基于开集识别的级联两级CAN入侵检测方法、系统及设备技术方案

技术编号：40925797 阅读：2 留言：0更新日期：2024-04-18 14:48

本发明专利技术公开了一种基于开集识别的级联两级CAN入侵检测方法、系统及设备，首先构建数据集，包括正常数据集，DoS攻击数据集，欺骗齿轮攻击数据集，欺骗每分钟转速攻击数据集和模糊攻击数据集；然后获取车载网络输入数据，对所述车载网络输入数据进行预处理，得到车载网络预处理数据；接着对车载网络预处理数据进行编码，获取特征数据；最后将特征数据输入混合车载网络入侵检测网络，输出分类结果，根据分类结果，判定是否受到入侵。本发明专利技术对于难以显著识别为已知类型的数据，它可以标记为未知攻击；本发明专利技术充分考虑了CAN消息的时间相关性，增加了特征维度。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及车内网络数据检测，涉及一种级联两级can入侵检测方法、系统及设备，具体涉及一种基于开集识别的级联两级can入侵检测方法、系统及设备。

技术介绍

1、如今，车辆的安全性已经成为汽车行业的一个关键问题。随着现代车辆中支持移动服务的外部接口的增加，电子控制器单元(electronic controller units,ecu)容易受到越来越多的网络攻击。攻击者可以通过这些接口接入车载网络，发送伪造的can控制器区域网络消息，干扰车辆的正常运行。他们能够发送一个攻击包在吉普切诺基头单元进入车辆，因为头单元是附加到can。can协议上的消息认证可以防止欺骗攻击，但由于不能防范某些攻击，如dos攻击，因此没有得到广泛应用。入侵检测系统(intrusion detectionsystem,ids)是用于检测网络系统中的入侵的安全系统。它通过监控网络流量、系统日志和其他信息来识别可能的攻击或异常活动。当用于诊断车内网络的各种故障时，ids通过can总线与车内各ecu进行通信。它从各种传感器和执行器获取数据，并利用机器学习来识别可能的攻击。

2、目前，机器学习在该领域已显示出可喜的成果。它实际上是在使用基于机器学习的方法时将任务转换为二分类(正常与攻击)或多分类(正常或某种类型的攻击)。引入了一些人工神经网络来检测异常流量，例如卷积神经网络(convolutional neural network,cnn)和生成对抗网络(generative adversarial network,gan)。例如，深度卷积神经网络(de

技术实现思路

1、为了解决单一cnn网络和gan网络无法识别未知数据集的问题，本专利技术提供了一种基于开集识别的级联两级can入侵检测方法及系统。

2、本专利技术的方法所采用的技术方案是：一种基于开集识别的级联两级can入侵检测方法，其特征在于，包括以下步骤：

3、步骤1：构建数据集，包括正常数据集，dos攻击数据集，欺骗齿轮攻击数据集，欺骗每分钟转速攻击数据集和模糊攻击数据集；

4、步骤2：获取车载网络输入数据，对所述车载网络输入数据进行预处理，得到车载网络预处理数据；

5、步骤3：对车载网络预处理数据进行编码，获取特征数据；

6、步骤4：将特征数据输入混合车载网络入侵检测网络，输出分类结果，根据分类结果，判定是否受到入侵。

7、作为优选，步骤2中，所述车载网络输入数据进行预处理，首先搜集到达can总线上的连续数据，选取该连续数据的id字段，并将其id编码为向量xi；选取一个时间窗口，将该时间窗口内到达的数据的id字段同样编码。

8、作为优选，步骤3中，采用基于递归图算法对车载网络预处理数据进行编码；具体实现过程是：将时间窗口内的编码数据xi两两比较，并且生成递归图矩阵r；若第i条数据的id编码xi与第j条数据的id编码xj相同，则递归图矩阵ri,j为1，该像素绘制为黑色，否则ri,j为0，该像素为白色。

9、作为优选，步骤4中，所述混合车载网络入侵检测网络，包括判别器模块、ac分类头模块、判断模块、和rfc分类头模块；

10、所述判别器模块，包括串联设置的五个卷积层，第二层到第五层卷积层之后均依次加入有批归一化层和激活层；

11、所述ac分类头模块，用于初步判断样本类别；采用输出为4个单元的全连接层，激活函数采用logsoftmax；并且计算出每个输出单元的logits，得到最大logits值，记为mlp，作为下一阶段判断模块的输入；

12、所述判断模块，根据上一层mlp来判断属于哪一种类别；首先设置阈值t，若mlp大于或等于该阈值，则分类为mlp所指向的类别，否则将样本输入到rfc分类头进一步判断；

13、所述rfc分类头模块，采用输出为2个单元的全连接层，判断输入样本为数据库中已存在的还是未知样本。

14、作为优选，步骤4中所述混合车载网络入侵检测网络，是训练好的网络；

15、训练过程包括以下子步骤：

16、步骤4.1：获取若干数据集，包括正常数据集、dos攻击数据集、欺骗齿轮攻击数据集、欺骗每分钟转速攻击数据集和模糊攻击数据集；

17、步骤4.2：对数据集数据进行编码，获取特征数据；

18、采用基于递归图算法对车载网络预处理数据进行编码；具体实现过程是：将时间窗口内的编码数据xi两两比较，并且生成递归图矩阵r；若第i条数据的id编码xi与第j条数据的id编码xj相同，则递归图矩阵ri,j为1，该像素绘制为黑色，否则ri,j为0，该像素为白色；

19、步骤4.3：根据时间窗口内数据的标签确定递归图矩阵的标签，其中，时间窗口内数据最后一栏为数据标签，r表示正常，t表示攻击；若时间窗口内的所有数据全部为正常数据，则递归图矩阵的标签为正常；若时间窗口内有一条及以上的数据标记为攻击，则该递归图矩阵也被标记为攻击；

20、步骤4.4：将所述递归图矩阵分类，分为已知类型和未知类型，未知类型数据不参与网络训练，已知类型数据作为训练集进行网络训练；在第一阶段训练中，输出该样本为分布外样本的概率值，若小于阈值，则进入到第二阶段训练进一步判别其是否为分布外样本，否则输出其类别；进一步进行第三阶段训练，得到最终分类结果；

21、步骤4.5：训练达到预设轮次后结束训练。

22、作为优选，所述第一阶段训练，设置阈值t，判断已知攻击是否被误分类为未知攻击；ac-t分类器使用ac分类头进行分类，使用ac分类头计算出其最大逻辑概率mlp；当mlp大于或等于阈值t则认为该样本属于已知类型；否则认为该样本属于未知攻击，并输出分类结果。

23、作为优选，所述第二阶段训练，使用ac-rfc分类器对样本进行分类，判断未知攻击是否被误分类为正常类型；ac-rfc分类器使用ac和rfc分类头进行分类；使用ac分类头区分类型，并且计算出其mlp；rfc分类头用于检测样本真假，是二元分类器，由全连接神经网络组成；ac分类头判断样本类别，若输出类型为已知攻击，则输出分类；若输出类型为正常，则将样本送入rfc分类头；训练后的rfc分类头判断样本是否为正常数据，并输出最终分类结果。

24、作为优选，所述第三阶段训练，设置阈值t，判断已知攻击是否被误分类为未知攻击；用ac-rfc-t分类器对样本进行分类，判断未知攻击是否被误分类为正常类型；根据ac分类头计算本文档来自技高网...

【技术保护点】

1.一种基于开集识别的级联两级CAN入侵检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于开集识别的级联两级CAN入侵检测方法，其特征在于：步骤2中，所述车载网络输入数据进行预处理，首先搜集到达CAN总线上的连续数据，选取该连续数据的ID字段，并将其ID编码为向量xi；选取一个时间窗口，将该时间窗口内到达的数据的ID字段同样编码。

3.根据权利要求2所述的基于开集识别的级联两级CAN入侵检测方法，其特征在于：步骤3中，采用基于递归图算法对车载网络预处理数据进行编码；具体实现过程是：将时间窗口内的编码数据xi两两比较，并且生成递归图矩阵R；若第i条数据的ID编码xi与第f条数据的ID编码xj相同，则递归图矩阵Ri,j为1，该像素绘制为黑色，否则Ri,j为0，该像素为白色。

4.根据权利要求1所述的基于开集识别的级联两级CAN入侵检测方法，其特征在于：步骤4中，所述混合车载网络入侵检测网络，包括判别器模块、AC分类头模块、判断模块、和RFC分类头模块；

5.根据权利要求1-4任意一项所述的基于开集识别的级联两级CAN入侵

6.根据权利要求5所述的基于开集识别的级联两级CAN入侵检测方法，其特征在于：所述第一阶段训练，设置阈值T，判断已知攻击是否被误分类为未知攻击；AC-T分类器使用AC分类头进行分类，使用AC分类头计算出其最大逻辑概率MLP；当MLP大于或等于阈值T则认为该样本属于已知类型；否则认为该样本属于未知攻击，并输出分类结果。

7.根据权利要求5所述的基于开集识别的级联两级CAN入侵检测方法，其特征在于：所述第二阶段训练，使用AC-RFC分类器对样本进行分类，判断未知攻击是否被误分类为正常类型；AC-RFC分类器使用AC和RFC分类头进行分类；使用AC分类头区分类型，并且计算出其MLP；RFC分类头用于检测样本真假，是二元分类器，由全连接神经网络组成；AC分类头判断样本类别，若输出类型为已知攻击，则输出分类；若输出类型为正常，则将样本送入RFC分类头；训练后的RFC分类头判断样本是否为正常数据，并输出最终分类结果。

8.根据权利要求5所述的基于开集识别的级联两级CAN入侵检测方法，其特征在于：所述第三阶段训练，设置阈值T，判断已知攻击是否被误分类为未知攻击；用AC-RFC-T分类器对样本进行分类，判断未知攻击是否被误分类为正常类型；根据AC分类头计算出的MLP判断是否进行下一步分类；若MLP大于或等于阈值T，则认为该样本属于分部内样本，输出为MLP指示的类型；否则使用RFC分类头进一步判断其类型；样本MLP值小于阈值T，则将该样本输入至RFC分类头的全连接层和预设激活函数进行处理，得到最终分类结果。

9.一种基于开集识别的级联两级CAN入侵检测系统，其特征在于，包括：

10.一种基于开集识别的级联两级CAN入侵检测设备，其特征在于，包括：

...

【技术特征摘要】

1.一种基于开集识别的级联两级can入侵检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于开集识别的级联两级can入侵检测方法，其特征在于：步骤2中，所述车载网络输入数据进行预处理，首先搜集到达can总线上的连续数据，选取该连续数据的id字段，并将其id编码为向量xi；选取一个时间窗口，将该时间窗口内到达的数据的id字段同样编码。

3.根据权利要求2所述的基于开集识别的级联两级can入侵检测方法，其特征在于：步骤3中，采用基于递归图算法对车载网络预处理数据进行编码；具体实现过程是：将时间窗口内的编码数据xi两两比较，并且生成递归图矩阵r；若第i条数据的id编码xi与第f条数据的id编码xj相同，则递归图矩阵ri,j为1，该像素绘制为黑色，否则ri,j为0，该像素为白色。

4.根据权利要求1所述的基于开集识别的级联两级can入侵检测方法，其特征在于：步骤4中，所述混合车载网络入侵检测网络，包括判别器模块、ac分类头模块、判断模块、和rfc分类头模块；

5.根据权利要求1-4任意一项所述的基于开集识别的级联两级can入侵检测方法，其特征在于：步骤4中所述混合车载网络入侵检测网络，是训练好的网络；

6.根据权利要求5所述的基于开集识别的级联两级can入侵检测方法，其特征在于：所述第一阶段训练，设置阈值t，判断已知攻击是否被误分类为未知攻击；ac-t分类器使用ac分类头进行分类，使用ac分类头计算出其最大...

【专利技术属性】
技术研发人员：曹越，周建华，李思帆，
申请(专利权)人：武汉大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人