CN111970229B - 一种针对多种攻击方式的can总线数据异常检测方法 - Google Patents

一种针对多种攻击方式的can总线数据异常检测方法 Download PDF

Info

Publication number
CN111970229B
CN111970229B CN202010581480.0A CN202010581480A CN111970229B CN 111970229 B CN111970229 B CN 111970229B CN 202010581480 A CN202010581480 A CN 202010581480A CN 111970229 B CN111970229 B CN 111970229B
Authority
CN
China
Prior art keywords
data
sliding window
node
information entropy
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010581480.0A
Other languages
English (en)
Other versions
CN111970229A (zh
Inventor
田大新
闫慧文
段续庭
周建山
韩旭
郎平
郝威
龙科军
刘赫
拱印生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202010581480.0A priority Critical patent/CN111970229B/zh
Publication of CN111970229A publication Critical patent/CN111970229A/zh
Application granted granted Critical
Publication of CN111970229B publication Critical patent/CN111970229B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Abstract

一种针对多种攻击方式的CAN总线数据异常检测方法,分为建立正常数据集和异常检测两个阶段,在孤立森林训练阶段,形成正常数据的数据集,根据固定消息数量的滑动窗口计算标识符ID的信息熵,将正常信息熵与滑动窗口内各个ID对应数据训练孤立森林;在异常检测阶段,对于滑动窗口中固定消息数量的ID与不同ID的数据计算异常分数,并做出是否进行异常警报的决定。本发明所提出的基于信息熵与孤立森林框架的汽车CAN数据异常检测模型,可以检测多种针对CAN总线的攻击方式,通过对孤立森林算法中异常分数的计算方法进行改进,避免原计算方法对于局部异常不敏感的缺点,进而实现效率和准确率都较高的异常检测,有利于汽车安全驾驶与正常工作。

Description

一种针对多种攻击方式的CAN总线数据异常检测方法
技术领域
涉及汽车车载网络异常检测技术,具体涉及一种基于孤立森林的汽车CAN总线网络数据异常检测方法。
背景技术
在汽车智能化和网联化快速发展的同时,汽车信息安全问题频频发生。目前,攻击者可以通过汽车与外界的接口进行物理攻击和远程攻击,这些接口包括OBD、充电接口、APP以及无线访问接口等。攻击者采用重放、DOS、篡改、fuzz等攻击方式入侵车载网络,进而获取对车辆的控制权或者干扰汽车的正常运行,造成汽车失控等严重后果。车载网络中应用最普遍的车载网络是CAN(Controller Area Network)总线,CAN总线具有广播发送、消息仲裁等特性,且无消息、身份协议认证,消息不经加密直接传输,容易遭受各种攻击。因此车载网络需要较为可靠的安全防护方法。
目前常用的车载网络安全防护方法主要有加密认证、第三方可信软件或平台、诊断端口访问控制与异常检测系统等等。其中,异常检测系统是部署最快且成本效益最好的解决方案。常见的车载网络异常检测方法可以分为三类:基于统计的方法、基于分类的方法和基于聚类的方法。基于统计的方法对数据的分布要求较高,且在高维数据中检测性能表现较差;基于分类的方法需要正负向的样本标记,对样本质量的要求比较高;基于聚类的方法需要预先确定聚类数量,结合离群点检测进行异常数据分析。
基于孤立森林算法的异常检测方法可以有效识别出全局异常的数据,但是对于局部异常数据不够敏感。因此考虑改进异常分数的计算方法,将节点数据数量比引入到计算式中,提高对局部异常点的敏感度。
发明内容
该方法分为建立正常数据集和异常检测两个阶段,实现对于CAN总线数据的篡改、重放、Dos、fuzz等攻击的检测。具体实施方法如下:
一种针对多种攻击方式的CAN总线数据异常检测方法,其特征在于,包含以下步骤:
步骤1:根据固定消息数量的滑动窗口计算标识符ID的信息熵,将所得到的信息熵与滑动窗口内各个ID对应的数据训练孤立森林;
步骤2:对于固定消息数量的滑动窗口中的ID与不同ID对应的数据计算改进异常分数,并做出是否进行异常警报的决定。
进一步的,所述的步骤1中设置固定消息数量的滑动窗口的方法包括以下步骤:
S11,计算所有ID的最大周期,所选择的滑动窗口大小应大于最大周期,尽量保证存在一个滑动窗口中每个ID的数据出现两次;
S12,确定需要达到的最小响应时间,即从发生攻击到响应攻击应达到的最小时间间隔,所选择的滑动窗口大小应满足在最小响应时间内完成异常检测过程。
进一步的,所述的S12中滑动窗口的最大值确定的方法如下:
Windowsize·f+tcalculate≤tresponse
整理得
Figure BDA0002552474690000021
进一步的,所述的步骤1中滑动窗口的最值确定的方法如下:
Figure BDA0002552474690000022
进一步的,所述的步骤1中信息熵的计算方法如下:
Figure BDA0002552474690000023
其中,
Figure BDA0002552474690000024
进一步的,所述的步骤1中孤立森林的建立方法包括以下步骤:
S11,对滑动窗口的id信息熵和id分类后的数据集构建孤立树,孤立树的建立过程如下:
S111,将当前滑动窗口的id信息熵和id分类后的数据放入树的根节点;
S112,随机指定一个特征(对于ID信息熵来说只有一个特征,直接选择即可),并在当前特征的所有范围内随机生成一个值划分值valuesplit,valuesplit是在该特征范围的最大值和最小值之间随机产生的;
S113,根据valuesplit对所有值进行划分,指定该特征所有中小于valuesplit的数据被放在当前节点的左子节点中,大于或等于valuesplit的数据被放在当前节点的右子节点中;
S114,在生成的左右子节点中,重复步骤S112和步骤S113对子节点进行更新,直到达到终止条件。终止条件有两个,一个是节点中只有一个数据;另一个是节点中所有数据具有相同的值。
S12,滑动窗口随时间的推移向后滑动,直到滑动窗口滑动至末端,此时完成构建t棵孤立树,形成ID信息熵和各个ID所对应数据分离的孤立森林模型。
进一步的,所述的步骤2中改进异常分数的计算方法包括以下步骤:
S21,在待测数据中进行滑动窗口的设定,并令每一条数据与滑动窗口中ID的信息熵遍历孤立森林中的每棵孤立树;
S22,利用改进异常分数的计算式得到异常分数的值。
进一步的,所述的S22中改进异常分数的计算式如下:
Figure BDA0002552474690000031
其中,h(x)是数据所在子节点的层数,即在遍历过程中划分的次数;n是根节点中的数据总数;rm是父节点与子节点中数据数量比值的最大值。
进一步的,所述的rm的计算方法如下所示:
Figure BDA0002552474690000041
其中,
Figure BDA0002552474690000042
是x落入节点的父节点中的数据数量,m(Li(x))是x落入节点的数据数量。
进一步的,所述的s(x)的值有两种不同的情况:
当h(x)→0,rm→0时,s(x)→0,此时判断数据x为异常;
当h(x)→n,rm→1时,
Figure BDA0002552474690000043
,如果n足够大,s(x)→0,此时判断数据x为正常。
相比其他已有的方法,本发明所采用的算法有以下特点:
(1)本方法改进原有的孤立森林算法,通过对异常分数计算方法的改进,引入节点数据数量比到计算式中,改善原有方法对于局部异常不敏感的缺点,实现对于篡改攻击的较为全面和准确的检测。
(2)本方法采用滑动窗口处理流式数据,实现对于在线数据的异常检测,对于滑动窗口中标识符ID进行信息熵的计算,来判断是否发生DoS攻击、重放攻击和fuzz攻击。
(3)本方法将不同攻击方法整合为对于异常值的判断,而这个判断过程是通过一个孤立森林框架进行实现的,避免多次数据处理,具有处理速度快、响应速度快等特点。
附图说明
图1为本发明所提出的CAN总线异常检测方法的流程图。
图2为数据经过孤立树的示意图。
图3为在实例中使用原有异常分数计算方法计算得到的异常分数示意图。
图4为在实例中使用改进异常分数计算方法计算得到的异常分数示意图。
图5为正常无攻击情况下,滑动窗口中标识符ID信息熵的值。
图6为fuzz攻击情况下,滑动窗口中标识符ID信息熵的值。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
下面将结合附图和实例对本发明作进一步的详细说明。
如图1所示,一种针对多种攻击方式的CAN总线数据异常检测方法包含两个阶段:训练孤立森林阶段和异常检测阶段。
训练孤立森林:根据固定消息数量的滑动窗口计算标识符ID的信息熵,将所得到的信息熵与滑动窗口内各个ID对应的数据训练孤立森林;
异常检测阶段:固定消息数量的滑动窗口中的ID与不同ID对应的数据流入孤立森林中对应的孤立树,计算相应的改进异常分数,并做出是否进行异常警报的决定。
步骤1中设置固定消息数量的滑动窗口的方法包括以下步骤:
S11,计算所有ID的最大周期,所选择的滑动窗口大小应大于最大周期,尽量保证存在一个滑动窗口中每个ID的数据出现两次;
S12,确定需要达到的最小响应时间,即从发生攻击到响应攻击应达到的最小时间间隔,所选择的滑动窗口大小应满足在最小响应时间内完成异常检测过程。
上述S12中滑动窗口的最大值确定的方法如下:
Windowsize·f+tcalculate≤trgsponse
整理得
Figure BDA0002552474690000061
上述步骤1中滑动窗口的最值确定的方法如下:
Figure BDA0002552474690000062
上述步骤1中信息熵的计算方法如下:
Figure BDA0002552474690000063
其中,
Figure BDA0002552474690000064
孤立森林是由一系列孤立树组成的,每棵孤立树都是通过如图2所示的划分过程形成的。上述步骤1中孤立森林的建立方法包括以下步骤:
S11,对滑动窗口的id信息熵和id分类后的数据集构建孤立树,孤立树的建立过程如下:
S111,将当前滑动窗口的id信息熵和id分类后的数据放入树的根节点;
S112,随机指定一个特征(对于ID信息熵来说只有一个特征,直接选择即可),并在当前特征的所有范围内随机生成一个值划分值valuesplit,valuesplit是在该特征范围的最大值和最小值之间随机产生的;
S113,根据valuesplit对所有值进行划分,指定该特征所有中小于valuesplit的数据被放在当前节点的左子节点中,大于或等于valuesplit的数据被放在当前节点的右子节点中;
S114,在生成的左右子节点中,重复步骤S112和步骤S113对子节点进行更新,直到达到终止条件。终止条件有两个,一个是节点中只有一个数据;另一个是节点中所有数据具有相同的值。
S12,滑动窗口随时间的推移向后滑动,直到滑动窗口滑动至末端,此时完成构建t棵孤立树,形成ID信息熵和各个ID所对应数据分离的孤立森林模型。
原始孤立森林算法仅以待测点被划分的次数作为异常分数的一个决定要素,会出现误报情况,如图3所示,n1和n2是正常数据,而a1和a2是局部异常点,图中的条状图是异常分数的值。可以发现在n2边缘数据的异常分数高于a1的异常分数,造成误报的情况。应用改进后的异常分数进行计算后,消除了误报的情况,如图4所示,n1和n2中所有数据的异常分数均低于a1和a2的异常分数。
上述步骤2中改进异常分数的计算方法包括以下步骤:
S21,在待测数据中进行滑动窗口的设定,并令每一条数据与滑动窗口中ID的信息熵遍历孤立森林中的每棵孤立树;
S22,利用改进异常分数的计算式得到异常分数的值。
进一步的,所述的S22中改进异常分数的计算式如下:
Figure BDA0002552474690000071
其中,h(x)是数据所在子节点的层数,即在遍历过程中划分的次数;n是根节点中的数据总数;rm是父节点与子节点中数据数量比值的最大值。
进一步的,所述的rm的计算方法如下所示:
Figure BDA0002552474690000081
其中,
Figure BDA0002552474690000082
是x落入节点的父节点中的数据数量,m(Li(x))是x落入节点的数据数量。
进一步的,所述的s(x)的值有两种不同的情况:
当h(x)→0,rm→n时,s(x)→1,此时判断数据x为异常;
当h(x)→n,rm→1时,
Figure BDA0002552474690000083
如果n足够大,s(x)→0,此时判断数据x为正常。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (5)

1.一种针对多种攻击方式的CAN总线数据异常检测方法,其特征在于,包含以下步骤:
步骤1:根据固定消息数量的滑动窗口计算标识符ID的信息熵,将所得信息熵与滑动窗口内各个ID对应的数据训练孤立森林;
步骤2:对于固定消息数量的滑动窗口中的ID与不同ID 对应的数据计算异常分数,并做出是否进行异常警报的决定;
所述的异常分数的计算方法包括以下步骤:
S21,在待测数据中进行滑动窗口的设定,并令每一条数据与滑动窗口中ID的信息熵遍历孤立森林中的每棵孤立树;
S22,利用改进异常分数的计算式得到异常分数的值;
其中,所述的改进异常分数的计算式如下:
Figure 618997DEST_PATH_IMAGE001
其中,
Figure 354872DEST_PATH_IMAGE002
是数据所在子节点的层数,即在遍历过程中划分的次数;
Figure 128006DEST_PATH_IMAGE003
是根节点中的数据总数;
Figure 124781DEST_PATH_IMAGE004
是父节点与子节点中数据数量比值的最大值,
Figure 852566DEST_PATH_IMAGE004
的计算方法如下所示:
Figure 685524DEST_PATH_IMAGE005
其中,
Figure 891377DEST_PATH_IMAGE006
Figure 8238DEST_PATH_IMAGE007
落入节点的父节点中的数据数量,
Figure 15246DEST_PATH_IMAGE008
Figure 460134DEST_PATH_IMAGE007
落入节点的数据数量;
Figure 328732DEST_PATH_IMAGE009
的值有两种不同的情况:
Figure 441045DEST_PATH_IMAGE010
Figure 854840DEST_PATH_IMAGE011
时,
Figure 911658DEST_PATH_IMAGE012
,此时判断数据
Figure 459314DEST_PATH_IMAGE007
为异常;当
Figure 537384DEST_PATH_IMAGE013
Figure 636927DEST_PATH_IMAGE014
时,
Figure 321987DEST_PATH_IMAGE015
,如果
Figure 283121DEST_PATH_IMAGE003
足够大,
Figure 104446DEST_PATH_IMAGE016
,此时判断数据
Figure 374890DEST_PATH_IMAGE007
为正常;
所述的滑动窗口的最值确定的方法如下:
Figure 655568DEST_PATH_IMAGE017
其中,Windowsize为滑动窗口大小;Cycleid,max为所有ID的最大周期;f为消息频率;tcalculate-tresponse为发生攻击到响应攻击的时间间隔。
2.根据权利要求1所述的方法,其特征在于,所述的步骤1中设置固定消息数量的滑动窗口的方法包括以下步骤:
S11,计算所有ID的最大周期,所选择的滑动窗口大小应大于最大周期,尽量保证存在一个滑动窗口中每个ID的数据出现两次;
S12,确定需要达到的最小响应时间,即从发生攻击到响应攻击应达到的最小时间间隔,所选择的滑动窗口大小应满足在最小响应时间内完成异常检测过程。
3.根据权利要求2所述的方法,其特征在于,所述的滑动窗口的最大值确定的方法如下:
Figure 279447DEST_PATH_IMAGE018
整理得
Figure 79913DEST_PATH_IMAGE019
4.根据权利要求1所述的方法,其特征在于,所述的信息熵的计算方法如下:
Figure 271991DEST_PATH_IMAGE020
其中,
Figure 666063DEST_PATH_IMAGE021
5.根据权利要求1所述的方法,其特征在于,所述的孤立森林的建立方法包括以下步骤:
S11,对滑动窗口的
Figure 218267DEST_PATH_IMAGE022
信息熵和
Figure 14185DEST_PATH_IMAGE022
分类后的数据集构建孤立树,孤立树的建立过程如下:
S111,将当前滑动窗口的
Figure 896207DEST_PATH_IMAGE022
信息熵和
Figure 902210DEST_PATH_IMAGE022
分类后的数据放入树的根节点;
S112,随机指定一个特征,并在当前特征的所有范围内随机生成一个值划分值
Figure 539995DEST_PATH_IMAGE023
Figure 190420DEST_PATH_IMAGE023
是在该特征范围的最大值和最小值之间随机产生的,对于ID信息熵来说只有一个特征,直接选择即可;
S113,根据
Figure 222835DEST_PATH_IMAGE023
对所有值进行划分,指定该特征所有中小于
Figure 591500DEST_PATH_IMAGE023
的数据被放在当前节点的左子节点中,大于或等于
Figure 485507DEST_PATH_IMAGE023
的数据被放在当前节点的右子节点中;
S114,在生成的左右子节点中,重复步骤S112和步骤S113对子节点进行更新,直到达到终止条件,终止条件有两个,一个是节点中只有一个数据;另一个是节点中所有数据具有相同的值;S12,滑动窗口随时间的推移向后滑动,直到滑动窗口滑动至末端,此时完成构建
Figure 865803DEST_PATH_IMAGE024
棵孤立树,形成ID信息熵和各个ID所对应数据分离的孤立森林模型。
CN202010581480.0A 2020-06-23 2020-06-23 一种针对多种攻击方式的can总线数据异常检测方法 Active CN111970229B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010581480.0A CN111970229B (zh) 2020-06-23 2020-06-23 一种针对多种攻击方式的can总线数据异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010581480.0A CN111970229B (zh) 2020-06-23 2020-06-23 一种针对多种攻击方式的can总线数据异常检测方法

Publications (2)

Publication Number Publication Date
CN111970229A CN111970229A (zh) 2020-11-20
CN111970229B true CN111970229B (zh) 2021-11-16

Family

ID=73360772

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010581480.0A Active CN111970229B (zh) 2020-06-23 2020-06-23 一种针对多种攻击方式的can总线数据异常检测方法

Country Status (1)

Country Link
CN (1) CN111970229B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113033084B (zh) * 2021-03-11 2022-04-05 哈尔滨工程大学 一种基于孤立森林和滑动时窗的核电站系统在线监测方法
CN113298114B (zh) * 2021-04-15 2024-02-20 杭州电子科技大学 一种基于改进孤立森林算法检测电器投切事件的方法
CN113625681B (zh) * 2021-07-19 2022-12-13 湖南大学 Can总线异常检测方法、系统及存储介质
CN115499340A (zh) * 2022-09-29 2022-12-20 吉林大学 一种车载canfd网络异常状态的双重检测技术

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110149258A (zh) * 2019-04-12 2019-08-20 北京航空航天大学 一种基于孤立森林的汽车can总线网络数据异常检测方法
CN110275508A (zh) * 2019-05-08 2019-09-24 西安电子科技大学 车载can总线网络异常检测方法及系统
CN110505179A (zh) * 2018-05-17 2019-11-26 中国科学院声学研究所 一种网络异常流量的检测方法及系统
CN110536258A (zh) * 2019-08-09 2019-12-03 大连理工大学 一种UASNs中基于孤立森林的信任模型
WO2020021525A1 (en) * 2018-07-24 2020-01-30 Enigmatos Ltd. Message source detection in a vehicle bus system
WO2020068826A1 (en) * 2018-09-24 2020-04-02 Karamba Security Ltd. Electronic controller security system
CN111131185A (zh) * 2019-12-06 2020-05-08 中国电子科技网络信息安全有限公司 基于机器学习的can总线网络异常检测方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016108963A1 (en) * 2014-12-30 2016-07-07 Battelle Memorial Institute Temporal anomaly detection on automotive networks
US9792435B2 (en) * 2014-12-30 2017-10-17 Battelle Memorial Institute Anomaly detection for vehicular networks for intrusion and malfunction detection
CN109347823B (zh) * 2018-10-17 2021-04-09 湖南汽车工程职业学院 一种基于信息熵的can总线异常检测方法
KR20200069852A (ko) * 2018-12-07 2020-06-17 한국전자통신연구원 차량 제어 네트워크의 이상징후 탐지 방법 및 이를 위한 장치

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110505179A (zh) * 2018-05-17 2019-11-26 中国科学院声学研究所 一种网络异常流量的检测方法及系统
WO2020021525A1 (en) * 2018-07-24 2020-01-30 Enigmatos Ltd. Message source detection in a vehicle bus system
WO2020068826A1 (en) * 2018-09-24 2020-04-02 Karamba Security Ltd. Electronic controller security system
CN110149258A (zh) * 2019-04-12 2019-08-20 北京航空航天大学 一种基于孤立森林的汽车can总线网络数据异常检测方法
CN110275508A (zh) * 2019-05-08 2019-09-24 西安电子科技大学 车载can总线网络异常检测方法及系统
CN110536258A (zh) * 2019-08-09 2019-12-03 大连理工大学 一种UASNs中基于孤立森林的信任模型
CN111131185A (zh) * 2019-12-06 2020-05-08 中国电子科技网络信息安全有限公司 基于机器学习的can总线网络异常检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
车载CAN总线网络的异常检测技术研究;张会林;《中国优秀硕士学位论文全文数据库 工程科技Ⅱ辑》;20200215;C035-324 *

Also Published As

Publication number Publication date
CN111970229A (zh) 2020-11-20

Similar Documents

Publication Publication Date Title
CN111970229B (zh) 一种针对多种攻击方式的can总线数据异常检测方法
CN109067773B (zh) 一种基于神经网络的车载can网络入侵检测方法及系统
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN110535702B (zh) 一种告警信息处理方法及装置
CN108390869B (zh) 集成深度学习的车载智能网关装置及其命令序列检测方法
CN111131247B (zh) 一种车载内部网络入侵检测系统
CN109660518B (zh) 网络的通信数据检测方法、装置以及机器可读存储介质
CN109150859B (zh) 一种基于网络流量流向相似性的僵尸网络检测方法
CN112202817B (zh) 一种基于多事件关联与机器学习的攻击行为检测方法
CN112671767B (zh) 一种基于告警数据分析的安全事件预警方法及装置
CN111654482B (zh) 一种异常流量的检测方法、装置、设备及介质
JP2023031255A (ja) 異常検出
CN117319047A (zh) 一种基于网络安全异常检测的网络路径分析方法及系统
CN112787984B (zh) 一种基于相关分析的车载网络异常检测方法及系统
US11297082B2 (en) Protocol-independent anomaly detection
Hendry et al. Intrusion signature creation via clustering anomalies
CN114363212A (zh) 一种设备检测方法、装置、设备和存储介质
US20170346834A1 (en) Relating to the monitoring of network security
CN113132414B (zh) 一种多步攻击模式挖掘方法
Agbaje et al. A Framework for Consistent and Repeatable Controller Area Network IDS Evaluation
CN113794742A (zh) 一种电力系统fdia高精度检测方法
CN113254485A (zh) 实时数据流异常检测方法及系统
CN111931168B (zh) 一种基于警报关联的僵尸机检测方法
KR102469399B1 (ko) Can 네트워크의 공격 탐지 시스템, can 네트워크의 공격 탐지 방법 및 can 네트워크의 공격 탐지 방법을 실행시키도록 기록매체에 저장된 컴퓨터 프로그램
CN112751822B (zh) 通信装置及操作方法、异常判定装置及方法、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant