CN111131185B - 基于机器学习的can总线网络异常检测方法及装置 - Google Patents

基于机器学习的can总线网络异常检测方法及装置 Download PDF

Info

Publication number
CN111131185B
CN111131185B CN201911242839.5A CN201911242839A CN111131185B CN 111131185 B CN111131185 B CN 111131185B CN 201911242839 A CN201911242839 A CN 201911242839A CN 111131185 B CN111131185 B CN 111131185B
Authority
CN
China
Prior art keywords
bus
vehicle
message
messages
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911242839.5A
Other languages
English (en)
Other versions
CN111131185A (zh
Inventor
兰昆
徐锐
饶志宏
张宇光
朱治丞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronic Technology Cyber Security Co Ltd
Original Assignee
China Electronic Technology Cyber Security Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronic Technology Cyber Security Co Ltd filed Critical China Electronic Technology Cyber Security Co Ltd
Priority to CN201911242839.5A priority Critical patent/CN111131185B/zh
Publication of CN111131185A publication Critical patent/CN111131185A/zh
Application granted granted Critical
Publication of CN111131185B publication Critical patent/CN111131185B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B7/00Signalling systems according to more than one of groups G08B3/00 - G08B6/00; Personal calling systems according to more than one of groups G08B3/00 - G08B6/00
    • G08B7/06Signalling systems according to more than one of groups G08B3/00 - G08B6/00; Personal calling systems according to more than one of groups G08B3/00 - G08B6/00 using electric transmission, e.g. involving audible and visible signalling through the use of sound and light sources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40026Details regarding a bus guardian
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及车联网汽车安全检测技术领域,目的是为了检测来自恶意攻击者对汽车CAN总线发出的攻击报文(异常报文)。本发明公开了基于机器学习的CAN总线网络异常检测方法:采集车载的CAN总线报文样本,规格化CAN总线报文;根据规格化CAN总线报文序号ID的类别划分报文,每一类别的报文作为训练样本,得到该类别的决策树模型,获得与类别数量对应的多个决策树模型;在CAN总线报文异常检测阶段,对待检测报文进行分类后输入到对应类别的决策树模型,得到CAN总线正常报文和CAN总线异常报文。该方案通过上述方案中有监督的决策树模型进行分析,能有效的发现CAN总线网络中存在的异常会话连接报文、恶意攻击流量和异常数据报文。

Description

基于机器学习的CAN总线网络异常检测方法及装置
技术领域
本发明涉及车联网汽车安全检测技术领域,特别是一种基于机器学习的CAN总线网络异常检测方法及装置。
背景技术
车联网攻击风险突出,司乘人员人身安全受到威胁。目前,国内外已出现多起针对车联网的网络攻击事件,部分案例中恶意攻击者利用车体控制电子装置和车载服务电子装置存在的漏洞,入侵车载CAN总线控制网络或汽车电子组件,实现敏感数据获取、车辆远程控制(或部分功能)等,影响汽车的功能安全,导致驾驶者和乘客的生命安全遭到威胁,车载CAN总线控制网络安全防护技术研究需求迫切。
面对车载网络的特殊性,传统的计算机网络安全解决方案并不适用。需要根据CAN网络的特点,寻找建立新的安全解决机制。考虑到成本、ECU的计算能力,更换新的模块组件,制作加密级芯片可用性并不高。针对CAN总线网络的异常检测系统可以弥补上述不足,将异常检测系统以安全组件(软件或硬件)的形式嵌入到车载网络当中,实时的检测车载网络信息安全是较为可行的技术路线。
检测车载CAN总线网络攻击帧的技术,现有技术文献已知出现了使用统计性方法、深度学习方法等判定发送到CAN总线上的帧是否为异常帧的技术:
公开号为CN 108028790 A的专利文献1公开的异常检测方法包括:通过例如网关向服务器发送车辆识别信息、接收应答等进行检测窗尺寸的决定;和进行使用了特征信息和预定模型的运算处理,根据该运算处理的结果判定是否异常,该特征信息基于在所决定出的单位时间内从总线接收到的消息数,该预定模型表示与消息的出现频度相关的基准。
公开号为CN 109866710 A的专利文献2公开了主要使用隐马尔可夫算法或人工神经网络的方法来判断当前车辆状态是否存在异常的方法。例如,从时间阈的角度出来,首先将所有捕获的故障信息中的时间信息转换成一个特征向量,然后通过流量异常检测方法对包含正常行为的特征进行训练,将偏离正常特征的行为定义为异常并发出警报。
公开号为CN 110034968 A的专利文献3提出了一种基于边缘计算的汽车异常检测方法,利用皮尔逊相关系数作为相关性的衡量指标,构建异常检测的模型利用不同传感器之间的相关性来检测汽车的异常。
公开号为CN 104301177 B的专利文献4提出一种CAN报文的异常检测方法,检测函数根据预设的第一CAN帧索引表和第二CAN帧索引表对来自所述网关或子网的CAN帧进行检测。第一CAN帧索引表包括:来自所述网关的所述CAN帧的标识符、所述CAN帧的标识符对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的语义值和相关性阈值;第二CAN帧索引表包括来自所述CAN子网的所述CAN帧的标识符、所述CAN帧的标识符对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的语义值和相关性阈值。
公开号为CN 110149258 A的专利文献5提供一种汽车CAN总线网络数据异常检测方法,属于信息安全领域。首先基于训练集的子样本来建立孤立树,即对采集到的CAN数据集进行预处理,再对其进行抽样,采用随机超平面切割的方法构建包含有限个孤立树的随机森林,然后利用得到的孤立森林计算待检测数据的异常分数,来判定CAN数据有无异常。
公开号为CN 108958217 A的专利文献6公开了一种CAN总线报文异常检测方法,特别是一种基于深度学习的CAN总线报文异常检测方法。主要思路是:深度置信网络是由多个限制玻尔兹曼机(RBM)组成的多隐含层神经网络,由最底层接收输入数据,通过RBM转换输入数据到隐含层。
公开号为CN 107426285 A的专利文献7提供了一种车载CAN总线安全防护方法和装置,该方法应用于任一车辆的CAN总线网关,预先配置安全过滤规则;获取需要在CAN总线上传输的报文,基于预先配置的安全过滤规则对该报文进行安全检测,如果检测确定该报文存在安全风险,则根据该报文对该车辆进行安全防护处理,否则,对该报文进行正常转发。安全过滤规则为以下三种安全匹配规则的任意组合:三种安全匹配规则分别为基于标识符的安全匹配规则、基于报文发送频率的安全过滤规则、基于车辆状态的安全过滤规则。
公开号为CN 108848072 A的专利文献8公开了一种基于相对熵的车载CAN总线异常检测方法。要点在于车辆上电后,检测节点开启定时中断,定时触发,在中断处理程序中实现对过去一段时间窗口内的报文相对熵的计算,若计算的所述相对熵结果超出设定的阈值,则触发报警。
公开号为CN 109347823A的专利文献9公开了一种基于信息熵的CAN总线异常检测方法,该方法通过正常车载CAN总线网络的报文数据得到基线样本库,作为判断总线网络是否出现异常的基线。
目前涉及车载CAN总线网络安全检测技术的专利主要有上述几个,但结合汽车实际应用情况,这些技术存在的不足之处主要有:
(1)有些方法需要引入远程的服务器,增加了使用和维护成本;
(2)通过网关转发机制,需要在每一台车中增加专门的网关装置会明显增加成本;
(3)汽车加电启动后采集数据进行计算,进而动态构建检测模型的方法,需要的计算资源很多;
(4)上述方法中没有明确检测到异常时的预警方式或者预警处理手段;
(5)CAN总线协议报文的数据可用于分类的属性较少,CAN总线异常报文变化的字节数较少,因此对参数化要求较高的人工智能分类方法效果不一定好;
(6)车载CAN总线环境是实时环境,对检测速度有较高要求;
(7)单一从数据帧合法性方面,难以覆盖所有的攻击报文类型,例如假冒、重放、恶意构造、拒绝服务(DOS)攻击等以正常报文形态出现的攻击。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供了基于机器学习的CAN总线网络异常检测方法及装置。
本发明采用的技术方案如下:基于机器学习的CAN总线网络异常检测方法,包括:
采集车载CAN总线报文样本,规格化车载CAN总线报文;
根据规格化车载CAN总线报文序号ID的类别划分报文,每一类别的报文作为训练样本,使用决策树生成算法训练得到该类别的决策树模型,获得与类别数量对应的多个决策树模型;
在车载CAN总线报文异常检测阶段,根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类,然后输入到对应类别的决策树模型,得到车载CAN总线正常报文和车载CAN总线异常报文。
进一步的,如果检测到车载CAN总线异常报文,则通过内部硬件电路触发报警组件(蜂鸣器、喇叭等)发出报警。
进一步的,触发的报警包括以下几种方式:蜂鸣器连续发出蜂鸣声、喇叭语音播报威胁、仪表盘指示灯闪烁提醒中的一种或几种。
进一步的,触发报警后,采取措施方法包括:(1)驾驶室向安全防护机构发送通讯请求;(2)关断车辆运行程序;(3)启动车辆预装的车联网网络安全防护机制。
进一步的,所述车载CAN总线数据采用数据块1、数据块2,…,数据块n-1,数据块n的多个数据块的结构进行存储,规格化预处理的数据从数据块1到数据块n顺序循环进行填充内存块操作,填充内存块操作之后进行读取内存块操作。
本发明还公开了基于机器学习的CAN总线网络异常检测装置,包括:
数据接收模块,用于接收采集到的车载CAN总线数据;
数据预处理模块,用于规格化车载CAN总线报文;
机器学习算法分析引擎模块,用于根据规格化车载CAN总线报文序号ID的类别划分报文,每一类别的报文作为训练样本,使用决策树生成算法训练得到该类别的决策树模型,获得与类别数量对应的多个决策树模型;
检测模块,用于根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类,然后输入到对应类别的决策树模型,得到车载CAN总线正常报文和车载CAN总线异常报文。
进一步的,所述基于机器学习的CAN总线网络异常检测装置,还包括:数据缓存处理模块,所述数据缓存处理模块包括n个数据块:数据块1、数据块2,…,数据块n-1,数据块n,所述数据预处理模块的程序从数据块1、数据块2,…,数据块n-1,数据块n的顺序循环进行填充内存块操作,在填充内存块操作之后机器学习算法分析引擎模块进行读取内存块操作。
进一步的,所述基于机器学习的CAN总线网络异常检测装置还包括报警装,所述报警装置采用设置了连续发出蜂鸣声的蜂鸣器、设置了语音播报威胁的喇叭、设置了指示灯闪烁的仪表盘中的一种或者几种。
与现有技术相比,采用上述技术方案的有益效果为:
(1)本发明采集总线网络上的CAN协议报文并进行预处理,通过有监督的机器学习算法—决策树模型分析,发现CAN总线网络中存在的异常会话连接报文、恶意攻击流量和异常数据报文等,该过程属于汽车本地操作,不需要连接额外的服务器或者上云端,节约成本、提高效率;
(2)本发明以CAN报文数据为样本进行模型训练,解决了现有方法中仅从CAN数据帧报文的合法性进行网络异常检测,难以覆盖已知的攻击报文类型的难题(例如以正常报文形态出现的恶意入侵攻击行为:CAN总线网络重放攻击、拒绝服务(DOS)攻击等),提高了检测精度;
(3)本发明在检测并预警网络安全威胁的同时,设计了进一步的报警装置,即设置了安全解决措施或处理手段,创造性地提出了以蜂鸣器、语音播报喇叭或仪表盘指示灯的方式将CAN总线网络安全异常反馈车辆驾驶人员;
(4)本发明所述方法充分考虑了现有汽车行业存在的大量存量车长期使用、前装阶段车商需要强力推动,后装阶段用户需求自主性较强的车联网网络安全的实际情况,由系统设置多种机制供驾驶员自主判断,可以做出多种选择。车联网网络安全防护机制包括访问控制、身份认证、应用加密、通信隔离和安全加固(包括安全CAN总线协议,安全CAN总线网络等)。提高本方案的灵活性,具有广阔的市场前景。
(5)本发明的法采用决策树模型算法实现CAN总线报文数据的异常检测,经过工程实践表明该方法的经济可行性。
附图说明
图1是基于机器学习的CAN总线网络异常检测方法示意图。
图2是CAN总线报文决策树模型生成流程示意图。
图3是CAN总线报文决策树生成算法的流程示意图。
图4是基于机器学习的CAN总线网络异常检测装置示意图。
图5是CAN总线数据的存储覆盖结构原理图。
图6是基于机器学习的CAN总线网络异常检测装置的硬件结构示意图。
具体实施方式
下面结合附图对本发明做进一步描述。
决策树是一种有监督的机器学习模型,它以树形图的方式表示属性和结果间的逻辑关系,主要用于解决分类问题和回归问题。决策树将数据属性选择转化成一种“如果-就”的关系,它使用一种树形数据结构,由一个根节点,许多非叶子节点和叶子节点组成,其中每个非叶结点表示在一个属性上的测试,输出测试则对应每个分枝,每个叶结点代表一种类别。
如图1所示,基于机器学习的CAN总线网络异常检测方法,包括:
决策树模型的生成:采集车载CAN总线报文样本,报文预处理技术包括使用自助法扩充车载CAN总线报文样本,划分车载CAN总线报文生成车载CAN总线报文属性,使用属性杂序方法生成车载CAN总线报文异常样本,使用分层法划分车载CAN总线报文训练集和测试集;另外还包括根据规范化车载CAN总线报文的报文序号ID类别划分报文,得到多种不同的报文样本;如图2所示,本实施例采用的是后者,从行车时间、路况和车辆自身情况等角度对报文进行初步预处理,得到规格化的车载CAN总线报文;根据规格化车载CAN总线报文序号ID的类别划分报文,本实施例类别划分结果为n类,每一类别的报文作为训练样本,使用决策树生成算法训练得到该类别的决策树模型,获得与类别数量对应的n个决策树模型;
异常检测:在车载CAN总线报文异常检测阶段,根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类(规格化方法和决策树模型的生成相同),得到n类报文,然后输入到对应类别的决策树模型,得到车载CAN总线正常报文和车载CAN总线异常报文。
决策树生成算法:
CAN总线数据的决策树生成算法以CART决策树模型为基础,CART决策树模型使用二叉树将预测空间递归地划分为若干子集,而树中的节点对应着划分不同区域,划分是由每个内部节点相关的分支规则来确定的,通过从树根到节点移动,一个预测样本被赋予一个唯一的叶节点,因变量在该节点上的条件分布也即被确定。CART决策树算法设计包含3个重要内容:分支变量即拆分点的选择、树的修剪和模型树的评估。结合车载CAN总线报文特点,在CAN总线决策树生成算法中,将车载CAN总线报文分类是一个二分类问题,CAN总线报文的基尼指数定义为:
Figure BDA0002306741980000081
其中,D表示车载CAN总线报文样本集合,k表示车载总线报文类别,k=1表示车载CAN总线报文正常样本,k=2表示车载CAN总线报文异常样本,Pk表示车载CAN总线报文不同类别的概率分布,P表示车载CAN总线报文正常样本的概率。CANgini(D)反映了随机从报文样本D中抽取两个报文,它们的类别不一致的概率。车载CAN总线报文根据数据域长度共有8种属性,每一种属性的取值范围是0-255,属性C的CAN总线报文数据的基尼指数定义为:
Figure BDA0002306741980000082
其中,D1和D2分别表示报文样本D按照特征C是否取某个可能值c划分出的两个子集合,|D1|和|D2|表示上述两个子集合包含的样本数目,|D|表示报文样本D的样本数目。属性C的CAN总线报文基尼指数越小表示属性C越适合作为最优划分属性。
CAN总线决策树生成算法使用CAN总线报文基尼指数获得每一属性划分的最优属性和最优二值切分点,CAN总线决策树生成算法步骤如下图3所示:首先采集大量的CAN总线网络数据,计算当前特征对当前报文样本的CAN总线报文基尼指数,在当前所有可能的特征C以及它们所有可能的二值切分点c中,选择CAN总线报文基尼指数最小的特征及其对应的二值切分点作为当前用于属性划分的最优属性和最优二值切分点。根据最优属性和最优二值切分点将当前报文样本分为两个子集合。重复上述过程,最终形成一个CAN总线决策树模型n。
优选地,如果检测到车载CAN总线异常报文,则采用异常报文定位器进行定位,给出指导性定位结果。
优选地,为了及时发现异常数据,如果检测到车载CAN总线异常报文,则触发报警。触发的报警包括以下几种方式:蜂鸣器连续发出蜂鸣声、喇叭语音播报威胁、仪表盘指示灯闪烁提醒中的一种或几种。
优选地,为了提供最有效的应对措施,触发报警后,采取措施方法包括:(1)驾驶室向安全防护机构发送通讯请求,这种措施可以继续使用车辆;(2)关断车辆运行程序,这种措施立即暂停了车辆的使用,将车辆送至维修机构进行维修;(3)启动车辆预装的车联网网络安全防护机制。
优选的,为了解决车载板卡内存有限问题,本实施例设计数据缓存、擦除与覆盖一体化的CAN总线报文存储管理机制,所述车载CAN总线数据采用数据块1、数据块2,…,数据块n-1,数据块n的多个数据块的结构进行存储,规格化预处理的数据从数据块1到数据块n顺序循环进行填充内存块操作,填充内存块操作之后进行读取内存块操作;基于上述方法,不需要将数据传至远程服务器端,同时也解决了板卡内存有限的问题。
如图4所示,基于机器学习的CAN总线网络异常检测装置,包括数据接收模块、数据接收模块、机器学习算法分析引擎模块、检测模块,数据接收模块接收采集到的车载CAN总线数据,主要完成CAN总线网络数据采集功能,单向读取CAN总线数据,只收不发,不会影响CAN总线网络正常工作;数据预处理模块对接收模块采集到的数据进行预处理,获得规格化车载CAN总线报文,规格化后的报文数据可以存储在存储空间中;机器学习算法分析引擎模块读取规格化数据,根据规格化车载CAN总线报文序号ID的类别划分报文,每一类别的报文作为训练样本,使用决策树生成算法训练得到该类别的决策树模型,获得与类别数量对应的多个决策树模型,这里的决策树模型通过实验模拟训练或在实际车型采集数据训练产生,并以程序形态固化在装置中;检测模块根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类,然后输入到对应类别的决策树模型,得到车载CAN总线正常报文和车载CAN总线异常报文。
优选地,预处理模块输出有效的规格化报文存于存储空间中,设置数据缓存处理模块负责对有限的数据存储空间进行管理。当汽车在行使时,车载CAN总线网络数据是实时数据,而且数据量很大,但另一方面,机器学习算法分析需要一定的数据量作为分析基础,车内用于实现CAN总线异常检测的存储硬件空间十分有限。因此,针对车载板卡内存有限问题,独特设计数据缓存、擦除与覆盖一体化的CAN总线报文存储管理机制。本实施例的数据缓存处理模块如图5所示,首先将数据存储硬件进行分块操作,具体的数据块大小可以根据数据采集速度、机器学习算法处理速度和不同车型等因素确定,本实施例将数据缓存处理模块分为n个数据块:数据块1、数据块2,…,数据块n-1,数据块n,所述数据预处理模块的程序从数据块1、数据块2,…,数据块n-1,数据块n的顺序循环进行填充内存块操作,在填充内存块操作之后机器学习算法分析引擎模块进行读取内存块操作。该方案不需要将数据传至远程服务器端,立足于单台车进行本地化机器学习分析处理,提高了本发明方法和装置的可用性。CAN总线数据存储硬件(如SD卡等)采用覆盖结构,将数据按照数据块结构存储,并规定数据预处理模块填充内存数据块和机器学习算法分析引擎读取内存数据块的操作先后顺序,避免出现因同时处理内存而死锁的情况。
进一步的,所述基于机器学习的CAN总线网络异常检测装置还包括报警装,所述报警装置采用设置了连续发出蜂鸣声的蜂鸣器、设置了语音播报威胁的喇叭、设置了指示灯闪烁的仪表盘中的一种或者几种。
如图6所示,基于机器学习的CAN总线网络异常检测装置的一种硬件结构实现方式,由CAN总线输入接口、数据处理单元、存储器、电源接口、外设接口和车载报警装置构成。CAN总线输入接口主要完成从CAN总线网络接收报文,并适配不同的CAN总线速率和协议结构;数据处理单元包括操作系统、CAN数据预处理、机器学习算法分析引擎等功能;存储器是CAN总线数据缓存机构;电源接口从车载电源获取整个基于机器学习的CAN总线网络异常检测装置的工作电源;外设接口与车载报警装置连接,负责传递工作信号以及供电;车载报警装置完成异常报警功能(如锋鸣、仪表盘指示灯闪烁等)。
CAN总线网络安全威胁告警机制:当使用机器学习算法分析引擎模块发现CAN总线网络存在攻击行为或异常状态时,将触发本发明所述CAN总线网络异常检测装置的车载报警装置(如蜂鸣器、语音播报喇叭或仪表盘指示灯等)进行动作,以蜂鸣器连续发出蜂鸣声,喇叭语音播报威胁或仪表盘指示灯闪烁提醒车辆驾驶人员。更进一步的,目前车载总线控制网络出现安全威胁,由系统设置多种机制供自主判断,可以做出三种选择:(1)驾驶室向安全防护机构发送通讯请求,这种措施可以继续使用车辆;(2)关断车辆运行程序,这种措施立即暂停了车辆的使用,将车辆送至维修机构进行维修;(3)启动车辆预装的车联网网络安全防护机制。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明权利要求保护的范围。

Claims (2)

1.基于机器学习的CAN总线网络异常检测方法,其特征在于,包括:
采集车载CAN总线报文样本,规格化车载CAN总线报文;
根据规格化车载CAN总线报文序号ID的类别划分报文,每一类别的报文作为训练样本,使用决策树生成算法训练得到该类别的决策树模型,获得与类别数量对应的多个决策树模型;
在车载CAN总线报文异常检测阶段,根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类,然后输入到对应类别的决策树模型,得到车载CAN总线正常报文和车载CAN总线异常报文;
在CAN总线决策树生成算法中,将车载CAN总线报文分类是一个二分类问题,CAN总线报文的基尼指数定义为:
Figure FDA0003700703240000011
其中,D表示车载CAN总线报文样本集合,k表示车载总线报文类别,k=1表示车载CAN总线报文正常样本,k=2表示车载CAN总线报文异常样本,Pk表示车载CAN总线报文不同类别的概率分布,P表示车载CAN总线报文正常样本的概率;CANgini(D)反映了随机从报文样本D中抽取两个报文,它们的类别不一致的概率;车载CAN总线报文根据数据域长度共有8种属性,每一种属性的取值范围是0-255,属性C的CAN总线报文数据的基尼指数定义为:
Figure FDA0003700703240000012
其中,D1和D2分别表示报文样本D按照特征C是否取某个可能值c划分出的两个子集合,|D1|和|D2|表示上述两个子集合包含的样本数目,|D|表示报文样本D的样本数目;
如果检测到车载CAN总线异常报文,则触发报警;触发的报警包括以下几种方式:蜂鸣器连续发出蜂鸣声、喇叭语音播报威胁、仪表盘指示灯闪烁提醒中的一种或几种;触发报警后,采取措施方法包括:(1)驾驶室向安全防护机构发送通讯请求;(2)关断车辆运行程序;(3)启动车辆预装的车联网网络安全防护机制;车联网网络安全防护机制包括访问控制、身份认证、应用加密、通信隔离和安全加固;安全加固包括安全CAN总线协议和全CAN总线网络;
车载CAN总线数据采用数据块1、数据块2,…,数据块n-1,数据块n的多个数据块的结构进行存储,规格化预处理的数据从数据块1到数据块n顺序循环进行填充内存块操作,填充内存块操作之后进行读取内存块操作,使得不需要将数据传至远程服务器端,立足于单台车进行本地化机器学习分析处理。
2.基于机器学习的CAN总线网络异常检测装置,其特征在于,包括:
数据接收模块,用于接收采集到的车载CAN总线数据;
数据预处理模块,用于规格化车载CAN总线报文;
机器学习算法分析引擎模块,用于根据规格化车载CAN总线报文序号ID的类别划分报文,每一类别的报文作为训练样本,使用决策树生成算法训练得到该类别的决策树模型,获得与类别数量对应的多个决策树模型;
检测模块,用于根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类,然后输入到对应类别的决策树模型,得到车载CAN总线正常报文和车载CAN总线异常报文;
所述基于机器学习的CAN总线网络异常检测装置,还包括:数据缓存处理模块,所述数据缓存处理模块包括n个数据块:数据块1、数据块2,…,数据块n-1,数据块n,所述数据预处理模块的程序从数据块1、数据块2,…,数据块n-1,数据块n的顺序循环进行填充内存块操作,在填充内存块操作之后机器学习算法分析引擎模块进行读取内存块操作,使得不需要将数据传至远程服务器端,立足于单台车进行本地化机器学习分析处理;
所述基于机器学习的CAN总线网络异常检测装置还包括报警装置,所述报警装置采用设置了连续发出蜂鸣声的蜂鸣器、设置了语音播报威胁的喇叭、设置了指示灯闪烁的仪表盘中的一种或者几种;触发报警后,采取措施方法包括:(1)驾驶室向安全防护机构发送通讯请求;(2)关断车辆运行程序;(3)启动车辆预装的车联网网络安全防护机制;车联网网络安全防护机制包括访问控制、身份认证、应用加密、通信隔离和安全加固;安全加固包括安全CAN总线协议和全CAN总线网络;
所述基于机器学习的CAN总线网络异常检测装置的一种硬件结构由CAN总线输入接口、数据处理单元、存储器、电源接口、外设接口和车载报警装置构成;CAN总线输入接口用于完成从CAN总线网络接收报文,并适配不同的CAN总线速率和协议结构;数据处理单元包括操作系统、CAN数据预处理和机器学习算法分析引擎;存储器是CAN总线数据缓存机构;电源接口从车载电源获取整个基于机器学习的CAN总线网络异常检测装置的工作电源;外设接口与车载报警装置连接,用于传递工作信号以及供电;车载报警装置完成异常报警功能。
CN201911242839.5A 2019-12-06 2019-12-06 基于机器学习的can总线网络异常检测方法及装置 Active CN111131185B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911242839.5A CN111131185B (zh) 2019-12-06 2019-12-06 基于机器学习的can总线网络异常检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911242839.5A CN111131185B (zh) 2019-12-06 2019-12-06 基于机器学习的can总线网络异常检测方法及装置

Publications (2)

Publication Number Publication Date
CN111131185A CN111131185A (zh) 2020-05-08
CN111131185B true CN111131185B (zh) 2022-12-09

Family

ID=70497707

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911242839.5A Active CN111131185B (zh) 2019-12-06 2019-12-06 基于机器学习的can总线网络异常检测方法及装置

Country Status (1)

Country Link
CN (1) CN111131185B (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113839904B (zh) * 2020-06-08 2023-08-22 北京梆梆安全科技有限公司 基于智能网联汽车的安全态势感知方法和系统
CN111970229B (zh) * 2020-06-23 2021-11-16 北京航空航天大学 一种针对多种攻击方式的can总线数据异常检测方法
CN111885060B (zh) * 2020-07-23 2021-08-03 上海交通大学 面向车联网的无损式信息安全漏洞检测系统和方法
CN112514351A (zh) * 2020-10-31 2021-03-16 华为技术有限公司 异常检测方法及装置
CN113098853A (zh) * 2020-12-14 2021-07-09 北京航空航天大学合肥创新研究院 车载网络虚假信息注入异常行为检测方法
CN113269398A (zh) * 2021-04-26 2021-08-17 云南电网有限责任公司信息中心 一种用于配网现场作业人员定制化教培方案辅助设计方法
CN113612786B (zh) * 2021-08-09 2023-04-07 上海交通大学宁波人工智能研究院 一种车辆总线的入侵检测系统及方法
CN113395296B (zh) * 2021-08-18 2021-11-05 湖南师范大学 基于fpga的车载网络入侵检测系统及消息位时采集方法
CN113645083A (zh) * 2021-09-14 2021-11-12 上汽通用五菱汽车股份有限公司 Can网络异常检测方法、网关模块、车辆及可读存储介质
CN113850222A (zh) * 2021-10-08 2021-12-28 北京擎天信安科技有限公司 一种采用支持向量机实现车载总线信号分类及监测的方法
CN114124472B (zh) * 2021-11-02 2023-07-25 华东师范大学 一种基于gmm-hmm的车载网络can总线入侵检测方法及系统
CN114338083B (zh) * 2021-12-03 2024-05-28 中汽创智科技有限公司 控制器局域网络总线异常检测方法、装置和电子设备
CN114760109B (zh) * 2022-03-23 2024-08-30 奇安信科技集团股份有限公司 用于安全分析的数值行为安全基线生成方法及装置
CN114944929B (zh) * 2022-03-24 2024-07-05 奇安信科技集团股份有限公司 网络异常行为检测方法、装置、电子设备及存储介质
CN114900331B (zh) * 2022-04-13 2023-06-09 中山大学 基于can报文特征的车载can总线入侵检测方法
CN114697135B (zh) * 2022-05-07 2023-04-25 湖南大学 一种汽车控制器区域网络入侵检测方法、系统及汽车
CN116132078B (zh) * 2022-05-07 2024-10-18 河北工业大学 基于图神经演化的车辆can通信入侵检测方法
CN114978639B (zh) * 2022-05-12 2023-06-09 重庆长安汽车股份有限公司 智能网联汽车基于数据关联性的can报文异常检测方法
CN115016433B (zh) * 2022-06-01 2024-06-28 哈尔滨工业大学(威海) 一种车载can总线流量异常检测方法及系统
CN115277051B (zh) * 2022-06-01 2024-06-07 北京邮电大学 一种控制器局域网总线攻击检测方法和设备
CN114710372B (zh) * 2022-06-08 2022-09-06 湖南师范大学 基于增量学习的车载can网络入侵检测系统及方法
CN115499340A (zh) * 2022-09-29 2022-12-20 吉林大学 一种车载canfd网络异常状态的双重检测技术

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104182355A (zh) * 2014-08-29 2014-12-03 广州华多网络科技有限公司 一种内存分配方法及装置
CN108768883A (zh) * 2018-05-18 2018-11-06 新华三信息安全技术有限公司 一种网络流量识别方法及装置
CN110377465A (zh) * 2019-06-26 2019-10-25 江苏大学 一种车载can总线的异常检测方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101582813B (zh) * 2009-06-26 2011-07-20 西安电子科技大学 基于分布式迁移网络学习的入侵检测系统及其方法
US9646258B2 (en) * 2015-09-24 2017-05-09 Sas Institute Inc. Techniques to provide real-time processing enhancements and modeling for data anomaly detection pertaining to medical events using decision trees
CN109347853B (zh) * 2018-11-07 2020-10-30 华东师范大学 基于深度包解析的面向综合电子系统的异常检测方法
CN110505134B (zh) * 2019-07-04 2021-10-01 国家计算机网络与信息安全管理中心 一种车联网can总线数据检测方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104182355A (zh) * 2014-08-29 2014-12-03 广州华多网络科技有限公司 一种内存分配方法及装置
CN108768883A (zh) * 2018-05-18 2018-11-06 新华三信息安全技术有限公司 一种网络流量识别方法及装置
CN110377465A (zh) * 2019-06-26 2019-10-25 江苏大学 一种车载can总线的异常检测方法

Also Published As

Publication number Publication date
CN111131185A (zh) 2020-05-08

Similar Documents

Publication Publication Date Title
CN111131185B (zh) 基于机器学习的can总线网络异常检测方法及装置
US11748474B2 (en) Security system and methods for identification of in-vehicle attack originator
Marchetti et al. Evaluation of anomaly detection for in-vehicle networks through information-theoretic algorithms
Zhang et al. Intrusion detection system using deep learning for in-vehicle security
US11418519B2 (en) Systems and methods for detection of malicious activity in vehicle data communication networks
WO2018121675A1 (zh) 一种车辆攻击检测方法和装置
CN110505134B (zh) 一种车联网can总线数据检测方法及装置
US20200198651A1 (en) System and method for detecting behavioral anomalies among fleets of connected vehicles
CN111885060B (zh) 面向车联网的无损式信息安全漏洞检测系统和方法
CN111988342A (zh) 一种在线式汽车can网络异常检测系统
CN111147448B (zh) 一种can总线洪范攻击防御系统及方法
Rieke et al. Behavior analysis for safety and security in automotive systems
CN111131247B (zh) 一种车载内部网络入侵检测系统
CA3086472C (en) A vehicle authentication and protection system
CN109741629A (zh) 用户画像实时构建方法、系统、计算机设备及存储介质
CN114900331B (zh) 基于can报文特征的车载can总线入侵检测方法
Sharmin et al. Intrusion detection on the in-vehicle network using machine learning
Abdallah et al. Identifying intrusion attempts on connected and autonomous vehicles: A survey
CN212696022U (zh) 一种在线式汽车can网络异常检测系统
Dhulipala Detection of injection attacks on in-vehicle network using data analytics
CN106697116A (zh) 摩托车防盗云服务系统
Kocsis et al. Novel approaches to evaluate the ability of vehicles for secured transportation
Hamad et al. Intrusion detection system using artificial intelligence for internal messages of robotic cars
Wang et al. Intrusion Detection System for In-Vehicle CAN-FD Bus ID Based on GAN Model
CN117425153B (zh) 车联网终端的风险检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant