CN114900331A - 基于can报文特征的车载can总线入侵检测方法 - Google Patents

基于can报文特征的车载can总线入侵检测方法 Download PDF

Info

Publication number
CN114900331A
CN114900331A CN202210383349.2A CN202210383349A CN114900331A CN 114900331 A CN114900331 A CN 114900331A CN 202210383349 A CN202210383349 A CN 202210383349A CN 114900331 A CN114900331 A CN 114900331A
Authority
CN
China
Prior art keywords
message
sample
intrusion detection
vehicle
bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210383349.2A
Other languages
English (en)
Other versions
CN114900331B (zh
Inventor
周颖
罗嘉伟
覃国祥
王泽凯
沈悦
严家俊
郑鹏根
陈洁琪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
Original Assignee
Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Yat Sen University filed Critical Sun Yat Sen University
Priority to CN202210383349.2A priority Critical patent/CN114900331B/zh
Publication of CN114900331A publication Critical patent/CN114900331A/zh
Application granted granted Critical
Publication of CN114900331B publication Critical patent/CN114900331B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种基于CAN报文特征的车载CAN总线入侵检测方法,包括:获取包含攻击数据的CAN报文数据;对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本;根据所述待训练样本构建入侵检测模型;根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析。本发明的计算复杂度低、实时性高,可广泛应用于数据处理技术领域。

Description

基于CAN报文特征的车载CAN总线入侵检测方法
技术领域
本发明涉及数据处理技术领域,尤其是一种基于CAN报文特征的车载CAN总线入侵检测方法。
背景技术
随着5G网络的普及,物联网、自动驾驶等技术飞速发展,汽车的网联化也在不断地提高,网联汽车极有可能成为继手机之后的下一代智能终端。但汽车网联化在为人们带来更多的便利的同时,也使网联汽车面临严峻的网络安全问题。网联汽车通过蜂窝网络、Wi-Fi等通信方式与互联网相连,接入互联网的汽车比传统汽车暴露更广的攻击面,黑客对车辆进行远程入侵攻击变得更加容易。汽车的车载内部网络上挂载了多种不同的电子控制单元(Electronic Control Unit,ECU),不同的ECU控制车辆的不同功能,如加速、刹车、引擎发动等功能。各ECU通过各种车辆总线网络进行通信,其中CAN(Controller Area Network)总线网络的应用最广,但工程师最初在设计CAN总线时注重车辆ECU通信的实时性和抗干扰能力,并未考虑通过CAN总线通信时的安全性。如果恶意攻击者通过互联网远程入侵网联汽车的车内网络进而控制、瘫痪车内的ECU,车上乘客将处于非常危险的境地,严重危害乘客的生命安全。
在保护车载CAN总线安全方面,许多研究者提出了各种方法来对车载CAN总线上的异常进行检测。例如:1、基于信息熵车载总线入侵检测方法,通过计算CAN总线上CAN报文的信息熵来检测泛洪攻击。2、可以通过分别计算不同ID报文的信息熵来对低频率的报文注入攻击进行检测。3、通过监测CAN总线上周期型报文的发送间隔并利用它们来估计发送方ECU的时钟偏差,最后用这些偏差来作为ECU的指纹,这个方法可以检测出伪装成正常ECU的报文注入攻击。4、基于相对熵的异常检测方法,采用固定报文数量的滑动窗口来计算结对报文的相对熵,以此检测异常报文并定位发生异常的报文ID。5、使用决策树算法对CAN总线上的报文进行二分类,以此来检测总线上的异常报文。6、采用BP神经网络作为分类检测算法的分类模型。7、使用支持向量机的方法来对CAN报文的数据进行二分类来检测异常报文。
现有的车载CAN总线入侵检测技术仍然存在不少的缺点,如基于信息熵的检测方法只关注报文的时间特性,难以检测到只篡改报文数据域的注入攻击,而且会有一个时间窗口的检测延时;而基于神经网络和支持向量机的检测方法的计算复杂度高,检测实时性能差,检测算法对硬件设备的性能要求高。而基于树类模型的检测算法(如决策树)的检测算法由于选择的分类特征不全面、不充分,只能检测CAN报文的模糊注入攻击,难以实现对其他类型攻击(如重放攻击)的检测。
发明内容
有鉴于此,本发明实施例提供一种计算复杂度低、实时性高的,基于CAN报文特征的车载CAN总线入侵检测方法。
本发明的一方面提供了一种基于CAN报文特征的车载CAN总线入侵检测方法,包括:
获取包含攻击数据的CAN报文数据;
对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本;
根据所述待训练样本构建入侵检测模型;
根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析。
可选地,所述获取包含攻击数据的CAN报文数据,包括:
采用模拟攻击的方式对车载CAN总线实施攻击;
通过OBD诊断接口实时采集初始CAN报文数据;
根据报文ID,对所述初始CAN报文数据进行数据划分,得到多个子数据集;
将所述多个子数据集中不包含攻击报文的子数据集舍弃,保留包含攻击数据的子数据集。
可选地,所述对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本这一步骤中,
所述样本特征提取处理的步骤包括:
从所述对所述CAN报文数据中提取当前时刻CAN报文数据域各字节的十进制取值、当前时刻CAN报文数据域各字节取值与上一时刻CAN报文数据域各字节取值的绝对差值、以及当前时刻的报文数据域与上一时刻报文的数据域的汉明距离;
所述样本标签构造处理的步骤包括:
将正常报文的标签标记为0;
将攻击报文的标签标记为1;
根据相邻报文的标签构造所生成样本的标签,其中,样本标签的值为相邻报文的标签的与运算结果。
可选地,所述当前时刻CAN报文数据域各字节取值与上一时刻CAN报文数据域各字节取值的绝对差值的计算公式为:
Figure BDA0003593847880000021
所述当前时刻的报文数据域与上一时刻报文的数据域的汉明距离的计算公式为:
Figure BDA0003593847880000031
其中,
Figure BDA0003593847880000032
代表绝对差值;t代表时刻;
Figure BDA0003593847880000033
代表报文数据域Dt中的第i字节;Ht代表汉明距离;L代表报文数据域字节长度;
Figure BDA0003593847880000034
代表报文数据域Dt第i字节
Figure BDA0003593847880000035
的第j比特位;
Figure BDA0003593847880000036
为报文数据域Dt-1第i字节
Figure BDA0003593847880000037
的第j比特位;
Figure BDA0003593847880000038
代表异或运算。
可选地,所述根据所述待训练样本构建入侵检测模型,包括:
用所述待训练样本中每个子数据集训练一个二分类模型,实现对应报文ID的CAN报文的入侵检测训练;
所述二分类模型包括以下任一种:树类算法模型,如决策树模型、随机森林模型或XGBoost模型。
可选地,所述根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析,包括:
将训练好的所述入侵检测模型部署到目标终端,其中,所述目标终端包括车载网关、ECU节点或第三方外接设备中任一种;
所述目标终端持续监听CAN总线上的CAN报文;
根据提取到的每一帧CAN报文,提取CAN报文的报文ID、数据域的字节长度L和数据域的各个字节的取值;
根据报文ID从报文数据库中取出对应ID的前一时刻报文,构成2L+1维特征的样本;
将当前时刻报文保存进报文数据库,并将样本送入报文ID对应的检测模型中进行检测;
若检测结果为正常样本,则对接收的下一帧CAN报文进行检测,若检测结果为攻击样本,则通过触发警报并将当前时刻的CAN报文及其上一时刻的CAN报文存入日志数据库中,然后再对接收的下一帧报文进行检测。
本发明实施例的另一方面还提供了一种基于CAN报文特征的车载CAN总线入侵检测装置,包括:
第一模块,用于获取包含攻击数据的CAN报文数据;
第二模块,用于对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本;
第三模块,用于根据所述待训练样本构建入侵检测模型;
第四模块,用于根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析。
本发明实施例的另一方面还提供了一种电子设备,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如前面所述的方法。
本发明实施例的另一方面还提供了一种计算机可读存储介质,所述存储介质存储有程序,所述程序被处理器执行实现如前面所述的方法。
本发明实施例的另一方面还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如前面所述的方法。
本发明的实施例获取包含攻击数据的CAN报文数据;对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本;根据所述待训练样本构建入侵检测模型;根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析。本发明的计算复杂度低、实时性高。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的入侵检测算法模型的整体构建流程;
图2为本发明实施例提供的数据样本生成示意图;
图3为本发明实施例提供的样本标签的构造过程示意图;
图4为本发明实施例提供的样本标签的构造方法的流程图;
图5为本发明实施例提供的车载CAN总线入侵检测系统的工作流程示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
针对现有技术存在的问题,本发明实施例提供了一种基于CAN报文特征的车载CAN总线入侵检测方法,包括:
获取包含攻击数据的CAN报文数据;
对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本;
根据所述待训练样本构建入侵检测模型;
根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析。
可选地,所述获取包含攻击数据的CAN报文数据,包括:
采用模拟攻击的方式对车载CAN总线实施攻击;
通过OBD诊断接口实时采集初始CAN报文数据;
根据报文ID,对所述初始CAN报文数据进行数据划分,得到多个子数据集;
将所述多个子数据集中不包含攻击报文的子数据集舍弃,保留包含攻击数据的子数据集。
可选地,所述对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本这一步骤中,
所述样本特征提取处理的步骤包括:
从所述对所述CAN报文数据中提取当前时刻CAN报文数据域各字节的十进制取值、当前时刻CAN报文数据域各字节取值与上一时刻CAN报文数据域各字节取值的绝对差值、以及当前时刻的报文数据域与上一时刻报文的数据域的汉明距离;
所述样本标签构造处理的步骤包括:
将正常报文的标签标记为0;
将攻击报文的标签标记为1;
根据相邻报文的标签构造所生成样本的标签,其中,样本标签的值为相邻报文的标签的与运算结果。
可选地,所述当前时刻CAN报文数据域各字节取值与上一时刻CAN报文数据域各字节取值的绝对差值的计算公式为:
Figure BDA0003593847880000051
所述当前时刻的报文数据域与上一时刻报文的数据域的汉明距离的计算公式为:
Figure BDA0003593847880000052
其中,
Figure BDA0003593847880000053
代表绝对差值;t代表时刻;
Figure BDA0003593847880000054
代表报文数据域Dt中的第i字节;Ht代表汉明距离;L代表报文数据域字节长度;
Figure BDA0003593847880000055
代表报文数据域Dt第i字节
Figure BDA0003593847880000056
的第j比特位;
Figure BDA0003593847880000057
为报文数据域Dt-1第i字节
Figure BDA0003593847880000058
的第j比特位;
Figure BDA0003593847880000059
代表异或运算。
可选地,所述根据所述待训练样本构建入侵检测模型,包括:
用所述待训练样本中每个子数据集训练一个二分类模型,实现对应报文ID的CAN报文的入侵检测训练;
所述二分类模型包括以下任一种:树类算法模型,如决策树模型、随机森林模型或XGBoost模型。
可选地,所述根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析,包括:
将训练好的所述入侵检测模型部署到目标终端,其中,所述目标终端包括车载网关、ECU节点或第三方外接设备中任一种;
所述目标终端持续监听CAN总线上的CAN报文;
根据提取到的每一帧CAN报文,提取CAN报文的报文ID、数据域的字节长度L和数据域的各个字节的取值;
根据报文ID从报文数据库中取出对应ID的前一时刻报文,构成2L+1维特征的样本;
将当前时刻报文保存进报文数据库,并将样本送入报文ID对应的检测模型中进行检测;
若检测结果为正常样本,则对接收的下一帧CAN报文进行检测,若检测结果为攻击样本,则通过触发警报并将当前时刻的CAN报文及其上一时刻的CAN报文存入日志数据库中,然后再对接收的下一帧报文进行检测。
本发明实施例的另一方面还提供了一种基于CAN报文特征的车载CAN总线入侵检测装置,包括:
第一模块,用于获取包含攻击数据的CAN报文数据;
第二模块,用于对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本;
第三模块,用于根据所述待训练样本构建入侵检测模型;
第四模块,用于根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析。
本发明实施例的另一方面还提供了一种电子设备,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如前面所述的方法。
本发明实施例的另一方面还提供了一种计算机可读存储介质,所述存储介质存储有程序,所述程序被处理器执行实现如前面所述的方法。
本发明实施例的另一方面还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如前面所述的方法。
下面结合说明书附图,对本发明的具体实现过程进一步详细描述:
为克服现有技术计算复杂度高、实时性差、只能检测单一类型的报文注入攻击的缺点,本发明提供一种基于CAN报文特征的车载CAN总线入侵检测方法。
图1为入侵检测算法模型的整体构建流程,如图1所示,本发明的整体步骤主要包括三大步:1、数据获取;2、数据样本处理;3、模型构建应用。
具体地,1、数据获取:
车载CAN总线的真实CAN数据可以通过正在遭受CAN总线网络攻击的汽车的OBD诊断接口获取。由于真实的攻击数据较难获取,可以在确保安全的条件下采用模拟攻击的方式对车载CAN总线实施攻击,并通过OBD诊断接口实时采集CAN报文数据。在采集完CAN报文数据后需要将数据集中的报文按照报文ID划分成多个子数据集,然后检查各子数据集是否包含攻击报文,将不包含攻击报文的子数据集舍弃,仅保留包含攻击数据的子数据集用于后续的模型训练。
2、数据样本处理:
包含攻击数据的子数据集需要进行相应的预处理才能用于后续的模型训练。数据预处理主要是进行样本特征提取和样本标签构造,进而生成用于模型训练的数据样本。模型训练需要的样本特征包括当前时刻CAN报文数据域各字节的十进制取值、当前时刻CAN报文数据域各字节取值与上一时刻CAN报文数据域各字节取值的绝对差值以及当前时刻的报文数据域与上一时刻报文的数据域的汉明距离。图2为数据样本生成示意图,Mt-1和Mt分别为报文ID为0x100的子数据集中相邻时刻t时刻和t-1时刻的报文,Dt-1和Dt分别为两报文的数据域,它们的数据域长度为8字节,
Figure BDA0003593847880000071
为Dt-1中的第i字节,
Figure BDA0003593847880000072
为Dt中的第i字节。t时刻报文数据域第i字节取值与t-1时刻的报文数据域第i字节取值的绝对差值
Figure BDA0003593847880000073
为:
Figure BDA0003593847880000074
t时刻报文数据域Dt与t-1时刻的报文数据域Dt-1的汉明距离Ht为:
Figure BDA0003593847880000075
Figure BDA0003593847880000076
为报文数据域Dt第i字节
Figure BDA0003593847880000077
的第j比特位,
Figure BDA0003593847880000078
为报文数据域Dt-1第i字节
Figure BDA0003593847880000079
的第j比特位,L为报文数据域字节长度。
样本标签的构造方法如图3所示,正常报文的标签记0,攻击报文的标签记为1,由相邻报文的标签构造所生成样本的标签,样本标签的值为相邻报文的标签的与运算结果,即只要相邻报文中任一报文为攻击报文,则认为该样本为攻击样本,其标签记为1,否则认为是正常样本,标签记为0。
由于样本特征的提取需要用到上一时刻的CAN报文数据,而子数据集的第一条CAN报文不存在上一时刻的CAN报文数据,因此一个包含N帧CAN报文且报文数据域长度为L字节的子数据集在经过预处理后将得到包含N-1个样本的新数据集,新数据集的每一个样本包含2L+1维特征和1个样本标签,其中数据域特征Bi(i=1,2,...,L)共L维,数据域绝对差值特征Ai(i=0,1,2,...,L)共L维,数据域汉明距离特征H共1维。
3、模型构建应用:
入侵检测模型的构建和部署流程如图4所示。完成数据样本处理后将得到多个新的子数据集,每个子数据集包含对应CAN报文ID的正常样本和攻击样本。每个子数据集训练一个二分类模型用于对应ID的CAN报文的入侵检测,算法模型使用树类算法模型,如决策树模型、随机森林模型、XGBoost模型等,树类算法模型在分类时只需进行逻辑判断,无需进行大量复杂的数值运算,因此基于此类算法模型构建入侵检测系统拥有较好的实时性能。检测模型训练并测试完毕后,即可将模型部署到车载网关、ECU节点或第三方外接设备上构建车载CAN总线入侵检测系统。
车载CAN总线入侵检测系统的工作流程如图5所示。车载CAN总线入侵检测系统持续监听CAN总线上的CAN报文,每接收到一帧CAN报文,系统将会提取该CAN报文的报文ID、数据域的字节长度L和数据域的各个字节的取值,根据报文ID从报文数据库中取出对应ID的前一时刻报文一起构成2L+1维特征的样本,然后将当前时刻报文保存进报文数据库,接着样本被送入报文ID对应的检测模型中进行检测,若检测结果为正常样本,则对接收的下一帧CAN报文进行检测,若检测结果为攻击样本,则通过触发警报并将当前时刻的CAN报文及其上一时刻的CAN报文存入日志数据库中,然后再对接收的下一帧报文进行检测。
下面结合具体实验展示本发明提出的技术方法的效果:
为了与现有技术的检测效果进行对比,使用两类样本特征训练三种树类算法模型,第一类样本特征是CAN报文数据域的8字节特征,每字节作为一维特征,一共8维,这类特征是现有技术普遍使用的特征;第二类样本特征是使用本发明提出的样本特征,一共2L+1维特征,L是CAN报文数据域的字节长度。
表1是车载CAN总线仿真数据集根据报文ID划分出来的某个子数据集在经过数据预处理之后的样本数据构成。该数据集包含三种CAN报文攻击,攻击样本共853280个,正常样本共72033个。将正常样本等比例划分成三份,每份与其余攻击样本分别构成欺骗攻击数据集A、模糊注入攻击数据集B和重放攻击数据集C。然后将三份攻击数据集按8:2的比例随机划分成子训练集Atrain、Btrain、Ctrain和子测试集Atest、Btest、Ctest,将子训练集Atrain、Btrain、Ctrain拼接后构成总训练集Dtrain,将子测试集Atest、Btest、Ctest拼接后构成总测试集Dtest。使用总训练集Dtrain的两类样本特征分别训练决策树模型、随机森林模型、XGBoost模型。使用总测试集Dtest和子测试集Atest、Btest、Ctest分别测试模型的整体检测效果和对各类攻击的检测效果。
表2是使用第一类样本特征训练的模型在各测试集上的效果,表3是使用第二类样本特征训练的模型在各测试集上的效果。可以发现使用第一类样本特征训练得到的检测模型只对模糊注入攻击有较好的检测效果,对欺骗攻击的检测效果较差,对重放攻击的检测效果非常差。而使用本发明提出的第二类样本特征训练的模型在测试集上的各项评估指标上都优于前者,模型对各类攻击、特别是对重放攻击的检测能力的检测能力有极大的提升,误报率明显降低。
表1样本数据构成
Figure BDA0003593847880000091
表2使用第一类样本特征训练的模型在各测试集上的效果
Figure BDA0003593847880000092
Figure BDA0003593847880000101
表3使用第二类样本特征训练的模型在各测试集上的效果
Figure BDA0003593847880000102
综上所述,与传统的基于CAN报文特征的入侵检测技术相比,本发明具有以下优点:
1.选取CAN报文数据域各字节的取值、相邻CAN报文数据域各字节的绝对差值以及相邻报文数据域的汉明距离作为样本特征,结合树类算法模型构建车载CAN总线入侵检测系统,提升了检测系统对多种攻击方式,特别是重放攻击的检测能力,降低了检测系统的误报率。
2.选取的样本特征构造简单,检测系统使用的树类算法模型在运行时只需进行少量逻辑判断,无需进行复杂计算,因而检测系统的实时性能好,对硬件设备的计算能力算及存储性能要求低,有利于节约成本。
在一些可选择的实施例中,在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如,取决于所涉及的功能/操作,连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外,在本发明的流程图中所呈现和描述的实施例以示例的方式被提供,目的在于提供对技术更全面的理解。所公开的方法不限于本发明所呈现的操作和逻辑流程。可选择的实施例是可预期的,其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。
此外,虽然在功能性模块的背景下描述了本发明,但应当理解的是,除非另有相反说明,所述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中,或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是,有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说,考虑到在本发明中公开的装置中各种功能模块的属性、功能和内部关系的情况下,在工程师的常规技术内将会了解该模块的实际实现。因此,本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是,所公开的特定概念仅仅是说明性的,并不意在限制本发明的范围,本发明的范围由所附权利要求书及其等同方案的全部范围来决定。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
以上是对本发明的较佳实施进行了具体说明,但本发明并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims (10)

1.一种基于CAN报文特征的车载CAN总线入侵检测方法,其特征在于,包括:
获取包含攻击数据的CAN报文数据;
对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本;
根据所述待训练样本构建入侵检测模型;
根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析。
2.根据权利要求1所述的一种基于CAN报文特征的车载CAN总线入侵检测方法,其特征在于,所述获取包含攻击数据的CAN报文数据,包括:
采用模拟攻击的方式对车载CAN总线实施攻击;
通过OBD诊断接口实时采集初始CAN报文数据;
根据报文ID,对所述初始CAN报文数据进行数据划分,得到多个子数据集;
将所述多个子数据集中不包含攻击报文的子数据集舍弃,保留包含攻击数据的子数据集。
3.根据权利要求1所述的一种基于CAN报文特征的车载CAN总线入侵检测方法,其特征在于,所述对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本这一步骤中,
所述样本特征提取处理的步骤包括:
从所述对所述CAN报文数据中提取当前时刻CAN报文数据域各字节的十进制取值、当前时刻CAN报文数据域各字节取值与上一时刻CAN报文数据域各字节取值的绝对差值、以及当前时刻的报文数据域与上一时刻报文的数据域的汉明距离;
所述样本标签构造处理的步骤包括:
将正常报文的标签标记为0;
将攻击报文的标签标记为1;
根据相邻报文的标签构造所生成样本的标签,其中,样本标签的值为相邻报文的标签的与运算结果。
4.根据权利要求3所述的一种基于CAN报文特征的车载CAN总线入侵检测方法,其特征在于,
所述当前时刻CAN报文数据域各字节取值与上一时刻CAN报文数据域各字节取值的绝对差值的计算公式为:
Figure FDA0003593847870000011
所述当前时刻的报文数据域与上一时刻报文的数据域的汉明距离的计算公式为:
Figure FDA0003593847870000021
其中,
Figure FDA0003593847870000022
代表绝对差值;t代表时刻;
Figure FDA0003593847870000023
代表报文数据域Dt中的第i字节;Ht代表汉明距离;L代表报文数据域字节长度;
Figure FDA0003593847870000024
代表报文数据域Dt第i字节
Figure FDA0003593847870000025
的第j比特位;
Figure FDA0003593847870000026
为报文数据域Dt-1第i字节
Figure FDA0003593847870000027
的第j比特位;
Figure FDA0003593847870000028
代表异或运算。
5.根据权利要求1所述的一种基于CAN报文特征的车载CAN总线入侵检测方法,其特征在于,所述根据所述待训练样本构建入侵检测模型,包括:
用所述待训练样本中每个子数据集训练一个二分类模型,实现对应报文ID的CAN报文的入侵检测训练;
所述二分类模型包括以下任一种:树类算法模型,如决策树模型、随机森林模型或XGBoost模型。
6.根据权利要求1所述的一种基于CAN报文特征的车载CAN总线入侵检测方法,其特征在于,所述根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析,包括:
将训练好的所述入侵检测模型部署到目标终端,其中,所述目标终端包括车载网关、ECU节点或第三方外接设备中任一种;
所述目标终端持续监听CAN总线上的CAN报文;
根据提取到的每一帧CAN报文,提取CAN报文的报文ID、数据域的字节长度L和数据域的各个字节的取值;
根据报文ID从报文数据库中取出对应ID的前一时刻报文,构成2L+1维特征的样本;
将当前时刻报文保存进报文数据库,并将样本送入报文ID对应的检测模型中进行检测;
若检测结果为正常样本,则对接收的下一帧CAN报文进行检测,若检测结果为攻击样本,则通过触发警报并将当前时刻的CAN报文及其上一时刻的CAN报文存入日志数据库中,然后再对接收的下一帧报文进行检测。
7.一种基于CAN报文特征的车载CAN总线入侵检测装置,其特征在于,包括:
第一模块,用于获取包含攻击数据的CAN报文数据;
第二模块,用于对所述CAN报文数据进行样本特征提取处理和样本标签构造处理,生成待训练样本;
第三模块,用于根据所述待训练样本构建入侵检测模型;
第四模块,用于根据所述入侵检测模型对车载CAN总线入侵情况进行检测分析。
8.一种电子设备,其特征在于,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如权利要求1至6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有程序,所述程序被处理器执行实现如权利要求1至6中任一项所述的方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6任一项所述的方法。
CN202210383349.2A 2022-04-13 2022-04-13 基于can报文特征的车载can总线入侵检测方法 Active CN114900331B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210383349.2A CN114900331B (zh) 2022-04-13 2022-04-13 基于can报文特征的车载can总线入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210383349.2A CN114900331B (zh) 2022-04-13 2022-04-13 基于can报文特征的车载can总线入侵检测方法

Publications (2)

Publication Number Publication Date
CN114900331A true CN114900331A (zh) 2022-08-12
CN114900331B CN114900331B (zh) 2023-06-09

Family

ID=82717553

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210383349.2A Active CN114900331B (zh) 2022-04-13 2022-04-13 基于can报文特征的车载can总线入侵检测方法

Country Status (1)

Country Link
CN (1) CN114900331B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115489537A (zh) * 2022-11-01 2022-12-20 成都工业职业技术学院 一种智能网联汽车的信息安全测试方法、系统及存储介质
CN116032615A (zh) * 2022-12-27 2023-04-28 安徽江淮汽车集团股份有限公司 车载can总线入侵检测方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170126711A1 (en) * 2015-10-30 2017-05-04 Hyundai Motor Company In-vehicle network attack detection method and apparatus
DE102016220895A1 (de) * 2016-10-25 2018-04-26 Volkswagen Aktiengesellschaft Erkennung von Manipulationen in einem CAN-Netzwerk
CN108270779A (zh) * 2017-12-29 2018-07-10 湖南优利泰克自动化系统有限公司 一种入侵检测系统安全规则的自动生成方法
CN110275508A (zh) * 2019-05-08 2019-09-24 西安电子科技大学 车载can总线网络异常检测方法及系统
CN110365648A (zh) * 2019-06-14 2019-10-22 东南大学 一种基于决策树的车载can总线异常检测方法
CN110826054A (zh) * 2019-11-05 2020-02-21 哈尔滨工业大学 一种基于报文数据场特征的车载can总线入侵检测方法
CN111131185A (zh) * 2019-12-06 2020-05-08 中国电子科技网络信息安全有限公司 基于机器学习的can总线网络异常检测方法及装置
CN112734000A (zh) * 2020-11-11 2021-04-30 江西理工大学 一种入侵检测方法、系统、设备及可读存储介质
CN113904862A (zh) * 2021-10-22 2022-01-07 中车株洲电力机车有限公司 分布式列车控制网络入侵检测方法、系统、存储介质
CN113947150A (zh) * 2021-10-19 2022-01-18 辽宁工程技术大学 一种基于共形预测的高可靠入侵检测方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170126711A1 (en) * 2015-10-30 2017-05-04 Hyundai Motor Company In-vehicle network attack detection method and apparatus
DE102016220895A1 (de) * 2016-10-25 2018-04-26 Volkswagen Aktiengesellschaft Erkennung von Manipulationen in einem CAN-Netzwerk
CN108270779A (zh) * 2017-12-29 2018-07-10 湖南优利泰克自动化系统有限公司 一种入侵检测系统安全规则的自动生成方法
CN110275508A (zh) * 2019-05-08 2019-09-24 西安电子科技大学 车载can总线网络异常检测方法及系统
CN110365648A (zh) * 2019-06-14 2019-10-22 东南大学 一种基于决策树的车载can总线异常检测方法
CN110826054A (zh) * 2019-11-05 2020-02-21 哈尔滨工业大学 一种基于报文数据场特征的车载can总线入侵检测方法
CN111131185A (zh) * 2019-12-06 2020-05-08 中国电子科技网络信息安全有限公司 基于机器学习的can总线网络异常检测方法及装置
CN112734000A (zh) * 2020-11-11 2021-04-30 江西理工大学 一种入侵检测方法、系统、设备及可读存储介质
CN113947150A (zh) * 2021-10-19 2022-01-18 辽宁工程技术大学 一种基于共形预测的高可靠入侵检测方法
CN113904862A (zh) * 2021-10-22 2022-01-07 中车株洲电力机车有限公司 分布式列车控制网络入侵检测方法、系统、存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115489537A (zh) * 2022-11-01 2022-12-20 成都工业职业技术学院 一种智能网联汽车的信息安全测试方法、系统及存储介质
CN116032615A (zh) * 2022-12-27 2023-04-28 安徽江淮汽车集团股份有限公司 车载can总线入侵检测方法

Also Published As

Publication number Publication date
CN114900331B (zh) 2023-06-09

Similar Documents

Publication Publication Date Title
CN111131185B (zh) 基于机器学习的can总线网络异常检测方法及装置
US11748474B2 (en) Security system and methods for identification of in-vehicle attack originator
CN110149345B (zh) 一种基于报文序列预测的车载网络入侵检测方法
Hanselmann et al. CANet: An unsupervised intrusion detection system for high dimensional CAN bus data
CN106647724B (zh) 一种基于车辆异常数据监测的t‑box信息安全检测及防护方法
CN111030962B (zh) 车载网络入侵检测方法及计算机可读存储介质
CN114900331A (zh) 基于can报文特征的车载can总线入侵检测方法
CN111885060B (zh) 面向车联网的无损式信息安全漏洞检测系统和方法
CN111970309A (zh) 基于Spark车联网组合深度学习入侵检测方法及系统
CN111147448B (zh) 一种can总线洪范攻击防御系统及方法
CN110324337B (zh) 一种基于胶囊神经网络的车内网入侵检测方法及系统
CN111988342A (zh) 一种在线式汽车can网络异常检测系统
CN111131247B (zh) 一种车载内部网络入侵检测系统
CN113625681B (zh) Can总线异常检测方法、系统及存储介质
CN110996300A (zh) 一种基于交通场景安全的车载终端信息安全风险控制方法
CN107776606B (zh) 一种轴温监测系统故障检测方法
Abd et al. Intelligent Intrusion Detection System in Internal Communication Systems for Driverless Cars.
CN113938295B (zh) 一种网联汽车通信数据异常传输行为检测方法、系统、电子设备及可读介质
CN112866270B (zh) 入侵检测防御方法及系统
Lin et al. Multi-layer reverse engineering system for vehicular controller area network messages
CN212696022U (zh) 一种在线式汽车can网络异常检测系统
Laufenberg et al. A framework for can communication and attack simulation
CN112084185B (zh) 车载边缘设备基于关联学习的受损电子控制单元定位方法
CN115220973A (zh) 基于Tsallis熵的车载CAN总线信息安全异常检测方法、系统及设备
CN117201107A (zh) 一种基于多维特征的云车联动入侵检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant