本文公开的是用于使用分阶段机器学习(ML)来检测车辆操作环境中的潜在恶意攻击的系统和方法,包括:创建多个特征向量,每个特征向量包括从由部署在一个或多个车辆中的多个装置生成的车辆操作数据中提取的多个特征,所述车辆操作数据指示所述一个或多个车辆的操作;使用应用于所述多个特征向量的一个或多个无监督ML模型来实时检测多个异常特征向量;使用应用于所述多个异常特征向量的一个或多个有监督ML模型来实时识别一个或多个潜在网络攻击事件;以及生成指示所述一个或多个潜在网络攻击事件的警报。络攻击事件的警报。络攻击事件的警报。
【技术实现步骤摘要】
使用分阶段机器学习来增强车辆网络安全
[0001]相关申请的交叉引用
[0002]本申请要求2021年6月14日提交的名称为“Active False Positive Reduction for Cybersecurity and Vehicle Diagnostics Malfunctions”的以色列专利申请号283977的优先权权益,所述申请的内容以全文引用的方式并入本文。
技术介绍
[0003]本文描述的一些实施方案涉及使用机器学习(ML)模型来用于检测车辆环境中的潜在网络攻击,并且更具体地但不排他地,涉及使用无监督ML模型和有监督ML模型的分阶段流水线来用于检测车辆环境中的潜在网络攻击。
[0004]与过去车辆曾主要是机械隔离的实体相比,现代车辆通过部署多个电子装置、电子控制单元(ECU)、监视和控制系统等而被高度自动化。
[0005]随着已经普遍使用的部分自主车辆和可能在不久的将来出现的自主车辆的快速发展和部署,这种趋势得到了高度强化和扩展。
[0006]此类自动化的车辆以及与远程系统、服务、平台和/或基础设施通信的更多如此相连的车辆可能极易受到网络威胁、攻击和/或恶意行为,因为自动化的车辆操作环境操控着可能会受损害的计算装置。
[0007]因此,在车辆环境中操作的网络安全已成为许多组织、公司、研究中心、政府机构的主要关注点和焦点,并投入大量资源、工作和研究以试图制定旨在提高车辆环境中的安全性、保障性、隐私等的网络安全措施。
技术实现思路
[0008]根据本文描述的第一方面,提供了一种使用分阶段ML来检测车辆操作环境中的潜在恶意攻击的方法,包括使用被配置为进行以下操作的一个或多个处理器:
[0009]‑
创建多个特征向量,每个特征向量包括从由部署在一个或多个车辆中的多个装置生成的车辆操作数据中提取的多个特征。所述车辆操作数据指示一个或多个车辆的操作。
[0010]‑
使用应用于所述多个特征向量的一个或多个无监督ML模型来实时检测多个异常特征向量。使用多个未标记的训练特征向量来训练一个或多个无监督ML模型。
[0011]‑
使用应用于多个异常特征向量的一个或多个有监督ML模型来实时识别一个或多个潜在网络攻击事件。使用多个已标记的训练特征向量来训练一个或多个有监督ML模型。
[0012]‑
生成指示一个或多个潜在网络攻击事件的警报。
[0013]根据本文描述的第二方面,提供了一种用于使用分阶段ML来检测车辆操作环境中的潜在恶意攻击的系统,所述系统包括存储代码的程序存储装置,以及耦合到所述程序存储装置以用于执行存储的代码的一个或多个处理器。所述代码包括:
[0014]‑
用以创建多个特征向量的代码指令,每个特征向量包括从由部署在一个或多个车辆中的多个装置生成的车辆操作数据中提取的多个特征。所述车辆操作数据指示一个或
多个车辆的操作。
[0015]‑
用以使用应用于所述多个特征向量的一个或多个无监督ML模型来实时检测多个异常特征向量的代码指令。使用多个未标记的训练特征向量来训练一个或多个无监督ML模型。
[0016]‑
用以使用应用于多个异常特征向量的一个或多个有监督ML模型来实时识别一个或多个潜在网络攻击事件的代码指令。使用多个已标记的训练特征向量来训练一个或多个有监督ML模型。
[0017]‑
用以生成指示一个或多个潜在网络攻击事件的警报的代码指令。
[0018]在所述第一方面和/或所述第二方面的另一实现形式中,所述一个或多个无监督ML模型配置有阈值,所述阈值被设置为产生最大召回值,从而以高误报检测为代价产生无漏报检测。
[0019]在所述第一方面和/或所述第二方面的另一实现形式中,多个已标记的训练特征向量的数目显著小于多个未标记的训练特征向量的数目。
[0020]在所述第一方面和/或所述第二方面的另一实现形式中,所述多个特征向量中的每一者反映多个时间窗口中的根据相应的特征向量的多个特征的时序在时间上布置所述多个特征的相应的时间窗口。
[0021]在所述第一方面和/或所述第二方面的任选的实现形式中,所述多个时间窗口中的每一者被归一化。
[0022]在所述第一方面和/或所述第二方面的任选的实现形式中,所述一个或多个无监督ML模型被配置为向所述多个特征向量应用维度缩减和维度重构。
[0023]在所述第一方面和/或所述第二方面的另一实现形式中,所述一个或多个无监督ML模型被配置为基于相应的特征向量的重构误差而将所述多个特征向量中的每一者分类为异常特征向量或不分类为异常特征向量。
[0024]在所述第一方面和/或所述第二方面的另一实现形式中,使用多个已标记的训练特征向量来训练一个或多个有监督ML模型以学习一个或多个车辆典型的多个异常事件。多个已标记的训练特征向量中的每一者与相应的标记相关联,所述标记将相应的已标记的训练特征向量映射到基于对相应的已标记的训练特征向量的多个特征和/或从其导出相应的已标记的训练特征向量的多个特征的车辆操作数据的分析而识别的一个或多个故障形态。
[0025]在所述第一方面和/或所述第二方面的另一实现形式中,在一个或多个半监督训练会话中使用多个已标记的训练特征向量并进一步使用多个未标记的训练特征向量来进一步训练所述一个或多个有监督ML模型。
[0026]在所述第一方面和/或所述第二方面的另一实现形式中,基于由部署在与所述一个或多个车辆类似的多个车辆中的多个装置捕获的数据来创建所述多个未标记的训练特征向量中的一者或多者和/或所述多个已标记的训练特征向量中的一者或多者。
[0027]在所述第一方面和/或所述第二方面的另一实现形式中,基于使用被配置为模拟所述一个或多个车辆的操作的一种或多种算法所创建的合成数据来创建所述多个未标记的训练特征向量中的一者或多者和/或多个已标记的训练特征向量中的一者或多者。
[0028]在所述第一方面和/或所述第二方面的另一实现形式中,所述一个或多个无监督ML模型和所述一个或多个有监督ML模型中的每一者是由以下各项组成的组的成员:神经网
络、深度神经网络、分类器、自动编码器和支持向量机(SVM)。
[0029]在所述第一方面和/或所述第二方面的另一实现形式中,所述神经网络和/或所述深度神经网络包括卷积神经网络(CNN)。
[0030]在所述第一方面和/或所述第二方面的另一实现形式中,所述一个或多个处理器部署在一个或多个车辆中,使得在所述一个或多个车辆中在本地识别所述多个异常事件和所述一个或多个潜在网络攻击事件。
[0031]在所述第一方面和/或所述第二方面的另一实现形式中,所述一个或多个处理器部署在一个或多个远程系统中,所述远程系统被配置为基于经由一个或多个通信通道从一个或多个车辆接收的数据而检测多个异常事件和一个或多个潜在网络攻击事件。
[0032]在所述第一方面和/或所述第二方面的另一实现形式本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种使用分阶段机器学习(ML)来检测车辆操作环境中的潜在恶意攻击的方法,所述方法包括:使用被配置为用于以下操作的至少一个处理器:创建多个特征向量,每个特征向量包括从由部署在至少一个车辆中的多个装置生成的车辆操作数据中提取的多个特征,所述车辆操作数据指示所述至少一个车辆的操作;使用应用于所述多个特征向量的至少一个无监督ML模型来实时检测多个异常特征向量,使用多个未标记的训练特征向量来训练所述至少一个无监督ML模型;使用应用于所述多个异常特征向量的至少一个有监督ML模型来实时识别至少一个潜在网络攻击事件,使用多个已标记的训练特征向量来训练所述至少一个有监督ML模型;以及生成指示所述至少一个潜在网络攻击事件的警报。2.如权利要求1所述的方法,其中所述至少一个无监督ML模型配置有阈值,所述阈值被设置为产生最大召回值,从而以高误报检测为代价产生无漏报检测。3.如前述权利要求中任一项所述的方法,其中所述多个已标记的训练特征向量的数目显著小于所述多个未标记的训练特征向量的数目。4.如前述权利要求中任一项所述的方法,其中所述多个特征向量中的每一者反映多个时间窗口中的根据相应的特征向量的所述多个特征的时序在时间上布置所述多个特征的相应的时间窗口。5.如前述权利要求中任一项所述的方法,所述方法还包括将所述多个时间窗口中的每一者归一化。6.如前述权利要求中任一项所述的方法,所述方法还包括配置所述至少一个无监督ML模型以向所述多个特征向量应用维度缩减和维度重构。7.如前述权利要求中任一项所述的方法,其中所述至少一个无监督ML模型被配置为基于所述相应的特征向量的重构误差而将所述多个特征向量中的每一者分类为异常特征向量或不分类为异常特征向量。8.如前述权利要求中任一项所述的方法,其中使用所述多个已标记的训练特征向量来训练所述至少一个有监督ML模型以学习对于所述至少一个车辆而言是典型的多个异常事件,所述多个已标记的训练特征向量中的每一者与相应的标记相关联,所述相应的标记将相应的已标记的训练特征向量映射到至少一个故障形态,所述至少一个故障形态是基于对所述相应的已标记的训练特征向量的所述多个特征和/或从中得到所述相应的已标记的训练特征向量的所述多个特征的所述车辆操作数据的分析而识别。9.如前述权利要求中任一项所述的方法,其中在至少一个半监督训练会...
【专利技术属性】
技术研发人员:S蒙德洛维茨,N摩古利斯,
申请(专利权)人:雷德本德有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。