一种贯穿智能汽车信息安全的纵深防御系统和方法

技术领域

本发明属于计算机数据处理领域，尤其涉及一种贯穿智能汽车信息安全的纵深防御系统和方法。

背景技术

随着互联网、5G 网络和车用无线通信技术（V2X）等科技的兴起，为了保障智能网联汽车在车联网通信过程的安全、以及固件、硬件、和总线的安全，需要在车端安装IDPS软件，并与云端搭建大规模数据的实时数据采集、实时异常监测和分析、用户异常行为分析、固件安全分析、系统安全分析的等数据采集和分析为基础；以漏洞库、威胁情报库等知识情报为作证；以数据可视化、风险预测、应急响应处置为手段的车联网安全汽车信息安全系统。

目前，由于车辆网数据量的增长速度快，车型种类发展方向多，导致信息安全系统存在可扩展性差、分析能力不足、运营成本高等问题，如何提高信息安全系统的分析能力和可扩展性成为亟待解决的技术问题。

发明内容

针对安全运营平台存在可扩展性差，分析能力不足的问题。本发明提出了一种贯穿智能汽车信息安全的纵深防御系统和方法。

第一方面，本发明提供了一种贯穿智能汽车信息安全的纵深防御系统，所述系统包括：

车端探针、数据采集代理、安全分析引擎、业务处理引擎、微服务API网关和业务展示层；

所述车端探针包括基于网络的入侵检测系统NIDS，基于主机的入侵检测系统HIDS，防火墙，CAN报文检测模块；

所述数据采集代理包括注册通道，心跳通道，日志上报通道，策略下发通道；

所述安全分析引擎包括流式分析引擎，数据清洗引擎，数据归并引擎，规则训练引擎，机器学习引擎；

所述业务处理引擎包括自动化编排引擎，数据仓库，风险分析引擎，工作流引擎，可视化配置引擎；

所述微服务API网关包括安全认证模块，负载均衡模块，异常监控模块，链路跟踪模块，API管理模块；

所述业务展示层包括资产管理模块，安全可视化模块，配置管理模块，知识管理模块，安全处置模块；

其中，所述HIDS对文件进行监控、对系统权限进行监控、对系统状态进行监控、对系统日志进行监控，以及将日志信息通过日志上报通道发送到态势感知平台VSOC；

所述NIDS采集流量信息，通过流量检测引擎和深度包检测引擎检测出安全日志，将安全日志上报到VSOC，通过防火墙对黑名单阻断和白名单放行，在VOSC端更新黑名单和白名单；

所述CAN报文检测模块对数据包进行检测、经过报文信号关系检测引擎、报文负载检测引擎、报文序列检测引擎、报文健康检查引擎对报文进行检测，将检测的日志信息通过日志上报通道发送到VSOC。

可选的，所述数据采集代理接受车端发送的点火请求后，通过注册通道向云端管理服务器发送证书请求；

所述数据采集代理通过注册通道接收所述云端管理服务器发布的证书并对车端验证后，向车端发送所述证书；

所述数据采集代理接收车端定时发送的存活状态信息后，通过心跳通道向云端管理服务器发送心跳日志；

所述数据采集代理接收车端定时发送的日志后，对日志解析出不同主题，通过日志通道向云端管理服务器发送带有主题信息的日志；

当控制策略或者规则库更新时，所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库，并将更新后的控制策略或者规则库传输到各个车端。

可选的，所述数据清洗引擎接收kafka的topicA中带有主题信息的日志后，对日志进行读取解析，获得字段映射文件，根据所述字段映射文件中的映射关系将日志中的字段转换生成事件；读取资产数据后富化资产信息，加载规则标签后富化规则标签，加载IP定位库后富化IP定位信息，将经富化后的带有新主题的日志信息发送至kafka的topicB；将日志主题中资产信息、规则标签、IP定位信息采用标准化模板进行标准化扩展，将经标准化扩展后的日志信息发送至kafka的topicC；

所述数据清洗引擎接收带有主题信息的日志后，若主题信息包含规则信息，则将所述日志发送至规则训练引擎。

可选的，所述流式分析引擎用于通过Flink实时计算，流计算或者通过机器学习对安全日志进行训练。

可选的，所述规则训练引擎为主从架构的Flink集群，规则训练引擎支持自定义的规则训练模型，从Kafka消息队列获取带有主题的日志，以数据并行和流水线方式执行数据程序，Master用于调度除与数据库进行周期同步的其余Flink进程，调度步骤包括：

S51，Flink从Kafka中取数据，Flink进程轮询Kafka，查询是否有数据更新，返回结果；如果有，则获取最新数据；

S52，Flink进程中对所述日志进行归一化处理，再将处理后的安全事件返回Kafka；

S53，Flink进程周期性同步Mysql数据，获取关联规则及威胁情报，缓存在Flink中；

S54，Flink进程将安全事件与关联规则、威胁情报进行匹配，如果匹配则产生告警；

S55，Flink进程将所述日志、处理后的安全事件保存至数据库，如果产生告警，同样保存至数据库。

可选的，所述规则训练引擎用于优化智能汽车入侵检测防御系统IDPS的规则，优化步骤包括：

S61、云端管理服务器把全局模型参数传送给车端；

S62、在各个车端上进行本地训练，并对本地模型参数进行归一化；

S63、将归一化后的参数发送至所述云端管理服务器；

S64、所述云端管理服务器在收集所有车端的参数更新后，对其进行归一化平均；

S65、所述云端管理服务器将更新后的模型参数分发回各个车端，直到模型参数满足误差要求，否则再次执行S61-S65。

可选的，所述风险分析引擎用于计算安全风险，包括以下步骤：

S71、确定安全威胁和漏洞：识别威胁来源和攻击方式，将所述威胁来源和攻击方式关联漏洞点；

S72、评估威胁的概率：根据历史数据、统计信息评估每个威胁发生的概率；

S73、评估威胁的影响：确定每个威胁发生时对系统业务中断时长和数据泄露等级；

S74、计算风险值：计算每个威胁的风险值，通过加权模型计算综合风险值；

S75、优先级排序和风险管理：根据每个威胁的风险值，对威胁进行优先级排序，确定威胁处理顺序以及处理策略。

可选的，所述微服务API网关为Kong网关，设置白名单、黑名单、身份认证功能、网速流量限流插件；

所述网速流量限流插件用于，当一车端网络流量消耗速度超过阈值且持续时间超过预期时间，将车端置入黑名单，当黑名单内车端数超过最大数值时，触发用户选择策略，根据用户选择切换或关闭端口。

第二方面，本发明提供了一种贯穿智能汽车信息安全的纵深防御方法，包括如下步骤：

S0、车端探针向数据采集代理发送日志信息，安全分析引擎对所述日志信息中事件进行分析解析，业务处理引擎通过风险分析引擎判断事件中安全威胁和漏洞，微服务API网关对事件中异常进行监控并响应，业务展示层实时展示系统运行状态；

S1、数据采集代理接受车端发送的点火请求后，通过注册通道向云端管理服务器发送证书请求；

S2、数据采集代理通过注册通道接收所述云端管理服务器发布的证书后并对车端验证后，向车端发送所述证书；

S3、数据采集代理接收车端定时发送的存活状态信息后，通过心跳通道向云端管理服务器发送心跳日志；

S4、数据采集代理接收车端定时发送的日志后，对日志解析出不同主题，通过日志通道向云端管理服务器发送带有主题信息的日志；

S5，当控制策略或者规则库更新时，所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库，并将更新后的控制策略或者规则库传输到各个车端；

其中，规则训练引擎为主从架构的Flink集群，规则训练引擎支持自定义的规则训练模型，Master用于调度除与数据库进行周期同步的其余Flink进程，调度步骤包括：

S51，Flink从Kafka中取数据，Flink进程轮询Kafka，查询是否有数据更新，返回结果；如果有，则获取最新数据；

S52，Flink进程中对所述日志进行归一化处理，再将处理后的安全事件返回Kafka；

S53，Flink进程周期性同步Mysql数据，获取关联规则及威胁情报，缓存在Flink中；

S54，Flink进程将安全事件与关联规则、威胁情报进行匹配，如果匹配则产生告警；

S55，Flink进程将所述日志、处理后的安全事件保存至数据库，如果产生告警，同样保存至数据库；

其中，规则训练引擎用于优化智能汽车入侵检测防御系统IDPS的规则，优化步骤包括：

S61、云端管理服务器把全局模型参数传送给车端；

S62、在各个车端上进行本地训练，并对本地模型参数进行归一化；

S63、将归一化后的参数发送至所述云端管理服务器；

S64、所述云端管理服务器在收集所有车端的参数更新后，对其进行归一化平均；

S65、所述云端管理服务器将更新后的模型参数分发回各个车端，直到模型参数满足误差要求，否则再次执行S61-S65。

本发明的有益效果如下：

1）相对于传统网络的信息安全系统，贯穿智能汽车信息安全的纵深防御系统有其独特性，同时其监测规则、分析规则有别于传统网络，本方案适配车端环境，利用大数据和人工智能技术，不断的丰富车联网的安全监测规则。

2）设计了从车端流量检测、系统状态检测到数据采集、数据分析、风险分析、可视化呈现，然后到安全处置的全流程解决方案，云端又不断的丰富车端的检测规则形成闭环，最后形成贯穿智能汽车信息安全的纵深防御系统的解决方案。

上述说明，仅是本发明技术方案的概述，为了能够更清楚了解本发明技术手段，可依照说明书的内容予以实施，并且为了让本发明的上述说明和其它目的、特征及优点能够更明显易懂，特举较佳实施例，详细说明如下。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。

图1为贯穿智能汽车信息安全的纵深防御系统的结构图；

图2为通过机器学习对安全日志训练的流程图；

图3为流式分析引擎对日志进行处理流程图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

在本发明的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

实施例1

本发明实施例提供一种贯穿智能汽车信息安全的纵深防御系统，该系统包括：车端探针、数据采集代理、安全分析引擎、业务处理引擎、微服务API网关和业务展示层；

所述车端探针包括基于网络的入侵检测系统NIDS（Network- based intrusiondetection system），基于主机的入侵检测系统HIDS（Host- based intrusion detectionsystem），防火墙，CAN报文检测模块；

所述数据采集代理包括注册通道，心跳通道，日志上报通道，策略下发通道；

所述安全分析引擎包括流式分析引擎，数据清洗引擎，数据归并引擎，规则训练引擎，机器学习引擎；

所述业务处理引擎包括自动化编排引擎，数据仓库，风险分析引擎，工作流引擎，可视化配置引擎；

所述微服务API网关包括安全认证模块，负载均衡模块，异常监控模块，链路跟踪模块，API管理模块；

所述业务展示层包括资产管理模块，安全可视化模块，配置管理模块，知识管理模块，安全处置模块；

其中，所述HIDS对文件进行监控、对系统权限进行监控、对系统状态进行监控、对系统日志进行监控，以及将日志信息通过日志上报通道发送到态势感知平台VSOC；

所述NIDS采集流量信息，通过流量检测引擎和深度包检测引擎检测出安全日志，将安全日志上报到VSOC，通过防火墙对黑名单阻断和白名单放行，在VOSC端更新黑名单和白名单；

所述CAN报文检测模块对数据包进行检测、经过报文信号关系检测引擎、报文负载检测引擎、报文序列检测引擎、报文健康检查引擎对报文进行检测，将检测的日志信息通过日志上报通道发送到VSOC。

进一步地，所述数据采集代理接受车端发送的点火请求后，通过注册通道向云端管理服务器发送证书请求；所述数据采集代理通过注册通道接收所述云端管理服务器发布的证书并对车端验证后，向车端发送所述证书；

所述数据采集代理接收车端定时发送的存活状态信息后，通过心跳通道向云端管理服务器发送心跳日志；

所述数据采集代理接收车端定时发送的日志后，对日志解析出不同主题，通过日志通道向云端管理服务器发送带有主题信息的日志；

当控制策略或者规则库更新时，所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库，并将更新后的控制策略或者规则库传输到各个车端。

进一步地，所述数据清洗引擎接收kafka的topicA中带有主题信息的日志后，对日志进行读取解析，获得字段映射文件，根据所述字段映射文件中的映射关系将日志中的字段转换生成事件；读取资产数据后富化资产信息，加载规则标签后富化规则标签，加载IP定位库后富化IP定位信息，将经富化后的带有新主题的日志信息发送至kafka的topicB；将日志主题中资产信息、规则标签、IP定位信息采用标准化模板进行标准化扩展，将经标准化扩展后的日志信息发送至kafka的topicC。

其中，富化指的是打标签和补充信息等对原有信息进行扩展的操作。示例性的，主题：将编号001出租车在北京西站第5基站发送消息：接到乘客2人；经过标准化后，得到主题：车牌号为京C001的自营出租车在IP为192.168.1.1的北京西站基站发送消息；可以使得主题更加清晰，便于分类处理；又如IDS发送日志为公网IP="124.64.23.215"、VIN=”LFV5A24GXH0012345”、规则ID=311、类型=2的数据，标准化后会补充IP的地理位置、VIN的对应的资产信息、根据规则ID和类型判定分析的模型，补充规则训练模型ID。

进一步地，所述流式分析引擎用于通过Flink实时计算、流计算或者通过机器学习对安全日志进行训练。

进一步地，所述规则训练引擎为主从架构的Flink集群，规则训练引擎支持自定义的规则训练模型，从Kafka消息队列获取带有主题的日志，以数据并行和流水线方式执行数据程序，Master用于调度除与数据库进行周期同步的其余Flink进程，包括：

S51，Flink从Kafka中取数据，Flink进程轮询Kafka，查询是否有数据更新，返回结果；如果有，则获取最新数据；

S52，Flink进程中对所述日志进行归一化处理，再将处理后的安全事件返回Kafka；

S53，Flink进程会周期性同步Mysql数据，获取关联规则及威胁情报，缓存在Flink中；

S54，Flink进程将安全事件与关联规则、威胁情报进行匹配，匹配上产生告警；

S55，Flink进程将所述日志、归一化后（处理后）的安全事件保存至Click House数据库，如果产生告警，同样保存至Click House数据库。

进一步地，所述规则训练引擎用于优化IDPS的规则，所述优化包括如下步骤：

S61、云端管理服务器把全局模型参数传送给车端；

S62、在各个车端上进行本地训练，并对本地模型参数进行归一化；

S63、将归一化后的参数发送至所述云端管理服务器；

S64、所述云端管理服务器在收集所有车端的参数更新后，对其进行归一化平均；

S65、所述云端管理服务器将更新后的模型参数分发回各个车端，直到模型参数满足误差要求，否则再次执行S61-S65。

进一步地，所述风险分析引擎计算安全风险包括以下步骤：

S71、确定安全威胁和漏洞：识别威胁来源和攻击方式，将所述威胁来源和攻击方式关联漏洞点；

S72、评估威胁的概率：根据历史数据、统计信息评估每个威胁发生的概率；

S73、评估威胁的影响：确定每个威胁发生时对系统业务中断时长和数据泄露等级；

S74、计算风险值：计算每个威胁的风险值，通过加权模型计算综合风险值；

S75、优先级排序和风险管理：根据每个威胁的风险值，对威胁进行优先级排序，确定威胁处理顺序以及处理策略。

进一步地，所述微服务API网关为Kong网关，设置白名单、黑名单、身份认证功能、网速流量限流插件；

所述网速流量限流插件用于，当一车端网络流量消耗速度超过阈值且持续时间超过预期时间，将车端置入黑名单，当黑名单内车端数超过最大数值时，触发用户选择策略，根据用户选择切换或关闭端口。

Kong作为API网关，不仅仅能实现nginx具备的反向代理和负载均衡功能，还可以基于插件化实现更多功能，比如身份认证、请求限流、黑白名单配置等，都可以基于Kong的插件非常方便的实现。网关一个最大的作用就是可以将一些通用的操作都提取到网关层来实现，让底层的后端服务只需要关注具体的业务即可。

进一步地，通过机器学习引擎对日志进行处理。

机器学习架构使用sk-learn、tensorflow框架；用户在界面上通过拖拽建立模型，需要做的步骤有：选择数据源、数据预处理、特征工程、机器学习算法，用户在每个步骤选择参数，完成了初步的建模。再通过Click House获取训练数据集，训练后得到训练后模型，参见图2。

进一步地，通过安全处置模块对于安全风险进行响，系统通过告警分析模块接收安全日志，系统通过多个过滤字段自由组合或者采用NoSQL的方式进行过滤，过滤后的安全日志后，进行归并引擎出去相对重复的安全日志，然后通过告警生成引擎生成告警，然后调用自动化响应引擎就行安全处置。

自动化响应引擎SOAR（Security Orchestration, Automation, and Response）是指安全编排、自动化和响应，是一种综合性的网络安全解决方案。它结合了人工智能、机器学习和自动化技术，旨在提高网络安全团队的工作效率和响应能力。SOAR可以集成多个安全工具和系统，自动化执行各种安全操作和任务，如事件响应、威胁情报分析、漏洞管理和恶意代码分析等。它还可以通过编排和自动化工作流程，将不同的安全事件和警报进行关联，并提供实时的响应和决策支持。SOAR的应用可以帮助安全团队更快速地检测、响应和解决安全事件，减少人工操作和错误，提高安全运营效率。它还可以帮助团队更好地管理和分析安全数据，提供全面的安全可视化和报告。在贯穿智能汽车信息安全的纵深防御系统中可以集成企业微信、邮件、工单、声音报警、播报等多种通知通告的方式，同时也能通过策略下发通道联动IDPS完成防护和系统检查的作用。总之，SOAR在网络安全领域的应用可以提供更强大的安全自动化和编排能力，帮助组织更好地应对不断增长的网络威胁和安全挑战。

进一步地，系统采用基于Vue3.0、Ant Desigin Pro等最新的前端技术栈来搭建前后端分离的web服务，提炼典型页面，包括常用组件、动态菜单、主题切换、国际化等功能。平台目前包括多个常用基础组件和典型页面模板，涵盖各类常见页面模型。

实施例2

本发明实施例提供一种贯穿智能汽车信息安全的纵深防御方法，包括：

S0、车端探针向数据采集代理发送日志信息，安全分析引擎对所述日志信息中事件进行分析解析，业务处理引擎通过风险分析引擎判断事件中安全威胁和漏洞，微服务API网关对事件中异常进行监控并响应，业务展示层实时展示系统运行状态；

S1、数据采集代理接受车端发送的点火请求后，通过注册通道向云端管理服务器发送证书请求；

S2、数据采集代理通过注册通道接收所述云端管理服务器发布的证书后并对车端验证后，向车端发送所述证书；

S3、数据采集代理接收车端定时发送的存活状态信息后，通过心跳通道向云端管理服务器发送心跳日志；

S4、数据采集代理接收车端定时发送的日志后，对日志解析出不同主题，通过日志通道向云端管理服务器发送带有主题信息的日志；

S5，当控制策略或者规则库更新时，所述数据采集代理通过策略下发通道接收云端管理服务器下发的更新后的控制策略或者规则库，并将更新后的控制策略或者规则库传输到各个车端；

其中，规则训练引擎为主从架构的Flink集群，规则训练引擎支持自定义的规则训练模型，Master用于调度除与数据库进行周期同步的其余Flink进程，调度步骤包括：

S51，Flink从Kafka中取数据，Flink进程轮询Kafka，查询是否有数据更新，返回结果；如果有，则获取最新数据；

S52，Flink进程中对所述日志进行归一化处理，再将处理后的安全事件返回Kafka；

S53，Flink进程周期性同步Mysql数据，获取关联规则及威胁情报，缓存在Flink中；

S54，Flink进程将安全事件与关联规则、威胁情报进行匹配，如果匹配则产生告警；

S55，Flink进程将所述日志、处理后的安全事件保存至数据库，如果产生告警，同样保存至数据库；

其中，规则训练引擎用于优化智能汽车入侵检测防御系统IDPS的规则，优化步骤包括：

S61、云端管理服务器把全局模型参数传送给车端；

S62、在各个车端上进行本地训练，并对本地模型参数进行归一化；

S63、将归一化后的参数发送至所述云端管理服务器；

S64、所述云端管理服务器在收集所有车端的参数更新后，对其进行归一化平均；

S65、所述云端管理服务器将更新后的模型参数分发回各个车端，直到模型参数满足误差要求，否则再次执行S61-S65。进一步地，规则更新也可以包括，

S611:云端管理服务器选择参与联邦学习的车端节点，选中的车端节点向云端服务器申请下载初始化模型参数和模型的训练程序；

S612:车端节点训练局部模型，被选中的车端节点根据模型训练程序在本地进行局部模型更新，在本地私有数据上运行梯度下降；

S613:云端管理服务器接收到车端节点上传的局部模型参数，用于全局模型的生成。当满足数量的车端节点上传模型参数后，便可进行全局聚合。全局聚合时还可添加用于增加隐私的安全性聚合，用于提高通信效率的有损压缩，以及添加噪声的差分隐私。

S614:全局聚合，对收集到的局部模型根据预先制定好的规则，进行全局模型的聚合，生成全局更新模型。

其中局部训练模型为：

其中，

全局聚合模型为：

n代表参与训练的总数据量，

进一步地，所述风险分析引擎计算安全风险包括以下步骤：

S71、确定安全威胁和漏洞：识别威胁来源和攻击方式，将所述威胁来源和攻击方式关联漏洞点；

S72、评估威胁的概率：根据历史数据、统计信息评估每个威胁发生的概率；

S73、评估威胁的影响：确定每个威胁发生时对系统业务中断时长和数据泄露等级；

S74、计算风险值：计算每个威胁的风险值，通过加权模型计算综合风险值；

S75、优先级排序和风险管理：根据每个威胁的风险值，对威胁进行优先级排序，确定威胁处理顺序以及处理策略。

进一步地，所述风险值计算模型为：

其中，S表示风险值数值，n表示威胁数量，c表示系统业务中断时长分数值，b表示数据泄露等级分数值；b、c通过归一化的方式获得数值，w表示权重，i是威胁的序号；

进一步地，所述微服务API网关为Kong网关；设置白名单、黑名单、身份认证、网速流量限流插件，当某车端网络流量消耗，网速均超过阈值且持续时间超过预期时间，将该车端置入黑名单，当黑名单内用户数超过最大数值时，触发用户选择策略，根据用户选择切换或关闭端口。

Kong作为API网关，不仅仅能实现nginx具备的反向代理和负载均衡功能，还可以基于插件化实现更多功能，比如身份认证、请求限流、黑白名单配置等，都可以基于kong的插件非常方便的实现。网关一个最大的作用就是可以将一些通用的操作都提取到网关层来实现，让底层的后端服务只需要关注具体的业务即可。

进一步地，通过机器学习引擎对日志进行处理。

机器学习架构使用sk-learn、tensorflow框架；用户在界面上通过拖拽建立模型，需要做的步骤有：选择数据源、数据预处理、特征工程、机器学习算法，用户在每个步骤选择参数，完成了初步的建模。再通过Click House获取训练数据集，训练后得到训练后模型；

进一步地，通过安全处置模块对于安全风险进行响，系统通过告警分析模块接收安全日志，系统通过多个过滤字段自由组合或者采用NoSQL的方式进行过滤，过滤后的安全日志后，进行归并引擎出去相对重复的安全日志，然后通过告警生成引擎生成告警，然后调用自动化响应引擎就行安全处置。

自动化响应引擎SOAR（Security Orchestration, Automation, and Response）是指安全编排、自动化和响应，是一种综合性的网络安全解决方案。它结合了人工智能、机器学习和自动化技术，旨在提高网络安全团队的工作效率和响应能力。SOAR可以集成多个安全工具和系统，自动化执行各种安全操作和任务，如事件响应、威胁情报分析、漏洞管理和恶意代码分析等。它还可以通过编排和自动化工作流程，将不同的安全事件和警报进行关联，并提供实时的响应和决策支持。SOAR的应用可以帮助安全团队更快速地检测、响应和解决安全事件，减少人工操作和错误，提高安全运营效率。它还可以帮助团队更好地管理和分析安全数据，提供全面的安全可视化和报告。在贯穿智能汽车信息安全的纵深防御系统中可以集成企业微信、邮件、工单、声音报警、播报等多种通知通告的方式，同时也能通过策略下发通道联动IDPS完成防护和系统检查的作用。总之，SOAR在网络安全领域的应用可以提供更强大的安全自动化和编排能力，帮助组织更好地应对不断增长的网络威胁和安全挑战。

进一步地，系统采用基于Vue3.0、Ant Desigin Pro等最新的前端技术栈来搭建前后端分离的web服务，提炼典型页面，包括常用组件、动态菜单、主题切换、国际化等功能。平台目前包括多个常用基础组件和典型页面模板，涵盖各类常见页面模型。

本发明的有益效果如下：

1）相对于传统网络的信息安全系统，贯穿智能汽车信息安全的纵深防御系统有其独特性，同时其监测规则、分析规则有别于传统网络，本方案是适配与车端环境，利用大数据和人工智能技术，不断的丰富车联网的安全监测规则。

2）设计了从车端流量检测、系统状态检测到数据采集、数据分析、风险分析、可视化呈现，然后到安全处置的全流程解决方案，云端又不断的丰富车端的检测规则形成闭环，最后形成贯穿智能汽车信息安全的纵深防御系统的解决方案。