CN116756578B - 车辆信息安全威胁聚合分析预警方法及系统 - Google Patents
车辆信息安全威胁聚合分析预警方法及系统 Download PDFInfo
- Publication number
- CN116756578B CN116756578B CN202311054174.1A CN202311054174A CN116756578B CN 116756578 B CN116756578 B CN 116756578B CN 202311054174 A CN202311054174 A CN 202311054174A CN 116756578 B CN116756578 B CN 116756578B
- Authority
- CN
- China
- Prior art keywords
- feature
- vehicle information
- data
- feature vector
- information security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000004458 analytical method Methods 0.000 title claims abstract description 37
- 230000002776 aggregation Effects 0.000 title claims abstract description 25
- 238000004220 aggregation Methods 0.000 title claims abstract description 25
- 239000013598 vector Substances 0.000 claims abstract description 74
- 238000001514 detection method Methods 0.000 claims abstract description 46
- 238000012847 principal component analysis method Methods 0.000 claims abstract description 19
- 230000009467 reduction Effects 0.000 claims abstract description 15
- 238000006243 chemical reaction Methods 0.000 claims abstract description 12
- 238000012549 training Methods 0.000 claims abstract description 8
- 238000009826 distribution Methods 0.000 claims description 22
- 239000011159 matrix material Substances 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 12
- 238000010606 normalization Methods 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 9
- 230000005856 abnormality Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000010276 construction Methods 0.000 claims description 5
- 230000004913 activation Effects 0.000 claims description 4
- 238000003860 storage Methods 0.000 claims description 4
- 238000013459 approach Methods 0.000 claims description 3
- 230000008901 benefit Effects 0.000 abstract description 6
- 230000008569 process Effects 0.000 description 11
- 239000000243 solution Substances 0.000 description 8
- 230000000875 corresponding effect Effects 0.000 description 7
- 230000015654 memory Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000007774 longterm Effects 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000000513 principal component analysis Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000007476 Maximum Likelihood Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000011946 reduction process Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000036962 time dependent Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
- G06F18/2135—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods based on approximation criteria, e.g. principal component analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2431—Multiple classes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Abstract
本发明公开了一种车辆信息安全威胁聚合分析预警方法,包括以下步骤:构建车辆信息安全特征库;构建用于安全威胁分析的RNN模型并进行训练,得到训练好的RNN模型;将待测CAN数据进行十进制转换并进行标准化处理,再通过主成分分析方法进行特征降维,得到待测特征向量;将待测特征向量与车辆信息安全特征库中的特征向量进行匹配,若匹配成功,则输出检测结果;若匹配不成功,则将待测特征向量输入到RNN模型,得到五种检测分类结果中的一种。本发明结合了基于规则的特征库匹配检测方法和基于RNN的检测方法,旨在取两种方法各自的优点,提高车辆信息安全检测的准确性。
Description
技术领域
本发明涉及车载通信领域,尤其涉及一种车辆信息安全威胁聚合分析与预警方法及系统。
背景技术
车辆信息安全已成为汽车制造商和车主必须重视的重要问题,随着车辆智能化程度的提高,车辆信息系统的安全威胁也随之增加。现有车辆信息安全解决方案主要集中在网络安全、数据安全、应用安全等方面,但车辆信息安全事件聚合分析的研究相对较少。
现有车辆信息安全解决方案中,虽然存在一些相关研究,但主要集中在传统的网络安全、数据安全等方面,忽视了对车辆信息安全事件聚合分析的研究。传统的安全事件分析解决方案往往通过匹配单一攻击行为的特征值来分析安全事件,只考虑单一方面的安全问题,无法对车辆信息安全事件进行全面、多维度的聚合分析。
CAN总线容易受到诸如DoS、模糊、重播、欺骗和冒充攻击等网络攻击,比如USB固件更新、Over-the-Air (OTA)恶意更新、芯片调整、异常速度和RPM变化等攻击情景。基于工程实践经验和历史数据分析,攻击者的目标是CAN包频率或CAN负载,或两者都有。然而,由于CAN总线基础设施没有任何验证方法,因此总线可以被攻击者访问,插入恶意命令,并获取总线控制以发动更多的攻击。节点可以在不验证源的情况下处理通信,几乎所有现代车辆中提供的娱乐设施容易被攻击者利用,通过使用空中(OTA)升级单元执行恶意行动。这可能会导致车辆故障,并可能对行人、驾驶员和其他汽车构成致命的威胁。通过发送随机通信信息在IVNs上发动模糊攻击,迫使车辆出现故障或显示意想不到或不需要的行动。
发明内容
本发明主要目的在于提供一种通过捕捉CAN总线流量的变化提高安全威胁预警的车辆信息安全威胁聚合分析预警方法及系统。
本发明所采用的技术方案是:
提供一种车辆信息安全威胁聚合分析预警方法,包括以下步骤:
构建车辆信息安全特征库,该特征库中的特征样本获取步骤为:对一段时间内的原始CAN数据中的十六进制的元素转换为十进制,并进行数据的标准化处理,然后通过主成分分析方法进行特征降维,消除无关和冗余的特征,得到筛选后的主成分;将原始CAN数据投影到由主成分构成的新的特征空间,得到新的低维度数据,将低纬度数据的转置与主成分特征向量矩阵的转置相乘并投影,得到最终的特征向量,组成车辆信息安全特征库;
构建用于安全威胁分析的RNN模型并进行训练,其输入是车辆信息安全特征库中的特征向量,输出是异常和攻击检测的五种分类,包括正常、DoS、模糊、重播和其他,得到训练好的RNN模型;
将待测CAN数据进行十进制转换并进行标准化处理,再通过主成分分析方法进行特征降维,得到待测特征向量;
将待测特征向量与车辆信息安全特征库中的特征向量进行匹配,若匹配成功,则输出检测结果;
若匹配不成功,则将待测特征向量输入到RNN模型,得到五种检测分类结果中的一种。
接上述技术方案,主成分分析方法为改进的PCA方法,该改进的PCA方法基于特征向量的特征值大小,选择主要特征向量,通过加权权重增强主要特征向量,使其分布接近高斯分布,对于不在高斯分布内的值,将其替换为所有被替换值的均值。
接上述技术方案,数据的标准化处理具体为:
将十进制转换后的原始CAN数据进行特征缩放,具体将每个特征的均值均调整为0,标准差调整为1,使所有的特征都处在同样的尺度上。
接上述技术方案,该主成分分析方法中,具体通过协方差矩阵捕捉数据中特征之间的相关性。
接上述技术方案,该RNN模型包括输入层、三层具有不同个数的隐藏参数的全连接密集层、两层具有相同个数隐藏单元的LSTM层。
接上述技术方案,输入层以每个具有11个特征的40个连续CAN包为一个序列;三层全连接密集层分别具有256、512和1024个隐藏参数,并使用线性整流器单元(ReLU)作为激活函数;在每个全连接密集层之后,添加批标准化并应用不同的丢弃率;第五和第六层是每层具有512个隐藏单元的LSTM层;在两个LSTM层之间添加了层标准化。
本发明还提供一种车辆信息安全威胁聚合分析预警系统,包括:
特征库构建模块,用于构建车辆信息安全特征库,该特征库中的特征样本获取步骤为:对一段时间内的原始CAN数据中的十六进制的元素转换为十进制,并进行数据的标准化处理,然后通过主成分分析方法进行特征降维,消除无关和冗余的特征,得到筛选后的主成分;将原始CAN数据投影到由主成分构成的新的特征空间,得到新的低维度数据,将低纬度数据的转置与主成分特征向量矩阵的转置相乘并投影,得到最终的特征向量,组成车辆信息安全特征库;
RNN模型构建模块,用于构建用于安全威胁分析的RNN模型并进行训练,其输入是车辆信息安全特征库中的特征向量,输出是异常和攻击检测的五种分类,包括正常、DoS、模糊、重播和其他,得到训练好的RNN模型;
特征提取模块,用于将待测CAN数据进行十进制转换并进行标准化处理,再通过主成分分析方法进行特征降维,得到待测特征向量;
安全检测模块,用于将待测特征向量与车辆信息安全特征库中的特征向量进行匹配,若匹配成功,则输出检测结果;若匹配不成功,则将待测特征向量输入到RNN模型,得到五种检测分类结果中的一种。
接上述技术方案,主成分分析方法为改进的PCA方法,该改进的PCA方法基于特征向量的特征值大小,选择主要特征向量,通过加权权重增强主要特征向量,使其分布接近高斯分布,对于不在高斯分布内的值,将其替换为所有被替换值的均值。
接上述技术方案,RNN模型构建模块构建的RNN模型包括输入层、三层具有不同个数的隐藏参数的全连接密集层、两层具有相同个数隐藏单元的LSTM层。
本发明还提供一种计算机存储介质,其内存储有可被处理器执行的计算机程序,该计算机程序执行上述技术方案所述的车辆信息安全威胁聚合分析预警方法。
本发明产生的有益效果是:本发明的车辆信息安全威胁聚合分析预警方法主要被用于捕捉CAN总线数据流量的变化,通过构建的车辆信息安全特征库检测原始CAN数据中存在的安全威胁,且为了克服基于规则的安全特征库的检测程序的限制,使用神经网络RNN模型更好地进行CAN流量中的异常和攻击的补充检测。可见,本发明结合了基于规则的检测方法和基于RNN的检测方法,旨在取两种方法各自的优点,提高检测的准确性,从而提高整体的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的车辆信息安全威胁聚合分析预警方法流程图;
图2是本发明实施例的特征提取流程图;
图3是本发明实施例用于安全威胁分析的RNN模型结构示意图;
图4是本发明实施例聚合威胁分析系统架构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明实施例车辆信息安全威胁聚合分析预警方法,包括以下步骤:
S1、构建车辆信息安全特征库,该特征库中的特征样本获取步骤为:对一段时间内的原始CAN数据中的十六进制的元素转换为十进制,并进行数据的标准化处理,然后通过主成分分析方法进行特征降维,消除无关和冗余的特征,得到筛选后的主成分;将原始CAN数据投影到由主成分构成的新的特征空间,得到新的低维度数据,将低纬度数据的转置与主成分特征向量矩阵的转置相乘并投影,得到最终的特征向量,组成车辆信息安全特征库;
S2、构建用于安全威胁分析的RNN模型并进行训练,其输入是车辆信息安全特征库中的特征向量,输出是异常和攻击检测的五种分类,包括正常、DoS、模糊、重播和其他,得到训练好的RNN模型;
S3、将待测CAN数据进行十进制转换并进行标准化处理,再通过主成分分析方法进行特征降维,得到待测特征向量;
S4、将待测特征向量与车辆信息安全特征库中的特征向量进行匹配,若匹配成功,则输出检测结果;
S5、若匹配不成功,则将待测特征向量输入到RNN模型,得到五种检测分类结果中的一种。
本发明在车辆信息网络中进行特征提取的目标是确定那些对识别或预测车辆网络中的异常行为或攻击最有影响的特征。特征库的建立是为了将不同已知的攻击方式同所提取的特征联系起来。本发明通过该特征库最终确定了一些重要的特征维度,内置一些预设规则,对特定的攻击场景进行识别和告警,从而增强检测的可靠性。
CAN总线容易受到诸如DoS、模糊、重播、欺骗和冒充攻击等网络攻击,因此本发明设计的安全威胁聚合分析系统主要被用于捕捉CAN总线流量的变化。
CAN帧在一个类似数据库的文件中定义了特定的消息结构,这个文件被称为CAN数据库(DBC)文件。这是车辆制造商的机密专有信息,包含了与ECUs、CAN消息、信号、消息ID、消息频率以及CAN帧负载相关的特定车辆的所有必要信息。此外,DBC文件指定CAN ID是周期性的还是事件驱动的。
安全信息特征库包含了多种安全威胁对应多个特征向量,在安全系统运行过程中,按照预先设定的频率与检测时域,每隔一段时间后对收集的数据进行特征提取,基于车辆实际安全情况对提取的特征向量建立标签,最后将标签及数据收入到安全信息特征库,用于系统后续进行安全检测 。
具体地,通过对一段时间内的原始CAN数据进行特征提取,基于转化后的特征向量构建安全信息特征库。该一段时间主要指的是检测时域,并不是构建特征库的所有时间,在安全系统运行过程中,特征库的构建是不断自进化地动作,随着系统的运行,该特征库会不断地更新。如图2所示,特征提取的步骤包括特征转换、特征降维、数据投影。
假设采样时长为3s,数据样本如下表1所示:
表1 CAN数据样本(十六进制)
其中时间戳:记录时间;ID:十六进制 CAN 报文的标识符(例如 0x0000043f);;DLC:数据字节数,从0到8;有效负载:数据值(字节)。如果DLC的值为8,则表示有效负载的长度为8字节。在这种情况下,有效载荷示例为“7F 00 00 00 00 00 1F FF ”;标签:1.0或0.0,1.0表示注入的攻击和攻击类型,而0.0表示正常消息。上述数据样本是真实数据的简化版本,其作为样例讲解专利内容。
特征转换将任何类别特征转换为缩放的数字属性/特征。这是因为本发明提出的入侵检测方法只能使用具有数值的特征。CAN数据中包含了十六进制的元素,为了使其能够进行矩阵转换运算,需要将十六进制的相关数据转化为十进制,如下表2所示。
表2 CAN数据样本(十进制)
特征降维从数据集中消除无关和冗余的特征。本发明利用主成分分析方法(Principal Component Analysis,PCA),因为它可以从多元和复杂的数据中挖掘出未知的隐藏元素,同时还保留数据集的原始特征。总的来说,PCA是一种线性方法,用于降低维度,并在线性形式的转换下,将实际数据投射到新的坐标系统中。输入数据集中的每个样本都从维空间映射到/>维的子空间,其中/>。这个/>子空间生成了一组新的/>维度,称为主要元素。这些元素按照方差值的降序排列,即第一个元素具有最大的方差,每个元素在第一个元素之后都具有小于前一个元素的方差。PCA适合处理非高斯性质的数据(这是网络数据和IVNs的标准),因此,选择PCA进行特征减少过程。
在PCA应用之前,通常需要对数据进行标准化处理。这是因为PCA对数据尺度敏感。在这个步骤中,每个特征的均值被调整为0,标准差被调整为1。数据标准化也称为特征缩放。在该过程中,所有特征的平均值(均值)都被移除,使得新的特征均值为0,然后所有特征的标准差都被调整为1,这使得所有的特征都处在同样的尺度上。例如,假设有一个包含三个观测值的数据集,其中一个特征(称之为A)的值为。这个特征A的均值为2,标准差为1。为了将这个特征标准化,需要对每个观测值减去均值(也就是2)然后除以标准差(也就是1)。所以,标准化后的特征A的值为/>,新的均值为0,标准差为1。这样做的目的在于消除不同特征之间的量纲和量级的影响。如果数据集中包含有不同尺度或者单位的特征,例如一个特征是时间戳,另一个特征是CANID,这两个特征的尺度和单位都完全不同。在进行PCA或者其他需要计算特征间关系的机器学习算法时,如果不进行标准化,可能会由于尺度或单位的原因导致某一特征对结果的影响过大。而进行了标准化处理后,所有特征都在同一尺度上,算法可以公正地看待每一个特征。
协方差矩阵可以捕捉数据中特征之间的相关性。在协方差矩阵中,每个元素表示两个特征之间的协方差。对角线上的元素则表示每个特征与自身的协方差(即方差)。计算,以分类含有冗余数据的高度相关的特征。/>的代表方程表示为,
其中表示协方差矩阵,/>是对应于特征值/>的特征向量。特征向量(也被称为主成分)表示数据的主要方向,特征值表示这些方向的重要性(即这些方向解释的数据变异性的大小)。按照特征值从大到小的顺序,选择前k个特征向量作为主成分。这些主成分构成了一个新的特征空间,它们是原始数据特征的线性组合,并且可以解释大部分的数据变异性。计算协方差的/>和特征值,以定义主要元素。/>是根据特征值获得的。一般来说,会选择能解释大部分数据方差的前N个主成分。这些主成分对应于协方差矩阵的最大特征值。为了减小特征大小,将删除较小的特征值。生成一个特征向量(FV)矩阵,忽略较小的特征值以减小数据维度。在不同工况下,同一个坐标对应的特征值可能会有所不同,比如在某些攻击方式中CAN报文之间的时间间隔是一种重要的评价指标,此时计算后得到时间的特征值会更大,但在另外一些攻击方式中数据有效载荷又是一种重要的评价指标,此时有效载荷对应的特征值会更大,因此原始特征向量对应的特征值大小不是一成不变的。
最后一步是将原始数据(即原始CAN报文数据)投影到由主成分构成的新的特征空间,从而得到新的低维度数据(即通过预先设定的特征值阈值,将部分未达到阈值条件的特征值从特征向量矩阵中删除,最后通过实际CAN报文组成的矩阵与该特征向量矩阵相乘,将不满足阈值条件的数据删除,从而达到数据筛选的目的,得到了更低维度的数据)。通过转置实际数据并与FV的转置相乘,投影主元坐标。
特征标准化将特征标度到一个特定的范围,以提高所提出方法的性能。每个特征的值需要被标度到一个确定的系列(例如,)。这是为了移除原始数据的较大波动,而不改变其统计特性。标准化过程后的值将被规范化,具有标准正态分布特性,其中/>和。样本的平均计数是通过以下方式计算的:
这样,就通过PCA完成了从CAN数据中提取高维信息特征的过程,将高维的原始数据转换成了低维的新数据,且新的低维数据能够尽可能保留原始数据的变异性。
由于在车载通信领域中CAN报文中的数据分布不符合高斯分布,因此使用一般PCA方法得到的特征向量往往不会服从高斯分布,因此基于一般PCA方法得到的特征向量对异常值较敏感,基于这些特征向量的统计参数也会与真值偏差较大。本发明提出了改进的PCA方法。基于特征向量的特征值大小,选择主要特征向量,然后通过加权权重增强这些向量,使其分布接近高斯分布,对于不在高斯分布内的值,将其替换为所有被替换值的均值,以减少异常值对特征匹配的影响,同时也避免基于数据驱动的安全威胁分析模型过拟合。
特征向量增强为服从高斯分布的过程表达为以下公式:
其中是基于选择的特征向量进行最大似然估计的求解值,/>是待增强的特征向量。经过数据增强后的特征向量分布接近于高斯分布,有效减少异常值或离群点对特征匹配产生影响,同时提高了后续安全威胁分析模型的检测能力。
将车辆一段时间内的CAN数据转化为一个基于时间的集合,其中每个/>是由单个报文组成的向量,其中包括了时间戳、CAN ID、DLC和数据有效载荷。经过上述改进PCA计算后得到新的特征向量/>,组成了新的集合。将该特征集合/>与标签对应的攻击方式按json数据格式保存,构成车辆信息安全特征库。
为了克服基于规则的检测程序的限制,本发明使用神经网络更好地推广CAN流量中的异常和攻击的检测。考虑到RNN能够成功地模拟各种分类和预测应用的时间依赖数据序列,用CAN数据集训练了RNN模型。并且将异常和攻击检测构造为多类分类问题:正常、DoS、模糊、重播和其他,其中RNN的输入是进行特征提取后的特征向量。对于输入中选择的特征,使用了以下属性:ID,DLC和数据负载。
CAN(控制器局域网络)数据是一种时间序列数据,其中每个数据包的信息依赖于先前的数据包。这种数据类型适合使用RNN处理,因为RNNs设计用于处理序列数据,能捕获随时间变化的模式。网络攻击类型多样且复杂,仅仅通过规则或特征工程往往难以完全覆盖所有可能的攻击模式。相比之下,RNN通过从数据中学习可以提取潜在的模式,并对未知或变化的攻击有更好的泛化能力。在CAN数据中,一些攻击可能不仅仅依赖于最近的几个数据包,而且可能依赖于更早之前的数据包。这种长期依赖性是RNN,特别是LSTM模型擅长捕捉的。该RNN模型的输出,其中/>是总攻击类型的数量。
图3中展示了RNN的详细结构,其使用了带有长短期记忆(LSTM)的全连接密集层。输入层以每个具有11个特征的40个连续CAN包为一个序列。接下来的三层是分别具有256、512和1024个隐藏参数的全连接密集层,并使用线性整流器单元(ReLU)作为激活函数。在每个密集层之后,添加了批标准化并应用了不同的丢弃率。第五和第六层是每层具有512个隐藏单元的LSTM层。在两个LSTM层之间,添加了层标准化,即将层中的所有神经元的激活值进行归一化,使其在整个数据集中具有零均值和单位方差。通过添加层标准化可以加速神经网络的训练,提高模型的稳定性,并有助于减少梯度消失或梯度爆炸的问题。另外,还在全连接的密集层和LSTM层均应用了一个/>正则化器。该正则化器主要用于防止模型过拟合的技术,L2正则化的工作原理是在模型的损失函数中添加一个项,这个项是模型权重的平方之和的乘积与一个超参数。这个额外的项可以鼓励模型使用更小的权重,从而使模型更简单,减少过拟合的可能性,超参数的选择将决定正则化的强度。最终的输出层有5个类,可以从正常、DoS、模糊、重播攻击、和其他类中进行分类。可将这个分类任务构造为一个最大化问题,在等式中进行公式化:
其中,是输入样本,/>是真实标签,/>是先验概率,/>是似然概率。
在等式中公式化可基于RNN方法的决策条件:
网络的输出是CAN数据包所属的分类,可以用于识别正常数据包和各种网络攻击。这种分类结果可以直接应用于网络安全防御,为防御系统提供实时、有效的决策依据。
CAN网络中的数据包包含时序信息,例如数据包之间的时间间隔和每个数据包的发送时间。由于这些时间序列数据可能对于理解和预测网络行为(例如检测异常或攻击)至关重要,所以使用LSTM处理这种时序数据非常有用,因为LSTM能够学习和记忆长期依赖性。同时,CAN数据包中的其他信息(例如ID,DLC,数据负载等)可能具有重要的局部模式,全连接层可以有效地学习这些局部模式。因此,这种结合有助于模型更好地理解和预测CAN网络的行为。模型结合了全连接层和LSTM层。全连接层用于学习数据中的局部模式,而LSTM层用于处理序列数据,并捕获长期的依赖性。这种设计有效地利用了两种类型的网络层的优点。
RNN模型结合了全连接层和LSTM层。全连接层用于学习数据中的局部模式,而LSTM层用于处理序列数据,并捕获长期的依赖性。这种设计有效地利用了两种类型的网络层的优点。模型在各层中应用了正则化技术(例如L2正则化)和优化技术(例如批量归一化、层归一化和丢弃率),这些都可以帮助模型防止过拟合,提高模型的泛化能力和稳定性。
基于安全威胁特征库检测的方法对已知的安全威胁具有较好的防御检测能力,但适应能力差,无法对未知的威胁进行排查。基于深度学习的安全检测方法对未知的威胁具有较强的扩展推广能力,但稳定性与可靠性较差。因此,本发明提出的方法结合了基于规则的检测方法和基于RNN的检测方法,旨在取两种方法各自的优点,提高检测的准确性。通过这种方法,可以提高模型对各种攻击类型的检测效果,从而提高整体的安全性。
为了实现上述方法实施例,本发明提供了车辆信息安全威胁聚合分析预警系统,该系统包括:
特征库构建模块,用于构建车辆信息安全特征库,该特征库中的特征样本获取步骤为:对一段时间内的原始CAN数据中的十六进制的元素转换为十进制,并进行数据的标准化处理,然后通过主成分分析方法进行特征降维,消除无关和冗余的特征,得到筛选后的主成分;将原始CAN数据投影到由主成分构成的新的特征空间,得到新的低维度数据,将低纬度数据的转置与主成分特征向量矩阵的转置相乘并投影,得到最终的特征向量,组成车辆信息安全特征库;
RNN模型构建模块,用于构建用于安全威胁分析的RNN模型并进行训练,其输入是车辆信息安全特征库中的特征向量,输出是异常和攻击检测的五种分类,包括正常、DoS、模糊、重播和其他,得到训练好的RNN模型;
特征提取模块,用于将待测CAN数据进行十进制转换并进行标准化处理,再通过主成分分析方法进行特征降维,得到待测特征向量;
安全检测模块,用于将待测特征向量与车辆信息安全特征库中的特征向量进行匹配,若匹配成功,则输出检测结果;若匹配不成功,则将待测特征向量输入到RNN模型,得到五种检测分类结果中的一种。
各个模块主要用于实现上述实施例的方法,在此不赘述。
本申请还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质被处理器执行时实现方法实施例的车辆信息安全威胁聚合分析预警方法。
需要指出,根据实施的需要,可将本申请中描述的各个步骤/部件拆分为更多步骤/部件,也可将两个或多个步骤/部件或者步骤/部件的部分操作组合成新的步骤/部件,以实现本发明的目的。
上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (10)
1.一种车辆信息安全威胁聚合分析预警方法,其特征在于,包括以下步骤:
构建车辆信息安全特征库,该特征库用于将不同已知的攻击方式同所提取的特征联系起来,对特定的攻击场景进行识别;该特征库中的特征样本获取步骤为:对一段时间内的原始CAN数据中的十六进制的元素转换为十进制,并进行数据的标准化处理,然后通过主成分分析方法进行特征降维,消除无关和冗余的特征,得到筛选后的主成分;将原始CAN数据投影到由主成分构成的新的特征空间,得到新的低维度数据,将低纬度数据的转置与主成分特征向量矩阵的转置相乘并投影,得到最终的特征向量,组成车辆信息安全特征库;
构建用于安全威胁分析的RNN模型并进行训练,其输入是车辆信息安全特征库中的特征向量,输出是异常和攻击检测的五种分类,包括正常、DoS、模糊、重播和其他,得到训练好的RNN模型;
将待测CAN数据进行十进制转换并进行标准化处理,再通过主成分分析方法进行特征降维,得到待测特征向量;
将待测特征向量与车辆信息安全特征库中的特征向量进行匹配,若匹配成功,则输出检测结果;
若匹配不成功,则将待测特征向量输入到RNN模型,得到五种检测分类结果中的一种。
2.根据权利要求1所述的车辆信息安全威胁聚合分析预警方法,其特征在于,主成分分析方法为改进的PCA方法,该改进的PCA方法基于特征向量的特征值大小,选择主要特征向量,通过加权权重增强主要特征向量,使其分布接近高斯分布,对于不在高斯分布内的值,将其替换为所有被替换值的均值。
3.根据权利要求1所述的车辆信息安全威胁聚合分析预警方法,其特征在于,数据的标准化处理具体为:
将十进制转换后的原始CAN数据进行特征缩放,具体将每个特征的均值均调整为0,标准差调整为1,使所有的特征都处在同样的尺度上。
4.根据权利要求1所述的车辆信息安全威胁聚合分析预警方法,其特征在于,该主成分分析方法中,具体通过协方差矩阵捕捉数据中特征之间的相关性。
5.根据权利要求1所述的车辆信息安全威胁聚合分析预警方法,其特征在于,该RNN模型包括输入层、三层具有不同个数的隐藏参数的全连接密集层、两层具有相同个数隐藏单元的LSTM层。
6.根据权利要求5所述的车辆信息安全威胁聚合分析预警方法,其特征在于,输入层以每个具有11个特征的40个连续CAN包为一个序列;三层全连接密集层分别具有256、512和1024个隐藏参数,并使用线性整流器单元ReLU作为激活函数;在每个全连接密集层之后,添加批标准化并应用不同的丢弃率;第五和第六层是每层具有512个隐藏单元的LSTM层;在两个LSTM层之间添加了层标准化。
7.一种车辆信息安全威胁聚合分析预警系统,其特征在于,包括:
特征库构建模块,用于构建车辆信息安全特征库,该特征库用于将不同已知的攻击方式同所提取的特征联系起来,对特定的攻击场景进行识别;该特征库中的特征样本获取步骤为:对一段时间内的原始CAN数据中的十六进制的元素转换为十进制,并进行数据的标准化处理,然后通过主成分分析方法进行特征降维,消除无关和冗余的特征,得到筛选后的主成分;将原始CAN数据投影到由主成分构成的新的特征空间,得到新的低维度数据,将低纬度数据的转置与主成分特征向量矩阵的转置相乘并投影,得到最终的特征向量,组成车辆信息安全特征库;
RNN模型构建模块,用于构建用于安全威胁分析的RNN模型并进行训练,其输入是车辆信息安全特征库中的特征向量,输出是异常和攻击检测的五种分类,包括正常、DoS、模糊、重播和其他,得到训练好的RNN模型;
特征提取模块,用于将待测CAN数据进行十进制转换并进行标准化处理,再通过主成分分析方法进行特征降维,得到待测特征向量;
安全检测模块,用于将待测特征向量与车辆信息安全特征库中的特征向量进行匹配,若匹配成功,则输出检测结果;若匹配不成功,则将待测特征向量输入到RNN模型,得到五种检测分类结果中的一种。
8.根据权利要求7所述的车辆信息安全威胁聚合分析预警系统,其特征在于,主成分分析方法为改进的PCA方法,该改进的PCA方法基于特征向量的特征值大小,选择主要特征向量,通过加权权重增强主要特征向量,使其分布接近高斯分布,对于不在高斯分布内的值,将其替换为所有被替换值的均值。
9.根据权利要求7所述的车辆信息安全威胁聚合分析预警系统,其特征在于,RNN模型构建模块构建的RNN模型包括输入层、三层具有不同个数的隐藏参数的全连接密集层、两层具有相同个数隐藏单元的LSTM层。
10.一种计算机存储介质,其特征在于,其内存储有可被处理器执行的计算机程序,该计算机程序执行权利要求1-6中任一项所述的车辆信息安全威胁聚合分析预警方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311054174.1A CN116756578B (zh) | 2023-08-21 | 2023-08-21 | 车辆信息安全威胁聚合分析预警方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311054174.1A CN116756578B (zh) | 2023-08-21 | 2023-08-21 | 车辆信息安全威胁聚合分析预警方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116756578A CN116756578A (zh) | 2023-09-15 |
| CN116756578B true CN116756578B (zh) | 2023-11-03 |
Family
ID=87955579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311054174.1A Active CN116756578B (zh) | 2023-08-21 | 2023-08-21 | 车辆信息安全威胁聚合分析预警方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116756578B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978567A (zh) * | 2015-06-11 | 2015-10-14 | 武汉大千信息技术有限公司 | 基于场景分类的车辆检测方法 |
| CN108469806A (zh) * | 2018-03-26 | 2018-08-31 | 重庆邮电大学 | 交替式人机共驾中驾驶权转移方法 |
| CN109067773A (zh) * | 2018-09-10 | 2018-12-21 | 成都信息工程大学 | 一种基于神经网络的车载can网络入侵检测方法及系统 |
| CN110689053A (zh) * | 2019-09-10 | 2020-01-14 | 苏州浪潮智能科技有限公司 | 样本数据的处理方法和计算机存储介质 |
| CN111245833A (zh) * | 2020-01-13 | 2020-06-05 | 暨南大学 | 一种车辆入侵检测方法及装置 |
| CN111753550A (zh) * | 2020-06-28 | 2020-10-09 | 汪秀英 | 一种自然语言的语义解析方法 |
| CN112061136A (zh) * | 2020-08-26 | 2020-12-11 | 西北工业大学 | 基于长短期记忆网络的司机驾驶行为自动化分析方法 |
| CN112671701A (zh) * | 2020-11-03 | 2021-04-16 | 北京航空航天大学合肥创新研究院 | 基于车载网络异常行为特征驱动的车载终端入侵检测方法 |
| CN114692983A (zh) * | 2022-04-02 | 2022-07-01 | 北京信息科技大学 | 一种特种车辆自动换挡预测方法及系统 |
| CN114936593A (zh) * | 2022-04-28 | 2022-08-23 | 安徽知陉智能科技有限公司 | 基于深度归一化自连接脉冲神经网络的汽车入侵检测方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9679476B2 (en) * | 2013-12-18 | 2017-06-13 | Intel Corporation | Aggregated analytics for intelligent transportation systems |
| US11181486B2 (en) * | 2019-12-18 | 2021-11-23 | Origin Wireless, Inc. | Method, apparatus, and system for wireless material sensing |
| US11538287B2 (en) * | 2019-09-20 | 2022-12-27 | Sonatus, Inc. | System, method, and apparatus for managing vehicle data collection |
| US11687497B2 (en) * | 2020-07-21 | 2023-06-27 | Akamai Technologies Inc. | Learning-based storage reduction in an overlay network |
-
2023
- 2023-08-21 CN CN202311054174.1A patent/CN116756578B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978567A (zh) * | 2015-06-11 | 2015-10-14 | 武汉大千信息技术有限公司 | 基于场景分类的车辆检测方法 |
| CN108469806A (zh) * | 2018-03-26 | 2018-08-31 | 重庆邮电大学 | 交替式人机共驾中驾驶权转移方法 |
| CN109067773A (zh) * | 2018-09-10 | 2018-12-21 | 成都信息工程大学 | 一种基于神经网络的车载can网络入侵检测方法及系统 |
| CN110689053A (zh) * | 2019-09-10 | 2020-01-14 | 苏州浪潮智能科技有限公司 | 样本数据的处理方法和计算机存储介质 |
| CN111245833A (zh) * | 2020-01-13 | 2020-06-05 | 暨南大学 | 一种车辆入侵检测方法及装置 |
| CN111753550A (zh) * | 2020-06-28 | 2020-10-09 | 汪秀英 | 一种自然语言的语义解析方法 |
| CN112061136A (zh) * | 2020-08-26 | 2020-12-11 | 西北工业大学 | 基于长短期记忆网络的司机驾驶行为自动化分析方法 |
| CN112671701A (zh) * | 2020-11-03 | 2021-04-16 | 北京航空航天大学合肥创新研究院 | 基于车载网络异常行为特征驱动的车载终端入侵检测方法 |
| CN114692983A (zh) * | 2022-04-02 | 2022-07-01 | 北京信息科技大学 | 一种特种车辆自动换挡预测方法及系统 |
| CN114936593A (zh) * | 2022-04-28 | 2022-08-23 | 安徽知陉智能科技有限公司 | 基于深度归一化自连接脉冲神经网络的汽车入侵检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116756578A (zh) | 2023-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yang et al. | MTH-IDS: A multitiered hybrid intrusion detection system for internet of vehicles | |
| Disha et al. | Performance analysis of machine learning models for intrusion detection system using Gini Impurity-based Weighted Random Forest (GIWRF) feature selection technique | |
| CN111914256B (zh) | 一种机器学习训练数据受投毒攻击的防御方法 | |
| US11494496B2 (en) | Measuring overfitting of machine learning computer model and susceptibility to security threats | |
| Wang et al. | Processing of massive audit data streams for real-time anomaly intrusion detection | |
| Park et al. | An enhanced AI-based network intrusion detection system using generative adversarial networks | |
| CN111709028B (zh) | 一种网络安全状态评估和攻击预测方法 | |
| CN111652290B (zh) | 一种对抗样本的检测方法及装置 | |
| Wang et al. | A clustering algorithm for intrusion detection | |
| CN112734000A (zh) | 一种入侵检测方法、系统、设备及可读存储介质 | |
| US11658989B1 (en) | Method and device for identifying unknown traffic data based dynamic network environment | |
| CN110276195A (zh) | 一种智能设备入侵检测方法、设备及存储介质 | |
| Ding et al. | Efficient BiSRU combined with feature dimensionality reduction for abnormal traffic detection | |
| Lagraa et al. | Real-time attack detection on robot cameras: A self-driving car application | |
| Chen et al. | Network anomaly detection based on deep support vector data description | |
| Zhang et al. | Many-objective optimization based intrusion detection for in-vehicle network security | |
| Wang et al. | An evolutionary computation-based machine learning for network attack detection in big data traffic | |
| Werner et al. | Near real-time intrusion alert aggregation using concept-based learning | |
| CN116756578B (zh) | 车辆信息安全威胁聚合分析预警方法及系统 | |
| Van et al. | A Combination of Temporal Sequence Learning and Data Description for Anomaly-based NIDS | |
| Hashemi et al. | Runtime monitoring for out-of-distribution detection in object detection neural networks | |
| Flores et al. | Network anomaly detection by continuous hidden markov models: An evolutionary programming approach | |
| Jaiyen et al. | A new incremental decision tree learning for cyber security based on ilda and mahalanobis distance | |
| CN113536299A (zh) | 一种基于贝叶斯神经网络的入侵检测系统的设计方法 | |
| Kaiser | Cognitive discriminative feature selection using variance fractal dimension for the detection of cyber attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |