CN113285924A - 一种基于灰度图像深度学习的车内网络报文异常检测方法 - Google Patents

一种基于灰度图像深度学习的车内网络报文异常检测方法 Download PDF

Info

Publication number
CN113285924A
CN113285924A CN202110440836.3A CN202110440836A CN113285924A CN 113285924 A CN113285924 A CN 113285924A CN 202110440836 A CN202110440836 A CN 202110440836A CN 113285924 A CN113285924 A CN 113285924A
Authority
CN
China
Prior art keywords
message
deep learning
gray level
level image
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110440836.3A
Other languages
English (en)
Other versions
CN113285924B (zh
Inventor
孙恒
曾令浩
翁健
刘志全
李龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan University
University of Jinan
Original Assignee
Jinan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan University filed Critical Jinan University
Priority to CN202110440836.3A priority Critical patent/CN113285924B/zh
Publication of CN113285924A publication Critical patent/CN113285924A/zh
Application granted granted Critical
Publication of CN113285924B publication Critical patent/CN113285924B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2431Multiple classes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/082Learning methods modifying the architecture, e.g. adding, deleting or silencing nodes or connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2218/00Aspects of pattern recognition specially adapted for signal processing
    • G06F2218/08Feature extraction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2218/00Aspects of pattern recognition specially adapted for signal processing
    • G06F2218/12Classification; Matching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于灰度图像深度学习的车内网络报文异常检测方法,该方法包括下述步骤:获取CAN总线的网络报文数据集;采用位反转算法从CAN帧的数据域提取信号特征值;将信号特征值按照总线读取顺序排列,将排列后的数据设定多条报文一组,创建像素矩阵,转化成灰度图像数据集;构建深度学习网络模型,以灰度图像为媒介学习车内网络报文流量的空间特征;训练深度学习网络模型,学习不同车内网络报文信号输出的值调整输出值域;将待检测的CAN报文转成灰度图像,输入训练后的深度学习网络模型进行空间特征识别,通过计算未标记报文的输出值判断报文为正常报文或攻击报文。本发明满足在车内计算资源受限环境中实时报文异常检测的要求。

Description

一种基于灰度图像深度学习的车内网络报文异常检测方法
技术领域
本发明涉及车内网络安全技术领域,具体涉及一种基于灰度图像深度学习的车内网络报文异常检测方法。
背景技术
控制器局域网络(Controller Area Network,CAN)是目前最常用的车载网络协议。近年来,智能汽车已成为汽车领域的热点。由于CAN的设计缺乏安全机制,随着车内电子控制单元(ECU)与外界之间的连接不断增加,车内网络越来越容易受到网络攻击。
目前常见的车辆报文异常检测方法多为黑名单形式,检测结果准确性较低,且各家车企的CAN报文格式通常为加密形式,缺乏适用于不同车企的检测方法。
发明内容
为了克服现有技术存在的缺陷与不足,本发明提供一种基于灰度图像深度学习的车内网络报文异常检测方法,目的是对报文格式不同类型的车辆进行入侵检测识别。
本发明的第二目的在于提供一种基于灰度图像深度学习的车内网络报文异常检测系统。
本发明的第三目的在于提供一种存储介质。
本发明的第四目的在于提供一种计算设备。
为了达到上述目的,本发明采用以下技术方案:
一种基于灰度图像深度学习的车内网络报文异常检测方法,包括下述步骤:
获取CAN总线的网络报文数据集;
采用位反转算法从CAN帧的数据域提取信号特征值;
将所述信号特征值按照总线读取顺序排列,将排列后的数据设定多条报文一组,提取连续报文信号特征值预设位数的内容,创建像素矩阵,转化成灰度图像数据集;
构建深度学习网络模型,提取灰度图像的特征,以灰度图像为媒介学习车内网络报文流量的空间特征;
输入灰度图像数据集训练深度学习网络模型,通过学习不同车内网络报文信号输出的值调整输出值域;
将待检测的CAN报文转成灰度图像,输入训练后的深度学习网络模型进行空间特征识别,通过计算未标记报文的输出值判断报文为正常报文或攻击报文。
作为优选的技术方案,所述获取CAN总线的网络报文数据集,所述网络报文数据集包括正常报文、Dos攻击报文、Fuzzy攻击报文和Spoofing攻击报文,且按攻击类型进行标记。
作为优选的技术方案,所述采用位反转算法从CAN帧的数据域提取信号特征值,具体步骤包括:
按位计算特定CAN ID的连续报文中数据域的位反转次数,除以数据帧数量,得到位反转率,利用位反转率的数量级标识CAN帧信号特征值;
利用位反转率计算数据域每一位的反转率的数量级
Figure BDA0003035002190000021
其中Mi表示数组M的第i个成员,数组M代表数据域每一位的位反转率数量级;
利用位反转率数量级寻找数据域中位反转率呈现非单调递减的连续位,比较数组M中连续位,若Mi<Mi+1,在位i与位i+1之间设置位边界,Mi与Mi+1属于数据域不同信号量,识别并标注CAN帧信号特征值。
作为优选的技术方案,所述提取连续报文信号特征值预设位数的内容,创建像素矩阵,转化成灰度图像数据集,具体步骤包括:
提取每组n条连续报文信号特征值的前64n位,不足64n位的用0补齐,创建行数为r,列数为c,元素个数为r×c=64n的像素矩阵,其中,黑色像素代表1,白色像素代表0,建立r×c像素矩阵的灰度图像,构造出灰度图像数据集。
作为优选的技术方案,所述深度学习网络模型依次设有输入层、第一卷积层、第一Dropout层、第一下采样层、第二卷积层、第二Dropout层、第二下采样层、第一全连接层、第二全连接层和输出层;
所述输入层用于输入灰度图像数据集,所述第一卷积层和第二卷积层用于提取输入的灰度图像的特征,所述第一Dropout层和第二Dropout层用于随机删除载有灰度图像特征数据的神经元,所述第一下采样层和第二下采样层用于抽取神经元,降低灰度图像特征数据的维度,所述第一全连接层、第二全连接层用于将模型所学习的全部灰度图像特征表示映射至样本标记空间,并对灰度图像所对应的车内网络报文进行分类。
作为优选的技术方案,所述输入灰度图像数据集训练深度学习网络模型,设置验证集进行验证,通过相应报文与验证集的距离比较,进行Dropout、轮训次数、学习率、优化器、卷积核大小的调整。
作为优选的技术方案,所述通过计算未标记报文的输出值判断报文为正常报文或攻击报文,具体步骤包括:
深度学习网络模型在输出层采用SoftMax函数进行分类,输出CAN报文流量在空间特征下的分类标签,包括正常报文、Dos攻击报文、Fuzzy攻击报文和Spoofing攻击报文。
为了达到上述第二目的,本发明采用以下技术方案:
一种基于灰度图像深度学习的车内网络报文异常检测系统,包括:网络报文数据集获取模块、信号特征值提取模块、灰度图像数据集构建模块、深度学习网络模型构建模块、训练模块、报文检测模块;
所述网络报文数据集获取模块用于获取CAN总线的网络报文数据集;
所述信号特征值提取模块用于采用位反转算法从CAN帧的数据域提取信号特征值;
所述灰度图像数据集构建模块用于将所述信号特征值按照总线读取顺序排列,将排列后的数据设定多条报文一组,提取连续报文信号特征值预设位数的内容,创建像素矩阵,转化成灰度图像数据集;
所述深度学习网络模型构建模块用于构建深度学习网络模型,提取灰度图像的特征,以灰度图像为媒介学习车内网络报文流量的空间特征;
所述训练模块用于输入灰度图像数据集训练深度学习网络模型,通过学习不同车内网络报文信号输出的值调整输出值域;
所述报文检测模块用于将待检测的CAN报文转成灰度图像,输入训练后的深度学习网络模型进行空间特征识别,通过计算未标记报文的输出值判断报文为正常报文或攻击报文。
为了达到上述第三目的,本发明采用以下技术方案:
一种存储介质,存储有程序,所述程序被处理器执行时实现上述基于灰度图像深度学习的车内网络报文异常检测方法。
为了达到上述第四目的,本发明采用以下技术方案:
一种计算设备,包括处理器和用于存储处理器可执行程序的存储器,所述处理器执行存储器存储的程序时,实现上述基于灰度图像深度学习的车内网络报文异常检测方法。
本发明与现有技术相比,具有如下优点和有益效果:
(1)本发明结合CAN总线逆向工程和深度学习,从CAN帧中提取出信号特征值,在深度学习网络上以灰度图像为媒介学习报文流量的空间特征,实现对CAN帧数据域的异常检测;利用CAN报文周期性,完成信号特征值提取,对不同车企不同ECU报文定义具有普适性,满足在车内计算资源受限环境中实时报文异常检测的要求。
(2)本发明采用了以灰度图像为媒介学习CAN报文流量的空间特征的技术方案,降低了直接以报文数据作为深度学习对象的学习模型构建难度,以及特征提取难度,同时采用位反转算法提取特征值,无需预知CAN报文数据域规范,达到了准确率与效率高、适用性强的技术效果。
附图说明
图1为本发明的基于灰度图像深度学习的车内网络报文异常检测方法流程图;
图2为本发明的位反转算法流程示意图;
图3为本发明的信号特征值提取及深度学习检测示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例1
如图1所示,本实施例提供一种基于灰度图像深度学习的车内网络报文异常检测方法,包括下述步骤:
S1:获取CAN总线的网络报文数据集,数据集包括正常报文、Dos攻击报文、Fuzzy攻击报文和Spoofing攻击报文,且按攻击类型进行标记;
在本实施例中,数据集可使用已公开的数据集,也可自行从CAN总线中提取,保证CAN帧中数据域可用,且样本量满足训练要求,作为后续算法提取特征值操作的输入。
S2:利用位反转算法从CAN帧的数据域提取信号特征值;
S21:如图1、图2所示,按位计算特定CAN ID的连续报文中数据域的位反转次数,除以数据帧数量,得到位反转率,利用位反转率的数量级标识CAN帧信号特征值;
在本实施例中,位反转率抽象为一个成员数量为n的数组B,数组成员Bi代表数据域第i位的位反转率,成员数量n代表由控制域DLC值定义的数据域实际长度。
在本实施例中,为了提升方法的适用性,本发明采用位反转算法提取信号特征值,无需提前了解CAN帧数据域的语法与语义,以适用于使用CAN协议的所有车企车辆。
S22:利用位反转率计算数据域每一位的反转率的数量级
Figure BDA0003035002190000061
其中Mi是数组M的第i个成员,数组M代表数据域每一位的位反转率数量级;
S23:利用位反转率数量级寻找数据域中位反转率呈现非单调递减的连续位,比较数组M中连续位,若Mi<Mi+1,在位i与位i+1之间设置位边界,Mi与Mi+1属于数据域不同信号量,实现信号之间的分割,以识别并标注CAN帧信号特征值。
在本实施例中,设置位边界后,相当于在未知车企CAN消息规范的情况下,将数据域负载人为地分割,将不同特征值(这里为signal value,信号值)提取出来,从而识别并标记特征值;本实施例依据数据域里面各信号量的变化进行检测,适用于所有不公开CAN规范的车企车辆。
S3:如图3所示,将S2中获得的特定CAN ID信号特征值按照总线读取顺序排列,一个报文的数据域为0~8bytes,n条报文最大有64n bits,将排列后的数据按照每n(n≥8)条连续报文一组,转化成灰度图像数据集;
在本实施例中,灰度图像数据集由以下方法得到:
提取每组n条连续报文信号特征值的前64n位,不足64n位的用0补齐,创建行数为r(r>1),列数为c(c>1),元素个数为r×c=64n的矩阵,其中黑色像素代表1,白色像素代表0,建立r×c的灰度图像,构造出灰度图像数据集。
S4:构建深度学习网络模型;
如图3所示,构建深度学习网络模型具体如下:
深度学习网络模型的神经元层依次为输入层、第一卷积层、第一Dropout层、第一下采样层、第二卷积层、第二Dropout层、第二下采样层、第一全连接层、第二全连接层和输出层。其中,输出层由SoftMax函数进行输出。其中,卷积层用于提取输入的灰度图像的特征(如边缘特征等),Dropout层用于随机删除载有灰度图像特征数据的神经元以防止神经网络模型过拟合,下采样层通过抽取神经元从而降低灰度图像特征数据的维度以防止模型过拟合,全连接层将模型所学习的全部灰度图像特征表示映射至样本标记空间并对灰度图像所对应的车内网络报文进行分类。
S5:利用步骤S3中所获得灰度图像数据集对步骤S4中构建的深度学习网络进行训练;
在本实施例中,训练模型通过学习不同车内网络报文信号输出的值来调整输出值域,训练完毕后,模型可通过计算未标记报文的输出值来判断报文为正常报文或攻击报文。
在本实施例中,训练深度学习网络模型方法如下:
输入灰度图像数据集到构建的深度学习网络模型,设置验证集进行验证,通过相应报文与验证集的距离比较,进行Dropout、轮训次数、学习率、优化器、卷积核大小的调整,提高识别的准确率。
S6:将待检测的CAN报文通过步骤S3的方法转成灰度图像,利用步骤S5中训练完毕的深度学习网络,检测网络报文是否异常。
在本实施例中,输入的灰度图像通过深度学习网络进行空间特征识别,并在输出层由SoftMax函数分类,输出CAN报文流量在空间特征下如步骤S1的分类标签,即正常报文、Dos攻击报文、Fuzzy攻击报文和Spoofing攻击报文。
实施例2
本实施例提供一种基于灰度图像深度学习的车内网络报文异常检测系统,包括:网络报文数据集获取模块、信号特征值提取模块、灰度图像数据集构建模块、深度学习网络模型构建模块、训练模块、报文检测模块;
在本实施例中,网络报文数据集获取模块用于获取CAN总线的网络报文数据集;
在本实施例中,信号特征值提取模块用于采用位反转算法从CAN帧的数据域提取信号特征值;
在本实施例中,灰度图像数据集构建模块用于将信号特征值按照总线读取顺序排列,将排列后的数据设定多条报文一组,提取连续报文信号特征值预设位数的内容,创建像素矩阵,转化成灰度图像数据集;
在本实施例中,深度学习网络模型构建模块用于构建深度学习网络模型,提取灰度图像的特征,以灰度图像为媒介学习车内网络报文流量的空间特征;
在本实施例中,训练模块用于输入灰度图像数据集训练深度学习网络模型,通过学习不同车内网络报文信号输出的值调整输出值域;
在本实施例中,报文检测模块用于将待检测的CAN报文转成灰度图像,输入训练后的深度学习网络模型进行空间特征识别,通过计算未标记报文的输出值判断报文为正常报文或攻击报文。
实施例3
本实施例提供一种存储介质,存储介质可以是ROM、RAM、磁盘、光盘等储存介质,该存储介质存储有一个或多个程序,程序被处理器执行时,实现实施例1的基于灰度图像深度学习的车内网络报文异常检测方法。
实施例4
本实施例提供一种计算设备,该计算设备可以是台式电脑、笔记本电脑、智能手机、PDA手持终端、平板电脑或其他具有显示功能的终端设备,该计算设备包括处理器和存储器,存储器存储有一个或多个程序,处理器执行存储器存储的程序时,实现实施例1的基于灰度图像深度学习的车内网络报文异常检测方法。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (10)

1.一种基于灰度图像深度学习的车内网络报文异常检测方法,其特征在于,包括下述步骤:
获取CAN总线的网络报文数据集;
采用位反转算法从CAN帧的数据域提取信号特征值;
将所述信号特征值按照总线读取顺序排列,将排列后的数据设定多条报文一组,提取连续报文信号特征值预设位数的内容,创建像素矩阵,转化成灰度图像数据集;
构建深度学习网络模型,提取灰度图像的特征,以灰度图像为媒介学习车内网络报文流量的空间特征;
输入灰度图像数据集训练深度学习网络模型,通过学习不同车内网络报文信号输出的值调整输出值域;
将待检测的CAN报文转成灰度图像,输入训练后的深度学习网络模型进行空间特征识别,通过计算未标记报文的输出值判断报文为正常报文或攻击报文。
2.根据权利要求1所述的基于灰度图像深度学习的车内网络报文异常检测方法,其特征在于,所述获取CAN总线的网络报文数据集,所述网络报文数据集包括正常报文、Dos攻击报文、Fuzzy攻击报文和Spoofing攻击报文,且按攻击类型进行标记。
3.根据权利要求1所述的基于灰度图像深度学习的车内网络报文异常检测方法,其特征在于,所述采用位反转算法从CAN帧的数据域提取信号特征值,具体步骤包括:
按位计算特定CAN ID的连续报文中数据域的位反转次数,除以数据帧数量,得到位反转率,利用位反转率的数量级标识CAN帧信号特征值;
利用位反转率计算数据域每一位的反转率的数量级
Figure FDA0003035002180000011
其中Mi表示数组M的第i个成员,数组M代表数据域每一位的位反转率数量级;
利用位反转率数量级寻找数据域中位反转率呈现非单调递减的连续位,比较数组M中连续位,若Mi<Mi+1,在位i与位i+1之间设置位边界,Mi与Mi+1属于数据域不同信号量,识别并标注CAN帧信号特征值。
4.根据权利要求1所述的基于灰度图像深度学习的车内网络报文异常检测方法,其特征在于,所述提取连续报文信号特征值预设位数的内容,创建像素矩阵,转化成灰度图像数据集,具体步骤包括:
提取每组n条连续报文信号特征值的前64n位,不足64n位的用0补齐,创建行数为r,列数为c,元素个数为r×c=64n的像素矩阵,其中,黑色像素代表1,白色像素代表0,建立r×c像素矩阵的灰度图像,构造出灰度图像数据集。
5.根据权利要求1所述的基于灰度图像深度学习的车内网络报文异常检测方法,其特征在于,所述深度学习网络模型依次设有输入层、第一卷积层、第一Dropout层、第一下采样层、第二卷积层、第二Dropout层、第二下采样层、第一全连接层、第二全连接层和输出层;
所述输入层用于输入灰度图像数据集,所述第一卷积层和第二卷积层用于提取输入的灰度图像的特征,所述第一Dropout层和第二Dropout层用于随机删除载有灰度图像特征数据的神经元,所述第一下采样层和第二下采样层用于抽取神经元,降低灰度图像特征数据的维度,所述第一全连接层、第二全连接层用于将模型所学习的全部灰度图像特征表示映射至样本标记空间,并对灰度图像所对应的车内网络报文进行分类。
6.根据权利要求1所述的基于灰度图像深度学习的车内网络报文异常检测方法,其特征在于,所述输入灰度图像数据集训练深度学习网络模型,设置验证集进行验证,通过相应报文与验证集的距离比较,进行Dropout、轮训次数、学习率、优化器、卷积核大小的调整。
7.根据权利要求1所述的基于灰度图像深度学习的车内网络报文异常检测方法,其特征在于,所述通过计算未标记报文的输出值判断报文为正常报文或攻击报文,具体步骤包括:
深度学习网络模型在输出层采用SoftMax函数进行分类,输出CAN报文流量在空间特征下的分类标签,包括正常报文、Dos攻击报文、Fuzzy攻击报文和Spoofing攻击报文。
8.一种基于灰度图像深度学习的车内网络报文异常检测系统,其特征在于,包括:网络报文数据集获取模块、信号特征值提取模块、灰度图像数据集构建模块、深度学习网络模型构建模块、训练模块、报文检测模块;
所述网络报文数据集获取模块用于获取CAN总线的网络报文数据集;
所述信号特征值提取模块用于采用位反转算法从CAN帧的数据域提取信号特征值;
所述灰度图像数据集构建模块用于将所述信号特征值按照总线读取顺序排列,将排列后的数据设定多条报文一组,提取连续报文信号特征值预设位数的内容,创建像素矩阵,转化成灰度图像数据集;
所述深度学习网络模型构建模块用于构建深度学习网络模型,提取灰度图像的特征,以灰度图像为媒介学习车内网络报文流量的空间特征;
所述训练模块用于输入灰度图像数据集训练深度学习网络模型,通过学习不同车内网络报文信号输出的值调整输出值域;
所述报文检测模块用于将待检测的CAN报文转成灰度图像,输入训练后的深度学习网络模型进行空间特征识别,通过计算未标记报文的输出值判断报文为正常报文或攻击报文。
9.一种存储介质,存储有程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7任一项所述基于灰度图像深度学习的车内网络报文异常检测方法。
10.一种计算设备,包括处理器和用于存储处理器可执行程序的存储器,其特征在于,所述处理器执行存储器存储的程序时,实现如权利要求1-7任一项所述基于灰度图像深度学习的车内网络报文异常检测方法。
CN202110440836.3A 2021-04-23 2021-04-23 一种基于灰度图像深度学习的车内网络报文异常检测方法 Active CN113285924B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110440836.3A CN113285924B (zh) 2021-04-23 2021-04-23 一种基于灰度图像深度学习的车内网络报文异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110440836.3A CN113285924B (zh) 2021-04-23 2021-04-23 一种基于灰度图像深度学习的车内网络报文异常检测方法

Publications (2)

Publication Number Publication Date
CN113285924A true CN113285924A (zh) 2021-08-20
CN113285924B CN113285924B (zh) 2022-02-22

Family

ID=77277176

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110440836.3A Active CN113285924B (zh) 2021-04-23 2021-04-23 一种基于灰度图像深度学习的车内网络报文异常检测方法

Country Status (1)

Country Link
CN (1) CN113285924B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113839930A (zh) * 2021-09-06 2021-12-24 哈尔滨工业大学 一种基于图像处理的网络入侵检测方法和系统
CN114664121A (zh) * 2022-03-23 2022-06-24 合肥置顶信息技术有限公司 一种可智能纠错的民航气象观测制作发布系统及方法
CN116471210A (zh) * 2023-06-20 2023-07-21 北京中科朗易科技有限责任公司 一种节点渗透监控方法、系统、设备及可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107819790A (zh) * 2017-12-08 2018-03-20 中盈优创资讯科技有限公司 攻击报文的识别方法及装置
CN108200030A (zh) * 2017-12-27 2018-06-22 深信服科技股份有限公司 恶意流量的检测方法、系统、装置及计算机可读存储介质
CN108694918A (zh) * 2017-06-09 2018-10-23 京东方科技集团股份有限公司 编码方法及装置、解码方法及装置及显示装置
WO2019026077A1 (en) * 2017-08-02 2019-02-07 Enigmatos Ltd. SYSTEM AND METHOD FOR PREVENTING MALBUSED CAN BUS ATTACKS
CN111865744A (zh) * 2020-07-08 2020-10-30 北京软安科技有限公司 一种车辆can总线数据分类方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108694918A (zh) * 2017-06-09 2018-10-23 京东方科技集团股份有限公司 编码方法及装置、解码方法及装置及显示装置
WO2019026077A1 (en) * 2017-08-02 2019-02-07 Enigmatos Ltd. SYSTEM AND METHOD FOR PREVENTING MALBUSED CAN BUS ATTACKS
CN107819790A (zh) * 2017-12-08 2018-03-20 中盈优创资讯科技有限公司 攻击报文的识别方法及装置
CN108200030A (zh) * 2017-12-27 2018-06-22 深信服科技股份有限公司 恶意流量的检测方法、系统、装置及计算机可读存储介质
CN111865744A (zh) * 2020-07-08 2020-10-30 北京软安科技有限公司 一种车辆can总线数据分类方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
吴玲云等: "基于随机森林的车载CAN总线异常检测方法", 《吉林大学学报(理学版)》 *
李兴华,钟成,陈颖,张会林,翁健: "车联网安全综述", 《信息安全学报》 *
谢浒等: "基于机器学习的车载CAN网络入侵检测研究", 《天津理工大学学报》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113839930A (zh) * 2021-09-06 2021-12-24 哈尔滨工业大学 一种基于图像处理的网络入侵检测方法和系统
CN114664121A (zh) * 2022-03-23 2022-06-24 合肥置顶信息技术有限公司 一种可智能纠错的民航气象观测制作发布系统及方法
CN114664121B (zh) * 2022-03-23 2024-01-09 合肥置顶信息技术有限公司 一种可智能纠错的民航气象观测制作发布系统及方法
CN116471210A (zh) * 2023-06-20 2023-07-21 北京中科朗易科技有限责任公司 一种节点渗透监控方法、系统、设备及可读存储介质
CN116471210B (zh) * 2023-06-20 2023-09-19 北京中科朗易科技有限责任公司 一种节点渗透监控方法、系统、设备及可读存储介质

Also Published As

Publication number Publication date
CN113285924B (zh) 2022-02-22

Similar Documents

Publication Publication Date Title
CN113285924B (zh) 一种基于灰度图像深度学习的车内网络报文异常检测方法
CN111368886B (zh) 一种基于样本筛选的无标注车辆图片分类方法
CN111310583B (zh) 一种基于改进的长短期记忆网络的车辆异常行为识别方法
CN110414451B (zh) 一种基于端对端的车牌识别方法、装置、设备及存储介质
CN112016467B (zh) 交通标志识别模型训练方法、识别方法、系统、设备及介质
CN111754519B (zh) 一种基于类激活映射的对抗防御方法
CN111738054B (zh) 一种基于时空自编码器网络和时空cnn的行为异常检测方法
CN117789185B (zh) 基于深度学习的汽车油孔姿态识别系统及方法
CN106845458B (zh) 一种基于核超限学习机的快速交通标识检测方法
JP2023514294A (ja) オブジェクトディテクタのためのベイジアンデュアルオートエンコーダを利用したエクスプレイナブルアクティブラーニング方法及びそれを利用したアクティブラーニングデバイス
CN110852358A (zh) 一种基于深度学习的车辆类型判别方法
CN116910752A (zh) 一种基于大数据的恶意代码检测方法
CN118314424B (zh) 基于边缘场景的车路协同自进化学习多模态校验方法
Chen et al. Vehicle detection based on multifeature extraction and recognition adopting RBF neural network on ADAS system
CN111274971A (zh) 一种基于颜色空间融合网络及空间变换网络的交通识别方法
CN113837085A (zh) 基于领域自适应卷积神经网络的电子鼻漂移补偿方法
CN116954113B (zh) 智能机器人驱动传感智能控制系统及其方法
CN112381017A (zh) 一种基于感知级联上下文的车辆重识别方法
CN111126173A (zh) 一种高精度人脸检测方法
Oublal et al. An advanced combination of semi-supervised Normalizing Flow & Yolo (YoloNF) to detect and recognize vehicle license plates
CN116091964A (zh) 高位视频场景解析方法以及系统
CN113301020B (zh) 一种基于rgb图像编码的车辆总线攻击检测方法
CN117765486A (zh) 模型训练、车道线检测方法、装置、电子设备及存储介质
CN114529885A (zh) 一种道路交通护栏识别方法及装置
CN112990210A (zh) 一种基于二维空间注意力的车牌识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant