CN115150198A - 车载入侵检测系统、方法、电子设备及存储介质 - Google Patents

车载入侵检测系统、方法、电子设备及存储介质 Download PDF

Info

Publication number
CN115150198A
CN115150198A CN202211063805.1A CN202211063805A CN115150198A CN 115150198 A CN115150198 A CN 115150198A CN 202211063805 A CN202211063805 A CN 202211063805A CN 115150198 A CN115150198 A CN 115150198A
Authority
CN
China
Prior art keywords
module
data
intrusion
application running
running information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211063805.1A
Other languages
English (en)
Other versions
CN115150198B (zh
Inventor
朱智力
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guoqi Intelligent Control Beijing Technology Co Ltd
Original Assignee
Guoqi Intelligent Control Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guoqi Intelligent Control Beijing Technology Co Ltd filed Critical Guoqi Intelligent Control Beijing Technology Co Ltd
Priority to CN202211063805.1A priority Critical patent/CN115150198B/zh
Publication of CN115150198A publication Critical patent/CN115150198A/zh
Application granted granted Critical
Publication of CN115150198B publication Critical patent/CN115150198B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/215Flow control; Congestion control using token-bucket
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Traffic Control Systems (AREA)

Abstract

本申请涉及信息安全技术领域,提供一种车载入侵检测系统、方法、电子设备及存储介质,该系统包括初检模块、二次确认模块、数据收集模块、处理模块和连接各个模块的调度队列;每一模块对应有利用预定义模型分配的符合业务场景需求的线程数;初检模块用于利用第一数量的线程采集车联网终端的应用运行信息,并利用第一调度队列进行传输;二次确认模块用于利用第二数量的线程接收应用运行信息,并判断车联网终端是否被入侵;数据收集模块用于在确定车联网终端被入侵后,基于第二调度队列以及第三数量的线程收集入侵数据,并利用第三调度队列进行传输;处理模块用于利用第四数量的线程接收入侵数据,并生成安全策略,从而合理分配各个阶段的系统资源。

Description

车载入侵检测系统、方法、电子设备及存储介质
技术领域
本申请涉及信息安全技术领域,尤其涉及一种车载入侵检测系统、方法、电子设备及存储介质。
背景技术
随着智能化、网联化的发展,汽车系统面临越来越严重的信息安全问题,入侵检测系统在车载控制器的应用也越来越广泛,入侵检测系统(Intrusion Detection System,IDS)是一种可以保护汽车安全的技术,其工作原理是对汽车联网进行监控,检测并拦截其中的恶意行为。
现有技术,车载入侵检测系统可以基于接收到的新消息,并提取新消息的标识和时间戳,根据标识确定对应的时间信息,进而可以根据时间戳和时间信息,按照预设的检测条件,检测新消息是否发生异常,以此判断是否发生车载入侵。
但是,在车载系统有限的系统资源下,上述车载入侵检测系统对各个阶段资源分配不合理,容易导致系统资源不均衡,从而影响车载系统在安全方面的性能。
发明内容
本申请提供一种车载入侵检测系统、方法、电子设备及存储介质,可以解决车载入侵检测系统对系统资源分配不均衡的问题,进而实现入侵检测资源消耗控制,使得合理分配各个阶段的系统资源,进而提高车载系统在安全方面的性能。
第一方面,本申请提供一种车载入侵检测系统,所述车载入侵检测系统包括初检模块、二次确认模块、数据收集模块、处理模块和连接各个模块的调度队列;每一模块对应有利用预定义模型分配的符合业务场景需求的线程数;
所述初检模块,用于利用第一数量的线程采集车联网终端的应用运行信息,并利用第一调度队列将所述应用运行信息传输至所述二次确认模块;
所述二次确认模块,用于利用第二数量的线程接收所述应用运行信息,并利用所述应用运行信息判断所述车联网终端是否被入侵;
所述数据收集模块,用于在确定所述车联网终端被入侵后,基于第二调度队列以及第三数量的线程收集入侵数据,并利用第三调度队列将所述入侵数据传输至所述处理模块;
所述处理模块,用于利用第四数量的线程接收所述入侵数据,并基于所述入侵数据生成安全策略。
可选的,所述第一调度队列包括判断单元、传输单元和禁止单元;
所述判断单元,用于判断缓存队列是否存在剩余空间;所述缓存队列用于缓存初检模块采集的应用运行信息;
所述传输单元,用于当缓存队列中存在剩余空间时,将所述应用运行信息写入所述缓存队列,基于令牌桶算法控制传输所述应用运行信息的数量,并将相应数量的应用运行信息传输至确定线程数的所述二次确认模块;
所述禁止单元,用于当缓存队列中不存在剩余空间时,禁止将所述应用运行信息写入所述缓存队列,直至所述缓存队列存在剩余空间。
可选的,所述传输单元基于令牌桶算法控制传输所述应用运行信息的数量,包括:
每隔预设时间,向令牌桶中添加一个令牌,并获取添加令牌后令牌桶中对应的令牌数量,所述令牌用于指示执行传输过程;
判断所述令牌数量是否多于第一阈值;
若是,则丢弃多于所述第一阈值相应数量的令牌,并基于所述缓存队列中的数据量和令牌桶中的令牌数量控制传输所述应用运行信息的数量;
若否,则基于所述缓存队列中的数据量和令牌桶中的令牌数量控制传输所述应用运行信息的数量;
其中,每进行一次数据传输,令牌桶中对应的令牌数量减1。
可选的,所述传输单元基于所述缓存队列中的数据量和令牌桶中的令牌数量控制传输所述应用运行信息的数量,包括:
获取所述缓存队列中存储应用运行信息的数据量,并判断所述数据量是否大于第二阈值;
若是,则阻塞将所述应用运行信息传输至确定线程数的所述二次确认模块;
若否,则基于所述令牌桶中的令牌数量确定所述缓存队列中的可进行传输的所述应用运行信息的数量,并在传输相应数量的应用运行信息后,从所述令牌桶中取走相应数量的令牌。
可选的,所述二次确认模块,具体用于:
获取预定义规则;所述预定义规则包括:存在于白名单、未存在重复信息、运行参数位于运行范围;
判断所述应用运行信息是否满足预定义规则;
若否,则确定所述车联网终端被入侵;
若是,则确定所述车联网终端没有被入侵。
可选的,所述第二调度队列,用于:
将所述入侵数据传输至确定线程数的所述数据收集模块,以使所述数据收集模块对入侵数据进行存储;所述入侵数据为基于所述车联网终端被入侵时对应的应用运行信息确定的,所述入侵数据包括车联网终端运行过程中出现异常的运行参数。
可选的,所述处理模块,具体用于:
获取所述入侵数据对应的类型,并基于所述类型从预设策略表中调用对应的安全策略。
可选的,所述车载入侵检测系统还包括告警模块,所述告警模块,用于:
将生成的安全策略发送给所述车联网终端,以使所述车联网终端执行所述安全策略;
在将所述安全策略发送给所述车联网终端后,利用所述应用运行信息生成告警信息,并将所述告警信息发送给用户的终端设备,以提醒用户所述车联网终端存在入侵行为。
第二方面,本申请提供一种车载入侵检测方法,应用于车载入侵检测系统,所述车载入侵检测系统包括初检模块、二次确认模块、数据收集模块、处理模块和连接各个模块的调度队列;每一模块对应有利用预定义模型分配的符合业务场景需求的线程数;所述方法包括:
通过所述初检模块,利用第一数量的线程采集车联网终端的应用运行信息,并利用第一调度队列将所述应用运行信息传输至所述二次确认模块;
通过所述二次确认模块,利用第二数量的线程接收所述应用运行信息,并利用所述应用运行信息判断所述车联网终端是否被入侵;
通过所述数据收集模块,在确定所述车联网终端被入侵后,基于第二调度队列以及第三数量的线程收集入侵数据,并利用第三调度队列将所述入侵数据传输至所述处理模块;
通过所述处理模块,利用第四数量的线程接收所述入侵数据,并基于所述入侵数据生成安全策略。
第三方面,本申请提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第二方面所述的方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第二方面中所述的方法。
综上所述,本申请提供一种车载入侵检测系统、方法、电子设备及存储介质,该车载入侵检测系统包括初检模块、二次确认模块、数据收集模块、处理模块和连接各个模块的调度队列;每一模块对应有利用预定义模型分配的符合业务场景需求的线程数;具体的,初检模块利用第一数量的线程采集车联网终端的应用运行信息,并利用第一调度队列将应用运行信息传输至二次确认模块;进一步的,二次确认模块利用第二数量的线程接收应用运行信息,并利用应用运行信息判断车联网终端是否被入侵;进一步的,数据收集模块在确定车联网终端被入侵后,基于第二调度队列以及第三数量的线程收集入侵数据,并利用第三调度队列将入侵数据传输至处理模块;进一步的,处理模块利用第四数量的线程接收入侵数据,并基于入侵数据生成安全策略。这样,基于对入侵检测过程划分为多个可以并发处理的模块,并合理分配模块对应的系统资源和调度队列资源,满足车载入侵检测高性能,进而实现入侵检测资源消耗控制,达成合理资源消耗和检测效率平衡。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例提供的一种车载入侵检测系统的结构示意图;
图3为本申请实施例提供的一种流水线调度模型的应用示意图;
图4为本申请实施例提供的一种全并行调度模型的应用示意图;
图5为本申请实施例提供的一种调度队列进行调度的流程示意图;
图6为本申请实施例提供的一种调度队列写入消息的流程示意图;
图7为本申请实施例提供的一种调度队列读取消息的流程示意图;
图8为本申请实施例提供的一种具体的车载入侵检测系统的结构示意图;
图9为本申请实施例提供的一种车载入侵检测方法的流程示意图;
图10为本申请实施例提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。例如,第一设备和第二设备仅仅是为了区分不同的设备,并不对其先后顺序进行限定。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
车载入侵检测系统是一种可以及时发现入侵行为,在入侵行为造成严重后果前及时阻断入侵的系统。
下面结合附图对本申请实施例进行介绍。图1为本申请实施例提供的一种应用场景示意图,本申请提供的一种车载入侵检测系统可以应用于如图1所示的应用场景中。该应用场景包括:汽车101和用户的终端设备102;具体的,汽车101中的电子控制单元(Electronic Control Unit,ECU)可以主动检测扫描运行程序和运行配置有无发生变更,运行程序如导航程序、自动驾驶程序等,所述运行配置是汽车101在行使过程中产生的配置文件,进一步的,在ECU确定运行程序和运行配置发生变更后,则收集可能的入侵行为,所述入侵行为为运行程序和运行配置发生变更的行为,如自动驾驶程序被篡改的行为,所述入侵行为对应有入侵数据,进一步的,ECU对入侵行为进行处理,确定汽车101是否发生车载入侵。
进一步的,若确定汽车101发生车载入侵,可以生成相应的安全策略,以使汽车101执行该安全策略,减少危险的发生,同时,在将安全策略发送给汽车101后,还可以利用入侵行为生成告警信息发送给用户的终端设备102进行显示,以使用户及时了解汽车101运行情况,若汽车101执行完安全策略后,还没有解决问题,则人工可以及时进行处理,该用户可以为驾驶人员也可以为开发人员,本申请实施例对此不做具体限定。
需要说明的是,该车载入侵检测系统也可以部署在外部服务器当中,通过网络实时收集汽车101发送的运行数据以及可能的入侵行为,对其进行处理,判断有无发生车载入侵,进而发送消息指令控制汽车101,本申请实施例对车载入侵检测系统的部署位置不做具体限定,其可以部署在汽车内部,也可以部署在汽车外部。
一种可能的实现方式中,车载入侵检测系统可以基于检测车辆状态改变的不同技术,并对不同技术的检测结果进行比较,发现汽车系统是否被入侵,具体的,车载入侵检测系统可以基于接收到的新消息,并提取新消息的标识和时间戳,根据标识确定对应的时间信息,进而可以根据时间戳和时间信息,按照预设的检测条件,检测新消息是否发生异常,以此判断是否发生车载入侵。
但是,在车载系统有限的系统资源下,上述车载入侵检测系统对各个阶段资源分配不合理,容易导致系统资源不均衡,如导致部分检测功能无法获取系统资源运行,甚至导致部分功能不可用,从而影响车载系统在安全方面的性能。
需要说明的是,汽车系统对于安全检测实时性的要求比非车端的要求更高,低效安全检测系统会导致安全检测不及时,因此需要一种高性能的安全检测系统对汽车系统进行安全检测,且不会影响到其他系统的正常运行。
针对上述问题,本申请提供一种车载入侵检测系统,该车载入侵检测系统按照检测阶段划分为不同的独立模块,并按照特定的模型如流水线模型赋予各个模块合适的线程数,各个模块间通过调度队列连接,通过调度队列管控每个模块的运行上限,依据特定的模型合理分配各个模块的线程数和调度队列资源,对收集的车联网终端的可能入侵行为进行检测,可以合理利用系统资源。其中,调度队列可以通过链路式反馈到最上层的入侵检测入口,从而在系统资源不足时抑制入侵检测运行,同时保证入侵行为对应的消息不丢失,并且在系统资源充足时,可以更高效的执行入侵行为检测处理,提高入侵检测的处理性能,满足车载入侵检测高性能。
示例性的,图2为本申请实施例提供的一种车载入侵检测系统的结构示意图;如图2所示,所述车载入侵检测系统包括初检模块、二次确认模块、数据收集模块、处理模块和连接各个模块的调度队列;每一模块对应有利用预定义模型分配的符合业务场景需求的线程数;
具体的,所述初检模块,用于利用第一数量的线程采集车联网终端的应用运行信息,并利用第一调度队列将所述应用运行信息传输至所述二次确认模块;
所述二次确认模块,用于利用第二数量的线程接收所述应用运行信息,并利用所述应用运行信息判断所述车联网终端是否被入侵;
所述数据收集模块,用于在确定所述车联网终端被入侵后,基于第二调度队列以及第三数量的线程收集入侵数据,并利用第三调度队列将所述入侵数据传输至所述处理模块;
所述处理模块,用于利用第四数量的线程接收所述入侵数据,并基于所述入侵数据生成安全策略。
其中,第一数量、第二数量、第三数量与第四数量为基于预定义模型为各个相对应模块分配的符合业务场景需求的线程的数量,其对应最佳的系统执行资源,本申请实施例对第一数量、第二数量、第三数量与第四数量对应的具体数值不做限定。
本申请实施例中,预定义模型可以指的是用于为各个模型分配符合业务场景需求对应的线程数而设定的模型,如流水线调度模型、全并行调度模型等,所述业务场景需求为车联网终端运行过程中的不同需求,如自动驾驶对应的业务需求,本申请实施例对预定义模型和业务场景需求不做具体限定。
可选的,所述流水线调度模型用于基于每个模块的运行周期比例进行线程资源配置,即某个模块刚执行完,与该模块相邻的下个模块立马接着执行,中间没有等待,提高处理性能。
示例性的,可以按照经验估算出入侵检测中符合业务场景需求的各个模块大致执行周期,进而为每个模块分配最佳的系统执行资源(线程数),如表1所示,各个模块的执行资源占比如下表:
表1
模块 执行资源占比 备注
初检模块 1 初检模块负责接收车联网终端的应用运行信息,可以根据不同的业务场景需求提高资源占比,进而提高该模块的响应速度,减少拥塞
二次确认模块 1 当二次确认模块执行过程包括互斥串行操作时,如分配计算资源较多,可以根据具体情况提高该模块的资源占比
数据收集模块 2 当数据收集模块执行过程包括互斥串行操作时,可以根据具体情况降低该模块的资源占比
处理模块 1 处理模块为逻辑计算模块,资源占比保持不变
需要说明的是,上述表1是按照经验估算出各个模块运行时长的比例,进而为模块分配符合业务场景需求的资源占比,在为各个模块分配符合业务场景需求的资源占比时,也可以按照预设表中规定的运行时长为各个模块分配资源占比,即在不同的业务场景下,提前定义好各个模块的运行时长,在获取到车联网终端的业务场景需求后,直接从预设表中查找对应的各个模块的运行时长,进而基于查找到的运行时长为各个模块分配资源占比,本申请实施例对如何获取各个模块在不同业务场景下运行时长不走具体限定。
示例性的,图3为本申请实施例提供的一种流水线调度模型的应用示意图,如图3所示,线程分配按照各个模块运行时长的比例进行分配,即每个模块运行平均时长都T,每经过时长T便可以完成单次检测调度,并且流水线越多,检测速率越快。
具体的,初检模块、二次确认模块、数据收集模块、处理模块的执行时长分别为T/T/2T/T,该4个模块执行时长比例1:1:2:1,进而可以计算出流水线总耗时,流水线总耗时越小,其处理性能越好;假设共有N个检测事件,建设有m条流水线,则分配总的线程数为Ct_flow=(1+1+2+1)*m=5m;流水线准备阶段耗时为tprepareT=T+T+2T=4T;流水线运行阶段中单条流线水每次检测耗时为trunT=2T/2=T;流水线总耗时为tflowT=N*trunT/m+tprepareT=N/m*T+4T=5N/Ct_flow*T+4T;约束条件为N≥m≥1,即5N≥Ct_flow≥5。
需要说明的是,流水线调度模型分为准备阶段和运行阶段,准备阶段耗时tprepareT可以指的是流水线第1个模块调度执行到最后一个模块的耗时;运行阶段trun可以指的是间隔最长模块完成1次检测对应的平均执行耗时,所述平均执行耗时是模块执行耗时/模块分配线程数。
结合上述分析,各个模块分配资源占比即按照各个模块的运行时长比例分配线程,则初检模块分配线程数m个,二次确认模块分配线程数m个,数据收集模块分配线程数2m个,处理模块分配线程数m个,总计分配5m个线程。
可以理解的是,因为流水线执行过程中没有中间等待,则每个模块执行平均时长一样,否则整个流水线需要等在运行时间比其他都长的模块执行完后,才会继续执行,这样就增加了等待时间,而为消除等待时间,就需要分配更多的线程资源,才可以使得模块平均运行时长跟其他模块相等,消除模块间等待间隔。
可选的,在车联网终端发送的应用运行信息中没有需要互斥资源时,可以采用全并行调度模型为各个模块分配资源占比,所述互斥资源为在一段时间内只允许一个线程访问的资源,由各个模块对应的线程在执行过程中竞争某些共享资源造成的,所述全并行调度模型用于为各个模块直接分配总的线程资源,即每个入侵检测流程由某一线程从头完全执行,全并行调度模型对应的分配线程数越多,检测速率越快。
示例性的,图4为本申请实施例提供的一种全并行调度模型的应用示意图,如图4所示,以初检模块、二次确认模块、数据收集模块、处理模块执行时长分别为T/T/2T/T为例,该4个模块执行时长比例1:1:2:1,进而可以计算出一个入侵检测流程的总耗时;假设共有N个检测事件,分配总的线程数为Ct_full个线程,则线程单次入侵检测总耗时为tsingleT=T+T+2T+T=5T;所有线程入侵检测的总耗时为tfullT=N*tsingleT/Ct_full =5N/Ct_full*T;约束条件为5N/Ct_full≥1&&Ct_full≥1,即5N≥Ct_full≥1。
从图3和图4所述实施例可知,当检测事件数较多且全并行调度模型和流水线调度模型线程数相同时,全并行调度模型和流水线调度模型执行入侵检测的总耗时基本相同,性能基本一致,即总耗时C=Ct_full=Ct_flow;tfullT=5N/C*T≈tflowT,约束条件为5N≥C≥5&&5N≥C≥1,即5N≥C≥5;5N/C>>4,即5N/4>>C。
需要说明的是,5N/4远远大于C,说明检测事件数N较大且C上限远低于N时,全并行调度模型和流水线调度模型处理性能相当。
但是在实际入侵检测的过程中,会涉及到使用全局资源,所述全局资源只能串行访问,即需要利用互斥锁来串行访问,以保证模块执行的正确性,通常情况下,模块执行时长越长,其需要访问互斥资源越多,如数据收集模块比二次确认模块运行时间长,则数据收集模块比二次确认模块访问互斥资源时长也会长。
基于上述考虑,可以比较在车联网终端发送的应用运行信息中具有互斥资源时,全并行调度模型和流水线调度模型的处理性能,其比较过程如下:
以4个模块执行时长分别为T/T/2T/T为例,4个模块执行时长比例1:1:2:1,假设共有N个检测事件,全并行调度模型和流水线调度模型分配相同的线程数,二次确认模块处理互斥资源对应时长为aT,数据收集模块处理互斥资源对应时长为bT,则流水线准备阶段基本耗时为tprepareT=T+T+2T=4T;流水线准备阶段增加耗时为tprepare_extraT=(a(m-1)+b(2m-1))T,所述a(m-1)T表示二次确认模块等待互斥资源增加的运行耗时,由于第1个线程执行时不需要等待,所以需要m-1,其他线程执行都需要串行等待前面线程访问完共享资源才可以执行,所述b(2m-1)T表示数据收集模块等待互斥资源增加的运行耗时,2m-1表示有2m-1个线程需要等待;流水线准备阶段总耗时为tflow_prepareT=tprepareT+tprepare_extraT;流水线运行阶段单条流水每次检测基本耗时为trunT=2T/2=T;流水线运行阶段单条流水每次检测增加耗时为trun_extraT=b(2m-1)T/2,所述b(2m-1)/2表示每个线程执行增加的运行耗时/线程数,用于计算出每条流水的平均增加耗时;流水线运行阶段单条流水每次检测总耗时为tflow_runT=trunT+trun_extraT;进而计算出流水线总耗时为tflow_serial=(N*tflow_runT)/m+tflow_prepareT=(N*(trunT+trun_extraT))/m+tprepareT+tprepare_extraT=tflowT+tprepare_extraT+(tflowT-tprepareT)*trun_extra=tflowT+tflowT*trun_extra+tprepare_extraT-tprepareT*trun_extra
全并行单次检测基本耗时为tsingleT=T+T+2T+T=T;全并行单次检测增加耗时(即等待互斥资源的总耗时)为tsingle_extraT=(a+b)*(C-1)T,(a+b)T表示访问互斥资源的总耗时,C-1表示需要等待互斥资源的线程数;全并行线程单次检测总耗时为tfull_singleT=tsingleT+tsingle_extraT;进而计算出全并行总耗时为tfull_serialT=N*tfull_singleT/Ct_full=N*tsingleT/Ct_full+N*tsingle_extraT/Ct_full= tfullT+tfullT*tsingle_extra/5。
进一步的,计算流水线总耗时增加耗时比与全并行总耗时增加耗时比之差,具体为:流水线总耗时增加耗时比为Rflow=(tflow_serialT-tflowT)/tflowT =trun_extra+(tprepare_extra-tprepare*trun_extra)/tflow≈trun_extra=b*(2m-1)/2=0.2b*C–0.5*b;全并行总耗时增加耗时比为Rfull=(tfull_serialT–tfullT)/tfullT=tsingle_extra/5=0.2* (a+b)*(C-1);则全并行总耗时增加耗时比和流水线总耗时增加耗时比之差为Rdiff=Rfull-Rflow≈0.2*(a+b)*(C-1)–(0.2*b*C–0.5*b)=0.2*a*C+0.3*b–0.2*a =0.2*a*(C–1)+0.3*b=0.2*a*(5m-1)+0.3*b=a*(m–1)+0.3*b+0.8*a≥0.3*b+0.8 *a;约束条件为:二次确认模块访问互斥资源时长0T≤aT<1T;数据收集模块访问互斥资源时长aT<bT<2T;全并行调度模型和流水线调度模型线程数相同,即Ct_full=Ct_flow=C=(1+1+2+1)*m=5m;N≥m≥1,即5N≥C≥5;5N/C≥1&&C≥1,即5N≥C≥1;tflow>>|tprepare_extra-tprepare*trun_extra|->4 +5N/C>>|(a(m-1)+b(2m-1)–4b*(2m-1)/2)|->5N/C>>|(a-2b)m+(b-a)|,由于max(|(a-2b)m+(b-a)|)=bm+(b-a)(m-1)->N>>bm2+(b-a)(m-1)m≥bm2->N>>m2
需要说明的是,N远远大于m2,即检测事件数N较大且m2上限远低于N时,计算Rflow时可忽略非trun_extra部分,得到Rflow≈trun_extra
因此,在车联网终端发送的应用运行信息中需要互斥资源时,由全并行和流水线总耗时增加比之差Rdiff可知,随着分配的线程数越多,全并行总耗时增加更多,全并行和流水线总耗时增加比之差Rdiff与线程数成正比,即随着线程数增加,流水线调度模型比全并行调度模型总长耗时更少,性能更好,故采用流水线调度模型为各个模块分配资源占比;而在车联网终端发送的应用运行信息中没有需要互斥资源时,流水线调度模型和全并行调度模型性能基本一致,即可以采用流水线调度模型为各个模块分配资源占比,也可以采用全并行调度模型为各个模块分配资源占比。
示例性的,所述初检模块负责初步收集应用运行信息(入侵行为),所述应用运行信息包括配置文件或运行的线程等是否发生变更的信息,如初检模块扫描发现的运行的程序发生变更,则认为是可能的入侵行为,进一步的,通过该初检模块收集可能的入侵行为,进而利用第一调度队列将入侵行为发送至下一级模块确认过滤。
所述二次确认模块负责对入侵行为进一步确认是否真正的入侵,通过该二次确认模块过滤掉不需处理的误报或无风险行为,如过滤掉入侵行为在白名单中的行为、在预定时间内提交过的同类行为以及无风险行为等,本申请实施例对过滤机制不做具体限定,所述过滤机制用于过滤掉应用运行信息中不需处理的误报或无风险行为。
所述数据收集模块负责收集确认为真正入侵行为相关的详细数据(入侵数据),如被修改运行程序或配置文件对应的差异数据、运行程序或配置文件被增删的数据等,本申请实施例对入侵数据对应的具体内容不做限定,所述入侵数据可以涉及操作系统、存储系统以及其他器件中对应的车联网终端的状态信息,用于辅助处理模块生成安全策略。
所述处理模块负责对入侵行为生成安全策略,其中,不同的入侵行为对用不同的安全策略,该安全策略可以从提前存储好的表中获取,或者从外部系统中获取,所述外部系统为存储安全策略的系统,也可以利用机器学习算法基于入侵数据实时生成,本申请实施例对生成安全策略的方法不做具体限定。
其中,每一模块传输数据至下一级模块,均利用对应的调度队列,所述调度队列用于控制每个模块处理检测事件的数量上限,从而还可以间接控制每个模块的资源占比,具体的,所述调度队列基于相对应的缓存队列中是否有空间,确定是否进行数据的传递,没有空间则阻塞数据(消息)传递,等待缓存释放,直至缓存队列中存在空间。
需要说明的是,本申请实施例所述车载入侵检测系统还可以划分为其他类型或数量的模型,用于进行入侵检测,因此,无论车载入侵检测对应的各个模糊如何划分,均对应有利用预定义模型分配的符合业务场景需求的线程数,均在本申请的保护范围内,且预定义模型如流水线调用模型的配置参数或调度队列的配置参数可以视具体情况任意更改。
因此,本申请提供一种车载入侵检测系统,可以通过初检模块利用第一数量的线程采集车联网终端的应用运行信息,并利用第一调度队列将应用运行信息传输至二次确认模块;进一步的,二次确认模块利用第二数量的线程接收应用运行信息,并利用应用运行信息判断车联网终端是否被入侵;进一步的,数据收集模块在确定车联网终端被入侵后,基于第二调度队列以及第三数量的线程收集入侵数据,并利用第三调度队列将入侵数据传输至处理模块;进一步的,处理模块利用第四数量的线程接收入侵数据,并基于入侵数据生成安全策略;其中,每一模块对应有利用预定义模型分配的符合业务场景需求的线程数;这样,基于对入侵检测过程划分为多个可以并发处理的模块,并合理分配模块对应的系统资源和调度队列资源,满足车载入侵检测高性能,进而实现入侵检测资源消耗控制,达成合理资源消耗和检测效率平衡。
可选的,所述第一调度队列包括判断单元、传输单元和禁止单元;
所述判断单元,用于判断缓存队列是否存在剩余空间;所述缓存队列用于缓存初检模块采集的应用运行信息;
所述传输单元,用于当缓存队列中存在剩余空间时,将所述应用运行信息写入所述缓存队列,基于令牌桶算法控制传输所述应用运行信息的数量,并将相应数量的应用运行信息传输至确定线程数的所述二次确认模块;
所述禁止单元,用于当缓存队列中不存在剩余空间时,禁止将所述应用运行信息写入所述缓存队列,直至所述缓存队列存在剩余空间。
本申请实施例中,所述令牌桶算法用于控制发送到下一级模块的应用运行信息的数目,并允许突发的应用运行信息的发送,如优先级级别高的应用运行信息的优先发送,所述优先级级别的高低可以基于入侵行为的厉害程度进行划分,本申请实施例对此不做具体限定。
示例性的,图5为本申请实施例提供的一种调度队列进行调度的流程示意图;如图5所示,所述调度队列由以下几部分组成:入口探测、缓存队列和令牌桶;所述入口探测用于探测缓存队列是否存在剩余空间,若存在,则将消息写入缓存队列中,若不存在,则阻塞消息传递等待缓存释放,直至缓存队列存在剩余空间,用于抑制上游模块数据的传递;所述缓存队列用于缓存下一级模块将要处理的数据,可以减少数据的丢失;所述令牌桶,用于基于令牌桶算法控制下一级模块可以处理的数据量,即通过令牌桶算法控制下游模块可以从缓存队列读取的消息数,所述令牌桶每隔预设时间,添加令牌,每读取一个消息,消费一个令牌,当令牌桶中没有令牌时,则不允许读取消息。
其中,所述调度队列用于写入消息和读取消息,图6为本申请实施例提供的一种调度队列写入消息的流程示意图;如图6所示,所述调度队列写入消息的过程为判断缓存队列中是否已满,若是,则阻塞消息写入,等待缓存队列释放空间,若否,则将消息写入;所述调度队列读取消息的过程为基于令牌桶算法控制传输给下游模块信息的数量,当没有令牌时,则不允许读取消息。
具体的,所述判断单元部署于入口探测中,用于探测第一调度队列对应的缓存队列中是否存在剩余空间;所述传输单元用于当确定缓存队列中存在剩余空间时,将应用运行信息写入缓存队列中,所述禁止单元用于当确定缓存队列中不存在剩余空间时,禁止将应用运行信息写入缓存队列中,即禁止应用运行信息传递,而是等待缓存释放,直至缓存队列存在剩余空间;所述传输单元还用于当确定缓存队列中存在剩余空间时,基于令牌桶算法控制传输应用运行信息的数量,并将相应数量的应用运行信息传输至确定线程数的二次确认模块;所述确定线程数指的是二次确认模块具有的线程数为第二数量。
需要说明的是,第二调度队列与第三调度队列包括跟第一调度队列类似的单元,用于进行消息的传递,所述第二调度队列和所述第三调度队列用于传递入侵数据,其传输过程与第一调度队列类似,详情可参考对第一调度队列的描述,在此不重复赘述。
因此,本申请实施例可以通过调度队列管控每个模块的运行上限,在系统资源不足时可以抑制入侵检测运行,同时保证入侵行为消息不丢失,提高入侵检测的性能。
示例性的,图7为本申请实施例提供的一种调度队列读取消息的流程示意图;如图7所示,所述调度队列读取消息的过程包括:
步骤A:每隔预设时间,调度队列向令牌桶添加令牌,并判断该令牌桶是否已满,若是,则丢弃多余令牌,并执行步骤B,若否,则执行步骤B;
步骤B:判断缓存队列是否非空,若是,则继续判断令牌桶中的令牌数量是否足够执行消息的传递,若足够,则将读取缓存队列中的消息,否则,阻塞消息传输至下一级模块。
可选的,所述传输单元基于令牌桶算法控制传输所述应用运行信息的数量,包括:
每隔预设时间,向令牌桶中添加一个令牌,并获取添加令牌后令牌桶中对应的令牌数量,所述令牌用于指示执行传输过程;
判断所述令牌数量是否多于第一阈值;
若是,则丢弃多于所述第一阈值相应数量的令牌,并基于所述缓存队列中的数据量和令牌桶中的令牌数量控制传输所述应用运行信息的数量;
若否,则基于所述缓存队列中的数据量和令牌桶中的令牌数量控制传输所述应用运行信息的数量;
其中,每进行一次数据传输,令牌桶中对应的令牌数量减1。
本申请实施例中,第一阈值可以指的是用于确定令牌桶中的令牌数量是否已满的数值,若令牌桶中令牌数量已满,则需要丢弃多于第一阈值相应数量的令牌,因为每一模块均已被分配好线程数,该线程数正好用于执行相应令牌数量的应用运行信息处理。
在本步骤中,每隔预设时间,向令牌桶中添加一个令牌,是为了让令牌桶中令牌不会非空,因为一个令牌可以从缓存队列中读取一个应用运行信息给到下一级模块,本申请实施例对预设时间不做具体限定,其可以根据线程处理速率确定,也可以提前定义好。
可以理解的是,第二调度队列与第三调度队列控制传输入侵数据的数量的过程与第一调度队列基于令牌桶算法控制传输应用运行信息的数量类似,在此不再赘述。
因此,本申请实施例可以通过令牌桶算法管理的调度队列进行消息的传递,实现对下游模块的控制,可以有效控制入侵检测资源的合理分配。
可选的,所述传输单元基于所述缓存队列中的数据量和令牌桶中的令牌数量控制传输所述应用运行信息的数量,包括:
获取所述缓存队列中存储应用运行信息的数据量,并判断所述数据量是否大于第二阈值;
若是,则阻塞将所述应用运行信息传输至确定线程数的所述二次确认模块;
若否,则基于所述令牌桶中的令牌数量确定所述缓存队列中的可进行传输的所述应用运行信息的数量,并在传输相应数量的应用运行信息后,从所述令牌桶中取走相应数量的令牌。
本申请实施例中,第二阈值可以指的是用于确定令缓存队列是否还有存储空间的数值,若缓存队列已满,则阻塞应用运行信息的传递,需要等待传输单元将缓存队列中的应用运行信息传递给下一级模块,才可以继续存储应用运行信息,减少因突发或短时超过下一级模块可处理的任务量导致消息丢失的发生。
因此,本申请实施例可以控制向下一级模块传输数据的数量,进而使得下一级模块合理利用资源消耗,达到检测效率平衡。
需要说明的是,调度队列既可以实现对上游模块控制,也可以实现下游模块(下一级模块)控制,所以队列调度可以通过配置完成对上下游的模块的资源占用控制,还可以通过一级级的向上游模块传递控制,实现对整个链路的反馈抑制,达到控制整个入侵检测的资源控制。
可选的,所述二次确认模块,具体用于:
获取预定义规则;所述预定义规则包括:存在于白名单、未存在重复信息、运行参数位于运行范围;
判断所述应用运行信息是否满足预定义规则;
若否,则确定所述车联网终端被入侵;
若是,则确定所述车联网终端没有被入侵。
本申请实施例中,预定义规则为提前制定的用于确定车联网终端是否被入侵对应的规则,所述规则包括但不限于:存在于白名单中或未存在于黑名单、未存在重复信息、运行参数位于运行范围等;所述白名单或黑名单为提前定义好的存储是否为入侵行为的名单;所述运行参数为车联网终端运行过程中对应的参数,如自动驾驶过程中,各个传感器发送的运行数据,所述运行范围为用于确定运行参数是否合理设置的范围,本申请实施例对预定义规则、白名单、黑名单、运行参数以及运行范围对应的内容均不做具体限定。
因此,本申请实施例可以利用预定义规则确定车联网终端是否被入侵,提高入侵检测的准确率。
可选的,所述第二调度队列,用于:
将所述入侵数据传输至确定线程数的所述数据收集模块,以使所述数据收集模块对入侵数据进行存储;所述入侵数据为基于所述车联网终端被入侵时对应的应用运行信息确定的,所述入侵数据包括车联网终端运行过程中出现异常的运行参数。
具体的,获取确定所述车联网终端被入侵对应的应用运行信息,并基于所述应用运行信息确定车联网终端对应的入侵数据,进而利用第二调度队列将所述入侵数据传输至确定线程数的所述数据收集模块,以使所述数据收集模块对入侵数据进行存储;该确定线程数指的是数据收集模块具有的线程数为第三数量。
因此,本申请实施例可以收集真正入侵行为相关的数据,即入侵数据,并对入侵数据进行存储,方便数据分析以及查找问题,提高便利性和可追溯性。
可选的,所述处理模块,具体用于:
获取所述入侵数据对应的类型,并基于所述类型从预设策略表中调用对应的安全策略。
本申请实施例中,基于类型从预设策略表调用对应的安全策略,不同的类型对应不同的安全策略,所述预设策略表为提前定义好的用于存储各种安全策略的表,本申请实施例对入侵数据对应的类型以及采取的安全策略不做具体限定,如入侵数据对应的类型为恶意攻击型,则采取的安全策略为禁止车联网终端运行,所述类型以及采取的安全策略可以参考已有的分类类别以及采取的相应安全策略,也可以设计机器深度学习模型,利用入侵数据生成符合业务场景的安全策略。
因此,本申请实施例针对不同的入侵数据类型,都有相应的安全策略可供调用,可以及时解决问题,提高应用灵活性。
可选的,所述车载入侵检测系统还包括告警模块,所述告警模块,用于:
将生成的安全策略发送给所述车联网终端,以使所述车联网终端执行所述安全策略;
在将所述安全策略发送给所述车联网终端后,利用所述应用运行信息生成告警信息,并将所述告警信息发送给用户的终端设备,以提醒用户所述车联网终端存在入侵行为。
需要说明的是,所述告警信息基于应用运行信息生成,本申请实施例对生成的告警信息的内容以及发送形式不做具体限定,其可以为显示框或短信的形式发送到用户的终端设备上,所述终端设备可以为用户的手机、电脑,或者车载终端上,显示内容可以为“自动驾驶路线被更改,请核实”。
示例性的,在图1的应用场景下,在确定汽车101发生车载入侵后,生成相应的安全策略,将生成的安全策略发送给汽车101,以使汽车101执行该安全策略,同时,在将安全策略发送给汽车101后,还可以利用入侵行为生成告警信息发送给用户的终端设备102发送一条短信进行显示,显示内容为“自动驾驶路线被更改,请核实”,以使用户及时了解汽车101运行情况,核实自动驾驶程序有无被更改。
因此,本申请实施例可以基于应用运行信息生成告警信息,以便通知相关人员及时了解情况,若在车联网终端执行完安全策略后,还没有解决问题,则人工可以及时进行处理,提高便利性以及安全性。
结合上述实施例,图8为本申请实施例提供的一种具体的车载入侵检测系统的结构示意图,如图8所示,所述入侵检测模块包括初检模块、二次确认模块、数据收集模块、处理模块和连接各个模块的调度队列;具体的,初检模块主动发现可能的入侵行为或第三方组件被动发现可能的入侵行为,发送给初检模块,进一步的,初检模块在收集可能的入侵行为后,利用二次确认调度队列(第一调度队列)传递该入侵行为至二次确认模块,二次确认调度队列中的缓存队列用于缓存入侵行为;进一步,二次确认模块对该入侵行为进行过滤,确定真正的入侵行为,并将入侵行为对应的入侵数据利用数据收集调度队列(第二调度队列)传递至数据收集模块,数据收集模块收集该入侵数据后,利用处理调度队列(第三调度队列)传递入侵数据至处理模块,以使所述处理模块生成响应策略(安全策略);其中,二次确认调度队列中的缓存队列用于缓存入侵行为,数据收集调度队列和处理调度队列中的缓存队列用于缓存入侵数据。
可选的,本申请还提供一种车载入侵检测方法,应用于车载入侵检测系统,所述车载入侵检测系统包括初检模块、二次确认模块、数据收集模块、处理模块和连接各个模块的调度队列;每一模块对应有利用预定义模型分配的符合业务场景需求的线程数;如图9所示,所述车载入侵检测方法包括以下步骤:
S901、通过所述初检模块,利用第一数量的线程采集车联网终端的应用运行信息,并利用第一调度队列将所述应用运行信息传输至所述二次确认模块。
S902、通过所述二次确认模块,利用第二数量的线程接收所述应用运行信息,并利用所述应用运行信息判断所述车联网终端是否被入侵。
S903、通过所述数据收集模块,在确定所述车联网终端被入侵后,基于第二调度队列以及第三数量的线程收集入侵数据,并利用第三调度队列将所述入侵数据传输至所述处理模块。
S904、通过所述处理模块,利用第四数量的线程接收所述入侵数据,并基于所述入侵数据生成安全策略。
本申请实施例提供的一种车载入侵检测方法的具体实现原理和效果可以参见上述实施例对应的相关描述和效果,此处不做过多赘述。
本申请实施例还提供了一种电子设备的结构示意图,图10为本申请实施例提供的一种电子设备的结构示意图,如图10所示,该电子设备可以包括:处理器1001以及与所述处理器通信连接的存储器1002;该存储器1002存储计算机程序;该处理器1001执行该存储器1002存储的计算机程序,使得该处理器1001执行上述任一实施例所述的方法。
其中,存储器1002和处理器1001可以通过总线1003连接。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序执行指令,计算机执行指令被处理器执行时用于实现如本申请前述任一实施例中的所述的方法。
本申请实施例还提供了一种运行指令的芯片,该芯片用于执行如本申请前述任一实施例中由电子设备所执行的前述任一实施例中所述的方法。
本申请实施例还提供了一种计算机程序产品,该程序产品包括程序代码,当计算机运行所述计算机程序时,所述程序代码执行如本申请前述任一实施例中由电子设备所执行的前述任一实施例中所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本申请各个实施例所述方法的部分步骤。
应理解,上述处理器可以是中央处理单元(Central Processing Unit,简称CPU),还可以是其它通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合申请所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速随机存取存储器(Random Access memory,简称RAM),也可能还包括非不稳定的存储器(Non-volatile Memory,简称NVM),例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
总线可以是工业标准体系结构(Industry Standard Architecture,简称ISA)总线、外部设备互连(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random-Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-OnlyMemory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific Integrated Circuits,简称ASIC)中。当然,处理器和存储介质也可以作为分立组件存在于电子设备或主控设备中。
以上所述,仅为本申请实施例的具体实施方式,但本申请实施例的保护范围并不局限于此,任何在本申请实施例揭露的技术范围内的变化或替换,都应涵盖在本申请实施例的保护范围之内。因此,本申请实施例的保护范围应以所述权利要求的保护范围为准。

Claims (11)

1.一种车载入侵检测系统,其特征在于,所述车载入侵检测系统包括初检模块、二次确认模块、数据收集模块、处理模块和连接各个模块的调度队列;每一模块对应有利用预定义模型分配的符合业务场景需求的线程数;
所述初检模块,用于利用第一数量的线程采集车联网终端的应用运行信息,并利用第一调度队列将所述应用运行信息传输至所述二次确认模块;
所述二次确认模块,用于利用第二数量的线程接收所述应用运行信息,并利用所述应用运行信息判断所述车联网终端是否被入侵;
所述数据收集模块,用于在确定所述车联网终端被入侵后,基于第二调度队列以及第三数量的线程收集入侵数据,并利用第三调度队列将所述入侵数据传输至所述处理模块;
所述处理模块,用于利用第四数量的线程接收所述入侵数据,并基于所述入侵数据生成安全策略。
2.根据权利要求1所述的车载入侵检测系统,其特征在于,所述第一调度队列包括判断单元、传输单元和禁止单元;
所述判断单元,用于判断缓存队列是否存在剩余空间;所述缓存队列用于缓存初检模块采集的应用运行信息;
所述传输单元,用于当缓存队列中存在剩余空间时,将所述应用运行信息写入所述缓存队列,基于令牌桶算法控制传输所述应用运行信息的数量,并将相应数量的应用运行信息传输至确定线程数的所述二次确认模块;
所述禁止单元,用于当缓存队列中不存在剩余空间时,禁止将所述应用运行信息写入所述缓存队列,直至所述缓存队列存在剩余空间。
3.根据权利要求2所述的车载入侵检测系统,其特征在于,所述传输单元基于令牌桶算法控制传输所述应用运行信息的数量,包括:
每隔预设时间,向令牌桶中添加一个令牌,并获取添加令牌后令牌桶中对应的令牌数量,所述令牌用于指示执行传输过程;
判断所述令牌数量是否多于第一阈值;
若是,则丢弃多于所述第一阈值相应数量的令牌,并基于所述缓存队列中的数据量和令牌桶中的令牌数量控制传输所述应用运行信息的数量;
若否,则基于所述缓存队列中的数据量和令牌桶中的令牌数量控制传输所述应用运行信息的数量;
其中,每进行一次数据传输,令牌桶中对应的令牌数量减1。
4.根据权利要求3所述的车载入侵检测系统,其特征在于,所述传输单元基于所述缓存队列中的数据量和令牌桶中的令牌数量控制传输所述应用运行信息的数量,包括:
获取所述缓存队列中存储应用运行信息的数据量,并判断所述数据量是否大于第二阈值;
若是,则阻塞将所述应用运行信息传输至确定线程数的所述二次确认模块;
若否,则基于所述令牌桶中的令牌数量确定所述缓存队列中的可进行传输的所述应用运行信息的数量,并在传输相应数量的应用运行信息后,从所述令牌桶中取走相应数量的令牌。
5.根据权利要求1所述的车载入侵检测系统,其特征在于,所述二次确认模块,具体用于:
获取预定义规则;所述预定义规则包括:存在于白名单、未存在重复信息、运行参数位于运行范围;
判断所述应用运行信息是否满足预定义规则;
若否,则确定所述车联网终端被入侵;
若是,则确定所述车联网终端没有被入侵。
6.根据权利要求1所述的车载入侵检测系统,其特征在于,所述第二调度队列,用于:
将所述入侵数据传输至确定线程数的所述数据收集模块,以使所述数据收集模块对入侵数据进行存储;所述入侵数据为基于所述车联网终端被入侵时对应的应用运行信息确定的,所述入侵数据包括车联网终端运行过程中出现异常的运行参数。
7.根据权利要求1所述的车载入侵检测系统,其特征在于,所述处理模块,具体用于:
获取所述入侵数据对应的类型,并基于所述类型从预设策略表中调用对应的安全策略。
8.根据权利要求1-7任一项所述的车载入侵检测系统,其特征在于,所述车载入侵检测系统还包括告警模块,所述告警模块,用于:
将生成的安全策略发送给所述车联网终端,以使所述车联网终端执行所述安全策略;
在将所述安全策略发送给所述车联网终端后,利用所述应用运行信息生成告警信息,并将所述告警信息发送给用户的终端设备,以提醒用户所述车联网终端存在入侵行为。
9.一种车载入侵检测方法,其特征在于,应用于车载入侵检测系统,所述车载入侵检测系统包括初检模块、二次确认模块、数据收集模块、处理模块和连接各个模块的调度队列;每一模块对应有利用预定义模型分配的符合业务场景需求的线程数;所述方法包括:
通过所述初检模块,利用第一数量的线程采集车联网终端的应用运行信息,并利用第一调度队列将所述应用运行信息传输至所述二次确认模块;
通过所述二次确认模块,利用第二数量的线程接收所述应用运行信息,并利用所述应用运行信息判断所述车联网终端是否被入侵;
通过所述数据收集模块,在确定所述车联网终端被入侵后,基于第二调度队列以及第三数量的线程收集入侵数据,并利用第三调度队列将所述入侵数据传输至所述处理模块;
通过所述处理模块,利用第四数量的线程接收所述入侵数据,并基于所述入侵数据生成安全策略。
10.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求9所述的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求9所述的方法。
CN202211063805.1A 2022-09-01 2022-09-01 车载入侵检测系统、方法、电子设备及存储介质 Active CN115150198B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211063805.1A CN115150198B (zh) 2022-09-01 2022-09-01 车载入侵检测系统、方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211063805.1A CN115150198B (zh) 2022-09-01 2022-09-01 车载入侵检测系统、方法、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN115150198A true CN115150198A (zh) 2022-10-04
CN115150198B CN115150198B (zh) 2022-11-08

Family

ID=83415842

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211063805.1A Active CN115150198B (zh) 2022-09-01 2022-09-01 车载入侵检测系统、方法、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115150198B (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101035078A (zh) * 2007-04-13 2007-09-12 中国科学院软件研究所 一种基于令牌的互联网流量控制方法
CN101789884A (zh) * 2009-01-23 2010-07-28 英业达股份有限公司 网络入侵检测的负载均衡方法
CN104050041A (zh) * 2013-03-15 2014-09-17 凯为公司 用于在处理器中调度规则匹配的调度方法和装置
CN104572277A (zh) * 2014-12-17 2015-04-29 大唐移动通信设备有限公司 一种线程流控方法和装置
CN108112038A (zh) * 2016-11-24 2018-06-01 苏宁云商集团股份有限公司 一种控制访问流量的方法及装置
CN108768873A (zh) * 2018-05-29 2018-11-06 腾讯科技(深圳)有限公司 一种流量控制方法及相关设备
CH714535A2 (de) * 2017-12-20 2019-06-28 Univ Beihang Fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system.
CN111107152A (zh) * 2019-12-19 2020-05-05 浙江军盾信息科技有限公司 一种车联网终端入侵处理方法、装置、设备及存储介质
CN112749028A (zh) * 2021-01-11 2021-05-04 科大讯飞股份有限公司 网络流量处理方法、相关设备及可读存储介质
CN113835871A (zh) * 2020-06-24 2021-12-24 阿里巴巴集团控股有限公司 线程管理方法、装置、计算机存储介质和应用软件
US20220014560A1 (en) * 2015-10-28 2022-01-13 Qomplx, Inc. Correlating network event anomalies using active and passive external reconnaissance to identify attack information
CN114048467A (zh) * 2021-11-23 2022-02-15 北京天融信网络安全技术有限公司 基于入侵检测系统的模型数据处理方法、装置、设备及存储介质
WO2022114025A1 (ja) * 2020-11-24 2022-06-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知方法、異常検知装置、及び、プログラム

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101035078A (zh) * 2007-04-13 2007-09-12 中国科学院软件研究所 一种基于令牌的互联网流量控制方法
CN101789884A (zh) * 2009-01-23 2010-07-28 英业达股份有限公司 网络入侵检测的负载均衡方法
CN104050041A (zh) * 2013-03-15 2014-09-17 凯为公司 用于在处理器中调度规则匹配的调度方法和装置
CN104572277A (zh) * 2014-12-17 2015-04-29 大唐移动通信设备有限公司 一种线程流控方法和装置
US20220014560A1 (en) * 2015-10-28 2022-01-13 Qomplx, Inc. Correlating network event anomalies using active and passive external reconnaissance to identify attack information
CN108112038A (zh) * 2016-11-24 2018-06-01 苏宁云商集团股份有限公司 一种控制访问流量的方法及装置
CH714535A2 (de) * 2017-12-20 2019-06-28 Univ Beihang Fahrzeuginternes Netzwerkintrusionserfassungsverfahren und -system.
CN108768873A (zh) * 2018-05-29 2018-11-06 腾讯科技(深圳)有限公司 一种流量控制方法及相关设备
CN111107152A (zh) * 2019-12-19 2020-05-05 浙江军盾信息科技有限公司 一种车联网终端入侵处理方法、装置、设备及存储介质
CN113835871A (zh) * 2020-06-24 2021-12-24 阿里巴巴集团控股有限公司 线程管理方法、装置、计算机存储介质和应用软件
WO2022114025A1 (ja) * 2020-11-24 2022-06-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知方法、異常検知装置、及び、プログラム
CN112749028A (zh) * 2021-01-11 2021-05-04 科大讯飞股份有限公司 网络流量处理方法、相关设备及可读存储介质
CN114048467A (zh) * 2021-11-23 2022-02-15 北京天融信网络安全技术有限公司 基于入侵检测系统的模型数据处理方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN115150198B (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
CN107918382B (zh) 一种汽车故障诊断方法、汽车故障诊断装置及电子设备
CN110226310A (zh) 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及车载网络监视方法
CN110581887B (zh) 数据处理方法、装置、区块链节点及存储介质
KR102564163B1 (ko) 비휘발성 메모리 익스프레스(NVMe) 기반 SSD(Solid State Drive) 컨트롤러에서 명령 ID 충돌 시나리오를 핸들링하는 방법
CN110262977A (zh) 一种全链路性能测试方法、装置、计算设备及存储介质
CN106713396A (zh) 服务器调度方法和系统
CN112525553A (zh) 一种车辆故障远程诊断方法及相关设备
CN112732474B (zh) 故障处理方法及装置、电子设备、计算机可读存储介质
CN111063197A (zh) 停车场车辆异常行为信息处理方法及装置
CN105404559A (zh) 在数据处理装置中进行除错
CN105005538A (zh) 许可对互连电路内的排序风险检测进行修复的装置和方法
CN115150198B (zh) 车载入侵检测系统、方法、电子设备及存储介质
CN106982213A (zh) 一种应用于车载设备的网络攻击防御方法及相关装置
CN113687945A (zh) 机车数据智能分析算法的管理方法、装置、设备及存储介质
CN114444570A (zh) 故障检测的方法、装置、电子设备及介质
CN110599796B (zh) 一种车位状态判断方法、服务器及停车管理系统
CN114860457B (zh) 基于图调度框架的车辆数据处理方法、装置和设备
CN114201363A (zh) 系统保护方法、装置、设备及存储介质
EP4375146A1 (en) Abnormality detection device, security system, and abnormality notification method
CN109446755A (zh) 内核钩子函数保护方法、装置、设备以及存储介质
CN109379211B (zh) 一种网络监控方法及装置、服务器和存储介质
CN111625358B (zh) 一种资源分配方法、装置、电子设备及存储介质
CN111191603B (zh) 车内人员识别方法、装置、终端设备及介质
CN118152133A (zh) 算力调度方法、装置、电子设备及存储介质
CN112965789B (zh) 一种虚拟机内存空间处理方法、装置、设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant