用于利用传递熵矩阵的稀疏和低秩分解来对CAN总线数据进行异常检测的系统技术方案

描述了一种基于对网络流量的分析来检测网络入侵的系统。在操作期间，所述系统对有关网络流量的消息定时执行统计分析，以生成表示网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵。将时间相关性矩阵的集合分解成分量矩阵，其中，至少一个分量矩阵表示这些矩阵的典型特性，并且至少一个其它分量矩阵表示这些矩阵的非典型特性。基于新的网络流量生成新的时间相关性矩阵。最后，通过比较新的时间相关性矩阵中的分量矩阵与正常操作条件下的时间相关性矩阵的分量矩阵，检测新的网络流量中的异常行为。

A system for anomaly detection of CAN bus data using sparse and low rank decomposition of transfer entropy matrix

This paper describes a network intrusion detection system based on the analysis of network traffic. During operation, the system performs statistical analysis on the timing of messages related to network traffic to generate a time correlation matrix representing the time correlation between different message types in network traffic. The set of time-dependent matrices is decomposed into component matrices, where at least one component matrix represents the typical characteristics of these matrices and at least one other component matrix represents the atypical characteristics of these matrices. A new time correlation matrix is generated based on the new network traffic. Finally, by comparing the component matrix of the new time correlation matrix with the component matrix of the time correlation matrix under normal operation conditions, the abnormal behavior in the new network traffic is detected.

【技术实现步骤摘要】
【国外来华专利技术】用于利用传递熵矩阵的稀疏和低秩分解来对CAN总线数据进行异常检测的系统政府权利本专利技术以题名“SideChannelCausalAnalysisforDesignofCyber-PhysicalSecurity”的美国政府合同编号D15PC00223在政府支持下做出。政府在本专利技术中具有特定权利。相关申请的交叉引用这是2016年10月7日提交的美国非临时专利申请序列号No.62/405,716，其全部内容通过引用并入于此。
本专利技术涉及一种异常检测系统，并且更具体地，涉及用于利用稀疏和低秩分解来检测有关CAN总线数据的异常的系统。
技术介绍
异常检测是可以检测异常数据以防止恶意数据的攻击或入侵的过程。针对汽车的许多已知攻击涉及某种形式的欺骗或改变CAN总线消息。例如，如果攻击者可以使另一模块进入诊断模式，那么他们可以阻止该模块的消息出现在总线上，这使得攻击者可以用自己的消息替换那些消息。取决于模块，这些欺骗消息可以潜在地造成乘客处于严重危险之中。已经尝试解决这个问题。例如，Tayler的研究人员提出了一种基于频率的异常检测方法来比较当前和历史分组定时(参见下面的包含参考文献列表，参考文献No.6)。他们的算法测量滑动窗口上的分组间定时。他们发现数据分组的汉明(Hamming)距离是一种不可靠的正态(normality)度量。分组间定时统计对于利用一类支持矢量机检测插入的分组来说是可靠的。然而，如果正常分组不是周期性的，那么检测额外的插入可能更具挑战性。此外，他们的方法不太可能适用于其它类型的攻击，如更改分组次序。因此，一直需要一种用于对CAN总线数据进行异常检测的系统。
技术实现思路
本公开提供了一种用于基于对网络流量的分析来检测网络入侵的系统。所述系统包括一个或更多个处理器以及存储器。所述存储器是具有编码的可执行指令的非暂时性计算机可读介质，使得在执行所述指令时，所述一个或更多个处理器执行若干操作。在操作期间，所述系统对有关网络流量的消息定时执行统计分析，以生成表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵。将时间相关性矩阵的集合分解成分量矩阵，其中，至少一个分量矩阵表示这些矩阵的典型特性，并且至少一个其它分量矩阵表示所述矩阵的非典型特性。基于新的网络流量生成新的时间相关性矩阵。最后，通过将新的时间相关性矩阵中的分量矩阵与在正常操作条件下的时间相关性矩阵的分量矩阵进行比较，在所述新的网络流量中检测异常行为。在另一方面，表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵是利用传递熵计算而生成的传递熵矩阵(TEM)。而且，将时间相关性矩阵的集合分解成分量矩阵是利用稀疏低秩分解执行的。在另一方面，检测所述新的网络流量中的异常行为是通过首先执行单个传递熵矩阵(TEM)的稀疏低秩分解并接着比较稀疏分量的l1范数||zS||1与训练集范数的均值执行的。而且，检测所述新的网络流量中的异常行为还包括根据多个TEM的稀疏低秩分解确定范数和标准偏差，并且执行t测试以确定所述新的网络流量是否超过预置界限。在另一方面，在检测新的网络流量中的异常行为时，所述系统启动反应响应。所述反应响应包括使车辆启动安全模式，其中，至少一个车辆系统被禁用。最后，本专利技术还包括一种计算机程序产品和计算机实现方法。所述计算机程序产品包括存储在非暂时性计算机可读介质上的计算机可读指令，所述计算机可读指令可由具有一个或更多个处理器的计算机执行，使得在执行所述指令时，所述一个或更多个处理器执行本文列出的操作。另选的是，所述计算机实现方法包括使计算机执行这种指令并且执行所得操作的行为。附图说明根据下面结合参照附图对本专利技术各个方面的详细描述，本专利技术的目的、特征以及优点将变清楚，其中：图1是描绘根据本专利技术各个实施方式的系统的组件的框图；图2是具体实施本专利技术一方面的计算机程序产品的例示图；图3A是例示根据本专利技术一些实施方式的异常检测处理的流程图；图3B是描绘示例传递熵矩阵(TEM)的例示图；图4A是描绘示例TEM数据矩阵的例示图；图4B是描绘针对损坏数据的18次评估的示例结果的图形；图5A是描绘给定类型的所有消息被延迟了小时间增量(delta)的示例结果的图形；图5B是描绘去除了符合给定消息类型的第一消息的示例结果的图形；图5B是描绘去除了符合给定消息类型的第二消息的示例结果的图形；以及图6是描绘各种实施方式中用于所述系统的处理流程的流程图。具体实施方式本专利技术涉及一种异常检测系统，并且更具体地，涉及用于利用稀疏和低秩分解来检测有关CAN总线数据的异常的系统。呈现以下描述以使本领域普通技术人员能够制造和使用本专利技术并将其并入特定应用的背景中。各种变型以及不同应用方面的多种用途对于本领域技术人员来说是显而易见的，并且本文定义的一般原理可以应用于广泛的方面。因此，本专利技术不旨在限于所呈现的方面，而是符合与本文所公开原理和新颖特征相一致的最广范围。在下面的详细描述中，阐述了许多具体细节，以便提供对本专利技术的更详尽理解。然而，本领域技术人员应当明白，本专利技术可以在不必受限于这些具体细节的情况下来实践。在其它情况下，公知结构和装置按框图形式而不是按细节示出，以便避免模糊本专利技术。将读者的注意引向与本说明书同时提交的所有文件和文档，并且该文件和文档可以利用本说明书开放以供公众查阅，所有这些文件和文档的内容通过引用并入于此。本说明书中公开的所有特征(包括任何所附权利要求、摘要，以及绘图)可以用服务相同、等同或相似目的的另选特征来代替，除非另有明确说明。因此，除非另有明确说明，所公开的每个特征仅仅是通用系列的等同或相似特征中的一个例子。而且，权利要求书中没有明确陈述“用于执行指定功能的装置”或“用于执行特定功能的步骤”的任何部件不被解释为如在35U.S.C.Section112,Paragraph6中指定的“装置”或“步骤”条款。具体地，在本文的权利要求书中使用“…的步骤”或“……的动作”不旨在援引35U.S.C.112,Paragraph6的规定。在详细描述本专利技术之前，首先提供了引用参考文献的列表。接下来，提供了对本专利技术各个主要方面的描述。随后，介绍向读者提供了对本专利技术的一般理解。最后，提供本专利技术各个实施方式的具体细节以取得对具体方面的理解。(1)并入参考文献列表贯穿本申请引用以下参考文献。为了清楚和方便起见，这些参考文献在此被列为读者的中心资源。下列参考文献通过引用并入于此，就像在此完全陈述的一样。这些参考文献通过参照如下对应文献参考号而在本申请中加以引用，如下：1.E.Candes,X.Li,Y.Ma,andJ.Wright,“RobustPrincipalComponentAnalysis？”,IEEEPAMI2011。2.M.Mardani,G.Mateos,andG.B.Giannakis,“Unveilinganomaliesinlarge-scalenetworksviasparsityandlowrank,”inProc.of45thAsilomarConf.onSignal,SystemsandComputers,PacificGrove,CA,Nov.2011,pp.403–407。3.Kang-YuNiandTsai-Ching本文档来自技高网...

【技术保护点】
1.一种基于对网络流量的分析来检测网络入侵的系统，所述系统包括：一个或更多个处理器以及存储器，所述存储器是编码有可执行指令的非暂时性计算机可读介质，使得在执行所述指令时，所述一个或更多个处理器执行以下操作：对有关网络流量的消息定时执行统计分析，以生成表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵；将时间相关性矩阵的集合分解成分量矩阵，其中，至少一个分量矩阵表示这些矩阵的典型特性，并且至少一个其它分量矩阵表示这些矩阵的非典型特性；基于新的网络流量生成新的时间相关性矩阵；以及通过对所述新的时间相关性矩阵中的分量矩阵与正常操作条件下的时间相关性矩阵的分量矩阵进行比较，检测所述新的网络流量中的异常行为。

【技术特征摘要】
【国外来华专利技术】2016.10.07 US 62/405,7161.一种基于对网络流量的分析来检测网络入侵的系统，所述系统包括：一个或更多个处理器以及存储器，所述存储器是编码有可执行指令的非暂时性计算机可读介质，使得在执行所述指令时，所述一个或更多个处理器执行以下操作：对有关网络流量的消息定时执行统计分析，以生成表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵；将时间相关性矩阵的集合分解成分量矩阵，其中，至少一个分量矩阵表示这些矩阵的典型特性，并且至少一个其它分量矩阵表示这些矩阵的非典型特性；基于新的网络流量生成新的时间相关性矩阵；以及通过对所述新的时间相关性矩阵中的分量矩阵与正常操作条件下的时间相关性矩阵的分量矩阵进行比较，检测所述新的网络流量中的异常行为。2.根据权利要求1所述的系统，其中，表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵是利用传递熵计算生成的传递熵矩阵(TEM)。3.根据权利要求2所述的系统，其中，将时间相关性矩阵的集合分解成分量矩阵的处理是利用稀疏低秩分解执行的。4.根据权利要求3所述的系统，其中，检测所述新的网络流量中的异常行为的处理是通过首先执行单个传递熵矩阵(TEM)的稀疏低秩分解并接着对稀疏分量的l1范数||zS||1与训练集范数的均值进行比较来执行的。5.根据权利要求4所述的系统，其中，检测所述新的网络流量中的异常行为的处理还包括：根据多个TEM的稀疏低秩分解确定范数和标准偏差，并且执行t测试以确定所述新的网络流量是否超过预置界限。6.根据权利要求5所述的系统，其中，在检测到所述新的网络流量中的异常行为时，还包括启动反应响应的操作。7.根据权利要求6所述的系统，其中，所述反应响应包括使车辆启动安全模式，其中，禁用至少一个车辆系统。8.根据权利要求1所述的系统，其中，将时间相关性矩阵的集合分解成分量矩阵是的处理利用稀疏低秩分解执行的。9.根据权利要求1所述的系统，其中，检测所述新的网络流量中的异常行为的处理是通过首先执行单个传递熵矩阵(TEM)的稀疏低秩分解并接着对稀疏分量的l1范数||zS||1与训练集范数的均值进行比较来执行的。10.根据权利要求1所述的系统，其中，检测所述新的网络流量中的异常行为的处理还包括：根据多个传递熵矩阵(TEM)的稀疏低秩分解确定范数和标准偏差，并且执行t测试以确定所述新的网络流量是否超过预置界限。11.根据权利要求1所述的系统，其中，在检测到所述新的网络流量中的异常行为时，还包括启动反应响应的操作。12.根据权利要求11所述的系统，其中，所述反应响应包括使车辆启动安全模式，其中，禁用至少一个车辆系统。13.一种基于对网络流量的分析来检测网络入侵的计算机程序产品，所述计算机程序产品包括：编码有可执行指令的非暂时性计算机可读介质，使得当通过一个或更多个处理器执行所述指令时，所述一个或更多个处理器执行以下操作：对有关网络流量的消息定时执行统计分析，以生成表示所述网络流量中的不同消息类型之间的时间相关性的时间相关性矩阵；将时间相关性矩阵的集合分解成分量矩阵，其中，至少一个分量矩阵表示这些矩阵的典型特性，并且至少一个其它分量矩阵表示这些矩阵的...

【专利技术属性】
技术研发人员：倪康宇，D·W·佩顿，
申请(专利权)人：赫尔实验室有限公司，
类型：发明
国别省市：美国,US