[发明专利]一种基于时钟偏移的车载网络入侵检测方法及系统

权利要求书

1.一种基于时钟偏移的车载网络入侵检测方法，其特征在于，所述基于时钟偏移的车载网络入侵检测方法包括：挖掘车载网络中各个ECU之间的关联方式以及关联度，找到ECU的关联信息，并分析出关联信息的规律，建立关联规则；将建立的关联规则正常的数据加入汽车的累计时钟偏移模型；

当ECU接收报文出现异常时，通过对比相关的关联数据，发现入侵行为；

建立关联规则中，利用消息的周期性去提取和估计发送器的时钟偏差，时钟偏差作为ECU的标记；具体包括：

先从安全的标准网络中采集数据，获得一个数据源；

再从数据源中挖掘出各个ECU之间的关联度，得到ECU之间的固定时钟偏差，

再将这些固定的ECU时钟偏差作为标准放入关联标准库中；

将固定的ECU时钟偏差作为标准放入关联标准库中，需先对时钟偏差进行估计与分析；

具体包括：

假设ECUA每隔Tms广播一条报文消息，ECU R周期性地接受那条报文消息；从R的角度，把报文消息到达的那一刻的时钟看成C_true；当t＝0时，表示ECUA发送第一条报文消息，O_i表示ECUA从t＝0时发送第i条报文消息的时钟偏移；

在一段网络延迟d_i过后，ECU R将会接受相应的报文消息并记录到达的时间戳iT+O_i+d_i+n_i，其中n_i表示R的时间戳量化时产生的噪音；每个到达时间戳的时钟间隔用T_rx,i＝T+ΔO_i+Δd_i+Δn_i表示，其中ΔX_i表示第i个与i-1个变量X_i之间的差值并且规定O₀＝0；在一小段时间内，O_i变化很微小，忽略不计，n_i是一个零均值高斯噪声项，T是通过关联数据挖掘得到的的常数，周期性报文信息的数据长度DLC又是一个常量，E[Δdi]＝0，间隔的期望值用公式(1)表示：

基于第一条报文消息到达的时间戳d₀+n₀和时间戳间隔的期望值μ_Trx，推断第i条报文信息到达时的时间戳为iμ_Trx+d₀+n₀，实际测量到达时间戳为iT+O_i+d_i+n_i；通过估计到达的时间，μ_Trx由过去的测量值决定；T是一个常量并且μ_Trx≈T，估计值与真实测量值之间的差的期望值用公式(2)表示：

E[D]＝E[i(T-μ_Trx)+O_i+Δd+Δn]≈E[O_i] (2)

从报文的周期性角度估计出不同发送器的时钟偏移E[O_i]。

2.如权利要求1所述的基于时钟偏移的车载网络入侵检测方法，其特征在于，当ECU接收报文出现异常时，通过对比相关的关联数据，发现入侵行为，具体包括：

利用关联规则库里的关联规则在量上的值，构建累计时钟偏移模型，作为与异常行为的校对标准，实时对车载网络里的数据进行检测，判别是否存在入侵行为；

对于给定ID的报文消息，运行RLS算法去估计相应ECU发送器的时钟偏差，构建相应的标准的时钟行为模型并验证测量值是否偏离正常值；利用CUSUM累计和算法，从目标值的偏差的累计和检测突变。