车辆的安全防护方法、装置、计算机设备和存储介质与流程

1.本技术涉及车辆防护技术领域，特别是涉及一种车辆的安全防护方法、装置、计算机设备、存储介质和计算机程序产品。


背景技术：

2.随着车辆网联化技术的发展，车辆遭受网络异常行为的风险显著增加。
3.相关技术中，车辆端配置有车辆入侵检测与防御系统，通过车辆入侵检测与防御系统，可以检测车辆运行过程中遭受的网络异常行为，但是针对网络异常行为的防护，大多是通过人工手动执行，存在响应滞后的问题，无法对网络异常行为进行有效防护。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种的车辆的安全防护方法、装置、计算机设备、计算机可读存储介质和计算机程序产品，能够提升车辆的安全防护效率。
5.第一方面，本技术提供了一种车辆的安全防护方法。所述方法包括：
6.获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
7.第二方面，本技术还提供了一种车辆的安全防护装置。所述装置包括：
8.数据获取模块，用于获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；
9.安全告警信息确定模块，用于通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；
10.防护脚本获取模块，用于当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；
11.防护模块，用于将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
12.在一些实施例中，数据获取模块，还用于向车辆入侵检测与防御系统发送防护指令，防护指令用于指示车辆入侵检测与防御系统通过探针获取运行状态数据，对运行状态数据进行处理得到攻击事件，确定攻击事件对应的攻击信息；接收车辆入侵检测与防御系统发送的攻击事件和攻击信息。
13.在一些实施例中，安全告警信息确定模块，还用于获取攻击事件对应的事件类型，并依据时间类型获取对应的事件分析模型；通过事件分析模型对攻击信息进行处理，得到安全告警信息。
14.在一些实施例中，事件分析模型包括特征提取子模型和分类子模型，安全告警信息确定模块包括特征提取单元和分类单元；特征提取单元用于通过特征提取子模型对攻击信息进行特征提取，得到攻击特征；分类单元用于通过分类子模型对攻击特征进行分类处
理，得到安全告警信息。
15.在一些实施例中，攻击事件包括多个攻击事件，车辆的安全防护装置还包括：集合划分单元，用于依据多个攻击事件各自对应的事件类型，将多个攻击事件划分为攻击事件集合；相应地，安全告警信息确定模块，还用于将攻击事件集合包括的至少两个攻击事件各自对应的攻击信息融合，得到目标信息；通过攻击事件集合的事件类型所对应的事件分析模型，对目标信息进行处理，得到安全告警信息。
16.在一些实施例中，车辆的安全防护装置还包括：判定模块，用于当告警概率属于预设区间时，确定安全告警信息符合防护条件；防护脚本获取模块，还用于当安全告警信息符合防护条件时，获取防护脚本清单；在防护脚本清单中获取与告警类型对应的防护脚本。
17.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
18.获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
19.第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
20.获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
21.第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
22.获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
23.上述车辆的安全防护方法、装置、计算机设备、存储介质和计算机程序产品，获取车辆入侵检测与防御系统上报的攻击事件和攻击信息，根据攻击事件对应的事件分析模型对攻击信息进行处理，得到安全告警信息，在安全告警信息符合防护条件时，获取防护脚本，将防护脚本发送至车辆入侵检测与防御系统，以使得车辆入侵检测与防御系统依据防护脚本对攻击事件进行防护；通过攻击事件对应的事件分析模型对攻击信息进行处理，提升了安全告警信息的准确度；在安全告警信息符合防护条件时，下发防护脚本以进行防护，避免了防护滥用导致误杀正常访问的情况，提升了安全防护的针对性，并且车辆的安全防护方法的全过程均不需要人工参与，可以实现自动响应，提升了车辆的防护效率。
附图说明
24.图1为一个实施例中车辆的安全防护方法的应用环境图；
25.图2为一个实施例中车辆的安全防护方法的流程示意图；
26.图3为一个实施例中idsp和vsoc的结构示意图；
27.图4为一个实施例中通过事件分析模型处理异常登录事件的攻击信息的示意图；
28.图5为一个实施例中对属于同一事件类型的攻击事件进行处理的示意图；
29.图6为一个实施例中通过不同事件类型各自对应的事件分析模型，处理不同事件类型的攻击事件的示意图；
30.图7为另一个实施例中车辆的安全防护方法的流程示意图；
31.图8为一个实施例中车辆的安全防护装置的结构框图；
32.图9为一个实施例中计算机设备的内部结构图。
具体实施方式
33.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
34.本技术实施例提供的车辆的安全防护方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上，也可以放在云上或其他网络服务器上。
35.以车辆的安全防护方法应用于服务器104为例进行说明，服务器104可以获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；服务器104通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；当安全告警信息符合防护条件时，服务器104依据安全告警信息获取防护脚本；服务器104将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
36.其中，终端102可以是智能车载设备，服务器104可以是独立的物理服务器，也可以是区块链系统中的服务节点，该区块链系统中的各服务节点之间形成组成点对点(p2p，peer to peer)网络，p2p协议是一个运行在传输控制协议(tcp，transmission control protocol)协议之上的应用层协议。
37.此外，服务器104还可以是多个物理服务器构成的服务器集群，可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(content delivery network，cdn)、以及大数据和人工智能平台等基础云计算服务的云服务器。
38.终端102与服务器104之间可以通过蓝牙、usb(universal serial bus，通用串行总线)或者网络等通讯连接方式进行连接，本技术在此不做限制。
39.在一个实施例中，如图2所示，提供了一种车辆的安全防护方法，该方法由图1中的服务器执行，也可以由图1中的服务器和终端协同执行，以该方法由图1中的服务器执行为例进行说明，包括以下步骤：
40.步骤202，获取车辆入侵检测与防御系统上报的攻击事件和攻击信息。
41.其中，车辆入侵检测与防御系统即idps(intrusion detection&prevention system)，idps可以检测攻击事件，并进行防御。
42.其中，攻击事件包括但不限于异常登录事件、服务攻击事件和文件篡改事件；攻击信息可以是攻击事件对应的攻击源信息、攻击时间信息、攻击流量信息。
43.在一些实施例中，车辆入侵检测与防御系统可以配置在车载终端上，即车载终端通过车辆入侵检测与防御系统上报攻击事件和攻击信息。
44.在一些实施例中，车辆入侵检测与防御系统实时检测车辆在网络上的运行状态数据，并对运行状态数据进行分析；当车辆遭受网络异常行为时，车辆入侵检测与防御系统可以根据运行状态数据分析得到攻击事件，在车辆入侵检测与防御系统确定攻击事件后，获取攻击事件对应的攻击信息，将攻击事件和攻击信息发送到服务器。
45.示例性地，攻击者连接到车辆网络，并对车辆网络的网关设备进行一次弱口令登录，车辆入侵检测与防御系统实时检测的运行状态数据包括异常数据流量，对包括异常数据流量的运行状态数据进行分析，确定攻击事件为异常登录事件，车辆入侵检测与防御系统获取异常登录事件对应的攻击信息，攻击信息包括：源ip地址和攻击时间，将异常登录事件、源ip地址和攻击时间发送至服务器。
46.步骤204，通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息。
47.其中，事件分析模型用于处理攻击事件。攻击事件对应的事件分析模型，可以是攻击事件的事件类型所对应的事件分析模型。
48.在一些实施例中，步骤204包括：获取攻击事件对应的事件类型，并依据事件类型获取对应的事件分析模型；通过事件分析模型对攻击信息进行处理，得到安全告警信息。
49.在一些实施例中，服务器获取攻击事件的事件类型，依据攻击事件的事件类型确定事件分析模型，将攻击事件的攻击信息输入至事件分析模型，通过事件分析模型输出安全告警信息。依据攻击事件的事件类型所对应的事件分析模型对攻击信息进行处理，得到安全告警信息，使得事件分析模型可以针对同一事件类型的攻击信息进行处理，提升了安全告警信息的准确度。
50.在一些实施例中，服务器获取攻击事件的事件类型，可以是服务器依据攻击事件，在模型列表中查找攻击事件对应的事件类型。
51.在一些实施例中，当服务器未获取到事件类型对应的事件分析模型时，可以发出新建模型提示，可以通过声光结合画面显示的方式发出新建模型提示，服务器依据新建模型提示接收事件类型对应的事件分析模型；比如，新建模型提示用于指示工作人员创建事件类型对应的事件分析模型，将事件类型对应的事件分析模型提交至服务器，使得服务器可以获取到事件类型对应的事件分析模型。
52.在一些实施例中，服务器配置有车辆安全运营中心，即vsoc；车辆安全运营中心可以保证大量车辆免受网络异常行为的影响，比如避免通过网络造成攻击的情况；也就是说，可以是idps确定攻击事件，将攻击事件和攻击信息上报至vsoc，由vsoc通过事件分析模型对攻击信息进行处理，得到安全告警信息。
53.步骤206，当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本。
54.其中，安全告警信息包括告警类型和告警概率，告警类型是多个预设告警类型中的一个。
55.示例性地，事件分析模型度攻击信息进行处理，得到多个预设告警类型各自对应的预测概率，将预测概率最高的预设告警类型作为告警类型，将最高的预测概率作为告警概率。
56.在一些实施例中，车辆的安全防护方法还包括：当告警概率属于预设区间时，确定安全告警信息符合防护条件；步骤206包括：当安全告警信息符合防护条件时，获取防护脚本清单；在防护脚本清单中获取与告警类型对应的防护脚本。
57.其中，安全告警信息符合防护条件，可以是告警概率属于预设区间；需要说明的是，属于预设区间的告警概率，大于不属于预设区间的告警概率。预设区间的具体取值可以根据实际需求设定，示例性地，预设区间可以是[80％,100％],本技术实施例对此不进行限定。
[0058]
当安全告警信息包括的告警概率属于预设区间时，服务器可以根据告警类型查询对应的防护脚本，具体为，获取防护脚本清单，防护脚本清单包括多个告警类型、多个防护脚本，以及多个告警类型和多个防护脚本之间的对应关系，服务器依据告警类型在防护脚本清单中获取对应的防护脚本。
[0059]
在一些实施例中，当服务器未获取到告警类型对应的防护脚本时，发出新建脚本提示，可以通过声光结合画面显示的方式发出新建脚本提示，服务器依据新建脚本提示接收告警类型对应的防护脚本，将接收的防护脚本添加到防护脚本清单，并建立接收的防护脚本与告警类型的对应关系；比如，新建脚本提示用于指示工作人员创建告警类型对应的防护脚本，将创建的防护脚本提交至服务器，使得服务器接收到告警类型对应的防护脚本。
[0060]
在一些实施例中，服务器可以通过vsoc判定安全告警信息是否符合防护条件，并在安全告警信息符合防护条件时，获取安全告警信息对应的防护脚本。
[0061]
步骤208，将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
[0062]
在一些实施例中，服务器将防护脚本发送至车辆入侵检测与防御系统，以使得车辆入侵检测与防御系统运行防护脚本，以对攻击事件进行防护。
[0063]
在一些实施例中，攻击事件携带有车辆的唯一标识，服务器可以获取攻击事件携带的唯一标识，在发送防护脚本时，可以将与唯一标识相关联的防护脚本发送至车辆入侵检测与防御系统。
[0064]
示例性地，当攻击事件是异常登录事件时，车辆入侵检测与防御系统运行防护脚本，以实现对异常登录事件对应的源ip地址进行拦截，使得后续不响应来自该源ip地址的请求。
[0065]
在一些实施例中，服务器可以通过vsoc将防护脚本下发至idsp，通过idsp运行idsp防护脚本，以对攻击事件进行防护。
[0066]
上述车辆的安全防护方法中，获取车辆入侵检测与防御系统上报的攻击事件和攻击信息，根据攻击事件对应的事件分析模型对攻击信息进行处理，得到安全告警信息，在安全告警信息符合防护条件时，获取防护脚本，将防护脚本发送至车辆入侵检测与防御系统，以使得车辆入侵检测与防御系统依据防护脚本对攻击事件进行防护；通过攻击事件对应的事件分析模型对攻击信息进行处理，提升了安全告警信息的准确度；在安全告警信息符合防护条件时，下发防护脚本以进行防护，避免了防护滥用导致误杀正常访问的情况，提升了安全防护的针对性，并且车辆的安全防护方法的全过程均不需要人工参与，可以实现自动响应，提升了车辆的防护效率。
[0067]
在一些实施例中，获取车辆入侵检测与防御系统上报的运行状态数据和对应的攻
击事件，包括：向车辆入侵检测与防御系统发送防护指令，防护指令用于指示车辆入侵检测与防御系统通过探针获取运行状态数据，对运行状态数据进行处理得到攻击事件，确定攻击事件对应的攻击信息；接收车辆入侵检测与防御系统发送的攻击事件和攻击信息。
[0068]
其中，探针是车辆入侵检测与防御系统所配置的探针，包括但不限于网络探针、应用探针、文件探针和资源探针，通过上述探针获取的运行状态数据包括但不限于网络连接情况、应用运行情况、日志运行信息和资源占用情况；网络探针用于对车辆的网络连接情况进行检测分析，应用探针用于对车辆中各应用的应用运行情况进行检测分析，文件探针的用于对日志运行信息进行检测分析，资源探针用于对资源占用情况进行检测分析。
[0069]
攻击事件包括但不限于网络连接异常事件、dos攻击事件、资源占用异常事件和文件修改事件。
[0070]
示例性地，如图3所示，idsp包括网络探针、应用探针、文件探针和资源探针，vsoc包括事件获取单元、事件分析单元、探针配置单元和响应接口；idsp通过网络探针、应用探针、文件探针和资源探针获取车辆的运行状态数据，vsoc通过事件获取单元接收攻击事件，通过事件分析单元确定安全告警信息，通过响应接口下发防护脚本至idsp。
[0071]
在一些实施例中，服务器向车辆入侵检测与防御系统发送防护指令，车辆入侵检测与防御系统根据防护指令开始检测车辆的运行状态；具体地，车辆入侵检测与防御系统通过探针周期性地获取车辆的运行状态数据，并对运行状态数据进行分析，在运行状态数据异常的情况下，车辆入侵检测与防御系统可以分析得到攻击事件，获取攻击事件对应的攻击信息，将攻击事件和对应的攻击信息发送到服务器。
[0072]
在一些实施例中，可以通过vsoc向车载终端的idsp发送防护指令，idsp通过探针获取运行状态数据，并确定攻击事件，将攻击事件和攻击信息发送至vsoc，以使得vsoc接收到攻击事件和攻击信息。
[0073]
示例性地，攻击者连接到车辆网络，对车辆网络进行ping操作(发送ping操作，以探测车辆网络的路由数量)、网络扫描操作和ssh爆破操作，其中，ssh(secure shell)是一种网络安全协议；idsp获取到ping操作、网络扫描操作和ssh爆破操作各自对应的流量，并对获取的流量进行处理，确定ping攻击事件、网络扫描攻击事件和shh爆破攻击事件，idsp获取ping攻击事件、网络扫描攻击事件和shh爆破攻击事件各自对应的五元组信息和攻击时间，idsp将ping攻击事件、网络扫描攻击事件和shh爆破攻击事件，以及ping攻击事件、网络扫描攻击事件和shh爆破攻击事件各自对应的五元组信息和攻击时间发送至vsoc。
[0074]
在上述实施例中，车辆入侵检测与防御系统通过探针获取车辆的运行状态数据，并分析得到攻击事件，将攻击事件和对应的攻击信息发送到服务器，以便于服务器根据攻击事件和攻击信息确定安全告警信息。
[0075]
在一些实施例中，事件分析模型包括特征提取子模型和分类子模型；通过事件分析模型对攻击信息进行处理，得到安全告警信息，包括：通过特征提取子模型对攻击信息进行特征提取，得到攻击特征；通过分类子模型对攻击特征进行分类处理，得到安全告警信息。
[0076]
在一些实施例中，服务器将攻击信息转换为预设输入格式的待处理信息，将待处理信息输入至特征提取子模型，通过特征提取子模型输出攻击特征，将攻击特征输入至分类子模型，通过分类子模型对攻击特征进行分类，通过分类子模型的输出结果确定安全告
警信息。
[0077]
在一些实施例中，安全告警信息包括安全告警类型和安全告警概率，分类子模型对攻击特征进行分类，输出攻击事件属于各预设类型各自对应的预测概率，服务器将各预测概率中最大的预测概率作为安全告警概率，最大的预测概率对应的预设类型作为安全告警类型。
[0078]
示例性地，如图4所示，攻击事件为异常登录事件，vsoc根据异常登录事件的事件类型获取对应的事件分析模型，将异常登录事件对应的源ip地址和攻击时间(攻击信息)转换为预设输入格式的待处理信息，将待处理信息至事件分析模型包括的特征提取子模型，通过特征提取子模型输出攻击特征，将攻击特征输入至事件分析模型包括的分类子模型，通过分类子模型确定安全告警类型为异常登录告警，异常登录告警的安全告警概率为85％。
[0079]
在上述实施例中，根据攻击信息，通过特征提取子模型和分类子模型，确定安全告警信息，提升了安全告警信息的准确度。
[0080]
在一些实施例中，攻击事件包括多个攻击事件；车辆的安全防护还包括：依据多个攻击事件各自对应的事件类型，将多个攻击事件划分为攻击事件集合；通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息，包括：将攻击事件集合包括的至少两个攻击事件各自对应的攻击信息融合，得到目标信息；通过攻击事件集合的事件类型所对应的事件分析模型，对目标信息进行处理，得到安全告警信息通过攻击事件集合的事件类型所对应的事件分析模型，对目标信息进行处理，得到安全告警信息。
[0081]
其中，多个攻击事件来自于同一车载终端，相应地，攻击信息包括多个攻击事件各自对应的攻击信息。
[0082]
在一些实施例中，vsoc对多个攻击事件进行分类，得到至少一个攻击事件集合，攻击事件集合中的攻击事件属于同一事件类型；对于每一攻击事件集合，将该攻击事件集合中各攻击事件分别对应的攻击信息融合，可以是将各攻击信息拼接，得到目标信息；服务器将目标信息装换为预设格式的待处理信息，通过事件类型对应的事件分析模型对待处理信息进行处理，得到安全告警信息。
[0083]
示例性地，如图5所示，攻击事件1和攻击事件2属于同一事件类型，将攻击事件1的攻击信息1和攻击事件2的攻击信息2拼接，得到目标信息，通过该事件类型所对应的事件分析模型，对目标信息进行处理，得到安全告警信息。
[0084]
在一些实施例中，各攻击信息包括至少一个字段的信息，将各攻击信息拼接，得到目标信息，可以是将属于同一字段的信息拼接得到该字段的整合信息，将至少一个字段的整合信息拼接得到目标信息；至少一个字段可以包括：ip地址字段和攻击时间字段。
[0085]
示例性地，攻击信息包括属于ip地址字段和攻击时间字段的信息，多个攻击事件分别为攻击事件1和攻击事件2，将攻击事件2对应的属于ip地址字段的信息，拼接于攻击事件2对应的属于ip地址字段的信息之后，得到属于ip地址字段的整合信息；将攻击事件2对应的属于攻击时间字段的信息，拼接于攻击事件2对应的属于攻击时间字段的信息之后，得到属于攻击时间字段的整合信息；将属于攻击时间字段的整合信息，拼接在属于ip地址字段的整合信息之后，得到目标信息。
[0086]
示例性地，攻击事件包括ping攻击事件、网络扫描攻击事件和shh爆破攻击事件，
vsoc确定ping攻击事件、网络扫描攻击事件和shh爆破攻击事件均属于shh爆破事件类型，因此ping攻击事件、网络扫描攻击事件和shh爆破攻击事件属于同一攻击事件集合；vsoc将ping攻击事件、网络扫描攻击事件和shh爆破攻击事件各自对应的五元组信息和攻击时间拼接，得到目标信息，通过事件分析模型对目标信息进行处理，确定安全告警类型为ssh服务攻击告警，ssh服务攻击告警的安全告警概率为80％。
[0087]
示例性地，如图6所示，攻击事件1和攻击事件2属于事件类型a，通过事件类型a对应的事件分析模型a，对攻击事件1和攻击事件2对应的目标信息1进行处理；攻击事件3和攻击事件4属于事件类型b，通过事件类型b对应的事件分析模型b，对攻击事件3和攻击事件4对应的目标信息2进行处理。
[0088]
在上述实施例中，当接收到多个攻击事件时，按照事件类型划分攻击事件集合，将至少两个攻击事件各自对应的攻击信息融合，得到目标信息，对目标信息进行处理得到安全告警信息，不需要依次处理每个攻击事件，提升了安全防护效率。
[0089]
在一些实施例中，攻击事件为针对车载终端服务平台的配置文件所进行的文件篡改事件，攻击信息为该配置文件；获取文件篡改事件对应的事件分析模型，对配置文件进行处理，确定安全告警信包括文件篡改类型和对应的告警概率，当安全告警信息符合防护条件，且未获取到对应防护脚本时，依据配置文件生成告警工单，告警工单用于指示工作对象对文件篡改事件进行防护。
[0090]
在一些实施例中，如图7所示，车辆的安全防护方法包括：idsp通过探针获取车辆的运行状态数据；idsp根据车辆的运行状态数据确定攻击事件，向vsoc发送攻击事件；vsoc根据对攻击事件进行处理，得到安全告警信息；vsoc判断安全告警信息是否满足防护条件，若不满足，则结束，若满足，则vsoc根据安全告警信息获取防护脚本，vsoc向idsp发送防护脚本，idsp执行防护脚本以进行安全防护。
[0091]
上述车辆的安全防护方法，获取车辆入侵检测与防御系统上报的攻击事件和攻击信息，根据攻击事件对应的事件分析模型对攻击信息进行处理，得到安全告警信息，在安全告警信息符合防护条件时，获取防护脚本，将防护脚本发送至车辆入侵检测与防御系统，以使得车辆入侵检测与防御系统依据防护脚本对攻击事件进行防护；通过攻击事件对应的事件分析模型对攻击信息进行处理，提升了安全告警信息的准确度；在安全告警信息符合防护条件时，下发防护脚本以进行防护，避免了防护滥用导致误杀正常访问的情况，提升了安全防护的针对性，并且车辆的安全防护方法的全过程均不需要人工参与，可以实现自动响应，提升了车辆的防护效率。
[0092]
应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0093]
基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的车辆的安全防护方法的车辆的安全防护装置。该装置所提供的解决问题的实现方案与上述方法中
所记载的实现方案相似，故下面所提供的一个或多个车辆的安全防护装置实施例中的具体限定可以参见上文中对于车辆的安全防护方法的限定，在此不再赘述。
[0094]
在一个实施例中，如图8所示，提供了一种车辆的安全防护装置，包括：数据获取模块801、安全告警信息确定模块802、防护脚本获取模块803和防护模块804，其中：
[0095]
数据获取模块801，用于获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；
[0096]
安全告警信息确定模块802，用于通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；
[0097]
防护脚本获取模块803，用于当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；
[0098]
防护模块804，用于将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
[0099]
在一些实施例中，数据获取模块801，还用于向车辆入侵检测与防御系统发送防护指令，防护指令用于指示车辆入侵检测与防御系统通过探针获取运行状态数据，对运行状态数据进行处理得到攻击事件，确定攻击事件对应的攻击信息；接收车辆入侵检测与防御系统发送的攻击事件和攻击信息。
[0100]
在一些实施例中，安全告警信息确定模块802，还用于获取攻击事件对应的事件类型，并依据时间类型获取对应的事件分析模型；通过事件分析模型对攻击信息进行处理，得到安全告警信息。
[0101]
在一些实施例中，事件分析模型包括特征提取子模型和分类子模型，安全告警信息确定模块802包括特征提取单元和分类单元；特征提取单元用于通过特征提取子模型对攻击信息进行特征提取，得到攻击特征；分类单元用于通过分类子模型对攻击特征进行分类处理，得到安全告警信息。
[0102]
在一些实施例中，攻击事件包括多个攻击事件，车辆的安全防护装置还包括：集合划分单元，用于依据多个攻击事件各自对应的事件类型，将多个攻击事件划分为攻击事件集合；相应地，安全告警信息确定模块802，还用于将攻击事件集合包括的至少两个攻击事件各自对应的攻击信息融合，得到目标信息；通过攻击事件集合的事件类型所对应的事件分析模型，对目标信息进行处理，得到安全告警信息。
[0103]
在一些实施例中，车辆的安全防护装置还包括：判定模块，用于当告警概率属于预设区间时，确定安全告警信息符合防护条件；防护脚本获取模块803，还用于当安全告警信息符合防护条件时，获取防护脚本清单；在防护脚本清单中获取与告警类型对应的防护脚本。
[0104]
上述车辆的安全防护装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0105]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图9所示。该计算机设备包括处理器、存储器、输入/输出接口(input/output，简称i/o)和通信接口。其中，处理器、存储器和输入/输出接口通过系统总线连接，通信接口通过输入/输出接口连接到系统总线。其中，该计算机设备的处理器用于提供计算和控制能
力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储事件分析模型和防护脚本。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种车辆的安全防护方法。
[0106]
本领域技术人员可以理解，图9中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0107]
在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：
[0108]
获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
[0109]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
[0110]
获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
[0111]
在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
[0112]
获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。
[0113]
需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
[0114]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，
pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
[0115]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0116]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：
1.一种车辆的安全防护方法，其特征在于，所述方法包括：获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；通过所述攻击事件对应的事件分析模型，对所述攻击信息进行处理，得到安全告警信息；当所述安全告警信息符合防护条件时，依据所述安全告警信息获取防护脚本；将所述防护脚本发送至车辆入侵检测与防御系统，所述防护脚本用于指示所述车辆入侵检测与防御系统对所述攻击事件进行防护。2.根据权利要求1所述的方法，其特征在于，所述获取车辆入侵检测与防御系统上报的运行状态数据和对应的攻击事件，包括：向车辆入侵检测与防御系统发送防护指令，所述防护指令用于指示所述车辆入侵检测与防御系统通过探针获取运行状态数据，对所述运行状态数据进行处理得到攻击事件，确定所述攻击事件对应的攻击信息；接收所述车辆入侵检测与防御系统发送的所述攻击事件和所述攻击信息。3.根据权利要求1所述的方法，其特征在于，所述通过所述攻击事件对应的事件分析模型，对所述攻击信息进行处理，得到安全告警信息，包括：获取所述攻击事件对应的事件类型，并依据所述时间类型获取对应的事件分析模型；通过所述事件分析模型对所述攻击信息进行处理，得到安全告警信息。4.根据权利要求3所述的方法，其特征在于，所述事件分析模型包括特征提取子模型和分类子模型；所述通过所述事件分析模型对所述攻击信息进行处理，得到安全告警信息，包括：通过所述特征提取子模型对攻击信息进行特征提取，得到攻击特征；通过所述分类子模型对所述攻击特征进行分类处理，得到安全告警信息。5.根据权利要求1所述的方法，其特征在于，所述攻击事件包括多个攻击事件；所述方法还包括：依据所述多个攻击事件各自对应的事件类型，将所述多个攻击事件划分为攻击事件集合；所述通过所述攻击事件对应的事件分析模型，对所述攻击信息进行处理，得到安全告警信息，包括：将所述攻击事件集合包括的至少两个攻击事件各自对应的攻击信息融合，得到目标信息；通过攻击事件集合的事件类型所对应的事件分析模型，对所述目标信息进行处理，得到安全告警信息。6.根据权利要求1所述的方法，其特征在于，所述安全告警信息包括告警类型和告警概率；所述方法还包括：当所述告警概率属于预设区间时，确定所述安全告警信息符合所述防护条件；所述当所述安全告警信息符合防护条件时，依据所述安全告警信息获取防护脚本，包括：当所述安全告警信息符合防护条件时，获取防护脚本清单；在所述防护脚本清单中获取与所述告警类型对应的防护脚本。
7.一种车辆的安全防护装置，其特征在于，所述装置包括：数据获取模块，用于获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；安全告警信息确定模块，用于通过所述攻击事件对应的事件分析模型，对所述攻击信息进行处理，得到安全告警信息；防护脚本获取模块，用于当所述安全告警信息符合防护条件时，依据所述安全告警信息获取防护脚本；防护模块，用于将所述防护脚本发送至车辆入侵检测与防御系统，所述防护脚本用于指示所述车辆入侵检测与防御系统对所述攻击事件进行防护。8.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。10.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。

技术总结
本申请涉及一种车辆的安全防护方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括：获取车辆入侵检测与防御系统上报的攻击事件和攻击信息；通过攻击事件对应的事件分析模型，对攻击信息进行处理，得到安全告警信息；当安全告警信息符合防护条件时，依据安全告警信息获取防护脚本；将防护脚本发送至车辆入侵检测与防御系统，防护脚本用于指示车辆入侵检测与防御系统对攻击事件进行防护。采用本方法能够提升车辆的安全防护效率。用本方法能够提升车辆的安全防护效率。用本方法能够提升车辆的安全防护效率。


技术研发人员：郭平 梁亚丽 王占春 詹悦 郑岩 王柏淇 李木子 刘传 李新雨 陈浩 姜佳成 周婉莹 姜锐 陈悦 赵超 张跃华
受保护的技术使用者：一汽解放汽车有限公司
技术研发日：2023.07.10
技术公布日：2023/10/11