一种异常检测方法,用于检测车载网络系统中的网络的异常,该车载网络系统具备经由车辆内的网络进行消息的收发的多个电子控制单元,该异常检测方法为:将从车载网络接收到的消息序列中的一定期间的消息序列所包含的多个消息的接收间隔或传感器值的推移进行图像数据化(S11),使用学习完毕的CNN,根据图像数据对一定期间是否插入有攻击消息进行分类(S12),在一定期间插入有攻击消息的情况下(S13中为“是”),输出意思为有在一定期间内有插入攻击消息的追加型攻击的检测结果(S14)。消息的追加型攻击的检测结果(S14)。消息的追加型攻击的检测结果(S14)。
【技术实现步骤摘要】
【国外来华专利技术】异常检测方法、异常检测装置以及程序
[0001]本公开涉及对车载网络中发送的消息的异常进行检测的异常检测方法、异常检测装置以及程序。
技术介绍
[0002]近年来,在汽车中的系统中大多配置有称为电子控制单元(ECU:Electronic Control Unit)的装置。将这些ECU相连的网络称为车载网络。在车载网络中存在很多规格。其中最主流的车载网络之一是CAN(Controller Area Network,控制器局域网),也称为CAN总线。
[0003]CAN总线被设计成避免汽车的ECU之间的大量物理配线。CAN数据包即消息的有效载荷包含来自车速传感器、加速度传感器、横摆率传感器等称为检测车辆的举动的传感器的一个以上的ECU的数据。
[0004]在CAN总线上,各ECU利用事先分配的ID将消息广播通信。但是,现状的CAN总线的安保功能不充分,因此有可能插入导致网络攻击的非法的消息、即有可能被注入攻击。另外,注入攻击是通常的网络攻击之一。
[0005]因此,为了检测并应对针对CAN总线的注入攻击,提出了很多技术(例如非专利文献1)
[0006]在非专利文献1中公开了使用深度神经网络(DNN)根据CAN数据包高精度地检测CAN总线中的攻击的技术。
[0007]在先技术文献
[0008]非专利文献
[0009]非专利文献1:Min
‑
Joo Kang and Je
‑
Won Kang.Intrusion detection system using deep neural network for in
‑
vehicle network security.PloS one,11(6):e0155781,2016.
技术实现思路
[0010]专利技术要解决的问题
[0011]但是,在非专利文献1所公开的技术中,随着网络攻击手法变得智能,有可能无法检测CAN总线中的攻击。
[0012]本公开是鉴于上述的情况而完成的,其目的在于提供一种能够高精度地检测针对车载网络的攻击的异常检测方法、异常检测装置以及程序。
[0013]解决问题的手段
[0014]为了解决上述问题,本公开的一个方式的异常检测方法,用于检测车载网络系统中的网络的异常,该车载网络系统具备经由车辆内的所述网络进行消息的收发的多个电子控制单元,在所述异常检测方法中,将从所述网络接收到的消息序列中的一定期间的消息序列所包含的多个消息的接收间隔或者传感器值的推移进行图像数据化,使用学习完毕
CNN即学习完毕的卷积神经网络,根据图像数据,对在所述一定期间是否插入有攻击消息进行分类,在所述一定期间插入有攻击消息的情况下,输出意思为在所述一定期间内有插入攻击消息的追加型攻击的检测结果。
[0015]此外,这些全面的或具体的技术方案既可以通过系统、方法、集成电路、计算机程序或计算机可读取的CD
‑
ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序以及记录介质的任意组合来实现。
[0016]专利技术的效果
[0017]根据本公开的异常检测方法等,能够高精度地检测对车载网络的攻击。
附图说明
[0018]图1是表示实施方式1的异常检测装置的概要的图。
[0019]图2A是表示实施方式1的CAN总线数据帧的结构的图。
[0020]图2B是实施方式1的注入攻击的攻击手法的说明图。
[0021]图3是表示通过软件实现实施方式的异常检测装置的功能的计算机的硬件结构的一例的图。
[0022]图4是表示实施方式1的异常检测装置的结构的一例的框图。
[0023]图5是表示图4所示的输入处理部的详细结构的一例的框图。
[0024]图6A是实施方式1的窗口生成处理部的窗口的生成方法的说明图。
[0025]图6B是表示实施方式1的窗口生成处理部生成的子窗口的尺寸的一例的图。
[0026]图7是表示实施方式1的窗口生成处理部生成的当前的子窗口中包含攻击消息的情况的一例的图。
[0027]图8A是概念性地表示未受到追加型攻击的情况下的正常的消息序列的接收间隔的图。
[0028]图8B是概念性地表示受到了追加型攻击的情况下的异常的消息序列的接收间隔的图。
[0029]图9A是概念性地表示未受到追加型攻击的情况下的正常的消息序列的传感器值的图。
[0030]图9B是概念性地表示受到了追加型攻击的情况下的异常的消息序列的传感器值的图。
[0031]图10A是表示实施方式1的未受到追加型攻击的情况下的消息序列的接收间隔的图像的一例的图。
[0032]图10B是表示实施方式1的受到了追加型攻击的情况下的消息序列的接收间隔的图像的一例的图。
[0033]图11A是表示实施方式1的未受到追加型攻击的情况下的消息序列的传感器值的图像的一例的图。
[0034]图11B是表示实施方式1的受到了追加型攻击的情况下的消息序列的传感器值的图像的一例的图。
[0035]图12是实施方式1的对学习完毕的CNN的处理的概念图。
[0036]图13是用于概念性地说明图12所示的学习完毕的CNN的处理流程的图。
[0037]图14是表示实施方式1的学习完毕的CNN的结构的一例的图。
[0038]图15是表示实施方式1的异常检测装置的动作概要的流程图。
[0039]图16是表示实施方式2的异常检测装置的结构的一例的框图。
[0040]图17是表示实施方式2的消息分类处理部的详细结构的一例的框图。
[0041]图18是用于概念性地说明实施方式2的异常检测的粒度的图。
[0042]图19是用于概念性地说明实施方式2的CNN消息分类器(CNN Message Classifier)的处理流程的图。
[0043]图20A是表示实施方式2的输入到消息分类器的多个消息和特征量的具体例的图。
[0044]图20B是表示实施方式2的消息分类器的判定结果的具体例的图。
[0045]图21是用于概念性地说明实施方式2的消息分类器进行的特征提取处理的图。
[0046]图22是用于概念性地说明实施方式2的LSTM消息分类器(LSTM Message Classifier)的处理流程的图。
[0047]图23A是表示实施方式2的输入到消息分类器的多个消息和特征量的具体例的图。
[0048]图23B是表示实施方式2的消息分类器的判定结果的具体例的图。
[0049]图24是用于说明针对同值攻击的消息级别的分类的问题及其对策的图。
[0050]图25是用于概念性地说明通过计算消息序列中的消息之间的传感器值的差来判定是否发生同值攻击的图。
[0051]图26是表示实施方式2的异常检测装置的动作概要的流程图。
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种异常检测方法,用于检测车载网络系统中的网络的异常,该车载网络系统具备经由车辆内的所述网络进行消息的收发的多个电子控制单元,在所述异常检测方法中,将从所述网络接收到的消息序列中的一定期间的消息序列所包含的多个消息的接收间隔或者传感器值的推移进行图像数据化,使用学习完毕CNN即学习完毕的卷积神经网络,根据图像数据,对在所述一定期间是否插入有攻击消息进行分类,在所述一定期间插入有攻击消息的情况下,输出意思为在所述一定期间内有插入攻击消息的追加型攻击的检测结果。2.根据权利要求1所述的异常检测方法,其中,通过使用滑动窗口分割从所述网络接收的消息序列,取得所述一定期间所包含的多个消息,通过根据所取得的所述多个消息来生成表示所述多个消息的接收间隔的图像数据或者表示所述多个消息的传感器值的推移的图像,将所述多个消息的接收间隔或者传感器值的推移进行图像数据化。3.根据权利要求1或2所述的异常检测方法,其中,在所述一定期间插入有攻击消息的情况下,进一步地,根据包含在所述一定期间的消息序列中的多个消息各自所包含的传感器值,基于预先确定的规则,判定所述多个消息是否为攻击消息。4.根据权利要求1至3中任一项所述的异常检测方法,其中,在所述一定期间插入有攻击消息的情况下,进一步地,计算包含在所述一定期间的消息序列中的多个消息中的由在接收时刻前后的两个消息构成的所有组合的传感器值的差值,对计算出的所述差值进行分组,判定分组后的各组所包含的所有的所述差值是否为0,在所述所有的差值不为0的情况下,输出意思为在所述一定期间有插入了攻击消息的追加型攻击的检测结果,在所述所有的差值不为0的情况下,输出意思为在所述一定期间中所述差值不为0的组的消息不是攻击消息的所述检测结果。5.根据权利要求1或2所述的异常检测方法,其中,在所述一定期间插入有攻击消息的情况下,进一步地,使用与所述学习完毕CNN不同的学习完毕CNN,从包含在所述一定期间的消息序列中的多个消息,检测所述多个消息中的作为攻击消息的消息和被攻击的传感器。6.根据权利要求1或2所述的异常检测方法,其中,在所述一定期间插入有攻击消息的情况下,进一步地,使用学习完毕LSTM即学习完毕的长短期记忆,...
【专利技术属性】
技术研发人员:N,
申请(专利权)人:松下电器美国知识产权公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。