车载网络入侵检测方法、装置、电子设备及存储介质与流程

1.本公开涉及汽车信息安全领域，尤其涉及一种车载网络入侵检测方法、装置、电子设备及存储介质。


背景技术：

2.智能化、网联化是汽车未来的发展趋势，网络安全防护对于车辆安全起着至关重要的作用。autosar(automotive open system architecture，即汽车开放系统架构)组织提出ap(adaptive platform，自适应平台)，ap系统主要提供高性能的计算和通信机制，并提供灵活的软件配置，例如支持ota(over the air，空中下载技术)，其搭载在车载中央网关或者域控制器上。为保证autosar ap系统不受外部侵犯，各大主机厂在autosar ap系统上部署网络入侵检测系统。
3.现有技术中，在autosar ap系统以容器方式部署和集成一个网络入侵检测系统，通过配置容器资源占用参数来限制对系统资源的过载使用。然而，现有技术虽然可以解决入侵检测系统资源占用过载的问题，但是当网络流量突增或者系统资源不足时，网络入侵检测引擎可能会因频繁触发到容器设置的资源上限值，导致容器反复重启的问题。
4.因此，如何减轻网络入侵检测系统的负担，减少触发容器资源上限的频率是当前亟需解决的问题。


技术实现要素：

5.为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种车载网络入侵检测方法、装置、电子设备及存储介质，解决了现有技术网络入侵检测引擎因频繁触发到容器设置的资源上限值，导致容器反复重启的问题。
6.为了提高网络入侵检测效率和系统资源消耗，可以在入侵检测前对待检测流量进行数据过滤，过滤掉一些无需检测的数据。
7.为了实现上述目的，本公开实施例提供技术方案如下：
8.第一方面，本公开的实施例提供一种车载网络入侵检测方法，所述方法包括：
9.获取可信流量规则表；所述可信流量规则表包括：连接五元组、连接方向、流量触发时间段、连接发生频率、流量关联应用信誉度、以及流量可信度；
10.根据所述可信流量规则表，获取待检测流量的流量可信度；
11.确定网络入侵检测引擎的负载状态；所述网络入侵检测引擎的负载状态包括：低负载状态、中负载状态、高负载状态、以及异常状态；
12.将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤；
13.若所述待检测流量不需要过滤，则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。
14.作为本公开实施例一种可选的实施方式，所述获取可信流量规则表，包括：
15.获取待检测流量的报文信息、流量触发时间段、连接发生频率、以及流量关联应用信誉度；所述待检测流量的报文信息包括连接五元组和连接方向；
16.根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度，确定所述待检测流量的流量可信度；
17.根据所述待检测流量的报文信息、所述流量触发时间段、所述连接发生频率、所述流量关联应用信誉度、以及所述待检测流量的流量可信度，获取可信流量规则表。
18.作为本公开实施例一种可选的实施方式，所述根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度，确定所述待检测流量的流量可信度，包括：
19.根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度的乘积，获取所述待检测流量的流量可信度。
20.作为本公开实施例一种可选的实施方式，所述确定网络入侵检测引擎的负载状态，包括：
21.根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值，确定所述网络入侵检测引擎的负载状态。
22.作为本公开实施例一种可选的实施方式，所述根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值，确定所述网络入侵检测引擎的负载状态，包括：
23.当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值小于等于第一预设值时，确定所述网络入侵检测引擎的负载状态为低负载状态；
24.当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第一预设值，且小于等于第二预设值时，确定所述网络入侵检测引擎的负载状态为中负载状态；
25.当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第二预设值，且小于等于第三预设值时，确定所述网络入侵检测引擎的负载状态为高负载状态；
26.当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第三预设值，且小于等于第四预设值时，确定所述网络入侵检测引擎的负载状态为异常状态。
27.作为本公开实施例一种可选的实施方式，在将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤之前，所述方法还包括：
28.根据所述流量可信度和所述网络入侵检测引擎的负载状态，设置流量过滤规则。
29.作为本公开实施例一种可选的实施方式，根据所述流量可信度和所述网络入侵检测引擎的负载状态，设置流量过滤规则，包括：
30.根据所述流量可信度将所述待检测流量划分为高可信度流量、中可信度流量、以及低可信度流量中的任意一个；
31.当所述网络入侵检测引擎的负载状态为低负载状态时，则无需过滤流量；
32.当所述网络入侵检测引擎的负载状态为中负载状态时，则过滤掉所述高可信度流量；
33.当所述网络入侵检测引擎的负载状态为高负载状态时，则过滤掉所述高可信度流量和所述中可信度流量；
34.当所述网络入侵检测引擎的负载状态为异常状态时，则过滤掉所述高可信度流量、所述中可信度流量、以及所述低可信度流量。
35.第二方面，本公开实施例提供一种车载网络入侵检测装置，包括：
36.规则表获取模块，用于获取可信流量规则表；所述可信流量规则表包括：连接五元组、连接方向、流量触发时间段、连接发生频率、流量关联应用信誉度、以及流量可信度；
37.可信度获取模块，用于根据所述可信流量规则表，获取待检测流量的流量可信度；
38.状态确定模块，用于确定网络入侵检测引擎的负载状态；所述网络入侵检测引擎的负载状态包括：低负载状态、中负载状态、高负载状态、以及异常状态；
39.流量过滤模块，用于将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤；
40.入侵检测模块，用于若所述待检测流量不需要过滤，则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。
41.作为本公开实施例一种可选的实施方式，所述规则表获取模块包括：
42.获取单元，用于获取待检测流量的报文信息、流量触发时间段、连接发生频率、以及流量关联应用信誉度；所述待检测流量的报文信息包括连接五元组和连接方向；
43.确定单元，用于根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度，确定所述待检测流量的流量可信度；
44.生成单元，用于根据所述待检测流量的报文信息、所述流量触发时间段、所述连接发生频率、所述流量关联应用信誉度、以及所述待检测流量的流量可信度，获取可信流量规则表。
45.作为本公开实施例一种可选的实施方式，所述确定单元具体用于：
46.根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度的乘积，获取所述待检测流量的流量可信度。
47.作为本公开实施例一种可选的实施方式，所述状态确定模块具体用于：
48.根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值，确定所述网络入侵检测引擎的负载状态。
49.作为本公开实施例一种可选的实施方式，所述状态确定模块具体用于：
50.当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值小于等于第一预设值时，确定所述网络入侵检测引擎的负载状态为低负载状态；
51.当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第一预设值，且小于等于第二预设值时，确定所述网络入侵检测引擎的负载状态为中负载状态；
52.当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第二预设值，且小于等于第三预设值时，确定所述网络入侵检测引擎的负载状态为高负载状态；
53.当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第三预设值，且小于等于第四预设值时，确定所述网络入侵检测引擎的负载状
态为异常状态。
54.作为本公开实施例一种可选的实施方式，所述装置还包括：
55.过滤规则设置模块，用于根据所述流量可信度和所述网络入侵检测引擎的负载状态，设置流量过滤规则。
56.作为本公开实施例一种可选的实施方式，所述过滤规则设置模块具体用于：
57.根据所述流量可信度将所述待检测流量划分为高可信度流量、中可信度流量、以及低可信度流量中的任意一个；
58.当所述网络入侵检测引擎的负载状态为低负载状态时，则无需过滤流量；
59.当所述网络入侵检测引擎的负载状态为中负载状态时，则过滤掉所述高可信度流量；
60.当所述网络入侵检测引擎的负载状态为高负载状态时，则过滤掉所述高可信度流量和所述中可信度流量；
61.当所述网络入侵检测引擎的负载状态为异常状态时，则过滤掉所述高可信度流量、所述中可信度流量、以及所述低可信度流量。
62.第三方面，本公开实施例提供一种电子设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述第一方面或第一方面的任一实施方式所述的车载网络入侵检测方法。
63.第四方面，本公开实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面或第一方面的任一实施方式所述的车载网络入侵检测方法。
64.本公开提供的车载网络入侵检测方法，获取可信流量规则表，根据可信流量规则表，获取待检测流量的流量可信度，确定网络入侵检测引擎的负载状态，将流量可信度、网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定待检测流量是否需要过滤，若待检测流量不需要过滤，则将待检测流量输入网络入侵检测引擎进行入侵检测。由于网络入侵检测引擎根据可信流量规则表中的流量可信度的匹配结果来确定放行哪些流量，对过滤掉的部分流量不进行深度检测，从而有效减轻网络入侵检测系统的负担，同时也能够减少因资源过载导致的容器频繁重启的问题。
附图说明
65.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
66.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
67.图1为现有技术中车载网络安全防护系统的架构示意图；
68.图2为一个实施例中车载网络入侵检测方法的流程示意图之一；
69.图3为一个实施例中车载网络入侵检测方法的流程示意图之二；
70.图4为一个实施例中车载网络入侵检测装置的结构示意图；
71.图5为本公开实施例所述的电子设备的结构示意图。
具体实施方式
72.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
73.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
74.本公开的说明书和权利要求书中的术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
75.在本公开实施例中，“示例性的”或者“例如”等词是用于表示作例子、例证或说明。本公开实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外，在本公开实施例的描述中，除非另有说明，“多个”的含义是指两个或两个以上。
76.现有技术中，在autosar ap系统以容器方式部署和集成一个网络入侵检测系统，通过配置容器资源占用参数来限制对系统资源的过载使用。图1是现有技术中车载网络安全防护系统的架构示意图。如图1所示，在容器1中部署网络入侵检测系统，容器2中部署其他swc(software component，软件组件)，swc是封装了部分或者全部汽车电子功能的模块，其包括了具体的功能实现以及对应的描述。然而，现有技术虽然可以解决入侵检测系统资源占用过载的问题，但是当网络流量突增或者系统资源不足时，网络入侵检测引擎可能会因频繁触发到容器设置的资源上限值，导致容器反复重启的问题。
77.为了克服现有技术的不足，本公开提供一种车载网络入侵检测方法，该方法预先采集驾乘人员信息娱乐行为或日常操作行为所产生的流量，根据抓取到的流量进行分析，提取特定元素，生成可信流量规则表，当触发的流量突增或者容器1中的资源不足的情况下，网络入侵检测引擎根据可信流量规则表中的流量可信度的匹配结果来确定放行哪些流量，对过滤掉的部分流量不进行深度检测，从而有效减轻网络入侵检测系统的负担，同时也能够减少因资源过载导致的容器频繁重启的问题。
78.在一个实施例中，如图2所示，提供一种车载网络入侵检测方法，包括如下步骤：
79.s21、获取可信流量规则表。
80.其中，可信流量规则表包括：连接五元组、连接方向、流量触发时间段、连接发生频率、流量关联应用信誉度、以及流量可信度。
81.具体的，可信流量规则表的表项内容的说明如下：
82.连接五元组：源ip地址、源端口号、目的ip地址、目的端口号、传输层协议。例如，192.168.1.1、10000、tcp、121.14.82.77、80组成一个五元组，其代表的含义是：一个ip地址为“192.168.1.1”的终端通过端口10000、利用tcp协议、与ip地址为“121.14.82.77”、端口为80的终端进行连接。
83.连接方向：客户端到服务端、服务端到客户端。例如，以车辆为执行主体，一种场景下，驾驶员或乘客想要听歌，在车载中控屏上打开一个音乐应用程序播放音乐，此时该音乐
应用程序向其对应的音乐服务平台发送请求，可以理解为车载中控屏是客户端，音乐服务平台是服务端，也就是，连接方向为：客户端到服务端。另一种场景下，车辆发生故障时，外部的检测仪器连接车辆对车辆故障进行检测，此时车辆接收该检测仪器发送的请求，并向该检测仪器发送响应信息，可以理解为该检测仪器是客户端，车辆中控系统是服务端，也就是，连接方向为：服务端到客户端。
84.流量触发时间段，即，连接持续的时间处于哪个时间段。例如，时间段可以分为：早高峰(7：00-10：00)、晚高峰(18：00-22：00)、工作时段(10：00-18:00)和休息时段(22:00-07:00)。
85.连接发生频率：表示一段时间内建立连接的数量。
86.根据流量触发时间段和连接发生频率，可以在一定程度上表明是驾乘人员操作车机所触发流量的可能性。例如，流量触发时间段符合驾乘人员的驾驶时间，连接发生的频率越大，说明此流量是可信流量的概率越大。
87.流量关联应用信誉度，通过服务器监听端口，查找到该条流量关联的应用或服务，从而判断是哪些功能发出的流量。例如，可以根据应用程序的安装来源设定应用信誉度，如果应用安装来源是系统应用，其对应的信誉度可以设为3；如果应用安装来源是第三方应用，其对应的信誉度可以设为2；如果应用安装来源是未知来源，其对应的信誉度可以设为1。应用信誉度越高，说明其收发的流量的可信度越高。
88.流量可信度，表示该条流量的可信程度。例如，可以将流量的可信程度划分为：高可信度、中可信度、低可信度。需要说明的是，流量的可信程度的划分等级可以根据实际情况进行更细化的划分，此处不做具体限制。
89.在一些实施例中，参照图3所示，步骤s21(获取可信流量规则表)的实现方式可以包括s211-s213：
90.s211、获取待检测流量的报文信息、流量触发时间段、连接发生频率、以及流量关联应用信誉度。
91.其中，待检测流量的报文信息包括连接五元组和连接方向。
92.具体的，打开网络入侵检测流量收集开关，网络入侵检测流量收集开关可以理解为一个配置项，将该配置项置“1”之后，开始采集流量，实际上是抓取网络报文，通过解析网络报文获取五元组信息和连接方向。通过调用时间获取函数的方式得到流量触发时间段。连接发生频率，统计一个时间段内发生连接的次数。流量关联应用可以通过服务器监听端口，查找到该条流量关联的应用或服务，例如，流量关联应用可以是xx浏览器、xx导航。
93.s212、根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度，确定所述待检测流量的流量可信度。
94.可选的，根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度的乘积，获取所述待检测流量的流量可信度。
95.具体的，待检测流量的流量可信度可以通过如下计算公式表示：
96.待检测流量的流量可信度＝流量触发时间段
×
连接发生频率
×
流量关联应用信誉度。
97.其中，设定流量触发时间段对应的权重值为value，例如，早高峰、晚高峰的时间段对应的value＝10，工作时间段对应的value＝5，休息时间段对应的value＝3。
98.连接发生频率可以表示一小时内发生的连接数量。例如，早高峰、晚高峰的时间段每小时的连接发生频率可以取100，其余时间的时间段每小时的连接发生频率可以取10。需要说明的是，连接发生频率的取值可以根据实际情况选取合理的数值，此处不做具体限制。
99.示例性的，可以根据应用程序的安装来源设定应用信誉度，也可以通过其他合理的方式设定应用信誉度，此处不做具体限制。例如，如果应用安装来源是系统应用，其对应的信誉度可以设为3；如果应用安装来源是第三方应用，其对应的信誉度可以设为2；如果应用安装来源是未知来源，其对应的信誉度可以设为1。
100.s213、根据所述待检测流量的报文信息、所述流量触发时间段、所述连接发生频率、所述流量关联应用信誉度、以及所述待检测流量的流量可信度，获取可信流量规则表。
101.具体的，选择尽可能多的覆盖场景下驾驶车辆，并将流量关联的以上元素记录到可信流量规则表中。表1为可信流量规则表的表项内容。
102.表1
[0103][0104]
本公开实施例中的可信流量规则表，在一定程度上能够反映是驾驶人的正常操作行为还是入侵或攻击者发出的攻击行为，也就是，此可信流量规则表可以作为判定可以流量的一种手段。
[0105]
s22、根据所述可信流量规则表，获取待检测流量的流量可信度。
[0106]
具体的，在获取上述可信流量规则表之后，可以从表中获取流量可信度。
[0107]
s23、确定网络入侵检测引擎的负载状态。
[0108]
其中，网络入侵检测引擎的负载状态包括：低负载状态、中负载状态、高负载状态、以及异常状态。
[0109]
可选的，根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值，确定所述网络入侵检测引擎的负载状态。
[0110]
可选的，当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值小于等于第一预设值时，确定所述网络入侵检测引擎的负载状态为低负载状态；
[0111]
当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第一预设值，且小于等于第二预设值时，确定所述网络入侵检测引擎的负载状态为中负载状态；
[0112]
当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第二预设值，且小于等于第三预设值时，确定所述网络入侵检测引擎的负载状态为高负载状态；
[0113]
当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第三预设值，且小于等于第四预设值时，确定所述网络入侵检测引擎的负载状态为异常状态。
[0114]
其中，第一预设值可以取1/3，第二预设值可以取2/3，第三预设值可以取90％，第四预设值可以取100％。需要说明的是，第一预设值、第二预设值、第三预设值、以及第四预设值可以根据具体的应用场景进行选取，其他合理的数值均可，此处不做具体的限制。
[0115]
示例性的，当网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值小于等于1/3时，表明系统资源充足、系统处理能力较高，确定网络入侵检测引擎的负载状态为低负载状态；当网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值大于1/3，且小于等于2/3时，表明系统资源尚能满足需求、系统处理能力尚可，确定网络入侵检测引擎的负载状态为中负载状态；当网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值大于2/3，且小于等于90％时，表明系统已处于过载状态，确定网络入侵检测引擎的负载状态为高负载状态；当网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值大于90％，且小于等于100％时，表明系统已处于无响应状态或卡顿状态，确定网络入侵检测引擎的负载状态为异常状态。
[0116]
在一些实施例中，在将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤之前，可以执行如下步骤：
[0117]
根据所述流量可信度和所述网络入侵检测引擎的负载状态，设置流量过滤规则。
[0118]
可选的，根据所述流量可信度将所述待检测流量划分为高可信度流量、中可信度流量、以及低可信度流量中的任意一个；
[0119]
当所述网络入侵检测引擎的负载状态为低负载状态时，则无需过滤流量；
[0120]
当所述网络入侵检测引擎的负载状态为中负载状态时，则过滤掉所述高可信度流量；
[0121]
当所述网络入侵检测引擎的负载状态为高负载状态时，则过滤掉所述高可信度流量和所述中可信度流量；
[0122]
当所述网络入侵检测引擎的负载状态为异常状态时，则过滤掉所述高可信度流量、所述中可信度流量、以及所述低可信度流量。
[0123]
具体的，当网络入侵检测引擎的负载状态为低负载状态时，说明系统资源充足、系统处理能较高，则不需要过滤流量，车载中控系统收发的所有流量均可进入下一步，进行网络入侵检测。当网络入侵检测引擎的负载状态为中负载状态时，表明系统资源尚能满足需求、系统处理能力尚可，则过滤掉高可信度的网络流量，中可信度和低可信度的网络流量进入下一步，进行网络入侵检测。当网络入侵检测引擎的负载状态为高负载状态时，表明系统已处于过载状态，系统资源不足、系统处理能力较低，则过滤掉高可信度和中可信度的网络流量，低可信度的网络流量进入下一步，进行网络入侵检测。当网络入侵检测引擎的负载状态为异常状态时，系统已处于无响应状态或卡顿状态，表明系统已无能力做深度检测，则过滤掉高可信度、中可信度、低可信度的网络流量，暂不对流量进行网络入侵检测。
[0124]
s24、将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤。
[0125]
具体的，根据预设流量过滤规则，确定待检测流量是否需要过滤。若待检测流量需要过滤，则将待检测流量过滤掉，即，对待检测流量不进行网络入侵检测。若待检测流量不需要过滤，则执行s25。
[0126]
s25、若所述待检测流量不需要过滤，则将所述待检测流量输入所述网络入侵检测引擎进行入侵检测。
[0127]
通过本方法，结合车内驾驶员或乘客使用信息娱乐、通讯访问等行为，在容器资源不足的情况下，有条件的过滤掉部分流量，对其不进行深度检测，减轻网络入侵检测系统的
负担，减少触发容器资源上限的频率，防止容器频繁重启。
[0128]
示例性的，以某地一个技术从业人员驾驶车辆为例对本公开的方法进行说明。其中，流量收集和检测涉及到的车内组件选择t-box(telematics box，车载远程信息处理器)。首先，开启入侵检测引擎的流量收集开关，采集驾驶员日常行为触发的网络流量；然后，结合某地早高峰、晚高峰的时间段、驾驶路段的拥塞程度、以及流量的触发频率，判断此流量是否为驾驶员日常操作所产生的流量；例如，设定触发时段对应的权重值为value，早高峰、晚高峰的时间段对应的value＝10，工作时间段对应的value＝5，休息时间段对应的value＝3；连接发生频率为frequency。分析连接所属的应用安装来源，如果应用安装来源是系统应用，其对应的信誉度可以设为3；如果应用安装来源是第三方应用，其对应的信誉度可以设为2；如果应用安装来源是未知来源，其对应的信誉度可以设为1。通过流量可信度计算公式计算此链接相关流量的可信度，并将可信度划分为低、中、高三个等级。可信度越高，说明流量越可信，放行的可能性越大。最后，根据预设流量过滤规则对流量进行过滤：当引擎占用资源达到1/3时，说明系统资源和处理能力充足，过滤掉高可信度的流量，对其不做检测；当引擎占用资源达到2/3时，过滤到中可信度和高可信度的流量；当引擎占用资源达到90％时，说明引擎占用资源达已超负载，过滤掉低可信度、中可信度和高可信度的流量，即，全部不做深度检测，同时开启泛洪攻击防御能力，保护系统免受dos(denial of service，拒绝服务)攻击；当引擎占用资源持续超过90％，甚至达到99％的情况下，关闭引擎与系统的健康心跳报文，等待系统重启容器。
[0129]
通过采集到的流量对驾驶人行为进行分析，得到可信流量规则表，依照可信流量规则表内的流量可信度放行部分或全部流量，可有效缓解系统资源占用，避免容器反复重启。
[0130]
本公开提供的车载网络入侵检测方法，获取可信流量规则表，根据可信流量规则表，获取待检测流量的流量可信度，确定网络入侵检测引擎的负载状态，将流量可信度、网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定待检测流量是否需要过滤，若待检测流量不需要过滤，则将待检测流量输入网络入侵检测引擎进行入侵检测。由于网络入侵检测引擎根据可信流量规则表中的流量可信度的匹配结果来确定放行哪些流量，对过滤掉的部分流量不进行深度检测，从而有效减轻网络入侵检测系统的负担，同时也能够减少因资源过载导致的容器频繁重启的问题。
[0131]
在一个实施例中，如图4所示，提供了一种车载网络入侵检测装置400，包括：
[0132]
规则表获取模块410，用于获取可信流量规则表；所述可信流量规则表包括：连接五元组、连接方向、流量触发时间段、连接发生频率、流量关联应用信誉度、以及流量可信度；
[0133]
可信度获取模块420，用于根据所述可信流量规则表，获取待检测流量的流量可信度；
[0134]
状态确定模块430，用于确定网络入侵检测引擎的负载状态；所述网络入侵检测引擎的负载状态包括：低负载状态、中负载状态、高负载状态、以及异常状态；
[0135]
流量过滤模块440，用于将所述流量可信度、所述网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定所述待检测流量是否需要过滤；
[0136]
入侵检测模块450，用于若所述待检测流量不需要过滤，则将所述待检测流量输入
所述网络入侵检测引擎进行入侵检测。
[0137]
作为本公开实施例一种可选的实施方式，所述规则表获取模块410包括：
[0138]
获取单元，用于获取待检测流量的报文信息、流量触发时间段、连接发生频率、以及流量关联应用信誉度；所述待检测流量的报文信息包括连接五元组和连接方向；
[0139]
确定单元，用于根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度，确定所述待检测流量的流量可信度；
[0140]
生成单元，用于根据所述待检测流量的报文信息、所述流量触发时间段、所述连接发生频率、所述流量关联应用信誉度、以及所述待检测流量的流量可信度，获取可信流量规则表。
[0141]
作为本公开实施例一种可选的实施方式，所述确定单元具体用于：
[0142]
根据所述流量触发时间段、所述连接发生频率、以及所述流量关联应用信誉度的乘积，获取所述待检测流量的流量可信度。
[0143]
作为本公开实施例一种可选的实施方式，所述状态确定模块430具体用于：
[0144]
根据所述网络入侵检测引擎的占用资源与网络入侵检测系统的系统资源的比值，确定所述网络入侵检测引擎的负载状态。
[0145]
作为本公开实施例一种可选的实施方式，所述状态确定模块430具体用于：
[0146]
当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值小于等于第一预设值时，确定所述网络入侵检测引擎的负载状态为低负载状态；
[0147]
当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第一预设值，且小于等于第二预设值时，确定所述网络入侵检测引擎的负载状态为中负载状态；
[0148]
当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第二预设值，且小于等于第三预设值时，确定所述网络入侵检测引擎的负载状态为高负载状态；
[0149]
当所述网络入侵检测引擎的占用资源与所述网络入侵检测系统的系统资源的比值大于所述第三预设值，且小于等于第四预设值时，确定所述网络入侵检测引擎的负载状态为异常状态。
[0150]
作为本公开实施例一种可选的实施方式，所述装置还包括：
[0151]
过滤规则设置模块，用于根据所述流量可信度和所述网络入侵检测引擎的负载状态，设置流量过滤规则。
[0152]
作为本公开实施例一种可选的实施方式，所述过滤规则设置模块具体用于：
[0153]
根据所述流量可信度将所述待检测流量划分为高可信度流量、中可信度流量、以及低可信度流量中的任意一个；
[0154]
当所述网络入侵检测引擎的负载状态为低负载状态时，则无需过滤流量；
[0155]
当所述网络入侵检测引擎的负载状态为中负载状态时，则过滤掉所述高可信度流量；
[0156]
当所述网络入侵检测引擎的负载状态为高负载状态时，则过滤掉所述高可信度流量和所述中可信度流量；
[0157]
当所述网络入侵检测引擎的负载状态为异常状态时，则过滤掉所述高可信度流
量、所述中可信度流量、以及所述低可信度流量。
[0158]
应用本公开实施例提供的车载网络入侵检测装置，获取可信流量规则表，根据可信流量规则表，获取待检测流量的流量可信度，确定网络入侵检测引擎的负载状态，将流量可信度、网络入侵检测引擎的负载状态与预设流量过滤规则进行比较，确定待检测流量是否需要过滤，若待检测流量不需要过滤，则将待检测流量输入网络入侵检测引擎进行入侵检测。由于网络入侵检测引擎根据可信流量规则表中的流量可信度的匹配结果来确定放行哪些流量，对过滤掉的部分流量不进行深度检测，从而有效减轻网络入侵检测系统的负担，同时也能够减少因资源过载导致的容器频繁重启的问题。
[0159]
关于车载网络入侵检测装置的具体限定可以参见上文中对于车载网络入侵检测方法的限定，在此不再赘述。上述车载网络入侵检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于电子设备的处理器中，也可以软件形式存储于电子设备的处理器中，以便于处理器调用执行以上各个模块对应的操作。
[0160]
本公开实施例还提供了一种电子设备，图5为本公开实施例提供的电子设备的结构示意图。如图5所示，本实施例提供的电子设备包括：存储器51和处理器52，存储器51用于存储计算机程序；处理器52用于调用计算机程序时执行上述方法实施例提供的车载网络入侵检测方法中任一实施例所执行的步骤。所述电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，所述电子设备的处理器用于提供计算和控制能力。所述电子设备的存储器包括非易失性存储介质、内存储器。所述非易失性存储介质存储有操作系统和计算机程序。所述内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。所述计算机程序被处理器执行时以实现一种车载网络入侵检测方法。所述电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏，所述电子设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
[0161]
本领域技术人员可以理解，图5中示出的结构，仅仅是与本公开方案相关的部分结构的框图，并不构成对本公开方案所应用于其上的计算机设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0162]
在一个实施例中，本公开提供的车载网络入侵检测装置可以实现为一种计算机的形式，计算机程序可以在如图5所示的电子设备上运行。电子设备的存储器中可存储组成该电子设备的车载网络入侵检测装置的各个程序模块，比如，图4中所示的规则表获取模块410、可信度获取模块420、状态确定模块430、流量过滤模块440以及入侵检测模块450。各个程序模块构成的计算机程序使得处理器执行本说明书描述的本公开各个实施例的电子设备的车载网络入侵检测方法中的步骤。
[0163]
本公开实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例提供的车载网络入侵检测方法。
[0164]
本领域技术人员应明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可
用存储介质上实施的计算机程序产品的形式。
[0165]
处理器可以是中央判断单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0166]
存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。存储器是计算机可读介质的示例。
[0167]
计算机可读介质包括永久性和非永久性、可移动和非可移动存储介质。存储介质可以由任何方法或技术来实现信息存储，信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。根据本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。
[0168]
需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0169]
以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。