CN115051852A - 一种基于深度学习的车载can总线入侵检测算法 - Google Patents

Abstract

本发明涉及深度学习技术领域，公开了一种基于深度学习的车载CAN总线入侵检测算法，包括以下步骤：首先将九组数据集的CAN ID和与其相应的flag标签分离出来，得到九个数据子集，将分离出来的CAN ID转化为十进制浮点数，然后以步长为64对数据集进行分割，将分割后的CAN ID序列使用GAF编码转化成二维图像，图像分类后划分训练集与测试集，再进行模型训练。本发明将CAN ID这种一维时间序列通过格拉姆角场转化为二维图像，然后使用深度学习中的VGG网络训练数据，提高对攻击报文的检测效率，不对CAN总线中的报文提出特定要求，不管网络处于任何状态，入侵检测系统都能及时地检测到攻击。

Description

一种基于深度学习的车载CAN总线入侵检测算法

技术领域

本发明涉及深度学习技术领域，具体涉及一种基于深度学习的车载CAN总线入侵检测算法。

背景技术

车载入侵检测系统(Intrusion Detection System，IDS)是当前行业内的一个重要课题，IDS通过收集汽车网络中的流量，然后使用检测算法对网络中可能存在的恶意帧进行识别，一旦发现恶意攻击，就及时采用对应的策略进行处理，如丢弃数据包、发出警报等。

目前，主要通过两个方面来进行入侵检测，第一个方面是基于统计的入侵检测，该技术的核心在于选取一组适当的统计指标，对系统或网络进行描述，并通过以往数据确定其正常的变动幅度。第二个方面是建立异常特征库的入侵检测，利用特征对入侵行为进行描述，然后将入侵状态下的特征和模式规则存储到特征库中。在检测过程中，根据使用者的行为与特征库的数据进行比较，一旦匹配成功，则代表出现了异常行为。

在现有技术中，基于统计的入侵检测算法要在一定的前提下才能发挥作用，如报文需呈现周期性、具有稳定频率等。建立异常特征库的入侵检测需要先验知识来构建特征库，这很大程度上取决于创建者的专业能力。如果生成了一个有缺失的特性，那么这个方法的精确度就会受到很大的影响。

发明内容

本发明将格拉姆角场(Gramian Angular Field,GAF)和VGG(Visual GeometryGroup)相结合，提供一种基于深度学习的车载CAN(Controller Area Network，控制器局域网络)总线入侵检测算法，以有效提高检测到攻击报文的概率，算法选取原始数据集中的CAN ID属性作为训练和测试数据，先从原始数据集中提取出CAN ID列，然后使用GASF编码转化为图像数据，再用VGG19训练分类出攻击图片，其算法及流程图如图1所示。

为实现上述目的，本发明提供如下技术方案：

一种基于深度学习的车载CAN总线入侵检测算法，包括以下步骤：

S1：提取CAN ID和flag，首先将九组数据集的CAN ID和与其相应的flag标签分离出来，得到九个数据子集。

S2：数据分割，将分离出来的CAN ID转化为十进制浮点数，然后以步长为64对数据集进行分割，分割时对数据进行75％的重叠处理(如第1-64个CAN ID为一组，第17-80个CANID为一组，以此类推)，以增加模型的鲁棒性。

S3：GAF编码，将分割后的CAN ID序列使用GAF编码转化成二维图像。

S4：图像分类，对于S3通过64个CAN ID序列生成的图片，若这64个CAN ID序列存在一个flag为T，则将该图像归为攻击类别；若64个CAN ID序列的flag都为R，则将图像归为正常类别，对九个数据子集都采用S2到S4的方式，最后得到九个包含攻击类别和正常类别的图像数据集。

S5：划分训练集与测试集，选取图像数据集中80％作为训练集，其余20％作为测试集。

S6：模型训练，由于图像数据集中只含有攻击类别和正常类别，需要对图像进行的是二分类，因此将VGG19中全连接层的最后一层改为FC-2，输出层使用sigmoid分类器，将输出值转化到[0,1]区间。

优选的，所述S1中使用的九个原始数据集是通过对三款汽车都注入了三种攻击，然后再收集汽车CAN网络的流量得到的，三款汽车分别是Sonata 2010款、Soul 2015款和Spark 2015款，三种攻击分别是泛洪攻击、模糊攻击和故障攻击。

优选的，所述S1中flag为T时表示该消息是注入攻击的消息，为R表示为正常消息。

优选的，所述S3中GAF编码转化成二维图像，转化过程分为如下三个步骤：

S3.1：数值缩放，将CAN ID序列中的值缩放到[-1,1]区间中。

S3.2：极坐标转换，将缩放后的数值转化到极坐标系下，缩放后的数值经反余弦转化为角度φ，时间戳i编码为半径r。

S3.3：三角变换，通过余弦函数计算角度和的格拉姆角和场(GASF)得到最终的特征图。

优选的，所述S5中因为在生成原始数据集时，对汽车注入的攻击可能会集中在某一个时间段，所以生成的图像数据集的攻击样本也比较集中，为防止样本分布不均匀在训练模型时产生影响，需要将攻击类别和正常类别的图像数据集打乱再进行划分。

与现有技术相比，本发明的有益效果是：

本发明提供的基于深度学习的车载CAN总线入侵检测算法，通过利用深度学习在计算机视觉上的优势，将CAN ID这种一维时间序列通过格拉姆角场转化为二维图像，然后使用深度学习中的VGG网络训练数据，从而提高了对攻击报文的检测效率，不对CAN总线中的报文提出特定要求，只要是报文遭受的攻击类别在模型中训练过，那么不管网络处于任何状态，入侵检测系统都能及时地检测到攻击。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例入侵检测算法的整体算法流程图；

图2为本发明实施例入侵检测算法的CAN的数据帧格式图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

请参阅图1-2，本发明提供的基于深度学习的车载CAN总线入侵检测算法，包括以下步骤：

S1：提取CAN ID和flag，首先将九组数据集的CAN ID和与其相应的flag标签分离出来，得到九个数据子集，flag为T时表示该消息是注入攻击的消息，为R表示为正常消息，使用的九个原始数据集是通过对三款汽车都注入了三种攻击，然后再收集汽车CAN网络的流量得到的，三款汽车分别是Sonata 2010款、Soul 2015款和Spark 2015款，三种攻击分别是泛洪攻击、模糊攻击和故障攻击，数据集中报文数量如表1所示。

S2：数据分割，将分离出来的CAN ID转化为十进制浮点数，然后以步长为64对数据集进行分割，分割时对数据进行75％的重叠处理(如第1-64个CAN ID为一组，第17-80个CANID为一组，以此类推)，以增加模型的鲁棒性。

S3：GAF编码，将分割后的CAN ID序列使用GAF编码转化成二维图像，对于一个长度为64的CAN ID序列，GAF编码转化成二维图像，转化过程分为如下三个步骤：

S3.1：数值缩放，将CAN ID序列中的值采用下式缩放到[-1,1]区间中。其中，x_max为CAN ID序列中的最大值，x_min为CAN ID序列中的最小值。

S3.2：极坐标转换，采用下式将缩放后的数值转化到极坐标系下，缩放后的数值经反余弦转化为角度φ，时间戳i编码为半径r。

S3.3：三角变换，通过余弦函数计算角度和的格拉姆角和场(GASF)得到最终的特征图，具体计算公式如下：

S4：图像分类，对于S3通过64个CAN ID序列生成的图片，若这64个CAN ID序列存在一个flag为T，则将该图像归为攻击类别；若64个CAN ID序列的flag都为R，则将图像归为正常类别，对九个数据子集都采用S2到S4的方式，最后得到九个包含攻击类别和正常类别的图像数据集，图像数据集各类别数量情况如表2所示。

S5：划分训练集与测试集，因为在生成数据集时，对汽车注入的攻击可能会集中在某一个时间段，所以S4生成的图像数据集的攻击样本也比较集中，为防止样本分布不均匀在训练模型时产生影响，需要将攻击类别和正常类别的图像数据集打乱。选取打乱后的数据集中80％作为训练集，其余20％作为测试集，划分后的训练集与测试集的数量如表3所示。

S6：模型训练，由于图像数据集中只含有攻击类别和正常类别，需要对图像进行的是二分类，因此将VGG19中全连接层的最后一层改为FC-2，输出层使用sigmoid分类器，将输出值转化到[0,1]区间，其计算公式如下：

损失函数使用交叉熵损失函数，计算公式为：

表4列出了模型在测试集中的F1值，F1值为召回率和精准率的调和平均，模型在三个型号的车中对于泛洪、模糊和故障三种攻击的F1值均大于99％。表4中可以看出，采用GASF编码后的特征图，在VGG19上具有很好的结果。

表1数据集中各类别报文数量

表2图像数据集各类别数量情况

表3划分后训练集与测试集数量

表4 F1值

本发明上述实施例，利用深度学习在计算机视觉上的优势，将CAN ID这种一维时间序列通过格拉姆角场转化为二维图像，然后使用深度学习中的VGG网络训练数据，从而提高了对攻击报文的检测效率，不对CAN总线中的报文提出特定要求，不管网络处于任何状态，入侵检测系统都能及时地检测到攻击。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (5)

1.一种基于深度学习的车载CAN总线入侵检测算法，包括以下步骤：

S1：提取CANID和flag，首先将九组数据集的CANID和与其相应的flag标签分离出来，得到九个数据子集；

S2：数据分割，将分离出来的CAN ID转化为十进制浮点数，然后以步长为64对数据集进行分割，分割时对数据进行75％的重叠处理(如第1-64个CAN ID为一组，第17-80个CAN ID为一组，以此类推)，以增加模型的鲁棒性；

S3：GAF编码，将分割后的CAN ID序列使用GAF编码转化成二维图像；

S4：图像分类，对于S3通过64个CAN ID序列生成的图片，若这64个CAN ID序列存在一个flag为T，则将该图像归为攻击类别；若64个CAN ID序列的flag都为R，则将图像归为正常类别，对九个数据子集都采用S2到S4的方式，最后得到九个包含攻击类别和正常类别的图像数据集；

S5：划分训练集与测试集，选取图像数据集中80％作为训练集，其余20％作为测试集。

S6：模型训练，由于图像数据集中只含有攻击类别和正常类别，需要对图像进行的是二分类，因此将VGG19中全连接层的最后一层改为FC-2，输出层使用sigmoid分类器，将输出值转化到[0,1]区间。

2.根据权利要求1所述的基于深度学习的车载CAN总线入侵检测算法，其特征在于：所述S1中使用的九个原始数据集是通过对三款汽车都注入了三种攻击，然后再收集汽车CAN网络的流量得到的，三款汽车分别是Sonata 2010款、Soul 2015款和Spark 2015款，三种攻击分别是泛洪攻击、模糊攻击和故障攻击。

3.根据权利要求1所述的基于深度学习的车载CAN总线入侵检测算法，其特征在于：所述S1中flag为T时表示该消息是注入攻击的消息，为R表示为正常消息。

4.根据权利要求1所述的基于深度学习的车载CAN总线入侵检测算法，其特征在于，所述S3中GAF编码转化成二维图像，转化过程分为如下三个步骤：

S3.1：数值缩放，将CAN ID序列中的值缩放到[-1,1]区间中；

S3.2：极坐标转换，将缩放后的数值转化到极坐标系下，缩放后的数值经反余弦转化为角度φ，时间戳i编码为半径r；

S3.3：三角变换，通过余弦函数计算角度和的格拉姆角和场GASF得到最终的特征图。

5.根据权利要求1所述的基于深度学习的车载CAN总线入侵检测算法，其特征在于：所述步骤S5中因为在生成原始数据集时，对汽车注入的攻击可能会集中在某一个时间段，所以生成的图像数据集的攻击样本也比较集中，为防止样本分布不均匀在训练模型时产生影响，需要将攻击类别和正常类别的图像数据集打乱再进行划分。

Images