攻击图生成方法，该方法包括以下步骤：步骤1：基于本体的车联网安全要素及其关系建模，从而构建车联网安全本体；步骤2：对车联网安全本体进行实例化，包括车联网安全信息收集和车联网推理规则知识库构建，并将车联网安全信息和相关推理规则输入推理引擎；步骤3：通过基于边缘计算技术的车联网动态贝叶斯攻击图生成算法构建贝叶斯攻击图，用以将车联网网络风险可视化，与现有技术相比，本发明具有形成车联网安全知识的形式化规范表达、降低车联网动态拓扑变化特点带来的贝叶斯攻击图生成延迟以及直观综合地展现车联网系统中的潜在风险等优点。

技术领域

本发明涉及车联网信息安全评估领域，尤其是涉及一种基于本体的车联网动态贝叶斯攻击图生成方法及系统。

背景技术

随着现代汽车智能网联化程度不断加深、车联网V2X(vehicle-to-everything)技术的不断进步，智慧交通领域的成果为人们的日常出行带来了极大便利。但是，在效率和便捷的背后，车联网技术的飞速发展同样也带来了一系列潜在的安全威胁。据报道，仅在2020年1月至9月，针对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击，达到280余万次，其中平台的漏洞、通信的劫持、隐私泄露等风险十分严重。当前车联网系统安全形势严峻，对其进行综合的风险可视化，显然对于车联网安全管理有重要意义。而以色列汽车网络信息安全公司IOActive对收集到的汽车相关漏洞以分数1-5进行危害程度打分时，发现其中72％左右的汽车相关漏洞属于中低可能性类别。这意味总体上漏洞风险等级大多为中度和低度，但大量的中风险和低风险漏洞并不一定意味着没有重大风险。单独来看，这些漏洞可能并不严重，但是当多个漏洞组合起来被利用，造成的风险程度不可估量。由此可见，对于单一漏洞的利用分析是不足的，更具有实际研究意义的是分析利用组合漏洞的多步攻击行为，即利用不止一个漏洞作为跳板不断获取所需的权限或数据来实施对最终目标的攻击行为。

贝叶斯攻击图是一种展示攻击者可能利用的攻击路径的有向图，由不同类型的顶点以及有向边构成，能够可视化地展示攻击者利用不同资产部件上的多个漏洞逐步获取账户以及主机权限的所有潜在路径，更好地将脆弱节点同其在网络中的位置联系起来，便于网络安全管理人员及时识别网络中的关键脆弱组件，有的放矢地实施相应的安全管理策略。当前，针对车联网的安全风险评估集中在单一脆弱点的影响分析，未涉及多个漏洞组合利用带来的安全风险，将贝叶斯攻击图技术应用到车联网网络安全领域，能对车联网系统中存在的漏洞进行组合关联分析，进而更好地进行车联网网络安全管理。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于本体的车联网动态贝叶斯攻击图生成方法及系统。

本发明的目的可以通过以下技术方案来实现：

一种基于本体的车联网动态贝叶斯攻击图生成方法，该方法包括以下步骤：

步骤1：基于本体的车联网安全要素及其关系建模，从而构建车联网安全本体；

步骤2：对车联网安全本体进行实例化，包括车联网安全信息收集和车联网推理规则知识库构建，并将车联网安全信息和相关推理规则输入推理引擎；

步骤3：基于边缘计算技术的车联网动态贝叶斯攻击图生成算法，即通过MulVAL推理引擎，对输入的车联网推理规则知识库和实时收集的安全信息进行关联分析构建贝叶斯攻击图，用以将车联网网络风险可视化。

所述的步骤1中，所述的车联网安全本体包括五类实体：资产类实体、脆弱性组件类实体、漏洞类实体、攻击类实体和攻击者类实体。

所述的资产类实体包括车联网系统各层次中需要进行安全管理的资产设备和敏感信息数据；

所述的脆弱性组件类实体为攻击目标资产中漏洞所在的位置，包括固件Firmware、硬件Hardware、程序Program与服务Service子类，且均为车联网的网络资产中的组件类型；