车辆入侵检测及预测模型训练方法、装置及存储介质与流程

本发明涉及计算机应用技术，特别涉及车辆入侵检测及预测模型训练方法、装置及存储介质。

背景技术：

CAN是控制器局域网络(CAN，Controller Area Network)的简称，CAN总线协议已经成为汽车计算机控制系统和嵌入式工业控制局域网的标准总线。

通过CAN总线，可控制发动机、变速箱、制动防抱死系统(ABS，Antilock Brake System)等车身安全模块，并将转速、车速、油温等共享至全车，实现车辆智能化控制，如高速时自动锁闭车门，安全气囊弹出时自动开启车门等功能。

车辆入侵，通常是指通过入侵CAN总线攻击车辆的行为，如控制车辆方向盘和刹车等，严重影响车辆安全，因此需要进行车辆入侵检测，以便及时发现车辆入侵行为。

目前常见的车辆入侵检测方式都是基于规则和签名的，即黑名单的形式，非常容易绕过和漏报，从而导致检测结果的准确性比较低，而且维护规则的成本很高，另外，CAN报文的格式通常不公开，各家车企都不完全相同，基于规则和签名的入侵检测方式可扩展性非常差，需要针对不同车企分别定制。

技术实现要素：

有鉴于此，本发明提供了车辆入侵检测及预测模型训练方法、装置及存储介质。

具体技术方案如下：

一种车辆入侵检测方法，包括：

监听车辆运行过程中控制器局域网络CAN总线上的CAN报文；

根据监听到的CAN报文生成报文分片，每个报文分片中分别包括连续的N个CAN报文，N为大于一的正整数；

针对每次生成的报文分片，利用预先训练得到的预测模型，预测出所述报文分片之后的下一个CAN报文，根据预测出的所述报文分片之后的下一个CAN报文确定出是否发生车辆入侵行为。

根据本发明一优选实施例，所述根据监听到的CAN报文生成报文分片包括：

按照时间由先到后的顺序，将监听到的每连续N个CAN报文作为一个报文分片，其中，相邻两次生成的报文分片之间存在重叠，或者，相邻两次生成的报文分片之间不存在重叠。

根据本发明一优选实施例，所述相邻两次生成的报文分片之间存在重叠包括：

第二报文分片中的第一个CAN报文为第一报文分片中除第一个CAN报文之外的任一CAN报文，其中，所述第二报文分片为相邻两次生成的报文分片中在后生成的报文分片，所述第一报文分片为相邻两次生成的报文分片中在先生成的报文分片；

所述相邻两次生成的报文分片之间不存在重叠包括：

所述第二报文分片中的第一个CAN报文与所述第一报文分片中的最后一个CAN报文为相邻的CAN报文；

或者，所述第二报文分片中的第一个CAN报文与所述第一报文分片中的最后一个CAN报文之间至少间隔一个CAN报文。

根据本发明一优选实施例，所述预测模型包括：基于长短期记忆网络LSTM的深度学习模型。

根据本发明一优选实施例，所述根据预测出的所述报文分片之后的下一个CAN报文确定出是否发生车辆入侵行为包括：

比较预测出的所述报文分片之后的下一个CAN报文与监听到的所述报文分片之后的下一个CAN报文之间的差别；

若所述差别大于预定阈值，则确定发生车辆入侵行为。

一种预测模型训练方法，包括：

监听车辆正常运行过程中控制器局域网络CAN总线上的CAN报文；

根据监听到的CAN报文生成报文分片，每个报文分片中分别包括连续的N个CAN报文，N为大于一的正整数；

基于生成的报文分片以及监听到的每个报文分片之后的下一个CAN报文训练出预测模型，以便在进行车辆入侵检测时，利用所述预测模型预测出输入的报文分片之后的下一个CAN报文，根据预测出的下一个CAN报文确定出是否发生车辆入侵行为。

根据本发明一优选实施例，所述根据监听到的CAN报文生成报文分片包括：

按照时间由先到后的顺序，将监听到的每连续N个CAN报文作为一个报文分片，其中，相邻两次生成的报文分片之间存在重叠，或者，相邻两次生成的报文分片之间不存在重叠。

根据本发明一优选实施例，所述相邻两次生成的报文分片之间存在重叠包括：

第二报文分片中的第一个CAN报文为第一报文分片中除第一个CAN报文之外的任一CAN报文，其中，所述第二报文分片为相邻两次生成的报文分片中在后生成的报文分片，所述第一报文分片为相邻两次生成的报文分片中在先生成的报文分片；

所述相邻两次生成的报文分片之间不存在重叠包括：

所述第二报文分片中的第一个CAN报文与所述第一报文分片中的最后一个CAN报文为相邻的CAN报文；

或者，所述第二报文分片中的第一个CAN报文与所述第一报文分片中的最后一个CAN报文之间至少间隔一个CAN报文。

根据本发明一优选实施例，所述预测模型包括：基于长短期记忆网络LSTM的深度学习模型。

根据本发明一优选实施例，所述基于生成的报文分片以及监听到的每个报文分片之后的下一个CAN报文训练出预测模型包括：

训练过程中，每次向所述预测模型输入一个报文分片后，通过比对所述预测模型预测出的所述报文分片之后的下一个CAN报文与监听到的所述报文分片之后的下一个CAN报文之间的差别，反向传递调整模型参数。

一种车辆入侵检测装置，包括：第一生成单元以及入侵检测单元；

所述第一生成单元，用于监听车辆运行过程中控制器局域网络CAN总线上的CAN报文，根据监听到的CAN报文生成报文分片，每个报文分片中分别包括连续的N个CAN报文，N为大于一的正整数；

所述入侵检测单元，用于针对每次生成的报文分片，利用预先训练得到的预测模型，预测出所述报文分片之后的下一个CAN报文，根据预测出的所述报文分片之后的下一个CAN报文确定出是否发生车辆入侵行为。

根据本发明一优选实施例，所述第一生成单元按照时间由先到后的顺序，将监听到的每连续N个CAN报文作为一个报文分片，其中，相邻两次生成的报文分片之间存在重叠，或者，相邻两次生成的报文分片之间不存在重叠。

根据本发明一优选实施例，第二报文分片中的第一个CAN报文为第一报文分片中除第一个CAN报文之外的任一CAN报文，其中，所述第二报文分片为相邻两次生成的报文分片中在后生成的报文分片，所述第一报文分片为相邻两次生成的报文分片中在先生成的报文分片；

或者，所述第二报文分片中的第一个CAN报文与所述第一报文分片中的最后一个CAN报文为相邻的CAN报文；

或者，所述第二报文分片中的第一个CAN报文与所述第一报文分片中的最后一个CAN报文之间至少间隔一个CAN报文。

根据本发明一优选实施例，所述预测模型包括：基于长短期记忆网络LSTM的深度学习模型。

根据本发明一优选实施例，所述入侵检测单元比较预测出的所述报文分片之后的下一个CAN报文与监听到的所述报文分片之后的下一个CAN报文之间的差别，若所述差别大于预定阈值，则确定发生车辆入侵行为。

一种预测模型训练装置，包括：第二生成单元以及模型训练单元；

所述第二生成单元，用于监听车辆正常运行过程中控制器局域网络CAN总线上的CAN报文，根据监听到的CAN报文生成报文分片，每个报文分片中分别包括连续的N个CAN报文，N为大于一的正整数；

所述模型训练单元，用于基于生成的报文分片以及监听到的每个报文分片之后的下一个CAN报文训练出预测模型，以便在进行车辆入侵检测时，利用所述预测模型预测出输入的报文分片之后的下一个CAN报文，根据预测出的下一个CAN报文确定出是否发生车辆入侵行为。

根据本发明一优选实施例，所述第二生成单元按照时间由先到后的顺序，将监听到的每连续N个CAN报文作为一个报文分片，其中，相邻两次生成的报文分片之间存在重叠，或者，相邻两次生成的报文分片之间不存在重叠。

根据本发明一优选实施例，第二报文分片中的第一个CAN报文为第一报文分片中除第一个CAN报文之外的任一CAN报文，其中，所述第二报文分片为相邻两次生成的报文分片中在后生成的报文分片，所述第一报文分片为相邻两次生成的报文分片中在先生成的报文分片；

或者，所述第二报文分片中的第一个CAN报文与所述第一报文分片中的最后一个CAN报文为相邻的CAN报文；

或者，所述第二报文分片中的第一个CAN报文与所述第一报文分片中的最后一个CAN报文之间至少间隔一个CAN报文。

根据本发明一优选实施例，所述预测模型包括：基于长短期记忆网络LSTM的深度学习模型。

根据本发明一优选实施例，所述模型训练单元在训练过程中，每次向所述预测模型输入一个报文分片后，通过比对所述预测模型预测出的所述报文分片之后的下一个CAN报文与监听到的所述报文分片之后的下一个CAN报文之间的差别，反向传递调整模型参数。

一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如以上所述的方法。

一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如以上所述的方法。

基于上述介绍可以看出，采用本发明所述方案，可基于机器学习实现车辆入侵检测，不需要依赖于静态的规则，从而尽可能地避免了绕过和漏报的情况，提高了检测结果的准确性，而且不用维护规则，降低了实现成本，再有，整个过程不需要解析CAN报文格式，从而可适用于各不同车企的CAN报文，具有很强的可扩展性。

【附图说明】

图1为本发明所述预测模型训练方法实施例的流程图。

图2为本发明所述车辆入侵检测方法实施例的流程图。

图3为本发明所述车辆入侵检测装置实施例的组成结构示意图。

图4为本发明所述预测模型训练装置实施例的组成结构示意图。

图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框图。

【具体实施方式】

为了使本发明的技术方案更加清楚、明白，以下参照附图并举实施例，对本发明所述方案进行进一步说明。

显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

另外，应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本发明中提出了一种车辆入侵检测方法，可监听车辆运行过程中CAN总线上的CAN报文，并可根据监听到的CAN报文生成报文分片，每个报文分片中可分别包括连续的N个CAN报文，N为大于一的正整数，针对每次生成的报文分片，可利用预先训练得到的预测模型，预测出该报文分片之后的下一个CAN报文，进而可根据预测出的该报文分片之后的下一个CAN报文确定出是否发生车辆入侵行为。

可以看出，为实现本发明所述车辆入侵检测方法，需要首先训练得到预测模型。

图1为本发明所述预测模型训练方法实施例的流程图。如图1所示，包括以下具体实现方式。

在101中，监听车辆正常运行过程中CAN总线上的CAN报文。

在102中，根据监听到的CAN报文生成报文分片，每个报文分片中分别包括连续的N个CAN报文，N为大于一的正整数。

在103中，基于生成的报文分片以及监听到的每个报文分片之后的下一个CAN报文训练出预测模型，以便在进行车辆入侵检测时，利用预测模型预测出输入的报文分片之后的下一个CAN报文，根据预测出的下一个CAN报文确定出是否发生车辆入侵行为。

在机器学习领域，通常会使用异常检测算法，通过学习正常样本，学习出白模型，然后再使用白模型去检测异常，如果出现偏离白模型超过一定阈值的行为，则可判定为异常行为，比较典型的异常识别模型为基于长短期记忆网络(LSTM，Long Short-Term Memory)的深度学习模型，本发明所述方案中的预测模型即可为基于LSTM的深度学习模型。

LSTM是一种时间递归神经网络，适合于处理和预测时间序列中间隔和延迟相对较长的重要事件。LSTM已经在科技领域有了诸多应用，基于LSTM的系统可以执行控制机器人、图像分析、文档摘要、语音识别、图像识别、手写识别、预测疾病、合成音乐等各种任务。

为训练得到基于LSTM的深度学习模型，可监听车辆正常运行过程中CAN总线上的CAN报文，并可按照时间由先到后的顺序，将监听到的每连续N个CAN报文作为一个报文分片，其中，相邻两次生成的报文分片之间存在重叠，或者，相邻两次生成的报文分片之间不存在重叠。

N为大于一的正整数，具体取值可根据实际需要而定，优选地，N的取值可为10，即可按照时间由先到后的顺序，将每连续10个CAN报文作为一个报文分片。

相邻两次生成的报文分片之间存在重叠可包括：第二报文分片中的第一个CAN报文为第一报文分片中除第一个CAN报文之外的任一CAN报文，其中，第二报文分片为相邻两次生成的报文分片中在后生成的报文分片，第一报文分片为相邻两次生成的报文分片中在先生成的报文分片。

比如，将监听到的第一个CAN报文编号为CAN报文1，将监听到的第二个CAN报文编号为CAN报文2，将监听到的第三个CAN报文编号为CAN报文3，依此类推，那么可分别将CAN报文1-CAN报文10、CAN报文2-CAN报文11、CAN报文3-CAN报文12等作为一个报文分片，或者，可分别将CAN报文1-CAN报文10、CAN报文3-CAN报文12、CAN报文5-CAN报文14等作为一个报文分片。

第二报文分片与第一报文分片重叠的CAN报文的个数不限，可根据实际需要而定。

相邻两次生成的报文分片之间不存在重叠可包括：第二报文分片中的第一个CAN报文与第一报文分片中的最后一个CAN报文为相邻的CAN报文。

比如，将监听到的第一个CAN报文编号为CAN报文1，将监听到的第二个CAN报文编号为CAN报文2，将监听到的第三个CAN报文编号为CAN报文3，依此类推，那么可分别将CAN报文1-CAN报文10、CAN报文11-CAN报文20、CAN报文21-CAN报文30等作为一个报文分片。

相邻两次生成的报文分片之间不存在重叠还可包括：第二报文分片中的第一个CAN报文与第一报文分片中的最后一个CAN报文之间至少间隔一个CAN报文，具体间隔的CAN报文个数可根据实际需要而定。

比如，将监听到的第一个CAN报文编号为CAN报文1，将监听到的第二个CAN报文编号为CAN报文2，将监听到的第三个CAN报文编号为CAN报文3，依此类推，那么可分别将CAN报文1-CAN报文10、CAN报文13-CAN报文22、CAN报文25-CAN报文34等作为一个报文分片。

基于按照上述方式生成的报文分片以及监听到的每个报文分片之后的下一个CAN报文，可训练出预测模型。比如，某一报文分片由CAN报文11-CAN报文20组成，那么该报文分片之后的下一个CAN报文即为CAN报文21。再比如，某一报文分片由CAN报文5-CAN报文14组成，那么该报文分片之后的下一个CAN报文即为CAN报文15。

训练过程中，每次向基于LSTM的深度学习模型输入一个报文分片后，可通过比对基于LSTM的深度学习模型预测出的该报文分片之后的下一个CAN报文与监听到的该报文分片之后的下一个CAN报文之间的差别，在优化器的作用下，反向传递调整模型参数，达到训练模型的目的。通过长期监听车辆正常运行过程中产生的CAN报文，基于LSTM训练出白模型。

一个CAN报文通常为8字节，可以解析成指令和对应的参数两部分，比如，“加速到60公里”这个CAN报文，可以解析为指令“加速”和参数“60”，但由于CAN报文的格式通常不公开，每家车企都不完全相同，因此很难对不同车企的CAN报文进行准确解析。

本实施例中，无需进行CAN报文的解析，可直接将根据CAN报文生成的报文分片作为基于LSTM的深度学习模型的输入，模型的输出为预测出的输入的报文分片之后的下一个CAN报文。

一个CAN报文为8字节，那么基于LSTM的深度学习模型的输入则为8N(N为一个报文分片中的CAN报文个数)大小，输出大小为8。

在训练得到基于LSTM的深度学习模型之后，即可利用该模型来进行在线的车辆入侵检测。

图2为本发明所述车辆入侵检测方法实施例的流程图。如图2所示，包括以下具体实现方式。

在201中，监听车辆运行过程中CAN总线上的CAN报文。

在202中，根据监听到的CAN报文生成报文分片，每个报文分片中分别包括连续的N个CAN报文，N为大于一的正整数。

在203中，针对每次生成的报文分片，利用预先训练得到的预测模型，预测出该报文分片之后的下一个CAN报文，根据预测出的该报文分片之后的下一个CAN报文确定出是否发生车辆入侵行为。

优选地，所述预测模型可为基于LSTM的深度学习模型。

为实现车辆入侵检测，可监听车辆运行过程中CAN总线上的CAN报文，并可按照时间由先到后的顺序，将监听到的每连续N个CAN报文作为一个报文分片，其中，相邻两次生成的报文分片之间存在重叠，或者，相邻两次生成的报文分片之间不存在重叠

N为大于一的正整数，具体取值可根据实际需要而定，优选地，N的取值可为10，即可按照时间由先到后的顺序，将每连续10个CAN报文作为一个报文分片。

相邻两次生成的报文分片之间存在重叠可包括：第二报文分片中的第一个CAN报文为第一报文分片中除第一个CAN报文之外的任一CAN报文，其中，第二报文分片为相邻两次生成的报文分片中在后生成的报文分片，第一报文分片为相邻两次生成的报文分片中在先生成的报文分片。

相邻两次生成的报文分片之间不存在重叠可包括：第二报文分片中的第一个CAN报文与第一报文分片中的最后一个CAN报文为相邻的CAN报文；或者，第二报文分片中的第一个CAN报文与第一报文分片中的最后一个CAN报文之间至少间隔一个CAN报文。

针对每个报文分片，可分别将其作为基于LSTM的深度学习模型的输入，得到基于LSTM的深度学习模型输出的、预测出该报文分片之后的下一个CAN报文，之后可根据预测出的该报文分片之后的下一个CAN报文确定出是否发生车辆入侵行为。

具体地，可比较预测出的该报文分片之后的下一个CAN报文(预测值)与监听到的该报文分片之后的下一个CAN报文(真实值)之间的差别，若差别大于预定阈值，则可确定发生车辆入侵行为。

比如，可计算预测出的该报文分片之后的下一个CAN报文与监听到的该报文分片之后的下一个CAN报文之间的欧几里得距离，如果距离大于阈值，则可确定发生车辆入侵行为。所述阈值的具体取值可根据实际需要而定。

一旦针对任一报文分片检测到异常，即预测出的该报文分片之后的下一个CAN报文与监听到的该报文分片之后的下一个CAN报文之间的差别大于阈值，则可确定发生车辆入侵行为，从而可上报给相关人员进行处理等。

需要说明的是，对于前述的各方法实施例，为了简单描述，将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

总之，采用本发明方法实施例所述方案，可基于机器学习实现车辆入侵检测，不需要依赖于静态的规则，从而尽可能地避免了绕过和漏报的情况，并可发现规则以外的攻击行为，提高了检测结果的准确性，而且不用维护规则，降低了实现成本，再有，整个过程不需要解析CAN报文格式，从而可适用于各不同车企的CAN报文，具有很强的可扩展性等。

以上是关于方法实施例的介绍，以下通过装置实施例，对本发明所述方案进行进一步说明。

图3为本发明所述车辆入侵检测装置实施例的组成结构示意图。如图3所示，包括：第一生成单元301以及入侵检测单元302。

第一生成单元301，用于监听车辆运行过程中CAN总线上的CAN报文，根据监听到的CAN报文生成报文分片，每个报文分片中分别包括连续的N个CAN报文，N为大于一的正整数。

入侵检测单元302，用于针对每次生成的报文分片，利用预先训练得到的预测模型，预测出该报文分片之后的下一个CAN报文，根据预测出的该报文分片之后的下一个CAN报文确定出是否发生车辆入侵行为。

优选地，所述预测模型可为基于LSTM的深度学习模型。

为实现车辆入侵检测，第一生成单元301可按照时间由先到后的顺序，将监听到的每连续N个CAN报文作为一个报文分片，其中，相邻两次生成的报文分片之间存在重叠，或者，相邻两次生成的报文分片之间不存在重叠。N为大于一的正整数，具体取值可根据实际需要而定，优选地，N的取值可为10，即可按照时间由先到后的顺序，将每连续10个CAN报文作为一个报文分片。

相邻两次生成的报文分片之间存在重叠可包括：第二报文分片中的第一个CAN报文为第一报文分片中除第一个CAN报文之外的任一CAN报文，其中，第二报文分片为相邻两次生成的报文分片中在后生成的报文分片，第一报文分片为相邻两次生成的报文分片中在先生成的报文分片。

相邻两次生成的报文分片之间不存在重叠可包括：第二报文分片中的第一个CAN报文与第一报文分片中的最后一个CAN报文为相邻的CAN报文；或者，第二报文分片中的第一个CAN报文与第一报文分片中的最后一个CAN报文之间至少间隔一个CAN报文。

针对每个报文分片，入侵检测单元302可分别将其作为基于LSTM的深度学习模型的输入，得到基于LSTM的深度学习模型输出的、预测出该报文分片之后的下一个CAN报文，之后可根据预测出的该报文分片之后的下一个CAN报文确定出是否发生车辆入侵行为。

具体地，入侵检测单元302可比较预测出的该报文分片之后的下一个CAN报文与监听到的该报文分片之后的下一个CAN报文之间的差别，若差别大于预定阈值，则可确定发生车辆入侵行为。比如，可计算预测出的该报文分片之后的下一个CAN报文与监听到的该报文分片之后的下一个CAN报文之间的欧几里得距离，如果距离大于阈值，则可确定发生车辆入侵行为。所述阈值的具体取值可根据实际需要而定。

图4为本发明所述预测模型训练装置实施例的组成结构示意图。如图4所示，包括：第二生成单元401以及模型训练单元402。

第二生成单元401，用于监听车辆正常运行过程中CAN总线上的CAN报文，根据监听到的CAN报文生成报文分片，每个报文分片中分别包括连续的N个CAN报文，N为大于一的正整数。

模型训练单元402，用于基于生成的报文分片以及监听到的每个报文分片之后的下一个CAN报文训练出预测模型，以便在进行车辆入侵检测时，利用预测模型预测出输入的报文分片之后的下一个CAN报文，根据预测出的下一个CAN报文确定出是否发生车辆入侵行为。

优选地，所述预测模型可为基于长短期记忆网络LSTM的深度学习模型。

为训练得到基于LSTM的深度学习模型，第二生成单元401可监听车辆正常运行过程中CAN总线上的CAN报文，并可按照时间由先到后的顺序，将监听到的每连续N个CAN报文作为一个报文分片，其中，相邻两次生成的报文分片之间存在重叠，或者，相邻两次生成的报文分片之间不存在重叠。N为大于一的正整数，具体取值可根据实际需要而定，优选地，N的取值可为10，即可按照时间由先到后的顺序，将每连续10个CAN报文作为一个报文分片。

相邻两次生成的报文分片之间存在重叠可包括：第二报文分片中的第一个CAN报文为第一报文分片中除第一个CAN报文之外的任一CAN报文，其中，第二报文分片为相邻两次生成的报文分片中在后生成的报文分片，第一报文分片为相邻两次生成的报文分片中在先生成的报文分片。

相邻两次生成的报文分片之间不存在重叠可包括：第二报文分片中的第一个CAN报文与第一报文分片中的最后一个CAN报文为相邻的CAN报文，或者，第二报文分片中的第一个CAN报文与第一报文分片中的最后一个CAN报文之间至少间隔一个CAN报文，具体间隔的CAN报文个数可根据实际需要而定。

模型训练单元402可基于生成的报文分片以及监听到的每个报文分片之后的下一个CAN报文，训练出基于LSTM的深度学习模型。训练过程中，每次向基于LSTM的深度学习模型输入一个报文分片后，可通过比对基于LSTM的深度学习模型预测出的该报文分片之后的下一个CAN报文与监听到的该报文分片之后的下一个CAN报文之间的差别，反向传递调整模型参数。

图3和图4所示装置实施例的具体工作流程请参照前述方法实施例中的相关说明，不再赘述。在实际应用中，图3和图4所示装置可分别为独立的装置，也可合并为一个装置。

总之，采用本发明装置实施例所述方案，可基于机器学习实现车辆入侵检测，不需要依赖于静态的规则，从而尽可能地避免了绕过和漏报的情况，并可发现规则以外的攻击行为，提高了检测结果的准确性，而且不用维护规则，降低了实现成本，再有，整个过程不需要解析CAN报文格式，从而可适用于各不同车企的CAN报文，具有很强的可扩展性等。

图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框图。图5显示的计算机系统/服务器12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图5所示，计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于：一个或者多个处理器(处理单元)16，存储器28，连接不同系统组件(包括存储器28和处理器16)的总线18。

总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(ISA)总线，微通道体系结构(MAC)总线，增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。

计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图5未显示，通常称为“硬盘驱动器”)。尽管图5中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如存储器28中，这样的程序模块42包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。

计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信，和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且，计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图5所示，网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白，尽管图中未示出，可以结合计算机系统/服务器12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

处理器16通过运行存储在存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现图1或图2所示实施例中的方法。

本发明同时公开了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时将实现如图1或图2所示实施例中的方法。

可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法等，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。