CN114338129B - 一种报文异常检测方法、装置、设备及介质 - Google Patents
一种报文异常检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114338129B CN114338129B CN202111600727.XA CN202111600727A CN114338129B CN 114338129 B CN114338129 B CN 114338129B CN 202111600727 A CN202111600727 A CN 202111600727A CN 114338129 B CN114338129 B CN 114338129B
- Authority
- CN
- China
- Prior art keywords
- message
- detected
- anomaly detection
- abnormal
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 173
- 230000002159 abnormal effect Effects 0.000 claims description 89
- 238000012549 training Methods 0.000 claims description 69
- 238000000034 method Methods 0.000 claims description 43
- 230000005856 abnormality Effects 0.000 claims description 26
- 230000006870 function Effects 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 14
- 238000007781 pre-processing Methods 0.000 claims description 13
- 238000006243 chemical reaction Methods 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 8
- 238000013528 artificial neural network Methods 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000010076 replication Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000005669 field effect Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种报文异常检测方法、装置、设备及介质,本申请通过从待检测报文中提取第一报文段,其中第一报文段表征待检测报文的目标发布对象和任务类型,对第一报文段进行复制处理,得到多个第二报文段;将多个第二报文段以及待检测报文段进行拼接,得到目标待检测报文,可以突出第一报文段在待检测报文中的关注度;将待检测报文输入报文异常检测模型,得到待检测报文的异常检测结果,可以提高CANFD报文异常检测结果的准确性,并且可以大大提高异常检测效率。
Description
技术领域
本发明涉及车辆信号处理领域,尤其涉及一种报文异常检测方法、装置、设备及介质。
背景技术
随着科技的不断发展,汽车内部网络结构越发复杂,对通信安全的要求越来越高。原有的CAN通信由于其长度局限性已逐渐无法满足未来汽车的通信要求,取而代之的CANFD(CAN Flexible Data-Rate,数据段波特率可变的CAN)报文通信技术作为下一代汽车总线技术,在不改变原有系统布局的基础上,提升了数据的传输效率。但CANFD汽车网络依旧存在攻击风险逐年增加的问题。相关技术中,CAN报文的数据域一帧最多8字节,而CAN FD报文的数据域一帧最长为64字节,CAN FD报文长度较长的特点,导致应用于CAN报文的异常检测模型不能泛用到对CAN FD报文的异常检测上,并且CAN报文的异常检测模型通常按照不同的ID分类,对异常检测模型进行训练,有多少ID就训练多少个模型,效率和覆盖率较差。
发明内容
为了解决上述技术问题,本发明提供一种报文异常检测方法、装置、设备及介质,可以提高CAN FD报文异常检测结果的准确性,并且可以大大提高异常检测效率。
根据本公开实施例的第一方面,提供一种报文异常检测方法,该方法包括:
从待检测报文中提取第一报文段,所述第一报文段表征所述待检测报文的目标发布对象和任务类型;
对所述第一报文段进行复制处理,得到多个第二报文段;
将所述多个第二报文段以及所述待检测报文进行拼接,得到目标待检测报文;
将所述目标待检测报文输入报文异常检测模型,得到所述待检测报文的异常检测结果。
在一种可能的实现方式中,所述将所述目标待检测报文输入报文异常检测模型,得到所述待检测报文的异常检测结果包括:
将所述目标待检测报文输入所述报文异常检测模型的编码端,得到所述目标待检测报文的特征向量;
利用所述报文异常检测模型中的分类器,对所述目标待检测报文的特征向量进行分类检测,得到所述目标待检测报文的异常概率值;
根据所述异常概率值确定所述目标待检测报文的异常检测结果。
在一种可能的实现方式中,所述基于所述异常结果的概率值确定所述目标待检测报文的异常检测结果包括:
当所述异常概率值小于第一阈值时,确定所述待检测报文对应的异常检测结果为重放攻击;
当所述异常概率值大于第二阈值时,确定所述待检测报文对应的异常检测结果为伪造攻击;
当所述异常概率值处于所述第一阈值和所述第二阈值之间时,确定所述待检测报文对应的异常检测结果为正常报文。
在一种可能的实现方式中,所述报文异常检测模型包括采用下述步骤确定:
获取第一训练报文以及对应标签,所述标签用于指示所示第一训练报文中的每条报文为异常报文或正常报文;
从所述第一训练报文中提取每个报文的第三报文段,所述第三报文段表征对应报文的目标发布对象和任务类型;
对所述第三报文段进行复制处理,得到多个第四报文段;
将所述多个第四报文段以及所述对应的报文进行拼接,得到第二训练报文;
基于所述第二训练报文对预设机器模型进行异常检测训练,得到所述报文异常检测模型;
其中,异常检测训练过程中的损失函数为交叉熵函数。
在一种可能的实现方式中,所述报文异常检测模型的编码端包括六层编码器;每层编码器包括前馈神经网络和自注意力层。
在一种可能的实现方式中,所述从待检测报文中提取第一报文段之前,所述方法还包括:
接收待处理报文;
对所述待处理报文进行预处理,得到所述待检测报文。
在一种可能的实现方式中,所述对所述待处理报文进行预处理,得到所述待检测报文包括:
确定所述待处理报文是否为预设进制的报文;
若否,对所述待处理报文进行进制转换,得到预设进制的待处理报文;
对所述预设进制的待处理报文进行内插值和归一化处理,得到所述待检测报文。
根据本公开实施例的第二方面,提供一种报文异常检测装置,所述装置可以包括:
提取模块,用于从待检测报文中提取第一报文段,所述第一报文段表征所述待检测报文的目标发布对象和任务类型;
复制模块,用于对所述第一报文段进行复制处理,得到多个第二报文段;
拼接模块,用于将所述多个第二报文段以及所述待检测报文进行拼接,得到目标待检测报文;
异常检测模块,用于将所述目标待检测报文输入报文异常检测模型,得到所述待检测报文的异常检测结果。
在一种可能的实现方式中,异常检测模块可以包括:
特征向量确定单元,用于将所述目标待检测报文输入所述报文异常检测模型的编码端,得到所述待检测报文的特征向量;
分类检测单元,用于利用所述报文异常检测模型中的分类器,对所述目标待检测报文的特征向量进行分类检测,得到所述目标待检测报文的异常概率值;
异常检测结果确定单元,用于根据所述异常概率值确定所述目标待检测报文的异常检测结果。
在一种可能的实现方式中,异常检测结果确定单元包括:
第一检测结果确定单元,用于当所述异常概率值小于第一阈值时,确定所述待检测报文对应的异常检测结果为重放攻击;
第二检测结果确定单元,用于当所述异常概率值大于第二阈值时,确定所述待检测报文对应的异常检测结果为伪造攻击;
第三检测结果确定单元,用于当所述异常概率值处于所述第一阈值和所述第二阈值之间时,确定所述待检测报文对应的异常检测结果为正常报文。
在一种可能的实现方式中,所述报文异常检测装置还包括:
训练报文获取模块,用于获取第一训练报文以及对应标签,所述标签用于指示所示第一训练报文中的每条报文为异常报文或正常报文;
训练报文段提取模块,用于从所述第一训练报文中提取每个报文的第三报文段,所述第三报文段为对应报文的报文标识,所述第三报文段表征对应报文的目标发布对象和任务类型;
第四报文段确定模块,用于对所述第三报文段进行复制处理,得到多个第四报文段;
第二拼接模块,用于将所述多个第四报文段以及所述对应的报文进行拼接,得到第二训练报文;
训练模块,用于基于所述第二训练报文对预设机器模型进行异常检测训练,得到所述报文异常检测模型;
其中,异常检测训练过程中的损失函数为交叉熵函数。
在一种可能的实现方式中,该装置还包括:
待处理报文接收模块,用于接收待处理报文;
预处理模块,用于对所述待处理报文进行预处理,得到所述待检测报文。
在一种可能的实现方式中,该预处理模块包括:
预设进制确定单元,用于确定所述待处理报文是否为预设进制的报文;
进制转换单元,用于对所述待处理报文进行进制转换,得到预设进制的待处理报文;
处理单元,用于对所述预设进制的待处理报文进行内插值和归一化处理,得到所述待检测报文。
根据本公开实施例的第三方面,提供一种电子设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现上述第一方面中任一项所述方法。
根据本公开实施例的第四方面,提供一种计算机可读存储介质,当所述计算机可读存储介质中的指令由车辆功能系统的测试装置/电子设备的处理器执行时,使得所述电子设备能够执行本公开实施例的第一方面中任一所述方法。
根据本公开实施例的第五方面,提供一种计算机程序产品,使得计算机执行本公开实施例的第一方面中任一项所述方法。
实施本申请,具有如下有益效果:
本申请通过从待检测报文中提取第一报文段,其中第一报文段表征待检测报文的目标发布对象和任务类型,对第一报文段进行复制处理,得到多个第二报文段;将第一报文段、多个第二报文段以及待检测报文段进行拼接,得到目标待检测报文,可以突出第一报文段在待检测报文中的关注度;将待检测报文输入报文异常检测模型,得到待检测报文的异常检测结果,可以解决较长的CAN FD报文异常检测场景中,由于第一报文段相对报文整体长度较短导致的不能较好地关注到上下文关联关系的问题,可以提高CAN FD报文异常检测结果的准确性;并且可以避免对不同第一报文段训练异常检测模型,采用每个第一报文段对应的模型对相应报文进行检测导致的低效问题,本申请中利用一个训练好的报文异常检测模型对报文进行检测,可以大大提高异常检测效率。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1为本申请实施例提供的一种实施环境示意图;
图2为本申请实施例提供的一种报文异常检测方法的流程图;
图3为本申请实施例提供的一种将目标待检测报文输入报文异常检测模型,得到待检测报文的异常检测结果方法的流程示意图;
图4为本申请实施例提供的一种根据异常概率值确定目标待检测报文的异常检测结果方法的流程示意图;
图5为本申请实施例提供的一种训练报文异常检测模型的流程示意图;
图6为本申请实施例提供的一种得到待检测报文的流程图;
图7为本申请实施例提供的一种对待处理报文进行预处理的流程示意图;
图8为本申请实施例提供的一种报文异常检测装置图;
图9为本申请实施例示出的一种报文异常检测的电子设备的框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了实现本申请的技术方案,让更多的工程技术工作者容易了解和应用本申请,将结合具体的实施例,进一步阐述本申请的工作原理。
本申请可应用于车辆报文检测,尤其涉及一种报文异常检测方法、装置、设备及介质。
请参考图1,其示出了本公开实施例提供的实施环境示意图,该实施环境可以包括:
至少一个终端01和至少一个服务器02。该至少一个终端01和该至少一个服务器02可以通过网络进行数据通信。
在一个可选的实施例中,终端01可以是待检测报文的数据提供方,为服务器02提供待检测报文的客户端。终端01可以包括但不限于车载终端、智能手机、台式计算机、平板电脑、笔记本电脑、智能音箱、数字助理、增强现实(augmentedreality,AR)/虚拟现实(virtual reality,VR)设备、智能可穿戴设备等类型的电子设备。终端01上运行的操作系统可以包括但不限于安卓系统、IOS系统、linux、windows、Unix等。
在一个可选的实施例中,服务器02可以是基于终端01提供的待检测报文进行报文异常检测处理,得到异常检测结果的服务器。可选的,服务器02可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
需要说明的是,以下图中示出的是一种可能的步骤顺序,实际上并不限定必须严格按照此顺序。有些步骤可以在互不依赖的情况下并行执行。本公开所涉及的用户信息(包括但不限于用户设备信息、用户个人信息、用户行为信息等)和数据(包括但不限于用于展示的数据、训练的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
图2是根据一示例性实施例示出的一种报文异常检测方法的流程图。该报文异常检测方法可以应用于服务器02,如图2所示,报文异常检测方法包括以下步骤:
在步骤S201中,从待检测报文中提取第一报文段。
本说明书实施例中,待检测报文可以是CAN FD(CAN Flexible Data-Rate,数据段波特率可变的CAN)报文。待检测报文的数量可以为一条或者多条。该第一报文段可以为待检测报文的报文标识,第一报文段可以表征待检测报文的目标发布对象和任务类型等特征。具体的,目标发布对象是指待检测报文的发布对象,任务类型是指待检测报文的具体用途,例如待检测报文可以是车辆中某系统请求获取目标信号的报文,或者可以是车辆中某个控制器发出的控制指令。实际应用中,第一报文段还可以表征待检测报文的接收对象类型、报文优先级等特征。待检测报文中的第一报文段可以有多位报文,可以根据第一报文段的报文头和位数对第一报文段进行提取。
在步骤S202中,对第一报文段进行复制处理,得到多个第二报文段。
本说明书实施例中,可以预先设置好第一报文段的复制次数。该复制次数可以与第一训练报文中第三报文段的复制次数相同。例如,第一报文段可以为“XXX”,复制预设次数为9次,可以根据第一报文段和复制得到的9个“XXX”,生成包含10个“XXX”的第二报文段。
在步骤S203中,将第一报文段、多个第二报文段以及待检测报文进行拼接,得到目标待检测报文。
本说明书实施例中,将第一报文段、多个第二报文段以及待检测报文进行拼接,可以是将第二报文段拼接到待检测报文中的任意位置,例如可以将第一报文段和多个第二报文段拼接到待检测报文的报文头或报文尾,得到目标待检测报文,本公开对此不作限定。
在步骤S204中,将目标待检测报文输入报文异常检测模型,得到待检测报文的异常检测结果。
本说明书实施例中,待检测报文的异常检测结果可以为正常报文或异常报文。
该实施例通过从待检测报文中提取第一报文段,其中第一报文段表征待检测报文的目标发布对象和任务类型,对第一报文段进行复制处理,得到多个第二报文段;将第一报文段、多个第二报文段以及待检测报文段进行拼接,得到目标待检测报文,可以突出第一报文段在待检测报文中的关注度;将待检测报文输入报文异常检测模型,得到待检测报文的异常检测结果,可以解决较长的CAN FD报文异常检测场景中,由于第一报文段相对报文整体长度较短导致的不能较好地关注到上下文关联关系的问题,可以提高CAN FD报文异常检测结果的准确性;并且可以避免对不同第一报文段训练异常检测模型,采用每个第一报文段对应的模型对相应报文进行检测导致的低效问题,本申请中利用一个训练好的报文异常检测模型对报文进行检测,可以大大提高异常检测效率。
在一些示例性的实施例中,如图3所示,将目标待检测报文输入报文异常检测模型,得到待检测报文的异常检测结果可以包括:
在步骤S301中,将目标待检测报文输入报文异常检测模型的编码端,得到目标待检测报文的特征向量。
本说明书实施例中,报文异常检测模型可以为transformer模型(一种运用注意力机制的模型),可以在该报文异常检测模型中设置编码端,利用报文异常检测模型中的该编码端对目标待检测报文进行特征提取处理,得到目标待检测报文的特征向量。在一些示例中,目标待检测报文的特征向量可以为二维向量。
在步骤S302中,利用报文异常检测模型中的分类器,对目标待检测报文的特征向量进行分类检测,得到目标待检测报文的异常概率值。
本说明书实施例中,报文异常检测模型中的分类器可以是二分类器,利用二分类器可以对待检测报文的特征向量进行分类检测。该二分类器中可以通过归一化指数函数得到目标待检测报文为正常报文的概率,以及目标待检测报文为异常报文的概率。
在步骤S303中,根据异常概率值确定待检测报文的异常检测结果。
本说明书实施例中,异常概率值可以表示待检测报文为异常的可能性,异常概率值的数值大小可以介于0至1,异常概率值小于一定值时,表示待检测报文的为正常报文。可以预先设定异常阈值,基于该异常阈值和异常概率值确定目标待检测报文的异常检测结果。
通过将目标待检测报文输入报文异常检测模型的编码端,得到目标待检测报文的特征向量,利用报文异常检测模型中的分类器,对目标待检测报文的特征向量进行分类检测,得到待检测报文的异常概率值,可以强化第一报文段与目标待检测报文中其余数据的关系,根据该异常概率值确定待检测报文的异常检测结果,可以提高异常检测结果的生成效率。
在一些示例性的实施例中,如图4所示,根据异常概率值确定目标待检测报文的异常检测结果可以包括:
在步骤S401中,当异常概率值小于第一阈值时,确定待检测报文对应的异常检测结果为重放攻击。
本说明书实施例中,重放攻击是指攻击者发送的一个服务器已接收过的报文,攻击发起者通过发送重放攻击,可以达到欺骗检测系统的目的。可选的,可以将第一阈值设置为0.05,在得到异常概率之后,将异常概率值与第一阈值进行比较,若异常概率值小于0.05,如异常概率值为0.01,可以确定待检测报文对应的异常检测结果为重放攻击。
在步骤S402中,当异常概率值大于第二阈值时,确定待检测报文对应的异常检测结果为伪造攻击。
本说明书实施例中,伪造攻击是指伪装成受害终端进行的报文发送。可选的,可以将第二阈值设置为0.7,在得到异常概率值之后,将异常概率值与第二阈值进行比较,若异常概率值大于0.7,如异常概率值为0.8,可以确定待检测报文对应的异常检测结果为伪造攻击。
需要说明的是,本申请中的第一阈值小于第二阈值,第一阈值和第二阈值可以根据实际需要进行调整,本申请对第一阈值和第二阈值的具体数值大小不作限定。
在步骤S403中,当异常概率值处于第一阈值和第二阈值之间时,确定待检测报文对应的异常检测结果为正常报文。
本说明书实施例中,例如第一阈值为0.05,第二阈值为0.7,利用报文异常检测模型中的分类器,对目标待检测报文的特征向量进行分类检测,得到目标待检测报文的异常概率值为0.5,处于第一阈值和第二阈值之间,可以确定待检测报文对应的异常检测结果为正常报文。
该实施例通过当异常概率值小于第一阈值时,确定待检测报文对应的异常检测结果为重放攻击,当异常概率值大于第二阈值时,确定待检测报文对应的异常检测结果为重放攻击,当异常概率值处于第一阈值和第二阈值之间时,确定待检测报文对应的异常检测结果为正常报文,可以通过目标待检测报文的异常概率值,确定待检测报文的异常检测结果,从而提高异常检测结果的精确性。
在一些示例性的实施例中,如图5所示,报文异常检测模型可以包括采用下述步骤确定:
在步骤S501中,获取第一训练报文以及对应标签,其中,标签用于指示所示第一训练报文中的每条报文为异常报文或正常报文。
本说明书实施例中,第一训练报文可以包括多条报文,该多条报文为至少一条异常报文和至少一条正常报文。标签可以设置为任意格式,用于指示第一训练报文中的每条报文是否异常,例如标签可以为1或0,标签1指示报文为正常报文,标签0指示报文为异常报文,或者标签1指示报文为异常报文,标签0指示报文为正常报文,本申请对此不作限定。
在步骤S502中,从第一训练报文中提取每个报文的第三报文段,第三报文段表征对应报文的目标发布对象和任务类型。
本说明书实施例中,第三报文段可以为第一训练报文中每个报文对应的报文标识,第三报文段可以表征待检测报文的目标发布对象和任务类型等特征。
在步骤S503中,对第三报文段进行复制处理,得到多个第四报文段。
在步骤S504中,将多个第四报文段以及对应的报文进行拼接,得到第二训练报文。
本说明书实施例中,第一训练报文中可以有多条报文,在拼接时,是将每条报文与对应的第三报文段、对应的多个第四报文段进行拼接,得到每条拼接后的报文,第二训练报文包括全量拼接后的报文。
在步骤S505中,基于第二训练报文对预设机器模型进行异常检测训练,得到报文异常检测模型。
本说明书实施例中,异常检测训练过程中可以通过交叉熵函数确定损失函数,基于第二训练报文对预设机器模型进行异常检测训练优化。在采用归一化指数函数确定每次训练产生的预测结果后,可以用交叉熵函数计算LOSS损失。具体的,在一些示例中,归一化指数函数可以为下述公式:
p=softmax(Wh+b)
上述公式中,p为每次训练后单条报文对应的预测结果,该预测结果可以是指异常的概率值,W为预设机器模型中的权重矩阵,b为预设机器模型中的参数。
LOSS损失函数的公式可以如下:
其中,L为单次训练中第二训练报文中全量样本报文的总损失,N为样本总数,i为此次训练过程中的第i个样本,yi为第i个样本的标签,标签的数值可以为1或0,分别指示报文为异常报文和正常报文;pi为第i个样本的预测结果,具体可以表示为异常概率分布。
训练过程中,调整预设机器模型中的模型参数,直至损失值达到预设损失阈值,可以将得到的预设机器模型作为报文异常检测模型。
在一些实施例中,预设机器模型可以包括编码端和分类器,编码端可以包括预设层数的编码器,每层编码器包括前馈神经网络和自注意力层。自注意力层可以用于提高对每位报文数据编码时对报文中其他各个位的报文数据的关注度,自注意力层的输出可以传递到前馈神经网络中。每层编码器中前馈神经网络的输出可以作为下一层编码器中自注意力层的输入,直至编码端输出特征向量。可选的,编码端中可以设置6个编码器,本申请对此不作限定。
该实施例通过获取第一训练报文以及对应标签,其中标签用于指示第一训练报文中每条报文为异常报文或正常报文,从第一训练报文中提取每个报文的第三报文段,该第三报文段表征对应报文的目标发布对象和任务类型,对第三报文段进行复制处理,得到多个第四报文段,将第三报文段、多个第四报文段以及对应的报文进行拼接,得到第二训练报文,基于第二训练报文对预设机器模型进行异常检测训练,可以得到报文异常检测模型,其中异常检测训练过程中的损失函数为交叉熵函数,通过该方式得到的报文异常检测模型在训练时充分关注了报文标识和报文数据的关系,由此在利用报文异常检测模型进行报文异常检测时,可以提高CAN FD报文异常检测结果的准确性。
在一些示例性的实施例中,如图6所示,从待检测报文中提取第一报文段之前,该方法还可以包括:
在步骤S601中,接收待处理报文。
本说明书实施例中,待处理报文是从外界接收的报文。
在步骤S602中,对待处理报文进行预处理,得到待检测报文。
本说明书实施例中,待处理报文中不同的报文格式或者长度可以不同。对待处理报文进行预处理,可以得到格式及长度相同的待检测报文。
该实施例通过对待处理报文进行预处理,可以得到统一格式和长度的模型输入,从而提高报文异常检测模型的检测效率。
在一些示例性的实施例中,如图7所示,对待处理报文进行预处理,得到待检测报文可以包括:
在步骤S701中,确定待处理报文是否为预设进制的报文。
本说明书实施例中,待处理报文可以为十进制或十六进制等,预设进制可以设置为固定的进制,例如十进制。
在步骤S702中,若待处理报文不为预设进制的报文,对待处理报文进行进制转换,得到预设进制的待处理报文。
本说明书实施例中,待处理报文可以为预设长度的报文,例如可以为64为报文,当待处理报文不为预设长度时,可以对待处理报文进行位数补齐,例如用0补齐空位。可以对待处理报文进行进制统一,对不为预设进制的报文,进行进制转换,例如预设进制为十进制,可以将十六进制的待处理报文转换为十进制,得到十进制的待处理报文。
在步骤S703中,对预设进制的待处理报文进行内插值和归一化处理,得到待检测报文。
该实施例通过确定待处理报文是否为预设进制的报文,在否时,对待处理报文进行进制转换,得到预设进制的待处理报文,对预设进制的待处理报文进行内插值和归一化处理,得到待检测报文,可以实现待检测报文的格式统一,便于后续模型检测。
本申请另外还提供一种报文异常检测装置,如图8所示,该装置可以包括:
提取模块801,用于从待检测报文中提取第一报文段,所述第一报文段表征所述待检测报文的目标发布对象和任务类型;
复制模块802,用于对所述第一报文段进行复制处理,得到多个第二报文段;
拼接模块803,用于将所述多个第二报文段以及所述待检测报文进行拼接,得到目标待检测报文;
异常检测模块804,用于将所述目标待检测报文输入报文异常检测模型,得到所述待检测报文的异常检测结果。
该实施例通过从待检测报文中提取第一报文段,其中第一报文段表征待检测报文的目标发布对象和任务类型,对第一报文段进行复制处理,得到多个第二报文段;将第一报文段、多个第二报文段以及待检测报文段进行拼接,得到目标待检测报文,可以突出第一报文段在待检测报文中的关注度;将待检测报文输入报文异常检测模型,得到待检测报文的异常检测结果,可以提高CAN FD报文异常检测结果的准确性,并且可以大大提高异常检测效率。
在一些示例性的实施例中,异常检测模块可以包括:
特征向量确定单元,用于将所述目标待检测报文输入所述报文异常检测模型的编码端,得到所述待检测报文的特征向量;
分类检测单元,用于利用所述报文异常检测模型中的分类器,对所述目标待检测报文的特征向量进行分类检测,得到所述目标待检测报文的异常概率值;
异常检测结果确定单元,用于根据所述异常概率值确定所述目标待检测报文的异常检测结果。
在一种可能的实现方式中,异常检测结果确定单元包括:
第一检测结果确定单元,用于当所述异常概率值小于第一阈值时,确定所述待检测报文对应的异常检测结果为重放攻击;
第二检测结果确定单元,用于当所述异常概率值大于第二阈值时,确定所述待检测报文对应的异常检测结果为伪造攻击;
第三检测结果确定单元,用于当所述异常概率值处于所述第一阈值和所述第二阈值之间时,确定所述待检测报文对应的异常检测结果为正常报文。
在一种可能的实现方式中,所述报文异常检测装置还包括:
训练报文获取模块,用于获取第一训练报文以及对应标签,所述标签用于指示所示第一训练报文中的每条报文为异常报文或正常报文;
训练报文段提取模块,用于从所述第一训练报文中提取每个报文的第三报文段,所述第三报文段为对应报文的报文标识,所述第三报文段表征对应报文的目标发布对象和任务类型;
第四报文段确定模块,用于对所述第三报文段进行复制处理,得到多个第四报文段;
第二拼接模块,用于将所述多个第四报文段以及所述对应的报文进行拼接,得到第二训练报文;
训练模块,用于基于所述第二训练报文对预设机器模型进行异常检测训练,得到所述报文异常检测模型;
其中,异常检测训练过程中的损失函数为交叉熵函数。
在一种可能的实现方式中,该装置还包括:
待处理报文接收模块,用于接收待处理报文;
预处理模块,用于对所述待处理报文进行预处理,得到所述待检测报文。
在一种可能的实现方式中,该预处理模块包括:
预设进制确定单元,用于确定所述待处理报文是否为预设进制的报文;
进制转换单元,用于对所述待处理报文进行进制转换,得到预设进制的待处理报文;
处理单元,用于对所述预设进制的待处理报文进行内插值和归一化处理,得到所述待检测报文。
图9是根据一示例性实施例示出的报文异常检测的电子设备的框图,该电子设备可以是服务器或中断,其内部结构图可以如图9所示。该电子设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种报文异常检测方法。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本公开方案相关的部分结构的框图,并不构成对本公开方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本申请另外还提供一种电子设备,该电子设备可以包括:处理器;用于存储处理器可执行指令的存储器;其中,该处理器被配置为执行该可执行指令,以实现上述任一实施例中的检测方法。
本申请另外还提供一种计算机可读存储介质,当计算机可读存储介质中的指令由电子设备的处理器执行时,使得电子设备能够实现上述任一实施例中的检测方法。
本申请另外还提供一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现上述任一实施例中的检测方法。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如本发明的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在本发明的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者系统程序(如计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,也可以在载体信号上提供,或者以任何其他形式提供。
应该注意的是,上述实施例是对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或者步骤等。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干系统的单元权利要求中,这些系统中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二以及第三等的使用不表示任何顺序,可将这些单词解释为名称。
Claims (10)
1.一种报文异常检测方法,其特征在于,所述方法包括:
从待检测报文中提取第一报文段,所述第一报文段表征所述待检测报文的目标发布对象和任务类型;
对所述第一报文段进行复制处理,得到多个第二报文段;
将所述多个第二报文段以及所述待检测报文进行拼接,得到目标待检测报文;
将所述目标待检测报文输入报文异常检测模型的编码端,得到所述待检测报文的特征向量;所述异常检测模型的编码端包括前馈神经网络和自注意力层;
对所述目标待检测报文的特征向量进行分类检测,得到异常检测结果。
2.根据权利要求1所述的方法,其特征在于,所述对所述目标待检测报文的特征向量进行分类检测,得到异常检测结果包括:
利用所述报文异常检测模型中的分类器,对所述目标待检测报文的特征向量进行分类检测,得到所述目标待检测报文的异常概率值;
根据所述异常概率值确定所述待检测报文的异常检测结果。
3.根据权利要求2所述的方法,其特征在于,所述根据所述异常概率值确定所述待检测报文的异常检测结果包括:
当所述异常概率值小于第一阈值时,确定所述待检测报文对应的异常检测结果为重放攻击;
当所述异常概率值大于第二阈值时,确定所述待检测报文对应的异常检测结果为伪造攻击;
当所述异常概率值处于所述第一阈值和所述第二阈值之间时,确定所述待检测报文对应的异常检测结果为正常报文。
4.根据权利要求1所述的方法,其特征在于,所述报文异常检测模型包括采用下述步骤确定:
获取第一训练报文以及对应标签,所述标签用于指示所述第一训练报文中的每条报文为异常报文或正常报文;
从所述第一训练报文中提取每个报文的第三报文段,所述第三报文段表征对应报文的目标发布对象和任务类型;
对所述第三报文段进行复制处理,得到多个第四报文段;
将所述多个第四报文段以及所述对应的报文进行拼接,得到第二训练报文;
基于所述第二训练报文对预设机器模型进行异常检测训练,得到所述报文异常检测模型;
其中,异常检测训练过程中的损失函数为交叉熵函数。
5.根据权利要求2所述的方法,其特征在于,所述报文异常检测模型的编码端包括六层编码器;每层编码器包括前馈神经网络和自注意力层。
6.根据权利要求1所述的方法,其特征在于,所述从待检测报文中提取第一报文段之前,所述方法还包括:
接收待处理报文;
对所述待处理报文进行预处理,得到所述待检测报文。
7.根据权利要求6所述的方法,其特征在于,所述对所述待处理报文进行预处理,得到所述待检测报文包括:
确定所述待处理报文是否为预设进制的报文;
若否,对所述待处理报文进行进制转换,得到预设进制的待处理报文;
对所述预设进制的待处理报文进行内插值和归一化处理,得到所述待检测报文。
8.一种报文异常检测装置,其特征在于,所述装置包括:
提取模块,用于从待检测报文中提取第一报文段,所述第一报文段表征所述待检测报文的目标发布对象和任务类型;
复制模块,用于对所述第一报文段进行复制处理,得到多个第二报文段;
拼接模块,用于将所述多个第二报文段以及所述待检测报文进行拼接,得到目标待检测报文;
异常检测模块,用于将所述目标待检测报文输入报文异常检测模型的编码端,得到所述待检测报文的特征向量;所述异常检测模型的编码端包括前馈神经网络和自注意力层;对所述目标待检测报文的特征向量进行分类检测,得到异常检测结果。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1至7中任一项所述的报文异常检测方法。
10.一种计算机可读存储介质,其特征在于,当所述计算机可读存储介质中的指令由电子设备的处理器执行时,使得所述电子设备能够执行如权利要求1至7中任一项所述的报文异常检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111600727.XA CN114338129B (zh) | 2021-12-24 | 2021-12-24 | 一种报文异常检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111600727.XA CN114338129B (zh) | 2021-12-24 | 2021-12-24 | 一种报文异常检测方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338129A CN114338129A (zh) | 2022-04-12 |
CN114338129B true CN114338129B (zh) | 2023-10-31 |
Family
ID=81012658
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111600727.XA Active CN114338129B (zh) | 2021-12-24 | 2021-12-24 | 一种报文异常检测方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338129B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277882B (zh) * | 2022-06-22 | 2023-08-29 | 东风汽车集团股份有限公司 | Can报文数据库建立方法、装置、车载电子设备及存储介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105005616A (zh) * | 2015-07-20 | 2015-10-28 | 清华大学 | 基于文本图片特征交互扩充的文本图解方法及系统 |
CN110888968A (zh) * | 2019-10-15 | 2020-03-17 | 浙江省北大信息技术高等研究院 | 客服对话意图分类方法及装置、电子设备及介质 |
CN111107107A (zh) * | 2019-12-31 | 2020-05-05 | 奇安信科技集团股份有限公司 | 网络行为的检测方法、装置、计算机设备和存储介质 |
CN112183583A (zh) * | 2020-09-08 | 2021-01-05 | 昆明理工大学 | 一种注意力导向的太赫兹图像中的小目标检测方法 |
WO2021139235A1 (zh) * | 2020-06-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 系统异常检测方法、装置、设备及存储介质 |
US11132988B1 (en) * | 2020-10-22 | 2021-09-28 | PolyAI Limited | Dialogue system, a dialogue method, and a method of training |
CN113472791A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
WO2021218015A1 (zh) * | 2020-04-27 | 2021-11-04 | 平安科技(深圳)有限公司 | 相似文本的生成方法及装置 |
CN113673304A (zh) * | 2021-06-30 | 2021-11-19 | 华东师范大学 | 基于场景语义驱动的车载预期功能安全危害分析评估方法 |
EP3913882A1 (en) * | 2020-05-22 | 2021-11-24 | Fujitsu Limited | Method, computer program and information processing apparatus for flagging anomalies in text data |
CN113778719A (zh) * | 2021-09-16 | 2021-12-10 | 北京中科智眼科技有限公司 | 基于复制粘贴的异常检测算法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11537877B2 (en) * | 2019-02-12 | 2022-12-27 | Cisco Technology, Inc. | Deep learning system for accelerated diagnostics on unstructured text data |
-
2021
- 2021-12-24 CN CN202111600727.XA patent/CN114338129B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105005616A (zh) * | 2015-07-20 | 2015-10-28 | 清华大学 | 基于文本图片特征交互扩充的文本图解方法及系统 |
CN110888968A (zh) * | 2019-10-15 | 2020-03-17 | 浙江省北大信息技术高等研究院 | 客服对话意图分类方法及装置、电子设备及介质 |
CN111107107A (zh) * | 2019-12-31 | 2020-05-05 | 奇安信科技集团股份有限公司 | 网络行为的检测方法、装置、计算机设备和存储介质 |
WO2021218015A1 (zh) * | 2020-04-27 | 2021-11-04 | 平安科技(深圳)有限公司 | 相似文本的生成方法及装置 |
EP3913882A1 (en) * | 2020-05-22 | 2021-11-24 | Fujitsu Limited | Method, computer program and information processing apparatus for flagging anomalies in text data |
WO2021139235A1 (zh) * | 2020-06-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 系统异常检测方法、装置、设备及存储介质 |
CN112183583A (zh) * | 2020-09-08 | 2021-01-05 | 昆明理工大学 | 一种注意力导向的太赫兹图像中的小目标检测方法 |
US11132988B1 (en) * | 2020-10-22 | 2021-09-28 | PolyAI Limited | Dialogue system, a dialogue method, and a method of training |
CN113472791A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及可读存储介质 |
CN113673304A (zh) * | 2021-06-30 | 2021-11-19 | 华东师范大学 | 基于场景语义驱动的车载预期功能安全危害分析评估方法 |
CN113778719A (zh) * | 2021-09-16 | 2021-12-10 | 北京中科智眼科技有限公司 | 基于复制粘贴的异常检测算法 |
Also Published As
Publication number | Publication date |
---|---|
CN114338129A (zh) | 2022-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108665403B (zh) | 数字水印嵌入方法、提取方法、装置及数字水印系统 | |
US10692218B2 (en) | Method and system of detecting image tampering, electronic device and storage medium | |
KR102093275B1 (ko) | 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법 | |
CN112685739B (zh) | 恶意代码检测方法、数据交互方法及相关设备 | |
CN113315742B (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
US10389685B2 (en) | Systems and methods for securely transferring selective datasets between terminals | |
CN111371778B (zh) | 攻击团伙的识别方法、装置、计算设备以及介质 | |
CN114338129B (zh) | 一种报文异常检测方法、装置、设备及介质 | |
CN111259282A (zh) | Url去重方法、装置、电子设备及计算机可读存储介质 | |
CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
CN113810375B (zh) | webshell检测方法、装置、设备及可读存储介质 | |
CN111209600A (zh) | 基于区块链的数据处理方法及相关产品 | |
Chen et al. | Using adversarial examples to bypass deep learning based url detection system | |
CN111552696A (zh) | 基于大数据的数据处理方法、装置、计算机设备和介质 | |
CN114374686B (zh) | 基于浏览器的文件处理方法、装置和设备 | |
CN115314239A (zh) | 基于多模型融合的隐匿恶意行为的分析方法和相关设备 | |
CN113055890B (zh) | 一种面向移动恶意网页的多设备组合优化的实时检测系统 | |
CN116263831A (zh) | 一种网页数据篡改检测方法、装置、计算设备和存储介质 | |
CN115348184A (zh) | 一种物联网数据安全事件预测方法及系统 | |
CN115879104B (zh) | 监控数据安全的数据处理系统、电子设备 | |
CN115150165B (zh) | 一种流量识别方法及装置 | |
CN117454380B (zh) | 恶意软件的检测方法、训练方法、装置、设备及介质 | |
Xiao et al. | Practical IDS on in-vehicle network against diversified attack models | |
CN116074097A (zh) | 一种流量识别方法及装置 | |
Gu et al. | Digital image steganalysis based on spatial rich model features and dimensionality reduction |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |