一种网联汽车通信数据异常传输行为检测方法及系统与流程

1.本发明涉及通信数据传输检测技术领域，尤其涉及一种网联汽车通信数据异常传输行为检测方法及系统。


背景技术：

2.智能网联汽车实现了传统封闭的汽车世界与互联网空间的深度耦合，使得车、路、人、云的各类信息通过车联网接入互联网空间，借助互联网实现对汽车的远程控制、远程诊断、功能升级已成为未来重要趋势。借助智能化、网联化、数字化在传统汽车行业的广泛应用，为发展自动驾驶功能、智能座舱体验等，智能网联汽车广泛收集周围环境视频信息、个人信息、车辆状态信息等，且根据标准，新能源汽车、客货运需按照标准协议上传车辆数据，但由于网络攻击活动日益猖獗，同时给车联网络空间安全造成巨大隐患，例如拒绝服务攻击、数据跨境传输、敏感数据时空异常传输等，上述过程可能导致汽车重要数据异常传输、非法利用等严重问题，因而，对智能网联汽车的数据传输进行检测很有必要。
3.目前对于网络空间异常数据和流量检测的方法主要有下述几种：
4.1、基于端口识别的检测方法，即通过互联网的端口号识别应用和协议，异常应用和协议可通过端口号进行识别。
5.2、基于深层包的检测方法，即通过检查数据包头和载荷在内的整个数据包内容，如果在数据包任意位置发现了预定义的一些固定字符串或字符串模式，即可判定其为异常数据传输。
6.3、基于统计的检测方法，其基本思想是不同种类的应用产生的流量特性有所区别，目前研究中主要针对传统应用协议进行流量数据特性区分。
7.4、基于行为的检测方法，即使用流量特征作为主机通信的行为信息，如主机与其他多少主机通信，分别采用哪种协议和端口等，其基本思想是不同的应用产生不同的行为模式。
8.根据上述描述，现有技术在应用于车联网的数据传输有以下不足：
9.1、主要针对传统网络空间异常流量检测，无针对车联网应用协议开展异常数据传输研究；
10.2、车联网应用协议相对于传统网络空间协议，没有形成统一的规范，存在大量的私有协议通信数据，因而在字符串匹配、数据统计特征、行为特征等方面存在较大差异，比如智能网联汽车在传输速度、里程、位置信息等字段，时有相近的取值范围且长度固定；部分协议包头包尾为固定字符串。
11.因而，传统的检测方法无法针对智能网联汽车数据传输进行检测。本发明旨在解决不同于传统互联网络空间的智能网联汽车通信数据异常传输问题，提出一种智能网联汽车通信数据异常传输行为检测方法及装置。


技术实现要素：

12.本发明提供一种网联汽车通信数据异常传输行为检测方法及系统，用以解决现有技术中的数据检测方法无法应用于智能网联汽车数据传输的检测的缺陷，通过合格平台名单库和对应于车辆品牌、车型的正常传输模型对车辆传输数据进行检测，实现网联汽车通信数据传输行为的实时检测。
13.本发明提供一种网联汽车通信数据异常传输行为检测方法，包括：
14.实时获取车辆与云平台间的待检测上下行通信数据；
15.将所述待检测上下行通信数据基于合格平台名单库和对应于所述车辆品牌、车型的正常传输模型进行比较，判断所述待检测上下行通信数据是否存在异常传输行为；
16.其中，所述合格平台名单库为以车辆与云平台间的通信数据中的云平台地址为特征，对所述通信数据进行处理，建立的以车辆品牌以及车型区分的云平台地址信息库；
17.所述正常传输模型为以所述通信数据中的车辆imsi号为特征，基于所述合格平台名单库中的云平台地址对所述通信数据进行处理，建立的以车辆品牌以及车型区分的车辆数据模型。
18.根据所述的网联汽车通信数据异常传输行为检测方法，所述将所述待检测上下行通信数据基于合格平台名单库和对应于所述车辆品牌、车型的正常传输模型进行比较，判断所述待检测上下行通信数据是否存在异常传输行为，具体包括：
19.由所述待检测上下行通信数据中提取待检测车辆的车辆品牌、车型和云平台地址；
20.判断所述云平台地址是否包含在相应的车辆品牌、车型的合格平台名单库内；若否，则判定所述待检测车辆存在异常传输；
21.若是，则以所述车辆的车辆品牌、车型为单位，按照云平台地址分别对各个车辆品牌、车型的车辆对应的待检测上下行通信数据进行表示车辆的网络空间行为关联的关联图谱的绘制；
22.判断绘制的所述关联图谱与相应车辆品牌、车型的车辆的正常传输模型的偏离量是否超过偏离量阈值；若否，则判定车辆为正常传输；若是，则判定车辆存在异常传输。
23.根据所述的网联汽车通信数据异常传输行为检测方法，所述判断所述云平台地址是否包含在相应的车辆品牌、车型的所述合格平台名单库内，具体包括：
24.由所述待检测上下行通信数据中提取车辆品牌、车型、云平台地址和对应于云平台地址的数据包；
25.通过数据包统计各个云平台地址的通信频率和数据量，并将通信频率和数据量大于预设的阈值的数据包所对应的云平台地址定义为有效平台地址；
26.判断所述有效平台地址是否包含在相应车辆品牌、车型的车辆的合格平台名单库内。
27.根据所述的网联汽车通信数据异常传输行为检测方法，所述以所述车辆的车辆品牌、车型为单位，按照云平台地址分别对各个车辆品牌、车型的车辆对应的待检测上下行通信数据进行表示车辆的网络空间行为关联的关联图谱的绘制，具体包括：
28.基于由所述待检测上下行通信数据中提取的车载终端地址、云平台地址、云平台的端口信息，以及包括车辆的imsi号、车辆品牌、车型和运行数据信息的车辆状态信息，构
建车辆的四元组信息；
29.将所述四元组信息进行地理空间异构数据的统一表达；
30.以车辆的车辆品牌、车型为单位，由所述待检测上下行通信数据中提取各个云平台地址的通信频率和数据量；
31.基于所述通信频率、数据量和经统一表达的四元组信息绘制所述关联图谱。
32.根据所述的网联汽车通信数据异常传输行为检测方法，所述运行数据信息包括：地理位置、运行时间、车速、与云平台的通信时长。
33.根据所述的网联汽车通信数据异常传输行为检测方法，所述判断绘制的所述关联图谱与相应车辆品牌、车型的车辆的正常传输模型的偏离量是否超过偏离量阈值，具体包括：
34.判断在预定时长内所述关联图谱中车辆的通信频次或数据量是否超过相应正常传输模型中的通信频次或数据量；
35.判断在预定时长内所述关联图谱中车辆的地理位置是否始终保持在相应正常传输模型中限定的限制进入区域内；
36.判断在预定时长内所述关联图谱中车辆的地理位置是否始终保持在相应正常传输模型中限定的限制停留区域内；
37.判断在预定时长内所述关联图谱中车辆的车速是否超出相应正常传输模型中限定的最高车速。
38.本发明还提供一种网联汽车通信数据异常传输行为检测系统，包括：
39.获取模块，用于实时获取车辆与云平台间的待检测上下行通信数据；
40.执行模块，用于将所述待检测上下行通信数据基于合格平台名单库和对应于所述车辆品牌、车型的正常传输模型进行比较，判断所述待检测上下行通信数据是否存在异常传输行为；
41.其中，所述合格平台名单库为以车辆与云平台间的通信数据中的云平台地址为特征，对所述通信数据进行处理，建立的以车辆品牌以及车型区分的云平台地址信息库；
42.所述正常传输模型为以所述通信数据中的车辆imsi号为特征，基于所述合格平台名单库中的云平台地址对所述通信数据进行处理，建立的以车辆品牌以及车型区分的车辆数据模型。
43.本发明还提供一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一项所述网联汽车通信数据异常传输行为检测方法的步骤。
44.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述网联汽车通信数据异常传输行为检测方法的步骤。
45.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述网联汽车通信数据异常传输行为检测方法的步骤。
46.本发明提供的一种网联汽车通信数据异常传输行为检测方法及系统，通过将实时获取的车辆与云平台间的待检测上下行通信数据与合格平台名单库和对应于车辆品牌、车型的正常传输模型进行比较，实现待检测数据是否存在异常传输行为的实时判断，解决了
现有物联网终端数据传输模型不适应于智能网联汽车的传输数据检测的问题，且基于车辆品牌和车型将待检测上下行通信数据中与合格平台名单库以及正常传输模型进行双重比较，有效降低了异常数据传输行为的误判率。
附图说明
47.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
48.图1是本发明提供的一种网联汽车通信数据异常传输行为检测方法的流程示意图之一；
49.图2是本发明提供的一种网联汽车通信数据异常传输行为检测方法的流程示意图之二；
50.图3是本发明提供的网联汽车通信数据异常传输行为检测系统的结构示意图；
51.图4是本发明提供的电子设备的结构示意图。
具体实施方式
52.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
53.下面结合图1和图2描述本发明的一种网联汽车通信数据异常传输行为检测方法，如图1所示，该方法具体包括以下步骤：
54.101、实时获取车辆与云平台间的待检测上下行通信数据。
55.需要说明的是，智能网联汽车目前大多具备远程控车、ota升级等功能，上述功能需要通过云平台下发控制指令、升级包至车辆终端，过程中很可能发生中间人攻击、敏感信息泄露等风险，通过异常流量检测可实现风险识别、溯源追踪，因而在本发明的技术方案中，以实时获取的车辆与云平台间的通信数据作为是否存在网联汽车通信数据异常传输行为的数据基础。
56.具体地，可以实时获取的车辆与云平台间的车联网应用协议数据报文，从中提取出网络流特征、数据包特征等，例如，属于网络流特征的流持续时间、每秒流比特数，属于数据包特征的数据包头尾信息、包大小、包的时间间隔等；同时，针对根据应用协议获取到的车联网数据，还能得到车载终端源地址、与车辆通信的云平台地址、端口信息，以及通信过程的车辆状态信息，可以包括车辆imsi号、车型、地理位置、运行时间、车速等等，基于数据检测需要的不同，如：dos攻击、跨境传输等，可以选择需要的数据种类用于网联汽车异常传输行为的检测。
57.102、将所述待检测上下行通信数据基于合格平台名单库和对应于所述车辆品牌、车型的正常传输模型进行比较，判断所述待检测上下行通信数据是否存在异常传输行为。
58.需要说明的是，智能网联汽车相较于其他物联网系统，具有移动速度快、范围广的
特性，不同车型的数据传输模型相差较大，车辆数据传输的场景多样，如：辅助驾驶、ota升级、服务商平台数据收集等，模型建设复杂多变，因而现有的物联网终端数据传输模型并不适应于智能网联汽车的使用，通过在车辆与云平台间的数据传输中，通过检测与其通信的云平台是否合法，以及将车辆的通信行为和通过训练得到的该车辆的正常传输模型进行比较，能够有效的实现对智能网联车辆的数据传输行为的检测。
59.进一步地，智能网联汽车由于各车企自动驾驶技术发展不一，以及远程控车和ota升级功能差异较大，导致各车企数据传输情况存在较大差异，通过建立以车辆品牌以及车型区分的合格平台名单库，以及以若干车辆的imsi号为关键词，以车辆品牌以及车型区分的正常传输模型，实现不同品牌、不同车型的智能网联汽车通信数据的分别检测，有效降低了误判率。
60.在本发明的一个实施例中，所述将所述待检测上下行通信数据基于合格平台名单库和对应于所述车辆品牌、车型的正常传输模型进行比较，判断所述待检测上下行通信数据是否存在异常传输行为，具体包括：
61.由所述待检测上下行通信数据中提取待检测车辆的车辆品牌、车型和云平台地址；
62.判断所述云平台地址是否包含在相应的车辆品牌、车型的合格平台名单库内；若否，则判定所述待检测车辆存在异常传输；
63.若是，则以所述车辆的车辆品牌、车型为单位，按照云平台地址分别对各个车辆品牌、车型的车辆对应的待检测上下行通信数据进行表示车辆的网络空间行为关联的关联图谱的绘制；
64.判断绘制的所述关联图谱与相应车辆品牌、车型的车辆的正常传输模型的偏离量是否超过偏离量阈值；若否，则判定车辆为正常传输；若是，则判定车辆存在异常传输。
65.需要说明的是，在智能网联汽车的传输行为检测中本发明采用了传输地址和传输数据的双重检测，即通过待检测数据中对于某品牌、车型的车辆，先判断与其进行数据通信的云平台是否为合格平台，然后再将该车辆的数据通信关联图谱和与该车辆为同品牌同车型的正常传输模型进行比较，从而有效的降低了在检测过程中可能出现错误判断的误判率。
66.值得说明的是，关联图谱不仅能够反映待检测上下行通信数据中各类型数据的特征，还能反映数据和数据之间的关联，将关联图谱应用于智能网联汽车的传输行为检测中，能够有效的适应智能网联汽车存在的移动速度快、范围广、车辆数据传输场景多样等特点，进一步使得检测方法与智能网联汽车这一应用场景相契合。
67.在本发明的另一实施例中，所述判断所述云平台地址是否包含在相应的车辆品牌、车型的所述合格平台名单库内，具体包括：
68.由所述待检测上下行通信数据中提取车辆品牌、车型、云平台地址和对应于云平台地址的数据包；
69.通过数据包统计各个云平台地址的通信频率和数据量，并将通信频率和数据量大于预设的阈值的数据包所对应的云平台地址定义为有效平台地址；
70.判断所述有效平台地址是否包含在相应车辆品牌、车型的车辆的合格平台名单库内。
71.需要说明的是，数据量过小的传输行为，对于车辆和云平台间的数据传输的行为检测并不具有实际的意义，所以在由待检测上下行通信数据中提取车辆品牌、车型、云平台地址和对应于云平台地址的数据包后，通过数据包统计各个云平台地址的通信频率和数据量，并将通信频率和数据量大于预设的阈值的数据包所对应的云平台地址定义为有效平台地址，然后利用有效平台地址与相应车辆品牌、车型的车辆的合格平台名单库内的云平台地址进行比较，降低了处理的数据量，提高了检测效率。
72.值得说明的是，在合格平台名单库的构建过程中，考虑到数据处理量和名单库的准确率的控制，同样基于检测方法的原则，即以云平台地址为特征，通过对海量数据建模，建立不同品牌、不同车型云平台的地址信息库，并统计分析获取不同平台地址的通信数据量、通信频次信息，将通信数据量较大，通信频次较多的云平台地址作为该品牌、车型的车辆的云平台白名单地址，由此构建合格平台名单库。
73.在本发明的又一实施例中，所述以所述车辆的车辆品牌、车型为单位，按照云平台地址分别对各个车辆品牌、车型的车辆对应的待检测上下行通信数据进行表示车辆的网络空间行为关联的关联图谱的绘制，具体包括：
74.基于由所述待检测上下行通信数据中提取的车载终端地址、云平台地址、云平台的端口信息，以及包括车辆的imsi号、车辆品牌、车型和运行数据信息的车辆状态信息，构建车辆的四元组信息；
75.将所述四元组信息进行地理空间异构数据的统一表达；
76.以车辆的车辆品牌、车型为单位，由所述待检测上下行通信数据中提取各个云平台地址的通信频率和数据量；
77.基于所述通信频率、数据量和经统一表达的四元组信息绘制所述关联图谱。
78.需要说明的是，通过关联图谱的绘制，实现了包含车辆状态信息、数据传输信息等多种不同种类信息的智能网联汽车传输数据的多特征融合。
79.进一步地，在本发明的又一实施例中，具体说明了车辆的运行数据信息所包含的信息内容，即：所述运行数据信息包括：地理位置、运行时间、车速、与云平台的通信时长。
80.需要说明的是，根据车辆通信数据传输行为的实际检测需要，车辆的运行数据信息还可以其他未提及的数据信息，在此不做赘述。
81.在本发明的又一实施例中，所述判断绘制的所述关联图谱与相应车辆品牌、车型的车辆的正常传输模型的偏离量是否超过偏离量阈值，具体包括：
82.判断在预定时长内所述关联图谱中车辆的通信频次或数据量是否超过相应正常传输模型中的通信频次或数据量；
83.判断在预定时长内所述关联图谱中车辆的地理位置是否始终保持在相应正常传输模型中限定的限制进入区域内；
84.判断在预定时长内所述关联图谱中车辆的地理位置是否始终保持在相应正常传输模型中限定的限制停留区域内；
85.判断在预定时长内所述关联图谱中车辆的车速是否超出相应正常传输模型中限定的最高车速。
86.需要说明的是，在应用所述正常传输模型进行智能网联汽车通信数据异常传输行为检测中，具体可以包括上述涉及的几种情形，如：对于同一车辆品牌、车型的车辆，当其在
预定的时长内，例如1小时、3小时、5小时等，向某一云平台地址发送或者接收的数据量过大，或者通信频次与其正常传输模型中包含的数据量或通信频次偏差较大时，能够明确认定为其存在传输行为异常。
87.将车辆在预定时长内的关联图谱和正常传输模型中包含的该车辆限制进入区域，或者限制停留区域进行比较，当车辆进入限制进入区域，或在限制停留区域中停留时间过长时，则能够明确认定为其存在传输行为异常，即这一判断标准实现了目前常见的电子围栏技术的相结合。
88.具体地，上述实施例中仅是列举了几种常见的智能网联汽车通信数据异常传输行为的检测，应用所述正常传输模型对其他通信数据的传输行为进行的检测，也在本发明的保护范围之列，在此不做赘述。
89.值得说明的是，在正常传输模型的构建过程中，同样基于检测方法的原则，即以车辆的imsi号为特征，追踪一段时间内单个车辆终端的通信数据报文，分别采集1个小时、3个小时、5个小时或其他预定时长内的单个车辆终端的通信数据报文，汇总其通信数据包总量、通信频次、持续时间等信息，进行数据建模，并提取千辆级数据信息，完成不同品牌、不同车型的智能网联汽车数据正常传输模型的构建。
90.如图2所示，给出了一个应用本发明所述智能网联汽车通信数据异常传输行为检测方法进行某智能网联汽车a的通信数据异常传输行为检测的过程，以便于对本发明提供的智能网联汽车通信数据异常传输行为检测方法更好的理解。
91.检测过程具体包括如下步骤：
92.201、获取a的通信内容，提取出1个小时、2小时或其他预定时长内的全部通信数据包；
93.202、获取通信数据包中的车辆的imsi号、车辆品牌、车型、时间、地理位置、车速、通信时长、目标云平台地址等信息；
94.203、将目标云平台地址和同品牌、同车型的合格平台名单库中的有效平台地址进行比较，判断是否包含在所述合格平台名单库中；若否，则进入204；若是，则跳转至205；
95.204、判定a的通信内容存在异常传输行为；
96.205、通过由a的通信内容获取的车载终端地址、目标云平台地址及端口信息，以及车辆状态信息，构建车辆的四元组信息；
97.206、将四元组信息进行地理空间异构数据的统一表达后，以车辆的车辆品牌、车型为单位，由数据包中提取各个云平台地址的通信频率和数据量；
98.207、将通信频率或数据量小于预设标准的数据包删除后，基于剩余的通信频率、数据量和经统一表达的四元组信息绘制a在1个小时、2小时或其他预定时长内的关联图谱；
99.208、将关联图谱和a的正常传输模型进行比较，判断是否偏离正常传输模型超过偏离阈值；若是，则跳转至204；若否，则进入209；
100.209、判定a的通信内容不存在异常传输行为，并返回201。
101.信息，存储至分布式的数据库系统中，并在地图中按照时间排序进行同一imsi号的位置点的标注。绘制一段时间内的a的网络空间行为关联图谱；
102.需要说明的是，在判定a的通信内容存在异常传输行为后，还可进行预警，以便于及时进行处理，保证信息传输的安全。
103.下面结合图3对本发明提供的一种网联汽车通信数据异常传输行为检测系统进行描述，下文描述的网联汽车通信数据异常传输行为检测系统与上文描述的一种网联汽车通信数据异常传输行为检测方法可相互对应参照。
104.如图3所示，该装置包括获取模块310和执行模块320；其中，
105.获取模块310用于实时获取车辆与云平台间的待检测上下行通信数据；
106.执行模块320用于将所述待检测上下行通信数据基于合格平台名单库和对应于所述车辆品牌、车型的正常传输模型进行比较，判断所述待检测上下行通信数据是否存在异常传输行为；
107.其中，所述合格平台名单库为以车辆与云平台间的通信数据中的云平台地址为特征，对所述通信数据进行处理，建立的以车辆品牌以及车型区分的云平台地址信息库；
108.所述正常传输模型为以所述通信数据中的车辆imsi号为特征，基于所述合格平台名单库中的云平台地址对所述通信数据进行处理，建立的以车辆品牌以及车型区分的车辆数据模型。
109.需要说明的是，本发明提供的一种网联汽车通信数据异常传输行为检测系统，首先通过获取模块实时获取的车辆与云平台间的待检测上下行通信数据，然后通过执行模块将待检测上下行通信数据与合格平台名单库和对应于车辆品牌、车型的正常传输模型进行比较，实现待检测数据是否存在异常传输行为的实时判断，解决了现有物联网终端数据传输模型不适应于智能网联汽车的传输数据检测的问题，且基于车辆品牌和车型将待检测上下行通信数据中与合格平台名单库以及正常传输模型进行双重比较，有效降低了异常数据传输行为的误判率。
110.一个优选方案中，所述执行模块320由所述待检测上下行通信数据中提取待检测车辆的车辆品牌、车型和云平台地址；
111.判断所述云平台地址是否包含在相应的车辆品牌、车型的合格平台名单库内；若否，则判定所述待检测车辆存在异常传输；
112.若是，则以所述车辆的车辆品牌、车型为单位，按照云平台地址分别对各个车辆品牌、车型的车辆对应的待检测上下行通信数据进行表示车辆的网络空间行为关联的关联图谱的绘制；
113.判断绘制的所述关联图谱与相应车辆品牌、车型的车辆的正常传输模型的偏离量是否超过偏离量阈值；若否，则判定车辆为正常传输；若是，则判定车辆存在异常传输。
114.一个优选方案中，所述执行模块320由所述待检测上下行通信数据中提取车辆品牌、车型、云平台地址和对应于云平台地址的数据包；
115.通过数据包统计各个云平台地址的通信频率和数据量，并将通信频率和数据量大于预设的阈值的数据包所对应的云平台地址定义为有效平台地址；
116.判断所述有效平台地址是否包含在相应车辆品牌、车型的车辆的合格平台名单库内。
117.一个优选方案中，所述执行模块320基于由所述待检测上下行通信数据中提取的车载终端地址、云平台地址、云平台的端口信息，以及包括车辆的imsi号、车辆品牌、车型和运行数据信息的车辆状态信息，构建车辆的四元组信息；其中，所述运行数据信息包括：地理位置、运行时间、车速、与云平台的通信时长；
118.将所述四元组信息进行地理空间异构数据的统一表达；
119.以车辆的车辆品牌、车型为单位，由所述待检测上下行通信数据中提取各个云平台地址的通信频率和数据量；
120.基于所述通信频率、数据量和经统一表达的四元组信息绘制所述关联图谱。
121.一个优选方案中，所述执行模块320通过判断在预定时长内所述关联图谱中车辆的通信频次或数据量是否超过相应正常传输模型中的通信频次或数据量、在预定时长内所述关联图谱中车辆的地理位置是否始终保持在相应正常传输模型中限定的限制进入区域内、在预定时长内所述关联图谱中车辆的地理位置是否始终保持在相应正常传输模型中限定的限制停留区域内、或在预定时长内所述关联图谱中车辆的车速是否超出相应正常传输模型中限定的最高车速，来判定所述关联图谱与相应车辆品牌、车型的车辆的正常传输模型的偏离量是否超过偏离量阈值。
122.本发明实施例提供的网联汽车通信数据异常传输行为检测系统用于签署各实施例的一种网联汽车通信数据异常传输行为检测方法。该网联汽车通信数据异常传输行为检测系统包括的各模块实现相应功能的具体方法和流程详见上述一种网联汽车通信数据异常传输行为检测方法的实施例，此处不再赘述。
123.本发明的网联汽车通信数据异常传输行为检测系统用于前述各实施例的一种网联汽车通信数据异常传输行为检测方法。因此，在前述各实施例中的一种网联汽车通信数据异常传输行为检测方法中的描述和定义，可以用于本发明实施例中各执行模块的理解。
124.图4示例了一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)410、通信接口(communications interface)420、存储器(memory)430和通信总线440，其中，处理器410，通信接口420，存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令，以执行一种网联汽车通信数据异常传输行为检测方法，该方法包括：
125.101、实时获取车辆与云平台间的待检测上下行通信数据；
126.102、将所述待检测上下行通信数据基于合格平台名单库和对应于所述车辆品牌、车型的正常传输模型进行比较，判断所述待检测上下行通信数据是否存在异常传输行为；
127.其中，所述合格平台名单库为以车辆与云平台间的通信数据中的云平台地址为特征，对所述通信数据进行处理，建立的以车辆品牌以及车型区分的云平台地址信息库；
128.所述正常传输模型为以所述通信数据中的车辆imsi号为特征，基于所述合格平台名单库中的云平台地址对所述通信数据进行处理，建立的以车辆品牌以及车型区分的车辆数据模型。
129.此外，上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
130.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的一种网联汽车通信数据异常传输行为检测方法，该方法包括：
131.101、实时获取车辆与云平台间的待检测上下行通信数据；
132.102、将所述待检测上下行通信数据基于合格平台名单库和对应于所述车辆品牌、车型的正常传输模型进行比较，判断所述待检测上下行通信数据是否存在异常传输行为；
133.其中，所述合格平台名单库为以车辆与云平台间的通信数据中的云平台地址为特征，对所述通信数据进行处理，建立的以车辆品牌以及车型区分的云平台地址信息库；
134.所述正常传输模型为以所述通信数据中的车辆imsi号为特征，基于所述合格平台名单库中的云平台地址对所述通信数据进行处理，建立的以车辆品牌以及车型区分的车辆数据模型。
135.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法所提供的一种网联汽车通信数据异常传输行为检测方法，该方法包括：
136.101、实时获取车辆与云平台间的待检测上下行通信数据；
137.102、将所述待检测上下行通信数据基于合格平台名单库和对应于所述车辆品牌、车型的正常传输模型进行比较，判断所述待检测上下行通信数据是否存在异常传输行为；
138.其中，所述合格平台名单库为以车辆与云平台间的通信数据中的云平台地址为特征，对所述通信数据进行处理，建立的以车辆品牌以及车型区分的云平台地址信息库；
139.所述正常传输模型为以所述通信数据中的车辆imsi号为特征，基于所述合格平台名单库中的云平台地址对所述通信数据进行处理，建立的以车辆品牌以及车型区分的车辆数据模型。
140.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
141.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
142.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。