CN111355714A - 一种基于车辆控制单元指纹特征学习的攻击者识别方法 - Google Patents
一种基于车辆控制单元指纹特征学习的攻击者识别方法 Download PDFInfo
- Publication number
- CN111355714A CN111355714A CN202010105201.3A CN202010105201A CN111355714A CN 111355714 A CN111355714 A CN 111355714A CN 202010105201 A CN202010105201 A CN 202010105201A CN 111355714 A CN111355714 A CN 111355714A
- Authority
- CN
- China
- Prior art keywords
- cluster
- data
- control unit
- timestamp
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于车辆控制单元指纹特征学习的攻击者识别方法,包括如下步骤:(1)、使用车载信号传输的时间戳和累积时间偏移量作为特征进行模式提取;所述时间戳指的是第一个到达消息和当前到达消息之间的时间间隔;(2)、对提取出的车载信号的模式进行指纹学习;(3)、车载电子控制单元的指纹经过聚类分析,找出攻击者。本发明的方法使用信号传输的时间戳和累积时间偏移量作为模式提取的特征,这种模式提取不要求周期性的信号传输,扩大了攻击者识别算法的适用范围。
Description
技术领域
本发明属于工业物联网安全领域,涉及到一种基于车辆控制单元指纹特征学习的攻击者识别方法。
背景技术
如今,工业的信息化得益于工业物联网提供的互联互通。但随之而来的隐患是:攻击在工业网络中被更轻易地传播。为了精准防御这些攻击,攻击者识别就成为行业主要研究的安全问题。同时,攻击者识别对工业物联网中的攻击分析和安全管理也起重要作用。
当攻击出现在集散控制系统、可编程逻辑控制器、数据采集与监视控制系统和控制器局域网(CAN)总线场景中,攻击可以被检测到,但攻击者却不能被准确识别。现在有许多专门为工业物联网检测攻击而设计的安全协议,它们都不能识别相关的攻击者。不论攻击检测系统/方案/协议在工业物联网中能多精准地检测出攻击,不能识别出哪些设备是攻击者,工业生产就仍旧处于不安全状态。
现阶段物理设备的硬件级特征,如硬件相关信号和电压伏特值被用于创建设备指纹,唯一识别每一台设备,以此达到识别攻击者的目的。但该方法的实用性与效率存在局限,如基于时钟的入侵检测方法可使用车载信号检测攻击,但只有车载信号周期性发送时,基于时钟的入侵检测方法才能用于攻击者识别。在现实环境下,许多类型的工业物联网设备的信号传输是非周期性的。
发明内容
本发明的目的在填补现有攻击者识别技术不支持非周期性信号传输环境的空白,并实现更精确地识别攻击者。该方法使用信号传输的时间戳和累积时间偏移量作为模式提取的特征,这种模式提取不要求周期性的信号传输,扩大了攻击者识别算法的适用范围。
本发明的具体技术方案如下:
一种基于车辆控制单元指纹特征学习的攻击者识别方法,包括如下步骤:
(1)、使用车载信号传输的时间戳和累积时间偏移量作为特征进行模式提取;所述时间戳指的是第一个到达消息和当前到达消息之间的时间间隔;
(2)、对步骤(1)提取出的车载信号的模式进行指纹学习;
(3)、车载电子控制单元的指纹经过聚类分析,找出攻击者。
上述步骤(1)的模式提取包括如下步骤:
(1-1)、获取控制器局域网总线上电子控制单元的信号传输时间序列T={x1,x2,…,xm}、时间序列的长度值为m、窗口长度值为w,、归一化参数p(当时间序列信号的偏移量不变时,将其设置为true),所述w代表时间序列子结构的大小,依据时间戳和累积时间偏移量在时间序列T中提取滑动窗口;
所述累积时间偏移量的计算如公式(1),(2),(3),(4)所示:
Oacc[k]←Oacc[k-1]+|O[k]| (1)
Ti←ti-ti-1 (4)
其中:ti是第i个到达消息的时间戳;μT[k]是平均时间戳间隔;Ti是第i个到达消息和第(i-1)个到达消息的时间戳间隔;O[k]是时间偏移量;Oacc[k]是累积时间偏移量;
(1-2)、滑动窗口归一化以获得1的标准偏差,帮助实现幅度不变性;
(1-3)、对每个滑动窗口进行符号傅立叶近似(SFA)转换;
符号傅立叶近似(SFA)转换是近似的离散傅立叶变换(DFT)的映射过程,离散傅立叶变换(DFT)使用傅立叶系数将长度为m的时间序列T’分解为正交基函数之和,具体计算如公式(5),(6)所示:
DFT(T′)=x1…xm (5)
DFT表示离散傅立叶变换;xu是时间序列T的离散傅里叶变换结果;
(1-4)、依据从步骤(1-3)中获取的每个滑动窗口的符号序列,计算出现的符号序列。
上述步骤(2)的指纹学习包括以下步骤:
(2-1)、具有相互可达距离的数据空间的密度估计,具体计算如公式(7),(8)所示:
d(i,j)reach-k=max{corek(i),corek(j),d(i,j)} (7)
其中corek(i)是从当前数据节点i到最近的k个数据节点的距离,d(i,j)是数据节点i和数据节点j之间的距离;是距离数据点i最近的k个数据点;d(i,j)reach-k是当前数据节点i和数据节点j到最近的k个数据节点的最大距离;所述数据是从步骤(1)模式提取功能块中提取的模式数据;
(2-2)、构造加权图的最小生成树;
将数据节点作为最小生成树的节点,这些节点之间相互可达的距离作为加权图的权重;
(2-3)、转换步骤(2-2)构造的最小生成树;
已知最小生成树转换为已连接组件的层次结构,将最小生成树的边缘按距离排序,并为每个边缘创建一个新的合并簇;
(2-4)、对步骤(2-3)计算的簇进行层次凝聚,具体计算如公式(9):
λ是簇的凝聚值;
(2-5)、提取稳定的簇;
对步骤(2-4)得到的凝聚树的每个簇计算稳定性,具体计算如公式10所示:
scluster=∑c∈cluster(λc-λbirth) (10)
其中:scluster为簇的稳定性,λbirth是簇分裂并成为自己的簇时的λ值;λc是包含在簇中的簇的凝聚值;
本发明的有益效果在于,本发明的方法使用信号传输的时间戳和累积时间偏移量作为模式提取的特征,这种模式提取不要求周期性的信号传输,扩大了攻击者识别算法的适用范围。该使用信号传输的时间戳作为模式提取特征的方法比基于时钟的入侵检测方法在正确率提升了15%,精确度提升了25%,召回率提升了28%,F1数值提升了28%;该使用信号传输的累积时间偏移量作为模式提取特征的方法比基于时钟的入侵检测方法在正确率提升了15%,精确度提升了23%,召回率提升了18%,F1数值提升了21%。从结果显示,该方法不论是使用信号传输的时间戳或是累积时间偏移量作为模式提取的特征都要优于现有的基于时钟的入侵检测方法。
附图说明
下面结合附图和具体实施方式来详细说明本发明;
图1是本发明方法的流程图;
图2是控制器局域网(CAN)总线结构示意图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
如图1所示,一种基于车辆控制单元指纹特征学习的攻击者识别方法,包括如下步骤:
(1)、使用车载信号传输的时间戳和累积时间偏移量作为特征进行模式提取;所述时间戳指的是第一个到达消息和当前到达消息之间的时间间隔;
(2)、对步骤(1)提取出的车载信号的模式进行指纹学习;
(3)、车载电子控制单元的指纹经过聚类分析,找出攻击者。
上述步骤(1)的模式提取包括如下步骤:
(1-1)、获取控制器局域网总线(如图2所示)上电子控制单元的信号传输时间序列T={x1,x2,…,xm}、时间序列的长度值为m、窗口长度值为w,、归一化参数p(当时间序列信号的偏移量不变时,将其设置为true),所述w代表时间序列子结构的大小,依据时间戳和累积时间偏移量在时间序列T中提取滑动窗口;
所述累积时间偏移量的计算如公式(1),(2),(3),(4)所示:
Oacc[k]←Oacc[k-1]+|O[k]| (1)
Ti←ti-ti-1 (4)
其中:ti是第i个到达消息的时间戳;μT[k]是平均时间戳间隔;Ti是第i个到达消息和第(i-1)个到达消息的时间戳间隔;O[k]是时间偏移量;Oacc[k]是累积时间偏移量;
(1-2)、滑动窗口归一化以获得1的标准偏差,帮助实现幅度不变性;
(1-3)、对每个滑动窗口进行符号傅立叶近似(SFA)转换;
符号傅立叶近似(SFA)转换是近似的离散傅立叶变换(DFT)的映射过程,离散傅立叶变换(DFT)使用傅立叶系数将长度为m的时间序列T’分解为正交基函数之和,具体计算如公式(5),(6)所示:
DFT(T′)=x1…xm (5)
DFT表示离散傅立叶变换;xu是时间序列T的离散傅里叶变换结果;
(1-4)、依据从步骤(1-3)中获取的每个滑动窗口的符号序列,计算出现的符号序列。
上述步骤(2)的指纹学习包括以下步骤:
(2-1)、具有相互可达距离的数据空间的密度估计,具体计算如公式(7),(8)所示:
d(i,j)reach-k=max{corek(i),corek(j),d(i,j)} (7)
其中corek(i)是从当前数据节点i到最近的k个数据节点的距离,d(i,j)是数据节点i和数据节点j之间的距离;是距离数据点i最近的k个数据点;d(i,j)reach-k是当前数据节点i和数据节点j到最近的k个数据节点的最大距离;所述数据是从步骤(1)模式提取功能块中提取的模式数据;
(2-2)、构造加权图的最小生成树;
将数据节点作为最小生成树的节点,这些节点之间相互可达的距离作为加权图的权重;
(2-3)、转换步骤(2-2)构造的最小生成树;
已知最小生成树转换为已连接组件的层次结构,将最小生成树的边缘按距离排序,并为每个边缘创建一个新的合并簇;
(2-4)、对步骤(2-3)计算的簇进行层次凝聚,具体计算如公式(9):
λ是簇的凝聚值;
(2-5)、提取稳定的簇;
对步骤(2-4)得到的凝聚树的每个簇计算稳定性,具体计算如公式10所示:
scluster=∑c∈cluster(λc-λbirth) (10)
其中:scluster为簇的稳定性,λbirth是簇分裂并成为自己的簇时的λ值;λc是包含在簇中的簇的凝聚值。
使用信号传输的时间戳作为模式提取特征的方法比基于时钟的入侵检测方法在正确率提升了15%,精确度提升了25%,召回率提升了28%,F1数值提升了28%;该使用信号传输的累积时间偏移量作为模式提取特征的方法比基于时钟的入侵检测方法在正确率提升了15%,精确度提升了23%,召回率提升了18%,F1数值提升了21%。从结果显示,该方法不论是使用信号传输的时间戳或是累积时间偏移量作为模式提取的特征都要优于现有的基于时钟的入侵检测方法。
正确率、精确度、召回率和F1数值这四个指标的计算公式如下:
其中:
真阳性(TP):实际值为“真”,计算值为“真”;假阳性(FP):实际值为“假”,计算值为“真”;真阴性(TN):实际值为“假”,计算值为“假”;假阴性(FN):实际值为“真”,计算值为“假”。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.一种基于车辆控制单元指纹特征学习的攻击者识别方法,其特征在于包括如下步骤:
(1)、使用车载信号传输的时间戳和累积时间偏移量作为特征进行模式提取;所述时间戳指的是第一个到达消息和当前到达消息之间的时间间隔;
(2)、对步骤(1)提取出的车载信号的模式进行指纹学习;
(3)、车载电子控制单元的指纹经过聚类分析,找出攻击者。
2.根据权利要求1所述的一种基于车辆控制单元指纹特征学习的攻击者识别方法,其特征在于所述步骤(1)的模式提取包括如下步骤:
(1-1)、获取控制器局域网总线上电子控制单元的信号传输时间序列T={x1,x2,…,xm}、时间序列的长度值为m、窗口长度值为w,、归一化参数p,所述w代表时间序列子结构的大小,依据时间戳和累积时间偏移量在时间序列T中提取滑动窗口;
所述累积时间偏移量的计算如公式(1),(2),(3),(4)所示:
Oacc[k]←Oacc[k-1]+|O[k]| (1)
Ti←ti-ti-1 (4)
其中:ti是第i个到达消息的时间戳;μT[k]是平均时间戳间隔;Ti是第i个到达消息和第(i-1)个到达消息的时间戳间隔;O[k]是时间偏移量;Oacc[k]是累积时间偏移量;
(1-2)、滑动窗口归一化以获得1的标准偏差,帮助实现幅度不变性;
(1-3)、对每个滑动窗口进行符号傅立叶近似转换;
符号傅立叶近似转换是近似的离散傅立叶变换的映射过程,离散傅立叶变换使用傅立叶系数将长度为m的时间序列T’分解为正交基函数之和,具体计算如公式(5),(6)所示:
DFT(T′)=x1…xm (5)
DFT表示离散傅立叶变换;xu是时间序列T的离散傅里叶变换结果;
(1-4)、依据从步骤(1-3)中获取的每个滑动窗口的符号序列,计算出现的符号序列。
3.根据权利要求1所述的一种基于车辆控制单元指纹特征学习的攻击者识别方法,其特征在于所述步骤(2)的指纹学习包括以下步骤:
(2-1)、具有相互可达距离的数据空间的密度估计,具体计算如公式(7),(8)所示:
d(i,j)reach-k=max{corek(i),corek(j),d(i,j)} (7)
其中corek(i)是从当前数据节点i到最近的k个数据节点的距离,d(i,j)是数据节点i和数据节点j之间的距离;是距离数据点i最近的k个数据点;d(i,j)reach-k是当前数据节点i和数据节点j到最近的k个数据节点的最大距离;所述数据是从步骤(1)模式提取功能块中提取的模式数据;
(2-2)、构造加权图的最小生成树;
将数据节点作为最小生成树的节点,这些节点之间相互可达的距离作为加权图的权重;
(2-3)、转换步骤(2-2)构造的最小生成树;
已知最小生成树转换为已连接组件的层次结构,将最小生成树的边缘按距离排序,并为每个边缘创建一个新的合并簇;
(2-4)、对步骤(2-3)计算的簇进行层次凝聚,具体计算如公式(9):
其中λ是簇的凝聚值;
(2-5)、提取稳定的簇;
对步骤(2-4)得到的凝聚树的每个簇计算稳定性,具体计算如公式10所示:
scluster=Σc∈cluster(λc-λbirth) (10)
其中:scluster为簇的稳定性,λbirth是簇分裂并成为自己的簇时的λ值;λc是包含在簇中的簇的凝聚值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010105201.3A CN111355714A (zh) | 2020-02-20 | 2020-02-20 | 一种基于车辆控制单元指纹特征学习的攻击者识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010105201.3A CN111355714A (zh) | 2020-02-20 | 2020-02-20 | 一种基于车辆控制单元指纹特征学习的攻击者识别方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111355714A true CN111355714A (zh) | 2020-06-30 |
Family
ID=71198041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010105201.3A Pending CN111355714A (zh) | 2020-02-20 | 2020-02-20 | 一种基于车辆控制单元指纹特征学习的攻击者识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111355714A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112084185A (zh) * | 2020-09-17 | 2020-12-15 | 杭州电子科技大学 | 车载边缘设备基于关联学习的受损电子控制单元定位方法 |
CN112953723A (zh) * | 2021-02-08 | 2021-06-11 | 北京邮电大学 | 一种车载入侵检测方法及装置 |
EP4096168A1 (en) * | 2021-05-26 | 2022-11-30 | Marelli Europe S.p.A. | Method for protection from cyber attacks to a vehicle, and corresponding device |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120210421A1 (en) * | 2011-02-11 | 2012-08-16 | Verizon Patent And Licensing Inc. | Maliciouis user agent detection and denial of service (dos) detection and prevention using fingerprinting |
CN108111510A (zh) * | 2017-12-20 | 2018-06-01 | 北京航空航天大学 | 一种车内网络入侵检测方法及系统 |
CN108965234A (zh) * | 2017-05-19 | 2018-12-07 | 罗伯特·博世有限公司 | 用于保护网络防止网络攻击的方法 |
CN110752977A (zh) * | 2019-10-11 | 2020-02-04 | 中国海洋大学 | 一种车联网can总线的异常入侵检测方法及装置 |
-
2020
- 2020-02-20 CN CN202010105201.3A patent/CN111355714A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120210421A1 (en) * | 2011-02-11 | 2012-08-16 | Verizon Patent And Licensing Inc. | Maliciouis user agent detection and denial of service (dos) detection and prevention using fingerprinting |
CN108965234A (zh) * | 2017-05-19 | 2018-12-07 | 罗伯特·博世有限公司 | 用于保护网络防止网络攻击的方法 |
CN108111510A (zh) * | 2017-12-20 | 2018-06-01 | 北京航空航天大学 | 一种车内网络入侵检测方法及系统 |
CN110752977A (zh) * | 2019-10-11 | 2020-02-04 | 中国海洋大学 | 一种车联网can总线的异常入侵检测方法及装置 |
Non-Patent Citations (1)
Title |
---|
YUANFANG CHEN: "Fiden: Intelligent Fingerprint Learning for Attacker Identification in the Industrial Internet of Things", 《HTTPS://IEEEXPLORE.IEEE.ORG/》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112084185A (zh) * | 2020-09-17 | 2020-12-15 | 杭州电子科技大学 | 车载边缘设备基于关联学习的受损电子控制单元定位方法 |
CN112084185B (zh) * | 2020-09-17 | 2022-05-31 | 杭州电子科技大学 | 车载边缘设备基于关联学习的受损电子控制单元定位方法 |
CN112953723A (zh) * | 2021-02-08 | 2021-06-11 | 北京邮电大学 | 一种车载入侵检测方法及装置 |
EP4096168A1 (en) * | 2021-05-26 | 2022-11-30 | Marelli Europe S.p.A. | Method for protection from cyber attacks to a vehicle, and corresponding device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111355714A (zh) | 一种基于车辆控制单元指纹特征学习的攻击者识别方法 | |
US8630962B2 (en) | Error detection method and its system for early detection of errors in a planar or facilities | |
CN111475804A (zh) | 一种告警预测方法及系统 | |
CN110895526A (zh) | 一种大气监测系统中数据异常的修正方法 | |
CN109088869B (zh) | Apt攻击检测方法及装置 | |
CN112329847A (zh) | 一种异常检测方法、装置、电子设备及存储介质 | |
CN113159105B (zh) | 一种驾驶行为无监督模式识别方法及数据采集监控系统 | |
CN110071829B (zh) | Dns隧道检测方法、装置及计算机可读存储介质 | |
CN110138614B (zh) | 一种基于张量模型的在线网络流量异常检测方法及系统 | |
CN113225209B (zh) | 一种基于时间序列相似检索的网络监控实时预警方法 | |
Zou et al. | Nonparametric detection of anomalous data streams | |
Song et al. | Analysis of operating system identification via fingerprinting and machine learning | |
CN117040917A (zh) | 一种具有监测预警功能的智慧型交换机 | |
Tran et al. | Change detection in streaming data in the era of big data: models and issues | |
CN113904795B (zh) | 一种基于网络安全探针的流量快速精确检测方法 | |
CN112104633A (zh) | 一种基于日志关联分析的攻击链构造方法 | |
CN112769612A (zh) | 一种告警事件去误报方法及装置 | |
CN113114618A (zh) | 一种基于流量分类识别的物联网设备入侵检测的方法 | |
CN113205134A (zh) | 一种网络安全态势预测方法及系统 | |
CN112765324A (zh) | 一种概念漂移检测方法及装置 | |
CN113706100B (zh) | 配电网物联终端设备实时探测识别方法与系统 | |
CN117675387B (zh) | 基于用户行为分析的网络安全风险预测方法及系统 | |
GB2418312A (en) | Wide area tracking system | |
CN111339986A (zh) | 基于时域/频域分析的装备用频规律挖掘方法和系统 | |
CN116827641A (zh) | 一种车载can总线异常流量检测溯源方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200630 |
|
WD01 | Invention patent application deemed withdrawn after publication |