改进入侵检测系统的测量结果的系统和方法。一种系统包括:存储器、与存储器通信的处理器。该处理器被编程为定义指纹,该指纹包括在系统的注册时段期间,至少单独处理器的物理属性的基线测量结果,其中,注册时段包括在运行时操作之前测量处理器的物理属性,在运行时期间从传感器接收关于至少单独处理器的物理属性的运行时测量结果,将物理属性的运行时测量结果与指纹进行比较,以及响应于运行时测量结果来输出多维域图像。果来输出多维域图像。果来输出多维域图像。
【技术实现步骤摘要】
通过将一维测量结果变换成多维图像来改进入侵检测系统的测量结果的系统和方法
[0001]本公开涉及计算机系统(诸如车辆计算机系统或其他类型的系统)的安全性。
技术介绍
[0002]由于电子控制单元(ECU)的数量及其与外部网络的连接性,现代汽车车载网络从安全性的角度来看呈现出很大的攻击面。检测对这样的网络的恶意入侵是汽车安全的一个组成部分,用于防止或至少降低攻击的影响。
技术实现思路
[0003]根据一个实施例,一种系统包括:存储器、与存储器通信的处理器。该处理器被编程为定义指纹,该指纹包括在系统的注册时段期间,至少单独处理器的物理属性的基线测量结果,其中,该注册时段包括在运行时操作之前测量处理器的物理属性;在运行时期间,从传感器接收关于至少单独处理器的物理属性的运行时测量结果;将物理属性的运行时测量结果与指纹进行比较;以及响应于运行时测量结果来输出多维域图像。
[0004]根据另一个实施例,一种计算机实现的方法包括:在注册时段期间接收包括至少处理器的物理属性的基线测量结果,其中,该注册时段包括:在运行时操作之前测量处理器的物理属性;在运行时期间从传感器接收关于至少处理器的物理属性的运行时测量结果;以及响应于运行时测量结果来输出多维域图像。
[0005]根据又另一个实施例,一种系统包括:存储器和与该存储器通信的处理器。该处理器被编程为在运行时期间从多个传感器接收关于至少单独处理器的物理属性的多个运行时测量结果,其中,该运行时测量结果是一维测量结果;将多个运行时测量结果中的每一个转换为多维图像;以及将多维图像发送到神经网络,并且输出利用神经网络进行的多维图像的分类。
附图说明
[0006]图1图示了根据本公开的一些实施例的示例性计算设备的框图。
[0007]图2图示了利用分流电阻器来测量从附接到CAN总线的ECU汲取的电流的计算设备的示例性框图。
[0008]图3图示了计算设备的注册时段的流程图。
[0009]图4图示了计算设备的运行时间段的流程图。
具体实施方式
[0010]本文中描述了本公开的实施例。然而,要理解到,所公开的实施例仅仅是示例,并且其他实施例可以采用各种形式和替代形式。各图不一定是按比例的;某些特征可能被夸大或最小化以示出特定组件的细节。因此,本文中公开的具体结构和功能细节不要被解释
为限制性的,而仅仅作为教导本领域技术人员以各种方式采用实施例的代表性基础。如本领域普通技术人员将理解的,参照任一个附图图示和描述的各种特征可以与在一个或多个其他附图中图示的特征组合,以产生未明确图示或描述的实施例。所图示的特征的组合提供了典型应用的代表性实施例。然而,与本公开的教导一致的特征的各种组合和修改对于特定应用或实现方式而言可能是期望的。
[0011]说明性实施例介绍了一种用于检测恶意攻击的系统和方法。可以不断地测量连接到车载总线的设备或电子控制单元(ECU)的物理性质。由于增强了其与内部和外部网络的连接性,现代汽车微控制器单元(MCU)可能会遭受到软件或参数修改所做出的恶意攻击。在汽车领域,这样的攻击(即使持续较短时间段)可能是严重的,并且因此对这些攻击的运行时检测对于汽车安全和保障而言至关重要。
[0012]基于机器学习(ML)的入侵检测系统(IDS)的缺点之一是需要来自原始测量结果的预处理特征。这样的预处理在计算复杂性和准确性方面引入了某些限制。另一方面,基于深度学习(DL)的方法能够处理原始轨迹,因为它们学习/训练以提取其自己的特征,并且结合这些提取的特征来对输入进行分类。许多深度学习方法针对多维输入数据(2D或3D灰度/彩色图像和视频)进行了优化。然而,此用例中的轨迹是一维的。因此,它们无法利用在基于DL的图像分类域中进行的许多技术改进。一般而言,当涉及对特定软件例程是否在嵌入式处理器中执行以及重要的是,软件路径是否已被修改进行分类时,系统可能试图提高任何分类的能力以做出正确决策。
[0013]该系统可以利用外部或内部传感器来实行物理性质(例如,功率、定时、声音、温度、振动等)的设备测量,以实行初始基线测量。该测量用于使用例如ML技术、信号处理技术或其组合来导出指纹。
[0014]现有技术未能利用多个感官流来为给定的一维(1D)
–
二维(2D)特征提取器的不同参数创建具有多个颜色通道的单个“彩色”图像的等价物。在本公开中,系统创建这些图像,并且将其应用于网络和主机两者中的入侵检测情境中的物理过程的分类。在这样的实施例中,多个数据流可以包括:功耗(电压、功率或电流,这取决于可用的测量电路)、电磁(EM)辐射、RF辐射、声音、振动、随时间推移的信号频率(直方图)、定时信息、热信息等。因此,下面公开的系统可以将不同的输入流一起作为单个图像进行分析。
[0015]在另一个实施例中,不同的表示(例如,用于不同参数的1D
‑
2D图像特征提取器)可以被用于机器学习模型训练的目的,并且特别是用于机器学习训练的数据增强的目的。通常情况下,机器学习模型可能在训练阶段(以下也被称为注册(enrollment))期间需要大量数据作为输入。通常情况下,获得足够的训练数据具有挑战性且成本高昂。一种可以降低收集数据的成本的方法是根据一组减少的轨迹来生成新数据。本公开引入了也由这样的经由多维图像的表示所暗示的这种方法。
[0016]如图1中所示,其示出了根据本公开的一些实施例的示例性计算设备的框图。设备100可以包括:控制器105,其可以是例如中央处理单元(CPU)、芯片或任何合适的计算或计算设备、操作系统115、存储器120、可执行代码125、存储系统130,该存储系统130可以包括输入设备135和输出设备140。控制器105(或一个或多个控制器或处理器,有可能跨越多个单元或设备)可以被配置成执行本文中描述的方法,和/或执行或充当各种模块、单元等。多于一个计算设备100可以被包括在根据本专利技术的实施例的系统中,并且一个或多个计算设
备100可以充当该系统的组件。
[0017]操作系统115可以是或可以包括被设计和/或配置成实行涉及以下各项的任务的任何代码段(例如,类似于本文中描述的可执行代码125的代码段),该任务涉及协调、调度、仲裁、监督、控制或以其他方式管理计算设备100的操作,例如,调度软件程序或任务的执行、或者使得软件程序或其他模块或单元能够进行通信。操作系统115可以是商业操作系统。将注意到,操作系统115可以是可选组件,例如,在一些实施例中,系统可以包括不需要或不包括操作系统115的计算设备。例如,计算机系统可以是或可以包括微控制器、专用电路(ASIC)、现场可编程阵列(FPGA)、网络控制器(例如,CAN总线控制器)、相关联的收发器、片上系统(SOC),和/或可以在没有操作系统的情况下使用的其任何组合。
[0018]存储器120可以是或可以包括例如随机存取存储器(RAM)、只读存储器(ROM)、动态RAM(DRAM)、同步DRAM(SD
‑...
【技术保护点】
【技术特征摘要】
1.一个系统,其包括:存储器;处理器,其与存储器通信并且被编程为:定义指纹,所述指纹包括在系统的注册时段期间,至少单独处理器的物理属性的基线测量结果,其中,所述注册时段包括在运行时操作之前测量所述单独处理器的物理属性;在运行时操作期间从多个传感器接收关于至少所述单独处理器的物理属性的运行时测量结果;以及响应于运行时测量结果来输出多维域图像,其中,所述多维图像用于识别基线测量结果与运行时测量结果之间的偏差。2.如权利要求1所述的系统,其中,所述基线测量结果包括从不同感官源检索的一维信号。3.如权利要求1所述的系统,其中,所述多维域图像与一个或多个感官源通道相关联。4.如权利要求1所述的系统,其中,所述处理器被配置成响应于一个或多个多维域图像来训练机器学习算法。5.如权利要求1所述的系统,其中,所述处理器被配置成将所述多维域图像输出到深度神经网络。6.如权利要求1所述的系统,其中,所述处理器被配置成利用梅尔频率倒谱系数或频谱图来变换多维图像。7.如权利要求1所述的系统,其中,所述处理器被配置成在注册时段期间将所述多维域图像输出到未经训练的神经网络。8.如权利要求1所述的系统,其中,所述处理器被配置成将所述多维域图像输出到深度神经网络,并且所述深度神经网络被配置成响应于所述多维域图像对所述单独处理器执行的操作进行分类。9.如权利要求1所述的系统,其中,所述处理器被配置成响应于所述基线测量结果在所述注册时段期间将所述多维域图像输出到未经训练的神经网络,并且所述未经训练的神经网络被配置成响应于所述多维图像来标记函数。10.如权利要求1所述的系统,其中,所述多维域图像包括:被编码到多维域图像中的多个通道。11.一种计算机实现的方法,其包括:在注册时段期间接收包括至少处理器的物理属性的基线测量结果,其中,所述注册时段包括在运行时操作之前测...
【专利技术属性】
技术研发人员:J,
申请(专利权)人:罗伯特,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。