车联网安全态势预测方法、电子设备及可读存储介质与流程

1.本技术涉及车联网安全技术领域，更具体地，涉及一种车联网安全态势预测方法、电子设备及计算机可读存储介质。


背景技术：

2.随着移动互联网快速发展，汽车产业不断向智能化和网联化方向快速转变，车联网不断范围不断扩大。随着车联网的范围扩大，车联网内流量的增加，一些不法分子利用技术漏洞攻击车辆，从而导致严重的交通事故。基于这种情况，车辆信息安全保护技术逐渐成为人们关注的焦点。


技术实现要素：

3.本技术的实施方式提供了一种可至少部分解决现有技术中存在的上述问题的车联网安全态势预测方法、电子设备及可读存储介质。
4.本技术实施方式的第一方面提供了一种车联网安全态势预测方法，包括：使用果蝇算法优化bi-lstm初始模型的参数；根据车联网的网络数据样本确定训练数据；根据训练数据对优化后的bi-lstm初始模型进行训练，得到bi-lstm预测模型；通过bi-lstm预测模型对车联网的安全态势进行预测。
5.本技术实施方式的第二方面提供了一种电子设备，包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行如上述实施方式提及的车联网安全态势预测方法。
6.本技术实施方式的第三方面提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时，实现如上述实施方式提及的车联网安全态势预测方法。
7.根据本技术的实施方式，使用车联网的网络数据样本训练得到bi-lstm预测模型，使得能够对车联网安全态势进行预测，以便在由于网络攻击等原因造成车联网异常时及时预警，减少车辆信息泄露或车辆被攻击者操控的情况，提高车辆信息安全。对bi-lstm初始模型的参数进行优化，寻找较优的参数来构建bi-lstm预测模型，可提高bi-lstm预测模型的准确率。此外，通过果蝇算法对bi-lstm初始模型的参数进行优化，可缩短优化时间，提高最终寻找的最优参数值的准确率。
附图说明
8.通过阅读参照以下附图所作的对非限制性实施例的详细描述，本技术的其它特征、目的和优点将会变得更明显。其中：
9.图1是根据本技术的一些实施方式的车联网系统的结构示意图；
10.图2是根据本技术的一些实施方式的可应用本技术的实施方式提及的车联网安全态势预测方法的系统架构；
11.图3是根据本技术的一些实施方式的车联网安全态势预测方法的流程图；
12.图4是根据本技术的一些实施方式的长短时记忆网络的结构示意图；
13.图5是根据本技术的一些实施方式的使用果蝇算法优化bi-lstm初始模型的参数的流程示意图；
14.图6是根据本技术的一些实施方式的根据车联网的网络数据样本确定训练数据的流程示意图；
15.图7是根据本技术的一些实施方式的根据训练数据对优化后的bi-lstm初始模型进行训练的流程示意图；
16.图8是根据本技术的一些实施方式的电子设备的结构示意图。
具体实施方式
17.为了更好地理解本技术，将参考附图对本技术的各个方面做出更详细的说明。应理解，这些详细说明只是对本技术的示例性实施方式的描述，而非以任何方式限制本技术的范围。在说明书全文中，相同的附图标号指代相同的元件。表述“和/或”包括相关联的所列项目中的一个或多个的任何和全部组合。
18.还应理解的是，诸如“包括”、“包括有”、“具有”、“包含”和/或“包含有”等表述在本说明书中是开放性而非封闭性的表述，其表示存在所陈述的特征、元件和/或部件，但不排除一个或多个其它特征、元件、部件和/或它们的组合的存在。此外，当诸如“...中的至少一个”的表述出现在所列特征的列表之后时，其修饰整列特征，而非仅仅修饰列表中的单独元件。此外，当描述本技术的实施方式时，使用“可”表示“本技术的一个或多个实施方式”。并且，用语“示例性的”旨在指代示例或举例说明。
19.除非另外限定，否则本文中使用的所有措辞(包括工程术语和科技术语)均具有与本技术所属领域普通技术人员的通常理解相同的含义。还应理解的是，除非本技术中有明确的说明，否则在常用词典中定义的词语应被解释为具有与它们在相关技术的上下文中的含义一致的含义，而不应以理想化或过于形式化的意义解释。
20.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。另外，除非明确限定或与上下文相矛盾，否则本技术所记载的方法中包含的具体步骤不必限于所记载的顺序，而可以任意顺序执行或并行地执行。下面将参考附图并结合实施例来详细说明本技术。
21.随着移动互联网快速发展，汽车产业不断向智能化和网联化方向快速转变。一些攻击者会通过“不安全的生态接口”对后台数据库进行非法访问，对车辆信息(车辆行驶轨迹、车辆位置等)、车主信息(身份证号、姓名、手机号、登录密码等)等敏感数据进行窃取，影响日常生活，造成经济损失。一些攻击者会通过远程入侵服务器，登录到车联网服务云平台，实现对车辆的远程控制(例如攻击者在物理接触车辆的情况下，远程实现对车辆的动力、转向等核心功能的操控)。这些严重影响驾驶员的行车安全，甚至生命财产安全。
22.图1是根据本技术的一些实施方式的车联网系统的结构示意图。
23.如图1所示，车联网系统100可例如包括至少一个服务器110和多个车辆120。服务器110和车辆120相互之间可通过网络进行通信。网络可例如包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
24.服务器110可提供各种服务。例如，服务器110可对车辆120发送的信息进行分析处理。服务器110可实现成多个服务器110组成的分布式服务器集群，也可实现成单个服务器110。
25.应该理解的是，图1中的服务器110和车辆120的数目仅仅是示意性的。根据实现需要，车联网系统100可具有任意数目的服务器110和车辆120。
26.在本技术的一些实施方式中，应用本技术的实施方式提及的车联网安全态势预测方法的系统架构可例如图2所示。基于图1所示的车联网系统100的一个或多个服务器110，可部署云端数据存储平台111、车载入侵检测平台112和云端管理平台113。云端数据存储平台111可用于在用户授权的情况下，获取被监控的网络210和被监控的系统220的网络数据，例如，网络流量数据211、系统日志212、can数据213和行为日志214等。云端数据存储平台111可使用预处理算法，对获取的数据进行处理。预处理可例如包括：离散特征处理230、连续特征处理240、长尾特征处理250和数据降维260。通过离散特征处理230，实现数据符号特征化。通过连续特征处理240，实现数据归一化。通过长尾特征处理250，实现数据离散/连续截断。通过数据降维260来提取网络特征。云端数据存储平台111存储处理后的数据，以便后期调用。车载入侵检测平台112可从云端数据存储平台111获取上述处理后的数据构建训练集271和测试集271，并对优化后的bi-lstm初始模型进行训练，以训练得到bi-lstm预测模型270。使用过程中，车载入侵检测平台112可根据网络数据和bi-lstm预测模型270，得到预测结果273，并将预测结果273输入云端管理平台113。云端管理平台113通过上报机制280，上报预测结果。通过本技术的实施方式，可在车联网网络安全领域上，进行网络安全态势感知。例如，使用bi-lstm预测模型270识别出异常网络流量。
27.图3是根据本技术的一些实施方式的车联网安全态势预测方法300的流程图。该车联网安全态势预测方法可例如由电子设备执行，电子设备可例如为服务器或云端服务器。如图3所示，本技术的实施方式提供的车联网安全态势预测方法300可例如包括：
28.s11，使用果蝇算法优化bi-lstm初始模型的参数。
29.s12，根据车联网的网络数据样本确定训练数据。
30.s13，根据训练数据对优化后的bi-lstm初始模型进行训练，得到bi-lstm预测模型。
31.s14，通过bi-lstm预测模型对车联网安全态势进行预测。
32.根据本技术的实施方式，使用车联网的网络数据样本训练得到bi-lstm预测模型，使得能够对车联网安全态势进行预测，以便在由于网络攻击等原因造成车联网异常时及时预警，从而减少车辆信息泄露或车辆被攻击者操控的情况，提高车辆信息安全。对bi-lstm初始模型的参数进行优化，寻找较优的参数来构建bi-lstm预测模型，可提高bi-lstm预测模型的准确率。此外，通过果蝇算法对bi-lstm初始模型的参数进行优化，可缩短优化时间，提高最终寻找的最优参数值的准确率。
33.应当理解的是，为阐述清楚，本技术的实施方式中，以先优化bi-lstm初始模型的参数，再确定训练数据为例进行示例性说明，在其他实施方式中，也可以先确定训练数据，再优化bi-lstm初始模型的参数，还可以同时执行确定训练数据，再优化bi-lstm初始模型的参数，本技术对此不作限制。
34.应当理解的是，为阐述清楚，本技术的实施方式中，以电子设备执行车联网安全态
势预测方法300为例进行示例说明，在其他实施方式中，也可以由多个电子设备协同执行车联网安全态势预测方法300。例如，由第一个电子设备执行步骤s11以优化bi-lstm初始模型的参数，由第二个电子设备基于第一个电子设备优化后的bi-lstm初始模型，执行步骤s12和步骤s13，以训练得到bi-lstm预测模型，由第三个电子设备基于第二个电子设备训练的bi-lstm预测模型，执行步骤s14，以对车联网安全态势进行预测。本技术对实施车联网安全态势预测方法300的电子设备的个数和各个电子设备之间的协同方式不作限制。
35.下面对上述实施方式中的各个步骤进行示例性说明。
36.步骤s11
37.在本技术的一些实施方式中，使用bi-lstm(双向长短时记忆)初始模型构建用于预测车联网安全态势的bi-lstm预测模型。bi-lstm初始模型的算法是对长短时记忆网络的改进算法。本技术的实施方式中，考虑到bi-lstm初始模型的适合学习时间序列上的动态特征，针对车联网中的异常流量所产生的特征变化能够进行有效的捕捉，通过学习动态网络变化特征可进行车联网安全态势感知来保证车主用户安全和利益。
38.在本技术的一些实施方式中，bi-lstm初始模型可例如包括两个长短时记忆网络，每个长短时记忆网络可使用三个门限设计来解决长期依赖问题，从而增加神经元的记忆和遗忘功能。
39.示例性地，长短时记忆网络的结构400如图4所示，其包括：输入层410、正向传播层420、反向传播层430和输出层440，长短时记忆网络的单个记忆单元(例如，421)的结构可例如图4上方虚框a所示，其至少包括遗忘门、输入门和输出门。其中，x0至xn表示输入向量，h0至hn表示输出向量，c
t-1
表示更新前的细胞状态，h
t-1
表示第t-1个时刻的输出向量，x
t
表示记忆单元第t个时刻的输入向量，f
t
表示第t个时刻遗忘门的输出向量，w为bi-lsttm初始模型的内参，i
t
表示第t时刻输入门的输出向量，表示中间状态，o
t
表示第t时刻输出门的输出向量，h
t
表示第t个时刻的输出向量，c
t
表示更新后的细胞状态。在每个记忆单元内部交互过程中，各个结构作用如下：
40.①
遗忘门：可用于决定是否需要遗忘之前储存的信息。示例的，遗忘门读取输入特征向量和上一层输出特征向量，并通过激活sigmoid函数判断是否遗忘，确定公式为：
41.f
t
＝w(wf*[h
t-1
,x
t
]+bf)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
公式1；
[0042]
其中，f
t
表示第t个时刻遗忘门的输出向量，w为bi-lsttm初始模型的内参，一般为默认值，wf表示遗忘门需要被训练的权重，h
t-1
表示第t-1个时刻的输出向量，x
t
表示第t个时刻的输入向量，bf表示遗忘门的偏置。
[0043]
根据上述公式1计算得到0-1之间的数值，1表示存储，0表示丢弃。
[0044]
②
输入门：可用于判断什么类型的新信息需要进行学习，使用tanh函数计算候选值向量，确定公式为：
[0045]it
＝w(wi*[h
t-1
,x
t
]+bi)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
公式2；
[0046][0047]
其中，i
t
表示第t时刻输入门的输出向量，w为bi-lsttm初始模型的内参，一般为默认值，wi表示输入门需要被训练的权重，h
t-1
表示第t-1个时刻的输出向量，x
t
表示第t个时刻的输入向量，bi表示输入门的偏置，表示中间状态，wc表示细胞状态需要被训练的权重，bc表示细胞状态(c
t
)的偏置。
[0048]
③
输出门：可用于通过sigmoid激活函数获取输出状态，使用tanh函数将输出信息进行确定，输出最终值，确定公式为：
[0049][0050]
其中，c
t
表示更新后的细胞状态，f
t
表示第t个时刻遗忘门的输出向量，c
t-1
表示更新前的细胞状态，i
t
表示第t时刻输入门的输出向量，表示中间状态。
[0051]
图4所示的bi-lstm初始模型中包括两个长短时记忆网络，一个正向的长短时记忆网络和一个反向的长短时记忆网络。其中，正向的长短时记忆网络负责提取前向特征，反向长短时记忆网络负责提取反向特征。在bi-lstm初始模型中，每一个时刻都含有正反两个方向的输出。bi-lstm初始模型中每个时刻的状态确定公式如下：
[0052][0053][0054]
其中，表示第t个时刻的正向特征，表示第t个时刻的反向特征，lstm
forward
(h
t-1
,x
t
,c
t-1
)表示正向的长短时记忆网络，lstm
backward
(h
t-1
,x
t
,c
t-1
)表示反向的长短时记忆网络，h
t-1
表示第t-1个时刻的输出向量，x
t
表示第t个时刻的输入向量，c
t-1
表示更新前的细胞状态。
[0055]
在本技术的一些实施方式中，使用果蝇算法优化的bi-lstm初始模型的参数包括bi-lstm初始模型的外参。其中，外参可例如包括的长短时记忆网络的遗忘门、输入门和输出门上的参数。例如，公式1中的wf和bf，公式2中的wi和bi，公式3中的wc和bc。使用果蝇算法优化上述参数的过程可例如图5所示，包括以下步骤：
[0056]
s111，初始化果蝇算法的参数(例如种群规模n、最大迭代数m)，随机初始化bi-lstm初始模型的外参。示例的，种群规模n可例如为3或5，最大迭代数m可根据需要设置。考虑到车联网数据较多，最大迭代数m可设置为比较大的数值。
[0057]
s112，赋予果蝇个体搜寻最优参数值的随机方向和距离。示例的，通过赋予果蝇个体搜寻的随机方向和距离，使果蝇在各个参数的参数备选区间中寻找各个参数的可能的最优参数值。若初始化后bi-lstm初始模型的第i个外参的值为x
i_aixs
，第j个果蝇的搜索距离为randomvalue，即迭代步进值，在搜寻后，第j个果蝇对应的第i个外参的值为x
ij
＝x
i_aixs
+randomvalue。
[0058]
s113，确定判定值。示例的，判定值的确定公式如下：
[0059][0060]
其中，sj表示判定值，x
ij
表示搜寻后第i个外参的值，t表示需要优化的外参个数。
[0061]
s114，将判定值带入判定函数(例如适应度函数fitness function)，以得到果蝇个体的味道浓度。示例的，味道浓度的确定公式如下：
[0062]
smellj＝function(sj)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
公式8；
[0063]
其中，smellj表示味道浓度，function()表示判定函数，sj表示判定值。
[0064]
应当理解的是，在未背离本技术教导的情况下，可根据需求选择判定函数，本技术对此不作限制。
[0065]
s115，找出味道浓度最佳的果蝇。
[0066]
s116，记录最佳味道浓度值和味道浓度最佳的果蝇对应的各个外参的取值，并更新果蝇群体中各个果蝇对应的各个外参的取值。即可在果蝇群体向基于该味道浓度最佳的果蝇对应的各个外参的取值确定位置飞去。示例的，若味道浓度最佳的果蝇的第i个参数的取值为x
i_bestindex
，则将x
i_aixs
更新为x
i_bestindex
。
[0067]
s117，进入迭代寻优。示例的，重复执行步骤s112至步骤s115，并判断最佳味道浓度是否优于前一次迭代最佳味道浓度，若确定是，则执行步骤s116，直至达到最大迭代数。
[0068]
通过上述过程，对bi-lstm初始模型的参数进行优化，寻找较优的参数来构建bi-lstm预测模型，可提高bi-lstm预测模型的准确率。此外，通过果蝇算法对bi-lstm初始模型的参数进行优化，可缩短优化时间，提高最终寻找的最优参数值的准确率。
[0069]
在本技术的一些实施方式中，为果蝇算法设置的bi-lstm初始模型的参数的备选值区间与训练数据的数据量成正比关系。示例的，考虑到车联网的数据量较大，bi-lstm初始模型的参数备选值区间相对于一些已知的参数备选值区间更大。
[0070]
步骤s12
[0071]
在本技术的一些实施方式中，车联网安全态势预测方法300还可例如包括：获取车联网的网络数据样本。示例地，在用户授权的情况下，电子设备可通过数据监控平台对需要监控的网络和系统进行数据爬取，爬取的数据可例如包括：网络流量、系统日志、can数据和行为日志。电子设备可例如根据爬取的数据构建网络数据样本。
[0072]
可选择的，电子设备可以数据表的形式将爬取的数据存储到云端数据存储平台。
[0073]
在本技术的一些实施方式中，网络数据样本至少包括以下数据中的一项：各类报文的目的端口数据、各类报文的源端口数据、各类报文的目的地址数据、各类报文的源地址数据、各类报文的发送时间数据、各类报文的响应时间数据、各类报文的流持续时间(flow duration)数据、各类报文的总数、各类报文大小、各类报文中最大报文大小、各类报文中最小报文大小、各类报文的平均数据大小和各类报文的标准偏差大小。其中，报文可例如包括请求报文、响应报文等。各类报文的总数可例如包括请求报文的总数(total packet in the forward direction)和响应报文的总数(total packets in the backward direction)，各类报文大小可例如包括请求报文的总数据量(total size of packet in forward direction)，各类报文中最大报文大小可例如包括请求报文中数据量最大的报文的数据量(maximum size of packet in forward direction)和响应报文中数据量最大的报文的数据量(maximum size of packet in backward direction)，各类报文中最小报文大小可例如包括请求报文中数据量最小的报文的数据量(minimum size of packet in forward direction)，各类报文的平均数据大小可例如包括请求报文的平均数据量(average size of packet in forward direction)，各类报文的标准偏差大小可例如包括请求报文的标准偏差大小(standard deviation of packet in forward direction)。
[0074]
值得一提的是，上述网络数据是车辆在使用过程中产生的网络流量数据，选择车联网流量数据可以了解到车辆的网络情况，为车联网安全态势感知提供数据基础。
[0075]
应当理解的是，在未背离本技术教导的情况下，电子设备可以爬取上述数据中的
部分数据作为网络数据样本，也可以爬取上述所有数据作为网络数据样本，本技术对此不作限制。
[0076]
应当理解的是，在未背离本技术教导的情况下，电子设备还可爬取其他数据作为网络数据样本，本技术对此不作限制。
[0077]
在本技术的一些实施方式中，如图6所示，电子设备根据车联网的网络数据样本确定训练数据可例如包括以下子步骤：
[0078]
s121，对车联网的网络数据样本进行预处理。其中，预处理包括以下至少之一：
[0079]
对网络数据样本进行数据清洗；
[0080]
对网络数据样本进行离散特征处理；
[0081]
对网络数据样本进行连续特征处理；
[0082]
对网络数据样本进行长尾数据处理。
[0083]
s122，对预处理后的网络数据样本进行网络特征提取，得到网络特征样本。
[0084]
s123，根据网络特征样本确定训练数据。
[0085]
以下对步骤s12的各个子步骤的执行过程进行示例性说明。
[0086]
步骤s121
[0087]
在本技术的一些实施方式中，对车联网的网络数据样本进行预处理可例如包括：对网络数据样本进行数据清洗。对网络数据样本进行离散特征处理；对网络数据样本进行连续特征处理；对网络数据样本进行长尾数据处理。示例的，在真实网络环境中的网络数据，由于各种原因可能会导致造成网络数据不完整、有噪声或者属性不可用的问题。此外，由于误差或者设备故障等问题，也可能导致一些网络数据无法被记录，特别是对于属性缺少的元组，可能还需要推断缺省的数据。在本技术的实施方式中，可在数据预处理阶段尝试进行填充丢失的数据、消除噪音和处理异常值等操作。
[0088]
在本技术的一些实施方式中，电子设备对网络数据样本进行数据清洗可例如包括操作1、操作2和操作3中的至少一个。
[0089]
操作1：根据网络数据样本的缺失项的权重，删除或补全缺失项。
[0090]
作为一个示例，电子设备在考虑是否删除一条记录的缺失项时，可以使用权重法，通过对完整数据的加权减小偏差，赋予各项不同的权重，权重可例如通过logistic函数回归求得。换言之，使用完整的数据来判断每个特征权重，得到权重后，若一个记录中的一项缺失且它所占权重较小那么可以删除该项。
[0091]
作为一个示例，电子设备在为重要的数据项增加属性值时，可例如通过回归填补法、均值填补法或标准差填补法等方法，填充该数据项的属性值。其中，填补法是指用回归方程进行回归预测，用预测值作为该数据项的属性值。均值填补法是指计算多条记录中该数据项的平均值作为该数据项的属性值。标准差填补法是指计算多条记录中该数据项的标准差作为该数据项的属性值。示例地，重要的数据项可例如包括网络数据中的目的端口、源端口、目的地址、源地址、发送时间、响应时间等。
[0092]
以某一记录缺失目的端口这一数据项为例，若前几条记录的目的端口都是111.111.10.1，则通过回归函数可预测该记录缺失的目的端口的属性值为111.111.10.1。
[0093]
应当理解的是，在未背离本技术教导的情况下，也可通过其他方式对网络数据样本中的各个网络数据的缺失项进行处理，本技术对此不作限制。
[0094]
操作2：对网络数据样本进行去噪处理。
[0095]
作为一个示例，网络数据样本的去噪过程可例如包括：删除网络数据样本中由于失误操作或者其他原因产生的冗余数据。例如，有一条记录中各个数据项的属性值都是0，那么可以删除该条记录。
[0096]
操作3：删除网络数据样本中的异常值。
[0097]
作为一个示例，异常值处理可例如包括：网络数据样本中的突变数据。例如，有一条记录中的某一个数据项的属性值突然过高或过低，则认为该属性值属于异常值。比如，该数据项的属性值一般处于2000-4000，若某一条记录中，该数据项的属性值突然变成99999或0000或负数，说明该属性值为异常值。
[0098]
应当理解的是，在未背离本技术教导的情况下，还可对网络数据样本进行其他操作，以清洗数据，本技术对此不作限制。
[0099]
在本技术的一些实施方式中，电子设备对网络数据样本进行离散特征处理230可例如包括：对网络数据进行符号特征化，其可例如包括将网络数据中的一些数据项转化为数值型，例如，正常设置为1，异常设置为0。
[0100]
在本技术的一些实施方式中，电子设备对网络数据样本进行连续特征处理240可例如包括：对数据进行归一化处理。例如，网络数据样本中各个数据项的属性值为数值型，可对各数据项的属性值进行归一化处理。例如，使用最小-最大(min-max)准则将数据映射到(0，1)区间。
[0101]
在本技术的一些实施方式中，电子设备对网络数据样本进行长尾数据处理250可例如包括：将数据进行截断，以使每一个网络数据样本的数据量大小差不多大。
[0102]
步骤s122
[0103]
在本技术的一些实施方式中，电子设备通过对网络数据进行特征提取，以对数据降维260。通过提取的网络特征来表示整个网络或系统的数据流量变化趋势，有利于优化后的bi-lstm初始模型学习其网络流量变化趋势的特征，进而预测车联网安全态势。
[0104]
作为一个示例，若网络数据样本至少包括以下数据中的一项：各类报文的目的端口数据、各类报文的源端口数据、各类报文的目的地址数据、各类报文的源地址数据、各类报文的发送时间数据、各类报文的响应时间数据、各类报文的流持续时间数据、各类报文的总数、各类报文大小、各类报文中最大报文大小、各类报文中最小报文大小、各类报文的平均数据大小和各类报文的标准偏差大小，则电子设备对预处理后的网络数据样本进行网络特征提取，得到网络特征样本可例如包括：提取以下数据中的至少之一作为网络特征样本：目的端口数据、源端口数据、目的地址数据、源地址数据、发送时间数据和响应时间数据。
[0105]
应当理解的是，在未背离本技术教导的情况下，电子设备还可选择其他可用于预测网络是否处于安全状态的数据项作为网络特征，本技术对此不作限制。
[0106]
步骤s123
[0107]
在本技术的一些实施方式中，电子设备根据网络特征样本确定训练数据可例如包括：将提取的网络特征样本作为训练数据。即电子设备使用网络特征样本对优化后的bi-lstm初始模型进行训练。
[0108]
在本技术的一些实施方式中，电子设备根据网络特征样本确定训练数据可例如包括：根据网络特征样本确定网络安全态势值样本；将网络安全态势值样本作为训练数据。即
电子设备使用网络安全态势值样本对优化后的bi-lstm初始模型进行训练。
[0109]
应当理解的是，在未背离本技术教导的情况下，电子设备可根据需要设置网络特征和网络安全态势值的约束关系，本技术对此不作限制。
[0110]
步骤s13
[0111]
在本技术的一些实施方式中，如图7所示，电子设备根据训练数据对优化后的bi-lstm初始模型进行训练，得到bi-lstm预测模型可例如包括以下子步骤：
[0112]
s131，根据训练数据构建训练集和测试集。
[0113]
示例性地，电子设备可将训练数据按一定比例分为训练集和测试集以便进行网络安全态势感知训练。该比例可例如为7:3或者5:5，本技术对此不作限制。
[0114]
s132，使用训练集对优化后的bi-lstm初始模型进行训练，得到bi-lstm训练模型。
[0115]
s133，使用测试集对bi-lstm训练模型进行测试，得到bi-lstm预测模型。
[0116]
示例性地，电子设备可使用测试集对bi-lstm训练模型进行性能评估，使用bi-lstm训练模型基于测试集中的网络数据样本对安全态势进行异常检测，根据检测结果的准确性判断bi-lstm训练模型是否符合预设要求，若符合，将该bi-lstm训练模型作为bi-lstm预测模型，若不符合，调整bi-lstm训练模型中的参数，重新进行训练，直到bi-lstm训练模型符合预设要求。
[0117]
示例性地，对优化后的bi-lstm初始模型进行训练的过程中，可使用损失函数对优化后的bi-lstm初始模型的参数优化。经过多轮次迭代使损失函数收敛达到最优。在测试集完成测试后，bi-lstm预测模型构建完成，可将其应用到管理平台监控车联网流量数据以预测是否存在异常网络攻击。
[0118]
应当理解的是，在未背离本技术教导的情况下，损失函数可例如为梯度下降算法中的adam函数，也可选择其他函数，本技术对此不作限制。
[0119]
步骤s14
[0120]
在本技术的一些实施方式中，电子设备若使用网络特征样本对优化后的bi-lstm初始模型进行训练以得到bi-lstm预测模型，通过bi-lstm预测模型对车联网的安全态势进行预测可例如包括：从车联网的网络数据中提取网络特征数据；将提取的网络特征数据作为bi-lstm预测模型的输入，将bi-lstm预测模型的输出作为网络特征预测数据；以及通过将网络特征预测数据与车联网的网络特征标准数据比较，对车联网的安全态势进行预测。
[0121]
作为一种选择，电子设备可根据指示车联网的网络安全的历史网络特征数据集，确定网络特征标准数据。例如，对于响应时间这一网络特征，电子设备可将网络安全情况下的响应时间记录在历史响应时间数据集中，通过确定历史响应时间数据集中的响应时间的平均值或标准差，作为响应时间这一数据项对应的网络特征标准数据。
[0122]
应当理解的是，在未背离本技术教导的情况下，电子设备还可使用其他方式，基于历史网络特征数据集选择网络特征标准数据，本技术对此不作限制。
[0123]
作为一种选择，电子设备根据网络特征预测数据和网络特征标准数据的比较结果，对车联网的安全态势进行预测可例如包括：响应于网络特征预测数据中的任意n个网络特征预测值与网络特征标准数据中与其对应的网络特征标准值的差值大于等于第一阈值，确定车联网安全态势的预测结果指示网络异常。其中，n可例如为正整数，本技术对此不作限制。
[0124]
应当理解的是，在未背离本技术教导的情况下，第一阈值可根据网络特征的特点，以及网络异常下该网络特征的属性值与网络安全下该网络特征的属性值的平均差值确定，本技术对此不作限制。
[0125]
值得一提的是，在多个网络特征预测值不符合要求的情况下再进行网络异常预警，可减少个别网络特征由于其他原因导致属性值变动的情况下电子设备错误触发预警的情况。
[0126]
应当理解的是，在未背离本技术教导的情况下，还可使用其他方式，基于网络特征预测数据，对车联网安全态势进行预测，本技术对此不作限制。
[0127]
在本技术的一些实施方式中，电子设备若使用网络安全态势值样本对优化后的bi-lstm初始模型进行训练得到bi-lstm预测模型，通过bi-lstm预测模型对车联网的安全态势进行预测可例如包括：从车联网的网络数据中提取网络特征数据；根据提取的网络特征数据，确定车联网的安全态势值；将安全态势值作为bi-lstm预测模型的输入，将bi-lstm预测模型的输出作为车联网的安全态势预测值；以及通过将安全态势预测值与车联网的安全态势标准值进行比较，对车联网的安全态势进行预测。
[0128]
作为一种选择，电子设备可根据指示网络安全的历史安全态势值集，确定安全态势标准值。例如，电子设备可将网络安全情况下的安全态势值记录在历史安全态势值集中，通过确定历史安全态势值集中的安全态势值的平均值或标准差，作为安全态势标准值。
[0129]
应当理解的是，在未背离本技术教导的情况下，电子设备也可根据开发人员基于经验输入的安全态势值等，设置安全态势标准值，还可以根据其他方式获取安全态势标准值，本技术对此不作限制。
[0130]
作为一种选择，电子设备根据安全态势预测值和安全态势标准值的比较结果，对车联网的安全态势进行预测可例如包括：响应于安全态势预测值和安全态势标准值的差值大于等于第二阈值，确定车联网安全态势的预测结果指示网络异常。
[0131]
应当理解的是，在未背离本技术教导的情况下，第二阈值可根据开发人员基于经验或车联网系统的网络架构输入的数值确定，本技术对此不作限制。
[0132]
应当理解的是，在未背离本技术教导的情况下，还可使用其他方式，基于安全态势预测值，对车联网安全态势进行预测，本技术对此不作限制。
[0133]
根据本技术的实施方式，使用车联网的网络数据样本训练得到bi-lstm预测模型，使得能够对车联网安全态势进行预测，以便在由于网络攻击等原因造成车联网异常时及时预警，从而减少车辆信息泄露或车辆被攻击者操控的情况，提高车辆信息安全。对bi-lstm初始模型的参数进行优化，寻找较优的参数来构建bi-lstm预测模型，可提高bi-lstm预测模型的准确率。此外，通过果蝇算法对bi-lstm初始模型的参数进行优化，可缩短优化时间，提高最终寻找的最优参数值的准确率。
[0134]
上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。
[0135]
本技术的实施方式还提供一种电子设备，该电子设备包括至少一个处理器以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，
指令被至少一个处理器执行，以使至少一个处理器能够执行上述车联网安全态势预测方法。
[0136]
本技术的一个实施方式还提供了一种计算机可读存储介质，该存储介质存储有计算机程序，计算机程序被处理器执行时，实现车联网安全态势预测方法。
[0137]
图8示出了可以用来实施本技术的实施方式的示例电子设备800的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本技术的实现。
[0138]
如图8所示，电子设备800包括计算单元801，其可以根据存储在只读存储器(rom)802中的计算机程序或者从存储单元808加载到随机访问存储器(ram)803中的计算机程序，来执行各种适当的动作和处理。在ram 803中，还可存储电子设备800操作所需的各种程序和数据。计算单元801、rom 802以及ram 803通过总线804彼此相连。输入/输出(i/o)接口805也连接至总线804。
[0139]
电子设备800中的多个部件连接至i/o接口805，包括：输入单元806，例如键盘、鼠标等；输出单元807，例如各种类型的显示器、扬声器等；存储单元808，例如磁盘、光盘等；以及通信单元809，例如网卡、调制解调器、无线通信收发机等。通信单元809允许电子设备800通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
[0140]
计算单元801可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元801的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元801执行上文所描述的各个方法和处理，例如车联网安全态势预测方法。例如，在一些实施方式中，车联网安全态势预测方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元808。在一些实施方式中，计算机程序的部分或者全部可以经由rom 802和/或通信单元809而被载入和/或安装到电子设备800上。当计算机程序加载到ram 803并由计算单元801执行时，可以执行上文描述的车联网安全态势预测方法的一个或多个步骤。备选地，在其他实施方式中，计算单元801可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行车联网安全态势预测方法。
[0141]
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置和该至少一个输出装置。
[0142]
用于实施本技术的方法的程序代码可以采用一个或多个编程语言的任何组合来
编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
[0143]
在本技术的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
[0144]
为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置，例如，crt(阴极射线管)或者lcd(液晶显示器)监视器；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
[0145]
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。
[0146]
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
[0147]
以上描述仅为本技术的实施方式以及对所运用技术原理的说明。本领域技术人员应当理解，本技术中所涉及的保护范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离技术构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本技术中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

技术特征：
1.一种车联网安全态势预测方法，其特征在于，包括：使用果蝇算法优化bi-lstm初始模型的参数；根据车联网的网络数据样本确定训练数据；根据所述训练数据对优化后的bi-lstm初始模型进行训练，得到bi-lstm预测模型；通过所述bi-lstm预测模型对所述车联网的安全态势进行预测。2.根据权利要求1所述的方法，其中，所述根据车联网的网络数据样本确定训练数据包括：对所述车联网的网络数据样本进行预处理，所述预处理包括以下至少之一：对所述网络数据样本进行数据清洗；对所述网络数据样本进行离散特征处理；对所述网络数据样本进行连续特征处理；对所述网络数据样本进行长尾数据处理；对预处理后的网络数据样本进行网络特征提取，得到网络特征样本；以及根据所述网络特征样本确定所述训练数据。3.根据权利要求2所述的方法，其中，所述对所述网络数据样本进行数据清洗包括以下至少之一：根据所述网络数据样本的缺失项的权重，删除或补全所述缺失项；对所述网络数据样本进行去噪处理，并删除所述网络数据样本中的异常值。4.根据权利要求2所述的方法，其中，所述网络数据样本至少包括以下数据中的一项：各类报文的目的端口数据、各类报文的源端口数据、各类报文的目的地址数据、各类报文的源地址数据、各类报文的发送时间数据、各类报文的响应时间数据、各类报文的流持续时间数据、各类报文的总数、各类报文大小、各类报文中最大报文大小、各类报文中最小报文大小、各类报文的平均数据大小和各类报文的标准偏差大小。5.根据权利要求4所述的方法，其中，所述对预处理后的网络数据样本进行网络特征提取，得到网络特征样本包括：提取以下数据中的至少之一作为所述网络特征样本：目的端口数据、源端口数据、目的地址数据、源地址数据、发送时间数据和响应时间数据。6.根据权利要求2所述的方法，其中，所述根据所述网络特征样本确定所述训练数据包括：将所述提取的网络特征样本作为所述训练数据。7.根据权利要求6所述的方法，其中，所述通过所述bi-lstm预测模型对所述车联网的安全态势进行预测包括：从所述车联网的网络数据中提取网络特征数据；将提取的网络特征数据作为所述bi-lstm预测模型的输入，将所述bi-lstm预测模型的输出作为网络特征预测数据；以及通过将所述网络特征预测数据与所述车联网的网络特征标准数据比较，对所述车联网的安全态势进行预测。8.根据权利要求7所述的方法，其中，所述方法还包括：
根据指示所述车联网的网络安全的历史网络特征数据集，确定所述网络特征标准数据。9.根据权利要求2所述的方法，其中，所述根据所述网络特征样本确定所述训练数据包括：根据所述网络特征样本确定网络安全态势值样本，作为所述训练数据。10.根据权利要求9所述的方法，其中，所述通过所述bi-lstm预测模型对所述车联网的安全态势进行预测包括：从所述车联网的网络数据中提取网络特征数据；根据提取的网络特征数据，确定所述车联网的安全态势值；将所述安全态势值作为所述bi-lstm预测模型的输入，将所述bi-lstm预测模型的输出作为所述车联网的安全态势预测值；以及通过将所述安全态势预测值与所述车联网的安全态势标准值进行比较，对所述车联网的安全态势进行预测。11.根据权利要求10所述的方法，其中，所述方法还包括：根据指示网络安全的历史安全态势值集，确定所述安全态势标准值。12.根据权利要求1至7中任一项所述的方法，其中，根据所述训练数据对优化后的bi-lstm初始模型进行训练，得到bi-lstm预测模型包括：根据所述训练数据构建训练集和测试集；使用所述训练集对所述优化后的bi-lstm初始模型进行训练，得到bi-lstm训练模型；以及使用所述测试集对所述bi-lstm训练模型进行测试，得到所述bi-lstm预测模型。13.一种电子设备，其特征在于，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1至12中任一项所述的车联网安全态势预测方法。14.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现如权利要求1至12中任一项所述的车联网安全态势预测方法。

技术总结
本申请的实施方式提供了一种车联网安全态势预测方法、电子设备及可读存储介质。车联网安全态势预测方法可包括：使用果蝇算法优化Bi-LSTM初始模型的参数；根据车联网的网络数据样本确定训练数据；根据训练数据对优化后的Bi-LSTM初始模型进行训练，得到Bi-LSTM预测模型；通过Bi-LSTM预测模型对车联网的安全态势进行预测。本申请的实施方式可提高车辆安全。本申请的实施方式可提高车辆安全。本申请的实施方式可提高车辆安全。


技术研发人员：孙先亮
受保护的技术使用者：沈阳精一智驾科技有限公司
技术研发日：2022.01.18
技术公布日：2023/8/1