CN114710372A - 基于增量学习的车载can网络入侵检测系统及方法 - Google Patents

基于增量学习的车载can网络入侵检测系统及方法 Download PDF

Info

Publication number
CN114710372A
CN114710372A CN202210637979.8A CN202210637979A CN114710372A CN 114710372 A CN114710372 A CN 114710372A CN 202210637979 A CN202210637979 A CN 202210637979A CN 114710372 A CN114710372 A CN 114710372A
Authority
CN
China
Prior art keywords
intrusion detection
vehicle
data
model
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210637979.8A
Other languages
English (en)
Other versions
CN114710372B (zh
Inventor
魏叶华
林佳颖
蒋浩然
程灿
朱露
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Normal University
Original Assignee
Hunan Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Normal University filed Critical Hunan Normal University
Priority to CN202210637979.8A priority Critical patent/CN114710372B/zh
Publication of CN114710372A publication Critical patent/CN114710372A/zh
Application granted granted Critical
Publication of CN114710372B publication Critical patent/CN114710372B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Medical Informatics (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Computer Hardware Design (AREA)
  • Traffic Control Systems (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

本发明涉及车载网络安全技术领域,特别涉及一种基于增量学习的车载CAN网络入侵检测系统及方法,系统包括汽车终端模块、路侧边缘模块、云端服务器和增量学习检测模块;采用了增量学习和深度神经网络(DNN)相结合的方式,使用标记的真实车辆数据训练DNN的基础模型,在边缘端进行在线检测和增量学习,采用无标记数据进行预测模型更新,提高了入侵检测模型泛化能力的同时,卸载了车载系统计算和存储负担,充分利用了边缘端的计算时效和云端的存储能力,能够保持模型的不断更新,及时准确地检测车载网络的攻击异常,为车辆的安全驾驶提供了保障。

Description

基于增量学习的车载CAN网络入侵检测系统及方法
技术领域
本发明涉及网联汽车的车载网络安全技术领域,特别涉及一种基于增量学习的车载CAN网络入侵检测系统及方法。
背景技术
随着信息技术和传感器技术的应用,车联网和自动驾驶技术蓬勃发展,新一代汽车朝着智能化、网联化发展,车内集成了自适应巡航、自动泊车等越来越多的功能系统,汽车不再是简单的、功能单一的交通工具,将实现车与车、车与人、车与交通基础设施和网络的全方位连接与通信,为用户提供安全、舒适、智能、高效的驾驶感受与交通服务。然而,为乘客带来便利与舒适的同时,由于与外界信息交互的增加,也为车载网络带来了多种潜在信息安全攻击。
在目前的车载电子系统中,控制器局域网络(CAN)具有布线成本低、实时性强、传输距离长、抗干扰能力强等特点,成为了主流车载网络。然而,设计之初,CAN并没有考虑信息安全问题,消息的传输未使用加密或认证机制,使得网络容易遭受消息窃取和篡改、拒绝服务、模糊攻击等入侵行为。入侵检测技术由于实现简单、便于部署等特点,成为了车载CAN网络信息安全问题的重要技术,提出了许多基于机器学习或深度学习的入侵检测方法。这些方法通常采用已知样本训练模型,模型部署后不在更新。但是,在实际应用中,随着汽车行驶环境变化或新的攻击行为发生,将导致现有模型的泛化能力下降,影响检测精度。
应该注意,上面对技术背景的介绍只是为了方便对本申请的技术方案进行清楚、完整的说明,并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本申请的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
发明内容
本发明的目的是:针对上述背景技术中存在的不足,提供一种云边协同架构下基于增量学习的车载CAN网络入侵检测方法,以提高模型泛化能力,减轻车载系统存储和计算开销,避免较大的检测时延,为驾驶人员的安全驾驶决策提供支持。
为了达到上述目的,本发明提供了一种基于增量学习的车载CAN网络入侵检测系统,包括汽车终端模块、路侧边缘模块、云端服务器和增量学习检测模块;
所述汽车终端模块用于在线采集CAN网络数据,预处理后与车辆身份ID一起发送至所述路侧边缘模块,并接收返回的检测结果,产生异常警报;
所述路侧边缘模块用于部署基于增量学习的入侵检测模型,接收所述汽车终端模块发送的CAN网络数据,进行异常检测,并使用接收的数据对入侵检测模型增量学习;
所述云端服务器用于存储不同车辆对应的入侵检测模型,收到所述路侧边缘模块请求后发送入侵检测模型到路侧边缘模块;
所述增量学习检测模块使用标记的真实车辆数据训练深度神经网络的基础模型,采用无标记数据进行模型更新。
进一步地,所述汽车终端模块在车辆行驶过程中,依靠无线通信方式不断检测与路侧边缘模块之间的通信信号强度,选择通信信号强度强的路侧边缘模块进行连接,直至通信信号强度不满足条件,而重新选择路侧边缘模块进行连接。
进一步地,所述汽车终端模块通过网关采集CAN网络数据,对数据进行预处理,按照部署在路侧边缘模块中的入侵检测模型所需要的格式准备数据,并在已处理好的数据中添加车辆身份标识号,将处理过的数据传输到连接的路侧边缘模块,以进行模型下载,或进行入侵检测和模型更新。
进一步地,若第一次接收到车端发送数据,所述路侧边缘模块将接收到的数据中的汽车身份ID发送至云端服务器,查找对应的入侵检测模型并下载。
进一步地,所述增量学习检测模块具有离线训练和在线检测与更新两个阶段;在离线训练阶段,采用具有攻击标签的真实车辆数据样本,对深度神经网络进行训练得到初始入侵检测模型,训练好后存入云端服务器;在线检测与更新阶段,入侵检测模型从云端服务器下载后,部署在路侧边缘模块,进行在线入侵检测,同时基于增量学习,使用预测数据对入侵检测模型进行更新。
进一步地,所述初始入侵检测模型的构建过程为:
使用已标记的CAN网络数据样本,选择深度神经网络作为基础分类模型,输入层拥有n个输入结点,负责分批次处理带标签的训练样本数据,组织为输入向量
Figure 751049DEST_PATH_IMAGE001
,其中
Figure 605873DEST_PATH_IMAGE002
为训练样本的第j个特征值;
隐藏层负责学习样本的数据特征,隐藏层的计算公式为:
Figure 339605DEST_PATH_IMAGE003
式中,
Figure 672497DEST_PATH_IMAGE004
Figure 877082DEST_PATH_IMAGE005
Figure 902807DEST_PATH_IMAGE006
分别为第i个隐藏层的权重矩阵、偏置向量和输出向量,当i=1时,为整个模型的输入向量x,
Figure 694193DEST_PATH_IMAGE007
为第i个隐藏层对其输入向量进行线性操作的中间向量,
Figure 158673DEST_PATH_IMAGE008
为隐藏层的激活函数:
Figure 765235DEST_PATH_IMAGE009
,实现对输入参数的非线性转换;
输出层根据最后一层隐藏层的输出结果,计算训练样本属于正常数据或异常数据的对应值,其计算公式为:
Figure 211128DEST_PATH_IMAGE010
式中,
Figure 106403DEST_PATH_IMAGE011
为最后一个隐藏层的输出向量,
Figure 797410DEST_PATH_IMAGE012
为输出层的权重矩阵,
Figure 258478DEST_PATH_IMAGE013
为输出层的偏置向量,
Figure 875273DEST_PATH_IMAGE014
,其中
Figure 382478DEST_PATH_IMAGE015
Figure 860864DEST_PATH_IMAGE016
分别为CAN网络数据正常和异常的对应值;
最后使用softmax函数计算样本数据分别对应正常和异常的概率值,依此概率值判断并输出检验结果。
进一步地,设置交叉熵损失函数作为离线训练的损失函数,即:
Figure 192750DEST_PATH_IMAGE017
由上式计算出处理m条样本数据时的平均损失值,为实现平均损失最小化,在模型训练的反向传播过程中,使用自适应矩估计算法更新权重矩阵与偏置向量:
Figure 668862DEST_PATH_IMAGE018
进一步地,增量学习首先基于概率分布梯度协方差,求得模型参数的重要度矩阵F,该矩阵用于衡量深度神经网络中每一个参数的重要性,进而基于F给损失函数添加正则化项,增量式训练使用的损失函数如下:
Figure 584734DEST_PATH_IMAGE019
其中,
Figure 866811DEST_PATH_IMAGE020
为针对新的训练样本集的交叉熵损失函数,
Figure 53204DEST_PATH_IMAGE021
为超参数,
Figure 90430DEST_PATH_IMAGE022
为在线更新训练时第i个参数,
Figure 244331DEST_PATH_IMAGE023
为更新训练前的第i个参数。
本发明还提供了一种基于增量学习的车载CAN网络入侵检测方法,包括:终端在线采集CAN网络数据,预处理后与车辆身份ID一起发送至边缘端,并接收返回的检测结果,产生异常警报;边缘端第一次接收车端数据后,从云端下载并部署入侵检测模型,接收终端发送的CAN网络数据,进行异常检测,并将检测结果返回终端,同时使用接收的数据对入侵检测模型增量学习,将更新后的不同车辆对应的入侵检测模型储存在云端;云端收到边缘端请求后对边缘端发送入对应的侵检测模型,且收到更新后的入侵检测模型,进行更新存储。
进一步地,使用标记的真实车辆数据训练深度神经网络的基础模型,并在边缘端进行在线检测和增量学习,采用无标记数据进行模型更新。
本发明的上述方案有如下的有益效果:
本发明提供的基于增量学习的车载CAN网络入侵检测方案,采用了基于增量学习的入侵检测模型,并采用了云边协同的架构进行部署,提高了入侵检测模型泛化能力的同时,卸载了车载系统计算和存储负担,充分利用了边缘端的计算时效和云端的存储能力,能够保持模型的不断更新,及时准确地检测车载网络的攻击异常,为车辆的安全驾驶提供了保障;
本发明的其它有益效果将在随后的具体实施方式部分予以详细说明。
附图说明
图1为本发明的系统架构示意图;
图2为本发明的流程示意图;
图3为本发明的初始入侵检测模型构建示意图;
图4为本发明的增量学习检测模块示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,为了简单说明,该方法或规则作为一系列操作来描绘或描述,其目的既不是对实验操作进行穷举,也不是对实验操作的次序加以限制。例如,实验操作可以各种次序进行和/或同时进行,并包括其他再次没有描述的实验操作。此外,所述的步骤不都是在此描述的方法和算法所必备的。本领域技术人员可以认识和理解,这些方法和算法可通过状态图或项目表示为一系列不相关的状态。
本发明涉及车载网络安全技术领域,目前车载电子系统中,控制器局域网络(CAN)具有布线成本低、实时性强、传输距离长、抗干扰能力强等特点,成为了主流车载网络。然而,设计之初,CAN并没有考虑信息安全问题,消息的传输未使用加密或认证机制,使得网络容易遭受消息窃取和篡改、拒绝服务、模糊攻击等入侵行为。目前,入侵检测技术由于实现简单、便于部署等特点,成为了车载CAN网络信息安全问题的重要技术,提出了许多基于机器学习或深度学习的入侵检测方法。然而这些方法通常采用已知样本训练模型,模型部署后不在更新。但是在实际应用中,随着汽车行驶环境变化或新的攻击行为发生,将导致现有模型的泛化能力下降,影响检测精度。基于此,本发明的实施例1提供了一种基于增量学习的车载CAN网络入侵检测系统,旨在改善现有技术中的缺陷。
具体架构如图1所示,该系统包括汽车终端模块、路侧边缘模块、云端服务器和增量学习检测模块。其中,汽车终端模块用于在线采集CAN网络数据,预处理后与车辆身份ID一起发送至路侧边缘模块,并接收返回的检测结果,产生异常警报;路侧边缘模块用于从云端下载并部署入侵检测模型,接收汽车终端模块发送的CAN网络数据后,进行异常检测,并使用接收的数据对入侵检测模型增量学习;云端服务器用于存储不同车辆对应的入侵检测模型,与路侧边缘模块相连接,收到路侧边缘模块请求后发送入侵检测模型到路侧边缘模块;增量学习检测模块采用增量学习和深度神经网络(DNN)相结合,使用标记的真实车辆数据训练DNN的基础模型,在路侧边缘模块进行在线检测和增量学习,采用无标记数据进行模型更新,提高检测精度和泛化能力。
其中,汽车终端模块在车辆行驶过程中,依靠无线通信方式不断检测与路侧边缘模块之间的通信信号强度,选择通信信号强度较强的路侧边缘模块进行连接。同时,汽车终端模块通过网关采集CAN网络数据,对数据进行预处理,按照部署在路侧边缘模块中的入侵检测模型所需要的格式准备数据,并在已处理好的数据中添加车辆身份标识号。当汽车终端模块与路侧边缘模块连接成功后,将处理过的数据传输到路侧边缘模块,边缘端首先从云端下载并部署入侵检测模型,然后进行入侵检测和模型更新。直至通信信号强度不满足条件,而重新选择路侧边缘模块进行连接。具体流程如图2所示。
同时,路侧边缘模块将接收到的数据中的汽车身份ID通过无线/有线方式发送至云端服务器,查找对应的入侵检测模型。
其中,云端服务器存储有初始入侵检测模型,该初始入侵检测模型的构建过程如图3所示。具体地,使用已标记的汽车CAN网络数据样本,选择深度神经网络作为基础分类模型。输入层拥有n个输入结点,负责分批次处理带标签的训练样本数据,组织为输入向量
Figure 517049DEST_PATH_IMAGE024
,其中
Figure 807216DEST_PATH_IMAGE025
为训练样本的第j个特征值。隐藏层是整个入侵检测模型检测精度的根本保证,其负责学习样本的数据特征。隐藏层的计算公式为:
Figure 438180DEST_PATH_IMAGE026
式中,
Figure 79377DEST_PATH_IMAGE027
Figure 765573DEST_PATH_IMAGE028
Figure 425094DEST_PATH_IMAGE029
分别为第i个隐藏层的权重矩阵、偏置向量和输出向量,当i=1时,为整个模型的输入向量x,
Figure 741805DEST_PATH_IMAGE030
为第i个隐藏层对其输入向量进行线性操作的中间向量。
Figure 558714DEST_PATH_IMAGE031
为隐藏层的激活函数:
Figure 986284DEST_PATH_IMAGE032
,实现对输入参数的非线性转换。
输出层根据最后一层隐藏层的输出结果,计算训练样本属于正常数据或异常数据的对应值,其计算公式为:
Figure 234732DEST_PATH_IMAGE033
式中,
Figure 784662DEST_PATH_IMAGE034
为最后一个隐藏层的输出向量,
Figure 134872DEST_PATH_IMAGE035
为输出层的权重矩阵,
Figure 116865DEST_PATH_IMAGE036
为输出层的偏置向量,
Figure 439393DEST_PATH_IMAGE037
,其中
Figure 81596DEST_PATH_IMAGE038
Figure 919102DEST_PATH_IMAGE040
分别为CAN网络数据正常和异常的对应值。
最后使用softmax函数计算样本数据分别对应正常和异常的概率值,依此概率值判断并输出检验结果。为了获得最优参数集,提高检测精度,设置交叉熵损失函数作为离线训练的损失函数,即:
Figure 173628DEST_PATH_IMAGE041
由公式(3)计算出处理m条样本数据时的平均损失值。如公式(4)所示,为实现平均损失最小化,在模型训练的反向传播过程中,使用自适应矩估计算法更新权重矩阵与偏置向量:
Figure 740876DEST_PATH_IMAGE042
将创建好的入侵检测模型以及其车辆身份识别号保存在云端服务器,路侧边缘模块在接收到汽车终端模块的数据后,会将车辆身份识别号发送至云端服务器,云端服务器会通过识别车辆身份识别号将对应的入侵检测模型发送至路侧边缘模块,然后路测边缘模块使用该入侵检测模型对数据包进行异常检测,待检测完成后将检测结果返回至汽车终端模块,同时使用增量学习更新入侵检测模型的参数。
在本实施例中,增量学习检测模块采用深度神经网络和增量学习相融合方法,分为离线训练和在线检测与更新两个阶段。在离线训练阶段,采用具有攻击标签的真实车辆数据样本,对深度神经网络进行训练得到基础分类模型,训练好的模型存入云端服务器。在线检测与更新阶段,模型从云端服务器下载后,部署在路侧边缘模块,进行在线入侵检测,同时基于增量学习,使用预测数据对模型进行更新,具体如图4所示。
具体地,增量学习首先基于概率分布梯度协方差,求得模型参数的重要度矩阵F,该矩阵用于衡量神经网络中每一个参数的重要性。进而基于F给损失函数添加正则化项,能够通过参数的重要性限制参数的更新幅度,从而保证入侵检测模型既能保持对旧数据的记忆能力,也能够实现对新数据的迁移能力。增量式训练使用的损失函数如下:
Figure 304712DEST_PATH_IMAGE043
其中,
Figure 82044DEST_PATH_IMAGE044
为针对新的训练样本集的交叉熵损失函数,
Figure 389529DEST_PATH_IMAGE045
为超参数,
Figure 968540DEST_PATH_IMAGE046
为在线更新训练时第i个参数,
Figure DEST_PATH_IMAGE047
为更新训练前的第i个参数。
最终,更新后的入侵检测模型的参数会被上传至云端服务器。在本系统中,云端服务器用于创建、保存各类汽车的身份标识号及所对应的入侵检测模型。将占大量存储空间的模型保存在云端服务器,有利于释放路侧边缘模块的存储需求。
实施例2:
本发明的实施例2提供了一种基于增量学习的车载CAN网络入侵检测方法,包括:在线采集CAN网络数据,预处理后与车辆身份ID一起发送至边缘端,并接收返回的检测结果,产生异常警报;边缘端从云端下载并部署入侵检测模型,接收终端发送的CAN网络数据,进行异常检测,并将检测结果返回终端,同时使用接收的数据对入侵检测模型增量学习,将更新后的不同车辆对应的入侵检测模型储存在云端;云端收到边缘端请求后对其发送入侵检测模型,且收到更新后的入侵检测模型,进行更新存储。
其中,边缘端采用增量学习和深度神经网络(DNN)相结合的方式,使用标记的真实车辆数据训练DNN的基础模型,进行在线检测和增量学习,采用无标记数据进行模型更新,提高检测精度和泛化能力。该方法利用了云端存储能力,避免了大的延时;利用了边缘端的计算能力,且增加了检测的时效性。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种基于增量学习的车载CAN网络入侵检测系统,其特征在于,包括汽车终端模块、路侧边缘模块、云端服务器和增量学习检测模块;
所述汽车终端模块用于在线采集CAN网络数据,预处理后与车辆身份ID一起发送至所述路侧边缘模块,并接收返回的检测结果,产生异常警报;
所述路侧边缘模块用于部署基于增量学习的入侵检测模型,接收所述汽车终端模块发送的CAN网络数据,进行异常检测,并使用接收的数据对入侵检测模型增量学习;
所述云端服务器用于存储不同车辆对应的入侵检测模型,收到所述路侧边缘模块请求后发送入侵检测模型到路侧边缘模块;
所述增量学习检测模块使用标记的真实车辆数据训练深度神经网络的基础模型,采用无标记数据进行模型更新。
2.根据权利要求1所述的基于增量学习的车载CAN网络入侵检测系统,其特征在于,所述汽车终端模块在车辆行驶过程中,依靠无线通信方式不断检测与路侧边缘模块之间的通信信号强度,选择通信信号强度强的路侧边缘模块进行连接,直至通信信号强度不满足条件,而重新选择路侧边缘模块进行连接。
3.根据权利要求2所述的基于增量学习的车载CAN网络入侵检测系统,其特征在于,所述汽车终端模块通过网关采集CAN网络数据,对数据进行预处理,按照部署在路侧边缘模块中的入侵检测模型所需要的格式准备数据,并在已处理好的数据中添加车辆身份标识号,将处理过的数据传输到连接的路侧边缘模块,以进行模型下载,或进行入侵检测和模型更新。
4.根据权利要求1所述的基于增量学习的车载CAN网络入侵检测系统,其特征在于,若第一次接收到车端发送数据,所述路侧边缘模块将接收到的数据中的汽车身份ID发送至云端服务器,查找对应的入侵检测模型并下载。
5.根据权利要求1所述的基于增量学习的车载CAN网络入侵检测系统,其特征在于,所述增量学习检测模块具有离线训练和在线检测与更新两个阶段;在离线训练阶段,采用具有攻击标签的真实车辆数据样本,对深度神经网络进行训练得到初始入侵检测模型,训练好后存入云端服务器;在线检测与更新阶段,入侵检测模型从云端服务器下载后,部署在路侧边缘模块,进行在线入侵检测,同时基于增量学习,使用预测数据对入侵检测模型进行更新。
6.根据权利要求5所述的基于增量学习的车载CAN网络入侵检测系统,其特征在于,所述初始入侵检测模型的构建过程为:
使用已标记的CAN网络数据样本,选择深度神经网络作为基础分类模型,输入层拥有n个输入结点,负责分批次处理带标签的训练样本数据,组织为输入向量
Figure 75161DEST_PATH_IMAGE001
,其中
Figure 461143DEST_PATH_IMAGE002
为训练样本的第j个特征值;
隐藏层负责学习样本的数据特征,隐藏层的计算公式为:
Figure 457525DEST_PATH_IMAGE003
式中,
Figure 321575DEST_PATH_IMAGE004
Figure 604789DEST_PATH_IMAGE005
Figure 161672DEST_PATH_IMAGE006
分别为第i个隐藏层的权重矩阵、偏置向量和输出向量,当i=1时,为整个模型的输入向量x,
Figure 897547DEST_PATH_IMAGE007
为第i个隐藏层对其输入向量进行线性操作的中间向量,
Figure 80136DEST_PATH_IMAGE008
为隐藏层的激活函数:
Figure 217856DEST_PATH_IMAGE009
,实现对输入参数的非线性转换;
输出层根据最后一层隐藏层的输出结果,计算训练样本属于正常数据或异常数据的对应值,其计算公式为:
Figure 945641DEST_PATH_IMAGE010
式中,
Figure 168812DEST_PATH_IMAGE011
为最后一个隐藏层的输出向量,
Figure 640244DEST_PATH_IMAGE012
为输出层的权重矩阵,
Figure 383203DEST_PATH_IMAGE013
为输出层的偏置向量,
Figure 547469DEST_PATH_IMAGE014
,其中
Figure 523515DEST_PATH_IMAGE015
Figure 267480DEST_PATH_IMAGE016
分别为CAN网络数据正常和异常的对应值;
最后使用softmax函数计算样本数据分别对应正常和异常的概率值,依此概率值判断并输出检验结果。
7.根据权利要求6所述的基于增量学习的车载CAN网络入侵检测系统,其特征在于,设置交叉熵损失函数作为离线训练的损失函数,即:
Figure 379792DEST_PATH_IMAGE017
由上式计算出处理m条样本数据时的平均损失值,为实现平均损失最小化,在模型训练的反向传播过程中,使用自适应矩估计算法更新权重矩阵与偏置向量:
Figure 449380DEST_PATH_IMAGE018
8.根据权利要求7所述的基于增量学习的车载CAN网络入侵检测系统,其特征在于,增量学习首先基于概率分布梯度协方差,求得模型参数的重要度矩阵F,该矩阵用于衡量深度神经网络中每一个参数的重要性,进而基于F给损失函数添加正则化项,增量式训练使用的损失函数如下:
Figure 896410DEST_PATH_IMAGE019
其中,
Figure 709646DEST_PATH_IMAGE020
为针对新的训练样本集的交叉熵损失函数,
Figure 676464DEST_PATH_IMAGE021
为超参数,
Figure 182532DEST_PATH_IMAGE022
为在线更新训练时第i个参数,
Figure 602012DEST_PATH_IMAGE023
为更新训练前的第i个参数。
9.一种基于增量学习的车载CAN网络入侵检测方法,其特征在于,包括:终端在线采集CAN网络数据,预处理后与车辆身份ID一起发送至边缘端,并接收返回的检测结果,产生异常警报;边缘端第一次接收车端数据后,从云端下载并部署入侵检测模型,接收终端发送的CAN网络数据,进行异常检测,并将检测结果返回终端,同时使用接收的数据对入侵检测模型增量学习,将更新后的不同车辆对应的入侵检测模型储存在云端;云端收到边缘端请求后对边缘端发送入对应的侵检测模型,且收到更新后的入侵检测模型,进行更新存储。
10.根据权利要求9所述的基于增量学习的车载CAN网络入侵检测方法,其特征在于,使用标记的真实车辆数据训练深度神经网络的基础模型,并在边缘端进行在线检测和增量学习,采用无标记数据进行模型更新。
CN202210637979.8A 2022-06-08 2022-06-08 基于增量学习的车载can网络入侵检测系统及方法 Active CN114710372B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210637979.8A CN114710372B (zh) 2022-06-08 2022-06-08 基于增量学习的车载can网络入侵检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210637979.8A CN114710372B (zh) 2022-06-08 2022-06-08 基于增量学习的车载can网络入侵检测系统及方法

Publications (2)

Publication Number Publication Date
CN114710372A true CN114710372A (zh) 2022-07-05
CN114710372B CN114710372B (zh) 2022-09-06

Family

ID=82178113

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210637979.8A Active CN114710372B (zh) 2022-06-08 2022-06-08 基于增量学习的车载can网络入侵检测系统及方法

Country Status (1)

Country Link
CN (1) CN114710372B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115297141A (zh) * 2022-07-28 2022-11-04 东风汽车集团股份有限公司 一种车载网络idps联防联动方法及系统
CN115320538A (zh) * 2022-07-20 2022-11-11 国汽智控(北京)科技有限公司 智能网联汽车入侵检测系统及方法
CN116069478A (zh) * 2023-03-07 2023-05-05 湖南师范大学 基于图神经网络的车载系统安全感知设计优化方法及设备
CN116112193A (zh) * 2022-10-18 2023-05-12 贵州师范大学 一种基于深度学习的轻量级车载网络入侵检测方法
CN117934931A (zh) * 2024-01-16 2024-04-26 广州杰鑫科技股份有限公司 一种模型更新方法、装置、光缆智能运维系统和存储介质

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170126711A1 (en) * 2015-10-30 2017-05-04 Hyundai Motor Company In-vehicle network attack detection method and apparatus
CN107948172A (zh) * 2017-11-30 2018-04-20 恒安嘉新(北京)科技股份公司 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统
CN109005173A (zh) * 2018-08-02 2018-12-14 北京航空航天大学 一种基于交通流密度差异的车联网异常入侵检测方法
CN110149258A (zh) * 2019-04-12 2019-08-20 北京航空航天大学 一种基于孤立森林的汽车can总线网络数据异常检测方法
US20190303567A1 (en) * 2018-03-28 2019-10-03 Nvidia Corporation Detecting data anomalies on a data interface using machine learning
US20200089172A1 (en) * 2019-10-25 2020-03-19 Lg Electronics Inc. Electronic apparatus and operation method thereof
CN111131185A (zh) * 2019-12-06 2020-05-08 中国电子科技网络信息安全有限公司 基于机器学习的can总线网络异常检测方法及装置
CN111917766A (zh) * 2020-07-29 2020-11-10 江西科技学院 一种车载网络通信异常的检测方法
CN111970309A (zh) * 2020-10-20 2020-11-20 南京理工大学 基于Spark车联网组合深度学习入侵检测方法及系统
CN111988342A (zh) * 2020-09-18 2020-11-24 大连理工大学 一种在线式汽车can网络异常检测系统
CN113037750A (zh) * 2021-03-09 2021-06-25 成都信息工程大学 一种车辆检测数据增强训练方法、系统、车辆及存储介质
CN113162902A (zh) * 2021-02-02 2021-07-23 江苏大学 一种基于深度学习的低时延、安全的车载入侵检测方法
WO2021160395A1 (en) * 2020-02-11 2021-08-19 Continental Teves Ag & Co. Ohg Method for edge computing-based detecting of intrusions and anomalies
CN113660137A (zh) * 2021-08-13 2021-11-16 杭州安恒信息技术股份有限公司 车载网络故障检测方法、装置、可读存储介质及电子设备
CN114222202A (zh) * 2021-11-22 2022-03-22 上海数川数据科技有限公司 一种基于WiFi CSI的环境自适应活动检测方法及系统
CN114374565A (zh) * 2022-01-30 2022-04-19 中国第一汽车股份有限公司 车辆can网络的入侵检测方法、装置、电子设备和介质

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170126711A1 (en) * 2015-10-30 2017-05-04 Hyundai Motor Company In-vehicle network attack detection method and apparatus
CN107948172A (zh) * 2017-11-30 2018-04-20 恒安嘉新(北京)科技股份公司 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统
US20190303567A1 (en) * 2018-03-28 2019-10-03 Nvidia Corporation Detecting data anomalies on a data interface using machine learning
CN109005173A (zh) * 2018-08-02 2018-12-14 北京航空航天大学 一种基于交通流密度差异的车联网异常入侵检测方法
CN110149258A (zh) * 2019-04-12 2019-08-20 北京航空航天大学 一种基于孤立森林的汽车can总线网络数据异常检测方法
US20200089172A1 (en) * 2019-10-25 2020-03-19 Lg Electronics Inc. Electronic apparatus and operation method thereof
CN111131185A (zh) * 2019-12-06 2020-05-08 中国电子科技网络信息安全有限公司 基于机器学习的can总线网络异常检测方法及装置
WO2021160395A1 (en) * 2020-02-11 2021-08-19 Continental Teves Ag & Co. Ohg Method for edge computing-based detecting of intrusions and anomalies
CN111917766A (zh) * 2020-07-29 2020-11-10 江西科技学院 一种车载网络通信异常的检测方法
CN111988342A (zh) * 2020-09-18 2020-11-24 大连理工大学 一种在线式汽车can网络异常检测系统
CN111970309A (zh) * 2020-10-20 2020-11-20 南京理工大学 基于Spark车联网组合深度学习入侵检测方法及系统
CN113162902A (zh) * 2021-02-02 2021-07-23 江苏大学 一种基于深度学习的低时延、安全的车载入侵检测方法
CN113037750A (zh) * 2021-03-09 2021-06-25 成都信息工程大学 一种车辆检测数据增强训练方法、系统、车辆及存储介质
CN113660137A (zh) * 2021-08-13 2021-11-16 杭州安恒信息技术股份有限公司 车载网络故障检测方法、装置、可读存储介质及电子设备
CN114222202A (zh) * 2021-11-22 2022-03-22 上海数川数据科技有限公司 一种基于WiFi CSI的环境自适应活动检测方法及系统
CN114374565A (zh) * 2022-01-30 2022-04-19 中国第一汽车股份有限公司 车辆can网络的入侵检测方法、装置、电子设备和介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115320538A (zh) * 2022-07-20 2022-11-11 国汽智控(北京)科技有限公司 智能网联汽车入侵检测系统及方法
CN115297141A (zh) * 2022-07-28 2022-11-04 东风汽车集团股份有限公司 一种车载网络idps联防联动方法及系统
CN116112193A (zh) * 2022-10-18 2023-05-12 贵州师范大学 一种基于深度学习的轻量级车载网络入侵检测方法
CN116112193B (zh) * 2022-10-18 2023-07-28 贵州师范大学 一种基于深度学习的轻量级车载网络入侵检测方法
CN116069478A (zh) * 2023-03-07 2023-05-05 湖南师范大学 基于图神经网络的车载系统安全感知设计优化方法及设备
CN116069478B (zh) * 2023-03-07 2023-06-02 湖南师范大学 基于图神经网络的车载系统安全感知设计优化方法及设备
CN117934931A (zh) * 2024-01-16 2024-04-26 广州杰鑫科技股份有限公司 一种模型更新方法、装置、光缆智能运维系统和存储介质

Also Published As

Publication number Publication date
CN114710372B (zh) 2022-09-06

Similar Documents

Publication Publication Date Title
CN114710372B (zh) 基于增量学习的车载can网络入侵检测系统及方法
CN108860165B (zh) 车辆辅助驾驶方法和系统
US5821860A (en) Driving condition-monitoring apparatus for automotive vehicles
EP0695668B1 (en) Supplemental inflatable restraint system
Boddupalli et al. Resilient cooperative adaptive cruise control for autonomous vehicles using machine learning
Martínez et al. Driver identification and impostor detection based on driving behavior signals
EP2176846B1 (en) Method of improving database integrity for driver assistance applications
CN113169927B (zh) 判定装置、判定程序、判定方法及神经网络模型的生成方法
DE112018003933T5 (de) Detektor, Detektionsverfahren und Detektionsprogramm
CN114585983B (zh) 用于检测设备的异常运行状态的方法、装置和系统
CN113095558B (zh) 一种智能网联汽车的迭代优化多尺度融合车速预测方法
US11546353B2 (en) Detection of malicious activity on CAN bus
Scheubner et al. A stochastic range estimation algorithm for electric vehicles using traffic phase classification
CN111164530A (zh) 更新用于至少一个移动单元的自动控制的控制模型的方法和系统
Kalkan et al. In-vehicle intrusion detection system on controller area network with machine learning models
CN116901975B (zh) 一种车载ai安防监控系统及其方法
WO2021074041A1 (en) Method for assessing an external event on an automotive glazing
CN112506075B (zh) 基于tpzn的智能网联汽车系统协同控制方法
US20230066337A1 (en) Method for operating a motor vehicle
CN114861762A (zh) 一种信息处理方法、装置、存储介质及车载电子控制器
JP2019214249A (ja) 検知装置、コンピュータプログラム、検知方法及び学習モデル
CN108900634A (zh) 一种基于v2x的车辆远程控制方法及系统
US20230344847A1 (en) Detection device, vehicle, detection method, and detection program
CN115640828A (zh) 一种基于对抗生成网络的车载数字孪生欺骗检测方法
EP4277202A1 (en) Threat detection for a processing system of a motor vehicle

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant