CN113612786B - 一种车辆总线的入侵检测系统及方法 - Google Patents

一种车辆总线的入侵检测系统及方法 Download PDF

Info

Publication number
CN113612786B
CN113612786B CN202110910706.1A CN202110910706A CN113612786B CN 113612786 B CN113612786 B CN 113612786B CN 202110910706 A CN202110910706 A CN 202110910706A CN 113612786 B CN113612786 B CN 113612786B
Authority
CN
China
Prior art keywords
recognizer
frame
message
neural network
frames
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110910706.1A
Other languages
English (en)
Other versions
CN113612786A (zh
Inventor
刘�文
许剑新
褚健
杨根科
王宏武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ningbo Institute Of Artificial Intelligence Shanghai Jiaotong University
Original Assignee
Ningbo Institute Of Artificial Intelligence Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ningbo Institute Of Artificial Intelligence Shanghai Jiaotong University filed Critical Ningbo Institute Of Artificial Intelligence Shanghai Jiaotong University
Priority to CN202110910706.1A priority Critical patent/CN113612786B/zh
Publication of CN113612786A publication Critical patent/CN113612786A/zh
Application granted granted Critical
Publication of CN113612786B publication Critical patent/CN113612786B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/048Activation functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/0001Systems modifying transmission characteristics according to link quality, e.g. power backoff
    • H04L1/0036Systems modifying transmission characteristics according to link quality, e.g. power backoff arrangements specific to the receiver
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Computer Hardware Design (AREA)
  • Small-Scale Networks (AREA)
  • Medical Informatics (AREA)
  • Quality & Reliability (AREA)

Abstract

本发明公开了一种车辆总线的入侵检测系统及方法,涉及车载网络的入侵检测技术领域,所述系统包括CAN帧识别模块、帧格式检验模块、CRC检验模块、对抗生成神经网络检测模块,所述对抗生成神经网络检测模块内置对抗生成神经网络模型,所述对抗生成神经网络模型接收所述CRC检验模块传递过来的所述CAN报文,判别车辆是否遭受异常入侵,并生成判别结果。所述方法包括以下步骤:步骤1、获取CAN报文并将所述CAN报文中的CAN帧进行分类;步骤2、校验所述CAN帧的帧格式;步骤3、校验所述CAN帧的CRC码;步骤4、将所述CAN帧输入对抗生成神经网络模型进行异常检测,判断所述CAN报文是否先后遭受已知攻击和未知攻击,若遭受已知攻击或未知攻击则报警。

Description

一种车辆总线的入侵检测系统及方法
技术领域
本发明涉及车载网络的入侵检测技术领域,尤其涉及一种车辆总线的入侵检测系统及方法。
背景技术
随着互联网技术的发展,伴随人们对工作及生活方便化、快捷化、高效化的追求,汽车产业朝着智能化、网联化发展的趋势愈发显著,智能网联车的时代已经到来。智能网联车通过与无线通信与网络技术的结合,便利了我们的生活,但是随之也带来了巨大的安全威胁。智能网联车打破了传统燃油汽车作为一个独立封闭个体的物理保护机制,为信息窃取、病毒植入等各种黑客手段提供了攻击入口和载体。
汽车上的各个执行机构由电子控制单元(Electronic Control Unit,ECU)控制,各个ECU通过控制器局域网(Control Area Network,CAN)总线进行通信。虽然CAN总线具有突出的可靠性、实时性,并且低成本,但是它也存在着广播传输、无认证机制、无加密机制、仲裁响应机制等固有的安全漏洞。
专利申请CN108989319A公开了一种基于CAN总线的车辆入侵检测方法及车辆入侵检测装置。所述方法包括:获取控制器局域网络CAN总线上传输的与车辆在当前第一预设时段内的状态相关联的至少一参数以及所述当前第一预设时段内所述车辆的环境信息;根据所述环境信息确定所述至少一参数在所述当前第一预设时段内对应的约束条件;根据所述至少一参数以及所述至少一参数在所述当前第一预设时段内对应的约束条件,确定所述当前第一预设时段内是否发生入侵事件。该方法的前提是必须从大量报文中提取关键参数,在实际车辆上,即便是小型轿车平均每秒也会产生三四百条报文。这些报文的内部包含着各式各样的参数信息,很难分离出关键参数。
专利申请CN104320295B通过调用检测函数来判断CAN帧的异常。检测函数包括对CAN帧标识符(identifier,ID)的检测、对统计特性的检测、对语义范围的检测、对语义相关性的检测。该专利所述方法应用的前提是必须充分了解车辆的CAN通信矩阵,即了解车辆中总共有哪些CAN标识符,以及每个CAN标识符数据域里每一位代表的物理信息,但是大部分车场基于安全和自身利益的角度,并不会公开自己的CAN通信矩阵。
因此,本领域的技术人员致力于开发一种新的车辆总线的入侵检测系统及方法,无需从大量报文中提取关键参数,也无需知道车辆的通讯矩阵,在不涉及主机厂的商密信息的情况下,即可实现对车辆是否受到外部攻击的检测。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是如何在无需知道车辆的通讯矩阵,也不涉及主机厂的商密信息的情况下,实现对车辆是否受到外部攻击的检测。
为实现上述目的,本发明提供了一种基于对抗生成神经网络的车辆入侵检测系统及方法,用于识别具有复杂关系的攻击序列的攻击,主要通过对车载CAN报文的采集和分析,识别是否存在针对车辆的攻击,从而实现异常和入侵检测。该方法通过接入车辆OBDII接口,获取车辆的实时CAN帧并识别CAN帧类型,根据所属帧类型,校验该帧的格式,若帧格式错误,则丢弃该帧并报警。对帧格式正确的远程帧和数据帧进行CRC码校验,若CRC码错误,则丢弃该帧并报警。若CRC码校验正确,则将该帧与其相邻的共64条帧依序组成CAN帧时序流输入到对抗生成神经网络中进行异常检测,第一个识别器检查该段时序内车辆是否遭受已在攻击库里的攻击报文攻击,第二个识别器检查车辆是否遭受不在已知攻击库里的未知攻击入侵,若受到攻击就报警。
为实现上述目的,本发明提供了一种车辆总线的入侵检测系统,用于识别具有复杂关系的攻击序列的攻击,包括:
CAN帧识别模块,所述CAN帧识别模块获取CAN报文并将所述CAN报文的CAN帧分成四类,分别为过载帧、错误帧、远程帧和数据帧;
帧格式检验模块,所述帧格式检验模块连接所述CAN帧识别模块,对所述过载帧、所述错误帧、所述远程帧和所述数据帧进行格式检验,若任何帧有格式错误则丢弃该帧并报警;
CRC检验模块,所述CRC检验模块连接所述帧格式检验模块,对所述远程帧和所述数据帧的CRC码进行校验,若所述CRC码错误则丢弃该帧并报警;
对抗生成神经网络检测模块,所述对抗生成神经网络检测模块连接所述CRC检验模块,所述对抗生成神经网络检测模块内置对抗生成神经网络模型,所述对抗生成神经网络模型接收所述CRC检验模块传递过来的所述CAN报文,判别车辆是否遭受异常入侵,并生成判别结果。
进一步地,所述对抗生成神经网络模型包括一个生成器和两个识别器,所述两个识别器分别为第一识别器和第二识别器;
所述第一识别器判断所述CAN报文是否遭受已知攻击,若遭受则将所述判别结果设置为遭受异常入侵;
所述第二识别器判断所述CAN报文是否遭受未知攻击,若遭受则将所述判别结果设置为遭受异常入侵;
所述已知攻击与所述未知攻击为预先设置。
进一步地,所述对抗生成神经网络模型在接收所述CRC检验模块传递过来的所述CAN报文后,对所述CAN报文的每64条所述CAN帧组成的数据段进行异常检测。
进一步地,所述CAN帧识别模块是将CAN分析仪连接到所述车辆的OBDII接口上获取车载网络上的所述所有CAN报文,并利用所述CAN分析仪对接收到的所述CAN帧进行分类。
进一步地,还包括结果输出模块,所述结果输出模块连接所述对抗生成神经网络检测模块,接收所述判别结果并输出。
本发明还提供了一种车辆总线的入侵检测方法,所述方法包括以下步骤:
步骤1、获取CAN报文并将所述CAN报文中的CAN帧进行分类;
步骤2、校验所述CAN帧的帧格式,若所述帧格式错误则丢弃该帧并报警;
步骤3、校验所述CAN帧的CRC码,若所述CRC码错误则丢弃该帧并报警;
步骤4、将通过所述步骤2和所述3校验的所述CAN帧输入对抗生成神经网络模型进行异常检测,判断所述CAN报文是否先后遭受已知攻击和未知攻击,若遭受已知攻击或未知攻击则报警。
进一步地,所述步骤1包括:
步骤1.1、将CAN分析仪连接到车辆的OBDII接口上获取车载网络上的所述所有CAN报文;
步骤1.2、利用所述CAN分析仪将接收到的所述CAN报文中的所述CAN帧分成四类,分别为过载帧、错误帧、远程帧和数据帧。
进一步地,所述步骤3仅对所述远程帧和所述数据帧进行所述CRC码的校验。
进一步地,所述步骤4中的所述对抗生成神经网络模型的建立包括以下步骤:
步骤4.1、进行数据预处理,将所述CAN报文的每64条所述CAN帧组成的时序信号,通过二进制编码输入到对抗生成神经网络中;
步骤4.2、进行数据导入及划分,根据已知攻击库中的攻击帧类型创建攻击帧和正常帧,构建数据集;将所述数据集里的70%作为训练集数据,30%作为测试集数据;
步骤4.3、初始化所述对抗生成神经网络,采用一个生成器和两个识别器的神经网络结构;所述两个识别器分别为第一识别器和第二识别器;所述第一识别器包括一个深度置信神经网络;所述深度置信网络包括三层受限玻尔兹曼机和一个soft-max;所述受限玻尔兹曼机的各隐藏层的网络结点个数分别为400、200和50;所述soft-max的输出层的网络结点个数为2;所述受限玻尔兹曼机的各隐藏层的偏差初始化均为0,权重初始化为符合标准正态分布的随机数;所述生成器和所述第二识别器均由一个四层全连接网络构成,参数初始化由pytorch工具里的nn.Linear()函数完成;所述生成器的各隐藏层的网络结点个数分别为400、400、200,所述生成器的输出层的网络结点个数为64;所述第二识别器的各隐藏层的网络结点个数分别为400、400、200,所述第二识别器的输出层由一个Sigmoid函数构成;
步骤4.4、训练所述对抗生成神经网络,首先,训练所述第一识别器,将所述训练集数据输入所述第一识别器,进行网络正向传递计算,得到预测结果y_hat,计算所述y_hat和实际结果y之间的交叉熵,反向传播机制通过Adam优化器来更新参数,更新迭代次数设为300次;然后,训练所述第二识别器,将所述生成器和真实时序报文输入到所述第二识别器,损失函数设为预测结果和真实结果的交叉熵加上惩罚项gp,反向传播机制通过Adam优化器来更新参数,更新迭代参数为5次;每训练5次所述第二识别器,训练1次所述生成器;最后,训练所述生成器,所述生成器的损失函数设为生成报文与真实报文间的均方差,反向传播通过Adam优化算法来更新所述生成器的参数;将所述第二识别器与所述生成器组成循环训练3000次,将最终训练得到的所述第二识别器作为最终的所述对抗生成神经网络模型;
步骤4.5、将所述车辆实时产生的所述CAN报文输入到训练好的所述第一识别器进行已知攻击的识别,再将没有识别出异常的所述CAN报文输入到所述第二识别器中进行未知攻击的识别。
进一步地,在所述步骤4建立所述对抗生成神经网络模型之后,先通过所述第一识别器判断该时间段内的所述CAN报文是否遭受已知攻击,若遭受则报警;再通过所述第二识别器判断所述CAN报文是否遭受未知攻击,若遭受,先通过所述对抗生成神经网络捕捉所述未知攻击的潜在特征并补充进所述已知攻击库,并报警。
本发明提供的一种车辆总线的入侵检测系统及方法至少具有如下技术效果:
现有的车载网络入侵检测技术需要检测方掌握检测车辆的CAN通信矩阵,涉及到主机厂的商密信息,通常不易获取,并且现有方法需根据参数与环境关联之间的约束条件来设定正常的阈值,此参数的确定和关联性的确定依靠人为推断,工作量巨大且找到的参数及其关联并不一定正确或存在片面性,且这种参数阈值的设定只适用于所设定类型车辆,其他类型车辆又要重新开始寻找参数。本发明实施例所提出的车辆总线入侵检测系统及方法,不依赖于是否获取车辆的CAN通信矩阵,而直接由神经网络自己来记忆并提取关键参数以及它们之间的正确关联,大大提高了异常检测效率,并且适用性广泛。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一个较佳实施例的车辆入侵检测系统的流程图;
图2是本发明的一个较佳实施例的对抗生成网络模块的结构图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
现有的车载网络入侵检测技术需要检测方掌握检测车辆的CAN通信矩阵,涉及到主机厂的商密信息,通常不易获取,并且现有方法需根据参数与环境关联之间的约束条件来设定正常的阈值,此参数的确定和关联性的确定依靠人为推断,工作量巨大且找到的参数及其关联并不一定正确或存在片面性,且这种参数阈值的设定只适用于所设定类型车辆,其他类型车辆又要重新开始寻找参数。本发明实施例提出的一种车辆总线的入侵检测系统及方法,不依赖于是否获取车辆的CAN通信矩阵,而直接由神经网络自己来记忆并提取关键参数以及它们之间的正确关联,大大提高了异常检测效率,并且适用性广泛。本发明所提供的技术方案主要通过对车载CAN报文的采集和分析,识别是否存在针对车辆的攻击,从而实现异常和入侵检测。该方法通过接入车辆OBDII接口,获取车辆的实时CAN帧并识别CAN帧类型,根据所属帧类型,校验该帧的格式,若帧格式错误,则丢弃该帧并报警。对帧格式正确的远程帧和数据帧进行CRC码校验,若CRC码错误,则丢弃该帧并报警。若CRC码校验正确,则将该帧与其相邻的共64条帧依序组成CAN帧时序流输入到对抗生成神经网络中进行异常检测,第一个识别器检查该段时序内车辆是否遭受已在攻击库里的攻击报文攻击,第二个识别器检查车辆是否遭受不在已知攻击库里的未知攻击入侵,若受到攻击就报警。
本发明实施例所提供的一种车辆总线的入侵检测系统(如图1所示),用于识别具有复杂关系的攻击序列的攻击,包括:
CAN帧识别模块,CAN帧识别模块获取CAN报文并将CAN报文的CAN帧分成四类,分别为过载帧、错误帧、远程帧和数据帧;
帧格式检验模块,帧格式检验模块连接CAN帧识别模块,对过载帧、错误帧、远程帧和数据帧进行格式检验,若任何帧有格式错误则丢弃该帧并报警;
CRC检验模块,CRC检验模块连接帧格式检验模块,对远程帧和数据帧的CRC码进行校验,若CRC码错误则丢弃该帧并报警;
对抗生成神经网络检测模块,对抗生成神经网络检测模块连接CRC检验模块,对抗生成神经网络检测模块内置对抗生成神经网络模型,对抗生成神经网络模型接收CRC检验模块传递过来的CAN报文,判别车辆是否遭受异常入侵,并生成判别结果。
其中,对抗生成神经网络模型包括一个生成器和两个识别器,两个识别器分别为第一识别器和第二识别器;
第一识别器判断CAN报文是否遭受已知攻击,若遭受则将判别结果设置为遭受异常入侵;
第二识别器判断CAN报文是否遭受未知攻击,若遭受则将判别结果设置为遭受异常入侵;
已知攻击与未知攻击为预先设置。
其中,对抗生成神经网络模型在接收CRC检验模块传递过来的CAN报文后,对CAN报文的每64条CAN帧组成的数据段进行异常检测。
其中,CAN帧识别模块是将CAN分析仪连接到车辆的OBDII接口上获取车载网络上的所有CAN报文,并利用CAN分析仪对接收到的CAN帧进行分类。
入侵检测系统还包括结果输出模块,结果输出模块连接对抗生成神经网络检测模块,接收判别结果并输出。
本发明的理论基础是:车上的每个行为都会被ECU记录并产生相应的CAN报文,同时通过CAN总线告知彼此车上部件的状态。CAN报文本身有一定的格式,外部注入的报文可能不符合这个正确格式,且CAN报文里的一些单元都有具体的物理含义,比如数据域中的某一比特位的0/1状态可能象征着故障灯的开/闭状态,CAN报文里的标识符是每个ECU的标识符。外部入侵产生的报文如:dos攻击会产生CAN ID为0x000的报文,这种报文在真实的车辆中是不存在的。车企在车辆生产前会为自己某一类型的车设计专有的CAN通信矩阵以规定每个ECU的CAN ID和数据域里每一位具体的物理含义,但是这个通信矩阵一般是保密的。同时,车内事件的发生顺序是有其固有规律,如:先踩刹车车速才会下降。可以先通过第一个由神经网络构成的判别器来学习车内应有的正常CAN报文流,来识别异常报文,再由神经网络构成的生成器通过逼近已知攻击报文来生成未知攻击,用第二识别器来识别未知攻击。如果两个识别都认为此报文正常,则认为车辆没有受到攻击。
本发明还提供了一种车辆总线的入侵检测方法,包括以下步骤:
步骤1、获取CAN报文并将CAN报文中的CAN帧进行分类;
步骤2、校验CAN帧的帧格式,若帧格式错误则丢弃该帧并报警;
步骤3、校验CAN帧的CRC码,若CRC码错误则丢弃该帧并报警;
步骤4、将通过步骤2和3校验的CAN帧输入对抗生成神经网络模型进行异常检测,判断CAN报文是否先后遭受已知攻击和未知攻击,若遭受已知攻击或未知攻击则报警。
其中,步骤1包括:
步骤1.1、将CAN分析仪连接到车辆的OBDII接口上获取车载网络上的所有CAN报文;
步骤1.2、利用CAN分析仪将接收到的CAN报文中的CAN帧分成四类,分别为过载帧、错误帧、远程帧和数据帧。
不同的CAN帧种类具有不同的帧格式。
在步骤2中,根据步骤1确定的帧格式,校验该帧。对于过载帧和错误帧,只对它进行帧格式的检验,若帧格式错误则丢弃该帧并报警。对于远程帧和数据帧,先对其进行帧格式的检验,若帧格式错误则丢弃该帧并报警。
其中,步骤3仅对远程帧和数据帧进行CRC码的校验。
其中,步骤4中的对抗生成神经网络模型的建立包括以下步骤:
步骤4.1、进行数据预处理,将CAN报文的每64条CAN帧组成的时序信号,通过二进制编码输入到对抗生成神经网络中;
步骤4.2、进行数据导入及划分,根据已知攻击库中的攻击帧类型创建攻击帧和正常帧,构建数据集;将数据集里的70%作为训练集数据,30%作为测试集数据;
步骤4.3、初始化对抗生成神经网络,采用一个生成器和两个识别器的神经网络结构;两个识别器分别为第一识别器和第二识别器;第一识别器包括一个深度置信神经网络;深度置信网络包括三层受限玻尔兹曼机和一个soft-max;受限玻尔兹曼机的各隐藏层的网络结点个数分别为400、200和50;soft-max的输出层的网络结点个数为2;受限玻尔兹曼机的各隐藏层的偏差初始化均为0,权重初始化为符合标准正态分布的随机数;生成器和第二识别器均由一个四层全连接网络构成,参数初始化由pytorch工具里的nn.Linear()函数完成;生成器的各隐藏层的网络结点个数分别为400、400、200,生成器的输出层的网络结点个数为64;第二识别器的各隐藏层的网络结点个数分别为400、400、200,第二识别器的输出层由一个Sigmoid函数构成;
步骤4.4、训练对抗生成神经网络,首先,训练第一识别器,将训练集数据输入第一识别器,进行网络正向传递计算,得到预测结果y_hat,计算y_hat和实际结果y之间的交叉熵,反向传播机制通过Adam优化器来更新参数,更新迭代次数设为300次;然后,训练第二识别器,将生成器和真实时序报文输入到第二识别器,损失函数设为预测结果和真实结果的交叉熵加上惩罚项gp,反向传播机制通过Adam优化器来更新参数,更新迭代参数为5次;每训练5次第二识别器,训练1次生成器;最后,训练生成器,生成器的损失函数设为生成报文与真实报文间的均方差,反向传播通过Adam优化算法来更新生成器的参数;将第二识别器与生成器组成循环训练3000次,将最终训练得到的第二识别器作为最终的对抗生成神经网络模型;
步骤4.5、将车辆实时产生的CAN报文输入到训练好的第一识别器进行已知攻击的识别,再将没有识别出异常的CAN报文输入到第二识别器中进行未知攻击的识别。
其中,在步骤4建立对抗生成神经网络模型之后,先通过第一识别器判断该时间段内的CAN报文是否遭受已知攻击,若遭受则报警;再通过第二识别器判断CAN报文是否遭受未知攻击,若遭受,先通过对抗生成神经网络捕捉未知攻击的潜在特征并补充进已知攻击库,并报警(如图2所示)。
还包括步骤5,将车辆上实时产生的CAN报文输入到车辆入侵检测系统中,判别车辆是否遭受了异常入侵。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (2)

1.一种车辆总线的入侵检测方法,其特征在于,所述方法包括以下步骤:
步骤1、获取CAN报文并将所述CAN报文中的CAN帧进行分类;
步骤2、校验所述CAN帧的帧格式,若所述帧格式错误则丢弃该帧并报警;
步骤3、校验所述CAN帧的CRC码,若所述CRC码错误则丢弃该帧并报警;
步骤4、将通过所述步骤2和所述步骤3校验的所述CAN帧输入对抗生成神经网络模型进行异常检测,判断所述CAN报文是否先后遭受已知攻击和未知攻击,若遭受已知攻击或未知攻击则报警;
所述步骤1包括:
步骤1.1、将CAN分析仪连接到车辆的OBDII接口上获取车载网络上的所述CAN报文;
步骤1.2、利用所述CAN分析仪将接收到的所述CAN报文中的所述CAN帧分成四类,分别为过载帧、错误帧、远程帧和数据帧;
所述步骤3仅对所述远程帧和所述数据帧进行所述CRC码的校验;
所述步骤4中的所述对抗生成神经网络模型的建立包括以下步骤:
步骤4.1、进行数据预处理,将所述CAN报文的每64条所述CAN帧组成的时序信号,通过二进制编码输入到对抗生成神经网络中;
步骤4.2、进行数据导入及划分,根据已知攻击库中的攻击帧类型创建攻击帧和正常帧,构建数据集;将所述数据集里的70%作为训练集数据,30%作为测试集数据;
步骤4.3、初始化所述对抗生成神经网络,采用一个生成器和两个识别器的神经网络结构;所述两个识别器分别为第一识别器和第二识别器;所述第一识别器包括一个深度置信神经网络;所述深度置信神经网络包括三层受限玻尔兹曼机和一个soft-max;所述受限玻尔兹曼机的各隐藏层的网络结点个数分别为400、200和50;所述soft-max的输出层的网络结点个数为2;所述受限玻尔兹曼机的各隐藏层的偏差初始化均为0,权重初始化为符合标准正态分布的随机数;所述生成器和所述第二识别器均由一个四层全连接网络构成,参数初始化由pytorch工具里的nn.Linear()函数完成;所述生成器的各隐藏层的网络结点个数分别为400、400、200,所述生成器的输出层的网络结点个数为64;所述第二识别器的各隐藏层的网络结点个数分别为400、400、200,所述第二识别器的输出层由一个Sigmoid函数构成;
步骤4.4、训练所述对抗生成神经网络,首先,训练所述第一识别器,将所述训练集数据输入所述第一识别器,进行网络正向传递计算,得到预测结果y_hat,计算所述y_hat和实际结果y之间的交叉熵,反向传播机制通过Adam优化器来更新参数,更新迭代次数设为300次;然后,训练所述第二识别器,将所述生成器和真实时序报文输入到所述第二识别器,损失函数设为预测结果和真实结果的交叉熵加上惩罚项gp,反向传播机制通过Adam优化器来更新参数,更新迭代参数为5次;每训练5次所述第二识别器,训练1次所述生成器;最后,训练所述生成器,所述生成器的损失函数设为生成报文与所述真实时序报文间的均方差,反向传播通过Adam优化算法来更新所述生成器的参数;将所述第二识别器与所述生成器组成循环训练3000次,将最终训练得到的所述第二识别器作为最终的所述对抗生成神经网络模型;
步骤4.5、将所述车辆实时产生的所述CAN报文输入到训练好的所述第一识别器进行已知攻击的识别,再将没有识别出异常的所述CAN报文输入到所述第二识别器中进行未知攻击的识别。
2.如权利要求1所述的车辆总线的入侵检测方法,其特征在于,在所述步骤4建立所述对抗生成神经网络模型之后,先通过所述第一识别器判断所述步骤1中获取且通过所述步骤2和所述步骤3校验的所述CAN报文是否遭受已知攻击,若遭受则报警;再通过所述第二识别器判断所述CAN报文是否遭受未知攻击,若遭受,先通过所述对抗生成神经网络捕捉所述未知攻击的潜在特征并补充进所述已知攻击库,并报警。
CN202110910706.1A 2021-08-09 2021-08-09 一种车辆总线的入侵检测系统及方法 Active CN113612786B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110910706.1A CN113612786B (zh) 2021-08-09 2021-08-09 一种车辆总线的入侵检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110910706.1A CN113612786B (zh) 2021-08-09 2021-08-09 一种车辆总线的入侵检测系统及方法

Publications (2)

Publication Number Publication Date
CN113612786A CN113612786A (zh) 2021-11-05
CN113612786B true CN113612786B (zh) 2023-04-07

Family

ID=78307773

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110910706.1A Active CN113612786B (zh) 2021-08-09 2021-08-09 一种车辆总线的入侵检测系统及方法

Country Status (1)

Country Link
CN (1) CN113612786B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114157469B (zh) * 2021-11-27 2024-04-02 北京工业大学 基于域对抗神经网络的车载网络变种攻击入侵检测方法
CN114047735A (zh) * 2022-01-12 2022-02-15 华北理工大学 一种多工业主机的故障检测方法、系统和服务系统
CN114615086B (zh) * 2022-04-14 2023-11-03 合肥工业大学 一种车载can网络入侵检测方法
CN115022414B (zh) * 2022-04-20 2023-08-22 华东师范大学 一种面向车辆电子控制单元的can id逆向及确定方法
DE102022205672B3 (de) * 2022-06-02 2023-09-21 Zf Friedrichshafen Ag Schutz vor Cybersecurity-Attacken auf Getriebesteuergeräte
CN115412327B (zh) * 2022-08-23 2023-04-07 北京天融信网络安全技术有限公司 控制器局域网络can报文的检测方法、装置、设备及介质
CN115664737B (zh) * 2022-10-14 2024-05-14 一汽解放汽车有限公司 一种入侵检测系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019144521A1 (zh) * 2018-01-23 2019-08-01 杭州电子科技大学 信息物理交通系统中基于深度学习的恶意攻击检测方法
WO2020220439A1 (zh) * 2019-04-29 2020-11-05 东北大学 基于深度神经网络的高速公路交通流量状态识别方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106713061B (zh) * 2015-11-17 2020-12-01 阿里巴巴集团控股有限公司 监测攻击报文的方法、系统及装置
CN108390869B (zh) * 2018-02-08 2020-10-27 成都信息工程大学 集成深度学习的车载智能网关装置及其命令序列检测方法
CN111131185B (zh) * 2019-12-06 2022-12-09 中国电子科技网络信息安全有限公司 基于机器学习的can总线网络异常检测方法及装置
CN111131247B (zh) * 2019-12-24 2020-12-25 国家计算机网络与信息安全管理中心 一种车载内部网络入侵检测系统
CN111343147B (zh) * 2020-02-05 2020-12-11 北京中科研究院 一种基于深度学习的网络攻击检测装置及方法
CN112437084B (zh) * 2020-11-23 2023-02-28 上海工业自动化仪表研究院有限公司 一种攻击特征提取的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019144521A1 (zh) * 2018-01-23 2019-08-01 杭州电子科技大学 信息物理交通系统中基于深度学习的恶意攻击检测方法
WO2020220439A1 (zh) * 2019-04-29 2020-11-05 东北大学 基于深度神经网络的高速公路交通流量状态识别方法

Also Published As

Publication number Publication date
CN113612786A (zh) 2021-11-05

Similar Documents

Publication Publication Date Title
CN113612786B (zh) 一种车辆总线的入侵检测系统及方法
Hanselmann et al. CANet: An unsupervised intrusion detection system for high dimensional CAN bus data
Song et al. In-vehicle network intrusion detection using deep convolutional neural network
CN110149345B (zh) 一种基于报文序列预测的车载网络入侵检测方法
CN105703963B (zh) 基于pso‑ocsvm的工业控制系统通信行为异常检测方法
CN108390869B (zh) 集成深度学习的车载智能网关装置及其命令序列检测方法
CN112671701B (zh) 基于车载网络异常行为特征驱动的车载终端入侵检测方法
CN111885060B (zh) 面向车联网的无损式信息安全漏洞检测系统和方法
CN111770069B (zh) 一种基于入侵攻击的车载网络仿真数据集生成方法
Stan et al. Intrusion detection system for the MIL-STD-1553 communication bus
Tanksale Intrusion detection for controller area network using support vector machines
CN111970229A (zh) 一种针对多种攻击方式的can总线数据异常检测方法
Yu et al. TCE-IDS: Time interval conditional entropy-based intrusion detection system for automotive controller area networks
Nguyen et al. Transformer-based attention network for in-vehicle intrusion detection
Sun et al. Analysis of id sequences similarity using DTW in intrusion detection for CAN bus
Park et al. G-idcs: Graph-based intrusion detection and classification system for can protocol
Rumez et al. Anomaly detection for automotive diagnostic applications based on N-grams
Longari et al. Candito: improving payload-based detection of attacks on controller area networks
CN116418591A (zh) 一种计算机网络安全入侵智能检测系统
Agbaje et al. A Framework for Consistent and Repeatable Controller Area Network IDS Evaluation
Jaoudi et al. Conversion of an unsupervised anomaly detection system to spiking neural network for car hacking identification
Qiu et al. Research on vehicle network intrusion detection technology based on dynamic data set
Hou et al. Zero-day vulnerability inspired hazard assessment for autonomous driving vehicles
Kim et al. Hidden Markov Model based Anomaly Detection Method for In-vehicle Network.
Awaad et al. An Intelligent, Two-Stage, In-Vehicle Diagnostic-Based Secured Framework

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant