This paper describes a network intrusion detection system based on the analysis of network traffic. During operation, the system performs statistical analysis on the timing of messages related to network traffic to generate a time correlation matrix representing the time correlation between different message types in network traffic. The set of time-dependent matrices is decomposed into component matrices, where at least one component matrix represents the typical characteristics of these matrices and at least one other component matrix represents the atypical characteristics of these matrices. A new time correlation matrix is generated based on the new network traffic. Finally, by comparing the component matrix of the new time correlation matrix with the component matrix of the time correlation matrix under normal operation conditions, the abnormal behavior in the new network traffic is detected.
【技术实现步骤摘要】
【国外来华专利技术】用于利用传递熵矩阵的稀疏和低秩分解来对CAN总线数据进行异常检测的系统政府权利本专利技术以题名“SideChannelCausalAnalysisforDesignofCyber-PhysicalSecurity”的美国政府合同编号D15PC00223在政府支持下做出。政府在本专利技术中具有特定权利。相关申请的交叉引用这是2016年10月7日提交的美国非临时专利申请序列号No.62/405,716,其全部内容通过引用并入于此。
本专利技术涉及一种异常检测系统,并且更具体地,涉及用于利用稀疏和低秩分解来检测有关CAN总线数据的异常的系统。
技术介绍
异常检测是可以检测异常数据以防止恶意数据的攻击或入侵的过程。针对汽车的许多已知攻击涉及某种形式的欺骗或改变CAN总线消息。例如,如果攻击者可以使另一模块进入诊断模式,那么他们可以阻止该模块的消息出现在总线上,这使得攻击者可以用自己的消息替换那些消息。取决于模块,这些欺骗消息可以潜在地造成乘客处于严重危险之中。已经尝试解决这个问题。例如,Tayler的研究人员提出了一种基于频率的异常检测方法来比较当前和历史分组定时(参见下面的包含参考文献列表,参考文献No.6)。他们的算法测量滑动窗口上的分组间定时。他们发现数据分组的汉明(Hamming)距离是一种不可靠的正态(normality)度量。分组间定时统计对于利用一类支持矢量机检测插入的分组来说是可靠的。然而,如果正常分组不是周期性的,那么检测额外的插入可能更具挑战性。此外,他们的方法不太可能适用于其它类型的攻击,如更改分组次序。因此,一直需要一种用于对CAN总线数据 ...
【技术保护点】
1.一种基于对网络流量的分析来检测网络入侵的系统,所述系统包括:一个或更多个处理器以及存储器,所述存储器是编码有可执行指令的非暂时性计算机可读介质,使得在执行所述指令时,所述一个或更多个处理器执行以下操作:对有关网络流量的消息定时执行统计分析,以生成表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵;将时间相关性矩阵的集合分解成分量矩阵,其中,至少一个分量矩阵表示这些矩阵的典型特性,并且至少一个其它分量矩阵表示这些矩阵的非典型特性;基于新的网络流量生成新的时间相关性矩阵;以及通过对所述新的时间相关性矩阵中的分量矩阵与正常操作条件下的时间相关性矩阵的分量矩阵进行比较,检测所述新的网络流量中的异常行为。
【技术特征摘要】
【国外来华专利技术】2016.10.07 US 62/405,7161.一种基于对网络流量的分析来检测网络入侵的系统,所述系统包括:一个或更多个处理器以及存储器,所述存储器是编码有可执行指令的非暂时性计算机可读介质,使得在执行所述指令时,所述一个或更多个处理器执行以下操作:对有关网络流量的消息定时执行统计分析,以生成表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵;将时间相关性矩阵的集合分解成分量矩阵,其中,至少一个分量矩阵表示这些矩阵的典型特性,并且至少一个其它分量矩阵表示这些矩阵的非典型特性;基于新的网络流量生成新的时间相关性矩阵;以及通过对所述新的时间相关性矩阵中的分量矩阵与正常操作条件下的时间相关性矩阵的分量矩阵进行比较,检测所述新的网络流量中的异常行为。2.根据权利要求1所述的系统,其中,表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵是利用传递熵计算生成的传递熵矩阵(TEM)。3.根据权利要求2所述的系统,其中,将时间相关性矩阵的集合分解成分量矩阵的处理是利用稀疏低秩分解执行的。4.根据权利要求3所述的系统,其中,检测所述新的网络流量中的异常行为的处理是通过首先执行单个传递熵矩阵(TEM)的稀疏低秩分解并接着对稀疏分量的l1范数||zS||1与训练集范数的均值进行比较来执行的。5.根据权利要求4所述的系统,其中,检测所述新的网络流量中的异常行为的处理还包括:根据多个TEM的稀疏低秩分解确定范数和标准偏差,并且执行t测试以确定所述新的网络流量是否超过预置界限。6.根据权利要求5所述的系统,其中,在检测到所述新的网络流量中的异常行为时,还包括启动反应响应的操作。7.根据权利要求6所述的系统,其中,所述反应响应包括使车辆启动安全模式,其中,禁用至少一个车辆系统。8.根据权利要求1所述的系统,其中,将时间相关性矩阵的集合分解成分量矩阵是的处理利用稀疏低秩分解执行的。9.根据权利要求1所述的系统,其中,检测所述新的网络流量中的异常行为的处理是通过首先执行单个传递熵矩阵(TEM)的稀疏低秩分解并接着对稀疏分量的l1范数||zS||1与训练集范数的均值进行比较来执行的。10.根据权利要求1所述的系统,其中,检测所述新的网络流量中的异常行为的处理还包括:根据多个传递熵矩阵(TEM)的稀疏低秩分解确定范数和标准偏差,并且执行t测试以确定所述新的网络流量是否超过预置界限。11.根据权利要求1所述的系统,其中,在检测到所述新的网络流量中的异常行为时,还包括启动反应响应的操作。12.根据权利要求11所述的系统,其中,所述反应响应包括使车辆启动安全模式,其中,禁用至少一个车辆系统。13.一种基于对网络流量的分析来检测网络入侵的计算机程序产品,所述计算机程序产品包括:编码有可执行指令的非暂时性计算机可读介质,使得当通过一个或更多个处理器执行所述指令时,所述一个或更多个处理器执行以下操作:对有关网络流量的消息定时执行统计分析,以生成表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵;将时间相关性矩阵的集合分解成分量矩阵,其中,至少一个分量矩阵表示这些矩阵的典型特性,并且至少一个其它分量矩阵表示这些矩阵的...
【专利技术属性】
技术研发人员:倪康宇,D·W·佩顿,
申请(专利权)人:赫尔实验室有限公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。