本发明专利技术公开了一种基于时序算法和规则融合的汽车CAN总线入侵检测方法,涉及汽车电子信息安全的技术领域。其技术要点是:包括如下模块:时序模型检测模块,规则检测模块以及决策集成模块;决策集成模块通过将时序模型检测模块和规则检测模块进行并联,两个模块的检测结果同时交给决策集成模块,经过决策算法的融合,生成最终的检测结果。本发明专利技术具有的优点:融合了不同的检测器的优点,充分利用了不同检测器在检测过程中各自的优势,使得整体检测的准确率和查准率都得到了提升。确率和查准率都得到了提升。确率和查准率都得到了提升。
【技术实现步骤摘要】
一种基于时序算法和规则融合的汽车CAN总线入侵检测方法
[0001]本专利技术涉及汽车电子信息安全的
,具体为一种基于时序算法和规则融合的汽车CAN总线入侵检测方法。
技术介绍
[0002]车载CAN总线技术是现代汽车电子系统中的一项重要技术,用于实现车辆内部各个电子控制单元之间的通信和数据交换。CAN总线协议是一种快速、可靠且高效的通信协议,广泛应用于汽车领域。恶意攻击者可能通过CAN总线进行远程入侵、数据篡改、欺骗攻击等方式,从而对车辆的性能、安全和隐私造成严重威胁。因此车载CAN总线技术的安全性变得尤为重要。针对车载CAN总线报文的攻击注入按照攻击方式可以分为三种:DOS攻击、重放攻击、模糊攻击。
[0003]早期的研究人员和汽车制造商采取规则检测的方法来保护车辆CAN总线的安全。规则检测通过定义事先规定的CAN总线通信规则和模式,并实时检测CAN总线通信行为,一旦检测到不符合规则的行为,即发出警报并采取相应的防御措施。而利用机器学习和人工智能技术的AI检测,通过对CAN总线上的大量数据进行实时检测和分析,从中学习并识别出正常和异常的CAN总线通信模式,从而实现智能化的入侵检测。
[0004]两种检测方式在使用时都存在一些问题,规则检测的方法存在规则制定工作量大、无法检测未知的异常模式的问题。而AI检测的检测效果不稳定、可解释性低。
技术实现思路
[0005]针对现有技术存在的不足,本专利技术的目的在于提供一种基于时序算法和规则的汽车CAN总线入侵的融合检测装置方法,其具有的优点:融合了不同的检测器的优点,充分利用了不同检测器在检测过程中各自的优势,使得整体检测的准确率和查准率都得到了提升。
[0006]本专利技术的上述目的是通过以下技术方案得以实现的:
[0007]一种基于时序算法和规则融合的汽车CAN总线入侵检测方法,包括如下模块:时序模型检测模块,规则检测模块以及决策集成模块:
[0008]时序模型检测模块:用于训练可以智能化自动识别车载CAN网络中异常流量的检测模型,并将训练好的模型部署进行总线攻击检测工作;
[0009]规则检测模块:根据总线攻击报文的流量特征设计能够区分不同攻击报文的检测规则;
[0010]决策集成模块:将时序模型检测模块和规则检测模块进行并联,两个模块的检测结果同时交给决策集成模块,经过决策算法的融合,生成最终的检测结果。
[0011]本专利技术在一较佳示例中可以进一步配置为:所述时序模型检测模块主要由数据预处理、模型训练调优、时序模型检测器部署三个算法步骤组成。
[0012]本专利技术在一较佳示例中可以进一步配置为:所述规则检测模块主要由检测规则制
定和规则检测器两个步骤组成。
[0013]一种基于时序算法和规则融合的汽车CAN总线入侵检测方法,其步骤为:
[0014]S1:在实车测试环境下,采集车载CAN总线报文数据;
[0015]S2:对S1中采集的数据进行预处理操作;
[0016]S3:将S2中的原始数据集划分为训练集和测试集,用训练集对序列模型进行训练并保存;
[0017]S4:构建分类器;通过训练集训练序列模型LSTM,构建出LSTM分类器;通过人工定义的检测规则制定出规则检测分类器;
[0018]S5:制定三种攻击场景的检测规则;以S2中定义的报文序列为计算单元获取检测规则定义的报文特征;根据报文特征对测试集数据进行规则检测,并保存预测结果;
[0019]S6:将S3和S5中保存的检测结果进行对准,使得同一报文序列产生的规则检测结果和训练集中的结果进行对比;
[0020]S7:根据S6的决策集成算法,对测试集进行试验,导出最终的实验结果。
[0021]综上所述,本专利技术包括以下至少一种有益技术效果:
[0022]融合了不同的检测器的优点,充分利用了不同检测器在检测过程中各自的优势,使得整体检测的准确率和查准率都得到的提升。
附图说明
[0023]图1是本专利技术提出的基于时序算法和规则的汽车CAN总线入侵的融合检测方法的流程图;
具体实施方式
[0024]以下结合附图对本专利技术作进一步详细说明。
[0025]如图1所示,为本专利技术所披露的一种基于时序算法和规则融合的汽车CAN总线入侵检测方法:
[0026]包括如下模块:时序模型检测模块,规则检测模块以及决策集成模块。
[0027]时序模型检测模块:用于训练可以智能化自动识别车载CAN网络中异常流量的检测模型,并将训练好的模型部署进行总线攻击检测工作;常见的时序模型有RNN(Recurrent Neural Network)、LSTM(Long Short
‑
term Memory network)、GRU(GatedRecurrentUnits)等。时序模型检测模块主要由数据预处理、模型训练调优、时序模型检测器部署三个算法步骤组成。数据预处理算法负责将采集到的原始汽车CAN报文数据进行初步标准化处理以及序列化拼接,最终转换成能够被待训练的序列模型直接使用的数据格式;由模型训练调优算法将训练数据集传入待训练模型中进行训练,调整优化训练参数使得模型达到最优检测效果;最后将训练好的模型的结果输出部分进行规范化调整,使其输出的检测结果与规则检测结果形式统一。
[0028]规则检测模块:根据总线攻击报文的流量特征设计能够区分不同攻击报文的检测规则;规则检测模块主要由检测规则制定和规则检测器构造两个算法步骤组成。首先对异常流量进行特征分析并选取能够区分不同攻击流量的特征汇总成每种异常流量的检测规则。之后检测器的检测结果进行标准化处理,与时序检测器的结果形式统一。
[0029]决策集成模块:将时序模型检测模块和规则检测模块进行并联,两个模块的检测结果同时交给决策集成模块,经过决策算法的融合,生成最终的检测结果。需要先分别找出不同攻击流量的最优检测器。将上述步骤获取的两种检测器进行并行连接,利用融合决策算法融合两种检测结果。
[0030]一种基于时序算法和规则融合的汽车CAN总线入侵检测方法,其步骤为:
[0031]S1:在实车测试环境下,采集车载CAN总线报文数据;
[0032]S2:对S1中采集的数据进行预处理操作;按照入侵检测的所需的报文特征,将采集的数据转化为十进制特征值,并进一步进行归一标准化处理;将标准化后的数据按照序列模型的序列长度拼接成报文序列,得到原始数据集。
[0033]S3:将S2中的原始数据集划分为训练集和测试集,用训练集对序列模型进行训练,将训练好的序列模型保存为ModelSep;利用测试集计算出ModelSep的预测结果和置信度并保存。ModelSep的分类置信度可描述为其最后的softmax层的输出向量,输出向量的各个元素和分类类别一一对应。
[0034]S4:构建分类器;通过训练集训练序列模型LSTM,构建出LSTM分类器;通过人工定义的检测规则制定出规则本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于时序算法和规则融合的汽车CAN总线入侵检测方法,其特征在于,包括如下模块:时序模型检测模块,规则检测模块以及决策集成模块:时序模型检测模块:用于训练可以智能化自动识别车载CAN网络中异常流量的检测模型,并将训练好的模型部署进行总线攻击检测工作;规则检测模块:根据总线攻击报文的流量特征设计能够区分不同攻击报文的检测规则;决策集成模块:将时序模型检测模块和规则检测模块进行并联,两个模块的检测结果同时交给决策集成模块,经过决策算法的融合,生成最终的检测结果。2.根据权利要求1所述的一种基于时序算法和规则融合的汽车CAN总线入侵检测方法,其特征在于,所述时序模型检测模块主要由数据预处理、模型训练调优、时序模型检测器部署三个算法步骤组成。3.根据权利要求1所述的一种基于时序算法和规则融合的汽车CAN总线入侵检测方法,其特征在于,所述规则检测模块主要由...
【专利技术属性】
技术研发人员:王博文,柳泽,乔琪,张璇,蒲戈光,
申请(专利权)人:上海工业控制安全创新科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。