CN113839904B

CN113839904B - 基于智能网联汽车的安全态势感知方法和系统

Info

Publication number: CN113839904B
Application number: CN202010512660.3A
Authority: CN
Inventors: 阚志刚; 袁森; 卢佐华; 陈彪
Original assignee: Beijing Bangcle Technology Co ltd
Current assignee: Beijing Bangcle Technology Co ltd
Priority date: 2020-06-08
Filing date: 2020-06-08
Publication date: 2023-08-22
Anticipated expiration: 2040-06-08
Also published as: CN113839904A

Abstract

本说明书实施例公开了一种基于智能网联汽车的安全态势感知方法、系统、电子设备以及计算机可读存储介质。该方法包括：获取预设探针采集的智能网联汽车的目标信息；根据预设异常检测规则，检测目标信息中是否存在异常信息；若存在异常信息，将目标信息中的待检测信息输入至训练好的异常检测模型，得到目标信息中的待检测信息的异常检测结果；根据异常信息和异常检测结果，进行信息安全状态评估，以得到智能网联汽车的安全事件态势。

Description

基于智能网联汽车的安全态势感知方法和系统

技术领域

本说明书实施例涉及计算机技术领域，尤其涉及基于智能网联汽车的安全态势感知方法、系统、电子设备以及计算机可读存储介质。

背景技术

随着移动互联网的发展和嵌入式处理器性能的提升，车辆的智能化和网联化使汽车为用户提供更方便、更舒适的驾车体验。汽车的网联化和智能化在提供方便快捷的功能和高效信息通信服务的同时，也带来了更多的安全隐患。

虽然目前车载网关具有了根据功能域隔离网络的功能，就像防火墙一样，可以用来控制外部接口对车内网络的访问，以及车内不同功能域网络间的访问。但这种方式无法防控域内的攻击，例如，攻击者可以通过车载自动诊断系统(On-Board Diagnostics，OBD)接口进入信息娱乐域后，可以控制同一个域内的微控制单元(Microcontroller Unit，MCU)，进而通过控制信息娱乐域内的相关设备干扰驾驶人的正常驾驶、获取安全信息等，且由于网联化，在发生信息安全事件后，很容易通过网络波及同款、同厂商或同配件的车辆，使得信息安全风险变大，产生较高的信息安全隐患。

发明内容

本说明书实施例提供一种基于智能网联汽车的安全态势感知方法、系统、电子设备以及计算机可读存储介质，以解决智能网联汽车的信息安全风险大的问题。

本说明书实施例采用下述技术方案：

一种基于智能网联汽车的安全态势感知方法，包括：

获取预设探针采集的智能网联汽车的目标信息；所述目标信息包括：CAN总线的信号、MCU的网络流量信息和所述MCU的运行状态信息中的至少一种；

根据预设异常检测规则，检测所述目标信息中是否存在异常信息；

若存在异常信息，将所述目标信息中的待检测信息输入至训练好的异常检测模型，得到所述目标信息中的待检测信息的异常检测结果；其中，所述待检测信息包括所述目标信息中除所述异常信息以外的信息；

根据所述异常信息和所述异常检测结果，进行信息安全状态评估，以得到所述智能网联汽车的安全事件态势。

一种基于智能网联汽车的安全态势感知系统，包括：

探针信息获取模块，用于获取预设探针采集的智能网联汽车的目标信息；所述目标信息包括：CAN总线的信号、MCU的网络流量信息和所述MCU的运行状态信息中的至少一种；

异常信息检测模块，用于根据预设异常检测规则，检测所述目标信息中是否存在异常信息；

待检测信息检测模块，用于若存在异常信息，将所述目标信息中的待检测信息输入至训练好的异常检测模型，得到所述目标信息中的待检测信息的异常检测结果；其中，所述待检测信息包括所述目标信息中除所述异常信息以外的信息；

安全态势评估模块，用于根据所述异常信息和异常检测结果，进行信息安全状态评估，以得到所述智能网联汽车的安全事件态势。

本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：

基于异常检测规则和训练好的异常检测模型，不仅可以检测出目标信息中存在的异常信息，还可以对目标信息中除异常信息以外的待检测信息进行异常检测，并根据异常信息和异常检测结果，得到智能网联汽车的安全事件态势，并且由于预设探针可以实时采集目标信息，可以对预设探针采集的智能网联汽车的目标信息进行实时的异常检测，从而可以对智能网联汽车的运行过程中可能产生的信息安全事件进行实时的检测感知，提高信息安全事件检测能力。

附图说明

此处所说明的附图用来提供对本说明书实施例的进一步理解，构成本说明书实施例的一部分，本说明书实施例的示意性实施例及其说明用于解释本说明书实施例，并不构成对本说明书实施例的不当限定。在附图中：

图1为本说明书实施例提供的基于智能网联汽车的安全态势感知方法的流程示意图；

图2为本说明书实施例提供的基于智能网联汽车的安全态势感知系统的结构示意图；

图3为本说明书实施例提供的电子设备的结构示意图。

具体实施方式

为使本说明书实施例的目的、技术方案和优点更加清楚，下面将结合本说明书实施例具体实施例及相应的附图对本说明书实施例技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本说明书实施例一部分实施例，而不是全部的实施例。基于本说明书实施例中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本说明书实施例保护的范围。

以下结合附图，详细说明本说明书实施例各实施例提供的技术方案。

如图1所示，本说明书实施例提供了一种基于智能网联汽车的安全态势感知方法。该方法的执行主体包括但不限于服务器、个人电脑、笔记本电脑、平板电脑、智能手机等可以通过运行预定程序和指令来执行数值计算和/和逻辑计算等预定处理过程的智能电子设备。其中，所述服务器可以是单个网络服务器和者多个网络服务器组成的服务器组和基于云计算(Cloud Computing)的由大量计算机和网络服务器构成的云。本说明书实施例以执行主体为服务器进行说明。该方法的流程示意图如图1所示，包括下述步骤：

步骤11：获取预设探针采集的智能网联汽车的目标信息。

在实际应用中，目标信息可以包括：控制器局域网络(Controller Area Network,CAN)总线的信号、MCU的网络流量信息和MCU的运行状态信息中的至少一种。其中，MCU的网络流量信息可以包括协议类型、请求内容、请求频率、数据包大小等信息，MCU的运行状态信息可以包括进程信息、系统日志和网络连接信息，网络连接信息可以包括：网络连接的服务器地址。

这里的预设探针，可以是预先设置于智能网联汽车中用于采集目标信息的探针。在实际应用中，预设探针可以按照一定的时间间隔定时将采集到的目标信息通过超文本传输协议上报至服务器，当然也可以采用其它数据传输方式，对此本说明书实施例不做限制。

如上所述，目标信息可以包含多个，针对不同的目标信息可以采用对应的预设探针进行信息采集，在本说明书一个或多个实施例中，获取预设探针采集的智能网联汽车的目标信息，可以包括：获取预设信号探针捕捉的CAN总线上的信号，其中，预设信号探针预先可以部署于智能网联汽车的网关中；和/或，获取预设流量探针检测的MCU的网络流量信息，其中，预设流量探针可以预先部署于智能网联汽车中的网关中；和/或，获取预设运行状态探针采集的MCU的运行状态信息，其中，预设运行状态探针可以预先部署于智能网联汽车中的MCU中。

在实际应用中，可以将获取到的目标信息存储于数据库中，例如，可以是分布式数据库，以便于后续对目标信息进行异常检测。

在本说明书实施例中，通过预设在智能网联汽车的不同位置的探针，可以实现针对不同类型的目标信息分别进行信息的采集，提高信息采集的实时性和效率。在实际应用中，还可以先将各预设探针采集的信息进行汇总，再将汇总后的目标信息进行上报，以避免产生过多的信息上报请求，而使得数据传输负载过高。

步骤12：根据预设异常检测规则，检测目标信息中是否存在异常信息。

这里的预设异常检测规则，可以包括根据历史经验预先设置的用于检测目标信息中的异常信息的规则。如上文所述，目标信息可以包括CAN总线的信号、MCU的网络流量信息和MCU的运行状态信息中的至少一种，针对不同的目标信息可以预先设置不同的异常检测规则，则在本说明书一个或多个实施例中，根据预设异常检测规则，检测目标信息中是否存在异常信息，可以包括：

根据预设信号白名单和预设信号传输规则，检测CAN总线的信号中是否存在不在预设信号白名单中和不满足预设信号传输规则的异常信号；

基于深度包检测技术和预设异常流量检测规则，检测所述MCU的网络流量信息中是否存在不满足所述预设异常流量检测规则的异常流量；

基于预设进程白名单和预设资源占用率阈值，分析进程信息和系统日志，检测是否存在不在预设进程白名单中和资源占用率达到预设资源占用率阈值的异常进程；

根据预设路由和网络连接信息，检测MCU上应用程序的网络连接中是否存在不在预设路由中的异常连接。

在本说明书一个或多个实施例中，异常信息可以包括异常进程、异常连接、异常流量和异常信号。

在本说明书一个或多个实施例中，CAN总线上传输的信号可以是指CAN总线上传输的数据包，可以理解的是，不同的信号可以是指不同的数据包。

其中，预设信号白名单可以包括智能网联汽车在正常运行情况下CAN总线上传输的信号。若检测CAN总线的信号中存在不在预设信号白名单中的信息，则该信号可以异常信号，例如，预设信号白名单可以包括信号1和信号2。若检测出CAN总线上的信号存在信号3，则该信号3可以是异常信号。

预设信号传输规则可以包括信号的正常传输行为，根据预设信号传输规则可以检测出不满足正常传输行为的信号，例如：智能车联网的娱乐功能模块发出信号的满足预设信号传输规则的正常信号传输行为可以是1212，而不满足预设信号传输规则的异常传输行为可以是12212，由于信号2出现了连续重复传输的异常行为，虽然信号2可以在预设信号白名单中，但该信号2不满足预设信号传输规则，则该信号2可以是异常信号。

在实际应用中，通过深度包检测技术，可以解析出网络流量信息中的协议类型、请求内容、请求频率、数据包大小等信息。再根据预设异常流量检测规则，分析协议类型、请求内容、请求频率和数据包大小等，将不满足预设异常流量检测规则的网络流量作为异常流量。其中，预设异常流量检测规则可以包括根据网络流量信息设置的用于检测出异常流量的规则，具体来说，预设异常流量检测规则可以包括根据请求内容判断是否打开了非法网站、根据请求频率判断请求的频率是否超过预设频率阈值、根据协议类型和与协议类型对应的数据包大小判断数据包大小是否超过预设值等。

可以理解的是，若请求打开非法网站，则请求内容中可以包含非法信息，则根据请求内容判断是否打开了非法网站，可以是通过请求内容中的非法信息判断是否打开了非法网站。在实际应用中，当某请求的请求频率超过正常频率，可能是非法者在利用该请求进行非法行为，例如，非法通过该请求传输安全信息数据，则可以将请求频率超过预设频率阈值的网络流量作为异常流量，其中预设频率阈值可以根据历史经验人工设置。

实际应用中，网络中数据传输的协议类型可以包括多种，例如，超文本传输((HyperText Transfer Protocol，HTTP)协议、消息队列遥测传输(Message QueuingTelemetry Transport，MQTT)协议，在正常的数据传输中，不同的协议类型可以对应不同的数据包大小，那么可以根据协议类型和预先设置的与协议类型对应的数据包大小，判断数据包大小是否超过预设值，将数据包大小超过预设值的网络流量作为异常流量，举例来说，预设HTTP协议的数据包不超过100KB，若检测出网络流量中存在HTTP协议的数据包超过100KB的流量，则该流量可以为异常流量。

在实际应用中，可以预先知晓安装在MCU上的应用程序在正常运行过程中的产生的进程名，则预设进程白名单中可以包括应用程序在正常运行过程中产生的进程名。根据采集的进程信息和系统日志，可以解析出进程的进程名和该进程的资源占用率，则可以将不在预设进程白名单内的进程名对应的进程作为异常进程。可以知晓，进程在运行过程中可以占用一定的中央处理器(Central Processing Unit，CPU)资源和内存资源，则该预设资源占用率阈值可以包括CPU占用率阈值和/或内存占用率阈值，例如，可以设置CPU占用率阈值和/或内存占用率阈值为90％，当某进程的CPU占用率阈值和/或内存占用率阈值超过90％，则可以认为该进程为异常进程。

在实际应用中，应用程序的网络连接的地址可能被非法者控制，而重定向到非法服务器的地址，由此可能通过网络连接下载非法软件，甚至感染病毒。如上文所述，网络连接信息可以包括网络连接的服务器地址等，这里的预设路由相当于服务器地址白名单，可以认为服务器地址白名单内的服务器地址是安全的地址，若检测出不在服务器地址白名单(预设路由)内的服务器地址，可以认为该请求可能连接到非法的服务器地址，由此可以将MCU上应用程序的网络连接中不在预设路由中的网络连接作为异常连接。

在本说明书实施例中，通过检测出异常信号、异常流量、异常连接和异常进程，可以实现多维度的综合检测，以提高异常信息的检测能力，进而提高之后进行信息安全状态评估的准确度。

步骤13：若存在异常信息，将目标信息中的待检测信息输入至训练好的异常检测模型，得到目标信息中的待检测信息的异常检测结果。

在实际应用中，通过步骤12可以检测出目标信息中的异常信息，这里的待检测信息可以包括目标信息中除异常信息以外的信息。

可以理解的是，由于异常检测规则可以是人工根据历史经验预先设置的，根据异常检测规则可能会产生遗漏，或者说，有些非法行为可能是根据异常检测规则无法检测出的。在本说明书一个或多个实施例中，可以基于机器学习算法训练异常检测模型，得到训练好的异常检测模型，从而可以智能化的对待检测信息进行异常检测。则，将目标信息中的待检测信息输入至训练好的异常检测模型，得到目标信息中的待检测信息的异常检测结果，可以包括：基于待检测信息生成输入特征信息，并输入至训练好的异常检测模型中；通过训练好的异常检测模型，输出待检测信息的异常检测结果。

其中，机器学习算法可以采用随机森林算法、支持向量机算法、决策树算法等，对于采用何种机器学习算法本说明书实施例不做限制。在本说明书实施例中，对于训练异常检测模型的方法可以采用现有的模型训练方法，在此不做赘述。在实际应用中，目标信息可以是文本信息，在输入至训练好的异常检测模型前，可以对目标信息进行特征向量提取，生成输入特征信息，以便于训练好的异常检测模型进行更有效的计算处理。其中，基于目标信息为文本信息的特点，提取目标信息的特征向量可以是采用word2vec进行特征向量的提取，当然也可以采用其它提取特征向量的方法，对此本说明书实施例不做限制。

可以理解的是，异常信息在目标信息中的占比较小，待检测信息的占比较大，通过机器学习的方式，例如，聚类或分类的方式，可以实现从大量的待检测信息中检测出异常类别，异常类别对应的待检测信息可以是训练好的异常检测模型输出的待检测信息的异常检测结果。在实际应用中，异常检测结果可以是由训练好的异常检测模型输出的由数字或字符组成结果，例如，可以用1代表该条待检信息为确定异常类别、0.5代表不确认异常类别、0代表非异常类别等，通过不同的数值还可以反映不同的异常程度。在本说明书实施例中，可以采用数字的代表异常检测结果，便于之后根据异常检测结果得到态势感知指数

在本说明书实施例中，通过训练好的异常检测模型，可以对目标信息中除异常信息的待检测信息进行异常检测，以检测出待检信息中的异常类别，以尽可能全面的对目标信息进行检测，使得信息安全状态的评估更加全面，进而可以提高判断信息安全事件的准确度。

步骤14：根据异常信息和异常检测结果，进行信息安全状态评估，以得到智能网联汽车的安全事件态势。

这里的异常信息可以是步骤12检测出的。这里的异常检测结果可以是通过步骤13得到的。

在实际应用中，不同的安全事件可能波及的范围不同、严重程度不同，即，智能网联汽车的安全事件态势不同，则在本说明书一个或多个实施例中，可以根据异常信息和异常检测结果，进行信息安全状态评估，以得到智能网联汽车的安全事件态势，可以包括：

根据预设安全性评估标准，对异常信息进行量化评估，得到评估值；

对评估值和异常检测结果进行加权求和，得到态势感知指数。

预设安全性评估标准可以是通用的信息的安全性评估标准，例如，可以是信息技术安全评价通用准则(The Common Criteria for Information Technology securityEvaluation，CC)，简称CC标准。当然可以采用其它安全性评估标准，对此本说明书实施例不做限制。

根据预设安全性评估标准，可以对异常信息进行量化评估，得到评估值，可以理解为，根据预设安全性评估标准对异常信息进行评分，不同的评分可以对应不同的安全风险程度。

如上文所述，通过训练好的异常检测模型输出的异常检测结果可以是由数字组成的，不同的数字可以代表不同的异常程度，相当于对不同异常程度的待检测信息进行的评分。

通过对评估值和异常检测结果进行加权求和，可以得到态势感知指数，其中，态势感知指数可以用于指示智能网联汽车的安全事件的安全事件态势，安全事件包括与异常信息和/或异常检测结果对应的事件。可以理解为，通过态势感知指数可以对不同安全事件态势的影响范围、严重程度等进行量化，以便于之后可以根据态势感知指数进行安全事件的预警处理。

在本说明书实施例中，可以将信息安全状态评估的评估结果、态势感知指数等安全态势感知的相关信息存储于数据库中，以便于之后根据信息安全状态评估结果、态势感知指数等进行预警和展示。

在实际应用中，异常信息和/或异常检测结果对应的事件中可能包含无安全风险的事件，在本说明书一个或多个实施例中，可以基于态势感知指数，结合安全事件的产生时间、产生安全事件时智能网联汽车的地理位置和智能网联汽车的车辆信息，确定安全事件中具有信息安全风险的风险事件，根据风险事件所对应的态势感知指数，进行风险事件的预警。

其中，安全事件的产生时间可以是预设探针采集到安全事件对应的目标信息的时间，安全事件产生时智能网联汽车的地理位置可以是通过全球定位系统(GlobalPositioning System，GPS)获得安全事件产生时的智能网联汽车的定位，智能网联汽车的车辆信息可以包括车辆是否在行驶中、车辆的行驶速度等信息，在实际应用中，车辆信息可以通过在微处理器中置入的探针获取，通过植入的探针可以获取车辆的型号、厂商、行驶速度、是否在行驶中以及行驶公里等信息。

在实际应用中，结合安全事件的产生时间、智能网联汽车的地理位置和智能网联汽车的车辆信息，确定安全事件中具有信息安全风险的风险事件，可以是按照预设的过滤逻辑，过滤掉安全事件的产生时间、智能网联汽车的地理位置和车辆信息中符合过滤逻辑的安全事件，或者说，过滤掉不符合正常逻辑的安全事件，例如，安全事件产生时智能网联汽车的地理位置在海里、或车辆未在行驶中而地理位置不断变化、或一段产生时间内对应的地理位置变化较大等。

在本说明书实施例中，通过结合安全事件的产生时间、安全事件产生时智能网联汽车的地理位置和智能网联汽车的车辆信息，可以将安全事件中没有安全风险的事件进行过滤，从而可以准确得到安全事件中具有安全风险的风险事件。

可以理解的是，不同的风险事件的风险等级不同，或者说，影响范围和严重程度不同，例如，风险事件A可以迅速波及的同款车型的智能网联汽车，且非法获取车辆的安全信息，风险事件B只涉及某辆智能网联汽车的信息安全，而无法快速传播至其它智能网联汽车，那么风险事件A的影响范围和严重程度可以比风险事件B高，反应到态势感知指数中，可以是态势感知系数与风险事件的影响范围和严重程度正相关，即，态势感知系数越大，风险事件的影响范围越广、严重程度越高。当然也可以是负相关，对此本说明书实施例不做限制。

在实际应用中，根据风险事件所对应的态势感知指数，进行风险事件的预警，可以实现根据不同态势感知指数采取不同的预警方案，或者说，根据风险事件的影响范围和严重程度采取不同的预警方案。例如，风险事件A对应的态势感知指数较高，这可能意味着风险事件可能会由单一车辆传播到同型号的其它车辆，与该较高的态势感知指数对应的预警方案可以是向车企发出紧急预警，使车企可以快速给出补救的方案，而由于风险扩散需要一定时间，从而可以尽可能避免风险事件的传播扩散，以降低信息安全风险，再例如，风险事件B对应的态势感知指数较低，该较低的态势感知指数对应的预警方法可以是通过车机显示屏幕、移动通信等方式通知车主采取措施。

在实际应用中，还可以通过可视化展示工具，由通用报表生成软件、图形生成软件、地理地图态势展示软件以及通用数据库查询工具等将智能网联汽车的安全事件态势进行可视化展示，使得车企相关人员可以直观地了解智能网联汽车的安全态势，以便于针对可能产生的风险事件迅速做出决策。

在本说明书实施例中，基于异常检测规则和训练好的异常检测模型，不仅可以检测出目标信息中存在的异常信息，还可以对目标信息中除异常信息以外的待检测信息进行异常检测，并根据异常信息和异常检测结果，可以全面准确的得到智能网联汽车的安全事件态势，并且由于预设探针可以实时采集目标信息，可以对预设探针采集的智能网联汽车的目标信息进行实时的异常检测，从而可以对智能网联汽车的运行过程中可能产生的信息安全事件进行实时的检测感知，提高信息安全事件检测能力。

以上为本说明书实施例所提供的基于智能网联汽车的安全态势感知方法，基于相同的发明构思，本说明书实施例还提供了相应的基于智能网联汽车的安全态势感知系统。如图2所示，该系统具体包括：

探针信息获取模块21，用于获取预设探针采集的智能网联汽车的目标信息；所述目标信息包括：CAN总线的信号、MCU的网络流量信息和所述MCU的运行状态信息中的至少一种；

异常信息检测模块22，用于根据预设异常检测规则，检测所述目标信息中是否存在异常信息；

待检测信息检测模块23，用于若存在异常信息，将所述目标信息中的待检测信息输入至训练好的异常检测模型，得到所述目标信息中的待检测信息的异常检测结果；其中，所述待检测信息包括所述目标信息中除所述异常信息以外的信息；

安全态势评估模块24，用于根据所述异常信息和异常检测结果，进行信息安全状态评估，以得到所述智能网联汽车的安全事件态势。

上述系统实施例的具体工作流程可以包括：探针信息获取模块21，获取预设探针采集的智能网联汽车的目标信息；异常信息检测模块22，根据预设异常检测规则，检测所述目标信息中是否存在异常信息；待检测信息检测模块23，用于若存在异常信息，将所述目标信息中的待检测信息输入至训练好的异常检测模型，得到所述目标信息中的待检测信息的异常检测结果；安全态势评估模块24，根据所述异常信息和异常检测结果，进行信息安全状态评估，以得到所述智能网联汽车的安全事件态势。

在一种实施方式中，探针信息获取模块21，包括：

第一获取单元，用于获取预设信号探针捕捉的所述CAN总线上的信号，其中，所述预设信号探针预先部署于所述智能网联汽车的网关中；

和/或，第二获取单元，用于获取预设流量探针检测的所述MCU的网络流量信息，其中，所述预设流量探针预先部署于所述智能网联汽车中的网关中；

和/或，第三获取单元，用于获取预设运行状态探针采集的所述MCU的运行状态信息，其中，所述预设运行状态探针预先部署于所述智能网联汽车中的MCU中。

在一种实施方式中，所述异常信息检测模块22，包括：

异常信号检测单元，用于根据预设信号白名单和预设信号传输规则，检测所述CAN总线的信号中是否存在不在所述预设信号白名单中和不满足所述预设信号传输规则的异常信号；

异常流量检测单元，用于基于深度包检测技术和预设异常流量检测规则，检测所述MCU的网络流量信息中是否存在不满足所述预设异常流量检测规则的异常流量；所述异常信息包括所述异常信号和所述异常流量。

在一种实施方式中，所述运行状态信息包括：进程信息、系统日志和网络连接信息，则异常信息检测模块22，包括：

异常进程检测单元，用于基于预设进程白名单和预设资源占用率阈值，分析所述进程信息和系统日志，检测是否存在不在所述预设进程白名单中和资源占用率达到所述预设资源占用率阈值的异常进程；

异常连接检测单元，用于根据预设路由和所述网络连接信息，检测MCU上应用程序的网络连接中是否存在不在所述预设路由中的异常连接；所述异常信息包括所述异常进程和所述异常连接。

在一种实施方式中，所述训练好的异常检测模型为基于机器学习算法训练得到的异常检测模型，则，待检测信息检测模块23，包括：

输入单元，用于基于所述待检测信息生成输入特征信息，并输入至所述训练好的异常检测模型中；

输出单元，用于通过所述训练好的异常检测模型，输出所述待检测信息的异常检测结果。

在一种实施方式中，安全态势评估模块24，包括：

量化评估单元，用于据预设安全性评估标准，对所述异常信息进行量化评估，得到评估值；

加权求和单元，用于对所述评估值和所述异常检测结果进行加权求和，得到态势感知指数；其中，所述态势感知指数用于指示所述智能网联汽车的安全事件的安全事件态势，所述安全事件包括与所述异常信息和/或所述异常检测结果对应的事件。

在一种实施方式中，所述装置，还可以包括：

风险预警模块，用于基于所述态势感知指数，结合所述安全事件的产生时间、产生安全事件时所述智能网联汽车的地理位置和所述智能网联汽车的车辆信息，确定所述安全事件中具有信息安全风险的风险事件；根据所述风险事件所对应的态势感知指数，进行风险事件的预警。

在一种实施方式中，所述装置，还可以包括：

安全态势展示模块，用于通过可视化展示工具，结合通用报表生成软件、图形生成软件、地理地图态势展示软件以及通用数据库查询工具，将智能网联汽车的安全事件态势进行可视化展示。

在一种实施方式中，所述装置，还可以包括：

安全态势存储模块，用于将所述目标信息、所述智能网联汽车的安全事件态势存储于数据库中。

本说明书实施例还提出了一种电子设备，示意图请参考图3，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是ISA(Industry Standard Architecture，工业标准体系结构)总线、PCI(PeripheralComponent Interconnect，外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图3中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。

处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成应用基于智能网联汽车的安全态势感知系统。处理器，执行存储器所存放的程序，并至少用于执行以下操作：

上述如本说明书实施例图1所示实施例揭示的基于智能网联汽车的安全态势感知系统执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application SpecificIntegrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

该电子设备还可执行图1中基于智能网联汽车的安全态势感知系统执行的方法，并实现基于智能网联汽车的安全态势感知系统在图1所示实施例的功能，本说明书实施例在此不再赘述。

本说明书实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的电子设备执行时，能够使该电子设备执行图1所示实施例中基于智能网联汽车的安全态势感知系统执行的方法，并至少用于执行：

本领域内的技术人员应明白，本说明书实施例的实施例可提供为方法、系统、或计算机程序产品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书实施例是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。

这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品，该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其它数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其它类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其它内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其它光学存储、磁盒式磁带，磁带磁磁盘存储或其它磁性存储设备或任何其它非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上仅为本说明书实施例的实施例而已，并不用于限制本说明书实施例。对于本领域技术人员来说，本说明书实施例可以有各种更改和变化。凡在本说明书实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书实施例的权利要求范围之内。

Claims

1.一种基于智能网联汽车的安全态势感知方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述获取预设探针采集的智能网联汽车的目标信息，包括：

获取预设信号探针捕捉的所述CAN总线上的信号，其中，所述预设信号探针预先部署于所述智能网联汽车的网关中；和/或，获取预设流量探针检测的所述MCU的网络流量信息，其中，所述预设流量探针预先部署于所述智能网联汽车中的网关中；和/或，获取预设运行状态探针采集的所述MCU的运行状态信息，其中，所述预设运行状态探针预先部署于所述智能网联汽车中的MCU中。

3.如权利要求1所述的方法，其特征在于，所述根据预设异常检测规则，检测所述目标信息中是否存在异常信息，包括：

根据预设信号白名单和预设信号传输规则，检测所述CAN总线的信号中是否存在不在所述预设信号白名单中和不满足所述预设信号传输规则的异常信号；

所述异常信息包括所述异常信号和所述异常流量。

4.如权利要求3所述的方法，其特征在于，所述运行状态信息包括：进程信息、系统日志和网络连接信息，则，所述根据预设异常检测规则，检测所述目标信息中是否存在异常信息，包括：

基于预设进程白名单和预设资源占用率阈值，分析所述进程信息和系统日志，检测是否存在不在所述预设进程白名单中和资源占用率达到所述预设资源占用率阈值的异常进程；

根据预设路由和所述网络连接信息，检测MCU上应用程序的网络连接中是否存在不在所述预设路由中的异常连接；

所述异常信息包括所述异常进程和所述异常连接。

5.如权利要求1所述的方法，其特征在于，所述训练好的异常检测模型为基于机器学习算法训练得到的异常检测模型，则，将所述目标信息中的待检测信息输入至训练好的异常检测模型，得到所述目标信息中的待检测信息的异常检测结果，包括：

基于所述待检测信息生成输入特征信息，并输入至所述训练好的异常检测模型中；

通过所述训练好的异常检测模型，输出所述待检测信息的异常检测结果。

6.如权利要求1所述的方法，其特征在于，根据所述异常信息和异常检测结果，进行信息安全状态评估，以得到所述智能网联汽车的安全事件态势，包括：

根据预设安全性评估标准，对所述异常信息进行量化评估，得到评估值；

对所述评估值和所述异常检测结果进行加权求和，得到态势感知指数；其中，所述态势感知指数用于指示所述智能网联汽车的安全事件的安全事件态势，所述安全事件包括与所述异常信息和/或所述异常检测结果对应的事件。

7.如权利要求6所述的方法，其特征在于，所述方法还包括：

基于所述态势感知指数，结合所述安全事件的产生时间、产生安全事件时所述智能网联汽车的地理位置和所述智能网联汽车的车辆信息，确定所述安全事件中具有信息安全风险的风险事件；

根据所述风险事件所对应的态势感知指数，进行风险事件的预警。

8.一种基于智能网联汽车的安全态势感知系统，其特征在于，包括：

9.一种电子设备，其特征在于，包括：存储器、处理器及存储在所在存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的基于智能网联汽车的安全态势感知方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的基于智能网联汽车的安全态势感知方法的步骤。