一种车载CAN总线异常流量检测溯源方法及系统技术方案

本申请提供了一种车载CAN总线异常流量检测溯源方法及系统，其解决了现有的车载网异常检测方法无法实现异常ECU溯源的技术问题；包括：获取CAN总线流量数据并处理生成节点特征矩阵、特征邻接矩阵和CAN ID与发送源ECU的映射表；将节点特征矩阵、特征邻接矩阵输入图卷积网络GCN进行学习训练；根据训练好的图卷积网络GCN和CAN ID与发送源ECU的映射表，对异常ECU进行溯源。本申请广泛应用于车载网异常检测技术领域。测技术领域。测技术领域。

【技术实现步骤摘要】
一种车载CAN总线异常流量检测溯源方法及系统


[0001]本申请涉及一种车载网异常检测方法，更具体地说，是涉及一种车载CAN总线异常流量检测溯源方法及系统。

技术介绍

[0002]作为车联网和智慧交通系统的重要组成元素，搭载了车载通信网络与各类嵌入式计算装置的智能网联车开始快速普及。
[0003]作为车辆行业的实际车载网通信标准，车载控制域网络(Controller Area Network，CAN)总线的通信协议实现了车内各个电子控制单元(Electronic Control Unit，ECU)之间的相互通信。ECU采用逐位仲裁、明文广播的方式传递CAN协议消息，从而实现快速、高效的数据交换。然而CAN总线没有足够的安全功能：通信接口访问控制薄弱、数据交互缺乏认证、报文无源地址和目的地址等因素使车辆容易遭受恶意攻击。车辆的故障会直接影响到交通安全和人员安全，如何保护车辆网络安全，防御车载网受到的网络攻击是个紧迫而重要的问题。
[0004]通过调研，现有的车载网异常检测技术由检测ECU的物理特征逐渐转变为检测ECU之间交互的CAN消息数据流特征，较为主流的方法往往使用深度卷积神经网络或循环神经网络模型等。有监督的神经网络模型大多将包含注入消息的整段数据流标记为攻击，不仅弱化了检测精度，也使得检测结果无法明确辨别哪一条CAN消息对应的ECU出现异常，导致无法实现恶意(异常)ECU溯源的问题。此外，现有研究的关注点主要在于提升检测效果，例如提高检测准确率、精确率、召回率，降低误报率等，但对泛化能力的关注不足。有少数异常检测方案考虑了数据流的上下文信息，却未考虑ECU之间的逻辑拓扑特征以及数据流耦合特征也是提升泛化能力的关键。另外，使用深度卷积神经网络等深度学习方法普遍存在网络层数众多、参数繁多、模型体量大等缺点。

技术实现思路

[0005]为解决现有车载网异常检测方法无法实现异常ECU溯源的问题，本申请采用的技术方案是：提供一种车载CAN总线异常流量检测溯源方法，包括：
[0006]获取CAN总线流量数据并处理生成节点特征矩阵、特征邻接矩阵和CAN ID与发送源ECU的映射表；
[0007]将节点特征矩阵、特征邻接矩阵输入图卷积网络GCN进行学习训练；
[0008]根据训练好的图卷积网络GCN和CAN ID与发送源ECU的映射表，对异常ECU进行溯源。
[0009]优选地，获取CAN总线流量数据指，获取CAN总线包含时间戳、CAN ID、Data域数值和类别标签的流量数据。
[0010]优选地，生成节点特征矩阵，具体步骤包括：
[0011]划分CAN总线的消息为连续的若干窗口，每个窗口包含多条CAN消息；
[0012]构建每个窗口的消息时序关联图，提取图属性；
[0013]为每条CAN消息保留正常或异常标签，并对CAN消息的Data域数值预处理，生成特征向量；
[0014]将图属性与特征向量拼接，生成节点特征矩阵。
[0015]优选地，构建每个窗口的消息时序关联图，具体处理步骤：
[0016]将窗口内的每个不同的CAN ID值视为一个节点，在每前后两条CAN消息对应的节点之间构建一条由后一条CAN ID指向前一条CAN ID的边，得到每个窗口的消息时序关联图。
[0017]优选地，生成特征邻接矩阵，具体步骤包括：
[0018]划分CAN总线的消息为连续的若干窗口，每个窗口包含多条CAN消息；
[0019]构建每个窗口的CAN总线数据流耦合关系图，生成邻接矩阵。
[0020]优选地，构建每个窗口的CAN总线数据流耦合关系图，具体处理步骤：
[0021]将窗口内的每条CAN消息均视为节点；
[0022]在前后两条相邻的节点之间构建连接边，并在CAN ID值相同的节点之间构建连接边，生成窗口的数据流耦合关系图。
[0023]优选地，生成CAN ID与发送源ECU的映射表，具体步骤包括：
[0024]收集带时间戳的CAN ID数据流；
[0025]采用成对时钟偏移跟踪算法判断不同的CAN ID是否为同一ECU发出；
[0026]将来源相同的CAN ID聚类，得到CAN ID和ECU的映射表。
[0027]优选地，采用成对时钟偏移跟踪算法，判断不同的CAN ID是否为同一ECU发出，具体处理步骤：
[0028]统计两个CAN ID各自的周期，计算两个CAN ID在每个超周期时刻出现的时钟偏移差异；如果差异小于设置的阈值，则这两个CAN ID由同一ECU发出。
[0029]优选地，根据训练好的图卷积网络GCN和CAN ID与发送源ECU的映射表，对异常ECU进行溯源，具体步骤包括：
[0030]由训练好的GCN网络对CAN总线数据流进行细粒度异常检测；
[0031]提取异常CAN消息的CAN ID域内容，结合CAN ID和发送源ECU的映射表查找异常ECU。
[0032]本专利技术还提供一种车载CAN总线异常流量检测系统，包括：
[0033]流量获取模块：用于获取CAN总线流量数据并处理生成节点特征矩阵、特征邻接矩阵和CAN ID与发送源ECU的映射表；
[0034]流量学习模块：将节点特征矩阵、特征邻接矩阵输入图卷积网络GCN进行学习训练；
[0035]流量溯源模块：根据训练好的图卷积网络GCN和CAN ID与发送源ECU的映射表，对异常ECU进行溯源。
[0036]本专利技术的有益效果，提供了一种基于消息时序关联图和数据流耦合关系图的车载CAN总线流量异常检测溯源方法。由消息的时序特点和ECU的逻辑拓扑特征生成面向ECU逻辑关联的拓扑结构即消息时序关联图，提取图属性生成节点特征，通过数据流耦合关系图生成邻接矩阵，并使用浅层图卷积网络进行学习计算，实现精确到每条车载CAN消息的异常
检测，结合成对时钟偏移跟踪算法对遭受攻击的异常ECU进行溯源，解决现有主流基于神经网络的智能异常检测算法难以实现ECU溯源、泛化能力不足、模型复杂、体量大、参数多等问题，实现对车载CAN总线的异常流量检测溯源。
附图说明
[0037]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0038]图1为车载CAN总线异常流量检测溯源方法流程图；
[0039]图2为由CAN总线的消息划分的单个窗口示意图；
[0040]图3为图2窗口的消息时序关联图。
具体实施方式
[0041]为了使本申请所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种车载CAN总线异常流量检测溯源方法，其特征在于，包括：获取CAN总线流量数据并处理生成节点特征矩阵、特征邻接矩阵和CAN ID与发送源ECU的映射表；将节点特征矩阵、特征邻接矩阵输入图卷积网络GCN进行学习训练；根据训练好的图卷积网络GCN和CAN ID与发送源ECU的映射表，对异常ECU进行溯源。2.如权利要求1所述的车载CAN总线异常流量检测溯源方法，其特征在于：所述获取CAN总线流量数据指，获取CAN总线包含时间戳、CAN ID、Data域数值和类别标签的流量数据。3.如权利要求1所述的车载CAN总线异常流量检测溯源方法，其特征在于：生成节点特征矩阵，具体步骤包括：划分CAN总线的消息为连续的若干窗口，每个窗口包含多条CAN消息；构建每个窗口的消息时序关联图，提取图属性；为每条CAN消息保留正常或异常标签，并对CAN消息的Data域数值预处理，生成特征向量；将图属性与特征向量拼接，生成节点特征矩阵。4.如权利要求3所述的车载CAN总线异常流量检测溯源方法，其特征在于：构建每个窗口的消息时序关联图，具体处理步骤：将窗口内的每个不同的CAN ID值视为一个节点，在每前后两条CAN消息对应的节点之间构建一条由后一条CAN ID指向前一条CAN ID的边，得到每个窗口的消息时序关联图。5.如权利要求3所述的车载CAN总线异常流量检测溯源方法，其特征在于：生成特征邻接矩阵，具体步骤包括：划分CAN总线的消息为连续的若干窗口，每个窗口包含多条CAN消息；构建每个窗口的CAN总线数据流耦合关系图，生成邻接矩阵。6.如权利要求5所述的车载CAN总线异常流量检测溯源方法，其特征在于：构建每个窗口的CAN总线数据流耦合关系图，具体处...

【专利技术属性】
技术研发人员：王凯，蒋琪光，王佰玲，王巍，魏玉良，
申请(专利权)人：威海天之卫网络空间安全科技有限公司，
类型：发明
国别省市：