车载网络虚假信息注入异常行为检测方法技术

本发明专利技术对报文量存在变化的数据进行虚假数据注入的异常行为检测，构建车载网络虚假数据注入异常数据集，通过对车载网络中带标签异常数据的差异特征进行深度学习。通过CNN分类算法对采集到的车载网络虚假数据注入异常数据集进行检测，主要包括三个阶段：数据预处理、模型框架设计、数据测试。针对检测过程中复杂难辨识行为导致的高误报率和简单易辨识行为导致的高漏报率问题，分别提出了基于距离特征与CNN网络融合的车载网络异常行为检测算法和基于时间戳特征与分类学习算法的车载网络异常行为检测方法。为提高车载网络异常行为检测性能提供了更加精准的方法。性能提供了更加精准的方法。性能提供了更加精准的方法。

【技术实现步骤摘要】
车载网络虚假信息注入异常行为检测方法


[0001]本专利技术涉及汽车信息安全
，适用于车载网络信息安全检测研究，具体涉及到一种基于多元数据特征融合的车载网络虚假信息注入异常行为检测方法。

技术介绍

[0002]随着汽车智能化、网联化水平越来越高，汽车与外界进行互联互通时存在着越来越多复杂多变的方式，由于汽车安全威胁源的不确定性和车载系统的差异性，导致智能网联汽车信息安全以及用户安全面临重大安全威胁。所以有必要提高风险识别的主动性，消除安全隐患，保障智能网联汽车信息安全。
[0003]车载网络异常行为检测是对汽车信息安全主动防护的重要方法，通过对网络中可疑行为或违反安全规范的行为进行判断、预警和响应来保障系统安全，不仅可以实现对外部威胁的感知，还可以监控内部的异常行为。但是，当前车载网络异常行为检测在检测范围、检测性能和检测机制等方面仍然没有系统性的解决方案，还不能应对复杂多变的车载网络信息安全威胁，此外，车载网络异常行为检测的性能评估、实验验证等工作研究较少，导致入侵检测系统技术在车载端的应用还有一定距离。因此，加强汽车信息安全主动防护措施，寻找有效的检测方法和检测机制，提高车载网络异常行为的适用范围和检测性能，已成为当前迫切需要研究的课题。
[0004]车载网络异常检测中，已知带有标签的正常数据和异常数据，要求实现对异常数据的检测，这是一种的典型的分类问题。分类算法在异常检测中的应用需要结合实际场景和测试对象的种类来确定。分类算法在不同领域的异常检测中具有广泛应用，研究者在汽车信息安全方面也进行了系列研究。虽然分类算法种类繁多，汽车信息安全领域的异常检测应用也较多，但是受限于数据集构建方式、数据差异性和多样性等因素，分类算法在车载网络异常检测的范围、检测类型还需要提高，检测方法的通用性较差，现有的异常行为特征已经不能满足检测的性能要求，需对其他异常行为特征进行分析，结合新的特征探索新的分类算法，提高检测范围和检测精度。

技术实现思路

[0005]为实现车载网络异常行为特征的深度挖掘，准确辨识异常行为，本专利技术提出了一种基于多元数据特征融合的车载网络虚假信息注入异常行为检测方法。本专利技术的技术实现方案是：首先对车载网络异常数据变化进行分析，开展基于CNN分类的车载网络异常行为检测算法设计。然后通过外部采集设备获取车辆数据，借助测试工具进行数据解析从而构建车载网络虚假信息注入异常数据集。最后针对车载网络异常难辨识行为检测，提出了一种基于距离特征与CNN网络特征融合的车载网络异常行为检测算法，针对车载网络中简单易辨识行为引起的高漏报率问题，提出基于时间戳特征与CNN网络特征融合的车载网络异常行为分类算法，实现对车载网络虚假信息注入异常行为检测。
[0006]为实现上述目的，本专利技术提供了如下技术方案：一种车载网络虚假信息注入异常
行为检测方法，包括如下步骤：
[0007]步骤1，根据CNN网络的基本结构，结合车载网络检测数据的特征，建立基于车载网络异常检测的CNN网络，
[0008]步骤2，通过CNN网络提取车载网络检测数据的特征；
[0009]步骤3，通过车载网络攻击实验平台，借助数据采集设备对实车进行数据采集，并通过仿真测试软件对采集的正常数据进行分析，从而得到车载网络虚假信息注入的异常数据集，完成车载网络虚假信息注入异常行为检测；
[0010]其中，对CNN算法超参数进行模型训练，选择车载网络中固定周期发送的报文及其字段内容，通过构建车载网络异常模型进行分类算法分析，按照实际报文变化规则构建异常数据集。
[0011]作为本专利技术的进一步改进，所述步骤2中提取车载网络检测数据特征的方式为结合汽车电子元器件、车载网络通信协议、驾驶场景的信息，分析车载网络通信数据存在的部分特征。
[0012]作为本专利技术的进一步改进，所述步骤2中的部分特征的提取的过程中先根据报文时序的信号特征选择汉明距离与CNN网络进行异常行为的分类与检测。
[0013]作为本专利技术的进一步改进，所述步骤1中的CNN网络包括5个层级结构：输入层、卷积层、激活层、池化层和输出层，并且采用CNN网络进行数据特征的自学习和分类的具体步骤如下：
[0014]步骤11，在输入层对数据进行预处理，将输入数据的二维矩阵转化为三维矩阵；步骤12，通过卷积层进行局部感知，提取数据特征；
[0015]步骤13，在激励层利用ReLU函数对卷积层的输出结果做非线性映射；
[0016]步骤14，在池化层进行特征降维，压缩数据和参数的数量，减小过拟合，同时提高模型的容错性；
[0017]步骤15，在全连接层将前面从不同角度生成的网络流量特征综合到一起，将学习到的多个特征映射到样本标记空间；
[0018]步骤16，采用softmax函数输出最终分类，判断输出的二维测试集标识矩阵是否异常，实现对车载网络中数据特征的自学习和分类。
[0019]作为本专利技术的进一步改进，所述CNN算法超参数包括epoch、迭代次数、时间开销、小批量损失、小批量精度和基本学习率。
[0020]作为本专利技术的进一步改进，所述按照实际报文变化规则构建异常数据集的步骤如下：
[0021]步骤4，首先选择字段内容为某一固定周期变化的报文，通过构建异常模型进行分类算法分析；
[0022]步骤5，然后将单精度数值的时间戳转化为二进制数列，转化方式为将整数部分整除2，依次取余数，然后从高位到低依次排列，小数部分乘以2，依次取整数部分，然后按倒序排列；
[0023]步骤6，最后根据预处理的数列矩阵进行不同分类算法的异常检测与分析对比，构建异常数据集。
[0024]本专利技术的有益效果，(1)本专利技术提出一种基于标签的车载网络虚假数据注入异常
行为检测方法，通过车载网络语义特征设计了CNN网络异常行为检测算法，实现对车载网络报文字段内容虚假信息注入攻击的高精度辨识与检测。
[0025](2)本专利技术提出了一种基于距离特征与CNN融合的车载网络异常行为检测算法，能够解决车载网络中简单易辨识行为引起的高漏报率问题，提高车载网络虚假信息注入攻击中异常难辨识行为的检测精度。
[0026](3)本专利技术提出了一种基于时间戳特征的车载网络分类算法，通过多种分类算法性能对比分析，发现时间戳特征与随机森林融合的分类算法具备较好的检测性能与效果。
[0027](4)本专利技术针对带有标签的车载网络异常数据中虚假信息检测漏洞与误报问题，提供了基于字段内容时序特征和时间戳特征的多元特征与分类算法融合的车载网络异常行为检测方法，同时为伪造与虚假注入等较难辨识攻击行为提供一种可行的高精度检测方法。
附图说明
[0028]图1为本专利技术一种基于CNN网络设计的车载网络数据异常检测流程图；
[0029]图2为本专利技术一种基于汉明距离与CNN网络融合的车载网络异常行为检测算法流程图；
[0030]图3为本专利技术中CNN与HammDist+CNN分类算法的车载网络异常检本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种车载网络虚假信息注入异常行为检测方法，其特征在于：包括如下步骤：步骤1，根据CNN网络的基本结构，结合车载网络检测数据的特征，建立基于车载网络异常检测的CNN网络，步骤2，通过CNN网络提取车载网络检测数据的特征；步骤3，通过车载网络攻击实验平台，借助数据采集设备对实车进行数据采集，并通过仿真测试软件对采集的正常数据进行分析，从而得到车载网络虚假信息注入的异常数据集，完成车载网络虚假信息注入异常行为检测；其中，对CNN算法超参数进行模型训练，选择车载网络中固定周期发送的报文及其字段内容，通过构建车载网络异常模型进行分类算法分析，按照实际报文变化规则构建异常数据集。2.根据权利要求1所述的车载网络虚假信息注入异常行为检测方法，其特征在于：所述步骤2中提取车载网络检测数据特征的方式为结合汽车电子元器件、车载网络通信协议、驾驶场景的信息，分析车载网络通信数据存在的部分特征。3.根据权利要求1或2所述的车载网络虚假信息注入异常行为检测方法，其特征在于：所述步骤2中的部分特征的提取的过程中先根据报文时序的信号特征选择汉明距离与CNN网络进行异常行为的分类与检测。4.根据权利要求1或2所述的车载网络虚假信息注入异常行为检测方法，其特征在于：所述步骤1中的CNN网络包括5个层级结构：输入层、卷积层、激活层、池化层和输出层，并且采用CNN网络进行数据特征的自学习和...

【专利技术属性】
技术研发人员：冀浩杰，于海洋，杨灿，张俊杰，徐迟，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：