CN114257416A - 黑白名单的调整方法及装置 - Google Patents
黑白名单的调整方法及装置 Download PDFInfo
- Publication number
- CN114257416A CN114257416A CN202111418073.9A CN202111418073A CN114257416A CN 114257416 A CN114257416 A CN 114257416A CN 202111418073 A CN202111418073 A CN 202111418073A CN 114257416 A CN114257416 A CN 114257416A
- Authority
- CN
- China
- Prior art keywords
- network
- source address
- request type
- data log
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000001514 detection method Methods 0.000 claims abstract description 76
- 238000012545 processing Methods 0.000 claims description 44
- 230000008569 process Effects 0.000 claims description 8
- 238000004891 communication Methods 0.000 description 9
- 238000001914 filtration Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000010399 physical interaction Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种黑白名单的调整方法、装置、电子设备及计算机可读存储介质,方法包括:获取网络数据日志包,并提取网络数据日志包中的网络报文,网络报文包括源地址;基于白名单以及黑名单中都不包括网络报文的请求类型,发送源地址,以供检测服务端在对源地址的安全性检测后返回检测结果;基于检测结果中源地址的安全性,在对应的黑名单或白名单中添加网络报文的请求类型,本申请达到了动态调整黑白名单的内容的目的,使得中控系统接入网络服务的灵活性提高。
Description
技术领域
本申请实施例涉及通信技术领域,特别涉及一种黑白名单的调整方法、装置、电子设备及计算机可读存储介质。
背景技术
随着汽车技术和网络技术的不断发展,大多数车辆的中控系统都已接入网络,从而对车辆的驾驶提供便利的网络技术服务。
目前,中控系统可能还与车辆内部的各个逻辑控制单元存在一定的关系,因此对于整个车辆的网络通信安全变得更加重要。目前常采用固定的白名单对网络数据包进行过滤,即在固定的白名单里设置若干个允许访问的网际互连协议(Internet Protocol,IP)地址,并仅允许这些IP地址的主机访问车辆的中控系统。
但是,目前方案中,固定的白名单会大大限制车辆的中控系统接入网络服务的灵活性,导致中控系统的网络服务适用范围较窄,降低了中控系统的用户体验度。
发明内容
本申请实施例提供了一种黑白名单的调整方法、装置、电子设备及计算机可读存储介质,可以解决相关技术的中控系统的网络服务适用范围较窄,降低了中控系统的用户体验度的问题。所述技术方案如下:
第一方面,提供了一种黑白名单的调整方法,应用于车辆的中控系统,所述方法包括:
获取网络数据日志包,并提取所述网络数据日志包中的网络报文,所述网络报文包括源地址;
基于白名单以及黑名单中都不包括所述网络报文的请求类型,发送所述源地址,以供检测服务端在对所述源地址的安全性检测后返回检测结果;
基于所述检测结果中所述源地址的安全性,在对应的所述黑名单或所述白名单中添加所述网络报文的请求类型。
第二方面,提供了一种黑白名单的调整装置,应用于车辆的中控系统,所述装置包括:
收集模块,用于获取网络数据日志包,并提取所述网络数据日志包中的网络报文,所述网络报文包括源地址;
处理模块,用于基于白名单以及黑名单中都不包括所述网络报文的请求类型,发送所述源地址,以供检测服务端在对所述源地址的安全性检测后返回检测结果;
策略生成模块,用于基于所述检测结果中所述源地址的安全性,在对应的所述黑名单或所述白名单中添加所述网络报文的请求类型。
第三方面,提供了一种电子设备,所述电子设备包括处理器和存储器;所述存储器存储有至少一条指令,所述至少一条指令用于被所述处理器执行以实现如第一方面所述的黑白名单的调整方法。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有至少一条指令,所述至少一条指令用于被处理器执行以实现如第一方面所述的黑白名单的调整方法。
本申请实施例提供的黑白名单的调整方法中,可以通过将白名单以及黑名单中都不包括的请求类型对应的网络数据日志包发送至检测服务端进行检测,并根据检测结果,将网络数据日志包的请求类型动态添加至白名单或黑名单中,达到了动态调整黑白名单的内容的目的,提高了黑白名单随着时间的动态变化能力,从而增强了黑白名单的时效性,使得中控系统接入网络服务的灵活性提高,中控系统可以随着时间变化,不断接入新增的安全网络服务,提高了用户体验度。
附图说明
图1是本申请实施例提供的一种黑白名单的调整方法的系统架构图;
图2是本申请实施例提供的一种黑白名单的调整方法的流程示意图;
图3是本申请实施例提供的一种黑白名单的调整装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
参照图1,其示出了本申请实施例提供的一种黑白名单的调整方法的系统架构图。中控系统包括:网络协议栈、收集模块、处理模块、策略生成模块、iptables模块、netfilter模块、Linux内核模块,其中,本申请实施例的中控系统可以为基于Linux内核的系统,当然也可以为其他形式内核的系统,本申请实施例对此不做限定,网络数据日志包是提供网络服务的外部主机发送的日志形式的数据包,可以用于中控系统提供车载服务、进行车机升级等。
网络协议栈(Protocol stack),又称网络协议堆叠,是网络协议套件的一个具体的软件实现。网络协议套件中的一个协议通常是只为一个目的而设计的,这样可以使得设计更容易。因为每个协议模块通常都要和上下两个其他协议模块通信,它们通常可以想象成是网络协议栈中的层。最低级的网络协议总是描述与硬件的物理交互。每个高级的层次增加更多的特性。用户应用程序只是处理最上层的网络协议。
netfilter模块是Linux 2.4.x引入的一个位于内核空间的防火墙子系统,netfilter模块可以由信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。netfilter模块作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换和基于协议类型的连接跟踪成为了可能。netfilter的架构就是在整个网络流程的若干位置放置了一些检测点,而在每个检测点上登记了一些处理函数进行处理,由于netfilter提供了整个防火墙的框架,各个协议基于netfilter框架来实现自己的功能,每个协议都有独立的表来存储自己的配置信息,他们之间完全独立的进行配置和运行。
iptables模块可以被理解成一个客户端代理,具体是一种用户空间(userspace)的工具,用来插入、修改和除去信息包过滤表中的规则,用户可以通过iptables这个代理,将用户的安全设定执行到对应的netfilter框架中。
Linux内核模块为中控系统的操作系统内核,用于提供基础的操作系统内核框架。
本申请实施例中,在外部的网络数据日志包依次经过网络协议栈、防火墙netfilter模块到达车辆的中控系统的Linux内核模块之前,可以通过收集模块收集所有到达中控系统的网络数据日志包,之后收集模块可以将网络数据日志包发送至处理模块进行处理,处理模块可以通过netfilter模块中的白名单和黑名单实现对网络数据日志包进行基础过滤,白名单包括固定的若干个中控系统认为安全的访问主机的IP,例如,用于发送空中下载技术(Over-the-Air Technology,OTA)升级的升级请求的主机的IP。黑名单包括固定的若干个中控系统认为非安全的访问主机的IP,例如,已被证实用于发送恶意干扰请求的主机的IP。处理模块可以通过黑白名单,进行基础的网络数据日志包的过滤,如允许白名单内的主机IP发送的网络数据日志包经过防火墙进入Linux内核,阻止黑名单内的主机IP发送的网络数据日志包经过防火墙进入Linux内核等。
但是在实际应用中,若采用固定的白名单和黑名单,会大大限制车辆的中控系统接入网络服务的灵活性,导致中控系统的网络服务适用范围较窄,如,经过一段时间后,白名单和黑名单中的数据时效性变差,导致一些新的主机由于不存在于黑白名单中,而无法向中控系统提供服务。
本申请实施例中,为了解决上述问题,处理模块可以将不在白名单且不在黑名单的网络数据日志包的主机源IP地址发送至检测服务端,检测服务端用于提供恶意IP地址的检测服务,例如,一种情况下,可以通过检测IP地址是否是访问中控系统中不对外开放的网卡或端口的IP地址,若是,则为恶意地址;若不是,则为正常地址。另一种情况下,可以通过收集对该IP地址的反馈意见,判断该IP地址是否为恶意地址,若大量反馈意见指示该IP地址为恶意地址,则该IP地址为恶意地址。检测服务端检测后可以返回给处理模块一个源地址的检测结果。
进一步的,处理模块可以将源地址的检测结果发送至策略生成模块,在检测结果为源地址是安全地址的情况下,策略生成模块可以通过iptables模块,将该源地址以及对应访问的目标端口的标识作为请求类型写入白名单,以使得处理模块执行允许接收具有请求类型的网络数据日志包的策略;在检测结果为源地址是恶意地址的情况下,策略生成模块可以通过iptables模块,将该源地址以及对应访问的目标端口的标识作为请求类型写入黑名单,以使得处理模块执行拦截具有请求类型的网络数据日志包的策略。
本申请实施例中,可以通过将白名单以及黑名单中都不包括的请求类型对应的网络数据日志包发送至检测服务端进行检测,并根据检测结果,将网络数据日志包的请求类型动态添加至白名单或黑名单中,达到了动态调整黑白名单的内容的目的,提高了黑白名单随着时间的动态变化能力,从而增强了黑白名单的时效性,使得中控系统接入网络服务的灵活性提高,中控系统可以随着时间变化,不断接入新增的安全网络服务,提高了用户体验度。
参考图2,其示出了本申请实施例提供的一种黑白名单的调整方法的流程图。本实施例以该方法应用于车辆的中控系统,该方法包括:
步骤101,获取网络数据日志包,并提取所述网络数据日志包中的网络报文,所述网络报文包括源地址。
本申请实施例可以应用于车辆的中控系统,网络数据日志包是外部网络服务发送日志形式的数据包,可以用于中控系统提供车载服务、进行车机升级等。
具体的,可以基于图1提供的黑白名单的调整方法的系统架构,进行本申请实施例具体实现过程的描述,在外部的网络数据日志包依次经过网络协议栈、防火墙netfilter模块到达车辆的中控系统的Linux内核模块之前,可以通过收集模块获取所有通过网络协议栈到达中控系统的网络数据日志包。
进一步的,为了对网络数据日志包进行后续筛查过滤,首先需要获取外部主机发送网络数据日志包相关的参数,如外部主机的源地址、协议类型、目标端口等,这些参数都存在于网络数据日志包的网络报文中,因此可以通过提取网络数据日志包中的网络报文从而获得这些参数。
具体的,针对外部主机向中控系统发送数据的过程,数据自上而下每经过一层都必须在数据头部添加对应层的协议头和协议尾信息,数据在数据链路层传输的时候是以帧的形式传输,当一个帧被接受并提交到第二层处理:剥开帧头帧尾,则可以获得数据包;然后这个数据包被提交到第三层:通过识别包头,得到被数据包内部的信息,第三层结束以后把去掉报头的数据给第四层,这些数据就是报文。而针对中控系统接收外部主机发送的数据的过程,数据自下而上每经过一层又都必须解除前面那层所封装的协议头和协议尾信息,通过解封装网络数据日志包,可以得到报文的报头中包含的信息,其格式如下:
Source—Destination—Protoco—Source Port—Destination Port—Interface—Counts;
其中,Source:源地址;
Destination:目标地址;
Protocol:协议类型;
Source Port:源端口;
Destination Port:目标端口;
Interface:访问的车机网卡;
Counts:同一IP访问车机的次数。
步骤102,基于白名单以及黑名单中都不包括所述网络报文的请求类型,发送所述源地址,以供检测服务端在对所述源地址的安全性检测后返回检测结果。
在本申请实施例中,参照图1,中控系统可以通过处理模块,基于netfilter中的白名单和黑名单实现对网络数据日志包进行基础过滤,白名单包括固定的若干个中控系统认为安全的访问主机的IP。黑名单包括固定的若干个中控系统认为非安全的访问主机的IP,进行基础的网络数据日志包的过滤,如允许白名单内的主机IP发送的网络数据日志包经过防火墙进入Linux内核,阻止黑名单内的主机IP发送的网络数据日志包经过防火墙进入Linux内核等。
进一步的,随着时间的推移,可能会出现一些提供新的服务的外部主机,而这些外部主机的IP地址并不在白名单且不在黑名单上,为了识别这些外部主机的安全性,使得中控系统能够适应性的接入这些外部主机中安全的外部主机所提供的服务,参照图1,本申请实施例可以通过处理模块将不在白名单且不在黑名单上的网络数据日志包的主机源IP地址,发送至检测服务端,检测服务端用于提供恶意IP地址的检测服务,例如,一种情况下,可以通过检测IP地址是否是访问中控系统中不对外开放的网卡或端口的IP地址,若是,则为恶意地址;若不是,则为正常地址。另一种情况下,可以通过收集对该IP地址的反馈意见,判断该IP地址是否为恶意地址,若大量反馈意见指示该IP地址为恶意地址,则该IP地址为恶意地址。检测服务端检测后可以返回给处理模块一个源地址的检测结果。
步骤103、基于所述检测结果中所述源地址的安全性,在对应的所述黑名单或所述白名单中添加所述网络报文的请求类型。
在本申请实施例中,参照图1,检测服务端在对源地址的安全性检测后可以向中控系统的处理模块返回检测结果,检测结果包含了源地址的安全性,不同的检测结果对应了不同的名单,如,检测结果包括:源地址为安全地址,或源地址为恶意地址,由于黑名单为对应保存恶意地址的名单,白名单为对应保存安全地址的名单,则源地址为安全地址的检测结果对应白名单,源地址为恶意地址的检测结果对应黑名单,因此策略生成模块可以基于检测结果中源地址的安全性,在对应的名单中添加网络报文的请求类型,从而由处理模块进一步执行对包含该名单中请求类型的网络数据日志包的处理策略,即对发送该网络数据日志包的外部主机进行通信或断开通信。
可选的,步骤103具体可以包括:
子步骤1031,基于所述检测结果为所述源地址为安全地址,在所述白名单中添加所述网络报文的请求类型。
参照图1,在检测结果为源地址是安全地址的情况下,策略生成模块可以通过iptables模块,将该源地址以及对应访问的目标端口的标识作为请求类型写入白名单,以使得处理模块执行允许接收具有请求类型的网络数据日志包的策略。
子步骤1032,基于所述检测结果为所述源地址为恶意地址,在所述黑名单中添加所述网络报文的请求类型。
参照图1,在检测结果为源地址是恶意地址的情况下,策略生成模块可以通过iptables模块,将该源地址以及对应访问的目标端口的标识作为请求类型写入黑名单,以使得处理模块执行拦截具有请求类型的网络数据日志包的策略。
可选的,安全地址为请求访问对外开放的网卡和/或端口的地址;所述恶意地址为请求访问非对外开放的网卡和/或端口的地址。
在本申请实施例中。由于中控系统还可以与车辆内部的各个逻辑控制单元存在一定的关系,因此对于整个车辆的网络通信安全变得更加重要,而中控系统中存在各种涉及到网络通信安全的网卡或端口,基于安全考虑,这些网卡或端口可以不对外开放(如车内摄像头端口,用户数据传输网卡等),若源地址对应的外部主机请求访问这些非对外开放的网卡和/或端口,则可以认为外部主机的访问影响整个车辆的网络通信安全,可以将外部主机的源地址确定为恶意地址。若源地址对应的外部主机请求访问中控系统对外开放的网卡和/或端口,则可以认为外部主机的访问不影响整个车辆的网络通信安全,可以将外部主机的源地址确定为安全地址。
可选的,在步骤101之后,步骤102之前,还可以执行:基于所述白名单中不包括所述源地址,确定所述白名单中不包括所述网络报文的请求类型;以及执行:基于所述黑名单中不包括所述源地址,确定所述黑名单中不包括所述网络报文的请求类型。
在本申请实施例中,网络报文的报头中包含的信息,其格式如下:
Source—Destination—Protoco—Source Port—Destination Port—Interface—Counts;
其中,Source:源地址;Destination:目标地址;Protocol:协议类型;SourcePort:源端口;Destination Port:目标端口;Interface:访问的车机网卡;Counts:同一IP访问车机的次数,网络报文的请求类型包含了外部主机的源地址,以及外部主机请求访问的车辆的中控系统的目标端口。
可以看出,Source为外部主机的源地址,参照图1,若处理模块判断白名单中包括源地址,则可以认为该源地址的外部主机请求发送至车辆的中控系统的网络数据日志包当前受信任,若处理模块判断白名单中不包括源地址,则可以认为该源地址的外部主机请求发送至车辆的中控系统的网络数据日志包当前不受信任,因此,基于白名单中不包括源地址,可以在执行步骤102时确定白名单中不包括外部主机发送的网络数据日志包中网络报文的请求类型。
若处理模块判断黑名单中包括源地址,则可以认为该源地址的外部主机发送至车辆的中控系统的网络数据日志包当前需被拦截,若处理模块判断黑名单中不包括源地址,则可以认为该源地址的外部主机发送至车辆的中控系统的网络数据日志包当前不需被拦截,因此,基于黑名单中不包括源地址,可以在执行步骤102时确定黑名单中不包括外部主机发送的网络数据日志包中网络报文的请求类型。
进一步的,在一种优选实施方式中,由于网络报文中的Destination Port为外部主机请求访问的车辆的中控系统的目标端口,因此还可以结合外部主机的源地址的安全性,以及外部主机请求访问的目标端口的安全性,来进行黑白名单是否包括网络报文的请求类型的判断。若处理模块判断白名单中包括源地址和目标端口的标识,则可以认为该源地址的外部主机请求发送至中控系统的目标端口的网络数据日志包当前受信任,若处理模块判断白名单中不包括源地址和目标端口的标识,则可以认为该源地址的外部主机请求发送至中控系统的目标端口的网络数据日志包当前不受信任,因此,基于白名单中不包括源地址和目标端口的标识,也可以在执行步骤102时确定白名单中不包括外部主机发送的网络数据日志包中网络报文的请求类型。
若处理模块判断黑名单中包括源地址和目标端口的标识,则可以认为该源地址的外部主机请求发送至中控系统的目标端口的网络数据日志包当前需被拦截,若处理模块判断黑名单中不包括源地址和目标端口的标识,则可以认为该源地址的外部主机请求发送至中控系统的目标端口的网络数据日志包当前无需被拦截,例如,黑名单中包括外部主机的源地址,表示该外部主机为恶意地址对应的主机,其发送的数据需被拦截;黑名单中包括目标端口的标识,表示该目标端口为中控系统不对外开放的敏感端口(如摄像头接口),因此,基于黑名单中不包括源地址和目标端口的标识,也可以在执行步骤102时确定黑名单中不包括外部主机发送的网络数据日志包中网络报文的请求类型。
本申请实施例在结合了源地址和目标端口的标识进行黑白名单管理的方案下,可以在通过分析源地址的安全性的基础上,进一步通过结合外部主机访问的目标端口的安全性来过滤网络数据日志包,有效的实现了对中控系统中敏感端口的安全性管理,进一步提高了中控系统的通信安全。
可选的,在步骤101之后,步骤102之前,还可以执行:基于所述白名单中包括所述网络报文的请求类型,执行允许接收具有所述请求类型的网络数据日志包的策略。以及执行:基于所述黑名单中包括所述网络报文的请求类型,执行拦截具有所述请求类型的网络数据日志包的策略。
参照图1,若处理模块判断白名单中包括源地址以及目标端口的标识,则可以认为白名单中包括外部主机发送的网络数据日志包中网络报文的请求类型,该源地址的外部主机请求访问车辆的中控系统的目标端口的行为当前受信任,从而可以由防火墙netfilter执行允许接收具有请求类型的网络数据日志包的策略,使得网络数据日志包可以进入中控系统的Linux内核。
若处理模块判断黑名单中包括源地址以及目标端口的标识,则可以认为黑名单中包括外部主机发送的网络数据日志包中网络报文的请求类型,该源地址的外部主机请求访问车辆的中控系统的目标端口的行为当前需被拦截,从而可以由防火墙netfilter执行拦截具有请求类型的网络数据日志包的策略,阻止网络数据日志包进入中控系统的Linux内核。
可选的,网络报文还包括:所述源地址的访问次数;在步骤101之后,还可以依次执行步骤104和步骤105:
步骤104、根据所述网络报文包括的所述源地址的访问次数,统计预设时间周期内所述网络数据日志包的网络资源占用量。
在本申请实施例中,网络报文的报头中包含的信息,其格式如下:
Source—Destination—Protoco—Source Port—Destination Port—Interface—Counts;
其中,Counts为同一IP访问车机的次数,即网络报文包括的源地址的外部主机对中控系统的访问次数。基于该参数,可以统计预设时间周期内所述网络数据日志包的网络资源占用量,该网络资源占用量可以用于表征外部主机当前的网络带宽占用量。
步骤105、基于所述网络资源占用量大于或等于预设阈值,执行拦截所述网络数据日志包的策略,或执行对接收所述网络数据日志包的过程进行限速的策略。
在本申请实施例中,由于中控系统的网络带宽具有固定上限,若某一外部主机访问时的网络资源占用量过大,则会导致其他外部主机访问时的能够支配的网络带宽不足或过小,因此,可以在一个外部主机的网络资源占用量大于或等于预设阈值的情况下,执行拦截网络数据日志包的策略,或执行对接收所述网络数据日志包的过程进行限速的策略,以通过对网络资源占用量过大的外部主机进行数据拦截或限速,从而保障其他外部主机支配的网络带宽份额充足,提高中控系统的整体网络性能。
综上所述,本申请实施例提供的黑白名单的调整方法中,可以通过将白名单以及黑名单中都不包括的请求类型对应的网络数据日志包发送至检测服务端进行检测,并根据检测结果,将网络数据日志包的请求类型动态添加至白名单或黑名单中,达到了动态调整黑白名单的内容的目的,提高了黑白名单随着时间的动态变化能力,从而增强了黑白名单的时效性,使得中控系统接入网络服务的灵活性提高,中控系统可以随着时间变化,不断接入新增的安全网络服务,提高了用户体验度。
参考图3,其示出了本申请实施例提供的一种黑白名单的调整装置的结构框图。本实施例以该装置应用于车辆的中控系统,该装置包括:
收集模块201,用于获取网络数据日志包,并提取所述网络数据日志包中的网络报文,所述网络报文包括源地址;其中,收集模块201的具体执行过程可以参照图1对收集模块的描述。
处理模块202,用于在白名单以及黑名单中都不包括所述网络报文的请求类型的情况下,发送所述源地址,以供检测服务端在对所述源地址的安全性检测后返回检测结果;其中,处理模块202的具体执行过程可以参照图1对处理模块的描述。
策略生成模块203,用于基于所述检测结果中所述源地址的安全性,在对应的所述黑名单或所述白名单中添加所述网络报文的请求类型。其中,策略生成模块203的具体执行过程可以参照图1对策略生成模块的描述。
可选的,所述策略生成模块203,包括:
第一策略生成子模块,用于基于所述检测结果为所述源地址为安全地址在所述白名单中添加所述网络报文的请求类型;
第二策略生成子模块,用于基于所述检测结果为所述源地址为恶意地址,在所述黑名单中添加所述网络报文的请求类型。
可选的,所述网络报文还包括:目标端口的标识;
所述装置还包括:
第一确定模块,用于基于所述白名单中不包括所述源地址和所述目标端口的标识,确定所述白名单中不包括所述网络报文的请求类型;
第二确定模块,用于基于所述黑名单中不包括所述源地址或所述目标端口的标识,确定所述黑名单中不包括所述网络报文的请求类型。其中,第一确定模块和第二确定模块可以为嵌入图1中的处理模块以实现其部分功能的模块。
可选的,所述装置还包括:
第一执行模块,用于基于所述白名单中包括所述网络报文的请求类型,执行允许接收具有所述请求类型的网络数据日志包的策略;
第二执行模块,用于基于所述黑名单中包括所述网络报文的请求类型,执行拦截具有所述请求类型的网络数据日志包的策略。其中,第一执行模块和第二执行模块可以为嵌入图1中的处理模块以实现其部分功能的模块。
可选的,所述安全地址为请求访问对外开放的网卡和/或端口的地址;所述恶意地址为请求访问非对外开放的网卡和/或端口的地址。
可选的,所述网络报文还包括:所述源地址的访问次数;
所述装置还包括:
统计模块,用于根据所述网络报文包括的所述源地址的访问次数,统计预设时间周期内所述网络数据日志包的网络资源占用量;
拦截模块,用于基于所述网络资源占用量大于或等于预设阈值,执行拦截所述网络数据日志包的策略,或执行对接收所述网络数据日志包的过程进行限速的策略。
综上所述,本申请实施例提供的黑白名单的调整装置中,可以通过将白名单以及黑名单中都不包括的请求类型对应的网络数据日志包发送至检测服务端进行检测,并根据检测结果,将网络数据日志包的请求类型动态添加至白名单或黑名单中,达到了动态调整黑白名单的内容的目的,提高了黑白名单随着时间的动态变化能力,从而增强了黑白名单的时效性,使得中控系统接入网络服务的灵活性提高,中控系统可以随着时间变化,不断接入新增的安全网络服务,提高了用户体验度。
本申请实施例还提供了一种计算机可读介质,该计算机可读介质存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现如上各个实施例所述的黑白名单的调整方法。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现如上各个实施例所述的黑白名单的调整方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种黑白名单的调整方法,应用于车辆的中控系统,其特征在于,所述方法包括:
获取网络数据日志包,并提取所述网络数据日志包中的网络报文,所述网络报文包括源地址;
基于白名单以及黑名单中都不包括所述网络报文的请求类型,发送所述源地址,以供检测服务端在对所述源地址的安全性检测后返回检测结果;
基于所述检测结果中所述源地址的安全性,在对应的所述黑名单或所述白名单中添加所述网络报文的请求类型。
2.根据权利要求1所述的方法,其特征在于,所述基于所述检测结果中所述源地址的安全性,在对应的所述黑名单或所述白名单中添加所述网络报文的请求类型,以执行对具有所述请求类型的网络数据日志包的处理策略,包括:
基于所述检测结果为所述源地址为安全地址,在所述白名单中添加所述网络报文的请求类型;
基于所述检测结果为所述源地址为恶意地址,在所述黑名单中添加所述网络报文的请求类型。
3.根据权利要求1所述的方法,其特征在于,在所述获取网络数据日志包,并提取所述网络数据日志包中的网络报文之后,在基于白名单以及黑名单中都不包括所述网络报文的请求类型,发送所述源地址之前,所述方法还包括:
基于所述白名单中不包括所述源地址,确定所述白名单中不包括所述网络报文的请求类型;
基于所述黑名单中不包括所述源地址,确定所述黑名单中不包括所述网络报文的请求类型。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述白名单中包括所述网络报文的请求类型,执行允许接收具有所述请求类型的网络数据日志包的策略;
基于所述黑名单中包括所述网络报文的请求类型,执行拦截具有所述请求类型的网络数据日志包的策略。
5.根据权利要求2所述的方法,其特征在于,所述安全地址为请求访问对外开放的网卡和/或端口的地址;所述恶意地址为请求访问非对外开放的网卡和/或端口的地址。
6.根据权利要求1所述的方法,其特征在于,所述网络报文还包括:所述源地址的访问次数;
在所述获取网络数据日志包,并提取所述网络数据日志包中的网络报文之后,所述方法还包括:
根据所述网络报文包括的所述源地址的访问次数,统计预设时间周期内所述网络数据日志包的网络资源占用量;
基于所述网络资源占用量大于或等于预设阈值,执行拦截所述网络数据日志包的策略,或执行对接收所述网络数据日志包的过程进行限速的策略。
7.一种黑白名单的调整装置,应用于车辆的中控系统,其特征在于,所述装置包括:
收集模块,用于获取网络数据日志包,并提取所述网络数据日志包中的网络报文,所述网络报文包括源地址;
处理模块,用于基于白名单以及黑名单中都不包括所述网络报文的请求类型,发送所述源地址,以供所述检测服务端在对所述源地址的安全性检测后返回检测结果;
策略生成模块,用于基于所述检测结果中所述源地址的安全性,在对应的所述黑名单或所述白名单中添加所述网络报文的请求类型,以执行对具有所述请求类型的网络数据日志包的处理策略。
8.根据权利要求7所述的装置,其特征在于,所述策略生成模块,包括:
第一策略生成子模块,用于基于所述检测结果为所述源地址为安全地址在所述白名单中添加所述网络报文的请求类型,以执行允许接收具有所述请求类型的网络数据日志包的策略;
第二策略生成子模块,用于基于所述检测结果为所述源地址为恶意地址,在所述黑名单中添加所述网络报文的请求类型,以执行拦截具有所述请求类型的网络数据日志包的策略。
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器;所述存储器存储有至少一条指令,所述至少一条指令用于被所述处理器执行以实现如权利要求1至6任一所述的黑白名单的调整方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有至少一条指令,所述至少一条指令用于被处理器执行以实现如权利要求1至6任一所述的黑白名单的调整方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111418073.9A CN114257416B (zh) | 2021-11-25 | 2021-11-25 | 黑白名单的调整方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111418073.9A CN114257416B (zh) | 2021-11-25 | 2021-11-25 | 黑白名单的调整方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114257416A true CN114257416A (zh) | 2022-03-29 |
| CN114257416B CN114257416B (zh) | 2024-07-12 |
Family
ID=80793371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111418073.9A Active CN114257416B (zh) | 2021-11-25 | 2021-11-25 | 黑白名单的调整方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114257416B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024198812A1 (zh) * | 2023-03-29 | 2024-10-03 | 华为技术有限公司 | 源地址验证名单获取方法、装置、电子设备以及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
| CN103428185A (zh) * | 2012-05-24 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | 报文过滤/限速方法、系统及装置 |
| US20150178516A1 (en) * | 2013-12-23 | 2015-06-25 | Dropbox, Inc. | Restricting access to content |
| CN104901971A (zh) * | 2015-06-23 | 2015-09-09 | 北京东方棱镜科技有限公司 | 对网络行为进行安全分析的方法和装置 |
| US20170093866A1 (en) * | 2015-09-25 | 2017-03-30 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
| US20200304532A1 (en) * | 2017-12-15 | 2020-09-24 | Panasonic Intellectual Property Corporation Of America | Anomaly detection device, in-vehicle network system, and anomaly detection method |
-
2021
- 2021-11-25 CN CN202111418073.9A patent/CN114257416B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
| CN103428185A (zh) * | 2012-05-24 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | 报文过滤/限速方法、系统及装置 |
| US20150178516A1 (en) * | 2013-12-23 | 2015-06-25 | Dropbox, Inc. | Restricting access to content |
| CN104901971A (zh) * | 2015-06-23 | 2015-09-09 | 北京东方棱镜科技有限公司 | 对网络行为进行安全分析的方法和装置 |
| US20170093866A1 (en) * | 2015-09-25 | 2017-03-30 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
| US20200304532A1 (en) * | 2017-12-15 | 2020-09-24 | Panasonic Intellectual Property Corporation Of America | Anomaly detection device, in-vehicle network system, and anomaly detection method |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024198812A1 (zh) * | 2023-03-29 | 2024-10-03 | 华为技术有限公司 | 源地址验证名单获取方法、装置、电子设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114257416B (zh) | 2024-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US10454895B2 (en) | Method and apparatus for application awareness in a network | |
| CN111131310B (zh) | 访问控制方法、装置、系统、计算机设备和存储介质 | |
| EP2600588A2 (en) | Method and device for mandatory access control | |
| CN114338234A (zh) | 一种处理报文的方法及装置 | |
| CN114257416B (zh) | 黑白名单的调整方法及装置 | |
| CN114978610B (zh) | 一种流量传输控制方法、装置、设备及存储介质 | |
| CN109905352B (zh) | 一种基于加密协议审计数据的方法、装置和存储介质 | |
| CN111262782B (zh) | 一种报文处理方法、装置及设备 | |
| CN111447199A (zh) | 服务器的风险分析方法、服务器的风险分析装置及介质 | |
| CN115033407B (zh) | 一种适用于云计算的采集识别流量的系统和方法 | |
| CN114244555B (zh) | 一种安全策略的调整方法 | |
| CN109729043B (zh) | 阻止攻击消息的方法、装置和系统 | |
| CN115941795A (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN113965367A (zh) | 策略对象上限控制方法、系统、计算机及存储介质 | |
| CN114143048B (zh) | 一种安全资源管理的方法、装置及存储介质 | |
| CN116915503B (zh) | 一种违规外联检测方法及装置、存储介质及电子设备 | |
| CN113572700A (zh) | 流量检测方法、系统、装置及计算机可读存储介质 | |
| CN113872953B (zh) | 一种访问报文处理方法及装置 | |
| US20240163294A1 (en) | System and method for capturing malicious flows and associated context for threat analysis | |
| CN112702234A (zh) | 一种多网络连接设备的识别方法及装置 | |
| CN116032592A (zh) | 服务器的网络安全检测方法、装置及存储介质 | |
| CN117014225A (zh) | 报文内容解析方法、装置、电子设备及存储介质 | |
| CN117375857A (zh) | 一种报文处理方法、装置、系统及相关设备 | |
| CN114301890A (zh) | Web访问请求的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |