CN111931252A

CN111931252A - 一种基于滑动窗口和cenn的车载can入侵检测方法

Info

Publication number: CN111931252A
Application number: CN202010738039.9A
Authority: CN
Inventors: 崔晓通; 程克非; 张兴; 张亮
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2020-07-28
Filing date: 2020-07-28
Publication date: 2020-11-13
Anticipated expiration: 2040-07-28
Also published as: CN111931252B

Abstract

本发明涉及车载网络入侵检测技术领域，特别涉及一种基于滑动窗口和卷积编码器神经网络的车载控制器局域网络入侵检测方法，包括：对接收的原始数据进行数据清洗，并选择CAN ID和CAN Data作为特征；将CAN ID和CAN Data每个维度的特征转换为二进制数据；根据转换的二进制数据的位数计算特征尺寸；根据得到的特征尺寸设置正方形窗口，以该窗口对数据进行滑动窗口处理，获取处理后的特征；将处理后的特征输入卷积编码器神经网络中，卷积编码器神经网络根据输入的数据获得检测结果；本发明能够以较低的误报率及较高的检测率判别异常与正常流量，达到对CAN网络入侵检测目的。

Description

一种基于滑动窗口和CENN的车载CAN入侵检测方法

技术领域

本发明涉及入侵检测技术领域，特别涉及一种基于滑动窗口和卷积编码器神经网络(Convolutional Encoder Neural Networks,CENN)的车载控制器局域网络(ControllerArea Network,CAN)入侵检测方法。

背景技术

现代车辆中通常集成数十个甚至数百个各种电子控制单元(ECU)，这些ECU以及车内的智能传感器、车内网络组成了现代智能汽车的基础。车内网络根据系统的信息量、响应速度、可靠性、应用和其他要求，有五个广泛使用的车载网络。表1显示了这五种车载网络的优缺点，分别是本地互连网络(LIN)，控制器局域网(CAN)，FlexRay，面向媒体的系统传输(MOST)和以太网。

表1车内网络比较

在车载网络中应用最广泛的是CAN，其消息帧如图1所示，图2是CAN的拓扑结构，它是一个广播域，其中所有连接到CAN总线的节点都可以接收和发送消息。每个节点的接收过滤器使用CAN ID来决定选择哪个消息。当多个节点尝试同时传输消息时，它们通过具有冲突避免功能(CSMA/CA)和消息优先级仲裁(AMP)的载波侦听多路访问竞争通过总线访问总线，其中ID较低的消息将赢得仲裁。由于通信不包含任何身份验证器字段和加密算法，因此攻击者可以利用这些缺陷通过伪造和控制消息的传输来进行一系列攻击，例如:拒绝服务(DoS)，甚至破坏系统造成更大的事故。因此需要对CAN网络进行入侵检测。

通常CAN网络安全加固方法主要有三种，分别是加密算法、访问控制、入侵检测系统(IDS)。前两种旨在防止外部网络攻击，但在防止内部攻击及在保持系统吞吐量不变的情况下实施这些技术十分困难。最后一种入侵检测系统能够实时的检测攻击，并且提高检测攻击率。

实施IDS一旦检测到攻击，有时可与入侵防御系统(IPS)配合使用。基于检测技术，IDS可以分为两类：基于知识的IDS和基于异常的IDS。1)基于知识的IDS预定义了一组已知的攻击模式，例如:黑名单。当发现事件与预定义模式之间匹配时，它将报告入侵。由于基于知识的IDS无法检测到新颖的攻击，因此误报率将非常高。此外，及时更新模式数据库是必要且具有挑战性的。2)基于异常的IDS定义正常行为或“指纹”。例如:某些消息ID的固定频率/时间间隔。恶意插入具有相同ID的额外消息将增加/减少观察到的频率/时间间隔，因此可以被检测到。这样的IDS基于真实数据，并且能够检测到新颖的攻击。但是，如果在设计时没有考虑到所有的正常行为或情况，它将具有很高的误报率。

最初，IDS中一些成熟的方法是基于CAN协议特性，例如:基于频率的检测和CAN消息的时序分析。上述方法的有效性在很大程度上取决于一些前提，即具有特定CAN ID消息的周期性。最近的研究试图通过使用深度学习技术来克服这些限制。例如：卷积神经网络(CNN)、LSTM等被应用于检测场景，但是特征上只采用了比较容易处理的CAN ID字段，缺少一种系统的特征预处理方法，并且这些网络所得到的结果具有较高的误报率。

发明内容

为了减少误报率，本发明提出一种基于滑动窗口和卷积编码器神经网络的车载CAN入侵检测方法，如图4，包括以下步骤：

S1、对接收的原始数据进行数据清洗，并选择CAN ID和CAN Data作为特征；

S2、将CAN ID和CAN Data每个维度的特征转换为二进制数据；

S3、根据转换的二进制数据的位数计算特征尺寸；

S4、根据得到的特征尺寸设置正方形窗口，以该窗口对数据进行滑动窗口处理，获取处理后的特征；

S5、将处理后的特征输入卷积编码器神经网络中，卷积编码器神经网络根据输入的数据获得检测结果。

进一步的，将CAN ID和CAN Data每个维度的特征转换为二进制数据时，CAN ID占用29位，不足29位将用0填充；CAN Data占用64位，不足64位将用0填充。

进一步的，将所有数据划分为正方形窗口，每个窗口为93×93的二维矩阵，设定处理的窗口大小为93×93的正方形矩阵。

进一步的，第k个窗口表示为：

其中，SW_k表示第k个窗口，x_{i,j}为原始数据的二进制表示，其值为0或1。

进一步的，以正方形窗口对数据进行滑动窗口处理包括：令该数据的维度除以特征维度，获取滑动窗口的数量，并输出多个滑动窗口，窗口组合得到完整的滑动窗口，此时二维矩阵的滑动窗口内部数据是0或1，计算得到0-1向量的滑动窗口。

进一步的，卷积神经网络的编码部分包括编码器和Inception-Resnet结构，编码器包括两个卷积层和两个池化层，用于将滑动窗口从93×93×1维降低到6×6×64维；Inception-Resnet结构，包括并行的3个卷积层，用于将数据从6×6×64维降维到3×3×64维。

进一步的，卷积神经网络对得到3×3×64维的数据继续进行平均池化、展开、Dropout操作，并输入到全连接层，利用Softmax函数获取是否被入侵的预测结果。

本发明提出的滑动窗口可以将CAN ID和CAN Data组合使用，使用该窗口预处理的数据具有检测改变消息定时特性的攻击的潜力，例如，旨在引起DoS的恶意消息注入，不仅能够处理CAN ID，还能检测CAN Data，以及降低误报率；同时，也提出了一种卷积编码器神经网络模型，以此来降低检测误报率。

附图说明

图1为CAN网络拓扑结构；

图2为控制器局域网消息帧示意图；

图3为本法发明卷积编码网络结构图示意图；

图4为本发明提出的基于特征的滑动窗口方法实施步骤；

图5为本发明提出的卷积编码网络的整个架构图；

图6为卷积编码网络中所使用的Inception-Resnet网络结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种基于滑动窗口和卷积神经网络的车载网入侵检测方法，包括以下步骤：

S2、将CAN ID和CAN Data每个维度的特征转换为二进制数据；

S3、根据转换的二进制数据的位数计算特征尺寸；

实施例1

本实施例给出根据得到的特征尺寸设置正方形窗口以及根据滑动窗口获取原始数据的特征的实施方式。进行数据转换，将数据转换为二进制数据，其中CAN ID占用29位，不足29位将用0填充。对于64位CAN Data来说，同CAN ID方式转换，即CAN Data占用64位，不足64位将用0填充。

将得到的二进制信息进行扩展，即将CAN ID与CAN Data转换二进制维度的总和作为扩展之后的特征尺寸。

将所有数据记录划分为正方形窗口，其中每个窗口都是93x93的二维矩阵,设定处理的窗口大小为93x93的正方形矩阵，其中，第k个窗口表示为：

其中，SW_k表示第k个窗口，x_{i，j}为原始数据的二进制表示，其值为0或1。

获取到的滑动窗口个数表示为：

其中，n表示收集的数据记录的数量，m表示具有0-1个特征的维的数量。例如，具有1000个数据记录和100 0-1个特征，将获得10个滑动窗口。每个窗口可以表示为SW_k；最后，组合sn滑动窗口以获得由0或1组成的整体滑动窗口向量SW，即将原始数据用多个滑动窗口表示，并且所有的滑动窗口组合起来即为原始数据的二进制表示方式。

实施例2

在实施例1的基础上，本实施例给出一种根据卷积编码器神经网络对数据进行预测的方法。

在本实施例中，卷积神经网络的编码部分包括编码器和Inception-Resnet结构，编码器包括两个卷积层和两个池化层，用于将滑动窗口从93×93×1维降低到6×6×64维；Inception-Resnet结构，包括并行的3个卷积层，用于将数据从6×6×64维降维到3×3×64维。

本发明提出的卷积编码器网络(CEN)由CNN的基本结构和自编码器(AutoEncoder)的部分结构组成。AutoEncoder具有捕获非线性相关性并减小特征尺寸的能力。如图3所示，AutoEncoder分为编码器和解码器，编码器和解码器的实现描述如下：

1)编码器(对应于图3中的输入层和隐藏层)：编码器将压缩输入层的数据，以使隐藏层的尺寸小于输入层的尺寸。该过程起非线性特征的降维的作用。

2)解码器(对应于图3中的隐藏层和输出层)：解码器将从隐藏层恢复原始数据。这种过程广泛用于图像恢复和无监督学习。

根据6×6×64维数据，为了加快模型训练时间，采用了Inception-Resnet网络结构，其中Inception-Resnet的原始模块使用35×35的网格数据，这里使用6×6的网格块，具体如图6所示的三个并行的卷积层。

实施例3

本实施例进一步在实施例2的基础上，对卷积神经网络获取预测结果进行进一步说明。

有研究表明Dropout(隐藏节点值的一半设置为0)是训练深度神经网络的更好选择，因为它可以避免过度拟合并提高基础神经网络的准确性。因此，本实施例首先展开网络(对应于图5中平均池化先前的操作)，然后使用Dropout防止模型过度拟合，并将结果输出到全连接层中，使用SoftMax获得训练结果。

在图5中，Encoder Structure部分为编码器，对输入的93×93×1维数据经过卷积层(Covn1)降维为47×47×32维，经过一个最大池化层(Max-pooling)变成24×24×32维，再经过一个卷积层(Covn2)转换为12×12×64维，再经过一个最大池化层(Max-pooling)变成6×6×64维；在Inception-Resnet网络中继续降维处理，最后经过一个平均池化层(Avg-pooling)经过池化后将数据依次输入全连接层(Fully connected)。

作为一种可选的实施方式，本实施例选择的Inception-Resnet网络结构如图6所示。

在本实施方式中，利用CAN网络特殊字段ID与Data，并基于Flink数据流滑动窗口概念，构造出了0-1的正方形滑动窗口矩阵。随后，将滑动滑动窗口矩阵作为本实施例网络的输入，考虑编码器降维与Inception-Resnet网络减少模型训练时间的特性，本实施例将编码器和Inception-Resnet网络组合成卷积编码器网络的核心部分。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种基于滑动窗口和CENN的车载CAN入侵检测方法，其特征在于，包括以下步骤：

S2、将CAN ID和CAN Data每个维度的特征转换为二进制数据；

S3、根据转换的二进制数据的位数计算特征尺寸；

2.根据权利要求1所述的一种基于滑动窗口和CENN的车载CAN入侵检测方法，其特征在于，将CAN ID和CAN Data每个维度的特征转换为二进制数据时，CAN ID占用29位，不足29位将用0填充；CAN Data占用64位，不足64位将用0填充。

3.根据权利要求1所述的一种基于滑动窗口和CENN的车载CAN入侵检测方法，其特征在于，将所有数据划分为正方形窗口，每个窗口为93×93的二维矩阵，设定处理的窗口大小为93×93的正方形矩阵。

4.根据权利要求3所述的一种基于滑动窗口和CENN的车载CAN入侵检测方法，其特征在于，第k个窗口表示为：

5.根据权利要求1所述的一种基于滑动窗口和CENN的车载CAN入侵检测方法，其特征在于，以正方形窗口对数据进行滑动窗口处理包括：

将待处理的数据输入，令该数据的维度除以特征维度，获取滑动窗口的数量，并输出多个滑动窗口，窗口组合得到完整的滑动窗口，此时二维矩阵的滑动窗口内部数据是0或1，计算得到0-1向量的滑动窗口。

6.根据权利要求1所述的一种基于滑动窗口和CENN的车载CAN入侵检测方法，其特征在于，卷积神经网络的编码部分包括编码器和Inception-Resnet结构，编码器包括两个卷积层和两个池化层，用于将滑动窗口从93×93×1维降低到6×6×64维；Inception-Resnet结构，包括并行的3个卷积层，用于将数据从6×6×64维降维到3×3×64维。

7.根据权利要求6所述的一种基于滑动窗口和CENN的车载CAN入侵检测方法，其特征在于，卷积神经网络对得到3×3×64维的数据继续进行平均池化、展开、Dropout操作，并输入到全连接层，利用Softmax函数获取预测结果，判断CAN网络是否被入侵。