本发明专利技术公开了一种基于动态规划的车载网络CAN总线入侵检测方法,包括以下步骤:获取CAN总线正常报文,将数据格式预处理后作为算法输入;算法使用上述报文数据,统计出每个CAN ID每一段比特区间的分布情况,即数据取值范围;根据给定的规则确定每个CAN ID每一段比特区间的分布,并计算出该分布的似然分数;使用动态规划,计算出每个CAN ID似然分数总和最大的不重叠的比特区间组合,作为该CAN ID的数据场分布;通过判断被测报文数据是否在其CAN ID的数据场分布范围内,来判断报文数据是否异常。本发明专利技术采用统计方法,可以检测CAN报文数据异常的情况,本方法实现简单,成本较低,检测精准。准。准。
Intrusion detection method and system of CAN bus in vehicle network based on dynamic programming
【技术实现步骤摘要】
基于动态规划的车载网络CAN总线入侵检测方法及系统
[0001]本专利技术属于车辆入侵检测
,涉及一种基于动态规划的车载网络CAN总线入侵检测方法及系统。
技术介绍
[0002]近年来,车联网进入了一个迅速发展的时期。车辆上的车载设备通过无线通信技术连接网络,来获取更加丰富的服务和强大的功能,同时也为网络攻击提供了更多的可能。攻击者可以通过各种手段攻击到车辆电子系统,对车载CAN总线发起DoS、模糊、重放、篡改等攻击,将可能严重影响到车辆的行驶安全,威胁到驾驶员和其他交通参与者的人身安全和财产安全。因此,有必要对CAN总线通信状态和内容进行实时监测,并及时报告异常情况,以保障CAN总线的通信安全。
[0003]以往针对CAN总线入侵监测的方法,很多是基于机器学习的方法,它们其一没有深入考察CAN总线报文的数据特征,其二一般需要人为构造有标签的异常数据作为训练集,其三往往需要较大的计算量,对于车载系统的运算能力提出较高的要求。
技术实现思路
[0004]为了解决现有技术存在的不足,本专利技术的目的是基于动态规划的车载网络CAN总线入侵检测方法,参考CAN总线报文的设计原理和原则,使用统计方法计算出数据场的分布规律,可以简单有效地解决不符合定义的数据的异常检测问题。
[0005]本专利技术提出的基于动态规划的车载网络CAN总线入侵检测方法,通过统计每个消息所有可能的数据分布情况,并对每个分布根据给定的规则打出分数,再使用动态规划得出数据场最可能的定义范围,从而实现判断CAN总线报文的数据是否异常。
[0006]本专利技术提出的基于动态规划的车载网络CAN总线入侵检测方法,包括以下步骤:
[0007]步骤1:获取CAN总线正常报文,将报文数据场数据转化为二进制比特流,将获取的正常报文中每个CAN ID报文出现的最大长度为记作k
id
,作为算法输入;
[0008]所述报文的信息包括时间戳、CAN ID、数据长度码DLC和十六进制数据;所述报文数据场数据转化为二进制比特流数据是指将数据场中的每个字节按顺序转换为二进制表示,并串联起来形成比特流;为了方便后续算法处理,还可以对数据长度进行补齐,将数据补足到报文最大长度k,一般使用0做填充,将后续步骤中每个CAN ID的报文长度从k
id
变成k,该行为不会影响最终检测结果;其中,k是k
id
的最大取值,在传统CAN总线中k取64,0≤k
id
≤k。
[0009]步骤2:通过统计比特区间取值范围,确定每个CAN ID的数据场任一比特区间的分布情况并计算其似然分数;
[0010]步骤2.1:枚举每个CAN ID数据场的任一比特区间其中上标表示CAN ID,下标表示数据场第i个比特到第j个比特这一区间,b
i
,b
i+1
,
…
,b
j
表示区间内的比特流,其中i,j∈[0,k
id
‑
1];
[0011]步骤2.2:计算区间长度l=j
‑
i+1和区间所表示的不同比特流的个数c;
[0012]步骤2.3:判断区间分布是否稀疏,获得区间取值范围如果的布尔值为真,则区间分布是稀疏的,为区间内所有比特流,否则,为区间内比特流的最小值和最大值所包含的整个区间的取值范围;
[0013]步骤2.4:计算区间分布的似然分数如果分布是稀疏的,否则,
[0014]步骤3:使用动态规划,对于每个CAN ID的数据场,找出一个不重叠比特区间组合使得它们的似然分数总和最大,从而获得数据场的整体分布情况,所以本专利技术中动态规划所要求解的问题即为某个CAN ID的k
id
位数据场的最大似然分数子问题是该CAN ID前i位数据场的最大似然分数
[0015]步骤3.1:初始化每个CAN ID的数据场在第0比特的似然分数为在第0比特的转移路径为用于记录转移路径中每个区间的起点;
[0016]步骤3.2:计算每个CAN ID的数据场的最大似然分数状态转移方程为:状态转移方程为:同时记录状态转移路径
[0017]步骤3.3:根据转移路径获得数据场比特区间的组合,查询D
id
获得数据场分布情况,查询V
id
获得每个数据场分布的取值范围,最终得到数据场完整的数据场分布结果。
[0018]步骤3.3中,将查询D
id
获得数据场分布情况和查询V
id
获得每个数据场分布的取值范围通过处理转移路径其中p
i
(i=1,2,
…
)表示第i个比特区间的起点,每个比特区间的终点通过后一个比特区间起点减1获得;获得比特区间组合为[[0,p1‑
1],[p1,p2‑
1],
…
],则比特区间组合是否稀疏的情况为比特区间组合各自的取值情况为最终获得完整的数据场分布结果。
[0019]步骤2、3加起来即为附图2中计算数据场分布结果的过程。
[0020]步骤4:判断新获得的报文数据是否落在上一步得出的同一CAN ID数据场分布范围内,来判断报文数据是否异常。
[0021]以下为本专利技术以k作为报文最大长度时实现流程的代码:
[0022][0023][0024]与现有类似方法相比,如专利CN110275508A中对数据域的异常检测方法,步骤2中本方法对比特区间的分布情况的计算更为简单实用,只分成了稀疏分布与非稀疏分布两种,而不是考虑常值特征、循环值特征、多值特征、无规律特征等多种情况,并且不是暴力地将比特区间划分成固定的4bit一段,而是考虑了CAN总线通信规律,因为在报文数据定义时使用的比特区间是任意的,所以在步骤3中使用动态规划算法找出最可能的比特区间分组;与论文MARKOVITZ M,WOOLA.Field classification,modeling and anomaly detectionin unknown can bus networks[J].Vehicular Communications,2017,9:43
‑
52.中的方法相比,同样简化了数据分布的计算,而且论文中对于比特区间分组的求解使用的是贪心算法,不能保证求出最优解,而本方法使用的动态规划算法能够求出问题的最优解,并且本方法在数据样本足够的情况下检测效果比论文中99%的准确率更好。
[0025]本专利技术还提供了实现上述入侵检测方法的系统,所述系统包括:预处理模块,统计模块,分组模块,异常检测模块。
[0026]所述预处理模块负责将正常报文按照CAN ID分类,然后提取出报文数据,转换为二进制比特流;
[0027]所述统计模块负责统计数据场任意比特区间不同比特流个数以及计算该区间的长度,通过这两个参数将其分类为稀疏或非稀疏,然后设定该区间的比特流取值范围,计算该区间的似然分数;...
【技术保护点】
【技术特征摘要】
1.一种基于动态规划的车载网络CAN总线入侵检测方法,其特征在于,包括以下步骤:步骤1:获取CAN总线正常报文,将报文数据场数据转化为二进制比特流,将获取的正常报文中每个CAN ID报文出现的最大长度为记作k
id
,作为算法输入;步骤2:通过统计比特区间取值范围,确定每个CAN ID的数据场任一比特区间的分布情况并计算其似然分数;步骤3:使用动态规划,对于每个CAN ID的数据场,找出一个不重叠比特区间组合使得它们的似然分数总和最大,从而获得数据场的整体分布情况;步骤4:对于新获得的报文进行步骤1
‑
3的操作,并判断新获得的报文数据是否落在上一步得出的同一CAN ID的数据场分布范围内,来判断报文数据是否异常。2.根据权利要求1所述的基于动态规划的车载网络CAN总线入侵检测方法,其特征在于,步骤1中,所述报文的信息包括时间戳、CAN ID、数据长度码DLC和十六进制数据;所述报文数据场数据转化为二进制比特流数据是指将数据场中的每个字节按顺序转换为二进制表示,并串联起来形成比特流。3.根据权利要求1所述的基于动态规划的车载网络CAN总线入侵检测方法,其特征在于,所述步骤2具体包括以下步骤:步骤2.1:枚举每个CAN ID数据场的任一比特区间其中上标表示CAN ID,下标表示数据场第i个比特到第j个比特这一区间,b
i
,b
i+1
,...,b
j
表示区间内的比特流,其中i,j∈[0,k
id
‑
1];步骤2.2:计算区间长度l=j
‑
i+1和区间所表示的不同比特流的个数c;步骤2.3:判断区间分布是否稀疏,据此获得区间取值范围步骤2.4:计算区间分布的似然分数4.根据权利要求3所述的基于动态规划的车载网络CAN总线入侵检测方法,其特征在于,所述步骤2.3中,判断区间分布是否稀疏的公式为:如果的布尔值为真,则区间分布是稀疏的,为区间内所有比特流,否则,为区间内比特流所表示的最小值和最大值所包含的整个区间的取值范围。5.根据权利要求3所述的基于动态规划的车载网络CAN总线入侵检测方法,其特征在于,所述步骤2.4中,计算稀疏分布似然分数的公式为:计算非稀疏分布似然分数的公式...
【专利技术属性】
技术研发人员:刘虹,沈青,马臻,于涛,成文东,
申请(专利权)人:上海伊世智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。