车载CAN总线入侵检测方法技术

本发明专利技术公开了一种车载CAN总线入侵检测方法，本发明专利技术的主要设计构思在于，以提取深度特征、解决训练数据不均衡、加快模型效率为目标，在考虑CAN总线报文数据存在噪声情况下，将深度学习与机器学习有机融合，提出数据预处理+特征提取+异常检测与攻击分类的车辆CAN总线异常入侵检测策略。本发明专利技术方法利用深度学习在高维特征提取方面的优势，结合机器学习在数据分类方面的精确性，解决训练数据不均衡、含噪声数据深度特征提取困难、训练时间过高的问题。题。题。

【技术实现步骤摘要】
车载CAN总线入侵检测方法


[0001]本专利技术涉及智能网联汽车领域，尤其涉及一种车载CAN总线入侵检测方法。

技术介绍

[0002]随着物联网的迅猛发展，先进的通信技术和通信设备逐渐普及，以万车互联为核心的车联网应运而生。智能网联汽车与互联网连接紧密，具备复杂环境感知、智能决策、协同控制等功能，实现“安全、高效、舒适、节能”行驶体验。然而，随着汽车上的智能化装备越来越多，其与互联网对接程度越来越深入，受到DOS、木马等网络攻击的频率越来越高，汽车网络安全问题日益凸显。鉴于汽车网络攻击数量之多、手段方式的复杂多变，建立完善、可靠、稳定的车载入侵检测系统非常必要。CAN总线作为整个车载网络系统的关键，是所有传输、通信的交通枢纽，也是所有网络攻击的核心通道，对入侵检测至关重要。
[0003]目前，对于车联网身份认证技术主要有以下两种方案：
[0004]方案一，基于特征码的入侵检测模型通常将采集到的报文特征与已构建的攻击特征码库进行匹配，从而判断是否为某类攻击；
[0005]方案二，基于异常检测的入侵检测模型是当前的主流方法。其核心思想是利用深度学习、机器学习等先进方法对采集到的CAN报文进行深度特征提取，并将提取到的深度特征与正常报文特征进行对比，从而判断当前CAN总线是否存在网络攻击。
[0006]上述现有方案缺点如下：
[0007]上述方案一中，严重依赖于专家知识，需要定期更新特征码，无法自动对新型攻击和复合型攻击进行检测；在方案二中，基于深度学习的模型虽能精准地抽取CAN报文的深层特征，但模型参数过多，需要较长的训练时间。基于机器学习的模型时间效率较高，但无法提取网络攻击的深层特征，精度稍差。

技术实现思路

[0008]鉴于上述，本专利技术旨在提供一种车载CAN总线入侵检测方法，以解决前述提及的技术问题。
[0009]本专利技术采用的技术方案如下：
[0010]本专利技术提供了一种车载CAN总线入侵检测方法，其中包括：
[0011]在非均衡的攻击数据类别中进行多次随机采样，得到分布均衡的数据样本；
[0012]结合去噪自编码和稀疏自编码，对数据样本进行深层特征提取；
[0013]利用深层特征，对数据样本进行分类，确定是否为入侵总线的异常报文。
[0014]在其中至少一种可能的实现方式中，所述在不均衡的攻击数据类别中进行多次随机采样包括：
[0015]利用SMOTE技术对不均衡样本重复进行最近邻采样，利用最近邻与真实样本相似的分布特征，生成能够均衡每种攻击类别的样本数量。
[0016]在其中至少一种可能的实现方式中，所述对数据样本进行深层特征提取包括利用
去噪自编码在普通自编码基础上引入退化处理：在原始输入数据中强制加入噪声，对含噪声数据进行特征提取，利用提取到的特征进行原始输入数据的复现。
[0017]在其中至少一种可能的实现方式中，所述对数据样本进行深层特征提取还包括：在去噪自编码器的基础上，对去噪自编码器的急藏层进行稀疏性限制，减少所需更新的参数数量。
[0018]在其中至少一种可能的实现方式中，所述对数据样本进行深层特征提取还包括：以单层去噪稀疏自编码为基础，通过堆叠多层去噪稀疏自编码，并以前一层去噪稀疏自编码的隐藏层输出作为后一层的输入，使得多种CAN报文的表层特征进行组合变换，得到CAN报文的深层特征。
[0019]在其中至少一种可能的实现方式中，所述对数据样本进行分类包括：以支持向量机作为异常分类器，结合输入的深层特征，将正常报文与异常报文进行区分，得到表征入侵的异常检测结果。
[0020]在其中至少一种可能的实现方式中，所述车载CAN总线入侵检测方法还包括：在训练测试阶段，以历史数据为基础，利用不同的网络攻击数据训练模型；在应用阶段，以实时采集的车载CAN总线报文为输入，利用经训练测试构建出的模型对实时CAN报文进行检测，判定是否为网络攻击。
[0021]本专利技术的主要设计构思在于，提出据预处理+特征提取+异常检测与攻击分类的车辆CAN总线异常入侵检测智能模型，并利用SMOTE均衡各类训练样本数量，优化了模型精度；此外，结合堆叠稀疏去噪自编码SD
‑
SAE去除了噪声影响，提取出报文深层特征；以及采用SVM提高了分类效率精度，保证了模型的泛化能力，从而能够可靠提取报文深层特征和提高分类效率精度。
[0022]相对于现有技术，本专利技术对CAN总线入侵检测拥有更高的分类精确度，更低的误报率和漏报率。具体体现在：1)利用SMOTE技术对不均衡的训练样本进行近邻采样，生成更多相似分布的伪样本，解决了训练样本不均衡的问题；2)联合去噪自编码和稀疏自编码提取CAN数据的非线性特征，加快特征提取速度，并消除噪声带来的影响，通过堆叠多层去噪稀疏自编码实现CAN数据的深层特征提取；3)利用基于高斯核的SVM进行特征分类，实现CAN数据的异常检测，发现网络攻击。
[0023]综上所述，本专利技术方法在入侵检测智能模型过程中，有针对性的进行训练数据的预处理，报文的深层特征提取，以及异常攻击的分类，提高了模型训练效率，有更高的分类精确度，更低的误报率和漏报率。同时，在三个过程中可以采取不同的深度学习及机器学习算法，探索不同的组合方式，获取更优解。
附图说明
[0024]为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步描述，其中：
[0025]图1为本专利技术实施例提供的车载CAN总线入侵检测方法的流程图。
具体实施方式
[0026]下面详细描述本专利技术的实施例，实施例的示例在附图中示出，其中自始至终相同
或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本专利技术，而不能解释为对本专利技术的限制。
[0027]本专利技术提出了一种车载CAN总线入侵检测方法的实施例，具体来说，如图1所示，其中包括：
[0028]步骤S1、在非均衡的攻击数据类别中进行多次随机采样，得到分布均衡的数据样本；
[0029]步骤S2、结合去噪自编码和稀疏自编码，对数据样本进行深层特征提取；
[0030]步骤S3、利用深层特征，对数据样本进行分类，确定是否为入侵总线的异常报文。
[0031]进一步地，所述在不均衡的攻击数据类别中进行多次随机采样包括：
[0032]利用SMOTE技术对不均衡样本重复进行最近邻采样，利用最近邻与真实样本相似的分布特征，生成能够均衡每种攻击类别的样本数量。
[0033]进一步地，所述对数据样本进行深层特征提取包括利用去噪自编码在普通自编码基础上引入退化处理：在原始输入数据中强制加入噪声，对含噪声数据进行特征提取，利用提取到的特征进行原始输入数据的复现。
[0034]基于此，所述对数据样本进行深层特征提取还包括：在去噪自编码器的基础上，对去噪自编码器的隐藏层进行稀疏性限制，减少所需更新的参数数量。
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种车载CAN总线入侵检测方法，其特征在于，包括：在非均衡的攻击数据类别中进行多次随机采样，得到分布均衡的数据样本；结合去噪自编码和稀疏自编码，对数据样本进行深层特征提取；利用深层特征，对数据样本进行分类，确定是否为入侵总线的异常报文。2.根据权利要求1所述的车载CAN总线入侵检测方法，其特征在于，所述在不均衡的攻击数据类别中进行多次随机采样包括：利用SMOTE技术对不均衡样本重复进行最近邻采样，利用最近邻与真实样本相似的分布特征，生成能够均衡每种攻击类别的样本数量。3.根据权利要求1所述的车载CAN总线入侵检测方法，其特征在于，所述对数据样本进行深层特征提取包括利用去噪自编码在普通自编码基础上引入退化处理：在原始输入数据中强制加入噪声，对含噪声数据进行特征提取，利用提取到的特征进行原始输入数据的复现。4.根据权利要求3所述的车载CAN总线入侵检测方法，其特征在于，所述对数据样本进行深层特征提取还包括：在去噪自编码器的基础上，对去噪...

【专利技术属性】
技术研发人员：束照坤，王世全，王林林，刘捷，占胜，常颖，
申请(专利权)人：安徽江淮汽车集团股份有限公司，
类型：发明
国别省市：