CN110636048B - 一种基于ecu信号特征标识符的车载入侵检测方法及系统 - Google Patents
一种基于ecu信号特征标识符的车载入侵检测方法及系统 Download PDFInfo
- Publication number
- CN110636048B CN110636048B CN201910794474.0A CN201910794474A CN110636048B CN 110636048 B CN110636048 B CN 110636048B CN 201910794474 A CN201910794474 A CN 201910794474A CN 110636048 B CN110636048 B CN 110636048B
- Authority
- CN
- China
- Prior art keywords
- signal
- ecu
- samples
- subset
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明提出了一种基于ECU信号特征标识符的车载入侵检测方法,车内电子控制单元(ECU)通信会使CAN总线中产生电平变化,这些电平变化隐含着ECU不可复制的电子特性。所述方法考虑了硬件不一致性导致ECU产生信号的不一致特征,利用特征对ECU进行标识。通过向数据扩展帧的扩展标识符域填充一段固定相同的比特流,分析该段比特流中信号特性,提取熵等特征及报文ID,使用装袋决策树算法学习,实现能够定位标识恶意ECU的入侵检测系统。
Description
技术领域
本发明属于入侵检测技术领域,具体涉及一种利用信号特性标识ECU,实现对车载CAN总线入侵检测的方法。
背景技术
初期,电子控制单元(ECU)的提出是为了控制发动机等汽车组件。近年来,随着先进电子技术的引入,汽车内集成了许多安全性、舒适性和娱乐性的功能,大量ECU应用于汽车电子系统中提升驾驶体验。ECU通过控制局域网(CAN)进行通信,而CAN协议在设计之初没有考虑安全特性,不支持消息源认证,这使得ECU间通信存在一定安全隐患。因而,对车载CAN总线进行实时检测并汇报异常情况十分有必要。
消息源认证问题一般可以使用消息认证码(MAC)技术解决,然而CAN总线的短帧结构无法支持传统MAC方法。一方面,以往解决方法多是对MAC进行改进以适用CAN总线,但这些方法存在诸如需要硬件修改,总线负载过高等问题。另一方面,硬件差异使得不同ECU即使发送相同的消息,产生的信号电平也不同。利用信号特性标识ECU,通过信号特性匹配实现源认证,检测消息是否来自合法ECU,可以实现对CAN总线的入侵检测。
发明内容
基于以上所述,在所有消息中设定一段固定比特流,通过对该比特流进行特征提取,结合监督学习实现一种基于信号特性标识ECU的车载ECU入侵检测方案。
通过传统方法在车载CAN总线的网关上部署训练好的入侵检测系统,使用数据帧扩展格式,在扩展标识符域设定固定比特流,通过采样从CAN总线中获取消息在扩展标识符域的信号电平。所诉方法的入侵检测系统包含一个基于装袋决策树算法的分类器。
因为硬件和制造过程的不完全相同性,使得每个ECU即使发送完全相同的消息,其比特流产生的电平信号也会存在微小差异,这种设备差异导致的信号不一致性是不可复制的,利用其对ECU进行标识。通过信号特征匹配,判断CAN总线上的消息是否来自合法的ECU,从而实现异常检测。
所述方案使用了6个时域参量和3个频域参量,用向量x表示采样信号在时域上的表征,N表示向量x的数量,涉及的时域特征如下:
通过傅里叶变换(FFT)将采样信号变换到频域,用向量y表示采样信号在频域上的表征,N表示向量y的数量,ym和yf分别表示幅度和频率,涉及的频域特征如下:
所述的一种基于信号特性标识ECU,利用监督学习实现对车载CAN总线入侵检测的方法具体实现步骤如下:
步骤1:分配比特流:将18比特的扩展标识符域用完全相同的比特串进行填充,保证CAN总线上每个数据帧的扩展标识符是相同的比特流。
步骤2:数据收集:在汽车电子系统无入侵异常的情况下,对ECU通信时产生的信号进行采样,得到样本数据集S,按照不同信号将其划分,得到每个信号的信号样本Si。
步骤3:数据预处理:从每一个信号的样本Si中提取报文ID作为标签,并截取扩展标识符域的信号;
步骤3.1:解析信号样本Si得到报文数据,从数据中提取ID作为标签Li;
步骤3.2:仅针对扩展标识符域,从信号样本Si中直接截取得到扩展标识符域的信号样本Si′。
步骤4:获取数据集:从信号样本Si′中提取特征,组合对应标签Li得到数据集;
步骤5:使用装袋决策树算法学习提取到的特征;
步骤5.1:设定决策树dTree的数量t,每棵dTree训缓所需的样本个数n和阈值ε;
步骤5.2:构建dTree;
步骤5.2.1:对样本S′随机采样,采样尺寸为n,采样得到子集D,用于构建dTree;
步骤5.2.2:如果D中所有的样本全属于同一类别Ck,则置dTree为单结点树,并将Ck作为该结点的类,返回dTree;
步骤5.2.3:如果特征集为空集,或者D中样本在特征集中取值相同,则置dTree为单结点树,并将D中样本数最大的类Ck作为该结点的类,返回dTree;
步骤5.2.4:否则,计算特征集中各特征对D的信息增益比,选择信息增益比最大的特征fg;
步骤5.2.4.4:重复上两步,计算各特征对D的信息增益比,选择最大者作为特征fg;
步骤5.2.5:如果fg的信息增益比小于阈值ε,则置dTree为单结点树,并将D中样本数最大的类Ck最为该结点的类,返回T;
步骤5.2.6:否则,对fg的每一个可能值ai,依fg=ai将D分割为若干非空子集Di,将Di中样本数最大的类Ck作为标记,构建子结点,由结点及子结点构成dTree,返回dTree;
步骤5.2.7:对于结点i,以Di为训练集,以除去fg剩下的特征为特征集,递归地调用步骤5.2.2到步骤5.2.6,得到子树dTreei,返回dTreei。
步骤5.3:循环步骤5.2,直到建立t棵dTree,返回装袋决策树作为分类器;
步骤6:利用训练好的入侵检测模型检测CAN总线;
步骤6.1:对待检测的信号进行采样,得到样本St,解析得到报文数据,从数据中提取ID作为待测标识Lt;
步骤6.2:从样本St截取扩展标识符域信号St′;
步骤6.3:如步骤4.1,从St′中提取9个特征,并输入分类器进行检测;
步骤6.3.1:t棵决策树dTree进行分类,得到t个分类预测结果r1,r2,…,rt;
步骤6.3.2:根据多数投票制,选择r1,r2,…,rt出现频率最高的预测结果作为装袋决策树的输出r。
步骤6.4:如果Lt与r不一致,则输出异常,并报告与报文ID为r相关的ECU出现异常;否则输出正常。
至此,关于一种利用信号特性标识ECU,并基于监督学习对车载CAN总线入侵检测方案执行完毕。
基于以上方法,本发明还提出了一种基于ECU信号特征标识符的车载入侵检测系统,包括:
分配比特流模块,用于将18比特的扩展标识符域用完全相同的比特串进行填充,保证CAN总线上每个数据帧的扩展标识符是相同的比特流;
数据收集模块,用于在汽车电子系统无入侵异常的情况下,对ECU通信时产生的信号进行采样,得到样本数据集S,按照不同信号将其划分,得到每个信号的信号样本Si;
数据预处理模块,用于从每一个信号样本Si中提取报文ID作为标签,并截取扩展标识符域的信号;
获取数据集模块,用于从信号样本Si′中提取特征,组合对应标签Li得到数据集;
分类器训练模块,其使用装袋决策树算法训练分类器;
检测模块,其利用训练好的入侵检测模型检测CAN总线。
本发明先为所有数据帧分配一段固定比特流,通过信号采样,从固定比特流部分的信号提取时域和频域上特征,最后结合装袋决策树算法,定位恶意ECU,利用监督学习实现车载CAN总线入侵检测。
附图说明
图1是流程示意图
图2是袋装决策树模型示意图
具体实施方式
结合以下具体实施例和附图,对发明作进一步的详细说明。实施本发明的过程、条件、实验方法等,除以下专门提及的内容之外,均为本领域的普遍知识和公知常识,本发明没有特别限制内容。
通过传统方法在车载CAN总线的网关上部署训练好的入侵检测系统,使用数据帧扩展格式,在扩展标识符域设定固定比特流,通过采样从CAN总线中获取消息在扩展标识符域的信号电平。所诉方法的入侵检测系统包含一个基于装袋决策树算法的分类器。
因为硬件和制造过程的不完全相同性,使得每个ECU即使发送完全相同的消息,其比特流产生的电平信号也会存在微小差异,这种设备差异导致的信号不一致性是不可复制的,利用其对ECU进行标识。通过信号特征匹配,判断CAN总线上的消息是否来自合法的ECU,从而实现异常检测。
所述方案使用了6个时域参量和3个频域参量,用向量x表示采样信号在时域上的表征,N表示向量x的数量,涉及的时域特征如下:
通过傅里叶变换(FFT)将采样信号变换到频域,用向量y表示采样信号在频域上的表征,N表示向量y的数量,ym和yf分别表示幅度和频率,涉及的频域特征如下:
所述的一种基于信号特性标识ECU,利用监督学习实现对车载CAN总线入侵检测的方法具体实现步骤如下:
步骤1:分配比特流:将18比特的扩展标识符域用完全相同的比特串进行填充,保证CAN总线上每个数据帧的扩展标识符是相同的比特流。
步骤2:数据收集:在汽车电子系统无入侵异常的情况下,对ECU通信时产生的信号进行采样,得到样本数据集S,并将属于同一个信号的样本划分到同一个子集Si。
步骤3:数据预处理:从每一个信号的样本Si中提取报文ID作为标签,并截取扩展标识符域的信号;
步骤3.1:解析信号样本Si得到报文数据,从数据中提取ID作为标签Li;
步骤3.2:仅针对扩展标识符域,从信号样本Si中直接截取得到扩展标识符域的信号样本Si′。
步骤4:获取数据集:从信号样本Si′中提取特征,组合对应标签Li得到数据集;
步骤5:使用装袋决策树算法学习提取到的特征;
步骤5.1:设定决策树dTree的数量t,每棵dTree训缓所需的样本个数n和阈值ε;
步骤5.2:构建dTree;
步骤5.2.1:对样本S′随机采样,采样尺寸为n,采样得到子集D,用于构建dTree;
步骤5.2.2:如果D中所有的样本全属于同一类别Ck,则置dTree为单结点树,并将Ck作为该结点的类,返回dTree;
步骤5.2.3:如果特征集为空集,或者D中样本在特征集中取值相同,则置dTree为单结点树,并将D中样本数最大的类Ck作为该结点的类,返回dTree;
步骤5.2.4:否则,计算特征集中各特征对D的信息增益比,选择信息增益比最大的特征fg;
步骤5.2.4.4:重复上两步,计算各特征对D的信息增益比,选择最大者作为特征fg;
步骤5.2.5:如果fg的信息增益比小于阈值ε,则置dTree为单结点树,并将D中样本数最大的类Ck最为该结点的类,返回T;
步骤5.2.6:否则,对fg的每一个可能值ai,依fg=ai分割为子集若干非空Di,将Di中样本数最大的类Ck作为标记,构建子结点,由结点及子结点构成dTree,返回dTree;
步骤5.2.7:对于结点i,以Di为训练集,以除去fg剩下的特征为特征集,递归地调用步骤5.2.2到步骤5.2.6,得到子树dTreei,返回dTreei。
步骤5.3:循环步骤5.2,直到建立t棵dTree,返回装袋决策树作为分类器;
步骤6:利用训练好的入侵检测模型检测CAN总线;
步骤6.1:对待检测的信号进行采样,得到样本St,解析得到报文数据,从数据中提取ID作为待测标识Lt;
步骤6.2:从样本St截取扩展标识符域信号St′;
步骤6.3:如步骤4.1,从St′中提取9个特征,并输入分类器进行检测;
步骤6.3.1:t棵决策树dTree进行分类,得到t个分类预测结果r1,r2,…,rt;
步骤6.3.2:根据多数投票制,选择r1,r2,…,rt出现频率最高的预测结果作为装袋决策树的输出r。
步骤6.4:如果Lt与r不一致,则输出异常,并报告与报文ID为r相关的ECU出现异常;否则输出正常。
至此,关于一种利用信号特性标识ECU,并基于监督学习对车载CAN总线入侵检测方案执行完毕。
本发明提出的基于ECU信号特征标识符的车载入侵检测方法,车内电子控制单元(ECU)通信会使CAN总线中产生电平变化,这些电平变化隐含着ECU不可复制的电子特性。所述方法考虑了硬件不一致性导致ECU产生信号的不一致特征,利用特征对ECU进行标识。通过向数据扩展帧的扩展标识符域填充一段固定相同的比特流,分析该段比特流中信号特性,提取熵等特征及报文ID,使用装袋决策树算法学习,实现能够定位标识恶意ECU的入侵检测系统。
本发明的保护内容不局限于以上实施例。在不背离发明构思的精神和范围下,本领域技术人员能够想到的变化和优点都被包括在本发明中,并且以所附的权利要求书为保护范围。
Claims (5)
1.一种基于ECU信号特征标识符的车载入侵检测方法,其特征在于,包括如下步骤:
步骤1:分配比特流:将18比特的扩展标识符域用完全相同的比特串进行填充,保证CAN总线上每个数据帧的扩展标识符是相同的比特流;
步骤2:数据收集:在汽车电子系统无入侵异常的情况下,对ECU通信时产生的信号进行采样,得到样本数据集S,按照不同信号将其划分,得到每个信号的信号样本Si;
步骤3:数据预处理:从每一个信号样本Si中提取报文ID作为标签,并截取扩展标识符域的信号;
步骤3.1:解析信号样本Si得到报文数据,从数据中提取ID作为标签Li;
步骤3.2:仅针对扩展标识符域,从信号样本Si中直接截取得到扩展标识符域的信号样本Si′;
步骤4:获取数据集:从信号样本Si′中提取特征,组合对应标签Li得到数据集;具体包括以下子步骤:
步骤5:使用装袋决策树算法训练分类器;
步骤6:利用训练好的入侵检测模型检测CAN总线;具体包括以下子步骤:
步骤6.1:对待检测的信号进行采样,得到样本St,解析得到报文数据,从数据中提取ID作为待测标识Lt;
步骤6.2:从样本St截取扩展标识符域信号St′;
步骤6.3:如步骤4.1,从St′中提取9个特征,并输入分类器进行检测;
步骤6.3.1:t棵决策树dTree进行分类,得到t个分类预测结果r1,r2,…,rt;
步骤6.3.2:根据多数投票制,选择r1,r2,…,rt出现频率最高的预测结果作为装袋决策树的输出r;
步骤6.4:如果Lt与r不一致,则输出异常,并报告与报文ID为r相关的ECU出现异常;否则输出正常。
2.根据权利要求1所述的基于ECU信号特征标识符的车载入侵检测方法,其特征在于,所述步骤5包括:
步骤5.1:设定决策树dTree的数量t,每棵决策树dTree训练所需的样本个数n和阈值ε;
步骤5.2:构建决策树dTree;
步骤5.3:循环步骤5.2,直到建立t棵dTree,返回装袋决策树作为分类器。
3.根据权利要求2所述的基于ECU信号特征标识符的车载入侵检测方法,其特征在于,所述步骤5.2包括:
步骤5.2.1:对信号样本S′随机采样,采样尺寸为n,采样得到子集D,用于构建dTree;
步骤5.2.2:如果子集D中所有的样本全属于同一类别Ck,则置dTree为单结点树,并将Ck作为该结点的类,返回dTree;
步骤5.2.3:如果特征集为空集,或者子集D中样本在特征集中取值相同,则置dTree为单结点树,并将子集D中样本数最大的类Ck作为该结点的类,返回dTree;
步骤5.2.4:否则,计算特征集中各特征对子集D的信息增益比,选择信息增益比最大的特征fg;
步骤5.2.5:如果fg的信息增益比小于阈值ε,则置dTree为单结点树,并将子集D中样本数最大的类Ck最为该结点的类,返回dTree;
5.一种基于ECU信号特征标识符的车载入侵检测系统,其特征在于,采用如权利要求1-4之任一项所述的基于ECU信号特征标识符的车载入侵检测方法,所述系统包括:
分配比特流模块,用于将18比特的扩展标识符域用完全相同的比特串进行填充,保证CAN总线上每个数据帧的扩展标识符是相同的比特流;
数据收集模块,用于在汽车电子系统无入侵异常的情况下,对ECU通信时产生的信号进行采样,得到样本数据集S,按照不同信号将其划分,得到每个信号的信号样本Si;
数据预处理模块,用于从每一个信号样本Si中提取报文ID作为标签,并截取扩展标识符域的信号;
获取数据集模块,用于从扩展标识符域的信号样本Si′中提取特征,组合对应标签Li得到数据集;
分类器训练模块,其使用装袋决策树算法训练分类器;
检测模块,其利用训练好的入侵检测模型检测CAN总线。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910794474.0A CN110636048B (zh) | 2019-08-27 | 2019-08-27 | 一种基于ecu信号特征标识符的车载入侵检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910794474.0A CN110636048B (zh) | 2019-08-27 | 2019-08-27 | 一种基于ecu信号特征标识符的车载入侵检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110636048A CN110636048A (zh) | 2019-12-31 |
CN110636048B true CN110636048B (zh) | 2021-06-25 |
Family
ID=68969136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910794474.0A Active CN110636048B (zh) | 2019-08-27 | 2019-08-27 | 一种基于ecu信号特征标识符的车载入侵检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110636048B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111355706A (zh) * | 2020-02-10 | 2020-06-30 | 华东师范大学 | 一种基于can总线车载入侵检测方法及系统 |
CN111683035A (zh) * | 2020-02-12 | 2020-09-18 | 华东师范大学 | 基于can总线差分信号电平特性的车载ecu入侵检测方法及系统 |
CN111552597A (zh) * | 2020-03-27 | 2020-08-18 | 深圳开源互联网安全技术有限公司 | 汽车can总线网络安全测试系统及方法 |
CN113395296B (zh) * | 2021-08-18 | 2021-11-05 | 湖南师范大学 | 基于fpga的车载网络入侵检测系统及消息位时采集方法 |
CN115320538A (zh) * | 2022-07-20 | 2022-11-11 | 国汽智控(北京)科技有限公司 | 智能网联汽车入侵检测系统及方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109756572A (zh) * | 2018-12-27 | 2019-05-14 | 驭势科技(北京)有限公司 | 一种分布式计算网络系统与方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9380070B1 (en) * | 2015-01-20 | 2016-06-28 | Cisco Technology, Inc. | Intrusion detection mechanism |
CN108874927B (zh) * | 2018-05-31 | 2021-10-15 | 桂林电子科技大学 | 基于超图和随机森林的入侵检测方法 |
CN109035487B (zh) * | 2018-08-03 | 2021-03-02 | 北京理工大学 | 一种发动机历史数据回读与处理系统 |
CN110042879B (zh) * | 2019-04-22 | 2021-06-04 | 雷沃工程机械集团有限公司 | 一种基于md5算法的挖掘机锁车方法 |
-
2019
- 2019-08-27 CN CN201910794474.0A patent/CN110636048B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109756572A (zh) * | 2018-12-27 | 2019-05-14 | 驭势科技(北京)有限公司 | 一种分布式计算网络系统与方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110636048A (zh) | 2019-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110636048B (zh) | 一种基于ecu信号特征标识符的车载入侵检测方法及系统 | |
CN111131185B (zh) | 基于机器学习的can总线网络异常检测方法及装置 | |
CN109714322B (zh) | 一种检测网络异常流量的方法及其系统 | |
US20190114849A1 (en) | Method for diagnosing noise cause of a vehicle | |
CN110414459B (zh) | 建立人车关联的方法及装置 | |
CN110348360A (zh) | 一种检测报告识别方法及设备 | |
CN110365648A (zh) | 一种基于决策树的车载can总线异常检测方法 | |
CN110620760A (zh) | 一种SVM和贝叶斯网络的FlexRay总线融合入侵检测方法和检测装置 | |
CN109145030B (zh) | 一种异常数据访问的检测方法和装置 | |
US11503024B2 (en) | Physical-layer identification of controller area network transmitters | |
CN104573680B (zh) | 图像检测方法、图像检测装置以及交通违法检测系统 | |
Desta et al. | ID sequence analysis for intrusion detection in the CAN bus using long short term memory networks | |
Ezeobi et al. | Reverse engineering controller area network messages using unsupervised machine learning | |
CN115277189A (zh) | 基于生成式对抗网络的无监督式入侵流量检测识别方法 | |
Rumez et al. | Anomaly detection for automotive diagnostic applications based on N-grams | |
CN111683035A (zh) | 基于can总线差分信号电平特性的车载ecu入侵检测方法及系统 | |
Astapov et al. | Military vehicle acoustic pattern identification by distributed ground sensors | |
CN112491677B (zh) | 基于物理层特征指纹的can总线识别方法及装置 | |
CN112566117B (zh) | 基于度量学习的车辆节点身份识别方法及装置 | |
CN114186223A (zh) | 通过将一维测量结果变换成多维图像来改进入侵检测系统的测量结果的系统和方法 | |
CN111340261B (zh) | 判定订单违规行为的方法、系统、计算机设备及存储介质 | |
CN105912503B (zh) | 基于数据拟合的多种事故碰撞样本获取方法、装置及系统 | |
CN110334671A (zh) | 一种基于表情识别的暴力侵害检测系统及检测方法 | |
CN115801396A (zh) | 一种为每个标识符建立指纹的车辆入侵检测方法及相关装置 | |
CN115499159B (zh) | Can信号异常检测方法、装置、车辆及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |