CN111355714A - 一种基于车辆控制单元指纹特征学习的攻击者识别方法 - Google Patents

Abstract

本发明公开了一种基于车辆控制单元指纹特征学习的攻击者识别方法，包括如下步骤：（1）、使用车载信号传输的时间戳和累积时间偏移量作为特征进行模式提取；所述时间戳指的是第一个到达消息和当前到达消息之间的时间间隔；（2）、对提取出的车载信号的模式进行指纹学习；（3）、车载电子控制单元的指纹经过聚类分析，找出攻击者。本发明的方法使用信号传输的时间戳和累积时间偏移量作为模式提取的特征，这种模式提取不要求周期性的信号传输，扩大了攻击者识别算法的适用范围。

Description

一种基于车辆控制单元指纹特征学习的攻击者识别方法

技术领域

本发明属于工业物联网安全领域，涉及到一种基于车辆控制单元指纹特征学习的攻击者识别方法。

背景技术

如今，工业的信息化得益于工业物联网提供的互联互通。但随之而来的隐患是：攻击在工业网络中被更轻易地传播。为了精准防御这些攻击，攻击者识别就成为行业主要研究的安全问题。同时，攻击者识别对工业物联网中的攻击分析和安全管理也起重要作用。

当攻击出现在集散控制系统、可编程逻辑控制器、数据采集与监视控制系统和控制器局域网(CAN)总线场景中，攻击可以被检测到，但攻击者却不能被准确识别。现在有许多专门为工业物联网检测攻击而设计的安全协议，它们都不能识别相关的攻击者。不论攻击检测系统/方案/协议在工业物联网中能多精准地检测出攻击，不能识别出哪些设备是攻击者，工业生产就仍旧处于不安全状态。

现阶段物理设备的硬件级特征，如硬件相关信号和电压伏特值被用于创建设备指纹，唯一识别每一台设备，以此达到识别攻击者的目的。但该方法的实用性与效率存在局限，如基于时钟的入侵检测方法可使用车载信号检测攻击，但只有车载信号周期性发送时，基于时钟的入侵检测方法才能用于攻击者识别。在现实环境下，许多类型的工业物联网设备的信号传输是非周期性的。

发明内容

本发明的目的在填补现有攻击者识别技术不支持非周期性信号传输环境的空白，并实现更精确地识别攻击者。该方法使用信号传输的时间戳和累积时间偏移量作为模式提取的特征，这种模式提取不要求周期性的信号传输，扩大了攻击者识别算法的适用范围。

本发明的具体技术方案如下：

一种基于车辆控制单元指纹特征学习的攻击者识别方法，包括如下步骤：

(1)、使用车载信号传输的时间戳和累积时间偏移量作为特征进行模式提取；所述时间戳指的是第一个到达消息和当前到达消息之间的时间间隔；

(2)、对步骤(1)提取出的车载信号的模式进行指纹学习；

(3)、车载电子控制单元的指纹经过聚类分析，找出攻击者。

上述步骤(1)的模式提取包括如下步骤：

(1-1)、获取控制器局域网总线上电子控制单元的信号传输时间序列T＝{x₁,x₂,…,x_m}、时间序列的长度值为m、窗口长度值为w，、归一化参数p(当时间序列信号的偏移量不变时，将其设置为true)，所述w代表时间序列子结构的大小，依据时间戳和累积时间偏移量在时间序列T中提取滑动窗口；

所述累积时间偏移量的计算如公式(1)，(2)，(3)，(4)所示：

O_acc[k]←O_acc[k-1]+|O[k]| (1)

T_i←t_i-t_i-1 (4)

其中：t_i是第i个到达消息的时间戳；μ_T[k]是平均时间戳间隔；T_i是第i个到达消息和第(i-1)个到达消息的时间戳间隔；O[k]是时间偏移量；O_acc[k]是累积时间偏移量；

(1-2)、滑动窗口归一化以获得1的标准偏差，帮助实现幅度不变性；

(1-3)、对每个滑动窗口进行符号傅立叶近似(SFA)转换；

符号傅立叶近似(SFA)转换是近似的离散傅立叶变换(DFT)的映射过程，离散傅立叶变换(DFT)使用傅立叶系数将长度为m的时间序列T’分解为正交基函数之和，具体计算如公式(5)，(6)所示：

DFT(T′)＝x₁…x_m (5)

DFT表示离散傅立叶变换；x_u是时间序列T的离散傅里叶变换结果；

(1-4)、依据从步骤(1-3)中获取的每个滑动窗口的符号序列，计算出现的符号序列。

上述步骤(2)的指纹学习包括以下步骤：

(2-1)、具有相互可达距离的数据空间的密度估计，具体计算如公式(7)，(8)所示：

d(i,j)_reach-k＝max{core_k(i),core_k(j),d(i,j)} (7)

其中core_k(i)是从当前数据节点i到最近的k个数据节点的距离，d(i,j)是数据节点i和数据节点j之间的距离；

是距离数据点i最近的k个数据点；d(i,j)_reach-k是当前数据节点i和数据节点j到最近的k个数据节点的最大距离；所述数据是从步骤(1)模式提取功能块中提取的模式数据；

(2-2)、构造加权图的最小生成树；

将数据节点作为最小生成树的节点，这些节点之间相互可达的距离作为加权图的权重；

(2-3)、转换步骤(2-2)构造的最小生成树；

已知最小生成树转换为已连接组件的层次结构，将最小生成树的边缘按距离排序，并为每个边缘创建一个新的合并簇；

(2-4)、对步骤(2-3)计算的簇进行层次凝聚，具体计算如公式(9)：

λ是簇的凝聚值；

(2-5)、提取稳定的簇；

对步骤(2-4)得到的凝聚树的每个簇计算稳定性，具体计算如公式10所示：

s_cluster＝∑_c∈cluster(λ_c-λ_birth) (10)

其中：s_cluster为簇的稳定性，λ_birth是簇分裂并成为自己的簇时的λ值；λ_c是包含在簇中的簇的凝聚值；

本发明的有益效果在于，本发明的方法使用信号传输的时间戳和累积时间偏移量作为模式提取的特征，这种模式提取不要求周期性的信号传输，扩大了攻击者识别算法的适用范围。该使用信号传输的时间戳作为模式提取特征的方法比基于时钟的入侵检测方法在正确率提升了15％，精确度提升了25％，召回率提升了28％，F1数值提升了28％；该使用信号传输的累积时间偏移量作为模式提取特征的方法比基于时钟的入侵检测方法在正确率提升了15％，精确度提升了23％，召回率提升了18％，F1数值提升了21％。从结果显示，该方法不论是使用信号传输的时间戳或是累积时间偏移量作为模式提取的特征都要优于现有的基于时钟的入侵检测方法。

附图说明

下面结合附图和具体实施方式来详细说明本发明；

图1是本发明方法的流程图；

图2是控制器局域网(CAN)总线结构示意图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

如图1所示，一种基于车辆控制单元指纹特征学习的攻击者识别方法，包括如下步骤：

(1)、使用车载信号传输的时间戳和累积时间偏移量作为特征进行模式提取；所述时间戳指的是第一个到达消息和当前到达消息之间的时间间隔；

(2)、对步骤(1)提取出的车载信号的模式进行指纹学习；

(3)、车载电子控制单元的指纹经过聚类分析，找出攻击者。

上述步骤(1)的模式提取包括如下步骤：

(1-1)、获取控制器局域网总线(如图2所示)上电子控制单元的信号传输时间序列T＝{x₁,x₂,…,x_m}、时间序列的长度值为m、窗口长度值为w，、归一化参数p(当时间序列信号的偏移量不变时，将其设置为true)，所述w代表时间序列子结构的大小，依据时间戳和累积时间偏移量在时间序列T中提取滑动窗口；

所述累积时间偏移量的计算如公式(1)，(2)，(3)，(4)所示：

O_acc[k]←O_acc[k-1]+|O[k]| (1)

T_i←t_i-t_i-1 (4)

其中：t_i是第i个到达消息的时间戳；μ_T[k]是平均时间戳间隔；T_i是第i个到达消息和第(i-1)个到达消息的时间戳间隔；O[k]是时间偏移量；O_acc[k]是累积时间偏移量；

(1-2)、滑动窗口归一化以获得1的标准偏差，帮助实现幅度不变性；

(1-3)、对每个滑动窗口进行符号傅立叶近似(SFA)转换；

符号傅立叶近似(SFA)转换是近似的离散傅立叶变换(DFT)的映射过程，离散傅立叶变换(DFT)使用傅立叶系数将长度为m的时间序列T’分解为正交基函数之和，具体计算如公式(5)，(6)所示：

DFT(T′)＝x₁…x_m (5)

DFT表示离散傅立叶变换；x_u是时间序列T的离散傅里叶变换结果；

(1-4)、依据从步骤(1-3)中获取的每个滑动窗口的符号序列，计算出现的符号序列。

上述步骤(2)的指纹学习包括以下步骤：

(2-1)、具有相互可达距离的数据空间的密度估计，具体计算如公式(7)，(8)所示：

d(i,j)_reach-k＝max{core_k(i),core_k(j),d(i,j)} (7)

其中core_k(i)是从当前数据节点i到最近的k个数据节点的距离，d(i,j)是数据节点i和数据节点j之间的距离；

是距离数据点i最近的k个数据点；d(i,j)_reach-k是当前数据节点i和数据节点j到最近的k个数据节点的最大距离；所述数据是从步骤(1)模式提取功能块中提取的模式数据；

(2-2)、构造加权图的最小生成树；

将数据节点作为最小生成树的节点，这些节点之间相互可达的距离作为加权图的权重；

(2-3)、转换步骤(2-2)构造的最小生成树；

已知最小生成树转换为已连接组件的层次结构，将最小生成树的边缘按距离排序，并为每个边缘创建一个新的合并簇；

(2-4)、对步骤(2-3)计算的簇进行层次凝聚，具体计算如公式(9)：

λ是簇的凝聚值；

(2-5)、提取稳定的簇；

对步骤(2-4)得到的凝聚树的每个簇计算稳定性，具体计算如公式10所示：

s_cluster＝∑_c∈cluster(λ_c-λ_birth) (10)

其中：s_cluster为簇的稳定性，λ_birth是簇分裂并成为自己的簇时的λ值；λ_c是包含在簇中的簇的凝聚值。

使用信号传输的时间戳作为模式提取特征的方法比基于时钟的入侵检测方法在正确率提升了15％，精确度提升了25％，召回率提升了28％，F1数值提升了28％；该使用信号传输的累积时间偏移量作为模式提取特征的方法比基于时钟的入侵检测方法在正确率提升了15％，精确度提升了23％，召回率提升了18％，F1数值提升了21％。从结果显示，该方法不论是使用信号传输的时间戳或是累积时间偏移量作为模式提取的特征都要优于现有的基于时钟的入侵检测方法。

正确率、精确度、召回率和F1数值这四个指标的计算公式如下：

其中：

真阳性(TP)：实际值为“真”，计算值为“真”；假阳性(FP)：实际值为“假”，计算值为“真”；真阴性(TN)：实际值为“假”，计算值为“假”；假阴性(FN)：实际值为“真”，计算值为“假”。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (3)

1.一种基于车辆控制单元指纹特征学习的攻击者识别方法，其特征在于包括如下步骤：

(1)、使用车载信号传输的时间戳和累积时间偏移量作为特征进行模式提取；所述时间戳指的是第一个到达消息和当前到达消息之间的时间间隔；

(2)、对步骤(1)提取出的车载信号的模式进行指纹学习；

(3)、车载电子控制单元的指纹经过聚类分析，找出攻击者。

2.根据权利要求1所述的一种基于车辆控制单元指纹特征学习的攻击者识别方法，其特征在于所述步骤(1)的模式提取包括如下步骤：

(1-1)、获取控制器局域网总线上电子控制单元的信号传输时间序列T＝{x₁,x₂,…,x_m}、时间序列的长度值为m、窗口长度值为w，、归一化参数p，所述w代表时间序列子结构的大小，依据时间戳和累积时间偏移量在时间序列T中提取滑动窗口；

所述累积时间偏移量的计算如公式(1)，(2)，(3)，(4)所示：

O_acc[k]←O_acc[k-1]+|O[k]| (1)

T_i←t_i-t_i-1 (4)

其中：t_i是第i个到达消息的时间戳；μ_T[k]是平均时间戳间隔；T_i是第i个到达消息和第(i-1)个到达消息的时间戳间隔；O[k]是时间偏移量；O_acc[k]是累积时间偏移量；

(1-2)、滑动窗口归一化以获得1的标准偏差，帮助实现幅度不变性；

(1-3)、对每个滑动窗口进行符号傅立叶近似转换；

符号傅立叶近似转换是近似的离散傅立叶变换的映射过程，离散傅立叶变换使用傅立叶系数将长度为m的时间序列T’分解为正交基函数之和，具体计算如公式(5)，(6)所示：

DFT(T′)＝x₁…x_m (5)

DFT表示离散傅立叶变换；x_u是时间序列T的离散傅里叶变换结果；

(1-4)、依据从步骤(1-3)中获取的每个滑动窗口的符号序列，计算出现的符号序列。

3.根据权利要求1所述的一种基于车辆控制单元指纹特征学习的攻击者识别方法，其特征在于所述步骤(2)的指纹学习包括以下步骤：

(2-1)、具有相互可达距离的数据空间的密度估计，具体计算如公式(7)，(8)所示：

d(i,j)_reach-k＝max{core_k(i),core_k(j),d(i,j)} (7)

其中core_k(i)是从当前数据节点i到最近的k个数据节点的距离，d(i,j)是数据节点i和数据节点j之间的距离；

是距离数据点i最近的k个数据点；d(i,j)_reach-k是当前数据节点i和数据节点j到最近的k个数据节点的最大距离；所述数据是从步骤(1)模式提取功能块中提取的模式数据；

(2-2)、构造加权图的最小生成树；

将数据节点作为最小生成树的节点，这些节点之间相互可达的距离作为加权图的权重；

(2-3)、转换步骤(2-2)构造的最小生成树；

已知最小生成树转换为已连接组件的层次结构，将最小生成树的边缘按距离排序，并为每个边缘创建一个新的合并簇；

(2-4)、对步骤(2-3)计算的簇进行层次凝聚，具体计算如公式(9)：

其中λ是簇的凝聚值；

(2-5)、提取稳定的簇；

对步骤(2-4)得到的凝聚树的每个簇计算稳定性，具体计算如公式10所示：

s_cluster＝Σ_c∈cluster(λ_c-λ_birth) (10)

其中：s_cluster为簇的稳定性，λ_birth是簇分裂并成为自己的簇时的λ值；λ_c是包含在簇中的簇的凝聚值。

Images