CN110377465A - 一种车载can总线的异常检测方法 - Google Patents
一种车载can总线的异常检测方法 Download PDFInfo
- Publication number
- CN110377465A CN110377465A CN201910559189.0A CN201910559189A CN110377465A CN 110377465 A CN110377465 A CN 110377465A CN 201910559189 A CN201910559189 A CN 201910559189A CN 110377465 A CN110377465 A CN 110377465A
- Authority
- CN
- China
- Prior art keywords
- data
- message
- bus
- sample
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005856 abnormality Effects 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000012706 support-vector machine Methods 0.000 claims abstract description 39
- 230000002159 abnormal effect Effects 0.000 claims abstract description 36
- 238000012549 training Methods 0.000 claims abstract description 36
- 238000001514 detection method Methods 0.000 claims abstract description 35
- 238000010801 machine learning Methods 0.000 claims abstract description 4
- 239000013598 vector Substances 0.000 claims description 29
- 230000006870 function Effects 0.000 claims description 18
- 238000012550 audit Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 6
- 238000005259 measurement Methods 0.000 claims description 5
- 238000012360 testing method Methods 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 239000013589 supplement Substances 0.000 claims description 2
- 238000004378 air conditioning Methods 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 claims 1
- 238000007726 management method Methods 0.000 claims 1
- 230000009977 dual effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 239000000047 product Substances 0.000 description 2
- 230000001502 supplementing effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/221—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test buses, lines or interfaces, e.g. stuck-at or open line faults
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
Abstract
本发明公开了一种车载CAN总线的异常检测方法,属于信息安全技术领域。本发明针对车载CAN总线的报文数据位,提出了一种车载CAN总线的异常检测方法。根据数据位的特点,将车载CAN总线报文数据位划分为8个特征,分别代表不同的指令含义,携带着重要的控制信息,对数据位的异常检测尤其重要。CAN报文数据的异常检测可以看成是机器学习中二分类问题,正常数据和异常数据。支持向量机的方法可以通过有限的训练样本得到误差较小的分类,分类精确度较高。本发明采用支持向量机(SVM)的方法实现车载CAN总线的异常检测。
Description
技术领域
本发明属于信息安全技术领域,更具体地说,本发明涉及一种车载CAN总线的异常检测方法。
背景技术
随着汽车智能化、网联化的发展,智能网联汽车成为汽车信息化的发展方向。近年来针对汽车的信息安全事件频发,网联汽车信息安全问题凸显,研究网联汽车及车载网络系统信息安全问题迫在眉睫。CAN总线是目前使用最广泛的车载总线网络技术,随着汽车信息安全问题的出现,恶意攻击通过外部接口直接渗透到车载CAN总线网络,严重危害驾乘者人身和财产安全。CAN总线缺乏基本的信息安全机制,研究车载CAN总线网络的信息安全问题及适合CAN总线的异常检测技术具有十分重要的意义。
发明内容
本发明的目的在于,为了解决上述CAN总线网络在汽车驾驶中缺乏信息安全保障的问题,提出了一种车载CAN总线的异常检测方法。
具体地说,本发明是采用以下技术方案来实现的:一种车载CAN总线的异常检测方法,其检测模型包括数据报文收集、数据预处理、SVM训练、数据监测、数据处理、数据响应六个模块。整个的工作过程分为两个阶段:训练阶段和检测阶段。
所述的异常检测方法包括以下步骤:
1)首先,收集车载CAN总线中的数据报文信息,其中CAN总线的报文数据位包含有8个字节,由于CAN总线报文的每一个数据位都代表着不同的功能指令,所以对于其每一个字节都要进行检测。一个总线报文分为8个特征,针对每一类CAN ID报文都要进行异常检测,又总线当中的报文可能不是标准的数据帧格式,所以对于缺位的部分可以以00作为补充位,之后将十六进制的报文数据转换成十进制的数据。8个特征的报文数据如表1所示,转换为十进制的表示如表2所示。
表1:ID为0x113的报文
表2:将ID为0x113的十六进制的报文转换为十进制
ID | Data(十六进制) | Data(十进制) | |
0 | 0x113 | 6d 1f .. .. .. ff 63 13 | 109 31 … … … 255 99 19 |
1 | 0x113 | 5c 1f .. .. .. ff 63 13 | 92 31 … … … 255 99 19 |
2 | 0x113 | 80 1f .. .. .. ff 63 13 | 128 31 … … … 255 99 19 |
3 | 0x113 | 7b 1f .. .. .. ff 63 13 | 123 31 … … … 255 99 19 |
2)其次,将数据进行预处理:按照CAN总线报文不同的数据标识,对报文进行分类,将同一种数据标识的报文数据,输入到SVM系统中,作为输入向量xi,带入分类面方程:wxi+b=0中,得到分类面标准。其中(i=0,1,...,8),w为权重向量,其值可以调节;b为偏置。例如报文0x113 6d 1f 88 12 42ff 63 13,这是数据标识为0x113的其中一个报文,收集全部的数据标识为0x113的报文,对其数据位进行训练。
3)然后,混入异常样本:在此,本发明采用随机数的方式生成异常报文。相同ID的报文有8种属性,每一种属性0~255随机赋值即可得到异常的报文。选取异常样本,将其与正常样本随机混合,作为测试用例,再次输入到SVM系统中进行训练,得到异常检测的指标。下表为异常报文的生成。
表3:生成异常报文
ID | Data(十进制,正常报文) | Data(十进制,异常报文) | |
0 | 0x113 | 109 31 … … …255 99 19 | 88 25 … … … 230 79 30 |
1 | 0x113 | 92 31 … … … 255 99 19 | 120 30 … … … 31 52 63 |
2 | 0x113 | 128 31 … … … 255 99 19 | 155 99 … … … 253 77 16 |
3 | 0x113 | 123 31 … … … 255 99 19 | 28 46 … … … 98 108 36 |
4)最后,通过该指标与2)中得到的检测标准进行比较,判断车载CAN总线是否发生异常,如果低于阈值,则判定有异常发生,如果发生异常则做出响应。然后统计出检测到的异常报文数量,计算出异常检测的检测率。
进一步,训练阶段和检测阶段用到两种支持向量机的分类算法,包括线性支持向量机和非线性支持向量机;
在训练阶段,根据已知的正常审计数据和异常审计数据按照公式来训练支持向量机,并根据公式和式yi(w·xi+b)=1得到支持向量和相应的参数;
在检测阶段,预处理器先将未知状态的审计数据处理成数字向量的形式,然后通过支持向量机分类器,根据判决函数式对这些数字向量进行分类,并将分类结果提交给决策系统作出后的判断。
上述公式中,xi为输入向量,w为每个样本的权重;b为截距;yi为第i个样本分类标识号;α为拉格朗日乘子;yj为第j个样本分类标识号;αi为第i个样本的拉格朗日乘子;αj为第j个样本的拉格朗日乘子;k(xi,xj)为核函数;sgn()为返回一个整型变量;W(a)为超平面的距离;f(x)为决策函数。
进一步,训练阶段用到两种支持向量机的分类算法,包括线性支持向量机和非线性支持向量机。
进一步,所述的一个总线报文中8个特征,其正常样本记作1,异常样本记作0。训练样本(xi,yi),其中xi为输入的样本(i=0,1,...,8),yi是分类标识号,可以定义为yi∈(1,0),将其带入分类面方程:wxi+b=0。
进一步,所述的检测标准是通过最优分类解,得到分类阈值标准。经过大量的数据学习训练,最终找到最佳阈值作为数据检测的标准,对车载CAN总线报文信息进行检测。
进一步,寻找最优分类解的算法步骤如下:
(1)收集正常数据样本与异常数据样本,正常数据是从车载CAN总线上采集的真实数据,不存在异常的报文;异常数据是采用随机数的方式生成的异常报文,即对每一种数据位从0~255随机赋值得到的异常报文。并对正常报文和异常报文添加分类识别号,正常报文的分类标识号为1,异常报文的分类标识号为0;
(2)将训练样本(xi,yi)作为输入,带入分类面方程:wxi+b=0中,得到最佳分类面标准,其中xi为输入的样本(i=0,1,...,8),yi是分类标识号,可以定义为yi∈(1,0);
(3)对总线中的数据进行检测,根据阈值标准,将正常数据与异常数据进行分类,如果低于阈值,则判断为异常数据。
(4)针对分类的结果,重复步骤1~3,更新分类阈值标准,最终近似达到最优分类解。
进一步,整个系统的工作过程分为两个阶段:训练阶段和检测阶段。在训练阶段,根据已知的正常审计数据和异常审计数据按照公式(11)来训练支持向量机,并根据公式(6)和式(7)得到支持向量和相应的参数。在检测阶段,预处理器先将未知状态的审计数据处理成数字向量的形式,然后通过支持向量机分类器,根据判决函数式(12)对这些数字向量进行分类,并将分类结果提交给决策系统作出后的判断。
综上所述本发明的优点和积极效果如下:
采用随机数的方式生成异常报文。相同ID的报文有8种属性,每一种属性0-255随机赋值即可得到异常的报文。
选取正常的样本CAN报文相同ID的数据400条作为训练的样本,得到检测标准。去异常样本200条与正常样本200随机混合作为测试用例,注入SVM系统中,得到如表1所示。
表1异常检测结果
CAN报文数 | 异常报文数 | 检测出的异常报文数 | 检测率 |
400 | 200 | 187 | 93.5% |
本发明具有以下技术效果:本发明针对车载CAN总线的报文数据位,提出了一种车载CAN总线的异常检测方法。根据数据位的特点,将车载CAN总线报文数据位划分为8个特征,分别代表不同的指令含义,携带着重要的控制信息,对数据位的异常检测尤其重要。CAN报文数据的异常检测可以看成是机器学习中二分类问题,正常数据和异常数据。支持向量机的方法可以通过有限的训练样本得到误差较小的分类,分类精确度较高。本发明采用支持向量机(SVM)的方法实现车载CAN总线的异常检测。
本发明所采用的检测方法除了精度高,泛化能力强之外;还具有以下优点:在所用算法之前将一个总线报文分为8个特征,针对每一类CAN ID报文都要进行异常检测,又总线当中的报文可能不是标准的数据帧格式,所以对于缺位的部分可以以00作为补充位,之后将十六进制的报文数据转换成十进制的数据,提高了对异常报文的检测的全面性,且针对性更强;通过寻找最优分类解的算法提高分类精度的同时,将训练阶段和检测阶段分别使用线性支持向量机和非线性支持向量机,在判断车载CAN总线是否发生异常的过程中响应速度更快,实时性控制非常好,能够提高车载总线网络的安全,有力的保障了驾乘者的人身和财产安全。
附图说明
图1为本发明的异常检测模型示意图。
图2为本发明的SVM体系结构示意图。
具体实施方式
下面参照附图并结合实例对本发明进一步详细描述。
本发明针对车载CAN总线的报文数据位,提出了一种车载CAN总线的异常检测方法。根据数据位的特点,将车载CAN总线报文数据位划分为8个特征,分别代表不同的指令含义,携带着重要的控制信息,对数据位的异常检测尤其重要。CAN报文数据的异常检测可以看成是机器学习中二分类问题,正常数据和异常数据。支持向量机的方法可以通过有限的训练样本得到误差较小的分类,分类精确度较高。本发明采用支持向量机(SVM)的方法实现车载CAN总线的异常检测。
本发明可采用以下过程进行具体实施:
1、检测模型包括数据报文收集、数据预处理、SVM训练、数据监测、数据处理、数据响应六个模块。整个的工作过程分为两个阶段:训练阶段和检测阶段。其检测模型如图1所示。
2、异常检测模型包括以下步骤:
1)首先,收集车载CAN总线中的数据报文信息,其中CAN总线的报文数据位包含有8个字节,由于CAN总线报文的每一个数据位都代表着不同的功能指令,所以对于其每一个字节都要进行检测。一个总线报文分为8个特征,针对每一类CAN ID报文都要进行异常检测,又总线当中的报文可能不是标准的数据帧格式,所以对于缺位的部分可以以00作为补充位,之后将十六进制的报文数据转换成十进制的数据。8个特征的报文数据如表1所示,转换为十进制的表示如表2所示。
表1:ID为0x113的报文
ID | Data | |
0 | 0x113 | 6d 1f … … … ff 63 13 |
1 | 0x113 | 5c 1f .. .. .. ff 63 13 |
2 | 0x113 | 80 1f .. .. .. ff 63 13 |
3 | 0x113 | 7b 1f .. .. .. ff 63 13 |
表2:将ID为0x113的十六进制的报文转换为十进制
ID | Data(十六进制) | Data(十进制) | |
0 | 0x113 | 6d 1f .. .. .. ff 63 13 | 109 31 … … … 255 99 19 |
1 | 0x113 | 5c 1f .. .. .. ff 63 13 | 92 31 … … … 255 99 19 |
2 | 0x113 | 80 1f .. .. .. ff 63 13 | 128 31 … … … 255 99 19 |
3 | 0x113 | 7b 1f .. .. .. ff 63 13 | 123 31 … … … 255 99 19 |
2)其次,将数据进行预处理:按照CAN总线报文不同的数据标识,对报文进行分类,将同一种数据标识的报文数据,输入到SVM系统中,作为输入向量xi,带入分类面方程:wxi+b=0中,得到分类面标准。其中(i=0,1,...,8),w为权重向量,其值可以调节;b为偏置。例如报文0x113 6d 1f 88 12 42ff 63 13,这是数据标识为0x113的其中一个报文,收集全部的数据标识为0x113的报文,对其数据位进行训练。
3)然后,混入异常样本:在此,本发明采用随机数的方式生成异常报文。相同ID的报文有8种属性,每一种属性0~255随机赋值即可得到异常的报文。选取异常样本,将其与正常样本随机混合,作为测试用例,再次输入到SVM系统中进行训练,得到异常检测的指标。下表3为异常报文的生成。
表3:生成异常报文
ID | Data(十进制,正常报文) | Data(十进制,异常报文) | |
0 | 0x113 | 109 31 … … … 255 99 19 | 88 25 … … … 230 79 30 |
1 | 0x113 | 92 31 … … … 255 99 19 | 120 30 … … … 31 52 63 |
2 | 0x113 | 128 31 … … … 255 99 19 | 155 99 … … … 253 77 16 |
3 | 0x113 | 123 31 … … … 255 99 19 | 28 46 … … … 98 108 36 |
4)最后,通过该指标与2)中得到的检测标准进行比较,判断车载CAN总线是否发生异常,如果低于阈值,则判定有异常发生,如果发生异常则做出响应。然后统计出检测到的异常报文数量,计算出异常检测的检测率。
2、根据权利要求1所述的一种车载CAN总线的异常检测方法,其特征在于:训练阶段和检测阶段用到两种支持向量机的分类算法,包括线性支持向量机和非线性支持向量机;
在训练阶段,根据已知的正常审计数据和异常审计数据按照公式来训练支持向量机,并根据公式和式yi(w·xi+b)=1得到支持向量和相应的参数;
在检测阶段,预处理器先将未知状态的审计数据处理成数字向量的形式,然后通过支持向量机分类器,根据判决函数式对这些数字向量进行分类,并将分类结果提交给决策系统作出后的判断。
4、一个总线报文中8个特征,其正常样本记作1,异常样本记作0。训练样本(xi,yi),其中xi为输入的样本(i=0,1,...,8),yi是分类标识号,可以定义为yi∈(1,0),将其带入分类面方程:wxi+b=0。
5、检测标准是通过最优分类解,得到分类阈值标准。经过大量的数据学习训练,最终找到最佳阈值作为数据检测的标准,对车载CAN总线报文信息进行检测。
6、所述的线性支持向量机原理如下:
