CN111988342A

CN111988342A - 一种在线式汽车can网络异常检测系统

Info

Publication number: CN111988342A
Application number: CN202010988464.3A
Authority: CN
Inventors: 刘蓬勃; 彭海德; 赵剑
Original assignee: Dalian University of Technology
Current assignee: Dalian University of Technology
Priority date: 2020-09-18
Filing date: 2020-09-18
Publication date: 2020-11-24

Abstract

本发明公开了一种在线式汽车CAN网络异常检测系统，属于网联车信息安全及入侵检测技术领域，该系统包括：根据地区特点、用户特点、车辆产品特点以及全网安全攻击变化特点，对CAN网络异常检测模型进行训练，得到训练好的CAN网络异常检测模型的云端服务器；云端服务器将训练好的CAN网络异常检测模型传送给不同的车载终端进行汽车的CAN网络异常检测，同时所述车载终端将汽车实时运行数据传送给所述云端服务器对CAN网络异常检测模型进行更新，可实时升级且具有较好的扩展性；单机训练模型库时，一旦训练完成装车后则定型，无法进行升级和扩展；该系统在网联车信息安全及入侵检测技术领域中有着较广阔的应用前景和价值。

Description

一种在线式汽车CAN网络异常检测系统

技术领域

本发明涉及网联车信息安全及入侵检测技术领域，尤其涉及一种在线式汽车CAN网络异常检测系统。

背景技术

随着汽车四化(电动化、智能化、网联化、共享化)的发展，作为载运工具的汽车已不再是一个孤立的系统，它慢慢发展成一个复杂的移动网络终端。汽车内部各控制单元的通信绝大多数通过CAN总线，随着智能网联汽车的深入研究，汽车自身控制单元以及与外界通讯端口、外连设备的数量不断增加，汽车通信网络复杂度越来越高。随着汽车数量日益增多，信息共享化程度越来越高，但是汽车信息安全问题日益凸显。

目前，CAN总线信息安全检测技术主要有以下几种：身份认证、数据加密、入侵检测。前两种主要是采用加密技术以及认证方法对CAN网络数据进行保护，并与外界进行隔离，避免不符合协议的信息进入。而入侵监测通过选取相应算法，根据数据特征，对实时数据进行检测。相关技术如下：

申请公布号CN106143364A公开了一种电动汽车分布式控制器信息安全方法。该方法在各控制单元内部增加一个嵌入式MCU和CAN收发器，嵌入式MCU内置加解密算法，保证有效CAN信息不被窃取并且防止恶意指令的攻击，起到隔离保护的作用。

申请公布号CN108040082A公开了一种连接设备和数据传输方法。该发明提供了一种连接设备将车载终端和汽车CAN网络进行物理隔离，避免了车联网终端直接读取CAN总线消息带来的信息安全问题，同时对CAN总线数据进行隔离保护。连接设备包括离线下载模块、汽车CAN总线读取模块、可编程逻辑模块和开放CAN协议模块。

申请公布号CN105279421A公开了一种基于车联网接入OBDⅡ的信息安全检测方法，该方法步骤：建立OBDⅡ指令白名单；CAN报文过滤解析(从外向内)；根据白名单及发送频率判断是否为恶意指令；做出相应的报警以及处理。该过滤装置有指令判断模块、指令控制模块、指令白名单、通信模块、MCU和电源。

申请公布号CN106878130A公开了一种电动汽车CAN网络异常检测方法。该方法步骤为：采用接收发送报文ID的方式判断是否有外设备发送虚拟报文；断开数据终端电源判断是否是数据终端受到入侵。该发明设计了一套检测装置，在每条CAN网络分布有检测模块。

申请公布号CN110149345A公开了一种基于报文序列预测的车载网络入侵检测方法。该方法的步骤：通过T-box车载终端采集汽车CAN总线数据获得标准数据集；根据三种攻击途径构成的运行场景分析车辆是否存在安全威胁；根据正常报文数据集和异常报文特征库进行学习构成评估检测器；将输入的报文通过评估检测器进行检测评估。

申请公布号CN110149258A公开了一种基于孤立森林的汽车CAN总线网络数据异常检测方法。该方法首先基于训练集的字样本来建立孤立树和孤立森林；然后根据孤立森林计算待测数据的异常分数，判断是否异常。

申请公布号CN109067773A公开了一种基于神经网络的车载CAN网络入侵检测方法及系统。他以各种CAN网络数据包的发送频率最为BP神经网络的输入，使用主成分分析法PCA对数据进行降为，检测各种CAN数据包的发送频率；以发动机转速、进气量等具有相关性数据的正确性作为BP神经网络的输入，实时检测他们的正确性，只要有一个异常，便判定为异常。

结合汽车行驶以及车载网络具体情况，上述技术存在若干缺点：加密技术会增加CAN帧的信息组成，会对CAN通信协议改动，不利于实际的实施；数据的加解密过程以及身份认证过程，会增加ECU计算负担，会影响通信的实时性，同样也会造成某个消息占用CAN网络时间过长；入侵检测系统，模型训练所需计算量较大，车载ECU的计算能力不足以支撑。模型训练需要大量的样本支持，单机训练需要大量的时间，训练效率低下。单机训练模型库时，一旦训练完成装车后则定型，无法进行升级和扩展。

发明内容

根据现有技术存在的问题，本发明公开了一种在线式汽车CAN网络异常检测系统，包括：

根据地区特点、用户特点、车辆产品特点以及全网安全攻击变化特点，对CAN网络异常检测模型进行训练，得到训练好的CAN网络异常检测模型的云端服务器；

所述云端服务器将训练好的CAN网络异常检测模型传送给不同的车载终端进行汽车的CAN网络异常检测，同时所述车载终端将汽车实时运行数据传送给所述云端服务器对CAN网络异常检测模型进行更新。

进一步地，所述车载终端包括对训练好的CAN网络异常检测模型进行传送的远程数据交互模块；

接收所述远程数据交互模块传送的训练好的CAN网络异常检测模型并进行保存的检测模型存储模块；

与车辆的CAN总线相连并解析CAN总线报文的CAN协议分析模块；

接收所述CAN协议分析模块传送的CAN总线报文信号和一并接收所述检测模型存储模块传送的CAN网络异常检测模型，并根据CAN网络异常检测模型检测CAN网络是否存在异常或遭受的攻击，当存在CAN网络存在异常或遭受的攻击传送报警信号的中央处理器模块；

为远程数据交互模块、CAN协议分析模块、检测模型存储模块、中央处理器模块提供电源的电源模块。

进一步地，该系统还包括接收所述中央处理器模块传送的报警信号，发出警报的报警模块。

由于采用了上述技术方案，本发明提供的一种在线式汽车CAN网络异常检测系统，车载终端将CAN总线报文上传至云端服务器，云端服务器对Can网络异常检测模型进行训练，并将训练好的CAN网络异常检测模型在车载终端里进行更新，此方式具有以下优点：1)安全攻击识别类型多、准确率高；云端服务器具有强大的计算能力，并可以获得多个终端的大数据样本，可实DoS、篡改、丢弃、重放、泛洪、窃取等安全攻击模型样本库的准确建立，整个系统具有安全攻击识别类型多、准确率高的优点；

2)对不同车型和地区的适用性强、样本库训练时间短、节省车载终端的计算资源CAN网络异常检测模型的训练需要大量的样本和强大的计算资源支持，云端服务器可同时接收多个地区、不同型号车辆的车载终端的大数据样本，并根据地区和车型特点进行针对性的安全攻击样本库的训练，整个系统具有对不同车型和地区的适用性强、模型训练时间短、节省车载终端的计算资源的优点。

3)可实时升级且具有较好的扩展性；单机训练模型库时，一旦训练完成装车后则定型，无法进行升级和扩展。而该系统通过联合车载终端与云端服务器，可结合全网络的安全攻击变化特点和趋势，有针对性的实时更新车载终端的检测模型，整个系统具有较好的扩展性和维护性；基于上述理由，本发明在网联车信息安全及入侵检测技术领域中有着较广阔的应用前景和价值。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的在线式汽车CAN网络异常检测系统示意图；

图2为本发明提供的车载终端与汽车CAN总线连接示意图；

图3为本发明提供的在线式汽车CAN总线车载终端电路原理图；

图4为本发明的CAN协议分析模块电路图；

图5为本发明的中央处理器模块的电路图；

图6为本发明的远程数据交互模块的电路图；

图7为本发明的检测模型存储模块电路图；

图8为本发明的报警模块的电路图；

图9为本发明的电源模块的电路图；

图10为本发明提供的在线式汽车CAN总线异常检测处理流程示意图。

图中：1、CAN协议分析模块，2、中央处理器模块，3、远程数据交互模块，4、检测模型存储模块，5、报警模块；6、电源模块；7、云端服务器，10、车载终端。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

图1为该系统的整体框架，该系统云端服务器7和车载终端10；

所述云端服务器7根据地区特点、用户特点、车辆产品特点以及全网安全攻击变化特点，对CAN网络异常检测模型进行训练；

所述车载终端10将训练好的CAN网络异常检测模型传送给许多不同的车载终端10进行汽车的CAN网络异常检测，同时所述车载终端10将汽车实时运行数据传送给所述云端服务器7对CAN网络异常检测模型进行更新。

所述车载终端10包括：CAN协议分析模块1、中央处理器模块2、远程数据交互模块3、样本库存储模块4、预警模块5和电源模块6；

所述远程数据交互模块3接收所述云端服务器7传送的训练好的CAN网络异常检测模型并向所述云端服务器7发送样本数据；

所述检测模型存储模块4接收所述远程数据交互模块3传送训练好的CAN网络异常检测模型并进行保存；

所述CAN协议分析模块1与车辆的CAN总线相连并解析CAN总线报文；

所述中央处理器模块2接收所述CAN协议分析模块1传送的CAN总线报文信号和接收所述检测模型存储模块4传送的CAN网络异常检测模型，并根据CAN网络异常检测模型检测CAN网络是否存在异常或遭受的攻击；

所述电源模块6为远程数据交互模块车3、CAN协议分析模块1、检测模型存储模块4、中央处理器模块2和报警模块5提供电源。

所述报警模块5接收所述中央处理器模块2传送的报警信号，发出警报。

图2为本发明提供的车载终端与汽车CAN总线连接示意图，图2中显示了两种连接方案。该图2中的车载终端可以嵌入到汽车CAN总线网络中，总线的数据流经过CAN协议分析模块1，经过数据解析，了解信息，并提取出重要数据，流入中央处理器模块2实时检测；本方案还提供一种连接方式，该CAN协议分析模块1也可以通过OBD接口，与CAN总线连接，进而获取CAN总线数据流，来完成异常检测。

车载终端10的电路原理图如图3所示，CAN总线协议分析模块1由TJA1050T构成，其中TJA1050T负责CAN总线的通讯电平转换与数据收发,具体协议包括：ISO14230-4地址模式、ISO14230-4快速模式、ISO9141-2、ISO15765-4标准11bit500K、ISO15765-4扩展29bit500K、ISO15765-4标准11bit 250K、ISO15765-4扩展29bit 250K。

图4为本发明的CAN协议分析模块电路图；所述CAN协议分析模块1采用的芯片型号是TAJ1050，所述芯片TJA1050T的RS引脚与二级管D7的阳极、二极管D8的阳极及电容C3的一端和电容C4的一端相连接，所述芯片TJA1050T的CANH引脚与电容C3的另一端和电容C4的另一端相连接，所述芯片TJA1050T的CANL引脚的与二级管D7的阴极、二极管D8的阴极相连接。

图5为本发明的中央处理器模块的电路图；所述中央处理器模2块由STM32F103CBT6芯片组成，所述STM32F103CBT6的NRST引脚通过电容C18与地相连接，所述STM32F103CBT6的PB10引脚、PB11引脚分别电阻R1、R22相连接，所述STM32F103CBT6的VSS_1引脚、VSS_2引脚和VSS_3引脚与地相连接

图6为本发明的远程数据交互模块的电路图，所述远程数据交互模块3采用中兴通讯的ZM9000模组，此模组具备NSA/SA双模5G技术，并可以兼容5G/4G/3G/2G和移动/联通/电信通讯技术。ZM9000模组与主处理器STM32F103之间采用串口通讯接口连接。

图7为本发明的检测模型存储模块电路图；所述检测模型存储模块4由W25N512芯片构成，其工作原理为FLASH型闪存芯片，存储容量可扩展至512M。W25N512与主处理器STM32F7之间采用SPI通讯接口连接，所述W25N512芯片V_BCKP引脚与电容C9的一端、电容C11的一端、电容C13的一端相连接；所述电容C9的另一端、电容C11的另一端和电容C13的另一端均与地相连接。

图8为本发明的报警模块的电路图；所述报警模块5采用ESP32-U4WDH芯片，所述ESP32-U4WDH的1Y引脚通过电阻R4一端相连接，所述ESP32-U4WDH的2Y引脚通过电阻R3一端相连接，此ESP32-U4WDH芯片内部集成了蓝牙通讯部分和WIFI通讯部分，并支持双天线和双频通讯模式。ESP32-U4WDH与主处理器STM32F103CBT6之间采用SPI通讯接口连接。

图9为本发明的电源模块的电路图，所述电源模块6采用12V转5V的电源模组，其输入端为车载12V供电，输出为5V，为整个车载终端提供电力供应,所述电源模块6采用的芯片型号是TPS5430，所述TPS5430的VIN引脚与所述电容C6的一端、二极管D1的引脚和电阻R27的一端相连接，所述TPS5430的BOOT引脚与电容C5的一端和二极管D3的阳极相连接。

图10为本发明提供的在线式汽车CAN总线异常检测处理流程示意图,中央处理器模块2根据实时的待测CAN总线数据与CAN网络异常检测模型，来进行安全检测，检测到异常之后，进而触发报警，汽车实时的动态数据也会传到云端服务器来完善样本库，使样本库更加符合用户的驾车习惯，做到用户个性化样本库建立，防止误检和漏检；更新的CAN网络异常检测模型也会传给车载终端10，存到检测模型存储模块，以备使用。

云端服务器7训练CAN网络异常检测模型以基于信息熵原理，即当有异常或者入侵，熵值会变化：当有重放攻击时，CAN总线系统信息熵增加；重放开始时，该消息相对距离得到正值的变化；重放结束时，该消息相对距离得到负值的变化。在CAN网络异常检测模型构建过程中，根据采集原始数据即CAN网络异常检测模型训练模型采用的样本数据，预处理后，确定出正常情况下的熵值、检测异常的阈值以及监测采样的周期，完成CAN网络异常检测模型的建立，该模型数据传输频率异常，比如重放和泛洪攻击；

云端服务器7的CAN网络异常检测模型方案也可以为基于决策树原理，即模型的构建以数据纯度构造一棵数据纯度上升最快的树，其包括三个阶段：决策树模型属性选择、决策树模型生成和决策树模型剪枝；随机树的生成采用二叉方法或者随机超平面方法。然后根据孤立树构造异常分数进行异常判断，随机森林即不同ID棵孤立决策树构成的树群，该模型可以检测报文数据异常，比如CAN帧篡改，消息非法注入等攻击。

云端服务器7的CAN网络异常检测模型方案也可以为基神经网络原理，即通过构造神经网络模型用来检测事件异常与否、是否发生故障，或者预测事物发展；该方法可以通过两个方面进行联合检测：将CAN网络的数据包发送频率作为一个BP神经网络的输入来训练模型，该CAN网络异常检测模型可以检测拒绝服务攻击、重放和注入攻击；将具有关联性的数据(比如发动机转速、进气量、车速等)作为另一个BP神经网络的输入来训练模型，如果有某一个数据出现异常，与其他的关联性发生差错，则判断为异常，该模型可以检测篡改攻击、中间人攻击。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

1.一种在线式汽车CAN网络异常检测系统，其特征在于：包括：

根据地区特点、用户特点、车辆产品特点以及全网安全攻击变化特点，对CAN网络异常检测模型进行训练，得到训练好的CAN网络异常检测模型的云端服务器(7)；

所述云端服务器(7)将训练好的CAN网络异常检测模型传送给不同的车载终端(10)进行汽车的CAN网络异常检测，同时所述车载终端(10)将汽车实时运行数据传送给所述云端服务器(7)对CAN网络异常检测模型进行更新。

2.根据权利要求1所述的一种在线式汽车CAN网络异常检测系统，其特征在于：所述车载终端(10)包括对训练好的CAN网络异常检测模型进行传送的远程数据交互模块(3)；

接收所述远程数据交互模块(3)传送的训练好的CAN网络异常检测模型并进行保存的检测模型存储模块(4)；

与车辆的CAN总线相连并解析CAN总线报文的CAN协议分析模块(1)；

接收所述CAN协议分析模块(1)传送的CAN总线报文信号和一并接收所述检测模型存储模块(4)传送的CAN网络异常检测模型，并根据CAN网络异常检测模型检测CAN网络是否存在异常或遭受的攻击，当存在CAN网络存在异常的中央处理器模块(2)；

为远程数据交互模块(3)、CAN协议分析模块(1)、检测模型存储模块(4)、中央处理器模块(2)提供电源的电源模块(6)。

3.根据权利要求1所述的一种在线式汽车CAN网络异常检测系统，其特征在于：该系统还包括接收所述中央处理器模块(2)传送的报警信号，发出警报的报警模块(5)。