本技術(shù)實施例涉及信息安全，具體涉及一種攻擊檢測方法和防護控制方法、裝置、終端設(shè)備及計算機可讀存儲介質(zhì)。

背景技術(shù)：

1、隨著智能駕駛和智能座艙技術(shù)的發(fā)展，車輛中各種零部件產(chǎn)生的流量規(guī)模和復(fù)雜性都顯著增加。特別是車輛中的車載信息娛樂系統(tǒng)(ivi系統(tǒng))，其豐富的功能和頻繁的交互可能導(dǎo)致大量的數(shù)據(jù)傳輸，使得單純依靠流量大小來判斷惡意攻擊變得極為困難。

2、對于整車來講，每一輛車面對的網(wǎng)絡(luò)環(huán)境不同，用戶使用智駕功能或者ivi系統(tǒng)功能的用戶習(xí)慣不同，每個用戶使用和產(chǎn)生的流量不一樣，主機廠在識別和應(yīng)對新型惡意流量攻擊時缺乏有效的模型數(shù)據(jù)作為參考和借鑒，增加了防御的難度和不確定性。如果整車遭到近端的ddos攻擊，無法單獨通過tbox(telematics?box)部署的入侵檢測和防御系統(tǒng)(idps)去識別是否存在過大惡意流量包。傳統(tǒng)的idps通常依賴于已知的攻擊特征或模式來檢測惡意流量，對于新型或未知攻擊的檢測效果差，用戶的流量費用激增無法考證，近端ddos攻擊難以溯源。

技術(shù)實現(xiàn)思路

1、鑒于上述問題，本技術(shù)實施例提供了一種攻擊檢測方法、裝置、存儲介質(zhì)及整車系統(tǒng)，用于提高惡意流量的檢測效果和檢測精度。

2、根據(jù)本技術(shù)實施例的一個方面，提供了一種攻擊檢測方法，所述方法包括：獲取至少一個域控制器發(fā)送的第一流量信息；其中，所述第一流量信息為域內(nèi)應(yīng)用在第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的流量；

3、根據(jù)所述第一流量信息和整車系統(tǒng)在所述第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的第二流量信息，判斷所述整車系統(tǒng)是否存在惡意攻擊。

4、具體的，本技術(shù)攻擊檢測方法利用域控制器對其控制的域內(nèi)的應(yīng)用產(chǎn)生的流量進行統(tǒng)計，得到第一流量信息，實現(xiàn)對整車中的各個區(qū)域中的流量行為進行建模。本技術(shù)根據(jù)在第一預(yù)設(shè)時間段內(nèi)域內(nèi)的應(yīng)用產(chǎn)生的流量與整車系統(tǒng)整體產(chǎn)生的流量進行分析，判斷所述整車系統(tǒng)是否存在惡意攻擊，提高了流量監(jiān)測的精準(zhǔn)度和針對性，進而提高了流量分析的細粒度。另外，通過分析流量信息來判斷整車系統(tǒng)是否存在惡意攻擊的方式降低傳統(tǒng)idps的檢測中誤報和漏報的風(fēng)險，提高惡意流量的檢測效果。

5、在一種可選的方式中，所述獲取至少一個域控制器發(fā)送的第一流量信息，包括：

6、獲取所述域控制器發(fā)送的配置文件；

7、其中，所述配置文件是由所述域控制器根據(jù)域內(nèi)一個或者多個應(yīng)用在第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的流量生成，且由所述域控制器基于通信協(xié)議加密傳輸而來；

8、對所述配置文件進行解析，得到第一流量信息。

9、其中，所述域控制器為智能駕駛域或智能座艙域?qū)?yīng)的域控制器。

10、具體的，本技術(shù)利用域控制器基于域內(nèi)一個或者多個應(yīng)用在第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的流量生成配置文件，進一步將域內(nèi)流量計算細分成不同應(yīng)用或功能模塊的流量計算，實現(xiàn)更精細化的流量監(jiān)控和管理，提高了流量監(jiān)測的精準(zhǔn)度和針對性。另外，本技術(shù)基于通信協(xié)議對配置文件進行加密傳輸，提高了對流量數(shù)據(jù)完整性的保護力度，確保配置文件中的流量數(shù)據(jù)在傳輸過程中沒有被篡改，實現(xiàn)了配置文件安全通信。

11、在一種可選的方式中，根據(jù)所述第一流量信息和整車系統(tǒng)在所述第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的第二流量信息，判斷所述整車系統(tǒng)是否存在惡意攻擊之前，包括：

12、獲取整車系統(tǒng)在所述第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的第二流量信息；

13、其中，所述第二流量信息為所述整車系統(tǒng)的蜂窩流量出口產(chǎn)生的流量信息。

14、具體的，域控制器統(tǒng)計的是域內(nèi)應(yīng)用在本地網(wǎng)絡(luò)或與其他域控制模塊通信時產(chǎn)生的流量，與域控制器所統(tǒng)計的第一流量信息不同，第二流量信息是通過蜂窩網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量。本技術(shù)對兩者統(tǒng)計的流量信息進行分析，能夠識別出是否存在惡意流量攻擊，實現(xiàn)對多個域的流量行為的建模，提高流量分析的細粒度，從而提高惡意流量的檢測效果。

15、在一種可選的方式中，根據(jù)所述第一流量信息和整車系統(tǒng)在所述第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的第二流量信息，判斷所述整車系統(tǒng)是否存在惡意攻擊，包括：

16、將一個或者多個域控制器發(fā)送的第一流量信息作為第三流量信息；

17、當(dāng)所述第三流量信息和所述第二流量信息滿足預(yù)設(shè)條件，則確定所述整車系統(tǒng)存在惡意攻擊。

18、在一種可選的方式中，當(dāng)所述第三流量信息和所述第二流量信息滿足預(yù)設(shè)條件，則確定所述整車系統(tǒng)存在惡意攻擊，包括：

19、計算第三流量信息中一個或者多個第一流量信息的總和，得到第四流量信息；

20、若所述第四流量信息與所述第二流量信息的比值大于預(yù)設(shè)閾值，則確定所述整車系統(tǒng)存在惡意攻擊。

21、具體的，本技術(shù)計算一個或者多個域控制器發(fā)送的第一流量信息的總和與所述第二流量信息的比值，并對所述比值設(shè)定了預(yù)設(shè)閾值。若任意一個或者多個域內(nèi)的應(yīng)用與所述第二流量信息的比值大于預(yù)設(shè)閾值，則說明該域內(nèi)可能存在有不屬于整車系統(tǒng)各個區(qū)域使用的流量，即惡意流量，因此確定整車系統(tǒng)存在惡意攻擊，降低傳統(tǒng)idps的檢測中誤報和漏報的風(fēng)險。本技術(shù)結(jié)合蜂窩網(wǎng)絡(luò)收口流量統(tǒng)計和域內(nèi)流量計算，實現(xiàn)通過對域內(nèi)應(yīng)用流量的精細化的監(jiān)控和管理，能夠定位惡意攻擊的范圍，實現(xiàn)了靈活的、全面的流量監(jiān)控，降低傳統(tǒng)idps的檢測中誤報和漏報的風(fēng)險。

22、在一種可選的方式中，根據(jù)所述第一流量信息和整車系統(tǒng)在所述第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的第二流量信息，判斷所述整車系統(tǒng)是否存在惡意攻擊，還包括：

23、將所述第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的第一流量信息和第二流量信息輸入惡意攻擊檢測模型進行惡意攻擊的分析和預(yù)測，得到檢測結(jié)果；

24、其中，所述惡意攻擊檢測模型是根據(jù)預(yù)設(shè)的機器學(xué)習(xí)算法構(gòu)建而獲得。

25、具體的，本技術(shù)利用大數(shù)據(jù)和機器學(xué)習(xí)技術(shù)構(gòu)建惡意攻擊檢測模型，對流量數(shù)據(jù)進行分析和預(yù)測，提前發(fā)現(xiàn)潛在的惡意流量攻擊趨勢，以提高惡意流量的檢測效果。

26、根據(jù)本技術(shù)實施例的另一方面，提供了一種防護控制方法，包括：利用如
技術(shù)實現(xiàn)要素：
所述的攻擊檢測方法檢測整車系統(tǒng)是否存在惡意攻擊；

27、若所述整車系統(tǒng)存在惡意攻擊，則確定存在惡意攻擊的應(yīng)用或存在惡意攻擊的域，對存在惡意攻擊的應(yīng)用或存在惡意攻擊的域進行斷網(wǎng)處理。

28、具體的，本技術(shù)防護控制方法在識別到整車系統(tǒng)存在惡意攻擊后，自動采取相適應(yīng)的防護措施對所述整車系統(tǒng)進行安全防護，例如將確定存在惡意攻擊的應(yīng)用斷網(wǎng)或者將存在惡意攻擊的域斷網(wǎng)，提高整車系統(tǒng)的安全性。

29、根據(jù)本技術(shù)實施例的另一方面，提供了一種惡意攻擊檢測裝置，包括：解析模塊和判斷模塊；

30、所述解析模塊用于獲取至少一個域控制器發(fā)送的第一流量信息；其中，所述第一流量信息為域內(nèi)應(yīng)用在第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的流量；

31、所述判斷模塊用于根據(jù)所述第一流量信息和整車系統(tǒng)在所述第一預(yù)設(shè)時間段內(nèi)產(chǎn)生的第二流量信息，判斷所述整車系統(tǒng)是否存在惡意攻擊。

32、具體的，本技術(shù)惡意攻擊檢測裝置通過解析單元對域控制器控制的域內(nèi)的應(yīng)用產(chǎn)生的流量進行統(tǒng)計，得到第一流量信息，實現(xiàn)對整車中的各個區(qū)域中的流量行為進行建模。本技術(shù)通過判斷單元根據(jù)在第一預(yù)設(shè)時間段內(nèi)域內(nèi)的應(yīng)用產(chǎn)生的流量與整車系統(tǒng)整體產(chǎn)生的流量進行分析，判斷所述整車系統(tǒng)是否存在惡意攻擊，提高了流量監(jiān)測的精準(zhǔn)度和針對性，進而提高了流量分析的細粒度。另外，通過分析流量信息來判斷整車系統(tǒng)是否存在惡意攻擊的方式降低傳統(tǒng)idps的檢測中誤報和漏報的風(fēng)險，提高惡意流量的檢測效果。

33、根據(jù)本技術(shù)實施例的另一方面，提供了一種安全防護控制裝置，包括：檢測模塊和防護模塊；

34、所述檢測模塊用于利用如本發(fā)明內(nèi)容所述的攻擊檢測方法檢測整車系統(tǒng)是否存在惡意攻擊；

35、所述防護模塊用于若所述整車系統(tǒng)存在惡意攻擊，則確定存在惡意攻擊的應(yīng)用或存在惡意攻擊的域，對存在惡意攻擊的應(yīng)用或存在惡意攻擊的域進行斷網(wǎng)處理。

36、具體的，本技術(shù)防護控制裝置通過檢測單元識別整車系統(tǒng)是否存在惡意攻擊，通過防護單元在識別到整車系統(tǒng)存在惡意攻擊后，自動采取相適應(yīng)的防護措施對所述整車系統(tǒng)進行安全防護，提高整車系統(tǒng)的安全性。

37、根據(jù)本技術(shù)實施例的另一方面，提供了一種終端設(shè)備，包括：處理器、存儲器、通信接口和通信總線，所述處理器、所述存儲器和所述通信接口通過所述通信總線完成相互間的通信；

38、所述存儲器用于存放至少一可執(zhí)行指令，所述可執(zhí)行指令使所述處理器執(zhí)行如本發(fā)明內(nèi)容所述的攻擊檢測方法的操作，或者如本發(fā)明內(nèi)容所述的防護控制方法的操作。

39、根據(jù)本技術(shù)實施例的又一方面，提供了一種計算機可讀存儲介質(zhì)，所述存儲介質(zhì)中存儲有至少一可執(zhí)行指令，所述可執(zhí)行指令使惡意攻擊檢測設(shè)備/裝置執(zhí)行如本發(fā)明內(nèi)容所述的攻擊檢測方法的操作，或者如本發(fā)明內(nèi)容所述的防護控制方法的操作。

40、上述說明僅是本技術(shù)實施例技術(shù)方案的概述，為了能夠更清楚了解本技術(shù)實施例的技術(shù)手段，而可依照說明書的內(nèi)容予以實施，并且為了讓本技術(shù)實施例的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本技術(shù)的具體實施方式。