CN112671701B - 基于车载网络异常行为特征驱动的车载终端入侵检测方法 - Google Patents
基于车载网络异常行为特征驱动的车载终端入侵检测方法 Download PDFInfo
- Publication number
- CN112671701B CN112671701B CN202011206691.2A CN202011206691A CN112671701B CN 112671701 B CN112671701 B CN 112671701B CN 202011206691 A CN202011206691 A CN 202011206691A CN 112671701 B CN112671701 B CN 112671701B
- Authority
- CN
- China
- Prior art keywords
- vehicle
- mounted network
- data
- abnormal
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于车载网络异常行为特征驱动的车载端入侵检测方法,本发明基于不同攻击方式和攻击实例的车载网络信息安全威胁分析并搭建车载网络攻击实验平台,通过构建攻击和异常特征模型,分析异常特征变化规律,采集不同攻击形式下的数据,构建车载网络异常行为特征库。通过采用车载网络异常行为轻量级检测、虚假数据注入异常行为检测以及语义篡改异常行为检测等方法对不同攻击类型下的车载网络异常数据进行系统检测,同时根据数据检测结果更新数据库。为提高入侵检测效率和检测精度提供了系统全面的方法。
Description
技术领域
本发明涉及汽车信息安全技术领域,适用于车载入侵检测防御系统研究,具体涉及到一种基于车载网络异常行为特征驱动的车载终端入侵检测方法。
背景技术
网联化的快速发展增强了车辆与外界的信息交互,黑客能够通过信息篡改和病毒入侵远程攻击车辆,车辆的脆弱性给用户造成的信息安全隐患不断增加。因此,现代汽车在日益复杂的网络环境下,信息安全保障成为汽车新技术应用的前提。当前,现有的汽车信息安全防护方法存在许多安全漏洞和性能问题,有必要从车辆安全漏洞、安全网关、安全服务等方面构建安全防护体系,以满足汽车低计算资源、高速移动应用的功能需求。
漏洞扫描、认证、权限控制、安全审计、恶意代码防范等安全防护技术主要是通过规则和配置被动地记录和预防攻击,但是无法识别全面的入侵行为和预测未知的攻击。为最大限度地减少攻击者造成的损失,主动防御技术和主动防护系统成为研究的热点。其中,入侵检测是一种备受关注的技术,对于车载终端信息安全的重要性日益突出。当前汽车信息安全在攻击链路多元化、应用场景复杂化、安全问题多样化、接入设备异质化的情况下,车载网络异常行为检测作为车载IDS技术实现的关键,已经成为汽车信息安全防护的重要方法。
但是,当前车载网络异常行为检测在检测范围、检测性能和检测机制等方面仍然没有系统性的解决方案,还不能应对复杂多变的车载网络信息安全威胁,车载数据安全不能得到有效保证。存在安全隐患的攻击类型大多数会通过入侵车载网络实现对车辆的控制,而车载网络数据存在一定的特征和变化规律,通过数据统计和分析可以将这些特征提取出来,这些特征可以用来描述不同攻击类型产生的数据差异,从而反映出车载网络异常行为变化。通过分析不同攻击类型对车载网络造成的影响开展车载终端入侵检测,能够实现目标攻击类型的高效率检测。
发明内容
针对现有技术存在的不足,本发明的目的在于提供一种基于车载网络异常行为特征驱动的车载终端入侵检测方法。本发明的技术实现方案是:首先根据不同攻击模式下的车载网络异常数据变化搭建网络攻击实验平台并建立特征自学习的异常行为特征库,然后对于简单易学习的特征通过低复杂度学习算法进行低计算开销的轻量级检测,最后通过虚假数据注入异常行为和语义篡改异常行为的方法对入侵车载终端网络攻击进行深度检测,实现对车载网络异常行为的精准识别与检测。
为实现上述目的,本发明提供了如下技术方案:一种基于车载网络异常行为特征驱动的车载终端入侵检测方法,包括如下步骤:
步骤1,基于汽车信息安全脆弱性和安全攻击实例进行车载网络信息安全威胁分析,根据不同的攻击类型和途径,借助不同的攻击测试工具和手段,搭建实现多种攻击模式的车载网络攻击实验平台,系统全面地收集和获取车载网络异常数据,在此基础上对不同攻击形式下的车载网络异常数据进行分析,建立具有特征自学习能力的车载网络异常行为特征库,为车载网络异常行为检测提供异常数据集和特征库;
步骤2,通过统计学算法对简单易学习的特征进行低计算开销的轻量级检测,基于构建的车载网络异常行为特征库,针对不同攻击模式下的异常数据,分别开展基于统计特征的轻量级异常行为检测和基于语义特征的轻量级异常行为检测;步骤3,采用两种异常行为检测方法对轻量级检测后仍未能检测或需要精确检测的数据进行二次检测,完成入侵检测。
作为本发明的进一步改进,所述步骤2中针对不同攻击类型包括伪造、重放、洪泛和阻断构建异常数据集,通过信息熵、ECU时钟漂移率、报文ID序列和报文量四种车载网络统计特征异常行为进行异常行为检测,并对于车载网络语义特征在不同攻击模式产生的不同异常行为,采用轻量级半监督学习算法,实现多攻击模式和多车型下的语义特征异常行为大范围快速检测。
作为本发明的进一步改进,所述步骤3中两种异常行为检测分别为对有标签的车载网络异常数据对存在报文量变化的待检测数据进行虚假数据注入异常行为检测和无标签的车载网络历史数据对待检测数据中报文量没有发生变化的数据进行语义篡改异常行为检测。
作为本发明的进一步改进,所述步骤3中基于有标签的车载网络异常数据对存在报文量变化的待检测数据进行虚假数据注入异常行为检测,是通过卷积神经网络分类算法进行车载网络异常行为检测,构建虚假数据注入异常数据集,检测异常行为的同时更新车载网络异常行为特征数据库。
作为本发明的进一步改进,所述步骤3中基于无标签的车载网络历史数据对待检测数据中报文量没有发生变化的数据进行语义篡改异常行为检测,对无标签的车载网络历史数据待检测数据中报文量没有发生变化的数据通过LSTM回归算法进行车载网络异常行为检测,构建基于语义篡改的车载网络异常数据集,同时更新车载网络异常行为特征数据库。
本发明的有益效果
(1)本发明提出了一种基于多攻击模式下的车载网络异常行为特征库构建方法,从车载网络信息安全威胁源及其造成的影响特征角度分析,通过对不同攻击方式下的车载网络异常变化特征进行分析和威胁辨识,建立一种能够覆盖所有可通过攻击方式产生车载网络异常变化的攻击行为及其数据源特征库。
(2)本发明提出了一种基于复杂异常行为特征的车载网络高精度入侵检测方法,在充分考虑不同攻击方式下车载网络的异常变化情况,通过分析车载网络异常变化特征及不同攻击方式产生威胁的对应关系,对面向不同攻击方式产生车载网络复杂异常行为进行适配的高精度检测方法及检测逻辑,实现对复杂攻击模式下的车载网络高精度入侵检测。
(3)本发明提出了一种面向多攻击模式和多车型下的车载网络异常行为轻量级检测系统,通过对典型攻击方式下车载网络统计特征进行分析,实现对简单易学习的车载网络异常特征的轻量级检测,对于车载网络语义特征模式下异常行为,采用半监督轻量级算法实现对多攻击模式和多车型下的语义特征异常行为大范围快速检测。
(4)本发明提出了一种基于车载网络复杂难辨识特征的高精度入侵检测方法,通过对有标签的车载网络异常数据采用CNN分类算法进行虚假数据注入检测,对无标签的车载网络历史数据采用LSTM回归算法对语义篡改行为进行检测,实现对复杂且难辨识的车载网络异常数据的高精度检测。
(5)本发明提出了一种基于车载网络异常行为特征驱动的车载终端入侵检测方法,根据不同攻击类型、异常行为特征模型及对应的异常行为变化规则构建异常行为特征库,根据不同检测器的检测结果对特征库进行动态更新,不断更新优化车载网络异常行为数据库。
附图说明
图1为本发明一种基于多攻击模式下的车载网络异常行为特征库构建流程图;
图2为本发明一种基于车载网络异常行为特征库的轻量级入侵检测流程图;
图3为本发明一种基于车载网络异常行为特征库的复杂行为入侵检测流程图;
图4为本发明一种基于车载网络异常行为特征库的多类别攻击高精度入侵检测流程图。
具体实施方式
下面将结合附图所给出的实施例对本发明做进一步的详述。
参照图1至4所示,本实施例的基于车载网络异常行为特征驱动的车载终端入侵检测系统。首先通过对车载网络进行信息安全脆弱性分析,结合现有典型的汽车信息安全攻击实例,根据不同的攻击类型下构建攻击模型和异常特征模型,分析异常特征变化规律,采集车载网络异常数据,同时搭建车载网络攻击实验平台,通过对车载网络异常数据进行分析,建立车载网络异常行为特征库,通过多攻击模式异常行为轻量级检测以及基于虚假数据注入和语义篡改的异常行为检测全面的对车载网络异常行为进行检测。同时对未知异常行为数据进行更新,增大车载网络威胁感知范围。
在进行本发明专利时,具体的实施步骤如下:
1)针对车载网络数据传输过程的安全问题,根据网络安全的5大属性机密性、完整性、可用性、可认证性和可审计性,针对车载网络协议特性进行脆弱性分析,主要包括车载网络在广播机制、仲裁机制、校验机制等方面的安全属性分析。根据车载网络脆弱性分析结合安全攻击实例的主要攻击途径,从攻击者、攻击动机、攻击时间、攻击方式和攻击目标等构成的攻击模型,对窃听、欺骗、阻断、篡改、洪泛、重放等6类不同的攻击方式进行车载网络信息安全威胁分析。在此基础上,借助不同的攻击测试工具和手段搭建不同形式的攻击实验平台,并对多种车型实车数据进行分析。根据车载网络数据存在的特征和变化规律通过数据统计和分析的方法进行异常行为特征提取,提取的特征主要包括数据表征特征、数据物理特征以及数据字段特征。根据提取的车载网络异常行为特征模型和变化规律,分析不同攻击类型下车载网络异常行为特征的变化,通过车载网络攻击实验平台,对不同车型构建不同攻击类型下的车载网络异常行为特征库,为车载网络异常数据检测提供数据集和特征库。
2)基于车载网络攻击实验平台构建出多种攻击模式下的车载网络异常数据库,针对不同攻击模式下的异常数据开展基于统计特征和语义特征的轻量级异常行为检测。其中通过分析采集的实车总线数据针对信息熵、ECU时钟漂移率、报文ID序列和报文量四种异常检测算法在四种攻击类型情况下包括伪造、重放、洪泛和阻断构建异常数据集进行异常检测,并对几种攻击类型下四种检测算法的性能进行分析对比,从而根据不同攻击类型选择适用的车载网络统计特征异常行为进行检测。另外通过对实车数据报文字段内容和变化规律分析,需要重点对重放攻击、虚假数据注入攻击和篡改攻击进行面向语义特征的异常行为检测。为实现多攻击模式和多车型下的语义特征异常行为大范围快速检测,本发明通过学习大量无标签数据和少量有标签数据,从已标记节点的标签信息预测未标记节点的标签信息,对攻击实验平台生成不同攻击模式下的异常数据进行半监督学习检测。
3)为确定在车载网络不同攻击模式下的异常行为轻量级检测中未能检测或需要通过特征深度挖掘进行二次检测的数据,本发明采用虚假数据注入和语义篡改两种方法进行深度检测。其中基于有标签的车载网络异常数据对存在报文量变化的待检测数据采用虚假数据注入的异常行为检测,通过车载网络异常数据变化分析,构建虚假数据注入异常数据集。分别针对检测过程中导致的高误报率的复杂难辨识行为以及导致高漏报率的简单易辨识行为进行不同的车载网络异常行为检测,通过分析实际报文变化规则构建异常数据集,对车载网络简单易误报异常行为进行检测,为不同检测器增加检测范围和检测精度提供保障。4)上面介绍了对于部分在轻量级检测中未能检测或者需要深度检测的数据中对于报文量存在变化的待检测数据提出的检测方法,对于特征库中存储的车载网络无标签历史数据对待检测数据中报文量没有发生变化的数据,本发明采用基于语义篡改异常行为检测方法。基于对网络通信特性及数据自身特征的考虑,提出基于LSTM回归算法的车载网络异常行为检测,通过车载网络历史数据的时序特征进行回归算法的深度学习和异常检测,提高学习特征序列中的长程依赖性和时序性。通过对车载网络数据监听和分析,根据网络通信协议特点,构建出与正常数据较为相似的异常数据集以及基于LSTM回归算法构建车载网络异常行为检测模型,根据阈值标准对车载网络中的存在异常数据进行检测分类。
以上几步详细介绍了本发明专利的具体实施步骤,通过汽车信息安全脆弱性分析及典型攻击案例的车载网络安全威胁分析,确定影响车载网络信息安全威胁的主要因素,借助不同的攻击测试工具和手段,搭建攻击实验平台,根据不同攻击类型、异常行为特征模型及对应的异常行为变化规则构建异常行为特征库。并通过低复杂度轻量级学习算法对简单易学习的特征进行多攻击模式异常行为轻量级检测,通过车载网络下虚假数据注入异常行为检测和语义篡改异常行为检测对入侵车载终端网络攻击进行深度检测,根据不同检测器的检测结果对特征库进行动态更新,为车载网络异常行为检测的效率和精确度提供全面系统的入侵检测方法。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (3)
1.一种基于车载网络异常行为特征驱动的车载终端入侵检测方法,其特征在于:包括如下步骤:
步骤1,基于汽车信息安全脆弱性和安全攻击实例进行车载网络信息安全威胁分析,根据多种的攻击类型和途径,借助多种的攻击测试工具和手段,搭建实现多种攻击模式的车载网络攻击实验平台,系统全面地收集和获取车载网络异常数据,在此基础上对多种攻击形式下的车载网络异常数据进行分析,建立具有特征自学习能力的车载网络异常行为特征库,为车载网络异常行为检测提供异常数据集和特征库;
步骤2,通过统计学算法对简单易学习的特征进行低计算开销的轻量级检测,基于构建的车载网络异常行为特征库,针对多种攻击模式下的异常数据,分别开展基于统计特征的轻量级异常行为检测和基于语义特征的轻量级异常行为检测;
步骤3,采用异常行为检测方法对轻量级检测后仍未能检测或需要精确检测的数据进行二次检测,完成入侵检测;所述步骤2中针对的多种的攻击类型包括伪造、重放、洪泛和阻断构建异常数据集,通过信息熵、ECU时钟漂移率、报文ID序列和报文量四种车载网络统计特征异常行为进行异常行为检测,并对于车载网络语义特征在多种攻击模式产生的多种异常行为,采用轻量级半监督学习算法,实现多攻击模式和多车型下的语义特征异常行为大范围快速检测;所述步骤3中异常行为检测分别为对有标签的车载网络异常数据对存在报文量变化的待检测数据进行虚假数据注入异常行为检测和无标签的车载网络历史数据对待检测数据中报文量没有发生变化的数据进行语义篡改异常行为检测。
2.根据权利要求1所述的基于车载网络异常行为特征驱动的车载终端入侵检测方法,其特征在于:所述步骤3中基于有标签的车载网络异常数据对存在报文量变化的待检测数据进行虚假数据注入异常行为检测,是通过卷积神经网络分类算法进行车载网络异常行为检测,构建虚假数据注入异常数据集,检测异常行为的同时更新车载网络异常行为特征数据库。
3.根据权利要求2所述的基于车载网络异常行为特征驱动的车载终端入侵检测方法,其特征在于:所述步骤3中基于无标签的车载网络历史数据对待检测数据中报文量没有发生变化的数据进行语义篡改异常行为检测,对无标签的车载网络历史数据待检测数据中报文量没有发生变化的数据通过LSTM回归算法进行车载网络异常行为检测,构建基于语义篡改的车载网络异常数据集,同时更新车载网络异常行为特征数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011206691.2A CN112671701B (zh) | 2020-11-03 | 2020-11-03 | 基于车载网络异常行为特征驱动的车载终端入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011206691.2A CN112671701B (zh) | 2020-11-03 | 2020-11-03 | 基于车载网络异常行为特征驱动的车载终端入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671701A CN112671701A (zh) | 2021-04-16 |
| CN112671701B true CN112671701B (zh) | 2022-07-05 |
Family
ID=75402829
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011206691.2A Active CN112671701B (zh) | 2020-11-03 | 2020-11-03 | 基于车载网络异常行为特征驱动的车载终端入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671701B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113255750B (zh) * | 2021-05-17 | 2022-11-08 | 安徽大学 | 一种基于深度学习的vcc车辆攻击检测方法 |
| CN115102891A (zh) * | 2022-05-18 | 2022-09-23 | 中国第一汽车股份有限公司 | 一种车辆网络入侵检测测试方法和测试系统 |
| CN116112193B (zh) * | 2022-10-18 | 2023-07-28 | 贵州师范大学 | 一种基于深度学习的轻量级车载网络入侵检测方法 |
| CN116488938B (zh) * | 2023-06-12 | 2024-01-30 | 湖南三湘银行股份有限公司 | 一种基于大数据行为分析的数据检测方法及系统 |
| CN116756578B (zh) * | 2023-08-21 | 2023-11-03 | 武汉理工大学 | 车辆信息安全威胁聚合分析预警方法及系统 |
| CN116774678B (zh) * | 2023-08-24 | 2023-10-13 | 北京航空航天大学 | 一种基于迁移学习的列车控制系统入侵检测方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019129528A (ja) * | 2018-01-22 | 2019-08-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | データ解析装置及びプログラム |
| CN110149345A (zh) * | 2019-06-11 | 2019-08-20 | 北京航空航天大学 | 一种基于报文序列预测的车载网络入侵检测方法 |
| CN111770069A (zh) * | 2020-06-17 | 2020-10-13 | 北京航空航天大学 | 一种基于入侵攻击的车载网络仿真数据集生成方法 |
| CN111835695A (zh) * | 2019-04-23 | 2020-10-27 | 华东师范大学 | 一种基于深度学习的车载can总线入侵检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6229981B2 (ja) * | 2014-12-26 | 2017-11-15 | パナソニックIpマネジメント株式会社 | 車両感知器異常検知装置、交通状況分析装置、車両感知器異常検知システム、交通状況分析システムおよびプログラム |
-
2020
- 2020-11-03 CN CN202011206691.2A patent/CN112671701B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019129528A (ja) * | 2018-01-22 | 2019-08-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | データ解析装置及びプログラム |
| CN111835695A (zh) * | 2019-04-23 | 2020-10-27 | 华东师范大学 | 一种基于深度学习的车载can总线入侵检测方法 |
| CN110149345A (zh) * | 2019-06-11 | 2019-08-20 | 北京航空航天大学 | 一种基于报文序列预测的车载网络入侵检测方法 |
| CN111770069A (zh) * | 2020-06-17 | 2020-10-13 | 北京航空航天大学 | 一种基于入侵攻击的车载网络仿真数据集生成方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于多种检测技术融合的入侵检测系统;郑生军等;《计算机与现代化》;20160525(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671701A (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112671701B (zh) | 基于车载网络异常行为特征驱动的车载终端入侵检测方法 | |
| CN110149345B (zh) | 一种基于报文序列预测的车载网络入侵检测方法 | |
| Javed et al. | CANintelliIDS: Detecting in-vehicle intrusion attacks on a controller area network using CNN and attention-based GRU | |
| Al-Jarrah et al. | Intrusion detection systems for intra-vehicle networks: A review | |
| Qin et al. | Application of controller area network (CAN) bus anomaly detection based on time series prediction | |
| CN108390869B (zh) | 集成深度学习的车载智能网关装置及其命令序列检测方法 | |
| CN111770069B (zh) | 一种基于入侵攻击的车载网络仿真数据集生成方法 | |
| CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| CN111641634B (zh) | 一种基于蜜网的工业控制网络主动防御系统及其方法 | |
| Tyree et al. | Exploiting the shape of CAN data for in-vehicle intrusion detection | |
| CN110719250B (zh) | 基于PSO-SVDD的Powerlink工控协议异常检测方法 | |
| CN113904795B (zh) | 一种基于网络安全探针的流量快速精确检测方法 | |
| Banafshehvaragh et al. | Intrusion, anomaly, and attack detection in smart vehicles | |
| Shang et al. | Discovering unknown advanced persistent threat using shared features mined by neural networks | |
| Park et al. | G-idcs: Graph-based intrusion detection and classification system for can protocol | |
| Sun et al. | Analysis of ID sequences similarity using DTW in intrusion detection for CAN bus | |
| Swessi et al. | A comparative review of security threats datasets for vehicular networks | |
| CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
| Fenzl et al. | In-vehicle detection of targeted CAN bus attacks | |
| CN118138361A (zh) | 一种基于可自主进化智能体的安全策略制定方法和系统 | |
| Hou et al. | An ontology-based dynamic attack graph generation approach for the internet of vehicles | |
| Wei et al. | IoVShield: an efficient vehicular intrusion detection system for self-driving (short paper) | |
| KR102538540B1 (ko) | 전자 장치의 사이버 공격 탐지 방법 | |
| CN113709097B (zh) | 网络风险感知方法及防御方法 | |
| Qiu et al. | Research on vehicle network intrusion detection technology based on dynamic data set |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |