CN115499159B - Can信号异常检测方法、装置、车辆及存储介质 - Google Patents
Can信号异常检测方法、装置、车辆及存储介质 Download PDFInfo
- Publication number
- CN115499159B CN115499159B CN202210950885.6A CN202210950885A CN115499159B CN 115499159 B CN115499159 B CN 115499159B CN 202210950885 A CN202210950885 A CN 202210950885A CN 115499159 B CN115499159 B CN 115499159B
- Authority
- CN
- China
- Prior art keywords
- data
- preset
- detection model
- detected
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 127
- 230000005856 abnormality Effects 0.000 title claims abstract description 22
- 230000002159 abnormal effect Effects 0.000 claims abstract description 88
- 238000012549 training Methods 0.000 claims abstract description 49
- 238000000034 method Methods 0.000 claims abstract description 30
- 238000012216 screening Methods 0.000 claims abstract description 28
- 238000004806 packaging method and process Methods 0.000 claims abstract description 20
- 239000013598 vector Substances 0.000 claims description 24
- 238000012360 testing method Methods 0.000 claims description 20
- 230000006870 function Effects 0.000 claims description 17
- 238000007781 pre-processing Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 7
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 6
- 230000004927 fusion Effects 0.000 claims description 5
- 238000010276 construction Methods 0.000 abstract description 9
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Traffic Control Systems (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Abstract
本申请涉及车辆技术领域,特别涉及一种CAN信号异常检测方法、装置、车辆及存储介质,其中,方法包括:采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据;基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据;根据待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过最优检测模型预测待检测数据的异常概率值,在异常概率值小于或等于预设阈值时,判定待检测数据为异常数据,其中,预设的异常信号检测模型由目标CAN数据训练得到。由此,解决了异常数据识别率低,且依赖大量人工特征工程构建工作的问题,提高识别效率。
Description
技术领域
本申请涉及车辆技术领域,特别涉及一种CAN(Controller Area Network,控制器域网)信号异常检测方法、装置、车辆及存储介质。
背景技术
近年来,随着汽车智能化、车联网技术的高速发展,智能网联汽车为人们出行带来了更加舒适便捷的体验。车联网让我们可以将汽车内各个硬件连接在一起,并且在云端运行,比如,通过车联网对汽车进行远程解锁、开窗、启动发动机和打开空调等。此外,汽车的行驶路线、地理位置和用户的驾驶习惯等数据也可通过网络同步到云端,为优化车机功能、提高自动驾驶准确度和用户体验感等提供数据支撑,但这也让网络攻击者有了更多可乘之机,使智能网联汽车面临极大的信息安全威胁。
基于CAN信号是车联网数据的一个重要来源,如何识别出CAN信号遭受到的网络攻击,提高信息安全性,具有重要意义,CAN信号的网络攻击识别,实质就是对CAN数据的检测。
相关技术中,一种是针对特定类型的网络攻击进行CAN信号异常检测方法,通过提取CAN信号数据域的常值特征、循环值特征、多值特征建立检测模型,实现异常数据的检测,它主要是重放攻击、拒绝服务攻击、篡改攻击和伪造攻击进行检测。另一种是针对对多种攻击方式的CAN信号异常检测的方案,主要通过计算信息熵和孤立森林框架得到CAN信号数据的异常分数,从而实现异常数据的检测。
然而,第一种对其它类型攻击导致的异常数据的识别率较低,并且检测技术的准确性依赖于大量人工特征工程的构建工作,另一种基于孤立森林的CAN信号异常检测对于局部数据的异常不够敏感,且忽略了报文序列间的相关信息。并且CAN信号数据具有属性少、特征间相关关系不明显、数据内容与车辆状态息息相关和协议私有化等特点,导致相关技术,无法在不依赖于私有协议、自动挖掘特征间相关性和定位CAN信号异常位置的前提下,具备高实时性和高准确性的异常检测能力。
发明内容
本申请提供一种CAN信号异常检测方法、装置、车辆及存储介质,以解决了异常数据识别率低,且依赖大量人工特征工程构建工作的问题,提高识别效率。
本申请第一方面实施例提供一种CAN信号异常检测方法,包括以下步骤:采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据;基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据;以及根据所述待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过所述最优检测模型预测所述待检测数据的异常概率值,在所述异常概率值小于或等于预设阈值时,判定所述待检测数据为异常数据,其中,所述预设的异常信号检测模型由目标CAN数据训练得到。
根据上述技术手段,本申请可以解决了异常数据识别率低,且依赖大量人工特征工程构建工作的问题,提高识别效率。
可选地,在一些实施例中,在筛选出满足所述预设合法条件的封装CAN数据之后,还包括:将所述封装CAN数据中十六进制表示的数据转化为二进制序列,得到转化CAN数据;对所述转化CAN数据中数据量小于预设值的数据进行数据扩充,得到所述待检测数据。
根据上述技术手段,本申请可以方便后续调用,将十六进制数据转化为二进制数据。
可选地,在一些实施例中,在根据所述待检测数据的标识信息从所述预设的异常信号检测模型中匹配所述最优检测模型之前,还包括:采集所述车辆在不同形式状态下的所述目标CAN数据,并对所述目标CAN数据进行预处理,得到训练数据和测试数据;通过Embeding层将所述训练数据中的二进制稀疏向量转化为稠密向量,输入到Bilstm层进行高级特征的提取;将所述Bilstm层提取到的特征与Attention层生成的权重向量按元素相乘,得到目标时刻状态的加权特征,并通过Sigmoid输出层得到第一输出结果;以所述训练数据中未进行特征转化的十六进制数据序列作为Catboost模型的输入,得到第二输出结果;对所述第一输出结果和所述第二输出结果进行加权融合得到初始异常信号检测模型;基于预设的交叉熵损失函数和所述测试数据,评估所述初始异常信号检测模型,并根据评估结果对所述初始异常信号检测模型进行优化,得到所述预设的异常信号检测模型。
根据上述技术手段,本申请可以通过建立模型,构建训练数据,为CAN信号异常检测做准备。
可选地,在一些实施例中,所述对所述目标CAN数据进行预处理,得到训练数据和测试数据,包括:将所述目标CAN数据中十六进制表示的数据转化为二进制序列,得到初始CAN训练数据;对所述初始CAN训练数据的数据域进行修改,生成待训练数据;将所述待训练数据中部分数据作为所述训练数据,剩余部分作为所述测试数据。
可选地,在一些实施例中,所述预设的交叉熵损失函数为:
其中,样本(x,y)={(x1,y1),(x2,y2),…,(xN,yN)},yi∈[0,1],为预测概率值,i∈[1,N],N为自然数。
根据上述技术手段,本申请可以通过交叉熵损失函数得到训练数据,提高识别CAN信号异常识别率。
可选地,在一些实施例中,在基于所述预设的身份标识白名单,筛选出满足所述预设合法条件的封装CAN数据之前,还包括:根据车辆CAN数据的身份标识种类建立所述预设的身份标识白名单。
根据上述技术手段,本申请可以避免大量人工操作,筛选出合法条件的封装CAN数据。
本申请第二方面实施例提供一种CAN信号异常检测装置,包括:采集模块,用于采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据;筛选模块,基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据;以及判定模块,用于根据所述待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过所述最优检测模型预测所述待检测数据的异常概率值,在所述异常概率值小于或等于预设阈值时,判定所述待检测数据为异常数据,其中,所述预设的异常信号检测模型由目标CAN数据训练得到。
可选地,在一些实施例中,在筛选出满足所述预设合法条件的封装CAN数据之后,所述筛选模块,还用于:将所述封装CAN数据中十六进制表示的数据转化为二进制序列,得到转化CAN数据;对所述转化CAN数据中数据量小于预设值的数据进行数据扩充,得到所述待检测数据。
可选地,在一些实施例中,在根据所述待检测数据的标识信息从所述预设的异常信号检测模型中匹配所述最优检测模型之前,所述判断模块,还用于:采集所述车辆在不同形式状态下的所述目标CAN数据,并对所述目标CAN数据进行预处理,得到训练数据和测试数据;通过Embeding层将所述训练数据中的二进制稀疏向量转化为稠密向量,输入到Bilstm层进行高级特征的提取;将所述Bilstm层提取到的特征与Attention层生成的权重向量按元素相乘,得到目标时刻状态的加权特征,并通过Sigmoid输出层得到第一输出结果;以所述训练数据中未进行特征转化的十六进制数据序列作为Catboost模型的输入,得到第二输出结果;对所述第一输出结果和所述第二输出结果进行加权融合得到初始异常信号检测模型;基于预设的交叉熵损失函数和所述测试数据,评估所述初始异常信号检测模型,并根据评估结果对所述初始异常信号检测模型进行优化,得到所述预设的异常信号检测模型。
可选地,在一些实施例中,所述对所述目标CAN数据进行预处理,得到训练数据和测试数据,包括:将所述目标CAN数据中十六进制表示的数据转化为二进制序列,得到初始CAN训练数据;对所述初始CAN训练数据的数据域进行修改,生成待训练数据;将所述待训练数据中部分数据作为所述训练数据,剩余部分作为所述测试数据。
可选地,在一些实施例中,所述预设的交叉熵损失函数为:
其中,样本(x,y)={(x1,y1),(x2,y2),…,(xN,yN)},yi∈[0,1],为预测概率值,i∈[1,N],N为自然数。
可选地,在一些实施例中,在基于所述预设的身份标识白名单,筛选出满足所述预设合法条件的封装CAN数据之前,所述筛选模块,还包括:根据车辆CAN数据的身份标识种类建立所述预设的身份标识白名单。
本申请第三方面实施例提供一种车辆,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如上述实施例所述的CAN信号异常检测方法。
本申请第四方面实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行,以用于实现如上述实施例所述的CAN信号异常检测方法。
由此,通过采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据,并基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据,并根据待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过最优检测模型预测待检测数据的异常概率值,在异常概率值小于或等于预设阈值时,判定待检测数据为异常数据,其中,预设的异常信号检测模型由目标CAN数据训练得到。由此,解决了异常数据识别率低,且依赖大量人工特征工程构建工作的问题,提高识别效率。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本申请实施例提供的CAN信号异常检测方法的流程图;
图2为根据本申请一个实施例提供的模型构建的示意图;
图3为根据本申请一个实施例提供的CAN信号异常检测方法的流程图;
图4为根据本申请实施例提供的CAN信号异常检测装置的方框示意图;
图5为根据本申请实施例提供的车辆的示意图。
附图标记说明:10-CAN信号异常检测装置,100-采集模块,200-筛选模块和300-判定模块。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的CAN信号异常检测方法、装置、车辆及存储介质。针对上述背景技术中提到的异常数据识别率低,且依赖大量人工特征工程构建工作的问题,本申请提供了一种CAN信号异常检测方法,在该方法中,通过采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据,并基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据,并根据待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过最优检测模型预测待检测数据的异常概率值,在异常概率值小于或等于预设阈值时,判定待检测数据为异常数据,其中,预设的异常信号检测模型由目标CAN数据训练得到。由此,解决了异常数据识别率低,且依赖大量人工特征工程构建工作的问题,提高识别效率。
具体而言,图1为本申请实施例所提供的一种CAN信号异常检测方法的流程示意图。
如图1所示,该CAN信号异常检测方法包括以下步骤:
在步骤S101中,采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据。
其中,预设格式可以为ID(Identity document,身份证标识)+Data(数据)+时间戳的标准格式。
具体地,如图2所示,在一些实施例中,采集车辆在不同行驶状态、合法操作下的CAN信号数据,并将数据封装成ID+Data+时间戳的标准格式。
在步骤S102中,基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据。
可选地,在一些实施例中,在基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据之前,还包括:根据车辆CAN数据的身份标识种类建立预设的身份标识白名单。
其中,预设的身份标识可以为报文ID,预设的身份标识白名单可以由相关人员预先设定,在此不做具体限定。
本领域技术人员应当理解的是,正常情况下,车辆CAN信号数据的报文ID种类有限(一般不超过100)。因此,在本申请实施例中,如图2所示,可以建立ID白名单,将新获取的报文ID与白名单进行对比,当报文ID在白名单内,则标记为合法报文,否则标记为非法报文,同时给出异常反馈,实现CAN信号的筛选。
可选地,在一些实施例中,在筛选出满足预设合法条件的封装CAN数据之后,还包括:将封装CAN数据中十六进制表示的数据转化为二进制序列,得到转化CAN数据;对转化CAN数据中数据量小于预设值的数据进行数据扩充,得到待检测数据。
具体地,在本申请实施例中,为方便调用可以进行数据转化,将报文数据域中用十六进制表示的数据转化为二进制序列d表示数据维度,作为基于注意力机制Bilstm模型部分的输入,另外,对于不同ID的CAN信号数据分别建立模型,为防止数据量少造成模型的欠拟合,可通过自助采样法(Bootstrap Sampling)对数据量较少的报文数据进行数据扩充,提高模型的检测能力。
在步骤S103中,根据待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过最优检测模型预测待检测数据的异常概率值,在异常概率值小于或等于预设阈值时,判定待检测数据为异常数据,其中,预设的异常信号检测模型由目标CAN数据训练得到。
可选地,在一些实施例中,在根据待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型之前,还包括:采集车辆在不同形式状态下的目标CAN数据,并对目标CAN数据进行预处理,得到训练数据和测试数据;通过Embeding层将训练数据中的二进制稀疏向量转化为稠密向量,输入到Bilstm层进行高级特征的提取;将Bilstm层提取到的特征与Attention层生成的权重向量按元素相乘,得到目标时刻状态的加权特征,并通过Sigmoid输出层得到第一输出结果;以训练数据中未进行特征转化的十六进制数据序列作为Catboost模型的输入,得到第二输出结果;对第一输出结果和第二输出结果进行加权融合得到初始异常信号检测模型;基于预设的交叉熵损失函数和测试数据,评估初始异常信号检测模型,并根据评估结果对初始异常信号检测模型进行优化,得到预设的异常信号检测模型。
可选地,在一些实施例中,对目标CAN数据进行预处理,得到训练数据和测试数据,包括:将目标CAN数据中十六进制表示的数据转化为二进制序列,得到初始CAN训练数据;对初始CAN训练数据的数据域进行修改,生成待训练数据;将待训练数据中部分数据作为训练数据,剩余部分作为测试数据。
可以理解的是,大多CAN信号异常数据无法直接采集,本申请实施例可通过字节的随机初始化、删除数据序列中m个连续字节等方式修改CAN信号的数据域,生成异常数据模拟多种网络攻击。
具体地,在一些实施例中,基于注意力机制的Bilstm+Catboost模型由两部分构成,具体模型结构如图3所示,基于注意力机制的Bilstm模型部分是通过Embeding层将二进制稀疏向量转化为稠密向量,输入到Bilstm层进行高级特征的提取;然后,再将Bilstm提取到的特征与Attention层生成的权重向量按元素相乘,得到第t个时刻状态的加权特征ht;最后,通过Sigmoid输出层得到预测结果y1,Catboost模型部分是以未进行特征转化的十六进制数据序列作为模型的输入,得到输出结果y2。最后,对预测结果进行加权融合,作为最终结果,其中0≤α≤1。由于CAN信号报文数据的异常检测实质上为一个二分类问题,因此可选择交叉熵损失函数进行模型评估,其数学表达式为:
其中,样本(x,y)={(x1,y1),(x2,y2),…,(xN,yN)},yi∈[0,1],为预测概率值,i∈[1,N],N为自然数。
在模型的训练中,可通过不断调整网络的激活函数、优化器、Bilstm的时间步长以及一些其他超参数,进行试验来确定最优参数。并使用准确率(Accuracy)、精确率(Precision)、召回率(Recall)和损失(Loss)评估模型效果。
在本申请实施例中,在模型建立完成后,可以进行报文数据异常检测,根据CAN信号ID为待检测数据匹配对应的模型,预测数据是否为异常的概率值。当概率值大于设置的阈值时,检测数据为正常,否则为异常,输出反馈结果并定位异常,由此,进行CAN异常数据检测。
由此,如图2、3所示,本申请实施例的CAN信号异常检测方法通过三个模块进行CAN信号的异常检测,包括数据采集模块、数据预处理模块以及数据载荷检测模块。其中,数据采集模块用于采集车辆在不同行驶状态的行驶数据,并对数据进行封装;数据预处理模块用于将新获取的报文ID与白名单进行匹配,从而对不合法报文ID进行初步筛选,同时生成规范的报文数据;数据载荷检测模块用于数据预处理模块获取的规范报文数据传送到数据载荷检测模块进行检测,并输出反馈结果。基于统计、白名单等方式的CAN信号异常检测方法,均是以报文ID为对象,无法检测到CAN信号的数据域。数据载荷检测模块则可近一步实现对数据域内容的检测,弥补白名单筛选方式的不足。
根据本申请实施例提出的CAN信号异常检测方法,通过采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据,并基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据,并根据待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过最优检测模型预测待检测数据的异常概率值,在异常概率值小于或等于预设阈值时,判定待检测数据为异常数据,其中,预设的异常信号检测模型由目标CAN数据训练得到。由此,解决了异常数据识别率低,且依赖大量人工特征工程构建工作的问题,提高识别效率。
其次参照附图描述根据本申请实施例提出的CAN信号异常检测装置。
图4是本申请实施例的CAN信号异常检测装置的方框示意图。
如图4所示,该CAN信号异常检测装置10包括:采集模块100、筛选模块200和判定模块300。
其中,采集模块100,用于采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据;筛选模块200,基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据;以及判定模块300,用于根据待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过最优检测模型预测待检测数据的异常概率值,在异常概率值小于或等于预设阈值时,判定待检测数据为异常数据,其中,预设的异常信号检测模型由目标CAN数据训练得到。
可选地,在一些实施例中,在筛选出满足预设合法条件的封装CAN数据之后,筛选模块200,还用于:将封装CAN数据中十六进制表示的数据转化为二进制序列,得到转化CAN数据;对转化CAN数据中数据量小于预设值的数据进行数据扩充,得到待检测数据。
可选地,在一些实施例中,在根据待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型之前,判定模块300,还用于:采集车辆在不同形式状态下的目标CAN数据,并对目标CAN数据进行预处理,得到训练数据和测试数据;通过Embeding层将训练数据中的二进制稀疏向量转化为稠密向量,输入到Bilstm层进行高级特征的提取;将Bilstm层提取到的特征与Attention层生成的权重向量按元素相乘,得到目标时刻状态的加权特征,并通过Sigmoid输出层得到第一输出结果;以训练数据中未进行特征转化的十六进制数据序列作为Catboost模型的输入,得到第二输出结果;对第一输出结果和第二输出结果进行加权融合得到初始异常信号检测模型;基于预设的交叉熵损失函数和测试数据,评估初始异常信号检测模型,并根据评估结果对初始异常信号检测模型进行优化,得到预设的异常信号检测模型。
可选地,在一些实施例中,对目标CAN数据进行预处理,得到训练数据和测试数据,包括:将目标CAN数据中十六进制表示的数据转化为二进制序列,得到初始CAN训练数据;对初始CAN训练数据的数据域进行修改,生成待训练数据;将待训练数据中部分数据作为训练数据,剩余部分作为测试数据。
可选地,在一些实施例中,预设的交叉熵损失函数为:
其中,样本(x,y)={(x1,y1),(x2,y2),...,(xN,yN)},yi∈[0,1],为预测概率值,i∈[1,N],N为自然数。
可选地,在一些实施例中,在基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据之前,筛选模块200,还包括:根据车辆CAN数据的身份标识种类建立预设的身份标识白名单。
需要说明的是,前述对CAN信号异常检测方法实施例的解释说明也适用于该实施例的CAN信号异常检测装置,此处不再赘述。
根据本申请实施例提出的CAN信号异常检测装置,通过采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据,并基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据,并根据待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过最优检测模型预测待检测数据的异常概率值,在异常概率值小于或等于预设阈值时,判定待检测数据为异常数据,其中,预设的异常信号检测模型由目标CAN数据训练得到。由此,解决了异常数据识别率低,且依赖大量人工特征工程构建工作的问题,提高识别效率。
图5为本申请实施例提供的车辆的结构示意图。该车辆可以包括:
存储器501、处理器502及存储在存储器501上并可在处理器502上运行的计算机程序。
处理器502执行程序时实现上述实施例中提供的CAN信号异常检测方法。
进一步地,车辆还包括:
通信接口503,用于存储器501和处理器502之间的通信。
存储器501,用于存放可在处理器502上运行的计算机程序。
存储器501可能包含高速RAM(Random Access Memory,随机存取存储器)存储器,也可能还包括非易失性存储器,例如至少一个磁盘存储器。
如果存储器501、处理器502和通信接口503独立实现,则通信接口503、存储器501和处理器502可以通过总线相互连接并完成相互间的通信。总线可以是ISA(IndustryStandard Architecture,工业标准体系结构)总线、PCI(Peripheral Component,外部设备互连)总线或EISA(Extended Industry Standard Architecture,扩展工业标准体系结构)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选的,在具体实现上,如果存储器501、处理器502及通信接口503,集成在一块芯片上实现,则存储器501、处理器502及通信接口503可以通过内部接口完成相互间的通信。
处理器502可能是一个CPU(Central Processing Unit,中央处理器),或者是ASIC(Application Specific Integrated Circuit,特定集成电路),或者是被配置成实施本申请实施例的一个或多个集成电路。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上的CAN信号异常检测方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不是必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或N个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“N个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更N个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,N个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列,现场可编程门阵列等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (8)
1.一种CAN信号异常检测方法,其特征在于,包括以下步骤:
采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据;
基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据;以及
根据所述待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过所述最优检测模型预测所述待检测数据的异常概率值,在所述异常概率值小于或等于预设阈值时,判定所述待检测数据为异常数据,其中,所述预设的异常信号检测模型由目标CAN数据训练得到;
在根据所述待检测数据的标识信息从所述预设的异常信号检测模型中匹配所述最优检测模型之前,还包括:
采集所述车辆在不同形式状态下的所述目标CAN数据,并对所述目标CAN数据进行预处理,得到训练数据和测试数据;
通过Embeding层将所述训练数据中的二进制稀疏向量转化为稠密向量,输入到Bilstm层进行高级特征的提取;将所述Bilstm层提取到的特征与Attention层生成的权重向量按元素相乘,得到目标时刻状态的加权特征,并通过Sigmoid输出层得到第一输出结果;
以所述训练数据中未进行特征转化的十六进制数据序列作为Catboost模型的输入,得到第二输出结果;
对所述第一输出结果和所述第二输出结果进行加权融合得到初始异常信号检测模型;
基于预设的交叉熵损失函数和所述测试数据,评估所述初始异常信号检测模型,并根据评估结果对所述初始异常信号检测模型进行优化,得到所述预设的异常信号检测模型;
所述预设的交叉熵损失函数为:
其中,样本(x,y)={(x1,y1),(x2,y2),…,(xN,yN)},yi∈[0,1],为预测概率值,i∈[1,N],N为自然数。
2.根据权利要求1所述的方法,其特征在于,在筛选出满足所述预设合法条件的封装CAN数据之后,还包括:
将所述封装CAN数据中十六进制表示的数据转化为二进制序列,得到转化CAN数据;
对所述转化CAN数据中数据量小于预设值的数据进行数据扩充,得到所述待检测数据。
3.根据权利要求1所述的方法,所述对所述目标CAN数据进行预处理,得到训练数据和测试数据,包括:
将所述目标CAN数据中十六进制表示的数据转化为二进制序列,得到初始CAN训练数据;
对所述初始CAN训练数据的数据域进行修改,生成待训练数据;
将所述待训练数据中部分数据作为所述训练数据,剩余部分作为所述测试数据。
4.根据权利要求1所述的方法,其特征在于,在基于所述预设的身份标识白名单,筛选出满足所述预设合法条件的封装CAN数据之前,还包括:
根据车辆CAN数据的身份标识种类建立所述预设的身份标识白名单。
5.一种CAN信号异常检测装置,其特征在于,用于执行如权利要求1-4中任一项所述的CAN信号异常检测方法,包括:
采集模块,用于采集车辆在多个不同形式状态下的CAN数据,并按照预设格式对每个CAN数据进行封装,得到多个封装CAN数据;
筛选模块,基于预设的身份标识白名单,筛选出满足预设合法条件的封装CAN数据,得到待检测数据;以及
判定模块,用于根据所述待检测数据的标识信息从预设的异常信号检测模型中匹配最优检测模型,并通过所述最优检测模型预测所述待检测数据的异常概率值,在所述异常概率值小于或等于预设阈值时,判定所述待检测数据为异常数据,其中,所述预设的异常信号检测模型由目标CAN数据训练得到。
6.根据权利要求5所述的装置,其特征在于,在筛选出满足所述预设合法条件的封装CAN数据之后,所述筛选模块,还用于:
将所述封装CAN数据中十六进制表示的数据转化为二进制序列,得到转化CAN数据;
对所述转化CAN数据中数据量小于预设值的数据进行数据扩充,得到所述待检测数据。
7.一种车辆,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如权利要求1-4任一项所述的CAN信号异常检测方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行,以用于实现如权利要求1-4任一项所述的CAN信号异常检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210950885.6A CN115499159B (zh) | 2022-08-09 | 2022-08-09 | Can信号异常检测方法、装置、车辆及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210950885.6A CN115499159B (zh) | 2022-08-09 | 2022-08-09 | Can信号异常检测方法、装置、车辆及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115499159A CN115499159A (zh) | 2022-12-20 |
| CN115499159B true CN115499159B (zh) | 2024-05-07 |
Family
ID=84466982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210950885.6A Active CN115499159B (zh) | 2022-08-09 | 2022-08-09 | Can信号异常检测方法、装置、车辆及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115499159B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109688030A (zh) * | 2019-02-26 | 2019-04-26 | 百度在线网络技术(北京)有限公司 | 报文检测方法、装置、设备和存储介质 |
| KR102139140B1 (ko) * | 2020-04-27 | 2020-07-30 | (주) 앤앤에스피 | 비공개 ics 프로토콜에 대한 태그 데이터의 프로파일링 시스템 |
| CN111880983A (zh) * | 2020-08-04 | 2020-11-03 | 北京天融信网络安全技术有限公司 | 一种can总线异常检测方法及装置 |
| CN112036167A (zh) * | 2020-08-25 | 2020-12-04 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、服务器及存储介质 |
| WO2021139235A1 (zh) * | 2020-06-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 系统异常检测方法、装置、设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11522696B2 (en) * | 2020-03-13 | 2022-12-06 | Dearborn Group, Inc. | Intrusion defense system for a vehicle |
-
2022
- 2022-08-09 CN CN202210950885.6A patent/CN115499159B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109688030A (zh) * | 2019-02-26 | 2019-04-26 | 百度在线网络技术(北京)有限公司 | 报文检测方法、装置、设备和存储介质 |
| KR102139140B1 (ko) * | 2020-04-27 | 2020-07-30 | (주) 앤앤에스피 | 비공개 ics 프로토콜에 대한 태그 데이터의 프로파일링 시스템 |
| WO2021139235A1 (zh) * | 2020-06-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 系统异常检测方法、装置、设备及存储介质 |
| CN111880983A (zh) * | 2020-08-04 | 2020-11-03 | 北京天融信网络安全技术有限公司 | 一种can总线异常检测方法及装置 |
| CN112036167A (zh) * | 2020-08-25 | 2020-12-04 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、服务器及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于车载CAN总线的安全通信机制研究;郭志刚;潘俊家;韩光省;郝晶晶;牛宏宇;;中国汽车;20200722(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115499159A (zh) | 2022-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639481A (zh) | 一种基于深度学习的网络流量分类方法、系统及电子设备 | |
| CN106198551A (zh) | 一种输电线路缺陷的检测方法及装置 | |
| CN110956123B (zh) | 一种富媒体内容的审核方法、装置、服务器及存储介质 | |
| CA3146217C (en) | System and method for integration testing | |
| CN112671724B (zh) | 一种终端安全检测分析方法、装置、设备及可读存储介质 | |
| CN110620760A (zh) | 一种SVM和贝叶斯网络的FlexRay总线融合入侵检测方法和检测装置 | |
| CN115099051A (zh) | 自动驾驶的仿真测试场景生成方法、装置、车辆及存储介质 | |
| CN115499159B (zh) | Can信号异常检测方法、装置、车辆及存储介质 | |
| CN114462040A (zh) | 一种恶意软件检测模型训练、恶意软件检测方法及装置 | |
| CN114429640A (zh) | 图纸分割方法、装置及电子设备 | |
| Rumez et al. | Anomaly detection for automotive diagnostic applications based on N-grams | |
| CN113468276A (zh) | 链上预言机的可信数据获取方法、装置及电子设备 | |
| CN111614659A (zh) | 未知网络流量的分布式检测方法 | |
| CN113572770B (zh) | 检测域名生成算法生成的域名的方法及装置 | |
| CN112688947B (zh) | 基于互联网的网络通信信息智能监测方法及系统 | |
| CN113077630B (zh) | 基于深度学习的红绿灯检测方法、装置、设备及存储介质 | |
| CN115496109A (zh) | 基于智能汽车传感器的入侵行为分析方法及装置 | |
| CN108616318B (zh) | 一种安全频谱感知方法 | |
| CN114169623A (zh) | 一种电力设备故障分析方法、装置、电子设备及存储介质 | |
| CN114241253A (zh) | 违规内容识别的模型训练方法、系统、服务器及存储介质 | |
| CN106530199A (zh) | 基于窗口式假设检验的多媒体综合隐写分析方法 | |
| CN112417446A (zh) | 一种软件定义网络异常检测架构 | |
| CN112118256A (zh) | 工控设备指纹归一化方法、装置、计算机设备及存储介质 | |
| CN116563770B (zh) | 车辆颜色的检测方法、装置及设备和介质 | |
| CN115189996A (zh) | 基于Serverless的车联网数据传输方法及装置、存储介质和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |