[发明专利]基于深度包解析的面向综合电子系统的异常检测方法

权利要求书

1.一种基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，该方法包括以下具体步骤：

步骤1：监听并收集总线传输数据包；

步骤2：在收集的周期性数据包中提取内容变化的特征值；具体包括：

步骤B1：根据总线协议，从多个周期性轮询结果中提取各个子系统的周期性数据包；

步骤B2：提取各个周期性消息特征并按周期排列；

步骤B3：将各个子系统相邻周期周期性数据包内容变化量提取并作为特征值；

步骤3：根据提取所得的特征值集合，对不同子系统下的不同应用训练生成对应决策树；

步骤4：根据周期性数据包提供目标子系统和应用信息选择对应的决策树并利用该决策树预测当前周期性数据包的合法操作，若待检验的非周期性数据包内容中的指令符合决策树预测结果，则让消息通过，否则数据包异常，进行异常处理，停止总线传输此消息，阻止此次入侵。

2.根据权利要求1所述的基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，所述步骤1具体包括：

步骤A1：实时监听总线，记录总线控制器和子系统之间在总线上传输的数据包。

3.根据权利要求1所述的基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，步骤B3中所述周期性数据包内容变化量是相邻周期数据包中变化的字节，变化字节为连续值或离散值。

4.根据权利要求1所述的基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，步骤3中所述训练生成决策树算法，其使用的特征选择方法包括但不限于分类回归树方法。

5.根据权利要求1所述的基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，所述步骤4具体包括：

步骤C1：根据周期性数据包中的子系统ID和应用 ID 组成唯一应用标识 UID；

步骤C2：从训练的决策树集合 TM 中取出当前UID的决策树；

步骤C3：使用所选决策树预测当前周期性数据包对应的指令，将所得的预测指令和监听获得的实际指令相比较，若实际指令与预测指令相符，则不存在入侵，让消息成功传输；若实际指令与预测指令不相符，则判定该指令为入侵事件，执行步骤C4；

步骤C4：数据包异常，进行异常处理。

6.根据权利要求5所述的基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，步骤C4中异常数据包处理具体包括：

步骤D1：停止总线传输此消息，阻止此次入侵；

步骤D2：记录该入侵事件。