CN114338083B

CN114338083B - 控制器局域网络总线异常检测方法、装置和电子设备

Info

Publication number: CN114338083B
Application number: CN202111467528.6A
Authority: CN
Inventors: 王为国; 黄惠斌; 胡恒; 徐丹; 林群芳
Original assignee: China Automotive Innovation Corp
Current assignee: China Automotive Innovation Corp
Priority date: 2021-12-03
Filing date: 2021-12-03
Publication date: 2024-05-28
Anticipated expiration: 2041-12-03
Also published as: CN114338083A

Abstract

本公开涉及控制器局域网络总线异常检测方法、装置、存储介质和电子设备。上述控制器局域网络总线异常检测方法包括根据控制器局域网络总线报文，得到待检测数据；对所述待检测数据进行向量化处理，得到报文信息向量；对所述报文信息向量进行嵌入处理，得到第一信息序列；对所述第一信息序列进行基于双向语义信息提取，得到第二信息序列；对所述第二信息序列进行基于全局概率的分类处理，得到所述报文的分类结果，所述分类结果表征所述报文为异常报文或正常报文。本公开可以准确的处理控制器局域网络总线(CAN)报文的上下文关系，解决CAN报文处理过程的偏置问题，获取最优的分类结果，并降低检测成本。

Description

控制器局域网络总线异常检测方法、装置和电子设备

技术领域

本公开涉及车联网汽车安全检测技术领域，尤其涉及控制器局域网络总线异常检测方法、装置、存储介质和电子设备。

背景技术

控制器局域网络(Controller Area Network,CAN)总线是目前应用广泛的车载网络总线。相比较于病毒在汽车内部系统上的破坏，针对CAN总线的攻击可以直接控制动力系统上的刹车和转向，导致的后果不堪想象。CAN总线异常检测可作为安全架构的第一层防御，但现有技术中并没有针对CAN总线报文的异常检测。

传统的机器学习算法是孤立的看待每一个CAN总线报文。传统机器学习模型对于CAN总线报文之间的前后文联系反应较少，不能准确的描述整个攻击过程，并且传统机器学习模型对于不同的数据集之间用训练不同的机器学习模型，模型复用性差。

发明内容

为了解决上述提出的至少一个技术问题，本公开提出了控制器局域网络总线异常检测方法、装置、存储介质和电子设备。

根据本公开的一方面，提供了一种控制器局域网络总线异常检测方法，其包括：

根据控制器局域网络总线报文，得到待检测数据；

对所述待检测数据进行向量化处理，得到报文信息向量；

对所述报文信息向量进行嵌入处理，得到第一信息序列；

对所述第一信息序列进行基于双向语义信息提取，得到第二信息序列；

对所述第二信息序列进行基于全局概率的分类处理，得到所述报文的分类结果，所述分类结果表征所述报文为异常报文或正常报文。

在一些可能的实施方式中，所述对所述报文信息向量进行嵌入处理，得到第一信息序列，包括：

对所述报文信息向量进行分词处理，得到词序列；

对所述词序列进行基于注意力机制的信息提取处理，得到所述第一信息序列。

在一些可能的实施方式中，所述对所述第一信息序列进行基于双向语义信息提取，得到第二信息序列，包括：

针对所述第一信息序列中的每个信息，获取所述每个信息对应的前向语义信息和所述每个信息对应的后向语义信息；

对所述每个信息对应的前向语义信息和所述每个信息对应的后向语义信息进行融合处理，得到所述第二信息序列。

在一些可能的实施方式中，所述根据控制器局域网络总线报文，得到待检测数据，包括：

获取控制器局域网络总线报文；

根据所述控制器局域网络总线报文的标识和内容，得到第一数据；

将所述第一数据进行规格化处理，得到所述待检测数据。

在一些可能的实施方式中，所述方法还包括：

获取样本信息向量，所述样本信息向量的标签表征所述样本信息向量指向的报文是正常报文还是异常报文；

将所述样本信息向量输入第一模型进行嵌入处理，得到第一样本信息序列；

将所述第一样本信息序列输入第二模型进行基于双向语义信息提取，得到第二样本信息序列；

将所述第二样本信息序列输入第三模型基于全局概率的分类处理，得到分类结果；

根据所述分类结果和所述样本信息向量的标签之间的差异，调整所述第一模型、所述第二模型和所述第三模型的参数；

其中，所述第一模型用于执行所述对所述报文信息向量进行嵌入处理，得到第一信息序列的操作；

所述第二模型用于执行所述对所述第一信息序列进行基于双向语义信息提取，得到第二信息序列的操作；

所述第三模型用于执行所述对所述第二信息序列进行基于全局概率的分类处理，得到所述报文的分类结果的操作。

在一些可能的实施方式中，所述获取样本信息向量，包括：

对历史获取到的控制器局域网络总线报文进行规格化处理，得到样本数据；

对所述样本数据进行向量化处理，得到所述样本信息向量。

在一些可能的实施方式中，所述第一模型包括具备二阶训练模式的语言处理模型，所述第二模型包括双向长短时记忆循环神经网络模型，所述第三模型包括条件随机场模型。

根据本公开的第二方面，提供控制器局域网络总线异常检测装置，所述装置包括：

待检测数据获取模块，用于根据控制器局域网络总线报文，得到待检测数据；

报文信息向量获取模块，用于对所述待检测数据进行向量化处理，得到报文信息向量；

嵌入处理模块，用于对所述报文信息向量进行嵌入处理，得到第一信息序列；

双向语义信息提取模块，用于对所述第一信息序列进行基于双向语义信息提取，得到第二信息序列；

分类结果确定模块，用于对所述第二信息序列进行基于全局概率的分类处理，得到所述报文的分类结果，所述分类结果表征所述报文为异常报文或正常报文。

根据本公开的第三方面，提供了一种电子设备，包括至少一个处理器，以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现如第一方面中任意一项所述的控制器局域网络总线异常检测方法。

根据本公开的第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或至少一段程序由处理器加载并执行以实现如第一方面中任意一项所述的控制器局域网络总线异常检测方法。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本公开。

采用上述技术方案，本发明所述的控制器局域网络总线异常检测方法、装置、存储介质和设备，具有如下有益效果：

将CAN总线报文进行向量化处理和嵌入处理，使得不同的CAN报文之间的关系得到更好的反应，对CAN报文的上下文之间的联系处理较为准确；基于全局概率的分类处理，解决了CAN报文处理过程中标记偏置的问题，从而获取最优的分类结果，准确的识别出异常报文；本公开中CAN总线异常检测的方法复用性好，降低汽车中CAN异常报文检测的成本。

根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1示出根据本公开实施例的一种控制器局域网络总线异常检测方法的流程示意图；

图2示出根据本公开实施例的Bert编码器的结构示意图；

图3示出根据本公开实施例的控制器局域网络总线异常检测模型的结构示意图；

图4示出根据本公开实施例的一种控制器局域网络总线异常检测方法的装置示意图；

图5示出根据本公开实施例的一种电子设备的框图；

图6示出根据本公开实施例的另一种电子设备的框图。

具体实施方式

下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合，例如，包括A、B、C中的至少一种，可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。

另外，为了更好地说明本公开，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开的主旨。

图1示出根据本公开实施例的一种控制器局域网络总线异常检测方法的流程示意图，如图1所示，上述方法包括：

S101、根据控制器局域网络总线报文，得到待检测数据；

大量采集车辆的控制器局域网络CAN总线报文和CAN总线报文的识别码ID，将CAN总线报文进行规格化处理后，获得格式统一的待测检测数据；

S102、对所述待检测数据进行向量化处理，得到报文信息向量；

将待检测数据和待检测数据的识别码拼接成待检测数据ID+待检测数据内容的向量形式，获得报文信息向量；

S103、对所述报文信息向量进行嵌入处理，得到第一信息序列；

将报文信息向量进行嵌入处理，嵌入处理方法包括利用自然语言模型Bert模型，获取包含丰富语义信息的第一信息序列，黑客对于CAN总线的攻击通常不是孤立的，攻击之间的联系比较紧密，因此，异常报文在CAN总线报文中就是前后或者时序接近、具有相关性的报文，而利用预训练的语言表征模型(Bidirectional Encoder Representation fromTransformers，Bert)对报文信息向量进行处理，不同报文之间的关系得到更好的反应；

S104、对所述第一信息序列进行基于双向语义信息提取，得到第二信息序列；

将第一信息序列输入到双向长短时记忆循环神经网络模型(BiLSTM)，双向长短时记忆循环神经网络模型(BiLSTM)由前向长短期记忆网络(LSTM)和后向长短期记忆网络(LSTM)组成，从两个方向处理第一信息序列，每个前向长短期记忆网络(LSTM)隐含层和后向长短期记忆网络(LSTM)隐含层都连接到同一个输出层，最终将前向长短期记忆网络(LSTM)处理后输出向量和后向长短期记忆网络(LSTM)输出的向量拼接成一个输出向量，得到第二信息序列，基于双向语义信息提取第一信息序列，能够更好第捕捉双向的语义依赖关系。

S105、对所述第二信息序列进行基于全局概率的分类处理，得到所述报文的分类结果，所述分类结果表征所述报文为异常报文或正常报文。

将第二信息序列输入到条件随机场模型CRF模型，进行基于全局概率的分类处理，在归一化过程考虑了第二信息序列在全局的分布，而不是仅仅在局部进行归一化，避免了陷入局部最优的问题，使得最终的分类结果更加准确，准确检测出CAN总线报文中异常报文。

在一个实施例中，所述对所述报文信息向量进行嵌入处理，得到第一信息序列，包括：

对所述报文信息向量进行分词处理，得到词序列；

请参阅图2，在一个实施例中，将报文信息向量输入到Bert嵌入层Embeding，确定字向量、词向量和位置向量，并计算所述字向量、所述词向量和所述位置向量的和，将计算所述字向量、所述词向量和所述位置向量的和输入到Bert的编码器的注意力层，假设注意力层的输入向量为X，则有

X*W^Q＝Q

X*W^K＝K

X*W^V＝V

输入X乘以初始化权值矩阵W^Q，W^K，W^V分别得到Q，K，V矩阵，注意力层的输出记为Attention(Q,K,V)，其计算公式为：

其中，d_k为输入向量X的维度；

然后把注意力层得到的输出Attention(Q,K,V)与输入X相加做残差处理。记为标准值Norm，将所述标准值输入到Bert中编码器的全连神经网络即前馈神经网络，输出Out；将输出Out与标准值Norm相加，获取Bert输出第一信息序列，用于描述前后或者时序接近的报文之间的相关性。

在一个实施例中，所述对所述第一信息序列进行基于双向语义信息提取，得到第二信息序列，包括：

BiLSTM是一个双向循环神经网络，由前向LSTM和后向LSTM组成，从两个方向来处理输入的第一信息序列，每个时刻的前向LSTM和后向LSTM隐含层都连接到同一个输出层，最终将前向LSTM输出的向量及后向LSTM输出的向量拼接成一个输出一个向量,得到第二信息序列。

在一个实施例中，所述根据控制器局域网络总线报文，得到待检测数据，包括：

获取控制器局域网络总线报文；

将所述第一数据进行规格化处理，得到所述待检测数据。

采集车载的CAN总线报文，获取CAN总线报文的标识和内容，作为第一数据，并对第一数据进行规格化处理，获取格式统一的待检测数据，以方便对总线报文进行检测。

在一个实施例中，所述方法还包括：

请参阅图3，在一个实施例中，所述方法还包括：

获取样本信息向量，将所述样本信息向量输入Bert模型进行嵌入处理，得到第一样本信息序列；

将所述第一样本信息序列输入BiLSTM模型进行基于双向语义信息提取，得到第二样本信息序列；

将所述第二样本信息序列输入CRF模型基于全局概率的分类处理，得到分类结果；

结合在一起就是Bert-BiLSTM-CRF模型，训练Bert-BiLSTM-CRF模型，具体如下：

输入样本信息向量：X＝(x₁,x₂,x₃,…,x_n),输入样本信息向量是CAN总线报文ID+CAN总线报文内容拼成的向量，输入样本信息向量包括正常报文和异常报文组成的样本信息向量；

输出分类结果：Y＝(y₁,y₂,y₃,…,y_n)，输出的分类结果是每个CAN总线报文对应的分类标签，是一个二分类，分为正常和异常。

进入迭代Epoch循环，当一个完整的数据集通过了Bert-BiLSTM-CRF模型中神经网络一次并且返回了一次，这个过程称为一次Epoch，即所有样本信息向量在神经网络中都进行了一次正向传播和一次反向传播；

进入批处理Batch循环，当一个迭代Epoch的样本，也就是所有样本信息向量对于计算机而言数量可能太过庞大，需要将样本信息向量分成多个小块，即将样本信息向量分成多批Batch来进行训练；利用Bert模型提取报文特征，输入Bert模型的样本信息向量经过Bert模型得到第一信息序列；

Bert-BiLSTM-CRF模型向前传递：计算LSTM模型前向状态，并传递；计算LSTM模型后向状态，并传递；表示数据经过BiLSTM模型时的过程，BiLSTM是双向LSTM的意思，需要分别计#算LSTM模型的前向状态和后向状态，并且数据此处是向前传递；CRF模型前向和后向传递计算条件概率，CRF模型对于与时间相关的序列分类具有绝佳效果，因此利用CRF模型做了一个分类；

Bert-BiLSTM-CRF模型向后传递：计算LSTM模型前向状态，并传递；计算LSTM模型后向状态，并传递；表示数据经过BiLSTM模型时的过程，整体来说是个向后传递的过程，分别计算LSTM模型的前向状态和后向状态，并且数据此处是向后传递，更新Bert-BiLSTM-CRF模型的参数；学习完成后，退出批处理Batch循环，并退出迭代Epoch循环，Bert-BiLSTM-CRF模型学习结束。

Bert-BiLSTM-CRF模型能够将CAN总线报文进行向量化处理和嵌入处理，使得不同的CAN报文之间的关系得到更好的反应，对CAN报文的上下文之间的联系处理较为准确；基于全局概率的分类处理，解决了CAN报文处理过程中标记偏置的问题，从而获取最优的分类结果，准确的识别出异常报文，且Bert-BiLSTM-CRF模型复用性强，节约CAN总线异常检测的成本。

在一个实施例中，所述获取样本信息向量，包括：

对所述样本数据进行向量化处理，得到所述样本信息向量。

获取大量的CAN总线的异常报文和正常报文，正常报文和异常报文包括报文内容和报文识别码ID,将异常报文和正常报文进行规格化处理和向量化处理，得到样本信息向量，将样本信息向量输入到Bert-BiLSTM-CRF模型进行训练，使得Bert-BiLSTM-CRF模型能够精准分类出正常报文和异常报文，筛选出CAN总线的异常报文，防止恶意报文的攻击。

在一个实施例中，所述第一模型包括具备二阶训练模式的语言处理模型，所述第二模型包括双向长短时记忆循环神经网络模型，所述第三模型包括条件随机场模型。

第一模型包括具备二阶训练模式的语言处理模型Bert模型，利用Bert模型对报文信息向量进行处理，不同报文之间的关系得到更好的反应；第二模型包括双向长短时记忆循环神经网络模型BiLSTM模型，基于双向语义信息提取第一信息序列，能够更好第捕捉双向的语义依赖关系；第三模型包括条件随机场模型CRF，CRF模型前向和后向传递计算条件概率，CRF模型对于与时间相关的序列分类具有绝佳效果。

请参阅图4，根据本公开的第二方面，提供控制器局域网络总线异常检测装置，所述装置包括：

待检测数据获取模块10，用于根据控制器局域网络总线报文，得到待检测数据；

报文信息向量获取模块20，用于对所述待检测数据进行向量化处理，得到报文信息向量；

嵌入处理模块30，用于对所述报文信息向量进行嵌入处理，得到第一信息序列；

双向语义信息提取模块40，用于对所述第一信息序列进行基于双向语义信息提取，得到第二信息序列；

分类结果确定模块50，用于对所述第二信息序列进行基于全局概率的分类处理，得到所述报文的分类结果，所述分类结果表征所述报文为异常报文或正常报文。

在一些实施例中，本公开实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法，其具体实现可以参照上文方法实施例的描述，为了简洁，这里不再赘述。

本公开实施例还提出一种计算机可读存储介质，上述计算机可读存储介质中存储有至少一条指令或至少一段程序，上述至少一条指令或至少一段程序由处理器加载并执行时实现上述方法。计算机可读存储介质可以是非易失性计算机可读存储介质。

本公开实施例还提出一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，上述处理器被配置为上述方法。

电子设备可以被提供为终端、服务器或其它形态的设备。

图5示出根据本公开实施例的一种电子设备的框图。例如，电子设备800可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等终端。

参照图5，电子设备800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(I/O)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制电子设备800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在电子设备800的操作。这些数据的示例包括用于在电子设备800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为电子设备800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为电子设备800生成、管理和分配电力相关联的组件。

多媒体组件808包括在上述电子设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。上述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与上述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当电子设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(MIC)，当电子设备800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为电子设备800提供各个方面的状态评估。例如，传感器组件814可以检测到电子设备800的打开/关闭状态，组件的相对定位，例如上述组件为电子设备800的显示器和小键盘，传感器组件814还可以检测电子设备800或电子设备800一个组件的位置改变，用户与电子设备800接触的存在或不存在，电子设备800方位或加速/减速和电子设备800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于电子设备800和其他设备之间有线或无线方式的通信。电子设备800可以接入基于通信标准的无线网络，如WiFi，2G、3G、4G、5G或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，上述通信组件816还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，电子设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种非易失性计算机可读存储介质，例如包括计算机程序指令的存储器804，上述计算机程序指令可由电子设备800的处理器820执行以完成上述方法。

图6示出根据本公开实施例的另一种电子设备的框图。例如，电子设备1900可以被提供为一服务器。参照图6，电子设备1900包括处理组件1922，其进一步包括一个或多个处理器，以及由存储器1932所代表的存储器资源，用于存储可由处理组件1922的执行的指令，例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1922被配置为执行指令，以执行上述方法。

电子设备1900还可以包括一个电源组件1926被配置为执行电子设备1900的电源管理，一个有线或无线网络接口1950被配置为将电子设备1900连接到网络，和一个输入输出(I/O)接口1958。电子设备1900可以操作基于存储在存储器1932的操作系统，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM或类似。

在示例性实施例中，还提供了一种非易失性计算机可读存储介质，例如包括计算机程序指令的存储器1932，上述计算机程序指令可由电子设备1900的处理组件1922执行以完成上述方法。

本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，上述编程语言包括面向对象的编程语言—诸如Smalltalk、C+等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，上述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标准的功能也可以以不同于附图中所标准的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims

1.一种控制器局域网络总线异常检测方法，其特征在于，所述方法包括：

根据控制器局域网络总线报文，得到待检测数据,所述待检测数据是由所述总线报文规格化处理后得到的格式统一的数据；

对所述待检测数据和所述待检测数据的识别码进行向量化处理，得到报文信息向量；

对所述报文信息向量输入Bert模型进行嵌入处理，得到第一信息序列，所述第一信息序列用于描述前后或者时序接近的报文之间的相关性；

对所述第一信息序列输入BiLSTM模型进行基于双向语义信息提取，得到第二信息序列；

对所述第二信息序列输入CRF模型进行基于全局概率的分类处理，得到所述报文的分类结果，所述分类结果表征所述报文为异常报文或正常报文。

2.根据权利要求1所述的方法，其特征在于，所述对所述第一信息序列进行基于双向语义信息提取，得到第二信息序列，包括：

3.根据权利要求1所述的方法，其特征在于，所述根据控制器局域网络总线报文，得到待检测数据，包括：

获取控制器局域网络总线报文；

将所述第一数据进行规格化处理，得到所述待检测数据。

4.根据权利要求1-3中任一项所述的方法，其特征在于，所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，所述获取样本信息向量，包括：

对所述样本数据进行向量化处理，得到所述样本信息向量。

6.根据权利要求4所述的方法，其特征在于，所述第一模型包括具备二阶训练模式的语言处理模型，所述第二模型包括双向长短时记忆循环神经网络模型，所述第三模型包括条件随机场模型。

7.一种控制器局域网络总线异常检测装置，其特征在于，所述装置包括：

待检测数据获取模块，用于根据控制器局域网络总线报文，得到待检测数据,所述待检测数据是由所述总线报文规格化处理后得到的格式统一的数据；

报文信息向量获取模块，用于对所述待检测数据和所述待检测数据的识别码进行向量化处理，得到报文信息向量；

嵌入处理模块，用于对所述报文信息向量输入Bert模型进行嵌入处理，得到第一信息序列，所述第一信息序列用于描述前后或者时序接近的报文之间的相关性；

双向语义信息提取模块，用于对所述第一信息序列输入BiLSTM模型进行基于双向语义信息提取，得到第二信息序列；

分类结果确定模块，用于对所述第二信息序列输入CRF模型进行基于全局概率的分类处理，得到所述报文的分类结果，所述分类结果表征所述报文为异常报文或正常报文。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1-6中任意一项所述的控制器局域网络总线异常检测方法。

9.一种电子设备，其特征在于，包括至少一个处理器，以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现如权利要求1-6中任意一项所述的控制器局域网络总线异常检测方法。