本发明专利技术公开了一种基于报文序列预测的车载网络入侵检测方法,包括如下步骤:步骤一,采用T‑BOX车载终端采集汽车总线、车身总线和动力传动系统总线相关的CAN总线数据和私有协议的反向控制;步骤二,根据汽车信息安全的三种攻击途径构成运行场景分析车辆可能存在的安全威胁;步骤三,根据步骤一中获得的数据集和步骤二中获得异常报文特征库进行学习训练构成评估检测器;步骤四,将输入的报文通过评估检测器进行检测验证。本发明专利技术的基于报文序列预测的车载网络入侵检测方法,通过步骤一至步骤四的设置,便可通过让系统学习攻击类型报文,然后识别出来进而实现防攻击的效果了。
An Intrusion Detection Method for Vehicle-borne Networks Based on Message Sequence Prediction
【技术实现步骤摘要】
一种基于报文序列预测的车载网络入侵检测方法
本专利技术涉及一种检测方法,更具体的说是涉及一种基于报文序列预测的车载网络入侵检测方法。
技术介绍
智能交通网络的发展给人们带来了更加便利的生活,提高交通运输效率、保障交通安全、减少了驾驶危险的同时大大增加了旅途舒适度和提高了能源利用效率。但是诸多的车辆安全事件已经对以智能网联汽车为核心的智能交通方法提出了新的挑战,智能网联汽车的数据安全、通信安全和方法功能安全已经成为智慧交通方法发展的关键——不仅存在车辆信息泄露的可能性,甚至存在联网车辆被大规模控制,造成重大社会事件的巨大风险。世界著名汽车企业宝马、丰田、特斯拉、JEEP等量产的车辆均不同程度的存在信息安全隐患,黑客已经能够通过信息篡改、病毒入侵等手段远程攻击汽车。目前,在世界范围内关于智能网联汽车信息安全在安全需求、模型理论等方面的相关研究集中在美日欧等发达国家。我国的汽车信息安全研究在近年才逐步发展,当前汽车信息安全防护技术标准亟待完善。基于传统网络安全理论和技术,需要开展汽车信息安全防护的适用性研究,从车辆安全漏洞、安全网关、安全服务等方面构建方法的安全防护体系,从而满足车辆计算资源低消耗、网络节点高速移动的汽车信息安全防护要求。入侵检测方法(IDS,IntrusionDetectionSystem)是指可以通过收集方法日志、应用程序信息或者进行网络抓包来发现其中违反安全策略的或对产生方法安全风险的行为。作为汽车信息安全防护的主要方法,入侵检测具有攻击防御的通用性,不仅可以防护外部攻击还可以防护内部攻击。在汽车行业的防护研究中,一般在通信网络和传感器中应用入侵检测技术,主要集中于车载网络异常入侵检测。车载网络作为汽车信息安全的薄弱点,却在信息安全防护方面尚处于发展初期,主要是通过统计学模型以及专家方法等方法实现车辆信息异常状态识别和特定攻击行为检测。这些方法在计算资源有限的情况下,普遍存在检测精度、误报率、内存消耗等方面的问题。大数据分析作为一种基于统计方法实现大量数据特征提取与推理的方法,能够为汽车驾驶行为分析和危险状态识别提供理论支撑,但是在汽车车载网络安全检测方面的研究较少。因此,根据车载网络信息特征、数据传输规律、威胁攻击方式等内容,使用基于大数据分析方法,可以利用神经网络新技术进行深度学习,为有效解决车载网络威胁识别的高精度提供可能。
技术实现思路
针对现有技术存在的不足,本专利技术的目的在于提供一种基于报文序列预测的车载网络入侵检测方法。为实现上述目的,本专利技术提供了如下技术方案:一种基于报文序列预测的车载网络入侵检测方法,包括如下步骤:步骤一,采用T-BOX车载终端采集汽车总线、车身总线和动力传动系统总线相关的CAN总线数据和私有协议的反向控制,并将采集到的报文整理为数据集;步骤二,根据汽车信息安全的三种攻击途径构成运行场景分析车辆可能存在的安全威胁,通过统计或其他数据模型将安全威胁的特征提取出来,根据提取出来的特征描述出不同类别报文的差异,然后获取不同攻击类型的特征并建立异常报文特征库;步骤三,根据步骤一中获得的数据集和步骤二中获得异常报文特征库进行学习训练构成评估检测器;步骤四,将输入的报文通过评估检测器进行检测验证,根据验证结果判断当前车辆运行状态是否存在信息安全攻击威胁,然后将判断的结果返回给T-BOX。作为本专利技术的进一步改进,所述步骤一中采集CAN总线数据的方式为通过T-BOX设备进行抓包采集。作为本专利技术的进一步改进,所述步骤一中的CAN总线数据包括控制汽车门窗、前车灯、车锁方向盘锁、喇叭信号以及提供车辆定位、车况信息、驾驶行为行车报告、防盗系统信息。作为本专利技术的进一步改进,所述步骤二中的攻击途径包括物理攻击、短距离无线攻击、长距离无线攻击,安全威胁包括欺骗攻击、窃听、重放攻击、DoS攻击、伪造攻击。作为本专利技术的进一步改进,所述步骤四中的评估检测器检测评估方式为通过在每个时间步猜测当前报文的下一位的预测变量的损失来验证检测结果,通过多种比特损失方法,可以认为每一比特位的损失都是异常信号的基础,将整个报文序列的比特损失结合起来,为整个序列产生异常界限,最终找到最佳阈值作为数据检测的标准,对车载总线报文信息进行检测,如果检测到报文偏离损失大于最佳阈值,则确定车辆当前运行状态存在信息安全攻击威胁。作为本专利技术的进一步改进,所述步骤四中的评估检测器所执行的多种比特损失方法,每一种比特损失方法内都设定阈值标准作为参照。作为本专利技术的进一步改进,所述步骤四中的评估检测器找到最佳阈值的步骤如下:a,收集正常数据样本,针对正常数据下变化规律有代表性的ID创建异常数据样本;b,将正常训练样本输入到检测系统中,得到最佳迭代次数和相应损失标准;c,根据阈值标准,对总线中的存在异常数据样本数据进行检测,判断数据样本是否异常,进行分类;d,针对分类的结果重复步骤1-3从而更新分类阈值标准,拟达到最优分类检测。本专利技术的有益效果:(1)本专利技术提出的基于报文序列预测的车载网络入侵检测系统,相比现有的信息安全入侵检测方法,对于不同报文都具有较稳定的检测性能,说明普适性很强,对于车辆信息安全的防护更具可靠性和有效性。(2)本专利技术基于报文序列预测的车载网络入侵检测系统,集车辆数据提取、车辆攻击数据库建立、车辆入侵检测、车辆信息安全响应防护于一体,较传统汽车信息安全产品更具功能优势。(3)本专利技术基于多车型及车辆不同运行状态进行车辆报文数据提取,较其他一些车辆通信数据采集更为全面,从多角度出发挖掘车辆信息点,使检测更具全面性,防护方法更具有效性。(4)本专利技术在具体实施中使用比特相关性结合确定车辆的信息入侵特征阈值,相比其他车辆异常分类的方法,能够平衡单个比特自身变化的损失噪音与预测精确度作为异常指标的重要性,针对不同的攻击方式,检测更为全面和有效性。附图说明图1为本专利技术基于报文序列预测的车载网络入侵检测方法中的异常检测的流程图;图2为本专利技术基于报文序列预测的车载网络入侵检测方法中的入侵检测系统数据库的模块图。具体实施方式下面将结合附图所给出的实施例对本专利技术做进一步的详述。参照图1至2所示,本实施例的一种基于报文序列预测的车载网络入侵检测方法,包括如下步骤:步骤一,采用T-BOX车载终端采集汽车总线、车身总线和动力传动系统总线相关的CAN总线数据和私有协议的反向控制,并将采集到的报文整理为数据集;步骤二,根据汽车信息安全的三种攻击途径构成运行场景分析车辆可能存在的安全威胁,通过统计或其他数据模型将安全威胁的特征提取出来,根据提取出来的特征描述出不同类别报文的差异,然后获取不同攻击类型的特征并建立异常报文特征库;步骤三,根据步骤一中获得的数据集和步骤二中获得异常报文特征库进行学习训练构成评估检测器;步骤四,将输入的报文通过评估检测器进行检测验证,根据验证结果判断当前车辆运行状态是否存在信息安全攻击威胁,然后将判断的结果返回给T-BOX,T-BOX作为车联网系统中云端和车载端的信息交互支点,它承担着通信重任,因此,T-BOX上的发现的漏洞威胁可能会对整个车造成安全隐患。针对不同的运行场景分析车辆可能存在的安全威胁,易出现如欺骗攻击、窃听、重放攻击、DoS攻击、伪造攻击等信息安全问题。T-BOX作为车联网系统的车载终端,直接与车本文档来自技高网...
【技术保护点】
1.一种基于报文序列预测的车载网络入侵检测方法,其特征在于:包括如下步骤:步骤一,采用T‑BOX车载终端采集汽车总线、车身总线和动力传动系统总线相关的CAN总线数据和私有协议的反向控制,并将采集到的报文整理为数据集;步骤二,根据汽车信息安全的三种攻击途径构成运行场景分析车辆可能存在的安全威胁,通过统计或其他数据模型将安全威胁的特征提取出来,根据提取出来的特征描述出不同类别报文的差异,然后获取不同攻击类型的特征并建立异常报文特征库;步骤三,根据步骤一中获得的数据集和步骤二中获得异常报文特征库进行学习训练构成评估检测器;步骤四,将输入的报文通过评估检测器进行检测验证,根据验证结果判断当前车辆运行状态是否存在信息安全攻击威胁,然后将判断的结果返回给T‑BOX。
【技术特征摘要】
1.一种基于报文序列预测的车载网络入侵检测方法,其特征在于:包括如下步骤:步骤一,采用T-BOX车载终端采集汽车总线、车身总线和动力传动系统总线相关的CAN总线数据和私有协议的反向控制,并将采集到的报文整理为数据集;步骤二,根据汽车信息安全的三种攻击途径构成运行场景分析车辆可能存在的安全威胁,通过统计或其他数据模型将安全威胁的特征提取出来,根据提取出来的特征描述出不同类别报文的差异,然后获取不同攻击类型的特征并建立异常报文特征库;步骤三,根据步骤一中获得的数据集和步骤二中获得异常报文特征库进行学习训练构成评估检测器;步骤四,将输入的报文通过评估检测器进行检测验证,根据验证结果判断当前车辆运行状态是否存在信息安全攻击威胁,然后将判断的结果返回给T-BOX。2.根据权利要求1所述的基于报文序列预测的车载网络入侵检测方法,其特征在于:所述步骤一中采集CAN总线数据的方式为通过T-BOX设备进行抓包采集。3.根据权利要求2所述的基于报文序列预测的车载网络入侵检测方法,其特征在于:所述步骤一中的CAN总线数据包括控制汽车门窗、前车灯、车锁方向盘锁、喇叭信号以及提供车辆定位、车况信息、驾驶行为行车报告、防盗系统信息。4.根据权利要求3所述的基于报文序列预测的车载网络入侵检测方法,其特征在于:所述步骤二中的攻击途径包括物理攻击、短距离...
【专利技术属性】
技术研发人员:秦洪懋,闫梦如,冀浩杰,王建,王颖会,
申请(专利权)人:北京航空航天大学,国汽北京智能网联汽车研究院有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。