车辆网络入侵检测方法、装置、处理器和电子设备与流程

1.本发明涉及网络入侵检测技术领域，具体而言，涉及一种车辆网络入侵检测方法、装置、处理器和电子设备。


背景技术：

2.目前，车辆网络入侵检测作为一种主动防御技术，已成为确保车辆网络系统安全的关键技术。但是，由于入侵检测技术并不能检测出复杂的攻击方式，从而导致出现车辆网络入侵检测的效率低的技术问题。
3.针对上述车辆网络入侵检测的效率低的技术问题，目前尚未提出有效的解决方案。


技术实现要素：

4.本发明实施例提供了一种车辆网络入侵检测方法、装置、处理器和电子设备，以至少解决了车辆网络入侵检测的效率低的技术问题。
5.根据发明实施例的一个方面，提供了一种车辆网络入侵检测方法。该方法可以包括：获取车辆的数据流量包，其中，数据流量包包括以下至少之一：正常数据流量包、异常数据流量包和攻击组合数据流量包；将数据流量包生成原始报文，其中，原始报文包括以下至少之一：与正常数据流量包对应的正常网络报文、与异常数据流量包对应的单个网络入侵攻击报文和与攻击组合数据流量包对应的组合网络入侵攻击报文组；分别基于不同网络协议，对原始报文进行解码处理，得到目标报文；至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果，其中，网络入侵检测模型为基于车辆的报文样本和对应的检测结果样本进行训练得到，检测结果至少用于表示对车辆的车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为。
6.可选地，获取车辆的数据流量包，可以包括：在不同车载网络场景下对车辆进行监听，得到正常数据流量包。
7.可选地，获取车辆的数据流量包，可以包括：根据网络入侵数据规则库，生成异常数据流量包，其中，网络入侵数据规则库至少包括网络攻击编号和网络攻击行为二者之间的映射关系。
8.可选地，获取车辆的数据流量包，可以包括：对异常数据流量包进行分组，得到多个攻击模块组，其中，攻击模块组用于表示对异常数据流量包进行分类后的结果；分别选取多个攻击模块组中的攻击行为，得到攻击组合数据流量包。
9.可选地，将数据流量包生成原始报文，可以包括：为原始报文生成标签，其中，标签包括以下至少之一：与正常网络报文对应的无攻击行为标签、与单个网络入侵攻击报文对应的多种单攻击行为标签和与组合网络入侵攻击报文组对应的多种组合攻击行为标签。
10.可选地，至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果，可以包括：将目标报文和标签输入至网络入侵检测模型中进行训练，获得模型参数；基于模型
参数更新网络入侵检测模型。
11.根据本发明实施例的一个方面，提供了一种车辆网络入侵检测装置，该装置可以包括：获取单元，用于获取车辆的数据流量包，其中，数据流量包包括以下至少之一：正常数据流量包、异常数据流量包和攻击组合数据流量包；生成单元，用于将数据流量包生成原始报文，其中，原始报文包括以下至少之一：与正常数据流量包对应的正常网络报文、与异常数据流量包对应的单个网络入侵攻击报文和与攻击组合数据流量包对应的组合网络入侵攻击报文组；获取单元，用于分别基于不同网络协议，对原始报文进行解码处理，得到目标报文；检测单元，用于至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果，其中，网络入侵检测模型为基于车辆的报文样本和对应的检测结果样本进行训练得到，检测结果至少用于表示对车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为。
12.根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，该计算机可读存储介质包括存储的程序，其中，在程序运行时控制计算机可读存储介质所在设备执行本发明实施例的车辆网络入侵检测方法。
13.根据本发明实施例的另一方面，还提供了一种处理器。该处理器用于运行程序，其中，程序运行时执行本发明实施例的车辆网络入侵检测方法。
14.根据本发明实施例的另一方面，还提供了一种电子设备。该电子设备包括一个或多个处理器和存储器，存储器用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现本发明实施例的车辆网络入侵检测方法。
15.在本发明实施例中，获取车辆的数据流量包，其中，数据流量包包括以下至少之一：正常数据流量包、异常数据流量包和攻击组合数据流量包；将数据流量包生成原始报文，其中，原始报文包括以下至少之一：与正常数据流量包对应的正常网络报文、与异常数据流量包对应的单个网络入侵攻击报文和与攻击组合数据流量包对应的组合网络入侵攻击报文组；分别基于不同网络协议，对原始报文进行解码处理，得到目标报文；至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果，其中，网络入侵检测模型为基于车辆的报文样本和对应的检测结果样本进行训练得到，检测结果至少用于表示对车辆的车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为。也就是说，本发明实施例基于获取到的车辆的数据流量包，生成原始报文，并分别基于不同的网络协议，对原始报文进行解码处理，获得目标报文，将上述目标报文输入至网络入侵检测模型中进行检测，获得检测结果，从而解决了车辆网络入侵检测的效率低的技术问题，实现了提高车辆网络入侵检测的效率的技术效果。
附图说明
16.此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
17.图1是根据本发明实施例的一种车辆网络入侵检测方法的流程图；
18.图2是根据本发明实施例的一种基于人工智能的车辆入侵检测系统的示意图；
19.图3是根据本发明实施例的一种基于人工智能的车辆入侵检测方法的流程图；
20.图4是根据本发明实施例的一种车辆网络入侵检测装置的示意图。
具体实施方式
21.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都应当属于本发明保护的范围。
22.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
23.实施例1
24.根据本发明实施例，提供了一种车辆网络入侵检测方法，需要说明的是，在附图的流程图中，其中所示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
25.下面对本发明实施例的车辆网络入侵检测方法进行介绍。
26.图1是根据本发明实施例的一种车辆网络入侵检测方法的流程图，如图1所示，该方法可以包括如下步骤：
27.步骤s101，获取车辆的数据流量包。
28.在本发明上述步骤s101提供的技术方案中，数据流量包包括以下至少之一：正常数据流量包、异常数据流量包和攻击组合数据流量包。
29.在该实施例中，可以通过不同的模块获得车辆的数据流量包，比如，可以通过数据采集模块获取车辆的正常数据流量包，通过攻击数据生成模块获得车辆的异常数据流量包，通过组合攻击行为数据生成模块获得车辆的攻击组合数据流量包。
30.需要说明的是，此处为获取车辆的数据流量包的一种优选的实施方式，不对获取车辆的数据流量包的方法进行具体限定，任何用于获取车辆的数据流量包的方法均在本发明实施例的保护范围内，此处不一一列举。
31.步骤s102，将数据流量包生成原始报文。
32.在本发明上述步骤s102提供的技术方案中，在获取车辆的数据流量包之后，可以将数据流量包生成原始报文，该原始报文包括以下至少之一：与正常数据流量包对应的正常网络报文、与异常数据流量包对应的单个网络入侵攻击报文和与攻击组合数据流量包对应的组合网络入侵攻击报文组，其中，原始报文可以为网络中交换与传输的数据单元。
33.在该实施例中，基于步骤s101中获得的车辆的数据流量包，可以通过训练集生成模块将上述数据流量包生成原始报文。
34.可选地，可以通过训练集生成模块生成原始报文的标签，比如，当原始报文为正常网络报文时，标签可以为无攻击行为标签，当原始报文为单个网络入侵攻击报文时，标签可
以为多种单攻击行为标签。此处仅对原始报文的标签进行举例说明，不对原始报文的标签做具体限定。
35.步骤s103，分别基于不同网络协议，对原始报文进行解码处理，得到目标报文。
36.在本发明上述步骤s103提供的技术方案中，不同网络协议可以为用户数据报协议(user datagram protocol，简称为udp)、传输控制协议(transmission control protocol，简称tcp)和因特网控制报文协议(internet control message protocol，简称为icmp)等。目标报文可以包括目标正常网络报文、目标单个网络入侵攻击报文和目标组合网络入侵攻击报文组。此处仅对不同网络协议可以包含的内容进行举例说明，不对不同网络协议可以包含的内容做具体限定。
37.可选地，udp协议是一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。tcp协议是一种面向连接的、可靠的、基于字节流的传输层通信协议。icmp协议是一种面向无连接的协议，用于传输出错报告控制信息。
38.在该实施例中，基于不同网络协议，可以对获得的原始报文进行解码处理，获得目标报文。比如，可以根据udp协议、tcp协议和icmp协议等协议对原始报文进行分析，按照数据流量包中各自的协议规则对原始报文进行解码处理，获得解码后的报文或报文组，也即目标报文，目标报文可以记为[a1,a2,a3,
…
,an]，其中，a1，a2，a3，
…
，an用于对目标报文的特征表示。
[0039]
步骤s104，至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果。
[0040]
在本发明上述步骤s104提供的技术方案中，网络入侵检测模型为基于车辆的报文样本和对应的检测结果样本进行训练得到，检测结果至少用于表示对车辆的车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为。其中，检测结果样本可以为检测结果标签样本，比如，无攻击行为标签、多种单攻击行为标签或者多种组合攻击行为标签等。此处仅对检测结果样本可以包含的内容进行举例说明，不对检测结果样本可以包含的内容做具体限定。
[0041]
在该实施例中，基于步骤s103中获得的目标报文，将获得的目标报文输入至网络入侵检测模型中进行检测，以便获得检测结果。比如，将目标正常网络报文输入至网络入侵检测模型中进行检测，可以获得无攻击行为的检测结果。
[0042]
可选地，可以为原始报文生成标签，将目标报文和标签输入至网络入侵检测模型中进行学习训练，获得最优模型参数，从而确定网络入侵检测模型，利用确定后的网络入侵检测模型可以获取目标报文的检测结果，以达到提高车辆网络入侵检测的效率的目的。
[0043]
本发明上述步骤s101至步骤s104，获取车辆的数据流量包，其中，数据流量包包括以下至少之一：正常数据流量包、异常数据流量包和攻击组合数据流量包；将数据流量包生成原始报文，其中，原始报文包括以下至少之一：与正常数据流量包对应的正常网络报文、与异常数据流量包对应的单个网络入侵攻击报文和与攻击组合数据流量包对应的组合网络入侵攻击报文组；分别基于不同网络协议，对原始报文进行解码处理，得到目标报文；至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果，其中，网络入侵检测模型为基于车辆的报文样本和对应的检测结果样本进行训练得到，检测结果至少用于表示对车辆的车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为。也就是说，本发明实施例基于获取到的车辆的数据流量包，生成原始报文，并分别基于不同的网络协议，对原始
报文进行解码处理，获得目标报文，将上述目标报文输入至网络入侵检测模型中进行检测，获得检测结果，从而解决了车辆网络入侵检测的效率低的技术问题，实现了提高车辆网络入侵检测的效率的技术效果。
[0044]
下面对该实施例的上述方法进行进一步介绍。
[0045]
作为一种可选的实施例方式，步骤s101，获取车辆的数据流量包，包括：在不同车载网络场景下对车辆进行监听，得到正常数据流量包。
[0046]
在该实施例中，不同车载网络场景可以包括控制单元局域网(controller area network，简称为can)、多媒体定向系统传输网(media oriented system transport，简称为most)、无线局域网(wireless local area networks，简称为wlan)、第四代移动通信技术/第五代移动通信技术(fourth generation communications system/5th generation mobile communication technology，简称为4g/5g)和车载以太网网络等。需要说明的是，此处仅对不同车载网络场景进行举例说明，不对不同车载网络场景可以包含的内容做具体限定，任何不同车载网络场景可以包含的内容均在本发明的保护范围内，此处不一一列举。
[0047]
在该实施例中，可以在数据采集模块中，监听车辆在不同车载网络场景下使用的网络流量，获取车辆的正常数据流量包，比如，可以监听车辆在wlan网络下使用的网络流量，从而达到获取在此场景下的正常数据流量包的目的。此处仅对获取正常数据流量包的方法做举例说明，不对获取正常数据流量包的方法做具体限定。
[0048]
作为一种可选的实施例方式，步骤s101，获取车辆的数据流量包，包括：根据网络入侵数据规则库，生成异常数据流量包，其中，网络入侵数据规则库至少包括网络攻击编号和网络攻击行为二者之间的映射关系。
[0049]
在该实施例中，网络攻击编号可以用阿拉伯数字表示，比如，1，2，3等。网络的攻击行为可以通过代码命令进行表示，比如，udp_port_scan攻击、tcp_syn_scan攻击、tcp_null_scan攻击、tcp_land_attack攻击、或tcp_fin_syn_stack_abnormal攻击等。此处仅网络攻击行为进行举例说明，不对网络攻击行为进行具体限定。
[0050]
在该实施例中，可以通过攻击数据生成模块中的网络入侵数据规则库，生成异常数据流量包。比如，当网络攻击编号为1时，则对应网络的攻击行为可以为udp_port_scan攻击，通过攻击数据生成模块，可以生成上述网络的攻击行为的异常数据流量包，也即为攻击报文。
[0051]
需要说明的是，此处仅为生成异常数据流量包的一种优选的实施方式，不对生成异常数据流量包的方法和过程进行具体限定，任何用于生成异常数据流量包的方法和过程均在本发明的保护范围内，此处再不一一赘述。
[0052]
作为一种可选的实施例方式，步骤s101，获取车辆的数据流量包，包括：对异常数据流量包进行分组，得到多个攻击模块组，其中，攻击模块组用于表示对异常数据流量包进行分类后的结果；分别选取多个攻击模块组中的攻击行为，得到攻击组合数据流量包。
[0053]
在该实施例中，可以通过将攻击数据生成模块中生成的异常数据流量包进行分组，获得多个攻击模块组，分别选取上述多个攻击模块组中的攻击行为，获得攻击组合数据流量包。
[0054]
可选地，可以将攻击数据生成模块中生成的异常数据流量包分为五大攻击模块组，每组选取一个攻击行为，将两组或者两组以上任意组合，以便生成一个组合数据流量
包，也即为组合攻击。比如，(1，9，8，15)可以为一个组合攻击，(2，10)可以为一个组合攻击，(15，22，11)可以为一个组合攻击等，其中，上述组合攻击中的数字表示的是网络入侵数据规则库中网络攻击行为对应的网络攻击编号。
[0055]
作为一种可选的实施例方式，将数据流量包生成原始报文，可以包括：为原始报文生成标签，其中，标签包括以下至少之一：与正常网络报文对应的无攻击行为标签、与单个网络入侵攻击报文对应的多种单攻击行为标签和与组合网络入侵攻击报文组对应的多种组合攻击行为标签。
[0056]
在该实施例中，可以通过训练集生成模块，为原始报文生成标签。比如，当原始报文可以为正常网络报文时，则对应的标签可以为无攻击行为标签。此处仅为举例说明，不做具体限定。
[0057]
举例而言，可以将数据采集模块、攻击数据生成模块和组合攻击行为数据生成模块输出的正常数据流量包、异常数据流量数据包和攻击组合数据流量包输入到训练集生成模块中，生成正常网络报文、单个网络入侵攻击报文、组合网络入侵攻击报文组，并分别生成对应标签，标签代表无攻击行为、多种单攻击行为、以及多种组合攻击行为。需要说明的是，此处仅为为原始报文生成标签的过程做举例说明，不对为原始报文生成标签的过程做具体限定。
[0058]
作为一种可选的实施例方式，至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果，可以包括：将目标报文和标签输入至网络入侵检测模型中进行训练，获得模型参数；基于模型参数更新网络入侵检测模型。
[0059]
在该实施例中，网络入侵检测模型可以由输入层、输出层、隐藏层构成，每层的输出可以为下一层的输入，每层的输出都是由当前层的权值和当前层输入决定的。
[0060]
可选地，可以将数据预处理模块中输出的目标报文，以及标签输入到该网络模型中，并作为隐藏层第一层的输入，隐藏层第一个神经元输出表达式为其中，w
1i
为权值，b1为当前层偏置值。以此类推，网络模型的输出为无攻击行为、多种单攻击行为、以及多种组合攻击行为。
[0061]
可选地，隐藏层使用激活函数为relu，f(x)＝max(0,x)，网络模型损失函数可以为k为数据集样本个数，z可以为攻击行为的期望输出，h可以为攻击行为的实际输出。其中，损失函数l(θ)是实际输出和期望输出的均方误差。当损失函数越小，模型参数训练地越好，网络模型的实际输出越接近期望输出。通过损失函数的反复修正来消除输出结果误差，以获得精准的数据特征，为车辆网络入侵检测模型提供准确的检测依据。
[0062]
在该实施例中，可以将获得的目标报文和标签输入至网络入侵检测模型中进行训练，获得模型参数，基于上述获得的模型参数，对网络入侵检测模型进行更新，从而达到确定网络入侵检测模型的目的。
[0063]
在本发明实施例基于获取到的车辆的数据流量包，生成原始报文，并分别基于不同的网络协议，对原始报文进行解码处理，获得目标报文，将上述目标报文输入至网络入侵检测模型中进行检测，获得检测结果，从而解决了车辆网络入侵检测的效率低的技术问题，
实现了提高车辆网络入侵检测的效率的技术效果。
[0064]
实施例2
[0065]
下面结合优选的实施方式对本发明实施例的技术方案进行举例说明。
[0066]
随着智能汽车的发展，很多汽车厂商遭到攻击威胁，很多攻击面从汽车终端到云端均有涉及，所以信息安全产业推出网络入侵检测技术，入侵检测作为一种主动防御技术，已逐渐成为确保网络系统安全的关键技术，入侵检测系统(intrusion detection system，简称为ids)是专为提供网络安全主动保护而设计的，它基于一定的安全策略来监控网络系统的运行，如果发现各种入侵行为，企图或结果，则会自动进行响应，有效防止非法访问或入侵。但是，现有入侵检测技术效率低，检测精准度低，并且不能检测出复杂的攻击。因而，为了解决上述问题，本发明提供了一种车辆网络入侵检测方法、装置、处理器和电子设备，以解决车辆网络入侵检测的效率低的技术问题。
[0067]
在一种可能的实现方式中，提供了一种车辆can网络的入侵检测方法、装置、电子设备和介质，该车辆can网络的入侵检测方法包括：获取车辆上can总线上传输的can数据，确定can数据的信息定义与预设规则集中包括的正常通讯信息定义的匹配结果，若匹配不一致，则确定can数据为异常数据，并对异常数据进行分析，得到车辆异常行为。本发明实施例可以针对车辆can网络进行实时检测，并根据预设规则集感知出攻击can数据和异常行为，能够实现针对总线型的车辆网络进行网络入侵检测，防止恶意攻击，从而提高了汽车网络的安全性。但是，上述方法仍然存在车辆网络入侵检测的效率低的技术问题。
[0068]
在另一种可能的实现方式中，提供了一种基于事件驱动与定时迁移的平台动态防御方法，该方法可以检测入侵检测系统是否遭到入侵，主要是检测入侵检测系统是否存在漏检情况，当检测到入侵检测系统存在漏检情况时，启用动态目标防御系统，进行固定时间间隔的主动迁移；当检测到入侵检测系统不存在漏检情况，且入侵检测系统检测到网络入侵时，启用动态目标防御系统，响应入侵检测告警，并随机选择平台迁移，动态改变平台架构和系统软件运行的系统环境。该方法能够使系统和攻击面不断变化，变化后的目标环境对于攻击者来说更加不确定，使得攻击者的侦察和攻击行动难以展开，目标平台运行的系统环境也无法确定。但是，上述方法仍然存在车辆网络入侵检测的效率低的技术问题。
[0069]
在另一种可能的实现方式中，提供了一种用于检测车载网络的入侵的系统和方法，该方法可以用于有效地管理多种检测技术的方法，这些检测技术可以在保持适合于安装在车辆中的入侵检测系统的架构，以及对所检测的攻击消息或安全事件的鲁棒性的同时，减少所需的系统资源。但是，上述方法仍然存在车辆网络入侵检测的效率低的技术问题。
[0070]
图2是根据本发明实施例的一种基于人工智能的车辆入侵检测系统的示意图，如图2所示，该方法可以包括：数据采集模块201、攻击数据生成模块202、组合攻击行为数据生成模块203、训练集生成模块204、数据预处理模块205和网络入侵检测模型206。
[0071]
数据采集模块201，通过对车辆can网络、most网络、wlan网络、4g/5g网络和车载以太网网络进行监听来获取正常数据流量包。
[0072]
攻击数据生成模块202，攻击数据生成模块内设网络入侵数据规则库，表1是网络攻击行为表，如表1所示，网络攻击行为有udp_port_scan攻击、tcp_syn_scan攻击、tcp_null_scan攻击、tcp_land_attack攻击和tcp_fin_syn_stack_abnormal攻击等，其余的网
络攻击行为如表1所示，此处不一一列举。攻击数据生成模块根据网络入侵数据规则库生成攻击报文，即异常数据流量包。
[0073]
表1网络攻击行为表
[0074]
网络攻击编号网络攻击行为1udp_port_scan攻击2tcp_syn_scan攻击3tcp_null_scan攻击4tcp_land_attack攻击5tcp_fin_syn_stack_abnormal攻击6tcp_fin_scan攻击7tcp_ack_scan攻击8icmp_large_ping攻击9icmp_echo_flooding攻击10icmp_echo_flooding攻击11icmp_forge_src_attack攻击12fraggle_attack和udp_port_flood攻击13udp_src_zero攻击14icmp_death_ping攻击15tcp_fin_syn_dos和tcp_fin_syn_stack_abnormal攻击16tcp_fin_rst_dos攻击17tcp_ack_fin_dos攻击18tcp_syn_ack_flood攻击19tcp_ack_rst_dos攻击20tcp_ack_psh_flood21tcp_syn_flood攻击22tcp_src_port_zero攻击23tcp_xmas_scan攻击24tcp_connect_scan攻击
……
[0075]
组合攻击行为数据生成模块203，攻击数据生成模块生成的异常数据流量包可以分为5个攻击模块组，每组取一个攻击行为数据，并将2组或2组以上的攻击行为数据任意组合，可以成为一个组合攻击事件。比如，(1，9，8，15)为一个组合攻击事件，(2，10)为一个组合攻击事件，(15，22，11)为一个组合攻击事件等，也即为攻击组合数据流量包。
[0076]
训练集生成模块204，将数据采集模块、攻击数据生成模块和组合攻击行为数据生成模块输出的正常数据流量包、异常流量数据包和攻击组合数据流量包输入到训练集生成模块中，生成正常网络报文、单个网络入侵攻击报文、组合网络入侵攻击报文组，并分别生成对应标签，而标签代表无攻击行为、多种单攻击行为、以及多种组合攻击行为。
[0077]
数据预处理模块205，网络入侵检测模型所要检测的网络数据报文来自can网络、most网络、wlan网络、4g/5g网络和以太网网络，数据预处理模块对训练集生成模块输出的
正常网络报文、单个网络入侵攻击报文、组合网络入侵攻击报文组进行处理，根据udp协议、tcp协议、icmp协议进行分析，按照数据包各自的协议规则对上述报文组进行解码处理，解码后的报文或报文组记为[a1,a2,a3,
…
,an]。
[0078]
网络入侵检测模型206，将解码后的报文或报文组，以及对应的标签输入至网络中进行训练。网络入侵检测模型由输入层、输出层、隐藏层构成，每层的输出为下一层的输入，每层的输出都是由当前层的权值和当前层输入决定的。
[0079]
可选地，可以将数据预处理模块中，解码处理后的报文组以及标签输入到网络中，作为隐藏层第一层的输入，隐藏层第一个神经元输出表达式为其中，w
1i
为权值，b1为当前层偏置值。以此类推，网络模型的输出为无攻击行为、多种单攻击行为、以及多种组合攻击行为。
[0080]
可选地，隐藏层使用激活函数为relu，f(x)＝max(0,x)，网络模型损失函数可以为k为数据集样本个数，z可以为攻击行为的期望输出，h可以为攻击行为的实际输出。损失函数l(θ)是实际输出和期望输出的均方误差。损失函数越小，参数训练地越好，网络模型的实际输出越接近期望输出。通过损失函数的反复修正来消除输出结果误差，得到精准的数据特征，为车辆网络入侵检测模型提供准确的检测依据。
[0081]
图3是根据本发明实施例的一种基于人工智能的车辆入侵检测方法的流程图，如图3所示，该方法可以包括如下步骤：
[0082]
步骤s301，获取车载网络的正常数据流量包、异常数据流量包和攻击组合数据流量包。
[0083]
可选地，该实施例利用数据采集模块对车辆can网络、most网络、wlan网络、4g/5g网络和车载以太网网络进行监听获得正常数据流量包。
[0084]
可选地，可以利用攻击数据生成模块，根据网络入侵数据规则库生成攻击报文，也即为异常数据流量包。
[0085]
可选地，组合攻击行为生成模块通过异常流量包得到组合攻击事件，也即为攻击组合数据流量包。
[0086]
步骤s302，将正常数据流量包、异常数据流量包和攻击组合数据流量包输入到训练集生成模块中，生成正常网络报文、单个网络入侵攻击报文、组合网络入侵攻击报文组，并分别生成对应标签。
[0087]
可选地，将数据采集模块、攻击数据生成模块和组合攻击行为数据生成模块输出的正常数据流量包、异常流量数据包和攻击组合流量包输入到训练集生成模块中，生成正常网络报文组、单个网络入侵攻击报文组、组合网络入侵攻击报文组，并分别生成对应标签。
[0088]
步骤s303，将正常网络报文、单个网络入侵攻击报文、组合网络入侵攻击报文组进行处理，可以按照数据包各自的协议规则对其进行解码处理。
[0089]
步骤s304，将解码后的报文或报文组，以及标签输入到网络进行训练，得到网络入侵检测模型，并利用该模型输出检测结果。
[0090]
在步骤s301至步骤s304，首先利用数据采集模块对车辆can网络、most网络、wlan
网络、4g/5g网络和车载以太网网络进行监听获得正常数据流量包，利用攻击数据生成模块，根据网络入侵数据规则库生成攻击报文，获取异常数据流量包，利用组合攻击行为生成模块通过异常流量包得到组合攻击事件，获得攻击组合数据流量包。然后将正常数据流量包、异常数据流量包和攻击组合数据流量包输入到训练集生成模块中，生成正常网络报文、单个网络入侵攻击报文、组合网络入侵攻击报文组，并分别生成对应标签，将正常网络报文、单个网络入侵攻击报文、组合网络入侵攻击报文组进行处理，可以按照数据包各自的协议规则对其进行解码处理，最终，可以将解码后的报文或报文组，以及标签输入到网络进行训练，得到网络入侵检测模型，并利用该模型输出检测结果，从而解决了车辆网络入侵检测的效率低的技术问题，实现了提高车辆网络入侵检测的效率的技术效果。
[0091]
实施例3
[0092]
根据本发明实施例，提供了一种车辆网络入侵检测装置。需要说明的是，该车辆网络入侵检测装置可以用于执行实施例1中的一种车辆网络入侵检测方法。
[0093]
图4是根据本发明实施例的一种车辆网络入侵检测装置的示意图。如图4所示，一种车辆网络入侵检测装置400可以包括：第一获取单元401、生成单元402、第二获取单元403和检测单元404。
[0094]
第一获取单元401，用于获取车辆的数据流量包，其中，数据流量包包括以下至少之一：正常数据流量包、异常数据流量包和攻击组合数据流量包。
[0095]
生成单元402，用于将数据流量包生成原始报文，其中，原始报文包括以下至少之一：与正常数据流量包对应的正常网络报文、与异常数据流量包对应的单个网络入侵攻击报文和与攻击组合数据流量包对应的组合网络入侵攻击报文组。
[0096]
第二获取单元403，用于分别基于不同网络协议，对原始报文进行解码处理，得到目标报文。
[0097]
检测单元404，用于至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果，其中，网络入侵检测模型为基于车辆的报文样本和对应的检测结果样本进行训练得到，检测结果至少用于表示对车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为。
[0098]
可选地，第一获取单元401包括：第一获取模块，用于在不同车载网络场景下对车辆进行监听，得到正常数据流量包。
[0099]
可选地，第一获取单元401还可以包括：第一生成模块，用于根据网络入侵数据规则库，生成异常数据流量包，其中，网络入侵数据规则库至少包括网络攻击编号和网络攻击行为二者之间的映射关系。
[0100]
可选地，第一获取单元401还可以包括：第二获取模块，用于对异常数据流量包进行分组，得到多个攻击模块组，其中，攻击模块组用于表示对异常数据流量包进行分类后的结果；第三获取模块，用于分别选取多个攻击模块组中的攻击行为，得到攻击组合数据流量包。
[0101]
可选地，生成单元402可以包括：第二生成模块，用于为原始报文生成标签，其中，标签包括以下至少之一：与正常网络报文对应的无攻击行为标签、与单个网络入侵攻击报文对应的多种单攻击行为标签和与组合网络入侵攻击报文组对应的多种组合攻击行为标签。
[0102]
可选地，检测单元404可以包括：第四获取模块，用于将目标报文和标签输入至网络入侵检测模型中进行训练，获得模型参数；基于模型参数更新网络入侵检测模型。
[0103]
在该实施例中，通过第一获取单元用于获取车辆的数据流量包，其中，数据流量包包括以下至少之一：正常数据流量包、异常数据流量包和攻击组合数据流量包；生成单元，用于将数据流量包生成原始报文，其中，原始报文包括以下至少之一：与正常数据流量包对应的正常网络报文、与异常数据流量包对应的单个网络入侵攻击报文和与攻击组合数据流量包对应的组合网络入侵攻击报文组；第二获取单元，用于分别基于不同网络协议，对原始报文进行解码处理，得到目标报文；检测单元，用于至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果，其中，网络入侵检测模型为基于车辆的报文样本和对应的检测结果样本进行训练得到，检测结果至少用于表示对车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为，从而解决了车辆网络入侵检测的效率低的技术问题，实现了提高车辆网络入侵检测的效率的技术效果。
[0104]
实施例4
[0105]
根据本发明实施例，还提供了一种计算机可读存储介质，该计算机可读存储介质包括存储的程序，其中，在程序运行时控制计算机可读存储介质所在设备执行实施例1中的车辆网络入侵检测方法。
[0106]
实施例5
[0107]
根据本发明实施例，还提供了一种处理器，该处理器用于运行程序，其中，程序运行时执行实施例1中的车辆网络入侵检测方法。
[0108]
实施例6
[0109]
根据本发明实施例，还提供了一种电子设备，该电子设备包括一个或多个处理器和存储器，存储器用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，执行实施例1中的车辆网络入侵检测方法。
[0110]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0111]
在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。
[0112]
在本发明所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
[0113]
作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0114]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0115]
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可
以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0116]
以上仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

技术特征：
1.一种车辆网络入侵检测方法，其特征在于，包括：获取车辆的数据流量包，其中，所述数据流量包包括以下至少之一：正常数据流量包、异常数据流量包和攻击组合数据流量包；将所述数据流量包生成原始报文，其中，所述原始报文包括以下至少之一：与所述正常数据流量包对应的正常网络报文、与所述异常数据流量包对应的单个网络入侵攻击报文和与所述攻击组合数据流量包对应的组合网络入侵攻击报文组；分别基于不同网络协议，对所述原始报文进行解码处理，得到目标报文；至少将所述目标报文输入至网络入侵检测模型中进行检测，得到检测结果，其中，所述网络入侵检测模型为基于所述车辆的报文样本和对应的检测结果样本进行训练得到，所述检测结果至少用于表示对所述车辆的车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为。2.根据权利要求1所述的方法，其特征在于，获取车辆的数据流量包，包括：在不同车载网络场景下对所述车辆进行监听，得到所述正常数据流量包。3.根据权利要求1所述的方法，其特征在于，获取车辆的数据流量包，包括：根据网络入侵数据规则库，生成所述异常数据流量包，其中，所述网络入侵数据规则库至少包括网络攻击编号和网络攻击行为二者之间的映射关系。4.根据权利要求1所述的方法，其特征在于，获取车辆的数据流量包，包括：对所述异常数据流量包进行分组，得到多个攻击模块组，其中，所述攻击模块组用于表示对所述异常数据流量包进行分类后的结果；分别选取所述多个攻击模块组中的攻击行为，得到所述攻击组合数据流量包。5.根据权利要求1所述的方法，其特征在于，将所述数据流量包生成原始报文，包括：为所述原始报文生成标签，其中，所述标签包括以下至少之一：与所述正常网络报文对应的无攻击行为标签、与所述单个网络入侵攻击报文对应的多种单攻击行为标签和与所述组合网络入侵攻击报文组对应的多种组合攻击行为标签。6.根据权利要求5所述的方法，其特征在于，至少将所述目标报文输入至网络入侵检测模型中进行检测，得到检测结果，包括：将所述目标报文和所述标签输入至所述网络入侵检测模型中进行训练，获得模型参数；基于所述模型参数更新所述网络入侵检测模型。7.一种车辆网络入侵检测装置，其特征在于，包括：第一获取单元，用于获取车辆的数据流量包，其中，所述数据流量包包括以下至少之一：正常数据流量包、异常数据流量包和攻击组合数据流量包；生成单元，用于将所述数据流量包生成原始报文，其中，所述原始报文包括以下至少之一：与所述正常数据流量包对应的正常网络报文、与所述异常数据流量包对应的单个网络入侵攻击报文和与所述攻击组合数据流量包对应的组合网络入侵攻击报文组；第二获取单元，用于分别基于不同网络协议，对所述原始报文进行解码处理，得到目标报文；检测单元，用于至少将所述目标报文输入至网络入侵检测模型中进行检测，得到检测结果，其中，所述网络入侵检测模型为基于所述车辆的报文样本和对应的检测结果样本进
行训练得到，所述检测结果至少用于表示对车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为。8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的程序，其中，在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至6中任意一项所述的车辆网络入侵检测方法。9.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序被所述处理器运行时执行权利要求1至6中任意一项所述的车辆网络入侵检测方法。10.一种电子设备，其特征在于，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至6中任意一项所述的车辆网络入侵检测方法。

技术总结
本发明公开了一种车辆网络入侵检测方法、装置、处理器和电子设备。该方法包括：获取车辆的数据流量包；将数据流量包生成原始报文；分别基于不同网络协议，对原始报文进行解码处理，得到目标报文；至少将目标报文输入至网络入侵检测模型中进行检测，得到检测结果，其中，网络入侵检测模型为基于车辆的报文样本和对应的检测结果样本进行训练得到，检测结果至少用于表示对车辆的车载网络的无攻击行为、多种单攻击行为和多种组合攻击行为。本发明解决了车辆网络入侵检测的效率低的技术问题。车辆网络入侵检测的效率低的技术问题。车辆网络入侵检测的效率低的技术问题。


技术研发人员：安然 孙琦 汤利顺 禹晶晶 祝偲博 张笑游 郭雨鑫 吕兴栋 张东波
受保护的技术使用者：中国第一汽车股份有限公司
技术研发日：2023.06.01
技术公布日：2023/8/21