【技术实现步骤摘要】
一种基于数据域的CAN网络入侵检测方法及装置
[0001]本申请涉及车内网入侵检测
,尤其是一种基于数据域的CAN网络入侵检测方法及装置。
技术介绍
[0002]随着新一代通信技术和自动驾驶技术的发展,现代汽车的智能化、网联化程度不断地提高,智能网联汽车时代已经到来。智能网联汽车具有强大的信息交互能力,能够实时将车辆状态信息传至云端并处理,为用户提供多种多样的服务。比如,远程车门开锁解锁、远程控制空调、远程控制发动机等。智能网联汽车为我们提供了许多实用功能,同时也给汽车带来了潜在的威胁。
[0003]在过去,从外部接入汽车内部网络往往只能通过OBD
‑Ⅱ
接口,采用物理连接的方法接入汽车内部网络。但如今,借助智能网联汽车上的蜂窝网络、WiFi、蓝牙等无线网络连接方式,攻击者便有可能通过远程连接的方式进入汽车内部网络,汽车内部网络安全岌岌可危。CAN网络是应用最广泛的车内网络之一,它连接着各种各样的ECU(Electronic Control Unit)。ECU包含汽车内部各种控制器,负责汽车内部的功能控制,如发动机控制、车窗控制等。ECUs通过CAN网络相互通信,传输数据和控制指令。然而,CAN网络的设计没有考虑安全问题。首先,CAN网络是一种广播式网络,ECU发送到CAN网络上的报文可以被同一CAN网络中的所有其他ECU所接收。另外,CAN网络无法对消息进行加密和验证。因此,面对智能网联汽车的各种外部威胁,车内网的安全防护能力受到了严峻挑战。
[0004]现有技术存在以下问题: ...
【技术保护点】
【技术特征摘要】
1.一种基于数据域的CAN网络入侵检测方法,其特征在于,包括:从CAN流量中读取当前报文,提取当前报文的仲裁ID和数据域;根据仲裁ID从报文数据库中选取与当前报文具有相同仲裁ID的上一条正常报文,使用当前报文和上一条正常报文计算完整特征向量;所述报文数据库包括每一个仲裁ID类型的前一条正常报文;根据仲裁ID从Fuzz检测模型库中选择对应的Fuzz检测模型并从所述数据域中选取第一特征向量,使用对应的Fuzz检测模型对所述第一特征向量进行检测;若检测为Fuzz攻击,则进行告警,将检测结果存入数据库,读取下一条报文进行检测;若检测为非Fuzz攻击,则根据仲裁ID从Replay检测模型库中选择对应的Replay检测模型并从所述数据域中选取第二特征向量,使用对应的Replay检测模型对所述第二特征向量进行检测;若检测为Replay攻击,则进行告警;若检测为非Replay攻击,则将当前报文确定为正常报文,读取下一条报文进行检测;其中,所述Fuzz检测模型和所述Replay检测模型由CAN流量中报文对应的训练特征向量训练得到,且所述训练特征向量经过筛选得到。2.根据权利要求1所述的一种基于数据域的CAN网络入侵检测方法,其特征在于,所述方法还包括训练各个Fuzz检测模型和各个Replay检测模型的步骤,所述训练各个Fuzz检测模型和各个Replay检测模型的步骤包括以下步骤:从CAN流量中读取训练报文,提取训练报文的仲裁ID和数据域;将具有相同仲裁ID的数据域划分为一个子数据集,得到各个仲裁ID对应的子数据集;从每个所述子数据集中提取对应的特征,并根据提取得到的特征构建每个所述子数据集对应的训练特征向量;选取每个所述子数据集中的正常报文和Fuzz攻击报文对应的所述训练特征向量作为Fuzz数据集;选取每个所述子数据集中的正常报文和Replay攻击报文对应的所述训练特征向量作为Replay数据集;针对每个所述子数据集,以所述Fuzz数据集训练预先构建的第一决策树检测模型,得到Fuzz检测模型;以所述Replay数据集训练预先构建的第二决策树检测模型,得到Replay检测模型;所有所述子数据集训练完成后,得到各个仲裁ID对应的Fuzz检测模型和Replay检测模型。3.根据权利要求2所述的一种基于数据域的CAN网络入侵检测方法,其特征在于,所述从每个所述子数据集中提取对应的特征,并根据提取得到的特征构建每个所述子数据集对应的训练特征向量,包括:从每个所述子数据集中提取出相邻报文的数据域的各个字节;根据每个所述子数据集对应的所述各个字节构造出多个特征,得到每个所述子数据集对应的多个特征;将每个所述子数据集对应的多个特征组合为训练特征向量。4.根据权利要求3所述的一种基于数据域的CAN网络入侵检测方法,其特征在于,所述根据每个所述子数据集对应的所述各个字节构造出多个特征,得到每个所述子数据集对应的多个特征,包括:
根据第一表达式计算出相邻报文各个字节的绝对值距离,所述第一表达式为:其中,为报文数据域的字节,N表示第N条报文,i表示第i个字节,L为报文的字节长度,表示第N条报文和第N
‑
1条报文的第i个字节差的绝对值;根据第二表达式计算出相邻报文各个字节的汉明距离,所述第二表达式为:根据第三表达式计算出相邻报文各个字节的Levenshtein距离,所述第三表达式为:根据第四表达式计算出相邻报文的欧氏距离,所述第四表达式为:计算出相邻报文的Levenshtein距离;根据第五表达式计算出相邻报文的余弦距离,所述第五表达式为:根据第六表达式计算出相邻报文的第一类汉明距离,所述第六表达式为:根据第七表达式计算出相邻报文的第二类汉明距离,所述第七表达式为:所述相邻报文各个字节的绝对值距离、所述相邻...
【专利技术属性】
技术研发人员:周颖,覃国祥,李昱,代安臣,刘宇,
申请(专利权)人:中山大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。