[发明专利]一种基于相对熵的车载CAN总线异常检测方法

说明书

本发明公开了一种基于相对熵的车载CAN总线异常检测方法，该方法包括：在中断处理程序中，车辆上电后，检测节点开启定时中断，定时触发，实现对报文相对熵的计算，若计算的所述相对熵结果超出设定的阈值，则触发报警，否则，执行计数数据清零、窗口切换的操作；所述计算报文相对熵时，交替使用两个变长的时间窗口，分别记为窗口1和窗口2，进行增长和两组独立的计数器进行计数。本发明采用基于相对熵的异常检测算法并进行改进，提高了检测精度和检测粒度，并结合了基于白名单和时间间隔的异常检测，实现更好的检测效果。

技术领域

本发明涉及一种CAN总线异常检测方法，具体涉及一种基于相对熵的车载CAN总线异常检测方法。

背景技术

现在的汽车具有非常复杂的功能，车辆内部配备有大量的ECU(ElectronicControl Unit，电子控制单元)，这些ECU模块通过总线的方式进行数据通信，从而实现车辆内部网络系统各个组成单元之间的协作运行。CAN(Controller Area Network，控制器局域网)总线是应用最为广泛的车载通信总线。

然而，CAN总线在设计之初就没有考虑到信息安全的问题，容易遭到黑客的攻击。在当前车联网和智能网联汽车技术飞速发展的阶段，研究如何提高车载网络的安全性显得尤为重要。这既是实现车联网安全的重要组成部分，也是保证车联网和智能网联汽车走向进一步大规模应用的重要前提和保障。

在车载网络的安全技术中，入侵和异常检测是其中重要的一部分。入侵检测技术通过对入侵行为和入侵企图的识别，从而可以尽早采取有效的措施修复和升级系统漏洞。在车载CAN总线网络中，入侵检测通过主动检测CAN总线工作状态，识别异常状态，发现攻击行为，对用户进行报警提示。该技术也可以作为车载CAN总线网络的加密认证等安全技术的辅助措施。

对于车载CAN总线网络系统而言，在车载总线中，各种CAN消息以周期性广播的方式进行传输。在车辆正常工作，没有发生入侵行为的时候，车载CAN总线的数据交互是一个相对稳定的过程，因此一个时间窗口中，每种报文所出现的概率是相对恒定的，计算每种报文的相对熵，其相对熵是基本趋近于0的。如果存在入侵和攻击行为，CAN总线上出现了多的非法的攻击报文，则必然打破系统原先的稳定状态，相对熵的值就会发生变化。但现有的检测方法检测精度和粒度都较低，检测效果并不理想。

发明内容

发明目的：为了克服现有技术的不足，本发明提供一种基于相对熵的车载CAN总线异常检测方法，该方法解决了车载CAN总线网络的入侵检测精度和粒度较低和检测效果差的问题。

技术方案：本发明所述的基于相对熵的车载CAN总线异常检测方法，该方法包括：

在中断处理程序中，车辆上电后，检测节点开启定时中断，定时触发，在中断处理程序中实现对过去的一段时间窗口上的报文相对熵的计算，若计算的所述相对熵结果超出设定的阈值，则触发报警；所述计算报文相对熵时，当时间窗口长度增加到设定的最大长度值T时，执行计数数据清零、窗口切换的操作，交替使用两个变长的时间窗口，分别记为窗口1和窗口2，两个窗口上使用两组独立的计数器进行计数；

在主程序中，开启定时中断，所述检测节点每收到一条报文，首先进行基于白名单的异常检测，判断是否发生异常行为；

定义Ee为异常累计次数，若检测出报文类型不正常，则根据该类型报文的异常权重，增加所述异常累计次数Ee的值；当所述异常累计次数超过所述设定的阈值时，触发报警，否则，继续进行下一步的检测；

若检测出报文类型正常，则进行基于时间间隔的异常检测，所述检测节点计算当前报文与上一条同类型报文的时间间隔，并计算所述时间间隔相对于正常时间间隔的偏移度，

若所述偏移度处于正常范围，所述异常累计次数Ee减1，并接收下一条报文；