CN116055174A - 一种基于改进MobileNetV2的车联网入侵检测方法 - Google Patents

Abstract

本发明涉及一种基于改进MobileNetV2的车联网入侵检测方法，属于车联网入侵检测领域。将入侵数据集进行数据预处理，划分训练集与测试集，将图像训练集作为输入，由改进MobileNetV2模型进行训练，并通过图像测试集评估模型性能，使用改进MobileNetV2模型对真实车联网入侵数据进行检测。有益效果是，相比于其他入侵检测模型，本发明提出改进MobileNetV2的车联网入侵检测方法具有检测攻击种类多、检测率高的优点，经实验验证后，在代表车内网络的CAN入侵数据集的F1值为100％，在代表车外网络的CICIDS2017数据集的F1值为99.93％。

Description

一种基于改进MobileNetV2的车联网入侵检测方法

技术领域

本发明涉及车联网入侵检测领域，具体涉及一种基于改进MobileNetV2的车联网入侵检测方法。

背景技术

随着车联网技术研究的增加和快速发展，联网汽车和自动驾驶汽车在现代世界越来越受欢迎。车联网作为主要的车辆通信框架，实现了车辆与其他车联网实体(如基础设施、行人和智能设备)之间的可靠通信。车联网系统主要由汽车内部网络系统和汽车外部网络系统组成。汽内网络的所有电子单元通过CAN(Controller Area Network)连接，传输消息并执行动作。另一方面，车外网络通过V2X(Vehicle-to-everything)技术将汽车与外部环境连接起来。V2X技术允许车辆与其他车辆、路边基础设施和道路用户进行通信。

然而，随着现代汽车互联性和复杂性的不断提高，其安全风险已成为一个重大问题。网络威胁可能会降低车联网系统的稳定性和鲁棒性，并导致车辆无法使用或交通事故。入侵检测系统通常被合并到汽车外部网络系统中，作为防御系统的一个基本组件，用于识别可能破坏防火墙和身份验证机制的恶意攻击。

在现有技术中，某些认证和密码技术不适合车内网络，因为它们在CAN中不支持，且违反CAN通信的时间限制。但由于网络流量数据量大、可用的网络特征众多、网络攻击模式多样，且多数已提出的入侵检测系统只针对少数或某种特定的网络攻击而设计，其检测的攻击种类和入侵检测率均有待提高。

发明内容

本发明提供一种基于改进MobileNetV2的车联网入侵检测方法，目的是针对多种类型的网络攻击，提高入侵检测率。

本发明采取的技术方案是：包括下列步骤：

步骤1：将入侵数据集进行数据预处理：使用分位数归一化和特征转换的方法将数据集转换为图像集；

步骤2：划分训练集与测试集，选取图像集中80％作为训练集，其余20％作为测试集；

步骤3：将图像训练集作为输入，由改进MobileNetV2模型进行训练，并通过图像测试集评估模型性能；

改进MobileNetV2模型包括：在步长为1的MobileNetV2反向残差块中，嵌入双重注意力机制模块；其中，双重注意力机制模块包括卷积块注意力模块CBAM(ConvolutionalBlock Attention Module)和通道注意力机制模块SE(Squeeze-and-excitation)，并行在每个反向残差块中，每个输出特征图F_out可表示为：

F_out＝F+F2+F3+F_m

其中F为输入特征图，F2为卷积块注意力模块CBAM输出的特征图，F3为通道注意力机制模块SE输出的特征图，F_m为在MobileNetV2反残差模块中输出的特征图；

步骤4：使用改进MobileNetV2模型对真实车联网入侵数据进行检测。

本发明所述步骤1中，选择CICIDS2017数据集对模型进行训练和测试；CICIDS2017数据集是目前最具代表性的网络入侵数据集，它包含了比其他入侵数据集更多的特征、实例和网络攻击类型；然后，将CICIDS2017数据集中的数据采用分位数归一化的方法转换到0-255的范围，使用特征转换的方法将数据分别转换为图像，且每幅图像均为具有R、G、B三个通道；为了满足模型训练条件，最后将图像大小改变为224×224。

本发明所述步骤2中，改进MobileNetV2模型，假设输入的特征图为F，则在MobileNetV2反残差模块中输出的特征图F_m为：

F_m＝f_Ln(f_PW(f_RL(f_DW(f_RL(f_PW(F))))))

其中，f_PW和f_DW分别为逐点卷积PW(Pointwise Convolution)计算和深度卷积DW(Depthwise Convolution)计算，f_RL为ReLU6激活函数，f_Ln为Linear函数。

本发明所述步骤2中，特征图F经过CBAM模块的操作过程分为两部分：

第一部分是通道注意力的操作过程。首先对输入特征图F进行全局平均池化和全局最大池化操作，得到两个一维特征向量；然后，将这两个特征向量送入共享的RepMLP网络进行计算；最后，将两个特征向量对应的元素相加，通过Sigmoid函数激活，得到通道注意力特征图MC：

MC(F)＝σ(f_RepMLP(f_avg(F))+f_RepMLP(f_max(F)))

其中f_avg表示平均池化函数，它关注特征图中每个像素的信息，f_max表示最大池化函数，它关注梯度传播过程中响应最大的区域信息，f_RepMLP表示RepMLP网络，使用RepMLP网络来代替原公式中的MLP网络以捕捉到整张特征图空间上的特征，σ表示Sigmoid函数；

第二部分是空间注意操作过程，首先对F1在信道维度上进行平均池化和最大池化操作，然后将相应生成的两个二维映射进行拼接，然后对拼接后的特征图进行卷积，通过Sigmoid函数激活，输出空间注意力特征图MS：

MS(F1)＝σ(f_c(f_avg(F1),f_max(F1)))

因此，CBAM的运行过程可以表示为:

F2为CBAM模块输出的特征图。

本发明所述步骤2中，特征图F经过通道注意力机制模块SE分为以下步骤：

步骤S1：输入特征图，它的维度是224×224×3；

步骤S2：对输入特征图进行空间特征压缩；在空间维度，实现全局平均池化，得到1×1×3的特征图；

步骤S3：对压缩后的特征图，进行通道特征学习；通过FC全连接层操作学习，得到具有通道注意力的特征图，特征图维度为1×1×3；

步骤S4：将具有通道注意力的特征图(1×1×3)、全局平均池化特征图(1×1×3)，进行逐通道乘以权重系数，最终通过Sigmoid函数激活，输出具有通道注意力的特征图F3。

本发明的有益效果是，相比于其他入侵检测模型，本发明提出改进MobileNetV2的车联网入侵检测方法具有检测攻击种类多、检测率高的优点，经实验验证后，在代表车内网络的CAN入侵数据集的F1值为100％，在代表车外网络的CICIDS2017数据集的F1值为99.93％。

附图说明

图1是本发明实施例提供的改进MobileNetV2的车联网入侵检测方法的流程图；

图2是本发明实施例提供的嵌入双重注意力机制模块的MobileNetV2结构图。

具体实施方式

为了使本发明的目的、技术方案以及优点更加清楚，以下结合附图及实施例对本发明进行进一步的说明。应当理解，此处描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例

一种基于改进MobileNetV2的车联网入侵检测方法，包括下列步骤：

步骤1：将入侵数据集进行数据预处理：使用分位数归一化和特征转换的方法将数据集转换为图像集；

选择CICIDS2017数据集对模型进行训练和测试；CICIDS2017数据集是目前最具代表性的网络入侵数据集，它包含了比其他入侵数据集更多的特征、实例和网络攻击类型；

然后，将CICIDS2017数据集中的数据采用分位数归一化的方法转换到0-255的范围，使用特征转换的方法将数据分别转换为图像，且每幅图像均为具有R、G、B三个通道；为了满足模型训练条件，最后将图像大小改变为224×224；

步骤2：划分训练集与测试集，选取图像集中80％作为训练集，其余20％作为测试集；

因为在生成数据集时，为防止样本集中数据分布不均匀在训练模型时产生影响，需要将攻击类型和正常类型的数据打乱。选取打乱后的数据集中80％作为训练集，其余20％作为测试集；

步骤3：将图像训练集作为输入，由改进MobileNetV2模型进行训练，并通过图像测试集评估模型性能；

改进MobileNetV2模型包括：在步长为1的MobileNetV2反向残差块中，嵌入双重注意力机制模块；其中，双重注意力机制模块包括卷积块注意力模块CBAM(ConvolutionalBlock Attention Module)和通道注意力机制模块SE(Squeeze-and-excitation)，并行在每个反向残差块中，每个输出特征图F_out可表示为：

F_out＝F+F2+F3+F_m

其中F为输入特征图，F2为卷积块注意力模块CBAM输出的特征图，F3为通道注意力机制模块SE输出的特征图，F_m为在MobileNetV2反残差模块中输出的特征图；

其中：

(1)、改进MobileNetV2模型如图2所示，假设输入的特征图为F，则在MobileNetV2反残差模块中输出的特征图F_m为：

F_m＝f_Ln(f_PW(f_RL(f_DW(f_RL(f_PW(F))))))

其中，f_PW和f_DW分别为逐点卷积PW(Pointwise Convolution)计算和深度卷积DW(Depthwise Convolution)计算，f_RL为ReLU6激活函数，f_Lb为Linear函数；

(2)、特征图F经过CBAM模块的操作过程分为两部分：

第一部分是通道注意力的操作过程。首先对输入特征图F进行全局平均池化和全局最大池化操作，得到两个一维特征向量；然后，将这两个特征向量送入共享的RepMLP网络进行计算；最后，将两个特征向量对应的元素相加，通过Sigmoid函数激活，得到通道注意力特征图MC：

MC(F)＝σ(f_RepMLP(f_avg(F))+f_RepMLP(f_max(F)))

其中f_avg表示平均池化函数，它关注特征图中每个像素的信息，f_maz表示最大池化函数，它关注梯度传播过程中响应最大的区域信息，f_RepMLP表示RepMLP网络，使用RepMLP网络来代替原公式中的MLP网络以捕捉到整张特征图空间上的特征，σ表示Sigmoid函数；

第二部分是空间注意操作过程，首先对F1在信道维度上进行平均池化和最大池化操作，然后将相应生成的两个二维映射进行拼接，然后对拼接后的特征图进行卷积，通过Sigmoid函数激活，输出空间注意力特征图MS：

MS(F1)＝σ(f_c(f_avg(F1),f_max(F1)))

因此，CBAM的运行过程可以表示为:

F2为CBAM模块输出的特征图；

(3)、特征图F经过通道注意力机制模块SE分为以下步骤：

步骤S1：输入特征图，它的维度是224×224×3；

步骤S2：对输入特征图进行空间特征压缩；在空间维度，实现全局平均池化，得到1×1×3的特征图；

步骤S3：对压缩后的特征图，进行通道特征学习；通过FC全连接层操作学习，得到具有通道注意力的特征图，特征图维度为1×1×3；

步骤S4：将具有通道注意力的特征图(1×1×3)、全局平均池化特征图(1×1×3)，进行逐通道乘以权重系数，最终通过Sigmoid函数激活，输出具有通道注意力的特征图F3；

在CICIDS2017数据集的入侵检测结果如表1所示：

表1：在CICIDS2017数据集的入侵检测结果

在CICIDS2017数据集的相关研究比较如表2所示：

表2：在CICIDS2017数据集的相关研究比较

步骤4：使用改进MobileNetV2模型对真实车联网入侵数据进行检测；

真实车联网入侵数据包括由韩国HCR实验室通过OBD-II端口记录真实车辆的CAN流量而构建。真实车联网的入侵检测结果如表3所示：

表3：真实车联网的入侵检测结果

本发明上述实施例，提出的改进MobileNetV2的车联网入侵检测方法具有检测攻击种类多、检测率高等优点。

以上仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (5)

1.一种基于改进MobileNetV2的车联网入侵检测方法，其特征在于，包括下列步骤：

步骤1：将入侵数据集进行数据预处理：使用分位数归一化和特征转换的方法将数据集转换为图像集；

步骤2：划分训练集与测试集，选取图像集中80％作为训练集，其余20％作为测试集；

步骤3：将图像训练集作为输入，由改进MobileNetV2模型进行训练，并通过图像测试集评估模型性能；

改进MobileNetV2模型包括：在步长为1的MobileNetV2反向残差块中，嵌入双重注意力机制模块；其中，双重注意力机制模块包括卷积块注意力模块CBAM(Convolutional BlockAttention Module)和通道注意力机制模块SE(Squeeze-and-excitation)，并行在每个反向残差块中，每个输出特征图F_out可表示为：

F_out＝F+F2+F3+F_m

其中F为输入特征图，F2为卷积块注意力模块CBAM输出的特征图，F3为通道注意力机制模块SE输出的特征图，F_m为在MobileNetV2反残差模块中输出的特征图；

步骤4：使用改进MobileNetV2模型对真实车联网入侵数据进行检测。

2.根据权利要求1所述的一种基于改进MobileNetV2的车联网入侵检测方法，其特征在于：所述步骤1中，选择CICIDS2017数据集对模型进行训练和测试；CICIDS2017数据集是目前最具代表性的网络入侵数据集，它包含了比其他入侵数据集更多的特征、实例和网络攻击类型；然后，将CICIDS2017数据集中的数据采用分位数归一化的方法转换到0-255的范围，使用特征转换的方法将数据分别转换为图像，且每幅图像均为具有R、G、B三个通道；为了满足模型训练条件，最后将图像大小改变为224×224。

3.根据权利要求1所述的一种基于改进MobileNetV2的车联网入侵检测方法，其特征在于：所述步骤2中，改进MobileNetV2模型，假设输入的特征图为F，则在MobileNetV2反残差模块中输出的特征图F_m为：

F_m＝f_Ln(f_PW(f_RL(f_DW(f_RL(f_PW(F))))))

其中，f_PW和f_DW分别为逐点卷积PW(Pointwise Convolution)计算和深度卷积DW(Depthwise Convolution)计算，f_RL为ReLU6激活函数，f_Ln为Linear函数。

4.根据权利要求1所述的一种基于改进MobileNetV2的车联网入侵检测方法，其特征在于：所述步骤2中，特征图F经过CBAM模块的操作过程分为两部分：

第一部分是通道注意力的操作过程。首先对输入特征图F进行全局平均池化和全局最大池化操作，得到两个一维特征向量；然后，将这两个特征向量送入共享的RepMLP网络进行计算；最后，将两个特征向量对应的元素相加，通过Sigmoid函数激活，得到通道注意力特征图MC：

MC(F)＝σ(f_RepMLP(f_avg(F))+f_RepMLP(f_max(F)))

其中f_avg表示平均池化函数，它关注特征图中每个像素的信息，f_max表示最大池化函数，它关注梯度传播过程中响应最大的区域信息，f_RepMLP表示RepMLP网络，使用RepMLP网络来代替原公式中的MLP网络以捕捉到整张特征图空间上的特征，σ表示Sigmoid函数；

第二部分是空间注意操作过程，首先对F1在信道维度上进行平均池化和最大池化操作，然后将相应生成的两个二维映射进行拼接，然后对拼接后的特征图进行卷积，通过Sigmoid函数激活，输出空间注意力特征图MS：

MS(F1)＝σ(f_c(f_avg(F1),f_max(F1)))

因此，CBAM的运行过程可以表示为:

F2为CBAM模块输出的特征图。

5.根据权利要求1所述的一种基于改进MobileNetV2的车联网入侵检测方法，其特征在于：所述步骤2中，特征图F经过通道注意力机制模块SE分为以下步骤：

步骤S1：输入特征图，它的维度是224×224×3；

步骤S2：对输入特征图进行空间特征压缩；在空间维度，实现全局平均池化，得到1×1×3的特征图；

步骤S3：对压缩后的特征图，进行通道特征学习；通过FC全连接层操作学习，得到具有通道注意力的特征图，特征图维度为1×1×3；

步骤S4：将具有通道注意力的特征图(1×1×3)、全局平均池化特征图(1×1×3)，进行逐通道乘以权重系数，最终通过Sigmoid函数激活，输出具有通道注意力的特征图F3。

Images