[发明专利]一种基于报文数据场特征的车载CAN总线入侵检测方法

权利要求书

1.一种基于报文数据场特征的车载CAN总线入侵检测方法，其特征在于所述方法包括如下步骤：

步骤一、训练集预处理

第一步：在车辆不受异常攻击下采集车辆内部网络总线上的一个或多个ECU的多个周期性报文，将报文标记为正常数据；

第二步：对车内网络注入异常报文，将采集到的异常报文标记为异常数据，将所有采集到的数据合并为数据集D，令i＝0；j＝0；X为空；其中：i代表从0开始的计数器，每处理完一条采集的报文后加一，当i等于采集到的报文数n时结束；j代表从0开始的计数器，当数据集D中相邻两个数据D_i＝D_i-1时，j加一，当j等于窗口阈值时，存储D_i的数据；D_i表示数据集D中的第i条数据；

第三步：读取数据集D_i，判断数据集D_i是否是正常报文，若是则跳转第四步，否则令j＝0，将D_i加入到X中并跳转第八步；

第四步：判断D_i是否等于D_i-1，若是则跳转第五步，否则跳转第七步；

第五步：令j＝j+1；

第六步：判断是否jm，若是则跳转第七步，否则跳转第八步；

第七步：将D_i加入到X中；

第八步：判断报文数据集是否读取完毕，若是则跳转第九步，否则令i＝i+1，并跳转第三步；

第九步：输出X，X为最终的训练集；

步骤二、报文数据场特征提取

第一步：令i＝0；

第二步：令其中：X_i代表X中的第i条数据，C_i为得到的数据；

第三步：将C_i与X_i拼接得到128位数据特征D_i′；

第四步：判断i+1是否大于X总数，若是跳转第五步，否则，令i＝i+1并跳转第二步；

第五步：输出D；

步骤三、报文数据集训练及检测

第一步：初始化BP神经网络参数；

第二步：输入一个训练样本；

第三步：计算每一层各节点的输入、输出；

第四步：计算该样本下的误差E，令t＝t+1，t代表迭代次数，所述E的计算公式如下：

式中：Y_k为期望输出值，m为输出神经元节点数量，O_k表示输出层第k个节点的输出值，e_k代表第k个节点输出值O_k与期望输出值Y_k的差值；

第五步：判断E是否满足要求，若是则跳转第七步，否则跳转第六步；

第六步：判断t是否大于最大迭代次数，若是则跳转第七步，否则反向调节，修正权值和阈值并跳转第三步；

第七步：判断是否学完所有样本，若是则训练完毕跳转第八步，否则跳转第二步；

第八步：利用训练好的模型，实时检测ECU的报文，若BP神经网络模型输出为异常报文则报警，否则继续检测报文。

2.根据权利要求1所述的基于报文数据场特征的车载CAN总线入侵检测方法，其特征在于所述O_k的计算公式如下：

式中：ω_qk表示输出层第k个节点对于隐藏层第q个节点输出值的权值大小，b_k为输出层第k个节点的偏置，H_q代表隐含层第q个节点的输出，l表示隐藏层节点的个数。

3.根据权利要求2所述的基于报文数据场特征的车载CAN总线入侵检测方法，其特征在于所述H_q的计算公式如下：

式中：n表示输入层的节点数量，ω_pq表示隐藏层第q个节点对于输入层第p个节点输入值的权值大小，a_q为隐藏层第q个节点的偏置，f(·)为激活函数，x_p代表第p个节点输入值。