基于自动驾驶的入侵检测方法、装置和电子设备与流程

1.本技术涉及入侵检测领域，尤其涉及基于自动驾驶的入侵检测方法、装置和电子设备。


背景技术：

2.入侵检测技术是伴随网络安全技术的发展而产生的一种重要的网络安全防护技术。根据使用的环境不同，通过直接或间接收集计算机及所处网络中的关键信息，监测主机的活动与网络的动态，审计网络流量、未授权访问等现象，追踪异常的活动及其他迹象，入侵检测技术可以识别当前环境下是否有异常情形或者入侵行为发生；与此同时，该技术还可以根据监测结果及时做出反应，来警戒网络管理员与用户相关威胁活动。
3.随着自动驾驶行业的蓬勃发展，相应的自动驾驶的信息安全问题也成为了阻碍自动驾驶发展的关键要素之一，能否在入侵发生时迅速进行判断检测，对于自动驾驶的信息安全维护有着至关重要的影响。而相关技术中并没有提供专门的入侵检测机制及方法对自动驾驶系统中的相关报文和数据进行合法性检测，导致自动驾驶的信息安全性存在着较大隐患。因此，如何快速的检测出入侵行为，保证自动驾驶系统的信息安全成为亟待解决的技术问题。


技术实现要素：

4.为解决或部分解决相关技术中存在的问题，本技术提供一种基于自动驾驶的入侵检测方法、装置和电子设备，能够快速的检测出入侵行为，有效降低自动驾驶环境中可能出现的各类风险，提高自动驾驶的信息安全性。
5.本技术第一方面提供一种基于自动驾驶的入侵检测方法，包括：入侵检测装置接收车端发送的报文信息，并基于预定的监控规则对所述报文信息进行合法性检测，得到检测结果；该入侵检测装置根据检测结果，确定所述报文信息是否为合法报文；该入侵检测装置在确定所述报文为非法报文后，生成相关安全事件并进行告警。
6.在本技术提供的方案中，云平台在接收到车端发送的报文信息之后，并不直接对报文进行处理，而是通过入侵检测装置对车端上报的报文进行合法性检测，判断该报文信息是否满足预定的监控规则，从而确定该报文信息是否为合法报文。这样避免了对车端上报的报文信息进行直接处理，可以快速的检测出入侵行为，降低自动驾驶中可能出现的各种风险，提高自动驾驶的信息安全性。
7.结合第一方面，在第一方面的一种可能的实现方式中，该入侵检测装置将报文信息与dbc中的文件进行比对，确定该报文信息与dbc中的文件是否匹配，将得到的比对结果作为检测结果，其中，该dbc包括至少一种监控规则。
8.在本技术提供的方案中，入侵检测装置中预先内置了dbc，该dbc可以是根据行业标准等生成的，其中包括多种监控规则，因此，入侵检测装置在接收到车端上报的报文信息之后，可以直接利用dbc中的监控规对报文信息则进行比对和匹配，从而可以快速检测出入
侵行为，提高入侵检测效率以及自动驾驶的信息安全性，同时也增加了入侵检测的灵活性和可扩展性。
9.结合第一方面，在第一方面的一种可能的实现方式中，入侵检测装置通过报文信息中的报文数据计算得到该报文的实际周期值，并将实际周期值与dbc中预先定义的周期设计值进行比对，若实际周期值与周期设计值的差值小于第一阈值，则确定报文信息与dbc中的文件匹配。
10.在本技术提供的方案中，入侵检测装置对报文信息进行周期检查，利用报文信息中的报文数据(例如can数据或can-fd数据等)计算得到实际周期值，然后将实际周期值与周期设计值进行比对，根据比对结果确定是否发生了入侵行为。这样能够有效的拓宽入侵检测的检测维度，在保证自动驾驶信息安全性的同时也提高了入侵检测的灵活性和可扩展性。
11.结合第一方面，在第一方面的一种可能的实现方式中，入侵检测装置通过报文信息中的报文数据(例如can数据或can-fd数据等)计算得到该报文的实际负载率值，并将实际负载率值与dbc中预先存储的负载率标准值进行比对，若实际负载率值与负载率标准值的差值小于第二阈值，则确定报文信息与dbc中的文件匹配。
12.在本技术提供的方案中，入侵检测装置可以根据报文中的can数据统计各路can的数据量，从而计算得到各路的实际负载率值，然后将计算得到的实际负载率值与预先存储的负载率标准值进行比对，根据比对结果确定是否发生了入侵行为。可以理解，通过对负载率的检查和比对实现入侵检测，可以有效的拓宽入侵检测的检测维度，在保证自动驾驶信息安全性的同时也提高了入侵检测的灵活性和可扩展性。
13.结合第一方面，在第一方面的一种可能的实现方式中，入侵检测装置对报文信息进行解析，确定该报文的序列，并将该报文的序列与dbc中预先定义的报文序列进行比对，其中，该报文的序列包括报文中的报文数据的先后顺序，若该报文的序列与dbc中预先定义的报文序列相同，则确定报文信息与dbc中的文件匹配。
14.在本技术提供的方案中，入侵检测装置对接收到的报文进行解析得到报文的序列，然后将该序列与dbc中预先定义的报文序列进行比对，从而根据比对结果确定是否发生了入侵行为，这样利用报文序列的检查和比对实现入侵检测，可以进一步的拓宽入侵检测的检测维度，在保证自动驾驶信息安全性的同时也提高了入侵检测的灵活性和可扩展性。
15.结合第一方面，在第一方面的一种可能的实现方式中，入侵检测装置接收车端发送的经过预处理的报文信息，其中，所述预处理包括报文长度合法性检测、编码检验合法性检测、文件签名合法性检测和端到端e2e校验合法性检测中至少一项。
16.在本技术提供的方案中，车端不会直接将数据直接发送给入侵检测装置进行处理，而是需要先将其进行预处理，从而保证发送给入侵检测装置的数据均为健康数据，而且根据数据类型的不同，所采用的预处理方式也不相同，例如长度合法性检测、编码检验合法性检测、文件签名合法性检测和端到端e2e校验合法性检测等，这样能够进一步提高入侵检测的准确性，保证自动驾驶的信息安全性。
17.结合第一方面，在第一方面的一种可能的实现方式中，入侵检测装置通过用户接口接收来自用户的管理指令，该管理指令包括针对监控规则的配置指令和针对监控规则的更新指令。
18.在本技术提供的方案中，用户可以根据实际需要通过用户接口对dbc中的监控规则进行配置，从而实现对车端发送的报文信息进行入侵检测，此外，用户还可以周期性的对dbc中的监控规则进行更新，这样可以在保证自动驾驶的信息安全性的同时进一步提高入侵检测的灵活性和可扩展性。
19.本技术第二方面提供一种入侵检测装置，包括：接收检测模块，用于接收车端发送的报文信息，并基于预定的监控规则对所述报文信息进行合法性检测，得到检测结果；判断模块，用于根据所述检测结果，确定所述报文信息是否为合法报文；告警模块，用于在确定所述报文信息为非法报文时，生成相关安全事件并进行告警。
20.结合第二方面，在第二方面的一种可能的实现方式中，所述接收检测模块将所述报文信息与dbc中的文件进行比对，确定所述报文信息与所述dbc中的文件是否匹配，将得到的比对结果作为检测结果，其中，所述dbc包括至少一种监控规则。
21.结合第二方面，在第二方面的一种可能的实现方式中，所述接收检测模块通过所述报文信息中的报文数据计算得到所述报文的实际周期值，并将所述实际周期值与所述dbc中预先定义的周期设计值进行比对；若所述实际周期值与所述周期设计值的差值小于第一阈值，则确定所述报文信息与所述dbc中的文件匹配。
22.结合第二方面，在第二方面的一种可能的实现方式中，所述接收检测模块通过所述报文信息中的报文数据计算得到所述报文的实际负载率值，并将所述实际负载率值与所述dbc中预先存储的负载率标准值进行比对；若所述实际负载率值与所述负载率标准值的差值小于第二阈值，则确定所述报文信息与所述dbc中的文件匹配。
23.结合第二方面，在第二方面的一种可能的实现方式中，所述接收检测模块对所述报文信息进行解析，确定所述报文的序列，并将所述报文的序列与所述dbc中预先定义的报文序列进行比对，其中，所述报文的序列包括所述报文中的报文数据的先后顺序；若所述报文的序列与所述dbc中预先定义的报文序列相同，则确定所述报文信息与所述dbc中的文件匹配。
24.结合第二方面，在第二方面的一种可能的实现方式中，所述接收检测模块，还用于接收车端发送的经过预处理的报文信息，其中，所述预处理包括报文长度合法性检测、编码检验合法性检测、文件签名合法性检测和端到端e2e校验合法性检测中至少一项。
25.结合第二方面，在第二方面的一种可能的实现方式中，所述接收检测模块，还用于通过用户接口接收来自用户的管理指令，所述管理指令包括针对所述监控规则的配置指令和针对所述监控规则的更新指令。
26.本技术第三方面提供一种电子设备，包括：
27.处理器；以及
28.存储器，其上存储有可执行代码，当所述可执行代码被所述处理器执行时，使所述处理器执行如上所述第一方面以及结合第一方面中的任意一种实现方式的方法。
29.本技术第四方面提供一种计算机可读存储介质，其上存储有可执行代码，当所述可执行代码被电子设备的处理器执行时，使所述处理器执行如上所述第一方面以及结合上述第一方面中的任意一种实现方式的方法。
30.本技术在上述各方面提供的实现方式的基础上，还可以进行进一步组合以提供更多实现方式。
31.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
32.通过结合附图对本技术示例性实施方式进行更详细地描述，本技术的上述以及其他目的、特征和优势将变得更加明显，其中，在本技术示例性实施方式中，相同的参考标号通常代表相同部件。
33.图1是本技术实施例示出的应用场景的示意图；
34.图2是本技术实施例示出的入侵检测系统的结构示意图；
35.图3是本技术实施例示出的基于自动驾驶的入侵检测方法的流程示意图；
36.图4是本技术实施例示出的入侵检测装置的结构示意图；
37.图5是本技术实施例示出的电子设备的结构示意图。
具体实施方式
38.下面将参照附图更详细地描述本技术的实施方式。虽然附图中显示了本技术的实施方式，然而应该理解，可以以各种形式实现本技术而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本技术更加透彻和完整，并且能够将本技术的范围完整地传达给本领域的技术人员。
39.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
40.应当理解，尽管在本技术可能采用术语“第一”、“第二”、“第三”等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本技术的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
41.首先，对本技术中所涉及的部分用语和相关技术进行解释说明，以便于本领域技术人员理解。
42.入侵检测系统(intrusiondetectionsystem，ids)是一个能及时发现攻击或入侵，并能够向安全管理者提供有价值的安全警报的系统。其基本原理是从一组数据中，检测出符合某一特点的数据，由于攻击者在进行攻击时会留下痕迹，这些痕迹和系统正常运行时产生的数据混在一起，入侵检测系统的任务就是从这个混合数据中找出入侵的痕迹，如果有入侵的痕迹就报警有入侵事件发生。
43.控制器域网络的数据库文件(database can，dbc)是用来描述can网络节点间数据通讯的一种文件，包含了can总线协议中协议数据及其所代表的具体意义，它可以用来监测与分析can网络上的报文数据，也可以用来模拟某个can节点。dbc文件在can网络的设计和测试中起着非常重要的作用，通过dbc，可以把can网络中大量的数据解析成直观的消息和
信号，方便用户分析，它定义了can网络的节点、消息、信号的所有细节，包括每个节点会发送哪些消息和接收哪些消息，每个消息里包含哪些信号，每个信号位于消息的哪个位置，值有哪些，每个值代表的含义是什么等等。
44.自动驾驶控制器(x-pilotunit，xpu)是一种可以集成多种功能的域控制器，具有较强的中央处理器(centralprocessingunit，cpu)算力、图形处理器(graphicsprocessingunit，gpu)算力和人工智能(artificialintelligence，ai)算力，其中运行有多种系统级芯片(systemonchip，soc)，实现不同的功能。
45.系统级芯片(systemonchip，soc)也称为片上系统，是一个有专用目标的集成电路，其中包含完整系统并有嵌入软件的全部内容。
46.控制器域网(controllerareanetwork，can)是一种应用广泛的现场总线，can总线协议已经成为汽车计算机控制系统和嵌入式工业控制局域网的标准总线，其具有高可靠性和良好的错误检测能力。can属于总线式串行通信网络，其总线结构被划分为两层：物理层和数据链路层(包括逻辑链路控制子层llc和媒体访问控制子层mac)，其中llc子层为数据传递和远程数据请求提供服务，mac子层的功能主要是传送规则，即控制帧结构、执行仲裁、错误检验、出错标定和故障界定。
47.远程信息处理器(telematics box，t-box)又称车载t-box，主要用于和后台系统及移动终端(例如手机app)进行通信，实现移动终端的车辆信息显示与控制。当用户通过手机端app发送控制命令后，tsp后台会发出监控请求指令到车载t-box，车辆在获取到控制命令后，通过can总线发送控制报文并实现对车辆的控制，最后反馈操作结果到用户的手机app上，可以帮助用户远程启动车辆、打开空调、调整座椅至合适位置等。
48.消息队列遥测传输(messagequeuingtelemetrytransport，mqtt)是一个基于客户端-服务器的消息发布/订阅传输协议，其工作在tcp/ip协议族上，特点是轻量、简单、开放和易于实现。mqtt协议是为大量计算能力有限，且工作在低带宽、不可靠的网络的远程传感器和控制设备通讯而设计的协议，例如机器与机器(m2m)通信、物联网(iot)等。
49.在车辆技术领域中，若发生系统被入侵或关键数据泄露将危及自动驾驶系统的信息安全，进而导致严重的行车安全隐患。而相关技术中并没有专门适用于自动驾驶的入侵检测协议，也没有一整套链路防护、校验、存储保护、入侵检测机制，无法对自动驾驶系统运行中的关键数据进行有效的安全防护，无法降低自动驾驶环境中可能出现的各类风险，不能保证其信息安全性。
50.针对上述问题，本技术实施例提供一种基于自动驾驶的入侵检测方法，能够快速的检测出入侵行为，有效降低自动驾驶环境中可能出现的各类风险，提高自动驾驶系统的信息安全性。
51.本技术提供的基于自动驾驶的入侵检测方法由基于自动驾驶的入侵检测客户端执行，在一个具体的实施例中，入侵检测客户端可以部署在任意一个涉及自动驾驶相关数据处理的电子设备中。例如，如图1所示，入侵检测客户端可以部署在云环境，具体为云环境上的一个或多个电子设备上(例如：入侵检测服务器)。该系统也可以部署在自动驾驶设备上，自动驾驶设备可以为智能车辆。其中云环境指云服务提供商拥有的，用于提供计算、存储、通信资源的中心计算设备集群。数据采集设备指采集需要进行检测和保护的自动驾驶系统运行中的关键数据的设备，包括但不限于自动驾驶相关的各类传感器。例如摄像机、雷
达、红外相机、磁感线圈等。
52.参见图2，图2是本技术实施例提供的入侵检测系统的结构示意图。如2所示，入侵检测系统200包括入侵检测客户端210、t-box220、监控节点230、数据采集设备240和其它通信设备250。数据采集设备240可以进行数据采集并将其发送给监控节点230，数据采集设备包括各类传感器，监控节点230接收到数据后进行存储，其中，监控节点230可以是自动驾驶域控制器，也可以是中心域控制器或其它具备高算力的域控制器。监控节点230中存储了各种类型的数据及文件，例如日志(log)数据、图像类数据、点云数据、毫米波数据、配置参数、标定文件等，其它通信设备250是指通过can报文/can-fd报文或以太网报文与监控节点230进行通信的设备，例如车载自诊断系统(on-boarddiagnostics，obd)、其它监控节点等。
53.首先，监控节点230对接收到的报文信息以及所存储的数据进行入侵检测，针对不同类型的数据采用不同的检测方式，例如对于图像数据进行编码校验、对于文件进行签名检查、对于激光点云数据进行e2e校验，从而保证所存储及最后上报的数据均为未被入侵的健康数据，当监控节点230检测到存在异常数据，那么将触发入侵检测的事件，可以使用车内入侵检测的专用协议将入侵检测的事件发送给t-box220，然后t-box220在接收到车内的入侵检测事件后，可以利用车外入侵检测的协议(例如mqtt)发送给入侵检测客户端210，其中，入侵检测客户端210可以是云平台上的一个服务器。当监控节点230没有检测到异常后，则将接收到的报文信息及原始数据通过t-box220上报给入侵检测客户端210，由入侵检测客户端210完成进一步的网络入侵检测，可以通过对报文信息的周期、负载率、报文序列等进行检查，将其与dbc中的文件进行比对可以判断出是否存在入侵行为，若存在入侵行为则生成相关安全事件，然后向用户进行告警，例如可以在车载显示屏上显示告警信息或以短信的形式将告警信息发送给用户。
54.以下结合附图详细描述本技术实施例的技术方案。
55.图3是本技术实施例示出的基于自动驾驶的入侵检测方法的流程示意图
56.参见图3，该方法包括但不限于以下步骤：
57.s301：入侵检测装置接收车端发送的报文信息，并基于预定的监控规则对该报文信息进行合法性检测，得到检测结果。
58.具体地，为了识别车端通过t-box上报的报文数据是否存在入侵行为，需要预先在入侵检测装置中设置相应的监控规则，入侵检测装置在接收到报文数据之后，将其与预定的监控规则进行比对，判断它们是否匹配(即报文数据是否满足监控规则)，根据匹配情况，进而可以确定出车端上报的报文是否为合法报文。容易理解，通过与监控规则进行比对匹配的方式完成对报文信息的入侵检测，可以极大的提高入侵检测效率，快速的检测出入侵行为，降低自动驾驶中可能出现的各种风险，提高自动驾驶的信息安全性。
59.在一种可能的实现方式中，入侵检测装置接收车端发送的经过预处理的报文信息，其中，该预处理包括报文长度合法性检测、编码检验合法性检测、文件签名合法性检测和端到端e2e校验合法性检测。
60.具体地，车端接收并存储了各种类型的数据，在将这些数据通过报文信息上传给入侵检测装置之前，车端可以对数据进行健康检测，从而实现对数据的入侵检测。
61.进一步的，对于不同类型的数据，车端将采用不同的方法进行健康检测。对于接收的任意can报文或以太网报文，可以对其进行长度检测，若报文长度与预先设计的长度值不
同，则说明可能发生入侵行为，直接该报文丢弃；对于图像类数据，将采用编码校验的方式进行检测，若校验通过，则说明数据是健康合法的，否则直接丢弃；对于文件数据，将采用签名验证的方式进行检测，若验证通过，则说明数据是健康合法的，否则直接丢弃；对于激光点云数据，将采用e2e校验的方式进行检测，若检验通过，则说明数据是健康合法的，否则也直接丢弃。
62.可以看出，在经过车端的预处理之后，可以完成对数据的入侵检测，此外，车端向入侵检测装置所上报的所有图像、文件、报文等均为健康数据，这样可以进一步提高入侵检测的准确性，保证自动驾驶的信息安全性。
63.在另一种可能的实现方式中，入侵检测装置将报文信息与dbc中的文件进行比对，确定该报文信息与dbc中的文件是否匹配，将得到的比对结果作为检测结果，其中，该dbc包括至少一种监控规则。
64.具体地，入侵检测装置在进行入侵检测前，在其中内置了dbc，dbc中设置了各种监控规则，这些监控规则可以是根据行业标准进行设置的，需要说明的是，对于不同的厂家，dbc中所包含的内容可能不一样，本技术对此不作限定。入侵检测装置在进行入侵检测时，直接利用dbc中的监控规则对接收到的报文信息进行合法性检测，从而得到检测结果。
65.s302：入侵检测装置根据检测结果，确定报文信息是否为合法报文。
66.具体地，入侵检测装置将接收到的报文信息与dbc中的监控规则进行比对，若接收到的报文信息与dbc中的监控规则匹配，则说明没有发生入侵行为，该报文信息是合法报文；若接收到的报文信息与dbc中的监控规则不匹配，则说明可能发生入侵行为，该报文信息为非法报文。
67.在一种可能的实现方式中，入侵检测装置通过报文信息中的报文数据计算得到该报文的实际周期值，并将实际周期值与dbc中预先定义的周期设计值进行比对，若实际周期值与周期设计值的差值小于第一阈值，则确定报文信息与dbc中的文件匹配。
68.具体地，入侵检测装置在获取到can报文或can-fd报文之后，利用毫秒级can数据或can-fd数据计算得到报文的实际周期值，然后将该实际周期值与dbc中定义的周期设计值进行比对，若它们之间的差值小于第一阈值，则说明它们是匹配的，该报文为合法报文。其中，周期设计值和第一阈值可以根据实际需要进行设置，本技术对此不作限定。
69.可以看出，入侵检测装置从报文周期的角度检测是否存在入侵行为，这样有效的拓宽了入侵检测的检测维度，保证了自动驾驶信息的安全性，也提高了入侵检测的全面性。
70.在另一种可能的实现方式中，入侵检测装置通过报文信息中的报文数据计算得到该报文的实际负载率值，并将实际负载率值与dbc中预先存储的负载率标准值进行比对，若实际负载率值与负载率标准值的差值小于第二阈值，则确定报文信息与dbc中的文件匹配。
71.具体地，入侵检测装置在获取到can报文或can-fd报文之后，利用毫秒级can数据或can-fd数据统计各路can或can-fd的数据量，从而计算得到实际负载率值，然后将该实际负载率值与dbc中预先存储的负载率标准值进行比对，若它们之间的差值小于第二阈值，则说明它们是匹配的，该报文为合法报文。
72.值得说明的是，入侵检测装置在第一次进行负载率检查时，dbc中预先存储的负载率标准值可以是预先设置的值，对于can报文，可以设置为500kbps，对于can-fd报文，可以设置为2mbps。而在之后的检查中，负载率标准值则可以根据历史数据进行动态调整，因此，
每一次的负载率标准值可能都不一样，在对负载率标准值进行调整时，可以参考上一次确定的负载率标准值或前n(n为大于1的正整数)次的负载率标准值，且对每一次的负载率标准值赋予不同的权重，从而确定当前的负载率标准值。另外，第二阈值可以根据实际情况进行设置，本技术对此不作限定。
73.可以看出，入侵检测装置从负载率的角度检测是否存在入侵行为，这样不仅有效的拓宽了入侵检测的检测维度，保证了自动驾驶信息的安全性，同时也提高了入侵检测的全面性。
74.在另一种可能的实现方式中，入侵检测装置对报文信息进行解析，确定该报文的序列，并将该报文的序列与dbc中预先定义的报文序列进行比对，其中，该报文的序列包括报文中的报文数据的先后顺序，若该报文的序列与dbc中预先定义的报文序列相同，则确定报文信息与dbc中的文件匹配。
75.具体地，入侵检测装置在获取到can报文或can-fd报文之后，按照解析规则对其进行解析，从而确定该报文的序列，然后将该报文序列与dbc中定义的报文序列进行比对，若相同，则说明它们是匹配的，该报文为合法报文。
76.可以看出，入侵检测装置从报文序列的角度检测是否存在入侵行为，这样不仅有效的拓宽了入侵检测的检测维度，保证了自动驾驶信息的安全性，同时也提高了入侵检测的全面性。
77.在另一种可能的实现方式中，入侵检测装置对报文信息进行解析，确定该报文的实际信号值，然后将该实际信号值与dbc中定义的信号设计值进行比对，若它们之间的差值小于第三阈值，则说明它们是匹配的，该报文为合法报文。其中，信号设计值和第三阈值可以根据实际需要进行设置，本技术对此不作限定。容易理解，这样也能拓宽入侵检测的检测维度，提高入侵检测的全面性。
78.s303：入侵检测装置确定报文信息为非法报文，生成相关安全事件并进行告警。
79.具体地，当入侵检测装置检测到报文信息与dbc中的监控规则不匹配，则确定接收到的报文信息为非法报文，然后入侵检测装置会将其记录为安全事件并进行告警。
80.可选的，入侵检测装置可以通过多种不同的形式通知用户，从而完成告警处理。例如，入侵检测装置可以将告警信息发送给车端，从而在车载显示屏上显示告警信息；或者是以邮件或短信的形式将告警信息发送给用户手机；当然还可以通过其它方式进行通知，在此不再赘述。
81.在一种可能的实现方式中，入侵检测装置通过用户接口接收来自用户的管理指令，该管理指令包括针对监控规则的配置指令和针对监控规则的更新指令。
82.具体地，入侵检测装置提供用户接口以接收用户的指令，该用户接口可以是应用程序管理接口(applicationprogramminginterface，api)或图形用户接口(graphicaluserinterface，gui)等，用户可以通过用户接口对dbc中的监控规则进行配置，从而使得入侵检测装置具备入侵检测的功能，另外，用户还可以通过用户接口对dbc中的监控规则进行周期性更新，从而保证实时性和准确性。
83.可以看出，入侵检测装置利用用户接口对dbc中的监控规则进行设置和更新，可以在保证自动驾驶的信息安全性的同时，进一步提高了入侵检测的灵活性、实时性、全面性和可扩展性。
84.与前述应用功能实现方法实施例相对应，本技术还提供了一种入侵检测装置和电子设备及相应的实施例。
85.图4是本技术实施例示出的入侵检测装置的结构示意图。
86.参见图4，入侵检测装置400包括接收检测模块410、判断模块420和告警模块430。其中，
87.接收检测模块410，用于接收车端发送的报文信息，并基于预定的监控规则对该报文信息进行合法性检测，得到检测结果。
88.判断模块420，用于根据检测结果，确定该报文信息是否为合法报文。
89.告警模块430，用于在确定该报文信息为非法报文时，生成相关安全事件并进行告警。
90.从该实施例可以看出，本技术实施例提供的装置，能够快速的检测出入侵行为，有效降低自动驾驶环境中可能出现的各类风险，提高自动驾驶的信息安全性。
91.在一种可能的实现方式中，接收检测模块410将报文信息与dbc中的文件进行比对，确定该文件信息与dbc中的文件是否匹配，将得到的比对结果作为检测结果，其中，所述dbc包括至少一种监控规则。
92.在另一种可能的实现方式中，接收检测模块410通过报文信息中的报文数据计算得到报文的实际周期值，并将该实际周期值与dbc中预先定义的周期设计值进行比对；若实际周期值与周期设计值的差值小于第一阈值，则确定报文信息与dbc中的文件匹配。
93.在另一种可能的实现方式中，接收检测模块410通过报文信息中的报文数据计算得到报文的实际负载率值，并将该实际负载率值与dbc中预先存储的负载率标准值进行比对；若实际负载率值与负载率标准值的差值小于第二阈值，则确定报文信息与dbc中的文件匹配。
94.在另一种可能的实现方式中，接收检测模块410还用于对报文信息进行解析，确定该报文的序列，并将该报文序列与dbc中预先定义的报文序列进行比对，其中，该报文的序列包括该报文中的报文数据的先后顺序；若该报文的报文序列与dbc中预先定义的报文序列相同，则确定报文信息与dbc中的文件匹配。
95.在另一种可能的实现方式中，接收检测模块410还用于接收车端发送的经过预处理的报文信息，其中，该预处理包括报文长度合法性检测、编码检验合法性检测、文件签名合法性检测和端到端e2e校验合法性检测。
96.在另一种可能的实现方式中，接收检测模块410还用于通过用户接口接收来自用户的管理指令，该管理指令包括针对所述监控规则的配置指令和针对所述监控规则的更新指令。
97.上述各个模块之间互相可以通过通信通路进行数据传输，应理解，数据处理装置400包括的各个模块可以为软件单元、也可以为硬件单元、或部分为软件单元部分为硬件单元。
98.关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不再做详细阐述说明。
99.图5是本技术实施例示出的电子设备的结构示意图。
100.参见图5，电子设备500包括存储器510和处理器520。
101.处理器520可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
102.存储器510可以包括各种类型的存储单元，例如系统内存、只读存储器(rom)和永久存储装置。其中，rom可以存储处理器520或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中，永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中，永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备，例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外，存储器510可以包括任意计算机可读存储媒介的组合，包括各种类型的半导体存储芯片(例如dram，sram，sdram，闪存，可编程只读存储器)，磁盘和/或光盘也可以采用。在一些实施方式中，存储器510可以包括可读和/或写的可移除的存储设备，例如激光唱片(cd)、只读数字多功能光盘(例如dvd-rom，双层dvd-rom)、只读蓝光光盘、超密度光盘、闪存卡(例如sd卡、min sd卡、micro-sd卡等)、磁性软盘等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。
103.存储器510上存储有可执行代码，当可执行代码被处理器520处理时，可以使处理器520执行上文述及的方法中的部分或全部。
104.此外，根据本技术的方法还可以实现为一种计算机程序或计算机程序产品，该计算机程序或计算机程序产品包括用于执行本技术的上述方法中部分或全部步骤的计算机程序代码指令。
105.或者，本技术还可以实施为一种计算机可读存储介质(或非暂时性机器可读存储介质或机器可读存储介质)，其上存储有可执行代码(或计算机程序或计算机指令代码)，当可执行代码(或计算机程序或计算机指令代码)被电子设备(或服务器等)的处理器执行时，使处理器执行根据本技术的上述方法的各个步骤的部分或全部。
106.以上已经描述了本技术的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其他普通技术人员能理解本文披露的各实施例。