[发明专利]一种基于CAN总线车载入侵检测方法及系统

权利要求书

1.一种基于CAN总线车载入侵检测方法，其特征在于，包括以下步骤：

步骤1：电气CAN信号测量和预处理；

步骤2：对预处理信号进行特征提取，提取其中的电特性，并考虑所有的可能；

步骤3：针对伪装攻击检测，通过创建一个多类分类器，检测伪装攻击，其中类别数等于车载CAN网络中的ECU数；

步骤4：针对总线关闭攻击检测，执行基于阈值的方法检测未知信号；

步骤5：基于电压信号对环境因素敏感，采用增量学习，使VoltageIDs对环境因素具有适应性。

2.根据权利要求1所述的基于CAN总线车载入侵检测方法，其特征在于，所述步骤3中的转换规则如下：

步骤3.1：在训练步骤中，使用标记的功能集来创建一个多类分类器；

步骤3.2：VoltageIDs收集功能集并用CAN ID标记；

步骤3.3：ECU ID为分配给ECU的标识符，用来进行仲裁决定。

3.根据权利要求2所述的基于CAN总线车载入侵检测方法，其特征在于，从CAN消息中提取60个特征和CAN ID，并将其用于创建标记集；标记的集合用作训练数据以创建多类分类器。

4.根据权利要求3所述的基于CAN总线车载入侵网络检测方法，其特征在于，在测试步骤中，为给定的新CAN消息提取60个功能，多类分类器为未标记的数据预测最可能的类别。

5.根据权利要求1所述的基于CAN总线车载入侵检测方法，其特征在于，所述步骤4具体步骤如下：

步骤4.1：使用新颖性检测的方法识别未用于训练分类器的新数据或未知数据来检测总线关闭攻击；

步骤4.2：VoltageIDs执行基于阈值的方法来检测未知信号；

步骤4.3：将带有径向基函数核的支持向量机用于新颖性检测是有效的，将其应用于一类分类技术；

步骤4.4：VoltageIDs通过将来自合法ECU的所有信号都归为一类来创建用于一类分类的分类器；

步骤4.5：分类分数低于制定阈值的CAN信号被认为是未知的。

6.根据权利要求5所述的基于CAN总线车载入侵网络检测方法，其特征在于，所述步骤4.4中，一类分类的分类器不需要标签，所有功能集都具有相同的标签。

7.根据权利要求1所述的基于CAN总线车载入侵检测方法，其特征在于，针对伪装攻击和总线关闭攻击的CAN信号的特性来检测。

8.一种基于CAN总线车载入侵检测系统，其特征在于，采用如权利要求1-7之任一项所述的检测方法，所述系统包括：

预处理模块，用于电气CAN信号测量和预处理；

特征提取模块，用于对预处理信号进行特征提取，提取其中的电特性，并考虑所有的可能；

分类器模块，用于针对伪装攻击检测，通过创建一个多类分类器，检测伪装攻击，其中类别数等于车载CAN网络中的ECU数；

检测模块，用于针对总线关闭攻击检测，执行基于阈值的方法检测未知信号；

学习模块，用于基于电压信号对环境因素敏感，采用增量学习，使VoltageIDs对环境因素具有适应性。