一种基于信息熵的CAN总线异常检测方法技术

本发明专利技术公开了一种基于信息熵的CAN总线异常检测方法，包括以下步骤：建立基线样本库；采集待测CAN总线报文并对报文数据进行预处理；对处理后的报文数据进行信息熵值计算、相对距离计算；将计算得到的熵值和相对距离与基线数据库进行对比分析，检测是否出现异常。本发明专利技术通过正常车载CAN总线网络的报文数据得到基线样本库，作为判断总线网络是否出现异常的基线；在检测时，对待检测的车载CAN总线网络数据进行统计分析，计算当前总线网络的信息熵和相对距离，通过信息熵和相对距离的变化趋势来检测当前CAN总线网络中是否出现异常，本发明专利技术能够检测车载CAN总线重放等攻击，检测精准，易于工程实现。

AN Bus Anomaly Detection Method Based on Information Entropy

The invention discloses an anomaly detection method of CAN bus based on information entropy, which includes the following steps: establishing baseline sample library; collecting and preprocessing the CAN bus message to be tested; calculating the information entropy value and relative distance of the processed message data; comparing the calculated entropy value and relative distance with the baseline database to detect whether it can be detected or not. Abnormal now. The invention obtains the baseline sample library from the message data of normal vehicle CAN bus network as the baseline for judging whether the bus network is abnormal or not; when detecting, the data of the detected vehicle CAN bus network are statistically analyzed, the information entropy and relative distance of the current bus network are calculated, and the change trend of the information entropy and relative distance is used to detect whether the current CAN bus network is abnormal or not. Whether there is any abnormality, the invention can detect attacks such as replay of CAN bus on vehicle, and the detection is accurate and easy to realize in engineering.

【技术实现步骤摘要】
一种基于信息熵的CAN总线异常检测方法
本专利技术涉及CAN总线通信安全
，具体地，涉及一种基于信息熵的CAN总线异常检测方法。
技术介绍
汽车的智能化、网络化使得汽车内部电子设备数量迅速增加，电控系统日益复杂，车载电子设备、电控单元与外界的信息交互也越来越多，而这些车载电子设备、电控单元绝大部分都连接到了汽车内部的总线网络，来自网络的安全威胁会通过汽车与外部的接口渗透到关键的车载总线网络系统。现有的车载总线网络在设计和应用的过程中从来没有考虑过信息安全问题，仅有基本的完整性检查，严重缺乏信息安全防护技术和手段。网联汽车作为移动的信息系统，其信息安全问题的研究工作具有重要的意义，主要可体现在：(1)网联汽车的信息交互涉及到车与互联网、车与车、车与基础设施、车载总线网络等多网融合的数据交换，计算机网络安全的分析方法和防护手段不能直接用于网联汽车的信息安全问题。分析网联汽车的信息安全问题和研究适合车载总线网络的安全防护技术具有十分重要的现实意义；(2)国外对汽车信息安全及车载总线安全的研究工作已经展开，而国内相关的汽车信息安全，特别是车载总线信息安全的研究成果仍然鲜见；(3)网联汽车的信息安全问题不只是隐私泄露，而且涉及到生命财产的安全。为防止汽车信息安全漏洞危害到车辆驾乘者的人身、财产和隐私安全，避免危害公共交通安全，对于网联汽车的信息安全问题应给予足够的重视；(4)安全的网络通信是网联汽车发展的基础，汽车信息安全问题是汽车行业必须面对和解决的任务，分析网联汽车的信息安全问题，研究车载总线网络的信息安全防护技术是汽车研究领域及产业领域的共同需求。因此，研究网联汽车网络信息安全问题具有十分重要的意义，研究适合车载总线网络的信息安全防护技术迫在眉睫。现有的CAN总线异常检测为一般采用更改汽车网关的软硬件设计，成本较高；且针对网联汽车的检测方法，计算量大，实现困难。重放攻击是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。
技术实现思路
为了解决上述技术问题，本专利技术提供一种算法简单、检测精确的基于信息熵的CAN总线异常检测方法。本专利技术解决上述问题的技术方案是：一种基于信息熵的CAN总线异常检测方法，包括以下步骤：步骤一：建立基线样本库；步骤二：采集待测CAN总线报文并对报文数据进行预处理；步骤三：对处理后的报文数据进行信息熵值计算、相对距离计算；步骤四：将计算得到的熵值和相对距离与基线数据库进行对比分析，检测是否出现异常。上述基于信息熵的CAN总线异常检测方法，所述步骤一中，建立基线样本库的具体步骤包括：1-1)采集模拟真实环境下的CAN总线网络中的报文作为原始数据；1-2)对原始数据进行预处理，统计出单位时间内报文流量、报文自信息；1-3)对预处理后的数据进行熵值确定、阈值确定和相对距离确定；1-4)得到基线样本库。上述基于信息熵的CAN总线异常检测方法，所述步骤1-3)中，熵值确定的具体步骤为：令E表示为T时间内出现的n种不同标识符的CAN报文消息集合，其中E＝{ε1,ε2,...,εn}，{C1,C2，...,Cn}为T时间内出现的n种不同标识符的CAN报文的发送周期；时间T内总线的CAN报文消息的总数为:第i种报文εi，在T时间内发送的数量ni为第i种报文，在T时间内出现的概率p(εi)表示为：显然有定义第i种消息的不确定性为消息i的自信息I(εi)则在时间T内CAN总线的信息熵定义为消息的平均不确定性，即为自信息的数学期望:上述基于信息熵的CAN总线异常检测方法，所述步骤1-3)中，相对距离确定的具体步骤为：定义第i种报文在两个相邻T时间段消息集合的相对距离在重放攻击场景下，在重放攻击场景下，第i种报文的相对距离进一步地，阈值D为0.01～0.02，网络正常检测的范围是(H(E)-D/2,H(E)+D/2)，超过此范围的总线信息熵将判定为异常。上述基于信息熵的CAN总线异常检测方法，所述步骤四中，通过信息熵和相对距离的变化趋势来判断是否出现异常。进一步地，具体判断方法包括依据Ⅰ：当CAN总线系统信息熵增加，判断在原始报文基础上，CAN总线中出现新的报文消息，CAN总线异常。进一步地，具体判断方法包括依据Ⅱ：当相对距离得到正值的变化趋势，判断CAN总线中出现被重放的报文消息；当得到负值的变化趋势，判断该消息的重放消失；当相对距离不变时，判断该消息没有被重放。与现有技术相比，本专利技术的有益效果在于：本专利技术通过正常车载CAN总线网络的报文数据得到基线样本库，作为判断总线网络是否出现异常的基线；在检测时，巧妙地利用了CAN总线异常时信息熵和相对距离的变化规律，对待检测的车载CAN总线网络数据进行统计分析，计算当前总线网络的信息熵和相对距离，通过信息熵和相对距离的变化趋势来检测当前CAN总线网络中是否出现异常，本专利技术具体地能够检测车载CAN重放等攻击，并且达到预期检测效果，检测准确度高。附图说明图1为本专利技术标定阶段的流程图。图2为本专利技术检测阶段的流程图。具体实施方式附图仅用于示例性说明，不能理解为对本专利的限制；为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本专利技术的具体含义。下面结合附图和实施例对本专利技术的技术方案做进一步的说明。实施例1本实施例提供一种基于信息熵的CAN总线异常检测方法，包括以下步骤：步骤一.建立基线样本库；步骤二.采集待测CAN总线报文并对报文数据进行预处理；步骤三.对处理后的报文数据进行信息熵值计算、相对距离计算；步骤四.将计算得到的熵值和相对距离与基线数据库进行对比分析，检测是否出现异常。具体地，其中，步骤一为标定阶段。如图1所示，步骤一具体包括以下步骤：1-1)采集模拟真实环境下的CAN总线网络中的报文作为原始数据。1-2)对原始数据进行预处理，统计出单位时间内报文流量、报文自信息。1-3)对预处理后的数据进行熵值确定、阈值确定和相对距离确定。其中，熵值确定的具体步骤为：假设CAN总线在时间T内的负载适中，所有消息都能在规定时间内发送完成，那么，T时间内CAN总线消息的数量可以由报文周期和时间长度得到。令E表示为T时间内出现的n种不同标识符的CAN报文消息集合，其中E＝{ε1,ε2,...,εn}，{C1,C2，...,Cn}为T时间内出现的n种不同标识符的CAN报文的发送周期；在理想情况下，时间T内总线的CAN报文消息的总数为:第i种报文εi，在T时间内发送的数量ni为第i种报文，在T时间内出现的概率p(εi)表示为：显然有定义第i种消息的不确定性为消息i的自信息I(εi)则在时间T内CAN总线的信息熵定义为消息的平均不确定性，即为自信息的数学期望:本实施例中阈值D为0.01～0.02，则网络正常检测的范围是(H(E)-D/2,H(E)+D/2)，判断信息熵值是否属于此范围，以作为判断基线样本库中信息熵值正常与否的依据。相对距离确定的具体步骤为：定义第i种报文在两个相邻T时间段消息集合的相对距离在重放攻击场景下，在重放攻击场景下，第i种报文的相对距离1-4)得到基本文档来自技高网...

【技术保护点】
1.一种基于信息熵的CAN总线异常检测方法，其特征在于，包括以下步骤：步骤一.建立基线样本库；步骤二.采集待测CAN总线报文并对报文数据进行预处理；步骤三.对处理后的报文数据进行信息熵值计算、相对距离计算；步骤四.将计算得到的熵值和相对距离与基线数据库进行对比分析，检测是否出现异常。

【技术特征摘要】
1.一种基于信息熵的CAN总线异常检测方法，其特征在于，包括以下步骤：步骤一.建立基线样本库；步骤二.采集待测CAN总线报文并对报文数据进行预处理；步骤三.对处理后的报文数据进行信息熵值计算、相对距离计算；步骤四.将计算得到的熵值和相对距离与基线数据库进行对比分析，检测是否出现异常。2.根据权利要求1所述的基于信息熵的CAN总线异常检测方法，其特征在于，所述步骤一的具体步骤包括：1-1)采集模拟真实环境下的CAN总线网络中的报文作为原始数据；1-2)对原始数据进行预处理，统计出单位时间内报文流量、报文自信息；1-3)对预处理后的数据进行熵值确定、阈值确定和相对距离确定；1-4)得到基线样本库。3.根据权利要求2所述的基于信息熵的CAN总线异常检测方法，其特征在于，所述步骤1-3)中，熵值确定的具体步骤包括：令E表示为T时间内出现的n种不同标识符的CAN报文消息集合，其中E＝{ε1,ε2,...,εn}，{C1,C2，...,Cn}为T时间内出现的n种不同标识符的CAN报文的发送周期；时间T内总线的CAN报文消息的总数为:第i种报文εi，在T时间内发送的数量ni为第i种报文，在T时间内出现的概率p(εi)表示为：显然有定义第i种消息的不确定性为消息i的自信息I(εi)则在时间T内CAN总线的信息...

【专利技术属性】
技术研发人员：朱双华，陈慧芝，胥刚，
申请(专利权)人：湖南汽车工程职业学院，
类型：发明
国别省市：湖南,43