用于车载网络入侵检测系统的可信环境自学习方法及系统

技术领域

本公开总体涉及车辆和安全性，更具体地涉及评估车辆的系统拓扑的信任级别的方法、系统和设备，用于车辆中控制单元(ECU)的系统配置或校准。

背景技术

近年来，在具有复杂网络和主机系统的内陆驾驶车辆的自主和半自主驾驶特征方面取得了显著进步。在大规模生产的复杂网络和系统中，完整制造车辆产生的电含量存在明显变化，需要在安全评估中加以考虑。在具有更先进的自主、半自主和相关特征选项的车辆中，多系统变化由不同的ECU(电子控制单元)协调。虽然监管关注点与自动驾驶系统类别一致，但即使是不支持任何类别自主性的平台也需要适用性，并且还将在不支持自主性的车辆中推出。自主和半自主车辆ECU通过多条通信总线内部连接，使连接到总线的ECU能够读取或向其他ECU发送数据。因此，如果对手可以危害其中一个ECU，对手就可以访问和利用其他ECU的数据。车载网络入侵检测系统(NIDS)的功能是监控内部环境(在这种情况下是ECU网络)中可能指示危害的可疑事件，并防止网络危害和入侵。

要成功操作NIDS，网络信号监控软件必须能够精确绘制网络拓扑。网络拓扑映射包括与网络类型和数量相关的细节(控制器局域网、以太网等)以及与哪些ECU位于哪些网络相关的细节。

期望脱离昂贵且耗时的校准过程，该校准过程已经用于创建车辆特定配置，该车辆特定配置包含每个ECU使用的网络拓扑和消息的列表，每个ECU是唯一平台构建的每个部分。

期望具有一种系统设计，其能够通过监控某些ECU网络安全性和车辆状态元素来安全地自学习车辆网络拓扑，以识别期间可发生学习的可信窗口，从而防止未经授权的人员访问车辆系统并导致车辆系统的错误配置。

期望提供支持NIDS在选定的车辆销售区域中的安全自我启用的能力，以确保符合可能不同于车辆组装地点的销售区域中的区域数据隐私规定的功能。

此外，结合附图以及前述技术领域和背景技术，从随后的详细描述和所附权利要求中，本公开的其他期望特征和特性将变得显而易见。

发明内容

在至少一个示例性实施例中，提供了一种确定用于学习车辆平台的车载网络入侵检测系统(NIDS)的可信窗口的方法。该方法包括：由处理器执行NIDS，以通过接收关于车辆运行状态的一组车辆输入来监控电子控制单元(ECU)网络和车辆状态元素；响应于关于车辆运行状态的确定，由处理器识别可信窗口，在识别可信窗口期间，关于包含在车辆平台构建配置中的网络拓扑和白名单消息的学习是可允许的；由处理器创建车辆特定配置，所述车辆特定配置包含由ECU在车辆平台中在特定网络上使用的网络拓扑和白名单消息的列表；以及基于对包含在由ECU在车辆平台中使用的列表中的网络拓扑和白名单消息的至少一个安全影响的评估结果，由处理器防止在可信窗口之外的车辆平台中的车辆特定配置的网络拓扑和白名单消息的列表中的至少一个网络的错误配置。

在至少一个实施例中，该方法包括由处理器应用以通过算法生成网络拓扑和具有与车辆平台相关的行为的白名单消息。

在至少一个实施例中，该方法包括由处理器实现在车辆制造期间生成的网络拓扑的先前可用数据。

在至少一个实施例中，该方法中先前可用数据包括作为车辆网络拓扑的一部分的ECU数据。

在至少一个实施例中，该方法中数据车辆网络拓扑包括ECU和控制器局域网(CAN)总线成员资格。

在至少一个实施例中，该方法包括由处理器通过NIDS中的算法实现车辆销售区域的自动学习。

在至少一个实施例中，该方法包括由处理器使得NIDS能够利用预先存在的制造数据来提取车辆的销售区域，以根据车辆将被出售的区域的隐私规定实现NIDS的可操作性。

在至少一个实施例中，该方法包括由处理器经由紧凑系统网络配置文件结合已被学习的拓扑提取，以根据白名单消息使用生成用于车辆构建的至少一个白名单消息集，同时还考虑要在系统生命周期期间添加的用于OEM售后ECU的白名单消息。

在另一示例性实施例中，提供了一种系统。该系统包括：处理器，其配置为执行车载网络入侵检测系统(NIDS)，以通过接收关于车辆运行状态的一组车辆输入来监控一组电子控制单元(ECU)和车辆状态元素；响应于关于车辆运行状态的确定，处理器配置为识别可允许学习关于包含在车辆平台中的网络拓扑和白名单消息的可信窗口；处理器配置为创建车辆特定配置，所述车辆特定配置包含由ECU在车辆平台中使用的网络拓扑和白名单消息的列表；以及处理器配置为基于对包含在由ECU在车辆平台中使用的列表中的网络拓扑和白名单消息的至少一个安全影响的评估结果，防止在可信窗口之外的车辆平台中的车辆特定配置的网络拓扑和白名单消息的列表中的至少一个网络的错误配置。

在至少一个示例性实施例中，处理器配置成实现算法以生成网络拓扑和具有与车辆平台相关的行为的白名单消息。

在至少一个示例性实施例中，处理器配置成实现在车辆制造期间生成的网络拓扑的先前可用数据。

在至少一个示例性实施例中，其中先前可用数据包括作为车辆网络拓扑的一部分的ECU数据。

在至少一个示例性实施例中，其中数据车辆网络拓扑包括但不限于控制器局域网(CAN)总线位置。

在至少一个示例性实施例中，处理器配置成使用NIDS中的算法实现车辆销售区域的自动学习。

在至少一个示例性实施例中，处理器配置为根据白名单消息使用经由紧凑系统网络配置文件结合已被学习的拓扑提取用于车辆构建的至少一个白名单消息集。

在又一示例性实施例中，提供了一种车辆设备。该车辆设备包括：车辆控制器，其包括处理器，其中该处理器执行算法，以确定车载网络入侵检测系统(NIDS)的可信窗口来学习关于车辆平台，包括执行NIDS，以通过接收关于车辆运行状态的一组车辆输入来监控一组电子控制单元(ECU)和车辆状态元素；响应于关于车辆运行状态的确定，识别可信窗口，在识别可信窗口期间，关于包含在车辆平台中的网络拓扑和白名单消息的学习是可允许的；创建车辆特定配置，所述车辆特定配置包含由ECU在车辆平台中使用的网络拓扑和白名单消息的列表；以及基于对包含在由ECU在车辆平台中使用的列表中的网络拓扑和白名单消息的至少一个安全影响的评估结果，防止在可信窗口之外的车辆平台中的车辆特定配置的网络拓扑和白名单消息的列表中的至少一个网络的错误配置。

在至少一个示例性实施例中，车辆设备包括处理器，该处理器配置为：经由算法生成网络拓扑和具有与车辆平台相关的行为的白名单消息。

在至少一个示例性实施例中，车辆设备包括处理器，该处理器配置为：实现在车辆制造期间生成的网络拓扑的先前可用数据。

在至少一个示例性实施例中，车辆设备包括处理器，该处理器配置为：通过NIDS中的算法实现车辆销售区域的自动学习。

附图说明

下文将结合以下附图描述示例性实施例，其中相同的附图标记表示相同的元件，并且其中：

图1是根据示例性实施例的示出具有配置有智能识别算法的NIDS的自主或半自主车辆的功能框图，该智能识别算法能够基于使用一组参数来评估车辆校准可能发生的可信环境来控制车辆ECU校准和其他配置；

图2A、2B和2C是根据示例性实施例的示出具有配置有智能识别算法的NIDS的自主或半自主车辆的步骤的流程图，该智能识别算法能够基于使用一组参数来评估车辆校准可能发生的可信环境来控制车辆ECU校准和其他配置；以及

图3是根据示例性实施例的示出网关的框图，该网关与自主或半自主车辆的一组ECU和具有配置有智能识别算法的NIDS的外部ECU通信，该智能识别算法使得能够基于使用一组参数来评估车辆校准可能发生的可信环境，对车辆ECU校准和其他配置进行网关访问和控制。

具体实施方式

以下详细描述本质上仅仅是示例性的，并不旨在限制应用和使用。此外，不打算受前面的技术领域、背景技术、发明内容或下面的详细描述中呈现的任何明示或暗示的理论的约束。如本文所用，术语“模块”指的是任何硬件、软件、固件、电子控制组件、处理逻辑和/或处理器设备，单独地或以任何组合，包括但不限于：专用集成电路(ASIC)、现场可编程门阵列(FPGA)、电子电路、处理器(共享的、专用的或成组的)和执行一个或多个软件或固件程序的存储器、组合逻辑电路和/或提供所述功能的其他合适部件。

这里可以根据功能和/或逻辑块部件和各种处理步骤来描述本公开的实施例。应当理解，这种块部件可以由配置为执行指定功能的任何数量的硬件、软件和/或固件部件来实现。例如，本公开的实施例可以采用各种集成电路部件，例如存储元件、数字信号处理元件、逻辑元件、查找表等，其可以在一个或多个微处理器或其他控制设备的控制下执行各种功能。此外，本领域技术人员将理解，本公开的实施例可以结合任何数量的系统来实践，并且这里描述的系统仅仅是本公开的示例性实施例。

为了简洁起见，与信号处理、数据传输、信令、控制、机器学习、图像分析以及系统的其他功能方面(以及系统的各个操作部件)相关的传统技术在此不再详细描述。此外，本文包含的各种附图中所示的连接线旨在表示各种元件之间的示例功能关系和/或物理联接。应当注意，在本公开的实施例中可以存在许多替代的或附加的功能关系或物理连接。

NIDS可以托管信号处理和识别算法，以区分网络协议和系统行为的基线操作与偏差，从而便于识别目标系统行为违规。可以实施入侵检测来防止恶意网络流量活动，例如入侵车辆系统和操纵配置数据。

本公开描述了针对支持网络入侵检测系统功能所需的车辆系统信息在每个平台的基础上提供约束校准扩展和开发工作的方法、系统和设备。本公开描述了提供自学习算法的方法、系统和设备，该自学习算法生成NIDS正确操作所需的配置数据，同时使用OEM特定的MFG过程和ECU状态来生成用于学习的可信环境。

图1是根据示例性实施例的示出具有配置有(即智能)识别算法的NIDS的自主或半自主车辆的功能框图，该识别算法能够基于使用一组参数来评估车辆校准可能发生的可信环境来控制车辆ECU校准和其他配置。

图1示出了自主类型车辆100的实施例，其中识别算法评估一组参数或因素，以确定用于车辆系统的ECU配置的网关访问的可信环境。虽然预期所公开的主题在自主型车辆100的系统中实现，但部署所公开的主题的其他方式也是可行的。例如，该主题完全有可能被部署或集成到其他类型车辆的系统或设备中，它们可以是或不是自主或远程设备，比如无人机。

参考图1，根据示例性实施例示出了具有网络105(即全车载网络)自配置处理器系统(输入、ECU标志、车辆状态、ECU、传感器和传感器数据、校准数据等)110的车辆100。车辆100包括多个传感器120、传感器ECU131、通用ECU130和可信网络自配置处理器系统110的可信网络自配置模块132。

用于车载NIDS的可信网络自配置处理器系统110通过实现车辆制造过程和新的紧凑网络设计工件所特有的构建过程和ECU状态来避免对昂贵的校准扩散方法的需要，所述新的紧凑网络设计工件容纳系统所需的关键网络信息。为网络自配置处理器系统110的环境评估的信任是关键的，代替了车辆特定签名校准的扩散。

可信网络自配置处理器系统110的信任级别由安全评估(或安全影响)的一组确定、检查或评估结果来确定，安全评估包括评估以下参数或属性：(1)用于指示生产过程是可能的ECU级别标志、安全令牌或计数器，(2)ECU特权访问状态，比如安全访问级别和(3)车辆里程≤车辆被区分为新车辆的关键阈值，以便系统识别该值，并可以暗示车辆存在于可信的OEM制造环境中；并且在可信环境中，NIDS可以(4)安全地接收在车辆制造过程中生成的网络拓扑信息，以识别哪些ECU存在以及在哪个(哪些)网络上，可以确定使用(4)的学习的拓扑信息结合(6)新的紧凑系统配置ARXML文件生成(5)车载网络平台特定内容的基线白名单，该文件识别所有可能的ECU和消息以及相关的性能行为。

在示例性实施例中，学习系统的可销售区域的可信评估仅(或几乎仅，或尽可能多地)在数据收集符合区域监管要求的市场中启用系统功能。此外，其他附加客户特定启用标准也可以与此启用标志结合使用。在这方面，这是初始“启用”标志，需要与其他信息进行“与”运算，比如客户允许收集数据作为选择。信任评估通过将(7)可销售区域代码附加到规范服务器名称来利用现有的制造过程和信任模型，例如该规范服务器名称配置为支持远程信息通信ECU136，并且可以基于预期的销售区域进行编程。尽管规范URL名称可以不提供可解析的销售数据区域，而不需要额外的查找表和配置，但(7)可销售区域代码与(8)远程信息处理系统的结合使用提供了用户条款和条件接受，以允许NIDS在数据隐私和车外数据方面保持对于当前动态全球环境的系统的灵活性。

这种对可信环境的评估消除了对使用人力资源和耗时的校准方法来提供车载NIDS功能所需信息的依赖，从而支持为每个独特的车辆构建配置创建基线定义。

在示例性实施例中，网络自配置处理器系统110不需要校准NIDS配置表，因为所实现的自动学习算法创建了可信环境来代替由签名校准文件提供的依赖安全性。

在示例性实施例中，网络自配置处理器系统110依赖于现有或遗留的安全元素，这些安全元素是可用的，但已被重新调整用途或设计成创建定义学习系统配置所需的可信窗口的环境。

在示例性实施例中，网络自配置处理器系统110实现紧凑的系统网络配置文件提取151，其能够结合系统拓扑学习信息使用，以生成具有相关消息性能的车辆构建特定“白名单”消息集。系统配置文件的大小可以是100MB，并且包含任何制造或组装的车辆对于所有协议可能具有的所有可能消息，提取的大小在10千字节的数量级，并且可以在现代嵌入式系统(例如微控制器)的程序存储器144内使用。

在示例性实施例中，如果白名单消息在可信环境窗口内在车辆网络上传输，则它们是唯一的消息，可被认为是正常或基线事件。

在示例性实施例中，不是白名单消息的一部分但却是整个系统配置ARXML的一部分的消息被认为是异常的，并且将被NIDS标记为明显违规的违规，而不考虑任何其他性能考虑。

在示例性实施例中，网络自配置处理器系统110可以使过程能够利用传统或现有ECU设计和车辆制造过程来学习规范远程信息处理服务器URL名称，以在构建时安全且容易地接收明确的销售区域，而不需要额外的编程时间或ECU校准存储分区。

在示例性实施例中，网络自配置处理器系统110将NIDS操作绑定到完工数据，并使NIDS能够根据区域数据隐私法确定是否允许记录和卸载数据。

在示例性实施例中，网络自配置处理器系统110定义了机制，通过该机制，所学习的车载网络配置信息可被用于验证某些被批准的售后ECU的合法性，这些ECU可被添加到车载网络中，同时还调整车辆白名单以添加新消息，同时还能够检测对先前学习的配置的篡改。

传感器感测车辆100的可观察状态，并且可以包括但不限于图像、LIDAR和雷达传感器120。通常，多个传感器中的每个传感器具体地耦合到车辆100的可信网络自配置处理器模块(通信网关控制器)132，并配置成感测车辆100的外部环境。可信网络自配置处理器模块132接收由传感器120产生并由传感器ECU131提供的传感器信号，处理传感器信号以获得传感器数据。尽管所示实施例将平台实现为车辆100，但这里呈现的概念可以部署在其他平台中，比如飞机、航天器、船只、摩托车、机器人、机器人设备等。此外，如果需要，这里提出的概念也可以部署在替代的移动和非移动平台应用中。

如上所述，车辆100通常包括多个传感器120、传感器ECU131、通用ECU设备130和软件，足以摄取数字信息和/或感测信息，将感测的信息转换成数字信息，并将数字信息提供给网络自配置处理器系统110。通常，多个传感器中的每个传感器配置成感测车辆100周围的各方面。

在可信制造环境之外，如果配置，网络自配置处理器系统110可以允许数据通过136在指定区域中被过滤，并且还结合附加的客户批准作为允许数据收集的附加输入。收发器136可用于建立和维护到车载部件和外部通信源的通信链路，以用于提供附加数据，比如完成NIDS激活所需的客户条款和条件接受。收发器136可以执行信号处理(例如数字化、数据编码、调制等)，如本领域中已知，并且这种情况用于接收发送和接收的时间数据。

继续参考图1，描述了网络自配置处理器系统110的部件及其功能。在所描绘的实施例中，网络自配置处理器系统110的计算机系统包括网络105、ECU130、额外的车辆通信接口146和通信网关控制器132，通信网关控制器132具有通信耦合到存储器144、存储设备148、处理器间总线150和可选存储盘158的块数据处理器142。在各种实施例中，网络自配置处理器系统110执行下面结合图2进一步描述的动作和其他功能。块数据处理器142执行归属于网络自配置处理器系统110的计算和控制功能，并且可以包括任何类型的模块或多个模块、诸如微模块的单个集成电路或者任何合适数量的集成电路设备和/或电路板，它们通过操纵表示系统存储器中的存储器位置处的数据位的电信号以及其他信号处理来协同工作以执行所描述的操作、任务和功能。

在操作期间，块数据处理器142加载并执行一个或多个程序、算法和规则，这些程序、算法和规则体现为包含在存储器144内的指令和应用程序(即学习算法)152，并且因此控制通信网关控制器132的控制系统的一般操作。在执行这里描述的过程时，块数据处理器142加载并执行至少一个程序156。

诸如存储器144、存储设备148或可选存储盘158的计算机可读存储介质可以用作存储器和便笺式暂存器。维护数据位的存储器位置是具有对应于数据位的特定电、磁、光或有机属性的物理位置。存储器144可以是任何类型的合适的计算机可读存储介质。例如，存储器144可以包括各种类型的动态随机存取存储器(DRAM)，比如SDRAM、各种类型的静态RAM(SRAM)和各种类型的非易失性存储器(PROM、EPROM和闪存)。在某些示例中，存储器144位于和/或共同位于与块数据处理器142相同的计算机芯片上。在所描绘的实施例中，存储器144将上述指令和应用152连同一个或多个可配置变量存储在存储值154中。

存储设备148是任何合适类型的存储设备形式的计算机可读存储介质，包括直接存取存储设备，比如硬盘驱动器、闪存系统、软盘驱动器和光盘驱动器。在一示例性实施例中，存储设备148包括程序产品，存储器144可以从该程序产品接收执行本公开的一个或多个过程的一个或多个实施例的程序156。在另一示例性实施例中，程序产品可以直接存储在存储器144和/或磁盘(例如可选的存储磁盘158)中和/或由它们访问，如下所述。

数据记录可以存储在计算机可读存储介质中，比如存储器144、存储设备148或可选的存储盘158。132的内部总线150用于在系统110的网络自配置处理器的计算机系统的各种部件之间传输程序、数据、状态和其他信息或信号。总线150可以是连接计算机系统和部件的任何合适的物理或逻辑装置。这包括但不限于直接硬连线连接、光纤、红外和无线总线技术。在操作期间，存储在存储器144中的程序156由块数据处理器142加载和执行。

接口146还可以包括一个或多个网络接口，以允许110与技术人员和/或制造系统通信，从而允许与制造特定状态信息的通信和潜在存储，该制造特定状态信息最终可被放入存储设备，比如存储设备148。

在各种实施例中，车辆100是自主或半自主的，并且通信网关控制器132的控制系统和/或其部件被结合到车辆100中。车辆100例如是被自动控制以在各位置间运送乘客的车辆。车辆100在所示实施例中被描绘为客车，但应当理解，也可以使用任何其他车辆，包括摩托车、卡车、运动型多功能车(SUV)、休闲车(RV)、船舶、飞机等。

现在参考图2A、2B和2C，图2A-2C是根据各种实施例的示出具有配置有智能识别算法的NIDS的自主或半自主车辆的步骤的流程图，该智能识别算法能够基于使用一组参数来评估车辆校准可能发生的可信环境来控制车辆ECU校准和其他配置。

在图2A，在步骤205，网络自配置处理器系统110执行NIDS算法来启动自动车辆100特定网络消息学习算法。当实施NIDS配置时，NIDS能够收集车辆100的各种ECU相关系统的数据。在八步(参见图2A-2B中的描述)自配置评估过程中，在任务210，网络自配置处理器系统110通过算法经由中央通信网关模块使用制造状态指示来执行检查或评估，以确定配置值是否大于>0。如果在任务215确定该值>0或为真，则安全访问被确定为有效的。安全访问子功能将车辆里程状态检查为某个确定的低数值，其是考虑使用的车辆的关键阈值。功能检查实施是((安全访问＝有效子功能，里程表值≤预定值或可变的设定低公里数))。这与八步自我配置评估的步骤2-3相关。

可替代地，如果任务210处的配置值不>0(检查为假)，则流程进行到任务215，进行车辆里程低于预设量(即100公里、75公里、50公里等)的状态检查。同样，这对应于八步过程流程的步骤2-3。在示例性实施例中，在任务215，如果车辆里程的检查≤100km，则流程进行到步骤4，在任务220学习可信环境中的网络拓扑数据，并进行到步骤5-6，以基于学习的内容(步骤4)和NIDS系统配置文件提取(步骤6)启动车辆NIDS网络消息白名单学习子算法(步骤5)，特定系统配置ARXML数据的新的紧凑子集用于支持车辆特定网络的自动学习。可替代地，如果任务215的结果为假，则流程进行到任务222，并确定车辆不位于制造工厂中且被防止学习拓扑信息，并且启动车辆NIDS网络消息白名单学习子算法(对应于八步过程流程的步骤4-6)。

在任务217，(步骤2-3)如果车辆里程的状态检查≤100km并且安全访问等于制造特权级别且这被认为是真，则在任务219(类似于任务217)学习可信环境中的网络拓扑数据，并且进行到步骤5-6，以基于学习的内容(步骤4)和NIDS系统配置文件提取(步骤6)启动车辆NIDS网络消息白名单学习子算法(步骤5)，特定系统配置ARXML数据的新的紧凑子集用于支持车辆特定网络的自动学习。可替代地，如果任务217的结果为假，则流程进行到任务221，并确定车辆不位于制造工厂中且被防止学习拓扑信息，并且启动车辆NIDS网络消息白名单学习子算法(对应于八步过程流程的步骤4-6)。该系统被暗示存在于可信OEM制造环境中，在此期间，NIDS可以安全地接收在车辆制造过程中生成的网络拓扑信息，以识别哪些ECU存在以及它是哪个(哪些)网络的成员。因此，系统在步骤5使用来自步骤4的学习的拓扑信息(基于学习的环境)结合新的紧凑系统配置ARXML文件(例如ARXML(AUTOSAR XML)文件)的步骤6生成车载网络平台特定内容的基线白名单，用于设计系统、其配置、其运输和信息存储。这有助于软件部件(SWC)在各系统间的可重用性，该软件部件识别所有可能的ECU和消息以及相关的性能行为。

参考图2B，流程进行到任务225，以接收包含销售代码数据区域的签名校准。对应于八步过程的步骤7，在任务230，确定对应于区域代码的区域是否允许收集数据。换句话说，如果提议的数据收集在该地区的隐私管理下是允许的。如果认为是可允许的，则流程在任务235进行另一检查或确定(对应于八步过程的最后步骤即步骤8)，以检查条款条件和隐私声明(TCPS)是否被接受。如果认为是真，则允许数据收集，允许NIDS收集和卸载数据，这取决于以能够向后台办公室发送数据的方式在NIDS状态中设置的操作条件。如果在任务235，TCPS不被接受，则不允许数据收集。NIDS被设定为禁止数据收集的状态，并且在条件改变之前不收集数据。

参考图2C，在任务240，一旦NIDS配置完成，NIDS被允许收集数据。在任务245，接收CAN帧或消息。在任务250，检查或评估CAN帧或消息是否包括在NIDS提取的帧或消息列表中。如果在列表中没有找到，那么在任务270，它被认为是违规。可替代地，如果它在列表上，则流程在任务260对照一组正常行为检查CAN帧或消息。在任务265，确定该帧是否违反正常行为。如果认为是这样，则流程继续将由CAN帧或消息构成的流量标记为违规。如果不是，则流程进行到任务275，并且流量被标记为正常。因此，NIDS通过这组任务实现了一些机制，通过这些机制，它学习车载网络配置信息，并验证可添加到车载网络的某些经批准的售后ECU的合法性，同时还调整车辆白名单以添加新消息，并能够检测对先前学习的配置的篡改。

图3是根据示例性实施例的示出中央通信网关模块300的框图，该中央通信网关模块300与自主或半自主车辆的一组ECU305以及外部制造和诊断系统310通信，其中中央通信网关模块300的NIDS配置有智能识别算法，该智能识别算法基于使用一组参数来评估车辆安全自学习可能发生的可信环境来使得中央网关能够访问(经由总线和总线位置325)和控制300的车辆ECU校准以及其他配置。中央通信网关模块300处理直接的和ECU间的或路由的通信，除了使得310的制造和诊断网络的外部通信能够经由成组总线和总线位置325通过中央通信网关模块300之外，还能够在所有车载ECU之间进行数据交换。中央通信网关模块300是公共网关，其将数据从一种总线格式转换成另一种总线格式(即包含不同类型数据总线的架构)。

在示例性实施例中，本公开描述了一种算法，该算法由处理器实现以确定用于学习车辆平台的车载网络入侵检测系统(NIDS)的可信操作环境。处理器使用算法来执行NIDS，以通过接收关于车辆运行状态的一组车辆输入来监控一组电子控制单元(ECU)和车辆状态元素。响应于关于车辆运行状态的确定，处理器可以识别可信窗口，在识别可信窗口期间，关于包含在车辆平台构建配置中的网络拓扑和白名单消息的学习是可允许的。处理器可以创建车辆构建特定配置，所述车辆构建特定配置包含由所述一组ECU在每个车辆平台构建配置中使用的网络拓扑和白名单消息的列表。基于对包含在由所述一组ECU在车辆平台中使用的列表中的网络拓扑和白名单消息的至少一个安全影响的评估结果，处理器可以防止在可信窗口之外的车辆平台中的车辆构建特定配置的网络拓扑和白名单消息的列表中的至少一个网络的未记录的错误配置。处理器实现算法以将一组网络拓扑和白名单消息与车辆平台特定构建或制造相关的行为相关。处理器还可以使用为车辆平台网络设计生成的网络拓扑的先前可用数据的元素。

以前或先前可用数据包括ECU数据，该数据包括网络实例、网络分段配置、电子控制单元网络成员资格、帧路由、网络消息地址转换和帧信号路由定义，ECU数据是车辆网络拓扑的一部分。先前可用数据包括总线数据。处理器实现的自动学习基于车辆销售区域由NIDS中的算法确定。

处理器实现NIDS以使用现有校准文件或使其容易获得，否则它使得不可解析的规范区域特定URL能够提取车辆的销售区域，以根据车辆已被出售的区域的隐私规定实现NIDS的可操作性。

处理器通过紧凑的系统网络配置文件结合已被学习的拓扑提取，以根据白名单消息使用生成用于车辆构建的至少一个白名单消息集。

在各种示例性实施例中，实现的图1的算法152可以在从有监督或无监督学习过程导出的离线训练中创建，并且可以使用神经网络来实现。例如，神经网络可以包括训练的卷积神经网络(CNN)和/或递归神经网络(RNN)，其中类似的方法可被应用并用于车辆控制操作。

在示例性实施例中，算法可被实现为动态神经网络，其在车辆(或其他车辆)中使用或提供之前在训练模式期间被训练。一旦动态神经网络被训练，它可以在车辆(例如图1的车辆100)中以操作模式实现，其中车辆以自主、半自主或手动方式操作。

在各种可替代的示例性实施例中，应当理解，神经网络也可以在车辆中以训练模式和操作模式实现，并且在初始操作期间结合用于扭矩控制预测的时间延迟等方法的操作进行训练。此外，在各种实施例中，车辆可以仅在具有已经通过同一车辆和/或其他车辆的训练模式训练的神经网络的运行模式下运行。

如简要提及，上述各种模块和系统可以实现为一个或多个机器学习算法或模型，其经历有监督、无监督、半监督或强化学习。这种算法的示例包括但不限于人工神经网络(ANN)(比如递归神经网络(RNN)和卷积神经网络(CNN))、决策树模型(比如分类和回归树(CART))、集成学习模型(比如推进、自举聚集、梯度推进机和随机森林)、贝叶斯网络模型(例如朴素贝叶斯)、主成分分析(PCA)、支持向量机(SVM)、聚类模型(比如K近邻、K均值、期望最大化、分层聚类等)，以及线性判别分析模型。

应当理解，图1-3的过程可以包括任何数量的附加或替代任务，图1-3中所示的任务不需要以图示的顺序执行，并且图1-3的过程可被结合到具有这里没有详细描述的附加功能的更全面的程序或过程中。此外，图1-3所示的一个或多个任务可以从图1-3所示的过程的实施例中省略，只要预期的整体功能保持完整。

前述详细描述本质上仅仅是说明性的，并不旨在限制主题的实施例或这些实施例的应用和使用。如本文所用，词语“示例性的”意味着“用作示例、实例或说明”。这里描述为示例性的任何实施方式不一定被解释为比其他实施方式更优选或更有利。此外，不旨在受前面的技术领域、背景技术或详细描述中呈现的任何明示或暗示的理论的约束。

虽然在前面的详细描述中已经呈现了至少一个示例性实施例，但应当理解，存在大量的变化。还应当理解，一个或多个示例性实施例仅是示例，并不旨在以任何方式限制本公开的范围、适用性或配置。相反，前述详细描述将为本领域技术人员提供用于实现一个或多个示例性实施例的便利路线图。

应当理解，在不脱离如所附权利要求及其法律等同物中阐述的本公开的范围的情况下，可以对元件的功能和布置进行各种改变。