CN113162902B - 一种基于深度学习的低时延、安全的车载入侵检测方法 - Google Patents

一种基于深度学习的低时延、安全的车载入侵检测方法 Download PDF

Info

Publication number
CN113162902B
CN113162902B CN202110143987.2A CN202110143987A CN113162902B CN 113162902 B CN113162902 B CN 113162902B CN 202110143987 A CN202110143987 A CN 202110143987A CN 113162902 B CN113162902 B CN 113162902B
Authority
CN
China
Prior art keywords
features
vehicle
encoder
deep learning
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110143987.2A
Other languages
English (en)
Other versions
CN113162902A (zh
Inventor
程彭洲
韩牟
马世典
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu University
Original Assignee
Jiangsu University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu University filed Critical Jiangsu University
Priority to CN202110143987.2A priority Critical patent/CN113162902B/zh
Publication of CN113162902A publication Critical patent/CN113162902A/zh
Application granted granted Critical
Publication of CN113162902B publication Critical patent/CN113162902B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/40Extraction of image or video features
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Multimedia (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Traffic Control Systems (AREA)

Abstract

本发明提供一种基于深度学习的低时延、安全的车载入侵检测方法。该方法主要包括编码器、处理器、和解码器。该方法首先是对CAN流量的仲裁位以独热向量编码为2‑D图像;编码器通过生成式对抗网络提取CAN图像特征,且引入随机相位θ和虚数b隐藏和混淆真实特征;处理器在云端采用卷积神经网络和注意力机制提取深度特征;解码器对深度特征解码并利用浅层网络识别异常流量。该方法不仅解决车载计算资源受限的问题,实现了轻量级,并且保证车载入侵检测模型的安全性。此外,在异常流量识别上具有高报警率和低误报率。

Description

一种基于深度学习的低时延、安全的车载入侵检测方法
技术领域
本发明应用于车载网络检测异常流量领域,涉及到车载流量的采集,深度学习,隐私保护等技术,尤其运用深度学习模型构建编码器,处理器及解码器,不仅实现了低时延检测,而且保证了深度学习模型的安全性,进一步提高车联网入侵检测模型的分类能力。
背景技术
如今,智能车(IntelligentConnectedVehicle,即ICV)正发展走向智能化,现代化,互联化。随着计算机计算能力的不断提高,通信技术的快速发展,车联网(InternetofVehicle,即IoV)领域正是科研者研究的兴趣之一。
随着车辆的数量不断增长,传统的Vehicle Ad-hoc Networks(VANETs)网络已无法满足当前的响应需求,而IoV则在ICV的发展中起到关键作用。主要是IoV具有车辆网络、智能通信、远程以及移动通信等优点。人工智能、边缘计算、云计算等技术的不断成熟,使IoV的发展也逐渐趋向稳定。因此,IoV在未来智能车的发展路上将能对车、人、路、终端身边、环境的智能整合,为人类的出行特供更方便的方式。
然而,目前汽车的智能性同样带来了例如互联网一样的一些安全隐患。从技术层次讲,CAN总线作为车载主要通信总线,由于起初没有考虑信息安全问题,是没有任何防范措施的明文传输,即无加密、无身份认证。随着IoV的越来越复杂,车内控制单元ECUs的数量越来越多,使得攻击者的攻击途径越来越多,驾驶者的生命和财产都受到了很大程度的威胁。从管理层次讲,各大汽车厂商仅考虑车辆自身安全性,即指定不公开的车辆通信协议。然而,他们没考虑黑客远程攻击的问题,即实施常见网络攻击中的DoS,重放,中间人攻击等。因此,车载入侵检测对保护车辆安全通信是非常有必要的,而低时延,安全性高的车载入侵检测则是科研者一直待解决的挑战。
发明内容
本发明的目的在于,提出基于深度学习的车载入侵检测方法,实现智能车通信过程中流量的低时延、安全的异常流量检测。
为了实现上述目的,本发明实施提供的技术方案如下:
一种基于深度学习的低时延、安全的车载入侵检测方法,所述方法实现包括以下步骤:
S1:首先是通过连接车载OBD-II端口收集汽车正常行驶过程中实时通信流量,构建正常流量数据库;此外,利用模拟攻击来获取相应的异常特征,并构建异常流量数据库;
S2:对采集的流量的仲裁位实现编码,将连续十六进制的CAN帧编码成CAN图像,由于仲裁位决定CAN总线的通信优先级,因此基于深度学习的车载入侵检测主要检测仲裁位;该方法通过独热向量编码将十六进制的仲裁位编码成2-D图像,以获取时空相关性特征,提高入侵检测的准确率;
S3:基于深度学习训练异常流量分类模型,包括编码器、处理器、解码器,编码器与解码器被安装在车载端,而处理器将放置在云端,编码器的目的是编码和提取浅层特征;处理器在云端主要提取深度特征,解码器为浅层分类网络实现车载异常检测,整个模型同时训练,以优化编码器、处理器、解码器的参数,保证模型的性能;
S4:异常流量识别与报警,利用训练好的深度学习模型检测测试的流量,并计算异常流量的报警率和误报率,衡量模型的性能。
进一步,构建异常流量数据库过程中,采用丢弃数据帧、篡改数据帧、重放数据帧方式生成异常流量,具体设置如下:
在正常流量中注入高优先级的数据帧,构建DoS攻击数据集;
在正常流量中注入百分之二十的重复消息,构建重放攻击数据集(即发送给目标主机已经接收的数据包,以欺骗目标主机,完成身份认证);
在正常流量中修改百分之二十的正常数据,构造中间人攻击数据集(即一种间接的入侵手段,在发送主机与目标主机之间设立侵入主机非法获取通信数据包并修改指令欺骗目标主机)。
进一步,所述步骤S3中,在编码器处搜寻提取真实特征a,计算公式如下:其中G代表编码器,a代表提取的浅层特征;
a=G(i)
但是,编码器不会直接发送真实特征,而是引入随机相位θ和虚数b,其中参数b被认为构造复值特征的混淆信息,θ是在随机相位下隐藏复值特征的密钥,i为虚数单位,计算公式如下:
x=exp(iθ)[a+b·i]
理想的参数b不包含任何真实特征信息且与真实特征大小一致,而随机相位主要通过生成式对抗网络生成,以保证真实特征在随机相位下受到保护,也就是说,如果攻击者攻击模型获取特征并恢复输入信息,则可能会得到k个与真实特征a相同分布的a′,因此,该编码器能降低恢复输入信息的可能性,保证模型的安全性,a′的计算公式如下:其中
Figure BDA0002930252820000031
代表解码器中提取复值特征的实值部分,θ′代表攻击者猜测的角度,exp代表指数运算;
Figure BDA0002930252820000032
进一步,所述步骤S3中,处理器在云端主要提取深度特征,具体过程为:当构建处理器网络模型,编码器将复值特征发送的云端,云端会基于复值卷积神经网络和注意力机制提取深度特征h,由于神经网络是线性与非线性计算的结合,因此,为保证随机相位旋转不变性,即解码器能成功解码,处理器模块的卷积神经网络的卷积层,最大池化层,激活函数都要做相应修改,满足以下公式:其中Φj代表第j的特征;
Figure BDA0002930252820000033
代表j-1层的特征;fj-1即对j-1层的特征计算函数;
Figure BDA0002930252820000034
对于修改实数域上的卷积层、最大池化层及激活函数,为保证旋转不变性,对于修改卷积层,在卷积层中去掉偏置;对于修改最大池化层,选取复数模中的最大值;对于激活函数,即满足不变性和非线性化,修改公式如下:其中δ(fijk)代表对第k个通道的区域(i,j)的神经元的激活,c是设置的一个常数;fijk是代表对第k个通道的区域(i,j)的线性加权计算;
δ(fijk)=||fijk||·fijk/max{||fijk||,c}。
进一步,在处理器模块加入注意力机制,利用注意力机制提取关键特征的变化规律,包括空间特征,通道特征;对于空间特征则是关注关键特征在哪里的一个操作;对于通道特征挖掘,是将平均池化和最大池化组合一起推断特征,将空间特征和通道特征模块串联到复值卷积网络中,计算如下:其中,MLP是多层感知机;AvgPool(F)代表对卷积特征平均池化;MaxPool(F)代表对卷积特征最大池化操作;Mc(F)为计算通道特征;Ms(F)为计算空间特征;σ代表神经元激活;w1,w0代表权重;
Figure BDA0002930252820000041
代表对复值特征实现平均池化;
Figure BDA0002930252820000042
代表对复值特征实现最大池化;
Figure BDA0002930252820000043
代表空间特征的挖掘计算;
Figure BDA0002930252820000044
进一步,步骤S3中,所述解码器对处理层的深度特征Φ通过随机相位θ解码;同时构建浅层分类网络对解码后的特征分类实现异常检测,计算公式如下,其中
Figure BDA0002930252820000045
为预测结果;h是深度特征;-iθ代表将深度特征解码的操作;
Figure BDA0002930252820000046
代表取解码后的实值域部分特征;
Figure BDA0002930252820000047
车载异常检测,即区分正常流量和异常流量,因此是一个分类问题,浅层分类网络选择softmax作为对K个不同线性函数计算获得的结果,并确定最大可能的向量x属于j类,计算公式如下:p(y=j)代表预测属于j类的概率;exp(xt)对线性向量非线性化;xt代表模型的参数;
Figure BDA0002930252820000048
代表输出分类值的总和;wj,wk代表softmax计算权重;
Figure BDA0002930252820000049
进一步,步骤S3还包括,选择生成对在半年报抗网络的对抗损失和交叉熵分类损失优化模型的参数,交叉熵目的是衡量异常检测性能的,计算公式如下:其中L′代表总损失;n代表样本数;yi代表真实标签;y′i代表预测标签;
Figure BDA00029302528200000410
编码器损失函数计算公式如下:D,g代表鉴别器和生成器损失;其中I~pI代表随机采样;Δθ~U(0,π)代表攻击者猜测角度与真实角度的误差值限定在(0,π);b≠g(I)代表复数特征的虚部不保护真实特征信息;编码器模型用鉴别器尽量区分生成特征和真实特征;生成器尽量生成以假乱真的特征,两个模型互相博弈,以达到最优;
Figure BDA0002930252820000055
衡量生成器和鉴别器数据的概率分布距离值;
Figure BDA0002930252820000051
Figure BDA0002930252820000052
进一步,步骤S4中,定义假阴性率FNR和错误率ER来评估车载入侵检测的检测准确性,计算公式如下:其中TN,TP,FP,FN,即真阴性、真阳性、假阳性、假阴性;真阳性和真阴性分别是正确分类为正常流量和异常流量的数目;假阳性和假阴性分别是被错误分类的个数:
Figure BDA0002930252820000053
Figure BDA0002930252820000054
本发明具有如下有益效果:
本发明基于深度学习的设计低延时、安全的车载入侵检测方法。该方法不仅能充分的提取CAN图像的关键特征,还能通过特征准确实现异常检测,并报警。本方法为后续车联网的安全通信做了保证,从而保护了车内用户隐私,及从主动防御角度阻止财产和生命安全问题的发生。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于深度学习的车载入侵检测方法流程示意图;
图2为本方明提供的一种基于深度学习的车载入侵检测结构示意图;
图3为本发明提供的处理器注意力机制结构示意图;
具体实施方式
以下将结合附图所示的各实施方式对本发明进行详细描述。但这些实施方式并不限制本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。
参图1所示,一种基于深度学习的车载入侵检测方法流程示意图,包含了CAN流量的采集、异常流量生成、流量的编码,模型的训练,及模型的应用,以完成最终的车载异常检测。
步骤S1,通过CANoe连接OBD-II端口获取车载流量,构建正常流量数据库;
步骤S2,对正常流量实施DoS、重播、篡改,构建异常流量数据库;
步骤S3,对正常流量和异常流量的仲裁位通过独热向量编码成CAN图像;
步骤S4,构建深度学习的车载入侵检测模型,包括编码器、处理器、解码器的训练和优化;
步骤S5,异常流量的检测,测试模型对异常流量检测的性能通过假阴性率和错误率。
对于步骤S4的处理器目的是提取深度关键特征。因此,注意力机制引入通道特征和空间特征挖掘更有价值和独特的特征;对于步骤S4的解码器是通过softmax浅层分类网络获取具有最大概率的异常检测标签,以此为入侵检测分类结果;对于步骤S5的此实模块,通过四个统计指标计算的假阴性率和错误率衡量模型性能,优点在于更能发现模型对异常流量的检测能力,而不是正常流量;
参图2所示,一种基于深度学习的车载入侵检测结构示意图与本方法的流程图对应;参图3所示,处理器注意力机制结构示意图,获取更加准确的特征。
本发明的方法具体包括:车载流量提取;车载流量编码;构建深度学习模型;异常流量识别与报警。该方法具有轻量级和安全性的特点,将保证车载网络的通信安全,具有较高的异常流量报警率和较低的误报率。
所述的车载流量提取,本方法通过CANoe连接车载OBD-II端口收集汽车正常行驶过程中实时通信流量,构建正常流量数据库;此外,本方法利用模拟攻击来获取相应的异常特征,并构建异常流量数据库。
所述的车载流量编码,本方法提取的CAN总线流量主要包括时间戳、仲裁位、数据位。由于仲裁位决定CAN总线的通信优先级,因此基于深度学习的车载入侵检测主要检测仲裁位。该方法通过独热向量编码将十六进制的仲裁位编码成2-D图像,以更好的获取时空相关性特征,提高入侵检测的准确率。
所述的构建深度学习模型,该模型包括编码器,处理器和解码器。编码器与解码器被安装在车载端,而处理器将放置在云端。编码器的目的是通过随机相位θ和虚数单位b旋转和隐藏编码器提取的浅层特征;处理器在云端主要提取复值特征的深度特征;解码器则解码深度特征,即获取深度特征的实数域,并构建浅层分类网络实现异常检测。整个模型同时训练,以优化编码器、处理器、解码器的参数,保证模型的性能。
所述的异常流量识别与报警,该方法是利用训练好的深度学习模型检测测试的流量,并计算异常流量的报警率和误报率,衡量模型的性能。
所述的异常流量生成,车辆很容易受到虚假信息的影响。如果车辆被入侵,车内用户的隐私信息可能会被泄露。此外,恶意行为者可以窃听其他汽车的身份认证信息,造成交通混乱和财产损失。总之,目前CAN总线面临窃听、欺骗、篡改和重放攻击。为了构建异常流量数据库,本方法采用丢弃数据帧、篡改数据帧、重放数据帧等方式生成异常流量,具体设置如下:
在正常流量中注入高优先级的数据帧,构建DoS攻击数据集;
在正常流量中注入百分之二十的重复消息,构建重放攻击数据集;
在正常流量中修改百分之二十的正常数据,构造中间人攻击数据集;
所述的搭建编码器模型,编码器首先提取CAN图像真实特征a,计算公式如下:其中G代表编码器,a代表提取的浅层特征。
a=G(i)
为保证入侵检测模型的安全性,引入随机相位θ和虚数b,其中参数b被认为构造复值特征的混淆信息,θ是在随机相位下隐藏复值特征的密钥,计算公式如下:
x=exp(iθ)[a+b·i]
理想的参数b不包含任何真实特征信息且与真实特征大小一致,而随机相位主要通过生成式对抗网络生成,以保证真实特征在随机相位下受到保护。也就是说,如果攻击者攻击模型获取特征并恢复输入信息,则可能会得到k个与真实特征a相同分布的a′。因此,该编码器能降低恢复输入信息的可能性,保证模型的安全性,a′的计算公式如下:其中
Figure BDA0002930252820000071
代表解码器中提取复值特征的实值部分,θ′代表攻击者猜测的角度,exp代表指数运算;
Figure BDA0002930252820000081
所述的构建处理器网络模型,当编码器将复值特征发送的云端,云端会基于复值卷积神经网络和注意力机制提取深度特征h。由于神经网络是线性与非线性计算的结合,因此,为保证随机相位旋转不变性,即解码器能成功解码,处理模块的卷积神经网络的卷积层,最大池化层,激活函数都要做相应修改,满足以下公式:其中Φj代表第j的特征;
Figure BDA0002930252820000082
代表j-1层的特征;
Figure BDA0002930252820000083
所述的解码器,本方法的解码器目的是对处理层的深度特征Φ通过随机相位θ解码;另一个直接目的是构建浅层分类网络对解码后的特征分类实现异常检测。计算公式如下,其中
Figure BDA0002930252820000084
为预测结果;h是深度特征;-iθ代表将深度特征解码的操作;
Figure BDA0002930252820000085
代表取解码后的实值域部分特征;
Figure BDA0002930252820000086
所述的深度学习模型同时训练,本方法利用交叉熵损失和WGAN编码器损失优化模型参数。交叉熵目的是衡量异常检测性能的,计算公式如下:其中L′代表总损失;n代表样本数;yi代表真实标签;y′i代表预测标签;
Figure BDA0002930252820000087
编码器损失函数计算公式如下:D,g代表鉴别器和生成器损失;其中I~pI代表随机采样;Δθ~U(0,π)代表攻击者猜测角度与真实角度的误差值限定在(0,π);b≠g(I)代表复数特征的虚部不保护真实特征信息;编码器模型用鉴别器尽量区分生成特征和真实特征;生成器尽量生成以假乱真的特征,两个模型互相博弈,以达到最优;
Figure BDA0002930252820000088
Figure BDA0002930252820000089
所述的测试模型性能,训练好的模型将更加轻量级、安全,但需要通过异常流量测试模型的性能,因此定义假阴性率(FNR)和错误率(ER)来评估车载入侵检测的检测准确性。计算公式如下:其中TN,TP,FP,FN,即真阴性、真阳性、假阳性、假阴性。真阳性和真阴性分别是正确分类为正常流量和异常流量的数目;假阳性和假阴性分别是被错误分类的个数。
Figure BDA0002930252820000091
Figure BDA0002930252820000092
所述修改实数域上的卷积层、最大池化层及激活函数。为保证旋转不变性,对于修改卷积层,在卷积层中去掉偏置;对于修改最大池化层,选取复数模中的最大值;对于激活函数,即满足不变性和非线性化,修改公式如下:其中δ(fijk)代表对第k个通道的区域(i,j)的神经元的激活,c是设置的一个常数;
δ(fijk)=||fijk||·fijk/max{||fijk||,c}
所述利用注意力机制,本方法在处理器模块目的是提取深度特征,而卷积神经网络的作用仅能提取全局特征。因此,利用注意力机制提取关键特征的变化规律,包括空间特征,通道特征。对于空间特征则是关注关键特征在哪里的一个操作;对于通道特征挖掘,是将平均池化和最大池化组合一起推断特征。将两个模块串联到复值卷积网络中,可以显著提高检测性能,计算如下:其中,MLP是多层感知机;AvgPool(F)代表对卷积特征平均池化;MaxPool(F)代理对卷积特征最大齿化操作;Mc(F)计算通到特征;Ms(F)
计算空间特征;
Figure BDA0002930252820000093
所述浅层分类网络,本方法目的是实现异常检测,即区分正常流量和异常流量,因此是一个分类问题。浅层分类网络选择softmax作为对K个不同线性函数计算获得的结果,并确定最大可能的向量x属于j类,计算公式如下:p(y=j)代表预测属于j类的概率;exp(xt)对线性向量非线性化;
Figure BDA0002930252820000094
代表输出分类值的总和;
Figure BDA0002930252820000101
从上述实施例的内容可知,该方法基于深度学习的低时延、安全的车载入侵检测方法主要通过对入侵检测数据集转化成CAN图像、复值编码和旋转,以提高特征信息的保护,阻止攻击者恢复输入信息的可能性。此外,处理器引入注意力机制挖掘CAN图像的通道特征和空间特征,提高了模型的检测能力。最后,基于该模型对车载入侵检测数据集进行测试处理,以检测其性能;显然,该方法基于深度学习的低时延、安全的车载入侵检测方法能够有效地解决现有的挑战。

Claims (8)

1.一种基于深度学习的低时延、安全的车载入侵检测方法,其特征在于,所述方法实现包括以下步骤:
S1:首先是通过连接车载OBD-II端口收集汽车正常行驶过程中实时通信流量,构建正常流量数据库;此外,利用模拟攻击来获取相应的异常特征,并构建异常流量数据库;
S2:对采集的流量的仲裁位实现编码,将连续十六进制的CAN帧编码成CAN图像,由于仲裁位决定CAN总线的通信优先级,因此基于深度学习的车载入侵检测主要检测仲裁位;该方法通过独热向量编码将十六进制的仲裁位编码成2-D图像,以获取时空相关性特征,提高入侵检测的准确率;
S3:基于深度学习训练异常流量分类模型,包括编码器、处理器、解码器,编码器与解码器被安装在车载端,而处理器将放置在云端,编码器的目的是编码和提取浅层特征;处理器在云端主要提取深度特征,解码器为浅层分类网络实现车载异常检测,整个模型同时训练,以优化编码器、处理器、解码器的参数,保证模型的性能;
S4:异常流量识别与报警,利用训练好的深度学习模型检测测试的流量,并计算异常流量的报警率和误报率,衡量模型的性能。
2.根据权利要求1所述的一种基于深度学习的低时延、安全的车载入侵检测方法,其特征在于,构建异常流量数据库过程中,采用丢弃数据帧、篡改数据帧、重放数据帧方式生成异常流量,具体设置如下:
1.1.在正常流量中注入高优先级的数据帧,构建DoS攻击数据集;
1.2.在正常流量中注入百分之二十的重复消息,构建重放攻击数据集;
1.3.在正常流量中修改百分之二十的正常数据,构造中间人攻击数据集。
3.根据权利要求1所述的一种基于深度学习的低时延、安全的车载入侵检测方法,其特征在于,所述步骤S3中,在编码器处搜寻提取真实特征a,计算公式如下:其中G代表编码器,a代表提取的浅层特征;
a=G(i)
但是,编码器不会直接发送真实特征,而是引入随机相位θ和虚数b,其中参数b被认为构造复值特征的混淆信息,θ是在随机相位下隐藏复值特征的密钥,i为虚数单位,计算公式如下:
x=exp(iθ)[a+b·i]
理想的参数b不包含任何真实特征信息且与真实特征大小一致,而随机相位主要通过生成式对抗网络生成,以保证真实特征在随机相位下受到保护,也就是说,如果攻击者攻击模型获取特征并恢复输入信息,则可能会得到k个与真实特征a相同分布的a′,因此,该编码器能降低恢复输入信息的可能性,保证模型的安全性,a′的计算公式如下:其中
Figure FDA0002930252810000024
代表解码器中提取复值特征的实值部分,θ′代表攻击者猜测的角度,exp代表指数运算;
Figure FDA0002930252810000021
4.根据权利要求1所述的一种基于深度学习的低时延、安全的车载入侵检测方法,其特征在于,所述步骤S3中,处理器在云端主要提取深度特征,具体过程为:当构建处理器网络模型,编码器将复值特征发送的云端,云端会基于复值卷积神经网络和注意力机制提取深度特征h,由于神经网络是线性与非线性计算的结合,因此,为保证随机相位旋转不变性,即解码器能成功解码,处理器模块的卷积神经网络的卷积层,最大池化层,激活函数都要做相应修改,满足以下公式:其中Φj代表第j的特征;
Figure FDA0002930252810000022
代表j-1层的特征;fj-1即对j-1层的特征计算函数;
Figure FDA0002930252810000023
对于修改实数域上的卷积层、最大池化层及激活函数,为保证旋转不变性,对于修改卷积层,在卷积层中去掉偏置;对于修改最大池化层,选取复数模中的最大值;对于激活函数,即满足不变性和非线性化,修改公式如下:其中δ(fijk)代表对第k个通道的区域(i,j)的神经元的激活,c是设置的一个常数;fijk是代表对第k个通道的区域(i,j)的线性加权计算;
δ(fijk)=||fijk||·fijk/max{||fijk||,c}。
5.根据权利要求4所述的一种基于深度学习的低时延、安全的车载入侵检测方法,其特征在于,在处理器模块加入注意力机制,利用注意力机制提取关键特征的变化规律,包括空间特征,通道特征;对于空间特征则是关注关键特征在哪里的一个操作;对于通道特征挖掘,是将平均池化和最大池化组合一起推断特征,将空间特征和通道特征模块串联到复值卷积网络中,计算如下:其中,MLP是多层感知机;AvgPool(F)代表对卷积特征平均池化;MaxPool(F)代表对卷积特征最大池化操作;Mc(F)为计算通道特征;Ms(F)为计算空间特征;σ代表神经元激活;w1,w0代表权重;
Figure FDA0002930252810000031
代表对复值特征实现平均池化;
Figure FDA0002930252810000032
代表对复值特征实现最大池化;
Figure FDA0002930252810000033
代表空间特征的挖掘计算;
Figure FDA0002930252810000034
Figure FDA0002930252810000035
6.根据权利要求1所述的一种基于深度学习的低时延、安全的车载入侵检测方法,其特征在于,步骤S3中,所述解码器对处理层的深度特征Φ通过随机相位θ解码;同时构建浅层分类网络对解码后的特征分类实现异常检测,计算公式如下,其中
Figure FDA0002930252810000036
为预测结果;h是深度特征;-iθ代表将深度特征解码的操作;
Figure FDA0002930252810000037
代表取解码后的实值域部分特征;
Figure FDA0002930252810000038
车载异常检测,即区分正常流量和异常流量,因此是一个分类问题,浅层分类网络选择softmax作为对K个不同线性函数计算获得的结果,并确定最大可能的向量x属于j类,计算公式如下:p(y=j)代表预测属于j类的概率;exp(xt)对线性向量非线性化;xt代表模型的参数;
Figure FDA0002930252810000039
代表输出分类值的总和;wj,wk代表softmax计算权重;
Figure FDA00029302528100000310
7.根据权利要求4所述的一种基于深度学习的低时延、安全的车载入侵检测方法,其特征在于,步骤S3还包括,选择生成对在半年报抗网络的对抗损失和交叉熵分类损失优化模型的参数,交叉熵目的是衡量异常检测性能的,计算公式如下:其中L′代表总损失;n代表样本数;yi代表真实标签;y′i代表预测标签;
Figure FDA0002930252810000041
编码器损失函数计算公式如下:D,g代表鉴别器和生成器损失;其中I~pI代表随机采样;Δθ~U(0,π)代表攻击者猜测角度与真实角度的误差值限定在(0,π);b≠g(I)代表复数特征的虚部不保护真实特征信息;编码器模型用鉴别器尽量区分生成特征和真实特征;生成器尽量生成以假乱真的特征,两个模型互相博弈,以达到最优;
Figure FDA0002930252810000046
衡量生成器和鉴别器数据的概率分布距离值;
Figure FDA0002930252810000042
Figure FDA0002930252810000043
8.根据权利要求1所述的一种基于深度学习的低时延、安全的车载入侵检测方法,其特征在于,步骤S4中,定义假阴性率FNR和错误率ER来评估车载入侵检测的检测准确性,计算公式如下:其中TN,TP,FP,FN,即真阴性、真阳性、假阳性、假阴性;真阳性和真阴性分别是正确分类为正常流量和异常流量的数目;假阳性和假阴性分别是被错误分类的个数:
Figure FDA0002930252810000044
Figure FDA0002930252810000045
CN202110143987.2A 2021-02-02 2021-02-02 一种基于深度学习的低时延、安全的车载入侵检测方法 Active CN113162902B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110143987.2A CN113162902B (zh) 2021-02-02 2021-02-02 一种基于深度学习的低时延、安全的车载入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110143987.2A CN113162902B (zh) 2021-02-02 2021-02-02 一种基于深度学习的低时延、安全的车载入侵检测方法

Publications (2)

Publication Number Publication Date
CN113162902A CN113162902A (zh) 2021-07-23
CN113162902B true CN113162902B (zh) 2022-09-16

Family

ID=76879206

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110143987.2A Active CN113162902B (zh) 2021-02-02 2021-02-02 一种基于深度学习的低时延、安全的车载入侵检测方法

Country Status (1)

Country Link
CN (1) CN113162902B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114710372B (zh) * 2022-06-08 2022-09-06 湖南师范大学 基于增量学习的车载can网络入侵检测系统及方法
CN116112193B (zh) * 2022-10-18 2023-07-28 贵州师范大学 一种基于深度学习的轻量级车载网络入侵检测方法
CN115489537A (zh) * 2022-11-01 2022-12-20 成都工业职业技术学院 一种智能网联汽车的信息安全测试方法、系统及存储介质
CN116774678B (zh) * 2023-08-24 2023-10-13 北京航空航天大学 一种基于迁移学习的列车控制系统入侵检测方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111294341A (zh) * 2020-01-17 2020-06-16 成都信息工程大学 基于自编码器和递归神经网络的车载系统入侵检测方法
CN111460441A (zh) * 2020-04-17 2020-07-28 武汉大学 一种基于批归一化卷积神经网络的网络入侵检测方法
CN111835695A (zh) * 2019-04-23 2020-10-27 华东师范大学 一种基于深度学习的车载can总线入侵检测方法
CN111931252A (zh) * 2020-07-28 2020-11-13 重庆邮电大学 一种基于滑动窗口和cenn的车载can入侵检测方法
CN111970309A (zh) * 2020-10-20 2020-11-20 南京理工大学 基于Spark车联网组合深度学习入侵检测方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111835695A (zh) * 2019-04-23 2020-10-27 华东师范大学 一种基于深度学习的车载can总线入侵检测方法
CN111294341A (zh) * 2020-01-17 2020-06-16 成都信息工程大学 基于自编码器和递归神经网络的车载系统入侵检测方法
CN111460441A (zh) * 2020-04-17 2020-07-28 武汉大学 一种基于批归一化卷积神经网络的网络入侵检测方法
CN111931252A (zh) * 2020-07-28 2020-11-13 重庆邮电大学 一种基于滑动窗口和cenn的车载can入侵检测方法
CN111970309A (zh) * 2020-10-20 2020-11-20 南京理工大学 基于Spark车联网组合深度学习入侵检测方法及系统

Also Published As

Publication number Publication date
CN113162902A (zh) 2021-07-23

Similar Documents

Publication Publication Date Title
CN113162902B (zh) 一种基于深度学习的低时延、安全的车载入侵检测方法
Ashraf et al. Novel deep learning-enabled LSTM autoencoder architecture for discovering anomalous events from intelligent transportation systems
CN112738039B (zh) 一种基于流量行为的恶意加密流量检测方法、系统及设备
Du et al. Rethinking wireless communication security in semantic Internet of Things
Yue et al. An ensemble intrusion detection method for train ethernet consist network based on CNN and RNN
Otoum et al. Mitigating False Negative intruder decisions in WSN-based Smart Grid monitoring
Han et al. PPM-InVIDS: Privacy protection model for in-vehicle intrusion detection system based complex-valued neural network
Wang et al. Analysis of recent deep-learning-based intrusion detection methods for in-vehicle network
Yu et al. TCE-IDS: Time interval conditional entropy-based intrusion detection system for automotive controller area networks
Chen et al. Cross-domain industrial intrusion detection deep model trained with imbalanced data
Kalpana Recurrent nonsymmetric deep auto encoder approach for network intrusion detection system
Liu et al. Spatial‐Temporal Feature with Dual‐Attention Mechanism for Encrypted Malicious Traffic Detection
Wang et al. Multi-sensors space and time dimension based intrusion detection system in automated vehicles
Saber et al. Intrusion detection and can vehicle networks
Qin et al. Intrusion detection framework for in-vehicle network combining time features and data features
CN113542222A (zh) 一种基于双域vae的零日多步威胁识别方法
Du et al. Physical layer authentication based on integrated semi-supervised learning in wireless networks for dynamic industrial scenarios
Holbrook et al. A good defense is a strong DNN: defending the IoT with deep neural networks
Du et al. Open World Intrusion Detection: An Open Set Recognition Method for Can Bus in Intelligent Connected Vehicles
Wang et al. AI Embedded Assurance for Cyber Systems
Melki et al. Machine learning for physical layer security: Limitations, challenges and recommendation
Wang et al. CPWF: Cross-platform website fingerprinting based on multi-similarity loss
Onur et al. Machine learning-based identification of cybersecurity threats affecting autonomous vehicle systems
CN114501446B (zh) 动态工业场景下基于PU bagging策略的物理层认证方法
Chen et al. GAN-IVDS: An Intrusion Detection System for Intelligent Connected Vehicles Based on Generative Adversarial Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant