CN111131185A

CN111131185A - 基于机器学习的can总线网络异常检测方法及装置

Info

Publication number: CN111131185A
Application number: CN201911242839.5A
Authority: CN
Inventors: 兰昆; 徐锐; 饶志宏; 张宇光; 朱治丞
Original assignee: China Electronic Technology Cyber Security Co Ltd
Current assignee: China Electronic Technology Cyber Security Co Ltd
Priority date: 2019-12-06
Filing date: 2019-12-06
Publication date: 2020-05-08
Anticipated expiration: 2039-12-06
Also published as: CN111131185B

Abstract

本发明涉及车联网汽车安全检测技术领域，目的是为了检测来自恶意攻击者对汽车CAN总线发出的攻击报文(异常报文)。本发明公开了基于机器学习的CAN总线网络异常检测方法：采集车载的CAN总线报文样本，规格化CAN总线报文；根据规格化CAN总线报文序号ID的类别划分报文，每一类别的报文作为训练样本，得到该类别的决策树模型，获得与类别数量对应的多个决策树模型；在CAN总线报文异常检测阶段，对待检测报文进行分类后输入到对应类别的决策树模型，得到CAN总线正常报文和CAN总线异常报文。该方案通过上述方案中有监督的决策树模型进行分析，能有效的发现CAN总线网络中存在的异常会话连接报文、恶意攻击流量和异常数据报文。

Description

基于机器学习的CAN总线网络异常检测方法及装置

技术领域

本发明涉及车联网汽车安全检测技术领域，特别是一种基于机器学习的CAN总线网络异常检测方法及装置。

背景技术

车联网攻击风险突出，司乘人员人身安全受到威胁。目前，国内外已出现多起针对车联网的网络攻击事件，部分案例中恶意攻击者利用车体控制电子装置和车载服务电子装置存在的漏洞，入侵车载CAN总线控制网络或汽车电子组件，实现敏感数据获取、车辆远程控制(或部分功能)等，影响汽车的功能安全，导致驾驶者和乘客的生命安全遭到威胁，车载CAN总线控制网络安全防护技术研究需求迫切。

面对车载网络的特殊性，传统的计算机网络安全解决方案并不适用。需要根据CAN网络的特点，寻找建立新的安全解决机制。考虑到成本、ECU的计算能力，更换新的模块组件，制作加密级芯片可用性并不高。针对CAN总线网络的异常检测***可以弥补上述不足，将异常检测***以安全组件(软件或硬件)的形式嵌入到车载网络当中，实时的检测车载网络信息安全是较为可行的技术路线。

检测车载CAN总线网络攻击帧的技术，现有技术文献已知出现了使用统计性方法、深度学习方法等判定发送到CAN总线上的帧是否为异常帧的技术：

公开号为CN 108028790 A的专利文献1公开的异常检测方法包括：通过例如网关向服务器发送车辆识别信息、接收应答等进行检测窗尺寸的决定；和进行使用了特征信息和预定模型的运算处理，根据该运算处理的结果判定是否异常，该特征信息基于在所决定出的单位时间内从总线接收到的消息数，该预定模型表示与消息的出现频度相关的基准。

公开号为CN 109866710 A的专利文献2公开了主要使用隐马尔可夫算法或人工神经网络的方法来判断当前车辆状态是否存在异常的方法。例如，从时间阈的角度出来，首先将所有捕获的故障信息中的时间信息转换成一个特征向量，然后通过流量异常检测方法对包含正常行为的特征进行训练，将偏离正常特征的行为定义为异常并发出警报。

公开号为CN 110034968 A的专利文献3提出了一种基于边缘计算的汽车异常检测方法，利用皮尔逊相关系数作为相关性的衡量指标，构建异常检测的模型利用不同传感器之间的相关性来检测汽车的异常。

公开号为CN 104301177 B的专利文献4提出一种CAN报文的异常检测方法，检测函数根据预设的第一CAN帧索引表和第二CAN帧索引表对来自所述网关或子网的CAN帧进行检测。第一CAN帧索引表包括：来自所述网关的所述CAN帧的标识符、所述CAN帧的标识符对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的语义值和相关性阈值；第二CAN帧索引表包括来自所述CAN子网的所述CAN帧的标识符、所述CAN帧的标识符对应的数据域语义值的最大值和最小值、帧时间间隔阈值、阈值计数值、上一帧的接收时间、上一帧的语义值和相关性阈值。

公开号为CN 110149258 A的专利文献5提供一种汽车CAN总线网络数据异常检测方法，属于信息安全领域。首先基于训练集的子样本来建立孤立树，即对采集到的CAN数据集进行预处理，再对其进行抽样，采用随机超平面切割的方法构建包含有限个孤立树的随机森林，然后利用得到的孤立森林计算待检测数据的异常分数，来判定CAN数据有无异常。

公开号为CN 108958217 A的专利文献6公开了一种CAN总线报文异常检测方法，特别是一种基于深度学习的CAN总线报文异常检测方法。主要思路是：深度置信网络是由多个限制玻尔兹曼机(RBM)组成的多隐含层神经网络，由最底层接收输入数据，通过RBM转换输入数据到隐含层。

公开号为CN 107426285 A的专利文献7提供了一种车载CAN总线安全防护方法和装置，该方法应用于任一车辆的CAN总线网关，预先配置安全过滤规则；获取需要在CAN总线上传输的报文，基于预先配置的安全过滤规则对该报文进行安全检测，如果检测确定该报文存在安全风险，则根据该报文对该车辆进行安全防护处理，否则，对该报文进行正常转发。安全过滤规则为以下三种安全匹配规则的任意组合：三种安全匹配规则分别为基于标识符的安全匹配规则、基于报文发送频率的安全过滤规则、基于车辆状态的安全过滤规则。

公开号为CN 108848072 A的专利文献8公开了一种基于相对熵的车载CAN总线异常检测方法。要点在于车辆上电后，检测节点开启定时中断，定时触发，在中断处理程序中实现对过去一段时间窗口内的报文相对熵的计算，若计算的所述相对熵结果超出设定的阈值，则触发报警。

公开号为CN 109347823A的专利文献9公开了一种基于信息熵的CAN总线异常检测方法，该方法通过正常车载CAN总线网络的报文数据得到基线样本库，作为判断总线网络是否出现异常的基线。

目前涉及车载CAN总线网络安全检测技术的专利主要有上述几个，但结合汽车实际应用情况，这些技术存在的不足之处主要有：

(1)有些方法需要引入远程的服务器，增加了使用和维护成本；

(2)通过网关转发机制，需要在每一台车中增加专门的网关装置会明显增加成本；

(3)汽车加电启动后采集数据进行计算，进而动态构建检测模型的方法，需要的计算资源很多；

(4)上述方法中没有明确检测到异常时的预警方式或者预警处理手段；

(5)CAN总线协议报文的数据可用于分类的属性较少，CAN总线异常报文变化的字节数较少，因此对参数化要求较高的人工智能分类方法效果不一定好；

(6)车载CAN总线环境是实时环境，对检测速度有较高要求；

(7)单一从数据帧合法性方面，难以覆盖所有的攻击报文类型，例如假冒、重放、恶意构造、拒绝服务(DOS)攻击等以正常报文形态出现的攻击。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供了基于机器学习的CAN总线网络异常检测方法及装置。

本发明采用的技术方案如下：基于机器学习的CAN总线网络异常检测方法，包括：

采集车载CAN总线报文样本，规格化车载CAN总线报文；

根据规格化车载CAN总线报文序号ID的类别划分报文，每一类别的报文作为训练样本，使用决策树生成算法训练得到该类别的决策树模型，获得与类别数量对应的多个决策树模型；

在车载CAN总线报文异常检测阶段，根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类，然后输入到对应类别的决策树模型，得到车载CAN总线正常报文和车载CAN总线异常报文。

进一步的，如果检测到车载CAN总线异常报文，则通过内部硬件电路触发报警组件(蜂鸣器、喇叭等)发出报警。

进一步的，触发的报警包括以下几种方式：蜂鸣器连续发出蜂鸣声、喇叭语音播报威胁、仪表盘指示灯闪烁提醒中的一种或几种。

进一步的，触发报警后，采取措施方法包括：(1)驾驶室向安全防护机构发送通讯请求；(2)关断车辆运行程序；(3)启动车辆预装的车联网网络安全防护机制。

进一步的，所述车载CAN总线数据采用数据块1、数据块2，…，数据块n－1，数据块n的多个数据块的结构进行存储，规格化预处理的数据从数据块1到数据块n顺序循环进行填充内存块操作，填充内存块操作之后进行读取内存块操作。

本发明还公开了基于机器学习的CAN总线网络异常检测装置，包括：

数据接收模块，用于接收采集到的车载CAN总线数据；

数据预处理模块，用于规格化车载CAN总线报文；

机器学习算法分析引擎模块，用于根据规格化车载CAN总线报文序号ID的类别划分报文，每一类别的报文作为训练样本，使用决策树生成算法训练得到该类别的决策树模型，获得与类别数量对应的多个决策树模型；

检测模块，用于根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类，然后输入到对应类别的决策树模型，得到车载CAN总线正常报文和车载CAN总线异常报文。

进一步的，所述基于机器学习的CAN总线网络异常检测装置，还包括：数据缓存处理模块，所述数据缓存处理模块包括n个数据块：数据块1、数据块2，…，数据块n－1，数据块n，所述数据预处理模块的程序从数据块1、数据块2，…，数据块n－1，数据块n的顺序循环进行填充内存块操作，在填充内存块操作之后机器学习算法分析引擎模块进行读取内存块操作。

进一步的，所述基于机器学习的CAN总线网络异常检测装置还包括报警装，所述报警装置采用设置了连续发出蜂鸣声的蜂鸣器、设置了语音播报威胁的喇叭、设置了指示灯闪烁的仪表盘中的一种或者几种。

与现有技术相比，采用上述技术方案的有益效果为：

(1)本发明采集总线网络上的CAN协议报文并进行预处理，通过有监督的机器学习算法—决策树模型分析，发现CAN总线网络中存在的异常会话连接报文、恶意攻击流量和异常数据报文等，该过程属于汽车本地操作，不需要连接额外的服务器或者上云端，节约成本、提高效率；

(2)本发明以CAN报文数据为样本进行模型训练，解决了现有方法中仅从CAN数据帧报文的合法性进行网络异常检测，难以覆盖已知的攻击报文类型的难题(例如以正常报文形态出现的恶意入侵攻击行为：CAN总线网络重放攻击、拒绝服务(DOS)攻击等)，提高了检测精度；

(3)本发明在检测并预警网络安全威胁的同时，设计了进一步的报警装置，即设置了安全解决措施或处理手段，创造性地提出了以蜂鸣器、语音播报喇叭或仪表盘指示灯的方式将CAN总线网络安全异常反馈车辆驾驶人员；

(4)本发明所述方法充分考虑了现有汽车行业存在的大量存量车长期使用、前装阶段车商需要强力推动，后装阶段用户需求自主性较强的车联网网络安全的实际情况，由***设置多种机制供驾驶员自主判断，可以做出多种选择。车联网网络安全防护机制包括访问控制、身份认证、应用加密、通信隔离和安全加固(包括安全CAN总线协议，安全CAN总线网络等)。提高本方案的灵活性，具有广阔的市场前景。

(5)本发明的法采用决策树模型算法实现CAN总线报文数据的异常检测，经过工程实践表明该方法的经济可行性。

附图说明

图1是基于机器学习的CAN总线网络异常检测方法示意图。

图2是CAN总线报文决策树模型生成流程示意图。

图3是CAN总线报文决策树生成算法的流程示意图。

图4是基于机器学习的CAN总线网络异常检测装置示意图。

图5是CAN总线数据的存储覆盖结构原理图。

图6是基于机器学习的CAN总线网络异常检测装置的硬件结构示意图。

具体实施方式

下面结合附图对本发明做进一步描述。

决策树是一种有监督的机器学习模型，它以树形图的方式表示属性和结果间的逻辑关系，主要用于解决分类问题和回归问题。决策树将数据属性选择转化成一种“如果－就”的关系，它使用一种树形数据结构，由一个根节点，许多非叶子节点和叶子节点组成，其中每个非叶结点表示在一个属性上的测试，输出测试则对应每个分枝，每个叶结点代表一种类别。

如图1所示，基于机器学习的CAN总线网络异常检测方法，包括：

决策树模型的生成：采集车载CAN总线报文样本，报文预处理技术包括使用自助法扩充车载CAN总线报文样本，划分车载CAN总线报文生成车载CAN总线报文属性，使用属性杂序方法生成车载CAN总线报文异常样本，使用分层法划分车载CAN总线报文训练集和测试集；另外还包括根据规范化车载CAN总线报文的报文序号ID类别划分报文，得到多种不同的报文样本；如图2所示，本实施例采用的是后者，从行车时间、路况和车辆自身情况等角度对报文进行初步预处理，得到规格化的车载CAN总线报文；根据规格化车载CAN总线报文序号ID的类别划分报文，本实施例类别划分结果为n类，每一类别的报文作为训练样本，使用决策树生成算法训练得到该类别的决策树模型，获得与类别数量对应的n个决策树模型；

异常检测：在车载CAN总线报文异常检测阶段，根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类(规格化方法和决策树模型的生成相同)，得到n类报文，然后输入到对应类别的决策树模型，得到车载CAN总线正常报文和车载CAN总线异常报文。

决策树生成算法：

CAN总线数据的决策树生成算法以CART决策树模型为基础，CART决策树模型使用二叉树将预测空间递归地划分为若干子集，而树中的节点对应着划分不同区域，划分是由每个内部节点相关的分支规则来确定的，通过从树根到节点移动，一个预测样本被赋予一个唯一的叶节点，因变量在该节点上的条件分布也即被确定。CART决策树算法设计包含3个重要内容：分支变量即拆分点的选择、树的修剪和模型树的评估。结合车载CAN总线报文特点，在CAN总线决策树生成算法中，将车载CAN总线报文分类是一个二分类问题，CAN总线报文的基尼指数定义为：

其中，D表示车载CAN总线报文样本集合，k表示车载总线报文类别，k＝1表示车载CAN总线报文正常样本，k＝2表示车载CAN总线报文异常样本，P_k表示车载CAN总线报文不同类别的概率分布，P表示车载CAN总线报文正常样本的概率。CAN_gini(D)反映了随机从报文样本D中抽取两个报文，它们的类别不一致的概率。车载CAN总线报文根据数据域长度共有8种属性，每一种属性的取值范围是0－255，属性C的CAN总线报文数据的基尼指数定义为：

其中，D¹和D²分别表示报文样本D按照特征C是否取某个可能值c划分出的两个子集合，|D¹|和|D²|表示上述两个子集合包含的样本数目，|D|表示报文样本D的样本数目。属性C的CAN总线报文基尼指数越小表示属性C越适合作为最优划分属性。

CAN总线决策树生成算法使用CAN总线报文基尼指数获得每一属性划分的最优属性和最优二值切分点，CAN总线决策树生成算法步骤如下图3所示：首先采集大量的CAN总线网络数据，计算当前特征对当前报文样本的CAN总线报文基尼指数，在当前所有可能的特征C以及它们所有可能的二值切分点c中，选择CAN总线报文基尼指数最小的特征及其对应的二值切分点作为当前用于属性划分的最优属性和最优二值切分点。根据最优属性和最优二值切分点将当前报文样本分为两个子集合。重复上述过程，最终形成一个CAN总线决策树模型n。

优选地，如果检测到车载CAN总线异常报文，则采用异常报文***进行定位，给出指导性定位结果。

优选地，为了及时发现异常数据，如果检测到车载CAN总线异常报文，则触发报警。触发的报警包括以下几种方式：蜂鸣器连续发出蜂鸣声、喇叭语音播报威胁、仪表盘指示灯闪烁提醒中的一种或几种。

优选地，为了提供最有效的应对措施，触发报警后，采取措施方法包括：(1)驾驶室向安全防护机构发送通讯请求，这种措施可以继续使用车辆；(2)关断车辆运行程序，这种措施立即暂停了车辆的使用，将车辆送至维修机构进行维修；(3)启动车辆预装的车联网网络安全防护机制。

优选的，为了解决车载板卡内存有限问题，本实施例设计数据缓存、擦除与覆盖一体化的CAN总线报文存储管理机制，所述车载CAN总线数据采用数据块1、数据块2，…，数据块n－1，数据块n的多个数据块的结构进行存储，规格化预处理的数据从数据块1到数据块n顺序循环进行填充内存块操作，填充内存块操作之后进行读取内存块操作；基于上述方法，不需要将数据传至远程服务器端，同时也解决了板卡内存有限的问题。

如图4所示，基于机器学习的CAN总线网络异常检测装置，包括数据接收模块、数据接收模块、机器学习算法分析引擎模块、检测模块，数据接收模块接收采集到的车载CAN总线数据，主要完成CAN总线网络数据采集功能，单向读取CAN总线数据，只收不发，不会影响CAN总线网络正常工作；数据预处理模块对接收模块采集到的数据进行预处理，获得规格化车载CAN总线报文，规格化后的报文数据可以存储在存储空间中；机器学习算法分析引擎模块读取规格化数据，根据规格化车载CAN总线报文序号ID的类别划分报文，每一类别的报文作为训练样本，使用决策树生成算法训练得到该类别的决策树模型，获得与类别数量对应的多个决策树模型，这里的决策树模型通过实验模拟训练或在实际车型采集数据训练产生，并以程序形态固化在装置中；检测模块根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类，然后输入到对应类别的决策树模型，得到车载CAN总线正常报文和车载CAN总线异常报文。

优选地，预处理模块输出有效的规格化报文存于存储空间中，设置数据缓存处理模块负责对有限的数据存储空间进行管理。当汽车在行使时，车载CAN总线网络数据是实时数据，而且数据量很大，但另一方面，机器学习算法分析需要一定的数据量作为分析基础，车内用于实现CAN总线异常检测的存储硬件空间十分有限。因此，针对车载板卡内存有限问题，独特设计数据缓存、擦除与覆盖一体化的CAN总线报文存储管理机制。本实施例的数据缓存处理模块如图5所示，首先将数据存储硬件进行分块操作，具体的数据块大小可以根据数据采集速度、机器学习算法处理速度和不同车型等因素确定，本实施例将数据缓存处理模块分为n个数据块：数据块1、数据块2，…，数据块n－1，数据块n，所述数据预处理模块的程序从数据块1、数据块2，…，数据块n－1，数据块n的顺序循环进行填充内存块操作，在填充内存块操作之后机器学习算法分析引擎模块进行读取内存块操作。该方案不需要将数据传至远程服务器端，立足于单台车进行本地化机器学习分析处理，提高了本发明方法和装置的可用性。CAN总线数据存储硬件(如SD卡等)采用覆盖结构，将数据按照数据块结构存储，并规定数据预处理模块填充内存数据块和机器学习算法分析引擎读取内存数据块的操作先后顺序，避免出现因同时处理内存而死锁的情况。

如图6所示，基于机器学习的CAN总线网络异常检测装置的一种硬件结构实现方式，由CAN总线输入接口、数据处理单元、存储器、电源接口、外设接口和车载报警装置构成。CAN总线输入接口主要完成从CAN总线网络接收报文，并适配不同的CAN总线速率和协议结构；数据处理单元包括操作***、CAN数据预处理、机器学习算法分析引擎等功能；存储器是CAN总线数据缓存机构；电源接口从车载电源获取整个基于机器学习的CAN总线网络异常检测装置的工作电源；外设接口与车载报警装置连接，负责传递工作信号以及供电；车载报警装置完成异常报警功能(如锋鸣、仪表盘指示灯闪烁等)。

CAN总线网络安全威胁告警机制：当使用机器学习算法分析引擎模块发现CAN总线网络存在攻击行为或异常状态时，将触发本发明所述CAN总线网络异常检测装置的车载报警装置(如蜂鸣器、语音播报喇叭或仪表盘指示灯等)进行动作，以蜂鸣器连续发出蜂鸣声，喇叭语音播报威胁或仪表盘指示灯闪烁提醒车辆驾驶人员。更进一步的，目前车载总线控制网络出现安全威胁，由***设置多种机制供自主判断，可以做出三种选择：(1)驾驶室向安全防护机构发送通讯请求，这种措施可以继续使用车辆；(2)关断车辆运行程序，这种措施立即暂停了车辆的使用，将车辆送至维修机构进行维修；(3)启动车辆预装的车联网网络安全防护机制。

本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员，在不脱离本发明的精神所做的非实质性改变或改进，都应该属于本发明权利要求保护的范围。

Claims

1.基于机器学习的CAN总线网络异常检测方法，其特征在于，包括：

采集车载CAN总线报文样本，规格化车载CAN总线报文；

2.如权利要求1的所述基于机器学习的CAN总线网络异常检测方法，其特征在于，如果检测到车载CAN总线异常报文，则触发报警。

3.如权利要求2的所述基于机器学习的CAN总线网络异常检测方法，其特征在于，触发的报警包括以下几种方式：蜂鸣器连续发出蜂鸣声、喇叭语音播报威胁、仪表盘指示灯闪烁提醒中的一种或几种。

4.如权利要求3的所述基于机器学习的CAN总线网络异常检测方法，其特征在于，触发报警后，采取措施方法包括：(1)驾驶室向安全防护机构发送通讯请求；(2)关断车辆运行程序；(3)启动车辆预装的车联网网络安全防护机制。

5.如权利要求1的所述基于机器学习的CAN总线网络异常检测方法，其特征在于，所述车载CAN总线数据采用数据块1、数据块2，…，数据块n－1，数据块n的多个数据块的结构进行存储，规格化预处理的数据从数据块1到数据块n顺序循环进行填充内存块操作，填充内存块操作之后进行读取内存块操作。

6.基于机器学习的CAN总线网络异常检测装置，其特征在于，包括：

数据接收模块，用于接收采集到的车载CAN总线数据；

数据预处理模块，用于规格化车载CAN总线报文；

7.如权利要求6所述的基于机器学习的CAN总线网络异常检测装置，其特征在于，还包括：数据缓存处理模块，所述数据缓存处理模块包括n个数据块：数据块1、数据块2，…，数据块n－1，数据块n，所述数据预处理模块的程序从数据块1、数据块2，…，数据块n－1，数据块n的顺序循环进行填充内存块操作，在填充内存块操作之后机器学习算法分析引擎模块进行读取内存块操作。

8.如权利要求6所述的基于机器学习的CAN总线网络异常检测装置，其特征在于，所述基于机器学习的CAN总线网络异常检测装置还包括报警装，所述报警装置采用设置了连续发出蜂鸣声的蜂鸣器、设置了语音播报威胁的喇叭、设置了指示灯闪烁的仪表盘中的一种或者几种。