一种基于数据域的CAN网络入侵检测方法及装置制造方法及图纸

本申请公开了一种基于数据域的CAN网络入侵检测方法及装置，本申请引入了多种特征并提供了相应的CAN网络入侵检测方法，可以充分表征流量数据各个层次的特征信息；使用基于极度随机树的特征选择算法对构造的特征向量进行特征选择，并使用重要特征构建检测模型；通过特征构造和特征选择算法对车内网流量进行特征提取，进而基于这些特征进行高效和准确地恶意流量识别。本申请可以提高CAN网络入侵检测的准确率和效率，可广泛应用于车内网入侵检测技术领域。技术领域。技术领域。

【技术实现步骤摘要】
一种基于数据域的CAN网络入侵检测方法及装置


[0001]本申请涉及车内网入侵检测
，尤其是一种基于数据域的CAN网络入侵检测方法及装置。

技术介绍

[0002]随着新一代通信技术和自动驾驶技术的发展，现代汽车的智能化、网联化程度不断地提高，智能网联汽车时代已经到来。智能网联汽车具有强大的信息交互能力，能够实时将车辆状态信息传至云端并处理，为用户提供多种多样的服务。比如，远程车门开锁解锁、远程控制空调、远程控制发动机等。智能网联汽车为我们提供了许多实用功能，同时也给汽车带来了潜在的威胁。
[0003]在过去，从外部接入汽车内部网络往往只能通过OBD
‑Ⅱ
接口，采用物理连接的方法接入汽车内部网络。但如今，借助智能网联汽车上的蜂窝网络、WiFi、蓝牙等无线网络连接方式，攻击者便有可能通过远程连接的方式进入汽车内部网络，汽车内部网络安全岌岌可危。CAN网络是应用最广泛的车内网络之一，它连接着各种各样的ECU(Electronic Control Unit)。ECU包含汽车内部各种控制器，负责汽车内部的功能控制，如发动机控制、车窗控制等。ECUs通过CAN网络相互通信，传输数据和控制指令。然而，CAN网络的设计没有考虑安全问题。首先，CAN网络是一种广播式网络，ECU发送到CAN网络上的报文可以被同一CAN网络中的所有其他ECU所接收。另外，CAN网络无法对消息进行加密和验证。因此，面对智能网联汽车的各种外部威胁，车内网的安全防护能力受到了严峻挑战。
[0004]现有技术存在以下问题：1)现有技术所使用的特征构建方法无法充分提取流量上下文特征；2)现有技术检测不够准确；3)现有的入侵检测方法检测模型较为复杂，占用内存空间大，运行耗时长。

技术实现思路

[0005]有鉴于此，本申请提供一种基于数据域的CAN网络入侵检测方法及装置，以提高CAN网络入侵检测的准确率和效率。
[0006]本申请的一方面提供了一种基于数据域的CAN网络入侵检测方法，包括：
[0007]从CAN流量中读取当前报文，提取当前报文的仲裁ID和数据域；
[0008]根据仲裁ID从报文数据库中选取与当前报文具有相同仲裁ID的上一条正常报文，使用当前报文和上一条正常报文计算完整特征向量；所述报文数据库包括每一个仲裁ID类型的前一条正常报文；
[0009]根据仲裁ID从Fuzz检测模型库中选择对应的Fuzz检测模型并从所述数据域中选取第一特征向量，使用对应的Fuzz检测模型对所述第一特征向量进行检测；
[0010]若检测为Fuzz攻击，则进行告警，将检测结果存入数据库，读取下一条报文进行检测；
[0011]若检测为非Fuzz攻击，则根据仲裁ID从Replay检测模型库中选择对应的Replay检
测模型并从所述数据域中选取第二特征向量，使用对应的Replay检测模型对所述第二特征向量进行检测；
[0012]若检测为Replay攻击，则进行告警；若检测为非Replay攻击，则将当前报文确定为正常报文，读取下一条报文进行检测；
[0013]其中，所述Fuzz检测模型和所述Replay检测模型由CAN流量中报文对应的训练特征向量训练得到，且所述训练特征向量经过筛选得到。
[0014]可选地，所述方法还包括训练各个Fuzz检测模型和各个Replay检测模型的步骤，所述训练各个Fuzz检测模型和各个Replay检测模型的步骤包括以下步骤：
[0015]从CAN流量中读取训练报文，提取训练报文的仲裁ID和数据域；
[0016]将具有相同仲裁ID的数据域划分为一个子数据集，得到各个仲裁ID对应的子数据集；
[0017]从每个所述子数据集中提取对应的特征，并根据提取得到的特征构建每个所述子数据集对应的训练特征向量；
[0018]选取每个所述子数据集中的正常报文和Fuzz攻击报文对应的所述训练特征向量作为Fuzz数据集；选取每个所述子数据集中的正常报文和Replay攻击报文对应的所述训练特征向量作为Replay数据集；
[0019]针对每个所述子数据集，以所述Fuzz数据集训练预先构建的第一决策树检测模型，得到Fuzz检测模型；以所述Replay数据集训练预先构建的第二决策树检测模型，得到Replay检测模型；所有所述子数据集训练完成后，得到各个仲裁ID对应的Fuzz检测模型和Replay检测模型。
[0020]可选地，所述从每个所述子数据集中提取对应的特征，并根据提取得到的特征构建每个所述子数据集对应的训练特征向量，包括：
[0021]从每个所述子数据集中提取出相邻报文的数据域的各个字节；
[0022]根据每个所述子数据集对应的所述各个字节构造出多个特征，得到每个所述子数据集对应的多个特征；
[0023]将每个所述子数据集对应的多个特征组合为训练特征向量。
[0024]可选地，所述根据每个所述子数据集对应的所述各个字节构造出多个特征，得到每个所述子数据集对应的多个特征，包括：
[0025]根据第一表达式计算出相邻报文各个字节的绝对值距离，所述第一表达式为：
[0026][0027]其中，为报文数据域的字节，N表示第N条报文，i表示第i个字节，L为报文的字节长度，表示第N条报文和第N
‑
1条报文的第i个字节差的绝对值；
[0028]根据第二表达式计算出相邻报文各个字节的汉明距离，所述第二表达式为：
[0029][0030]根据第三表达式计算出相邻报文各个字节的Levenshtein距离，所述第三表达式为：
[0031][0032]根据第四表达式计算出相邻报文的欧氏距离，所述第四表达式为：
[0033][0034]计算出相邻报文的Levenshtein距离；
[0035]根据第五表达式计算出相邻报文的余弦距离，所述第五表达式为：
[0036][0037]根据第六表达式计算出相邻报文的第一类汉明距离，所述第六表达式为：
[0038][0039]根据第七表达式计算出相邻报文的第二类汉明距离，所述第七表达式为：
[0040][0041]所述相邻报文各个字节的绝对值距离、所述相邻报文各个字节的汉明距离、所述相邻报文各个字节的Levenshtein距离、所述相邻报文的欧氏距离、所述相邻报文的余弦距离、所述相邻报文的第一类汉明距离以及所述相邻报文的第二类汉明距离，作为每个所述子数据集对应的各个特征。
[0042]可选地，所述选取每个所述子数据集中的正常报文和Fuzz攻击报文对应的所述训练特征向量作为Fuzz数据集；选取每个所述子数据集中的正常报文和Replay攻击报文对应的所述训练特征向量作为Replay数据集，包括：
[0043]将每个所述子数据集对应的训练特征向量输入至极度随机树，得到每个训练特征向量的重要性；
[0044]根据重要性由大到小对各个所述训练特征向量进行排序，并筛选前k个训练特征本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于数据域的CAN网络入侵检测方法，其特征在于，包括：从CAN流量中读取当前报文，提取当前报文的仲裁ID和数据域；根据仲裁ID从报文数据库中选取与当前报文具有相同仲裁ID的上一条正常报文，使用当前报文和上一条正常报文计算完整特征向量；所述报文数据库包括每一个仲裁ID类型的前一条正常报文；根据仲裁ID从Fuzz检测模型库中选择对应的Fuzz检测模型并从所述数据域中选取第一特征向量，使用对应的Fuzz检测模型对所述第一特征向量进行检测；若检测为Fuzz攻击，则进行告警，将检测结果存入数据库，读取下一条报文进行检测；若检测为非Fuzz攻击，则根据仲裁ID从Replay检测模型库中选择对应的Replay检测模型并从所述数据域中选取第二特征向量，使用对应的Replay检测模型对所述第二特征向量进行检测；若检测为Replay攻击，则进行告警；若检测为非Replay攻击，则将当前报文确定为正常报文，读取下一条报文进行检测；其中，所述Fuzz检测模型和所述Replay检测模型由CAN流量中报文对应的训练特征向量训练得到，且所述训练特征向量经过筛选得到。2.根据权利要求1所述的一种基于数据域的CAN网络入侵检测方法，其特征在于，所述方法还包括训练各个Fuzz检测模型和各个Replay检测模型的步骤，所述训练各个Fuzz检测模型和各个Replay检测模型的步骤包括以下步骤：从CAN流量中读取训练报文，提取训练报文的仲裁ID和数据域；将具有相同仲裁ID的数据域划分为一个子数据集，得到各个仲裁ID对应的子数据集；从每个所述子数据集中提取对应的特征，并根据提取得到的特征构建每个所述子数据集对应的训练特征向量；选取每个所述子数据集中的正常报文和Fuzz攻击报文对应的所述训练特征向量作为Fuzz数据集；选取每个所述子数据集中的正常报文和Replay攻击报文对应的所述训练特征向量作为Replay数据集；针对每个所述子数据集，以所述Fuzz数据集训练预先构建的第一决策树检测模型，得到Fuzz检测模型；以所述Replay数据集训练预先构建的第二决策树检测模型，得到Replay检测模型；所有所述子数据集训练完成后，得到各个仲裁ID对应的Fuzz检测模型和Replay检测模型。3.根据权利要求2所述的一种基于数据域的CAN网络入侵检测方法，其特征在于，所述从每个所述子数据集中提取对应的特征，并根据提取得到的特征构建每个所述子数据集对应的训练特征向量，包括：从每个所述子数据集中提取出相邻报文的数据域的各个字节；根据每个所述子数据集对应的所述各个字节构造出多个特征，得到每个所述子数据集对应的多个特征；将每个所述子数据集对应的多个特征组合为训练特征向量。4.根据权利要求3所述的一种基于数据域的CAN网络入侵检测方法，其特征在于，所述根据每个所述子数据集对应的所述各个字节构造出多个特征，得到每个所述子数据集对应的多个特征，包括：
根据第一表达式计算出相邻报文各个字节的绝对值距离，所述第一表达式为：其中，为报文数据域的字节，N表示第N条报文，i表示第i个字节，L为报文的字节长度，表示第N条报文和第N
‑
1条报文的第i个字节差的绝对值；根据第二表达式计算出相邻报文各个字节的汉明距离，所述第二表达式为：根据第三表达式计算出相邻报文各个字节的Levenshtein距离，所述第三表达式为：根据第四表达式计算出相邻报文的欧氏距离，所述第四表达式为：计算出相邻报文的Levenshtein距离；根据第五表达式计算出相邻报文的余弦距离，所述第五表达式为：根据第六表达式计算出相邻报文的第一类汉明距离，所述第六表达式为：根据第七表达式计算出相邻报文的第二类汉明距离，所述第七表达式为：所述相邻报文各个字节的绝对值距离、所述相邻...

【专利技术属性】
技术研发人员：周颖，覃国祥，李昱，代安臣，刘宇，
申请(专利权)人：中山大学，
类型：发明
国别省市：