异常用车检测方法和装置、介质、设备、车辆、服务器

技术领域

本公开涉及车辆远程控制领域，具体地，涉及一种异常用车检测方法和装置、介质、设备、车辆、服务器。

背景技术

在车辆的异常用车检测时，常应用入侵检测系统(Intrusion DetectionSystems，IDS)来检测。IDS是一种网络安全设备或应用软件，可以监控网络传输或者系统，检查是否有可疑活动或者违反企业政策的行为。

在相关技术中，入侵检测方案依赖于系统运行时的行为日志，需要研发人员事前在指定的关键行为中进行埋点，比如身份提升行为、权限提升行为以及动态执行命令等高危行为。当系统中产生此类行为时，入侵检测系统生成相应的日志并上传到后端服务器，服务器端通过策略引擎扫描来判断是否产生了入侵行为。

这类入侵检测技术中，对系统关键行为的埋点完全基于研发人员的经验，这种经验主要来自于以往发生过的攻击手法，即研发人员的埋点只能监控已知的存在风险的行为，而没有办法捕获未知风险。对关键风险行为的埋点一般在内核之中，内核级别的微小改动可能对整个系统的性能和稳定性造成不利影响，且内核级别的开发很难快速扩展和迭代。

发明内容

本公开的目的是提供一种可靠且高效的异常用车检测方法和装置、介质、设备、车辆、服务器。

为了实现上述目的，本公开提供一种异常用车检测方法。所述方法包括：

采集车辆的用户行为数据；

对所采集的用户行为数据应用孤立森林算法进行计算；

若计算结果包括被孤立的异常点，则判定所述车辆被异常使用；

其中，所述用户行为数据包括以下中的一者或多者：

是否用钥匙开启车门、座椅调节参数、座椅承受的压力大小、方向盘所受握力大小、加速踏板开度的变化率、空调模式、用户的声纹特征。

可选地，若计算结果包括被孤立的异常点，则判定所述车辆被异常使用，包括：

若计算结果包括被孤立的异常点，且所述异常点满足预定条件，则判定所述车辆被异常使用。

可选地，所述预定条件包括：

所述异常点的数量达到预定的数量阈值，和/或，在所采集的用户行为数据转化的点集中，所述异常点的占比达到预定的比例阈值。

可选地，所述方法还包括：

若判定所述车辆被异常使用，则向所述车辆对应的用户终端发送提醒消息，以使所述用户终端输出所述提醒消息。

可选地，所述方法还包括：

若判定所述车辆被异常使用，则控制所述车辆对应的用户终端拨出预定的电话号码或向所述预定的电话号码发送短消息。

可选地，若判定所述车辆被异常使用，则控制所述车辆对应的用户终端拨出预定的电话号码或向所述预定的电话号码发送短消息，包括：

若判定所述车辆被异常使用，则向所述车辆对应的用户终端发送第一询问消息，以使所述用户终端输出所述第一询问消息；

若接收到所述用户终端发送的第一确认消息，则控制所述用户终端拨出预定的电话号码或向所述预定的电话号码发送短消息。

可选地，所述方法还包括：

若判定所述车辆被异常使用，则控制所述车辆的车机锁定。

可选地，若判定所述车辆被异常使用，则控制所述车辆的车机锁定，包括：

若判定所述车辆被异常使用，则向所述车辆对应的用户终端发送第二询问消息，以使所述用户终端输出所述第二询问消息；

若接收到所述用户终端发送的第二确认消息，则控制所述车辆的车机锁定。

可选地，控制所述车辆的车机锁定之后，所述方法还包括：

若接收到所述用户终端发送的解锁消息，则控制解锁所述车机。

可选地，所述方法还包括：

若计算结果不包括被孤立的异常点，则将所采集的用户行为数据加入孤立森林算法的训练样本中。

本公开还提供一种异常用车检测装置，所述装置包括：

采集模块，用于采集车辆的用户行为数据；

计算模块，用于对所采集的用户行为数据应用孤立森林算法进行计算；

判断模块，用于若计算结果包括被孤立的异常点，则判定所述车辆被异常使用；

其中，所述用户行为数据包括以下中的一者或多者：

是否用钥匙开启车门、座椅调节参数、座椅承受的压力大小、方向盘所受握力大小、加速踏板开度的变化率、空调模式、用户的声纹特征。

本公开还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本公开提供的上述方法的步骤。

本公开还提供一种电子设备，包括：

存储器，其上存储有计算机程序；

处理器，用于执行所述存储器中的所述计算机程序，以实现本公开提供的上述方法的步骤。

本公开还提供一种车辆，所述车辆包括车机和本公开提供的上述车机入侵检测装置。

本公开还提供一种服务器，所述服务器包括本公开提供的上述车机入侵检测装置。

通过上述技术方案，对所采集的用户行为数据应用孤立森林算法，来检测异常用车，根据异常点来判断采集的用户行为数据是否与车主用车时对应的数据一致，从而判断是否车主本人使用车辆，即异常用车。这样，通过用户行为来反向验证车辆是否被异常使用，当车辆被异常使用时，能够快速地被检测到。本公开的方案检测结果准确，可靠性高。

本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1是一示例性实施例提供的异常用车检测方法的流程图；

图2是另一示例性实施例提供的异常用车检测方法的流程图；

图3是又一示例性实施例提供的异常用车检测方法的流程图；

图4是又一示例性实施例提供的异常用车检测方法的流程图；

图5是又一示例性实施例提供的异常用车检测方法的流程图；

图6是又一示例性实施例提供的异常用车检测方法的流程图；

图7是又一示例性实施例提供的异常用车检测方法的流程图；

图8是一示例性实施例提供的异常用车检测装置的框图；

图9是一示例性实施例示出的一种电子设备的框图；

图10是一示例性实施例示出的一种电子设备的框图。

具体实施方式

以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本公开，并不用于限制本公开。

本公开提供一种异常用车检测方法。图1是一示例性实施例提供的异常用车检测方法的流程图。如图1所示，该方法可以包括以下步骤。

步骤S11，采集车辆的用户行为数据。

步骤S12，对所采集的用户行为数据应用孤立森林算法进行计算。

步骤S13，若计算结果包括被孤立的异常点，则判定车辆被异常使用。

其中，用户行为数据是指人工操作各种控制部件，来控制车辆运行或更改参数设置的行为数据。用户行为数据可以包括以下中的一者或多者：是否用钥匙开启车门、座椅调节参数(例如，前后方向上的位置、椅背角度)、座椅承受的压力大小、方向盘所受握力大小、加速踏板开度的变化率、空调模式(例如，制冷温度)、用户的声纹特征等。

用户行为数据可以包括在车辆的驾驶室中操作产生的数据，例如，座椅调节参数、座椅承受的压力大小、方向盘所受握力大小、加速踏板开度的变化率、用户的声纹特征等。用户行为数据也可以在用户终端(例如，智能手机、电脑、可穿戴设备等)上操作产生，例如，为了对车辆进行远程控制，用户在用户终端APP中输入的空调模式(例如，制冷温度)，以及通过语音指令输入的声纹特征等。用户行为数据也可以在遥控车钥匙上操作产生，例如，通过从遥控车钥匙上采集的数据可以判断用户行为数据包括用钥匙开启车门。若用户行为数据包括未用钥匙开启车门，以及座椅承受的压力大小达到一定值、方向盘所受握力大小达到一定值，则当前操作车辆的人可能是通过无线电技术开启车门进入驾驶室的，为非法用车，属于异常用车。

应用孤立森林算法，可以预先存储训练样本，该训练样本可以是之前车主用车时所采集的数据，可以是固定的。

对所采集的用户行为数据应用孤立森林算法进行计算时，可以先将用户行为数据转化为高维点集，然后通过基于Ensemble的孤立森林算法来检测被孤立的异常点。得到的异常点表示采集到的用户行为数据与车主用车时产生的数据不一致。在一实施例中，若检测出被孤立的异常点，则表示当前驾驶使用汽车的不是车主本人，车辆被异常使用，可能为非法使用。

本公开的方法可以应用于车辆或服务器中。车辆可以通过车辆总线中采集所需的用户行为数据，上传到服务器中。服务器也可以从用户终端采集用户行为数据，发送至车辆。训练样本可以预先存储在车辆或服务器中，计算过程也可以在车辆或服务器中进行。

本公开的方案可以是针对车载信息娱乐系统(车机)的入侵检测技术，以避免车主的财产损失。

通过上述技术方案，对所采集的用户行为数据应用孤立森林算法，来检测异常用车，根据异常点来判断采集的用户行为数据是否与车主用车时对应的数据一致，从而判断是否车主本人使用车辆，即异常用车。这样，通过用户行为来反向验证车辆是否被异常使用，当车辆被异常使用时，能够快速地被检测到。本公开的方案检测结果准确，可靠性高。

图2是另一示例性实施例提供的异常用车检测方法的流程图。如图2所示，在图1的基础上，该方法还可以包括步骤S14。

步骤S14，若计算结果不包括被孤立的异常点，则将所采集的用户行为数据加入孤立森林算法的训练样本中。

若计算结果不包括被孤立的异常点，说明当前采集的用户行为数据均为车主本人所操作，可以将所采集的用户行为数据加入孤立森林算法的训练样本中，充实样本数据。车主买车以后，自己操作车辆的数据都可以累积在训练样本中，这样，训练样本中的数据随着用车次数的增加而增加，使之后对异常用车的判断更加准确。

图3是又一示例性实施例提供的异常用车检测方法的流程图。如图3所示，在图1的基础上，若计算结果包括被孤立的异常点，则判定车辆被异常使用(步骤S13)可以包括步骤S131。

步骤S131，若计算结果包括被孤立的异常点，且异常点满足预定条件，则判定车辆被异常使用。

也就是，判定车辆被异常使用的条件不仅是有被孤立的异常点，而且异常点数量还需要达到一定的程度。例如，预定条件可以包括：异常点的数量达到预定的数量阈值，和/或，在所采集的用户行为数据转化的点集中，异常点的占比达到预定的比例阈值。预定的数量阈值和预定的比例阈值可以预先根据试验或经验确定。若未达到预定的数量阈值或未达到预定的比例阈值，则可以认为该异常点在误差的范围内，还不能就此认为车辆被异常使用。

该实施例中，对判断车辆异常使用的条件做出进一步的限定，避免了一些不必要的检测错误，提高了检测的准确性。

图4是又一示例性实施例提供的异常用车检测方法的流程图。如图4所示，在图1的基础上，该方法还可以包括步骤S15。

步骤S15，若判定车辆被异常使用，则向车辆对应的用户终端发送提醒消息，以使用户终端输出提醒消息。

服务器中可以预先存储有车辆和用户终端的对应关系。可以在服务器中计算，并判定车辆异常使用时，查询到用户终端，向该用户终端发送消息。用户终端的APP中例如可以弹出“当前您车牌为XXXXXX的车辆视为被非法入侵，请您尽快确认”的窗口。这样，车主可以远程了解车辆被异常使用的情况，并及时采取补救措施，争取挽回损失。

图5是又一示例性实施例提供的异常用车检测方法的流程图。如图5所示，在图1的基础上，该方法还可以包括步骤S16。

步骤S16，若判定车辆被异常使用，则控制车辆对应的用户终端拨出预定的电话号码或向预定的电话号码发送短消息。

该预定的电话号码可以是公安部门的相关报警电话。可以在用户终端的APP上预先设置自动调用拨打电话功能或自动发送短消息功能，在车辆被异常使用的情况下，自动向公安机关进行报警。另外，短信中还可以包括车辆的实时位置的链接，便于公安机关及时到达现场。

在图5的基础上，若判定车辆被异常使用，则控制车辆对应的用户终端拨出预定的电话号码或向预定的电话号码发送短消息的步骤(步骤S16)可以包括：

若判定车辆被异常使用，则向车辆对应的用户终端发送第一询问消息，以使用户终端输出第一询问消息；若接收到用户终端发送的第一确认消息，则控制用户终端拨出预定的电话号码或向预定的电话号码发送短消息。

其中，用户终端输出的第一询问消息用于询问车主是否同意拨出预定的电话号码或向预定的电话号码发送短消息。例如，用户终端的APP中可以弹出“当前您车牌为XXXXXX的车辆视为被异常用车，是否拨打报警电话？”的窗口，若车主同意，则可以点击窗口中带有的“马上拨打”按键，则使得用户终端向服务器或车辆发送了第一确认消息，然后服务器或车辆控制用户终端拨出报警电话。该实施例中，用户终端进行报警需要经过车主同意，避免引起不必要的误会。

图6是又一示例性实施例提供的异常用车检测方法的流程图。如图6所示，在图1的基础上，该方法还可以包括步骤S17。

步骤S17，若判定车辆被异常使用，则控制车辆的车机锁定。

若车辆的车机中安装有整车控制器，则将车机锁定可以对车辆禁用，避免对车辆进行进一步的非法操控，避免车主的损失进一步增大。

在图6的基础上，若判定车辆被异常使用，则控制车辆的车机锁定的步骤(步骤S17)可以包括：

若判定车辆被异常使用，则向车辆对应的用户终端发送第二询问消息，以使用户终端输出第二询问消息；若接收到用户终端发送的第二确认消息，则控制车辆的车机锁定。

其中，用户终端输出的第二询问消息用于询问车主是否同意锁定车辆的车机。例如，用户终端的APP中可以弹出“当前您车牌为XXXXXX的车辆视为被异常用车，是否马上锁车？”的窗口，若车主同意，则可以点击窗口中带有的“马上锁车”按键，则使得用户终端向服务器或车辆发送了第二确认消息，然后服务器或车辆控制进行锁车。该实施例中，控制将车辆的车机锁定需要经过车主同意，避免引起不必要的误会。

有时候，车主可能会把自己的车借出，给其他人使用，此时，车主可以通过用户终端远程进行授权。图7是又一示例性实施例提供的异常用车检测方法的流程图。如图7所示，在图6的基础上，控制车辆的车机锁定(步骤S17)之后，该方法还可以包括步骤S18。

步骤S18，若接收到用户终端发送的解锁消息，则控制解锁车机。

例如，用户终端中弹出提醒消息时，可以附带有“授权”和“报警”的可选项，若用户选择“授权”，则向服务器发送解锁消息。若用户选择“报警”，则自动向公安机关拨出电话或发送短消息进行报警。这样，车主可以远程授权给其他人来用车，在保障安全的前提下，增强了车辆的实用性。

本公开还提供一种异常用车检测装置。图8是一示例性实施例提供的异常用车检测装置的框图。如图8所示，异常用车检测装置800可以包括采集模块801、计算模块802和判断模块803。

采集模块801用于采集车辆的用户行为数据。

计算模块802用于对所采集的用户行为数据应用孤立森林算法进行计算。

判断模块803用于若计算结果包括被孤立的异常点，则判定车辆被异常使用；

其中，用户行为数据包括以下中的一者或多者：

是否用钥匙开启车门、座椅调节参数、座椅承受的压力大小、方向盘所受握力大小、加速踏板开度的变化率、空调模式、用户的声纹特征。

可选地，该装置800还包括加入模块。

加入模块用于若计算结果不包括被孤立的异常点，则将所采集的用户行为数据加入孤立森林算法的训练样本中。

可选地，判断模块803包括判断子模块。

判断子模块用于若计算结果包括被孤立的异常点，且异常点满足预定条件，则判定车辆被异常使用。

可选地，预定条件包括：异常点的数量达到预定的数量阈值，和/或，在所采集的用户行为数据转化的点集中，异常点的占比达到预定的比例阈值。

可选地，该装置800还包括发送模块。

发送模块用于若判定车辆被异常使用，则向车辆对应的用户终端发送提醒消息，以使用户终端输出提醒消息。

可选地，该装置800还包括第一控制模块。

第一控制模块用于若判定车辆被异常使用，则控制车辆对应的用户终端拨出预定的电话号码或向预定的电话号码发送短消息。

可选地，第一控制模块还用于若判定车辆被异常使用，则向车辆对应的用户终端发送第一询问消息，以使用户终端输出第一询问消息；若接收到用户终端发送的第一确认消息，则控制用户终端拨出预定的电话号码或向预定的电话号码发送短消息。

可选地，该装置800还包括第二控制模块。

第二控制模块用于若判定车辆被异常使用，则控制车辆的车机锁定。

可选地，第二控制模块还用于若判定车辆被异常使用，则向车辆对应的用户终端发送第二询问消息，以使用户终端输出第二询问消息；若接收到用户终端发送的第二确认消息，则控制车辆的车机锁定。

可选地，该装置800还包括第三控制模块。

第三控制模块用于若接收到用户终端发送的解锁消息，则控制解锁车机。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

通过上述技术方案，对所采集的用户行为数据应用孤立森林算法，来检测异常用车，根据异常点来判断采集的用户行为数据是否与车主用车时对应的数据一致，从而判断是否车主本人使用车辆，即异常用车。这样，通过用户行为来反向验证车辆是否被异常使用，当车辆被异常使用时，能够快速地被检测到。本公开的方案检测结果准确，可靠性高。

本公开还提供一种电子设备，包括存储器和处理器。

存储器上存储有计算机程序；处理器用于执行存储器中的计算机程序，以实现本公开提供的上述方法的步骤。

图9是根据一示例性实施例示出的一种电子设备900的框图。如图9所示，该电子设备900可以包括：处理器901，存储器902。该电子设备900还可以包括多媒体组件903，输入/输出(I/O)接口904，以及通信组件905中的一者或多者。

其中，处理器901用于控制该电子设备900的整体操作，以完成上述的异常用车检测方法中的全部或部分步骤。存储器902用于存储各种类型的数据以支持在该电子设备900的操作，这些数据例如可以包括用于在该电子设备900上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器902可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(Static Random Access Memory，简称SRAM)，电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，简称EEPROM)，可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，简称EPROM)，可编程只读存储器(Programmable Read-Only Memory，简称PROM)，只读存储器(Read-Only Memory，简称ROM)，磁存储器，快闪存储器，磁盘或光盘。多媒体组件903可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器902或通过通信组件905发送。音频组件还包括至少一个扬声器，用于输出音频信号。I/O接口904为处理器901和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件905用于该电子设备900与其他设备之间进行有线或无线通信。无线通信，例如Wi-Fi，蓝牙，近场通信(Near FieldCommunication，简称NFC)，2G、3G、4G、NB-IOT、eMTC、或其他5G等等，或它们中的一种或几种的组合，在此不做限定。因此相应的该通信组件905可以包括：Wi-Fi模块，蓝牙模块，NFC模块等等。

在一示例性实施例中，电子设备900可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit，简称ASIC)、数字信号处理器(DigitalSignal Processor，简称DSP)、数字信号处理设备(Digital Signal Processing Device，简称DSPD)、可编程逻辑器件(Programmable Logic Device，简称PLD)、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述的异常用车检测方法。

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述的异常用车检测方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器902，上述程序指令可由电子设备900的处理器901执行以完成上述的异常用车检测方法。

图10是根据一示例性实施例示出的一种电子设备1000的框图。例如，电子设备1000可以被提供为一服务器。参照图10，电子设备1000包括处理器1022，其数量可以为一个或多个，以及存储器1032，用于存储可由处理器1022执行的计算机程序。存储器1032中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理器1022可以被配置为执行该计算机程序，以执行上述的异常用车检测方法。

另外，电子设备1000还可以包括电源组件1026和通信组件1050，该电源组件1026可以被配置为执行电子设备1000的电源管理，该通信组件1050可以被配置为实现电子设备1000的通信，例如，有线或无线通信。此外，该电子设备1000还可以包括输入/输出(I/O)接口1058。电子设备1000可以操作基于存储在存储器1032的操作系统，例如WindowsServer

在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述的异常用车检测方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器1032，上述程序指令可由电子设备1000的处理器1022执行以完成上述的异常用车检测方法。

在另一示例性实施例中，还提供一种计算机程序产品，该计算机程序产品包含能够由可编程的装置执行的计算机程序，该计算机程序具有当由该可编程的装置执行时用于执行上述的异常用车检测方法的代码部分。

本公开还提供一种车辆，该车辆包括车机和本公开提供的上述车机入侵检测装置800。

本公开还提供一种服务器，该服务器包括本公开提供的上述车机入侵检测装置800。

以上结合附图详细描述了本公开的优选实施方式，但是，本公开并不限于上述实施方式中的具体细节，在本公开的技术构思范围内，可以对本公开的技术方案进行多种简单变型，这些简单变型均属于本公开的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本公开对各种可能的组合方式不再另行说明。

此外，本公开的各种不同的实施方式之间也可以进行任意组合，只要其不违背本公开的思想，其同样应当视为本公开所公开的内容。