样本x为k维向量,在某区域内的l个样本所属类别为(x1,y1),...,(xl,yl)∈Rk×{±1}。若超平面:
w·x+b=0(1)能将样本分为两类,其中·表示向量的点积。最佳的超平面应使两类样本到超平面的距离最大。显然,公式(1)中的w和b乘系数以后仍能满足方程。不失一般性,对于所有的样本xi,式|w·xi+b|的最小值为1,则样本与此最佳超平面的最小距离为|w·xi+b|/||w||=1/||w||。最佳超平面应满足约束:
yi[(w·xi)+b]≥1,i=1,...l (2)
w和b的优化条件应该是使两类样本到超平面最小距离之和2/||w||最大。另外,考虑到可能存在一些样本不能被超平面正确分类,因此引入松弛变量:
ξi≥0,i=1,...l (3)
问题变成在公式(2)和公式(3)的条件下最小化
其中C为一个正常数。上市的第1项使样本到超平面的距离尽量大,从而提高泛化能力;第2项则使误差尽量小。利用lagrange乘数法,可以把公式(4)变成其对偶形式,从而有
以及
这是一个典型的二次优化问题,已由高效的算法求解。可以证明,在此优化问题的解中有一部分αi不为0,它们所对应的训练样本完全确定了这个超平面,因此称其为支持向量。按照优化理论的Kuhn-Tucker定理,在鞍点,对偶变量与约束的乘积为0,从而求得超平面的另一个参数b满足:
yi(w·xi+b)=1 (7)
对于未知属类的向量x,可以采用线性判决函数
f(x)=sgn(w·x+b) (8)
来判定其所属类别,得到:
7、所述的非线性支持向量机原理如下:
用非线性映射把输入空间映射到某一特征空间,对于输入空间的所有xi,xj,函数K(xi,xj)满足条件
K(xi,xj)=φ(xi)·φ(xj) (10)
则称K(xi,xj)为核函数,φ(x)为输入空间到特征空间的映射函数。
考虑到SVM的对偶问题:
构造非线性支持向量机的决策函数:
8、寻找最优分类解的算法步骤如下:
(1)收集正常数据样本与异常数据样本,正常数据是从车载CAN总线上采集的真实数据,不存在异常的报文;异常数据是采用随机数的方式生成的异常报文,即对每一种数据位从0~255随机赋值得到的异常报文。并对正常报文和异常报文添加分类识别号,正常报文的分类标识号为1,异常报文的分类标识号为0;
(2)将训练样本(xi,yi)作为输入,带入分类面方程:wxi+b=0中,得到最佳分类面标准,其中xi为输入的样本(i=0,1,...,8),yi是分类标识号,可以定义为yi∈(1,0);
(3)对总线中的数据进行检测,根据阈值标准,将正常数据与异常数据进行分类,如果低于阈值,则判断为异常数据。
(4)针对分类的结果,重复步骤1~3,更新分类阈值标准,最终近似达到最优分类解。
9、整个系统的工作过程分为两个阶段:训练阶段和检测阶段。在训练阶段,根据已知的正常审计数据和异常审计数据按照公式(11)来训练支持向量机,并根据公式(6)和式(7)得到支持向量和相应的参数。在检测阶段,预处理器先将未知状态的审计数据处理成数字向量的形式,然后通过支持向量机分类器,根据判决函数式(12)对这些数字向量进行分类,并将分类结果提交给决策系统做出后的判断。
下面结合实验数据对本发明作进一步描述。
采用随机数的方式生成异常报文。相同ID的报文有8种属性,每一种属性0-255随机赋值即可得到异常的报文。
选取正常的样本CAN报文相同ID的数据400条作为训练的样本,得到检测标准。去异常样本200条与正常样本200随机混合作为测试用例,注入SVM系统中,得到如表1所示。
表1异常检测结果
CAN报文数 | 异常报文数 | 检测出的异常报文数 | 检测率 |
400 | 200 | 187 | 93.5% |
虽然本发明已以较佳实施例公开如上,但实施例并不是用来限定本发明的。在不脱离本发明的原理和宗旨的情况下,所做的任何等效变化或润饰,同样属于本发明的保护范围。因此本发明的保护范围应当以本申请的权利要求所界定的内容为标准。
Claims (6)
1.一种车载CAN总线的异常检测方法,其特征在于:包括以下步骤:
1)首先,收集车载CAN总线中的数据报文信息,其中CAN总线的报文数据位包含有8个字节,由于CAN总线报文的每一个数据位都代表着不同的功能指令,所以对于其每一个字节都要进行检测。一个总线报文分为8个特征,针对每一类CAN ID报文都要进行异常检测,又总线当中的报文可能不是标准的数据帧格式,对于缺位的部分以00作为补充位,之后将十六进制的报文数据转换成十进制的数据;
2)其次,将数据进行预处理:按照CAN总线报文不同的数据标识,对报文进行分类,将同一种数据标识的报文数据,输入到SVM系统中,作为输入向量xi,带入分类面方程:wxi+b=0中,得到分类面标准,其中(i=0,1,...,8),w为权重向量,其值可以调节;b为偏置;
3)然后,混入异常样本:采用随机数的方式生成异常报文,相同ID的报文有8种属性,每一种属性0~255随机赋值即可得到异常的报文,选取异常样本,将其与正常样本随机混合,作为测试用例,再次输入到SVM系统中进行训练,得到异常检测的指标;
4)最后,通过该指标与2)中得到的检测标准进行比较,判断车载CAN总线是否发生异常,如果低于阈值,则判定有异常发生,如果发生异常则做出响应,然后统计出检测到的异常报文数量,计算出异常检测的检测率。
2.根据权利要求1所述的一种车载CAN总线的异常检测方法,其特征在于:SVM系统在训练阶段和检测阶段用到两种支持向量机的分类算法,包括线性支持向量机和非线性支持向量机;
在训练阶段,根据已知的正常审计数据和异常审计数据按照公式来训练支持向量机,并根据公式和式yi(w·xi+b)=1得到支持向量和相应的参数;
在检测阶段,预处理器先将未知状态的审计数据处理成数字向量的形式,然后通过支持向量机分类器,根据判决函数式对这些数字向量进行分类,并将分类结果提交给决策系统做出后的判断;
上述公式中,xi为输入向量,w为每个样本的权重;b为截距;yi为第i个样本分类标识号;α为拉格朗日乘子;yj为第j个样本分类标识号;αi为第i个样本的拉格朗日乘子;αj为第j个样本的拉格朗日乘子;k(xi,xj)为核函数;sgn()为返回一个整型变量;W(a)为超平面的距离;f(x)为决策函数。
3.根据权利要求1所述的一种车载CAN总线的异常检测方法,其特征在于:步骤1)中一个总线报文中8个特征,其正常样本记作1,异常样本记作0;训练样本为(xi,yi),其中xi为输入的样本(i=0,1,...,8),yi是分类标识号,可以定义为yi∈(1,0)。
4.根据权利要求3所述的一种车载CAN总线的异常检测方法,其特征在于:步骤1)中所述的一个总线报文中的8个特征代表这不同的功能指令,分别为发动机控制,变速器控制,安全控制,ABS控制,空调控制,雨刷控制,照明控制,仪表管理;其正常样本记作1,异常样本记作0;训练样本为(xi,yi),其中xi为输入的样本(i=0,1,...,8),yi是分类标识号,定义为yi∈(1,0)。
5.根据权利要求1所述的一种车载CAN总线的异常检测方法,其特征在于:步骤2)中所述的分类面标准就是通过带入分类面方程wxi+b=0寻找最优分类解得到的分类阈值标准,经过机器学习训练,最终找到的最佳阈值就是数据检测的标准,该标准作为检测标准对车载总线数据报文信息进行检测。
6.根据权利要求5所述的一种车载CAN总线的异常检测方法,其特征在于:寻找最优分类解的算法步骤如下:
收集正常数据样本与异常数据样本,正常数据是从车载CAN总线上采集的真实数据,不存在异常的报文;异常数据是采用随机数的方式生成的异常报文,即对每一种数据位从0~255随机赋值得到的异常报文。并对正常报文和异常报文添加分类识别号,正常报文的分类标识号为1,异常报文的分类标识号为0;
将训练样本(xi,yi)作为输入,带入分类面方程:wxi+b=0中,得到最佳分类面标准,其中xi为输入的样本(i=0,1,...,8),yi是分类标识号,可以定义为yi∈(1,0);
对总线中的数据进行检测,根据阈值标准,将正常数据与异常数据进行分类,如果低于阈值,则判断为异常数据;
针对分类的结果,重复步骤1~3,更新分类阈值标准,最终近似达到最优分类解。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910559189.0A CN110377465A (zh) | 2019-06-26 | 2019-06-26 | 一种车载can总线的异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910559189.0A CN110377465A (zh) | 2019-06-26 | 2019-06-26 | 一种车载can总线的异常检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110377465A true CN110377465A (zh) | 2019-10-25 |
Family
ID=68249465
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910559189.0A Pending CN110377465A (zh) | 2019-06-26 | 2019-06-26 | 一种车载can总线的异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110377465A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131185A (zh) * | 2019-12-06 | 2020-05-08 | 中国电子科技网络信息安全有限公司 | 基于机器学习的can总线网络异常检测方法及装置 |
CN111355706A (zh) * | 2020-02-10 | 2020-06-30 | 华东师范大学 | 一种基于can总线车载入侵检测方法及系统 |
CN111579414A (zh) * | 2020-05-21 | 2020-08-25 | 广东精迅里亚特种线材有限公司 | 一种漆包线分类控制方法和系统 |
CN111880983A (zh) * | 2020-08-04 | 2020-11-03 | 北京天融信网络安全技术有限公司 | 一种can总线异常检测方法及装置 |
CN111917766A (zh) * | 2020-07-29 | 2020-11-10 | 江西科技学院 | 一种车载网络通信异常的检测方法 |
CN114615086A (zh) * | 2022-04-14 | 2022-06-10 | 合肥工业大学 | 一种车载can网络入侵检测方法 |
CN114884849A (zh) * | 2022-04-01 | 2022-08-09 | 开源网安物联网技术(武汉)有限公司 | 基于Adaboost的CAN总线异常检测方法及系统 |
CN114978639A (zh) * | 2022-05-12 | 2022-08-30 | 重庆长安汽车股份有限公司 | 智能网联汽车基于数据关联性的can报文异常检测方法 |
CN115489537A (zh) * | 2022-11-01 | 2022-12-20 | 成都工业职业技术学院 | 一种智能网联汽车的信息安全测试方法、系统及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102394496A (zh) * | 2011-07-21 | 2012-03-28 | 浙江大学 | 一种分布式发电系统和微电网的电能质量综合评估方法 |
CN106712713A (zh) * | 2017-03-13 | 2017-05-24 | 广西大学 | 一种光伏电站的监测系统以及监测和异常定位方法 |
-
2019
- 2019-06-26 CN CN201910559189.0A patent/CN110377465A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102394496A (zh) * | 2011-07-21 | 2012-03-28 | 浙江大学 | 一种分布式发电系统和微电网的电能质量综合评估方法 |
CN106712713A (zh) * | 2017-03-13 | 2017-05-24 | 广西大学 | 一种光伏电站的监测系统以及监测和异常定位方法 |
Non-Patent Citations (1)
Title |
---|
杨宏: "基于智能网联汽车的CAN总线攻击与防御检测技术研究", 《《中国优秀硕士学位论文全文数据库 工程科技Ⅱ辑》》 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131185B (zh) * | 2019-12-06 | 2022-12-09 | 中国电子科技网络信息安全有限公司 | 基于机器学习的can总线网络异常检测方法及装置 |
CN111131185A (zh) * | 2019-12-06 | 2020-05-08 | 中国电子科技网络信息安全有限公司 | 基于机器学习的can总线网络异常检测方法及装置 |
CN111355706A (zh) * | 2020-02-10 | 2020-06-30 | 华东师范大学 | 一种基于can总线车载入侵检测方法及系统 |
CN111579414A (zh) * | 2020-05-21 | 2020-08-25 | 广东精迅里亚特种线材有限公司 | 一种漆包线分类控制方法和系统 |
CN111579414B (zh) * | 2020-05-21 | 2022-07-26 | 广东精迅里亚特种线材有限公司 | 一种漆包线分类控制方法和系统 |
CN111917766B (zh) * | 2020-07-29 | 2022-10-18 | 江西科技学院 | 一种车载网络通信异常的检测方法 |
CN111917766A (zh) * | 2020-07-29 | 2020-11-10 | 江西科技学院 | 一种车载网络通信异常的检测方法 |
CN111880983A (zh) * | 2020-08-04 | 2020-11-03 | 北京天融信网络安全技术有限公司 | 一种can总线异常检测方法及装置 |
CN111880983B (zh) * | 2020-08-04 | 2021-12-14 | 北京天融信网络安全技术有限公司 | 一种can总线异常检测方法及装置 |
CN114884849A (zh) * | 2022-04-01 | 2022-08-09 | 开源网安物联网技术(武汉)有限公司 | 基于Adaboost的CAN总线异常检测方法及系统 |
CN114884849B (zh) * | 2022-04-01 | 2023-10-13 | 开源网安物联网技术(武汉)有限公司 | 基于Adaboost的CAN总线异常检测方法及系统 |
CN114615086A (zh) * | 2022-04-14 | 2022-06-10 | 合肥工业大学 | 一种车载can网络入侵检测方法 |
CN114615086B (zh) * | 2022-04-14 | 2023-11-03 | 合肥工业大学 | 一种车载can网络入侵检测方法 |
CN114978639A (zh) * | 2022-05-12 | 2022-08-30 | 重庆长安汽车股份有限公司 | 智能网联汽车基于数据关联性的can报文异常检测方法 |
CN114978639B (zh) * | 2022-05-12 | 2023-06-09 | 重庆长安汽车股份有限公司 | 智能网联汽车基于数据关联性的can报文异常检测方法 |
CN115489537A (zh) * | 2022-11-01 | 2022-12-20 | 成都工业职业技术学院 | 一种智能网联汽车的信息安全测试方法、系统及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110377465A (zh) | 一种车载can总线的异常检测方法 | |
CN106407981B (zh) | 一种车牌识别方法、装置及系统 | |
CN110287552B (zh) | 基于改进随机森林算法的电机轴承故障诊断方法及系统 | |
CN106021771A (zh) | 一种故障诊断方法及装置 | |
CN110365648A (zh) | 一种基于决策树的车载can总线异常检测方法 | |
CN106249619B (zh) | 一种基于LabVIEW-Matlab驾驶员风格识别与反馈系统及方法 | |
CN104794184B (zh) | 一种基于大规模数据的贝叶斯分类算法的黑车识别方法 | |
CN101853291A (zh) | 基于数据流的车辆故障诊断方法 | |
CN107885849A (zh) | 一种基于文本分类的情绪指数分析系统 | |
CN104460654B (zh) | 一种基于量化特征关系的齿轮不完备故障诊断规则提取方法 | |
CN109639734B (zh) | 一种具有计算资源自适应性的异常流量检测方法 | |
CN107025468A (zh) | 基于pca‑ga‑svm算法的高速公路拥堵识别方法 | |
CN108682153B (zh) | 一种基于rfid电子车牌数据的城市道路交通拥堵状态判别方法 | |
CN105654574A (zh) | 基于车载设备的驾驶行为评估方法及装置 | |
CN107833311A (zh) | 一种共享单车的故障检测方法及平台 | |
CN107145778A (zh) | 一种入侵检测方法及装置 | |
CN110620760A (zh) | 一种SVM和贝叶斯网络的FlexRay总线融合入侵检测方法和检测装置 | |
CN110365603A (zh) | 一种基于5g网络能力开放的自适应网络流量分类方法 | |
CN109033582A (zh) | 一种高速列车多参数智能阈值准则 | |
CN105868272A (zh) | 多媒体文件分类方法及装置 | |
CN116168356B (zh) | 一种基于计算机视觉的车辆损伤判别方法 | |
CN116186594B (zh) | 基于决策网络结合大数据实现环境变化趋势智能检测方法 | |
CN107194607A (zh) | 一种生态修复关键对象判定方法 | |
CN110324336A (zh) | 一种基于网络安全的车联网数据态势感知方法 | |
CN110807174A (zh) | 一种基于统计分布的污水厂厂群出水分析及异常识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191025 |