[发明专利]一种基于报文数据场特征的车载CAN总线入侵检测方法

说明书

本发明公开了一种基于报文数据场特征的车载CAN总线入侵检测方法，其特征在于所述方法包括如下步骤：步骤一、训练集预处理；步骤二、报文数据场特征提取；步骤三、报文数据集训练及检测。本发明构造了车内网络报文数据场特征，应用神经网络作为分类器对攻击进行检测，提高了检测精度，可有效检测CAN总线报文的攻击。本发明的方法是一种针对车载网络的轻量级入侵检测方法，解决了设备ECU计算能力的限制问题，满足了车内网络对检测实时性较高的要求。本发明可以检测车辆内CAN总线是否受到异常入侵，进而保证驾驶人及乘客的安全。

技术领域

本发明涉及一种车辆入侵检测方法，具体涉及一种基于报文数据场特征的车载CAN总线入侵检测方法。

背景技术

近年来，车辆呈现出智能化、网联化发展趋势，越来越多的电子控制单元(ECU，Electronic Control Unit)安装到车辆内部替换原有的机械结构。伴随着对外通信的接口增多，网联化汽车同时也引入了潜在的网络安全威胁。通过网络可以远程入侵车辆内安装的ECU，这种入侵可能导致车辆故障，从而威胁驾驶者或者乘客的生命安全。如何避免或者减轻这些网络安全威胁，是现有智能网联车技术发展的当务之急。

与传统的网络安全入侵检测算法不同，车辆入侵检测算法由于电子设备ECU计算能力的限制，需要使用轻量级的检测算法。并且车内网络对检测的实时性要求较高。

发明内容

本发明基于报文数据场特征，应用神经网络作为分类器对攻击进行检测，进而提供了一种基于报文数据场特征的车载CAN总线入侵检测方法。该方法是一种针对车载网络的轻量级入侵检测方法，解决了设备ECU计算能力的限制问题，满足了车内网络对检测实时性较高的要求。

本发明的目的是通过以下技术方案实现的：

一种基于报文数据场特征的车载CAN总线入侵检测方法，包括如下步骤：

步骤一、训练集预处理

第一步：在车辆不受异常攻击下采集车辆内部网络总线上的一个或多个ECU的多个周期性报文，将报文标记为正常数据；

第二步：对车内网络注入异常报文，将采集到的异常报文标记为异常数据，将所有采集到的数据合并为数据集D，令i＝0；j＝0；X为空；

第三步：读取数据集D_i，判断数据集D_i是否是正常报文，若是则跳转第四步，否则令j＝0，将D_i加入到X中并跳转第八步；

第四步：判断D_i是否等于D_i-1，若是则跳转第五步，否则跳转第七步；

第五步：令j＝j+1；

第六步：判断是否jm，若是则跳转第七步，否则跳转第八步；

第七步：将D_i加入到X中；

第八步：判断报文数据集是否读取完毕，若是则跳转第九步，否则令i＝i+1，并跳转第三步；

第九步：输出X，X为最终的训练集。

步骤二、报文数据场特征提取

第一步：令i＝0；

第二步：令

第三步：将C_i与X_i拼接得到128位数据特征D_i′；

第四步：判断i+1是否大于X总数，若是跳转第五步，否则，令i＝i+1并跳转第二步；

第五步：输出D；

步骤三、报文数据集训练及检测