CN113992533B - 一种车载can总线数据异常检测识别方法 - Google Patents

一种车载can总线数据异常检测识别方法 Download PDF

Info

Publication number
CN113992533B
CN113992533B CN202111626681.9A CN202111626681A CN113992533B CN 113992533 B CN113992533 B CN 113992533B CN 202111626681 A CN202111626681 A CN 202111626681A CN 113992533 B CN113992533 B CN 113992533B
Authority
CN
China
Prior art keywords
layer
network
data
output
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111626681.9A
Other languages
English (en)
Other versions
CN113992533A (zh
Inventor
卢继武
许鹤
吴迪
刘敏
高兵
翟东媛
何敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202111626681.9A priority Critical patent/CN113992533B/zh
Publication of CN113992533A publication Critical patent/CN113992533A/zh
Application granted granted Critical
Publication of CN113992533B publication Critical patent/CN113992533B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种车载CAN总线数据异常检测识别方法,采用改造后的自注意力机制融合多层GRU网络的模型架构,利用自注意力机制的特点,增强数据的时序特征,通过多层GRU网络用于进一步提取多维时序数据特征,提高CAN总线数据的识别准确率。

Description

一种车载CAN总线数据异常检测识别方法
技术领域
本发明涉及车载安全领域,特别涉及一种车载CAN总线数据异常检测识别方法。
背景技术
CAN总线协议由于其低成本、高可靠性、实时性、抗干扰能力强的特点,已广泛应用于工业自动化控制系统中,在汽车电子领域,CAN总线已经成为实质上的通信标准。
但随着汽车自动化能力不断提升,车载ECU的数量也不断增加,车载网络愈加复杂,对外暴露的接口给CAN总线带来了很多不可预测的安全威胁。CAN总线内置的安全机制主要是为了保证通信的可靠性,无法防止或者检测车载网络受到入侵攻击。
CAN总线遭受入侵攻击,一方面有可能造成车载网络通信瘫痪、阻塞、数据被篡改,最终导致车辆行驶状态异常,危及车辆与人员安全;另一方面,还可能会涉及个人隐私数据泄露以及相应的财产损失。为了解决CAN总线的安全防护问题,业内进行了广泛的研究。其中包括对可能存在的安全威胁问题进行实验攻击,以及针对已知攻击类型提出预防方法,常见的攻击类型包括DoS攻击、模糊攻击、欺骗攻击、重放攻击等。常见的防护手段包括基于统计学原理的报文分析、基于深度学习的入侵检测算法模型。
通过大量的文献调研了解到,基于深度学习的入侵检测系统研究是近几年的研究热点。利用机器学习的优势,识别CAN总线不同异常攻击类别,相比于传统统计学原理,具有很高的异常识别准确率,具有很大的研究意义与应用价值。
发明内容
为解决以上技术问题,本发明公开一种车载CAN总线数据异常检测识别方法,利用自注意力机制的特点,增强数据的时序特征,通过多层GRU网络用于进一步提取多维时序数据特征,提高CAN总线数据的识别准确率。
本发明公开一种车载CAN总线数据异常检测识别方法,包括以下步骤:
S1:将车载CAN总线的CAN_H、CAN_L数据线与CAN数据采集仪进行连接,通过CAN数据采集仪采集CAN总线上的CAN数据帧;
S2:通过串口将CAN数据帧发送至上位机程序,解析得到CAN ID和对应的采集时间戳,生成原始数据集;
S3:从原始数据集中提取CAN ID 的比特信息生成用于模型输入的CAN ID 比特流时序数据;
S4:将CAN ID比特时序数据输入到自注意力机制融合多层GRU神经网络模型中,进行数据异常状态识别,最终得到CAN总线数据异常识别结果。
进一步地,所述自注意力机制融合多层GRU神经网络模型分为自注意力机制网络层和多层GRU网络,输入数据首先经过自注意力机制网络层的处理得到输出特征性矩阵,输出特征性矩阵输入多层GRU网络得到CAN总线数据异常识别结果。
进一步地,所述输出特征性向量的具体计算步骤如下:
S3-1:通过输入的CAN ID特征矩阵,计算得到自注意力机制网络中的Q、K、V特征矩阵,计算公式如下:
Figure DEST_PATH_IMAGE001
其中
Figure DEST_PATH_IMAGE002
为多时间步多维度的CAN ID 输入特征矩阵;(1,1) 代表二维卷积核为1x1,
Figure 100002_DEST_PATH_IMAGE003
为一个特征举证的卷积输出通道数;
Figure DEST_PATH_IMAGE004
表示整体的卷积输出通道数;
Figure 100002_DEST_PATH_IMAGE005
代表二维卷积函数,卷积函数的输出结果平均切分成三个部分,分别为Q,K,V特征矩阵,Q、K是用于计算自注意力机制权重的特征矩阵,V是表示输入特征的矩阵;
S3-2:将计算得到的Q、K特征矩阵作为下一步计算的输入特征向量,通过特征矩阵
Figure DEST_PATH_IMAGE006
与特征矩阵K的转置
Figure 100002_DEST_PATH_IMAGE007
做矩阵乘法后经过
Figure DEST_PATH_IMAGE008
激活函数得到输出值
Figure 100002_DEST_PATH_IMAGE009
,其计算表达式如下所示:
Figure DEST_PATH_IMAGE010
S3-3:将特征矩阵V与
Figure 49740DEST_PATH_IMAGE009
做矩阵乘法,得到的结果输出卷积层的输入特征矩阵,计算过程如下所示:
Figure 100002_DEST_PATH_IMAGE011
其中,(1,1)表示二维矩阵卷积核,
Figure DEST_PATH_IMAGE012
为最终自注意力机制网络层的输出通道数,
Figure 100002_DEST_PATH_IMAGE013
为自注意力机制网络的输出特征矩阵,也是多层GRU网络的输入特征矩阵。
S3-4:将
Figure DEST_PATH_IMAGE014
设置为1,则
Figure 622673DEST_PATH_IMAGE013
Figure 933568DEST_PATH_IMAGE002
的维度一致,自注意力机制网络层相当于一个权重层,于是自注意力机制网络的输出特征矩阵可表示为:
Figure 100002_DEST_PATH_IMAGE015
其中,
Figure 125515DEST_PATH_IMAGE013
是输出特征矩阵,包括11个维度的比特信息,t代表时间步长,
Figure DEST_PATH_IMAGE016
表示时间步长t的状态下经过自注意力机制网络处理后的CAN ID 比特特征向量。
进一步地,所述多层GRU网络的输出如下:
Figure 100002_DEST_PATH_IMAGE017
其中,
Figure DEST_PATH_IMAGE018
表示多层GRU网络的输出特征向量,L表示网络的层数,T表示总的输入数据时间步长,既取多层GRU网络的最后一层最后一个隐藏层输出作为输出特征向量;
Figure 100002_DEST_PATH_IMAGE019
表示多层GRU网络,
Figure 595680DEST_PATH_IMAGE013
为自注意力机制网络的输出,
Figure DEST_PATH_IMAGE020
表示初始的隐藏层单元状态。
进一步地,所述多层GRU网络的GRU网络层的内部计算步骤如下:
S5-1:计算得到重置门特征向量,计算式如下:
Figure 100002_DEST_PATH_IMAGE021
其中
Figure DEST_PATH_IMAGE022
为第
Figure 100002_DEST_PATH_IMAGE023
层网络隐藏神经单元的内部的第t个重置门特征向量,
Figure DEST_PATH_IMAGE024
表示激活函数,为第t个时间步的输入特征向量,
Figure 100002_DEST_PATH_IMAGE025
表示为第
Figure DEST_PATH_IMAGE026
层第t-1时刻的隐藏层输出向量,
Figure 100002_DEST_PATH_IMAGE027
为第
Figure 995306DEST_PATH_IMAGE023
层网络中重置门隐藏神经单元输入向量的权重矩阵,
Figure DEST_PATH_IMAGE028
为第
Figure 324656DEST_PATH_IMAGE023
层网络中重置门隐藏神经单元上一时间步的隐藏层输出向量的权重参数矩阵,
Figure 100002_DEST_PATH_IMAGE029
为第
Figure 320294DEST_PATH_IMAGE023
层重置门特征向量的偏置向量矩阵;
S5-2:设置不同的权重参数,计算得到更新门特征向量,计算式如下:
Figure DEST_PATH_IMAGE030
其中,
Figure 100002_DEST_PATH_IMAGE031
表示为第
Figure 582648DEST_PATH_IMAGE023
层第t时刻的更新门输出特征向量;
Figure DEST_PATH_IMAGE032
表示计算第
Figure 638329DEST_PATH_IMAGE023
层更新门特征向量所需的偏置向量;
S5-3:在计算得到
Figure 100002_DEST_PATH_IMAGE033
输出后,通过下式计算得到
Figure DEST_PATH_IMAGE034
Figure 986133DEST_PATH_IMAGE034
表示第
Figure 254304DEST_PATH_IMAGE023
层第t时刻的候选隐藏层输出状态特征向量。
Figure 100002_DEST_PATH_IMAGE035
其中,tanh()表示激活函数,
Figure DEST_PATH_IMAGE036
Figure 100002_DEST_PATH_IMAGE037
为第l层网络连接输入值的权重矩阵和偏置向量,
Figure DEST_PATH_IMAGE038
Figure 100002_DEST_PATH_IMAGE039
为第l层网络连接上一时间步隐藏层单元输出值的权重矩阵和偏置向量;
S5-4:以
Figure 964640DEST_PATH_IMAGE034
Figure DEST_PATH_IMAGE040
Figure 456801DEST_PATH_IMAGE026
作为输入,通过下式计算得到隐藏层单元第
Figure 229585DEST_PATH_IMAGE023
层第t时刻的输出值
Figure 100002_DEST_PATH_IMAGE041
Figure DEST_PATH_IMAGE042
S5-5:取多层GRU网络最后一层的隐藏神经单元的最后一个输出状态特征向量作为多层GRU网络模型的输出值
Figure 918359DEST_PATH_IMAGE018
,其表达式如下所示:
Figure 100002_DEST_PATH_IMAGE043
其中,
Figure DEST_PATH_IMAGE044
表示隐藏层输出状态特征向量第m个输出值,
Figure 100002_DEST_PATH_IMAGE045
, M表示隐藏神经单元的数目。
S5-6:通过一层全连接网络层,将多层GRU网络的输出作为输入,计算得到异常识别结果,其计算表示式如下:
Figure DEST_PATH_IMAGE046
其中W为全连接层网络的权重参数矩阵,B为全连接网络的偏置向量。Y为异常识别概率向量,
Figure 100002_DEST_PATH_IMAGE047
表示识别为正常状态的概率,
Figure DEST_PATH_IMAGE048
表示识别为DoS攻击的概率,
Figure 100002_DEST_PATH_IMAGE049
表示识别为模糊攻击的概率,
Figure DEST_PATH_IMAGE050
表示识别为欺骗攻击的概率,
Figure 100002_DEST_PATH_IMAGE051
表示识别为第一类重放攻击的概率,
Figure DEST_PATH_IMAGE052
表示识别为第二类重放攻击的概率。特征向量Y中的最大值所定义的攻击类别即为数据异常识别结果。
进一步地,所述自注意力机制融合多层GRU神经网络模型的模型参数通过CAN ID比特位特征时序数据集训练得到。
进一步地,所述CAN ID 比特位特征时序数据集的生产步骤如下:
S7-1:通过CAN数据采集仪采集真实车辆运行过程中正常状态下的CAN时序数据,提取CAN时序数据中的CAN ID时序数据作为模拟攻击方法的原始数据集,该原始数据集同时包括每个CAN ID的采集时间戳;
S7-2:在原始数据集上,通过原始数据集上的时间戳判断注入的时机,设定模拟攻击的定时时间并执行注入,生成模拟攻击数据集;
S7-3:根据生成的模拟攻击数据集,提取CAN ID的11位比特位信息,生成CAN ID比特位特征时序数据集,提取的公式如下:
Figure 100002_DEST_PATH_IMAGE053
其中
Figure DEST_PATH_IMAGE054
为原始的CAN ID,
Figure 100002_DEST_PATH_IMAGE055
表示所要提取的比特位所在的位置信息,
Figure DEST_PATH_IMAGE056
为第
Figure 44053DEST_PATH_IMAGE055
个比特位信息。
进一步地,所述模拟攻击方法如下所示:
定时注入不定数量的CAN ID为0的数据,得到DoS攻击数据集;
定时注入不定数量的随机CAN ID的数据,得到模糊攻击数据集;
定时注入不定数量的当前时刻CAN ID的数据,得到欺骗攻击数据集;
定时注入一条固定CAN ID 的数据,得到第一类的重放攻击数据集;
定时注入一条当前时刻CAN ID 的数据,得到第二类的重放攻击数据集。
本发明有益效果为:
1、相比起现有技术,本发明采用改造后的自注意力机制融合多层GRU网络的模型架构,利用自注意力机制的特点,增强数据的时序特征,通过多层GRU网络用于进一步提取多维时序数据特征,提高CAN总线数据的识别准确率。
附图说明
附图1为本发明实施例中CAN 总线数据异常状态检测与识别流程的示意图;
附图2为本发明实施例中自注意力机制网络内部计算结构示意图;
附图3为本发明实施例中多层GRU网络层内部计算结构示意图;
附图4为本发明实施例中模拟攻击流程示意图。
具体实施方式
下面结合附图和实施例对本发明的实施方式作进一步描述。需要说明的是,实施例并不对本发明要求保护的范围构成限制。
实施例1
如图1所示,一种车载CAN总线数据异常检测识别方法,包括以下步骤:
S1:将车载CAN总线的CAN_H、CAN_L数据线与CAN数据采集仪进行连接,通过CAN数据采集仪采集CAN总线上的CAN数据帧;
S2:通过串口将CAN数据帧发送至上位机程序,解析得到CAN ID和对应的采集时间戳,生成原始数据;
S3:提取CAN ID 的比特信息生成用于模型输入的CAN ID 比特流时序数据;
S4:将CAN ID比特时序数据输入到自注意力机制融合多层GRU神经网络模型中,进行数据异常状态识别,最终得到CAN总线数据异常识别结果。
如图2至图3所示,自注意力机制融合多层GRU神经网络模型分为自注意力机制网络层和多层GRU网络,输入数据首先经过自注意力机制网络层的处理得到输出特征性矩阵,输出特征性矩阵输入多层GRU网络得到CAN总线数据异常识别结果。
其中,自注意力机制是transformer模型中重要的组成部分,其主要的特点是可以提取时序数据的前序、后序的相关性,即在数据输入到模型之前增加一个权重层,用于增强数据的特征。
自注意力机制中Q、K、V矩阵的获取是通过全连接层实现,
Figure 100002_DEST_PATH_IMAGE057
的结果经过softmax函数激活得到权重矩阵中间结果,再与矩阵V相乘得到输出。为了加快自注意力机制的计算速度以及减少计算所需的参数量,我们将计算得到Q、K、V矩阵的全连接层使用卷积层实现,卷积核大小为
Figure DEST_PATH_IMAGE058
。网络输出采用输出通道为1的卷积层进行卷积,得到与原输入维度一致的输出,作为下一层(Stacked LSTM、GRU)的输入。
所述输出特征性向量的具体计算步骤如下:
S3-1:通过输入的CAN ID特征矩阵,计算得到自注意力机制网络中的Q、K、V特征矩阵,计算公式如下:
Figure 769433DEST_PATH_IMAGE001
其中
Figure DEST_PATH_IMAGE059
为多时间步多维度的CAN ID 输入特征矩阵;(1,1) 代表二维卷积核为1x1,
Figure 763933DEST_PATH_IMAGE003
为一个特征举证的卷积输出通道数;
Figure DEST_PATH_IMAGE060
表示整体的卷积输出通道数;
Figure 701802DEST_PATH_IMAGE005
代表二维卷积函数,卷积函数的输出结果平均切分成三个部分,分别为Q,K,V特征矩阵,Q、K是用于计算自注意力机制权重的特征矩阵,V是表示输入特征的矩阵;
S3-2:将计算得到的Q、K特征矩阵作为下一步计算的输入特征向量,通过特征矩阵
Figure 730938DEST_PATH_IMAGE006
与特征矩阵K的转置
Figure 33744DEST_PATH_IMAGE007
做矩阵乘法后经过
Figure 515541DEST_PATH_IMAGE008
激活函数得到输出值
Figure DEST_PATH_IMAGE061
,其计算表达式如下所示:
Figure 194784DEST_PATH_IMAGE010
S3-3:将特征矩阵V与
Figure 78426DEST_PATH_IMAGE061
做矩阵乘法,得到的结果输出卷积层的输入特征矩阵,计算过程如下所示:
Figure DEST_PATH_IMAGE062
其中,(1,1)表示二维矩阵卷积核,
Figure 83291DEST_PATH_IMAGE012
为最终自注意力机制网络层的输出通道数,
Figure 52384DEST_PATH_IMAGE013
为自注意力机制网络的输出特征矩阵,也是多层GRU网络的输入特征矩阵。
S3-4:将
Figure 4160DEST_PATH_IMAGE014
设置为1,则
Figure 7888DEST_PATH_IMAGE013
Figure 652496DEST_PATH_IMAGE059
的维度一致,自注意力机制网络层相当于一个权重层,于是自注意力机制网络的输出特征矩阵可表示为:
Figure 108885DEST_PATH_IMAGE015
其中,
Figure 864351DEST_PATH_IMAGE013
是输出特征矩阵,包括11个维度的比特信息,t代表时间步长,
Figure 457007DEST_PATH_IMAGE016
表示时间步长t的状态下经过自注意力机制网络处理后的CAN ID 比特特征向量。
由于循环神经网络的架构特点,使得其特别适合应用于时序序列的处理,但GRU对比LSTM而言,其结构和计算要比LSTM更简单,在相同参数规模下, 可以实现更深层的网络模型。所述多层GRU网络的输出如下:
Figure 272516DEST_PATH_IMAGE017
其中,
Figure DEST_PATH_IMAGE063
表示多层GRU网络的输出特征向量,L表示网络的层数,T表示总的输入数据时间步长,既取多层GRU网络的最后一层最后一个隐藏层输出作为输出特征向量;
Figure 747360DEST_PATH_IMAGE019
表示多层GRU网络,
Figure 306517DEST_PATH_IMAGE013
为自注意力机制网络的输出,
Figure DEST_PATH_IMAGE064
表示初始的隐藏层单元状态。
所述多层GRU网络的GRU网络层的内部计算步骤如下:
S5-1:计算得到重置门特征向量,计算式如下:
Figure 347154DEST_PATH_IMAGE021
其中
Figure 67985DEST_PATH_IMAGE022
为第
Figure 498967DEST_PATH_IMAGE023
层网络隐藏神经单元的内部的第t个重置门特征向量,
Figure 596236DEST_PATH_IMAGE024
表示激活函数,
Figure 429063DEST_PATH_IMAGE025
为第t个时间步的输入特征向量,
Figure 320795DEST_PATH_IMAGE026
表示为第
Figure 239073DEST_PATH_IMAGE023
层第t-1时刻的隐藏层输出向量,
Figure 140033DEST_PATH_IMAGE027
为第
Figure 561787DEST_PATH_IMAGE023
层网络中重置门隐藏神经单元输入向量的权重矩阵,
Figure 624421DEST_PATH_IMAGE028
为第
Figure 764415DEST_PATH_IMAGE023
层网络中重置门隐藏神经单元上一时间步的隐藏层输出向量的权重参数矩阵,
Figure DEST_PATH_IMAGE065
为第
Figure 224DEST_PATH_IMAGE023
层重置门特征向量的偏置向量矩阵;
S5-2:设置不同的权重参数,计算得到更新门特征向量,计算式如下:
Figure 542064DEST_PATH_IMAGE030
其中,
Figure 837916DEST_PATH_IMAGE031
表示为第
Figure 465206DEST_PATH_IMAGE023
层第t时刻的更新门输出特征向量;
Figure 707969DEST_PATH_IMAGE032
表示计算第
Figure 104315DEST_PATH_IMAGE023
层更新门特征向量所需的偏置向量;
S5-3:在计算得到
Figure 508752DEST_PATH_IMAGE033
输出后,通过下式计算得到
Figure 623338DEST_PATH_IMAGE034
Figure 404212DEST_PATH_IMAGE034
表示第
Figure 920644DEST_PATH_IMAGE023
层第t时刻的候选隐藏层输出状态特征向量;
Figure 761562DEST_PATH_IMAGE035
其中,tanh()表示激活函数,
Figure 363444DEST_PATH_IMAGE036
Figure 948009DEST_PATH_IMAGE037
为第l层网络连接输入值的权重矩阵和偏置向量,
Figure 318948DEST_PATH_IMAGE038
Figure 330766DEST_PATH_IMAGE039
为第l层网络连接上一时间步隐藏层单元输出值的权重矩阵和偏置向量;
S5-4:以
Figure 154366DEST_PATH_IMAGE034
Figure 339359DEST_PATH_IMAGE040
Figure 564804DEST_PATH_IMAGE026
作为输入,通过下式计算得到隐藏层单元第
Figure 747524DEST_PATH_IMAGE023
层第t时刻的输出值
Figure 323999DEST_PATH_IMAGE041
Figure 984787DEST_PATH_IMAGE042
S5-5:取多层GRU网络最后一层的隐藏神经单元的最后一个输出状态特征向量作为多层GRU网络模型的输出值
Figure 64739DEST_PATH_IMAGE018
,其表达式如下所示:
Figure 683939DEST_PATH_IMAGE043
其中,
Figure 278868DEST_PATH_IMAGE044
表示隐藏层输出状态特征向量第m个输出值,
Figure 8927DEST_PATH_IMAGE045
, M表示隐藏神经单元的数目。
S5-6:通过一层全连接网络层,将多层GRU网络的输出作为输入,计算得到异常识别结果,其计算表示式如下:
Figure 943385DEST_PATH_IMAGE046
其中W为全连接层网络的权重参数矩阵,B为全连接网络的偏置向量。Y为异常识别概率向量,
Figure 733486DEST_PATH_IMAGE047
表示识别为正常状态的概率,
Figure 18974DEST_PATH_IMAGE048
表示识别为DoS攻击的概率,
Figure 287144DEST_PATH_IMAGE049
表示识别为模糊攻击的概率,
Figure 76109DEST_PATH_IMAGE050
表示识别为欺骗攻击的概率,
Figure 37112DEST_PATH_IMAGE051
表示识别为第一类重放攻击的概率,
Figure 341054DEST_PATH_IMAGE052
表示识别为第二类重放攻击的概率。特征向量Y中的最大值所定义的攻击类别即为数据异常识别结果。
自注意力机制融合多层GRU神经网络模型的模型参数通过CAN ID 比特位特征时序数据集训练得到。
由于车载系统的特点,很难获取到带有攻击特征的数据集,因此需要从攻击类型本身的特征出发,搭建模拟攻击系统,人为模拟各种攻击类型,得到攻击数据集。同时为了进一步提取数据特征,从CAN总线协议出发,通过提取CAN ID 的11 bit 特征作为输入特征,可以获取到更多维度的数据特征。
如图4所示,CAN ID 比特位特征时序数据集的生产步骤如下:
S7-1:通过CAN数据采集仪采集真实车辆运行过程中正常状态下的CAN时序数据,提取CAN时序数据中的CAN ID时序数据作为模拟攻击方法的原始数据集,该原始数据集同时包括每个CAN ID的采集时间戳;
S7-2:在原始数据集上,通过原始数据集上的时间戳判断注入的时机,设定模拟攻击的定时时间并执行注入,生成模拟攻击数据集;
S7-3:根据生成的模拟攻击数据集,提取CAN ID的11位比特位信息,生成CAN ID比特位特征时序数据集,提取的公式如下:
Figure 412915DEST_PATH_IMAGE053
其中
Figure 587545DEST_PATH_IMAGE054
为原始的CAN ID,
Figure 453869DEST_PATH_IMAGE055
表示所要提取的比特位所在的位置信息,
Figure 713950DEST_PATH_IMAGE056
为第
Figure 323922DEST_PATH_IMAGE055
个比特位信息。
进一步地,所述模拟攻击方法如下所示:
定时注入不定数量的CAN ID为0的数据,得到DoS攻击数据集;
定时注入不定数量的随机CAN ID的数据,得到模糊攻击数据集;
定时注入不定数量的当前时刻CAN ID的数据,得到欺骗攻击数据集;
定时注入一条固定CAN ID 的数据,得到第一类的重放攻击数据集;
定时注入一条当前时刻CAN ID 的数据,得到第二类的重放攻击数据集。
基于上述的数据集以及数据预处理方法,分别对比多种模型的分类效果,对比的模型包括MLP(多层感知机)、CNN(卷积神经网络)、Single LSTM(单层LSTM)、Conv-LSTM(卷积LSTM)、Stacked GRU、Stacked LSTM、Self-Attn-LSTM(基于自注意力机制的LSTM)、Self-Attn-GRU(基于自注意力机制的GRU)等。其中Conv-LSTM是将LSTM内部的全连接层替换成卷积网络,Self-Attn-LSTM(GRU)模型是在传统的LSTM(GRU)模型基础之上增加一层自注意力层,利用数据的时序相关性增强数据。
经过多轮训练,在同等参数规模下(1w左右参数总量),不同模型之间的性能对比如下表1所示:
表1 不同模型之间的性能对比
Figure DEST_PATH_IMAGE066
所有模型实验都是在同等参数规模(1w个参数)下进行实验对比,从实验结果分析,可以看到时序模型(LSTM、GRU)的识别率都高于普通的全连接网络和卷积网络。实验证明了通过添加前置自注意力层的方式,可以增强数据时序相关性特征,提高识别率。由于在同等参数规模下,GRU可以实现更多的神经单元,使其具有比LSTM网络更高的识别率。
本发明采用改造后的自注意力机制融合多层GRU网络的模型架构,利用自注意力机制的特点,增强数据的时序特征,通过多层GRU网络用于进一步提取多维时序数据特征,提高CAN总线数据的识别准确率。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (6)

1.一种车载CAN总线数据异常检测识别方法,其特征在于,包括以下步骤:
S1:将车载CAN总线的CAN_H、CAN_L数据线与CAN数据采集仪进行连接,通过CAN数据采集仪采集CAN总线上的CAN数据帧;
S2:通过串口将CAN数据帧发送至上位机程序,解析得到CAN ID和对应的采集时间戳,生成原始数据集;
S3:从原始数据集中提取CAN ID 的比特信息生成用于模型输入的CAN ID 比特流时序数据;
S4:将CAN ID比特时序数据输入到自注意力机制融合多层GRU神经网络模型中,进行数据异常状态识别,最终得到CAN总线数据异常识别结果;
其中,所述自注意力机制融合多层GRU神经网络模型分为自注意力机制网络层和多层GRU网络,输入数据首先经过自注意力机制网络层的处理得到输出特征性矩阵,输出特征性矩阵输入多层GRU网络得到CAN总线数据异常识别结果;所述输出特征性矩阵的具体计算步骤如下:
S3-1:通过输入的CAN ID特征矩阵,计算得到自注意力机制网络中的Q、K、V特征矩阵,计算公式如下:
Figure 34100DEST_PATH_IMAGE001
其中
Figure 888923DEST_PATH_IMAGE002
为多时间步多维度的CAN ID 输入特征矩阵;(1,1) 代表二维卷积核为1x1,
Figure DEST_PATH_IMAGE003
为一个特征举证的卷积输出通道数;
Figure 606344DEST_PATH_IMAGE004
表示整体的卷积输出通道数;
Figure DEST_PATH_IMAGE005
代表二维卷积函数,卷积函数的输出结果平均切分成三个部分,分别为Q,K,V特征矩阵,QK是用于计算自注意力机制权重的特征矩阵,V是表示输入特征的矩阵;
S3-2:通过特征矩阵
Figure 939236DEST_PATH_IMAGE006
与特征矩阵K的转置
Figure DEST_PATH_IMAGE007
做矩阵乘法后经过
Figure 189826DEST_PATH_IMAGE008
激活函数得到输出值
Figure DEST_PATH_IMAGE009
,计算表达式如下所示:
Figure 949972DEST_PATH_IMAGE010
S3-3:将特征矩阵V与
Figure 217005DEST_PATH_IMAGE009
做矩阵乘法,得到的结果作为卷积层的输入特征矩阵,计算过程如下所示:
Figure DEST_PATH_IMAGE011
其中,(1,1)表示二维矩阵卷积核,
Figure 353589DEST_PATH_IMAGE012
为最终自注意力机制网络层的输出通道数,
Figure DEST_PATH_IMAGE013
为自注意力机制网络的输出特征矩阵,也是多层GRU网络的输入特征矩阵;
S3-4:将
Figure 960150DEST_PATH_IMAGE012
设置为1,则
Figure 953514DEST_PATH_IMAGE013
Figure 144062DEST_PATH_IMAGE002
的维度一致,自注意力机制网络层相当于一个权重层,于是自注意力机制网络的输出特征矩阵表示为:
Figure 881074DEST_PATH_IMAGE014
其中,
Figure 342142DEST_PATH_IMAGE013
是输出特征向量,包括11个维度的比特信息,t代表时间步长,
Figure DEST_PATH_IMAGE015
表示时间步长t的状态下经过自注意力机制网络处理后的CAN ID 比特特征向量。
2.如权利要求1所述的一种车载CAN总线数据异常检测识别方法,其特征在于,所述多层GRU网络的输出如下:
Figure 709669DEST_PATH_IMAGE016
其中,
Figure DEST_PATH_IMAGE017
表示多层GRU网络的输出特征向量,L表示网络的层数,T表示总的输入数据时间步长,既取多层GRU网络的最后一层最后一个隐藏层输出作为输出特征向量;
Figure 888978DEST_PATH_IMAGE018
表示多层GRU网络,
Figure 164102DEST_PATH_IMAGE013
为自注意力机制网络的输出,
Figure DEST_PATH_IMAGE019
表示初始的隐藏层单元状态。
3.如权利要求1所述的一种车载CAN总线数据异常检测识别方法,其特征在于,所述多层GRU网络的GRU网络层的内部计算步骤如下:
S5-1:计算得到重置门特征向量,计算式如下:
Figure 243791DEST_PATH_IMAGE020
其中
Figure DEST_PATH_IMAGE021
为第
Figure 516640DEST_PATH_IMAGE022
层网络隐藏神经单元的内部的第t个重置门特征向量,
Figure DEST_PATH_IMAGE023
表示激活函数
Figure 183245DEST_PATH_IMAGE024
为第t个时间步的输入特征向量,
Figure DEST_PATH_IMAGE025
表示为第
Figure 199743DEST_PATH_IMAGE026
层第t-1时刻的隐藏层输出向量,
Figure DEST_PATH_IMAGE027
为第
Figure 133938DEST_PATH_IMAGE026
层网络中重置门隐藏神经单元输入向量的权重矩阵,
Figure 843268DEST_PATH_IMAGE028
为第
Figure 793907DEST_PATH_IMAGE026
层网络中重置门隐藏神经单元上一时间步的隐藏层输出向量的权重参数矩阵,
Figure DEST_PATH_IMAGE029
为计算第
Figure 614095DEST_PATH_IMAGE022
层重置门特征向量所需的偏置向量;
S5-2:设置不同的权重参数,计算得到更新门特征向量,计算式如下:
Figure 904262DEST_PATH_IMAGE030
其中,
Figure DEST_PATH_IMAGE031
表示为第
Figure 283029DEST_PATH_IMAGE026
层第t时刻的更新门输出特征向量;
Figure 720963DEST_PATH_IMAGE032
表示计算第
Figure 79263DEST_PATH_IMAGE026
层更新门特征向量所需的偏置向量;
S5-3:在计算得到
Figure DEST_PATH_IMAGE033
输出后,通过下式计算得到
Figure 489516DEST_PATH_IMAGE034
Figure 602966DEST_PATH_IMAGE034
表示第
Figure 465879DEST_PATH_IMAGE026
层第t时刻的候选隐藏层输出状态特征向量;
Figure DEST_PATH_IMAGE035
其中,tanh()表示激活函数,
Figure 126406DEST_PATH_IMAGE036
Figure DEST_PATH_IMAGE037
为第l层网络连接输入值的权重矩阵和偏置向量,
Figure 125586DEST_PATH_IMAGE038
Figure DEST_PATH_IMAGE039
为第l层网络连接上一时间步隐藏层单元输出值的权重矩阵和偏置向量;
S5-4:以
Figure 409937DEST_PATH_IMAGE034
Figure 760146DEST_PATH_IMAGE040
Figure 788145DEST_PATH_IMAGE025
作为输入,通过下式计算得到隐藏层单元第
Figure 907411DEST_PATH_IMAGE026
层第t时刻的输出值
Figure DEST_PATH_IMAGE041
Figure 533302DEST_PATH_IMAGE042
S5-5:取多层GRU网络最后一层的隐藏神经单元的最后一个输出状态特征向量作为多层GRU网络模型的输出值
Figure DEST_PATH_IMAGE043
,其表达式如下所示:
Figure 370808DEST_PATH_IMAGE044
其中,
Figure DEST_PATH_IMAGE045
表示隐藏层输出状态特征向量第m个输出值,
Figure 874602DEST_PATH_IMAGE046
M表示隐藏神经单元的数目;
S5-6:通过一层全连接网络层,将多层GRU网络的输出作为输入,计算得到异常识别结果,其计算表示式如下:
Figure DEST_PATH_IMAGE047
其中W为全连接层网络的权重参数矩阵,B为全连接网络的偏置向量;Y为异常识别概率向量,
Figure 113953DEST_PATH_IMAGE048
表示识别为正常状态的概率,
Figure DEST_PATH_IMAGE049
表示识别为DoS攻击的概率,
Figure 910746DEST_PATH_IMAGE050
表示识别为模糊攻击的概率,
Figure DEST_PATH_IMAGE051
表示识别为欺骗攻击的概率,
Figure 235548DEST_PATH_IMAGE052
表示识别为第一类重放攻击的概率,
Figure DEST_PATH_IMAGE053
表示识别为第二类重放攻击的概率,特征向量Y中的最大值所定义的攻击类别即为数据异常识别结果。
4.如权利要求1所述的一种车载CAN总线数据异常检测识别方法,其特征在于,所述自注意力机制融合多层GRU神经网络模型的模型参数通过CAN ID 比特位特征时序数据集训练得到。
5.如权利要求4所述的一种车载CAN总线数据异常检测识别方法,其特征在于,所述CANID 比特位特征时序数据集的生产步骤如下:
S7-1:通过CAN数据采集仪采集真实车辆运行过程中正常状态下的CAN时序数据,提取CAN时序数据中的CAN ID时序数据作为模拟攻击方法的原始数据集,该原始数据集同时包括每个CAN ID的采集时间戳;
S7-2:在原始数据集上,通过原始数据集上的时间戳判断注入的时机,设定模拟攻击的定时时间并执行注入,生成模拟攻击数据集;
S7-3:根据生成的模拟攻击数据集,提取CAN ID的11位比特位信息,生成CAN ID 比特位特征时序数据集,提取的公式如下:
Figure 543032DEST_PATH_IMAGE054
其中
Figure DEST_PATH_IMAGE055
为原始的CAN ID,
Figure 371311DEST_PATH_IMAGE056
表示所要提取的比特位所在的位置信息,
Figure DEST_PATH_IMAGE057
为第
Figure 604584DEST_PATH_IMAGE056
个比特位信息。
6.如权利要求5所述的一种车载CAN总线数据异常检测识别方法,其特征在于,所述模拟攻击方法如下所示:
定时注入不定数量的CAN ID为0的数据,得到DoS攻击数据集;
定时注入不定数量的随机CAN ID的数据,得到模糊攻击数据集;
定时注入不定数量的当前时刻CAN ID的数据,得到欺骗攻击数据集;
定时注入一条固定CAN ID 的数据,得到第一类的重放攻击数据集;
定时注入一条当前时刻CAN ID 的数据,得到第二类的重放攻击数据集。
CN202111626681.9A 2021-12-29 2021-12-29 一种车载can总线数据异常检测识别方法 Active CN113992533B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111626681.9A CN113992533B (zh) 2021-12-29 2021-12-29 一种车载can总线数据异常检测识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111626681.9A CN113992533B (zh) 2021-12-29 2021-12-29 一种车载can总线数据异常检测识别方法

Publications (2)

Publication Number Publication Date
CN113992533A CN113992533A (zh) 2022-01-28
CN113992533B true CN113992533B (zh) 2022-03-22

Family

ID=79734797

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111626681.9A Active CN113992533B (zh) 2021-12-29 2021-12-29 一种车载can总线数据异常检测识别方法

Country Status (1)

Country Link
CN (1) CN113992533B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115348215B (zh) * 2022-07-25 2023-11-24 南京信息工程大学 一种基于时空注意力机制的加密网络流量分类方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109726771A (zh) * 2019-02-27 2019-05-07 深圳市赛梅斯凯科技有限公司 异常驾驶检测模型建立方法、装置及存储介质
WO2020208639A2 (en) * 2019-04-11 2020-10-15 Saferide Technologies Ltd A system and method for detection of anomalous controller area network (can) messages
CN112529284A (zh) * 2020-12-08 2021-03-19 湖南大学 基于神经网络的私家车停留时间预测方法、设备及介质
WO2021121695A1 (de) * 2019-12-20 2021-06-24 Bayerische Motoren Werke Aktiengesellschaft Verfahren, vorrichtung und system zur detektion von anomalen betriebszuständen eines geräts
CN113393446A (zh) * 2021-06-21 2021-09-14 湖南大学 基于注意力机制的卷积神经网络医学图像关键点检测方法
CN113428167A (zh) * 2021-08-25 2021-09-24 长沙德壹科技有限公司 一种ecu异常识别方法
CN113660137A (zh) * 2021-08-13 2021-11-16 杭州安恒信息技术股份有限公司 车载网络故障检测方法、装置、可读存储介质及电子设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015205670A1 (de) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
KR101714520B1 (ko) * 2015-10-30 2017-03-09 현대자동차주식회사 차량 내 네트워크 공격 탐지 방법 및 장치
JP7212607B2 (ja) * 2019-09-26 2023-01-25 ペンタ・セキュリティ・システムズ・インコーポレーテッド 車両can bus信号を利用した機械学習基盤運転者異常感知方法および装置
KR20210073883A (ko) * 2019-12-11 2021-06-21 현대자동차주식회사 양방향 차량상태정보 제공이 가능한 정보공유 플랫폼, 이를 갖는 시스템, 그리고 이의 방법
CN112491920A (zh) * 2020-12-07 2021-03-12 北京天融信网络安全技术有限公司 一种车载can总线的异常检测方法及装置
CN112906139A (zh) * 2021-04-08 2021-06-04 平安科技(深圳)有限公司 车辆故障风险评估方法、装置、电子设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109726771A (zh) * 2019-02-27 2019-05-07 深圳市赛梅斯凯科技有限公司 异常驾驶检测模型建立方法、装置及存储介质
WO2020208639A2 (en) * 2019-04-11 2020-10-15 Saferide Technologies Ltd A system and method for detection of anomalous controller area network (can) messages
WO2021121695A1 (de) * 2019-12-20 2021-06-24 Bayerische Motoren Werke Aktiengesellschaft Verfahren, vorrichtung und system zur detektion von anomalen betriebszuständen eines geräts
CN112529284A (zh) * 2020-12-08 2021-03-19 湖南大学 基于神经网络的私家车停留时间预测方法、设备及介质
CN113393446A (zh) * 2021-06-21 2021-09-14 湖南大学 基于注意力机制的卷积神经网络医学图像关键点检测方法
CN113660137A (zh) * 2021-08-13 2021-11-16 杭州安恒信息技术股份有限公司 车载网络故障检测方法、装置、可读存储介质及电子设备
CN113428167A (zh) * 2021-08-25 2021-09-24 长沙德壹科技有限公司 一种ecu异常识别方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
EdgeLSTM_Towards_Deep_and_Sequential_Edge_Computing_for_IoT_Applications;Di Wu;《IEEE/ACM Transactions on Networking》;20210303;全文 *
异常检测:算法改进及相关应用;武志超;《中国优秀硕士学位论文电子期刊-信息科技辑》;20210301;全文 *

Also Published As

Publication number Publication date
CN113992533A (zh) 2022-01-28

Similar Documents

Publication Publication Date Title
CN111901340B (zh) 一种面向能源互联网的入侵检测系统及其方法
CN113806746B (zh) 基于改进cnn网络的恶意代码检测方法
Chu et al. Industrial control intrusion detection approach based on multiclassification GoogLeNet-LSTM model
CN113242259A (zh) 网络异常流量检测方法及装置
CN110602120B (zh) 一种面向网络的入侵数据检测方法
AU2021102261A4 (en) Density-based distributed stochastic gradient federated learning algorithm to Byzantine attack
CN113992533B (zh) 一种车载can总线数据异常检测识别方法
CN114462520A (zh) 一种基于流量分类的网络入侵检测方法
CN112257741B (zh) 一种基于复数神经网络的生成性对抗虚假图片的检测方法
CN114760098A (zh) 一种基于cnn-gru的电网虚假数据注入检测方法及装置
CN110826056A (zh) 一种基于注意力卷积自编码器的推荐系统攻击检测方法
Zhang et al. CNN and LSTM based encoder-decoder for anomaly detection in multivariate time series
CN113556319A (zh) 物联网下基于长短期记忆自编码分类器的入侵检测方法
CN116150747A (zh) 基于cnn和sltm的入侵检测方法及装置
CN115086029A (zh) 一种基于双通道时空特征融合的网络入侵检测方法
Hong et al. Abnormal access behavior detection of ideological and political MOOCs in colleges and universities
CN117375896A (zh) 基于多尺度时空特征残差融合的入侵检测方法及系统
Sharma et al. Deep convolutional neural network with ResNet-50 learning algorithm for copy-move forgery detection
CN113098862A (zh) 一种基于混合采样与膨胀卷积相结合的入侵检测方法
Xue Research on network security intrusion detection with an extreme learning machine algorithm
CN109508544B (zh) 一种基于mlp的入侵检测方法
CN115630298A (zh) 基于自注意力机制的网络流量异常检测方法及系统
CN115314239A (zh) 基于多模型融合的隐匿恶意行为的分析方法和相关设备
CN114841063A (zh) 一种基于深度学习的航空发动机剩余寿命预测方法
Zhang et al. Forest Fire Smoke Detection Method Based on MoAm-YOLOv4 Algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant