CN112787984A - 一种基于相关分析的车载网络异常检测方法及*** - Google Patents
一种基于相关分析的车载网络异常检测方法及*** Download PDFInfo
- Publication number
- CN112787984A CN112787984A CN201911094247.3A CN201911094247A CN112787984A CN 112787984 A CN112787984 A CN 112787984A CN 201911094247 A CN201911094247 A CN 201911094247A CN 112787984 A CN112787984 A CN 112787984A
- Authority
- CN
- China
- Prior art keywords
- message
- byte
- value
- prediction model
- correlation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 50
- 238000010219 correlation analysis Methods 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000004891 communication Methods 0.000 claims abstract description 36
- 230000002159 abnormal effect Effects 0.000 claims abstract description 11
- 238000013528 artificial neural network Methods 0.000 claims abstract description 7
- 230000005856 abnormality Effects 0.000 claims description 10
- 238000012549 training Methods 0.000 claims description 10
- 238000013459 approach Methods 0.000 claims description 5
- 238000002347 injection Methods 0.000 abstract description 4
- 239000007924 injection Substances 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 5
- 238000005070 sampling Methods 0.000 description 5
- 239000000243 solution Substances 0.000 description 3
- 238000012800 visualization Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000000611 regression analysis Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于相关分析的车载网络异常检测方法及***,方法包括:采集车辆行驶过程中的通信数据;所述通信数据包括消息ID、消息报文内容及消息发生时间;使用已建立的预测模型预测输出对应字节序的报文值,判断预测的报文值与实际的报文值之间的偏差是否超过检测阈值,如果超过,判断消息存在异常;所述预测模型基于车辆行驶过程中通信数据之间的相关关系分组建立;所述预测模型的输入为所述相关关系分组中的一个或多个消息ID字节序对应的报文值,所述预测模型的输出为所述相关关系分组中的其他消息ID字节序对应的报文值。本发明分析原始报文数据间的相关性,利用神经网络建立报文字节内容预测模型,可实时检测出不符合车辆正常行驶状态的恶意数据注入攻击。
Description
技术领域
本发明涉及车辆数据安全领域,特别是一种基于相关分析的车载网络异常检测方法及***。
背景技术
由于CAN协议的广播性和缺乏安全性特点,攻击者很容易在总线上注入恶意消息。车载网络安全问题已引起广泛关注,已有人提出各种各样的技术和相应的解决方案。针对恶意消息的异常检测,目前主要有两种解决方法。一种方法是通过物理变量异常检测来发现网络异常消息,这种方法需要知晓物理变量存储的位置和方式,即需要总线通信协议内容或者对总线进行逆向工程,若通信协议或逆向数据遭到泄露,会增加车辆总线通信遭受攻击的风险。另一种方法是通过分类法进行检测,这种方法不需要了解总线通信协议,但建立的检测模型受模拟训练的异常数据影响较大,只能检测到非正常数据内容的篡改或***攻击,无法检测***总线内部的属于正常数据范围内但违背行驶状态逻辑的非法数据。
发明内容
本发明的主要目的在于提出一种基于相关分析的车载网络异常检测方法及***,通过分析原始报文数据间的相关性,利用神经网络建立报文字节内容预测模型,可实时检测出不符合车辆正常行驶状态的恶意数据注入。
本发明采用如下技术方案:
一方面,本发明一种基于相关分析的车载网络异常检测方法,包括:
采集车辆行驶过程中的通信数据;所述通信数据包括消息ID、消息报文内容及消息发生时间;
使用已建立的预测模型预测输出对应字节序的报文值,判断预测的报文值与实际的报文值之间的偏差是否超过检测阈值,如果超过,判断消息存在异常;所述预测模型基于车辆行驶过程中通信数据之间的相关关系分组建立;所述预测模型的输入为所述相关关系分组中的一个或多个消息ID字节序对应的报文值,所述预测模型的输出为所述相关关系分组中的其他消息ID字节序对应的报文值。
优选的,所述预测模型的建立方法包括:
采集相同车型车辆行驶过程中的通信数据;
计算汉明距,分析汉明距数据,剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节;记录报文内容有变化的消息ID和对应的字节序;
针对记录的消息ID,对消息事件发生时间进行归一化处理,按相近时刻对不同消息ID的事件时间进行配对处理,分别计算其中各个字节对的相关系数,提取相关系数绝对值大于预设值的字节对,标记为相关关系分组;所述接近时刻包括相同时刻或预设范围内的时刻;
对各相关关系分组中的报文数据按时间序列用LSTM神经网络进行训练,建立各相关关系分组的预测模型。
优选的,计算汉明距,分析汉明距数据,剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节;记录报文内容有变化的消息ID和对应的字节序,具体包括:
按消息ID汇总统计总字节数的汉明距之和,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该消息ID所有字节报文内容无变化,则剔除该消息ID;
对于未剔除的消息ID,按字节序对消息ID中各个字节的汉明距进行统计,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该字节报文内容无变化,则剔除无变化的字节;
记录报文内容有变化的消息ID和对应字节序。
优选的,所述相关系数的预设值为0.5。
优选的,所述检测阈值的获取设置方法包括:
选取多段正常行驶记录采集的通信数据,使用所述预测模型预测对应消息ID中某字节的报文值,基于预测报文值与实际报文值之间的标准差,设置检测阈值。
另一方面,本发明一种基于相关分析的车载网络异常检测***,包括:
数据采集模块,用于采集车辆行驶过程中的通信数据;所述通信数据包括消息ID、消息报文内容及消息发生时间;
消息异常检测模块,使用预测模型建立模块建立的预测模型预测输出对应字节序的报文值,判断预测的报文值与实际的报文值之间的偏差是否超过检测阈值,如果超过,判断消息存在异常;所述预测模型基于车辆行驶过程中通信数据之间的相关关系分组建立;所述预测模型的输入为所述相关关系分组中的一个或多个消息ID字节序对应的报文值,所述预测模型的输出为所述相关关系分组中的其他消息ID字节序对应的报文值。
优选的,所述预测模型的建立方法包括:
采集相同车型车辆行驶过程中的通信数据;
计算汉明距,分析汉明距数据,剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节;记录报文内容有变化的消息ID和对应的字节序;
针对记录的消息ID,对消息事件发生时间进行归一化处理,按相近时刻对不同消息ID的事件时间进行配对处理,分别计算其中各个字节对的相关系数,提取相关系数绝对值大于预设值的字节对,标记为相关关系分组;所述接近时刻包括相同时刻或预设范围内的时刻;
对各相关关系分组中的报文数据按时间序列用LSTM神经网络进行训练,建立各相关关系分组的预测模型。
优选的,计算汉明距,分析汉明距数据,剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节;记录报文内容有变化的消息ID和对应的字节序,具体包括:
按消息ID汇总统计总字节数的汉明距之和,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该消息ID所有字节报文内容无变化,则剔除该消息ID;
对于未剔除的消息ID,按字节序对消息ID中各个字节的汉明距进行统计,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该字节报文内容无变化,则剔除无变化的字节;
记录报文内容有变化的消息ID和对应字节序。
优选的,所述相关系数的预设值为0.5。
优选的,所述检测阈值的获取设置方法包括:
选取多段正常行驶记录采集的通信数据,使用所述预测模型预测对应消息ID中某字节的报文值,基于预测报文值与实际报文值之间的标准差,设置检测阈值。
与现有技术相比,本发明的有益效果如下:
本发明的方法和***,无需获取具体的车辆总线通信协议,无需得知物理变量存储的位置和方式;在不需要将总线通信数据转换为实际具有物理意义变量的数据条件下,通过统计分析确定原始报文数据间的相关性,并利用神经网络建立报文字节内容预测模型,可实时检测出不符合车辆正常行驶状态的恶意数据注入攻击。
附图说明
图1为本发明实施例的方法流程示意图;
图2为本发明实施例的预测模型建立方法流程示意图;
图3为本发明实施例的某一采样时间段的报文变化时间序列散点图一;
图4为本发明实施例的某一采样时间段的报文变化时间序列散点图二。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步的详细描述。
参见图1所示,一方面,本发明一种基于相关分析的车载网络异常检测方法,包括:
S10,采集车辆行驶过程中的通信数据;所述通信数据包括消息ID、消息报文内容及消息发生时间;
S20,使用已建立的预测模型预测输出对应字节序的报文值,判断预测的报文值与实际的报文值之间的偏差是否超过检测阈值,如果超过,判断消息存在异常;所述预测模型基于车辆行驶过程中通信数据之间的相关关系分组建立;所述预测模型的输入为所述相关关系分组中的一个或多个消息ID字节序对应的报文值,所述预测模型的输出为所述相关关系分组中的其他消息ID字节序对应的报文值。
参见图2所示,所述预测模型的建立方法包括:
S201,采集相同车型车辆行驶过程中的通信数据。
S202,计算汉明距,分析汉明距数据,剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节;记录报文内容有变化的消息ID和对应的字节序。
具体的,包括:
S2021,按消息ID汇总统计总字节数的汉明距之和,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该消息ID所有字节报文内容无变化,则剔除该消息ID;
如消息ID为0xYYFD0500在一段时间内的采样结果为:该消息的每条报文固定包含8个字节,共有几百条报文,分别对每两条相邻报文的8个字节按字节序计算对应汉明距离,并求出汉明距离之和。如其中两条相邻报文都为0x0102030405060708,则总汉明距离之和为0,若289条报文都相同,没有变化,则最大值、最小值、中位数、下四分位数、上四分位数都为0,这个消息ID就可直接剔除。
S2022,对于未剔除的消息ID,按字节序对消息ID中各个字节的汉明距进行统计,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该字节报文内容无变化,则剔除无变化的字节;
如消息ID为YYF00F51在一段时间的采样数据记录有几百条,统计结果如下表1(表中只列出了8个字节),其中只有第4字节符合记录要求。
表1
S2023,记录报文内容有变化的消息ID和对应字节序。
S203,针对记录的消息ID,对消息事件发生时间进行归一化处理,按相近时刻对不同消息ID的事件时间进行配对处理,分别计算其中各个字节对的相关系数,提取相关系数绝对值大于预设值的字节对,标记为相关关系分组;所述接近时刻包括相同时刻或预设范围内的时刻。
具体的,针对选出的分组,可以利用可视化***绘制出相同时间段内对应分组的实际报文字节值的折线图和时间序列散点图,结合图形进行验证和复核,若该分组的报文值变化趋势一致或者刚好相反,并且这些相关性随时间的推移表现非常稳定,则该分组具有较强相关关系,确定并标记该分组。若多个相关关系分组之间存在两两相关的关系,如存在相关关系AB、BC、AC,则将ABC合并为一个相关关系分组。或者,分组之间只存在部分相交关系,如AB、AC,也可以将其合并为一个分组,但需要特殊标记,在后面进行训练时,则只能选择B和C为输入项,A为输出项。
参见图3所示,经过计算,消息ID为XXFEYYEE的第6和第8字节与XXF003YY的第3字节的相关系数分别为0.95和0.96,利用可视化***绘制出某一采样时间段的报文变化时间序列散点图,其中图3(a)为XXFEYYEE消息报文值变化图,图3(b)为XXF003YY消息报文值变化图。从图中可以看出三者变化趋势非常一致,验证了前面的计算结果,证明这两个消息对应的字节存在两两相关关系,可组成一个相关关系分组,可选择任意两个字节为输入项,其他一个为输出项。
参见图4所示,经过计算,消息ID为XXYYF030的第2和3字节分别与XXFEYY02的第6字节的相关系数为0.7和0.6,利用可视化***绘制出某一采样时间段的报文变化时间序列散点图,其中图4(a)为XXYYF030消息报文值变化图,图4(b)为XXFEYY02消息报文值变化图。三种变化基本一致,通过判断,XXYYF030的第2和3字节经过某些计算规则组合起来后与XXFEYY02的第6字节变化更趋一致,故只能选择XXYYF030的第2和3字节为输入项,XXFEYY02的第6字节为输出项。
进一步的,所述相关系数的预设值为0.5。
相关系数计算方法基于协方差和标准差,如下,二维变量x和y相关系数的计算公式:
其中,rxy表示样本相关系数,Sxy表示样本协方差,Sy表示x的样本标准差,Sy表示y的样本标准差。下面分别是Sxy协方差和Sx、Sy标准差的计算公式。
其中,x在本方法中表示消息ID为A的第k(k值一般为1到8)个报文字节值,y表示消息ID为B的第m个报文字节值。如x表示消息ID为XXFEYYEE的第6个字节的报文值,y表示消息ID为XXF003YY的第3个字节的报文值。
S204,对各相关关系分组中的报文数据按时间序列用LSTM神经网络进行训练,建立各相关关系分组的预测模型。
具体的,任意选择分组对中的其中一个为输入项,另一个则为输出项。若分组中包含对象超过两个以上,则任取其中一个为输出项,其它为输入项。可根据训练效果调整输入输出项的选择。如消息A_1(表示消息ID为A的第1字节)、B_2(表示消息ID为B的第2字节)和C_5(表示消息ID为C的第5字节)存在两两相关关系,则可任意选择其中两项如A_1和B_2作为输入项,C_5作为输出项。
进一步的,所述预测模型建立完成后,选取多段正常行驶记录采集的CAN总线报文对预测模型进行测试,计算出对应消息ID某字节的预测报文值与原始报文值之间的标准差,根据标准差和对应报文自身的正常数据范围设置合适的检测阈值。具体的,所述检测阈值可设置为标准差的2倍,实际应用中会根据训练数据情况以及正常报文值自身的波动范围进行调整,以避免误报。
进一步的,基于相关性分组,利用预测模型实时计算预测该模型输出项对应的字节数值,若预测输出项与实际接收报文数据值偏差超出训练获得的检测阈值,则认为该组报文存在异常,***可能遭受恶意非法注入攻击。继续S204中例子,实时检测时输入某一小段时间范围内A_1和B_2对应的报文序列,输出为C_5在相应时时间段的预测报文值,计算预测值与实际接收值之间的误差,大于检测阈值时则提示检测出异常行为。
本发明一种基于相关分析的车载网络异常检测方法,用于检测车载CAN总线或其他总线异常消息,通过直接提取原始报文字节数据并进行相关性分析,获得具有较强相关关系的消息组合,并对分组消息数据进行回归分析,建立各种正常的消息相关性模型,这些分组模型的变量具有正向一致性关系或反相关关系,是车辆的传感器在车辆行驶过程中对应状态以数字形式的一种表现,可用于实时检测恶意数据注入攻击引起的数据不一致性问题。
另一方面,本发明一种基于相关分析的车载网络异常检测***,包括:
数据采集模块,用于采集车辆行驶过程中的通信数据;所述通信数据包括消息ID、消息报文内容及消息发生时间;
消息异常检测模块,使用预测模型建立模块建立的预测模型预测输出对应字节序的报文值,判断预测的报文值与实际的报文值之间的偏差是否超过检测阈值,如果超过,判断消息存在异常;所述预测模型基于车辆行驶过程中通信数据之间的相关关系分组建立;所述预测模型的输入为所述相关关系分组中的一个或多个消息ID字节序对应的报文值,所述预测模型的输出为所述相关关系分组中的其他消息ID字节序对应的报文值。
一种基于相关分析的车载网络异常检测***各模块具体的实现与一种基于相关分析的车载网络异常检测方法一致,本实施例不再重复说明。
上述仅为本发明的具体实施方式,但本发明的设计构思并不局限于此,凡利用此构思对本发明进行非实质性的改动,均应属于侵犯本发明保护范围的行为。
Claims (10)
1.一种基于相关分析的车载网络异常检测方法,其特征在于,包括:
采集车辆行驶过程中的通信数据;所述通信数据包括消息ID、消息报文内容及消息发生时间;
使用已建立的预测模型预测输出对应字节序的报文值,判断预测的报文值与实际的报文值之间的偏差是否超过检测阈值,如果超过,判断消息存在异常;所述预测模型基于车辆行驶过程中通信数据之间的相关关系分组建立;所述预测模型的输入为所述相关关系分组中的一个或多个消息ID字节序对应的报文值,所述预测模型的输出为所述相关关系分组中的其他消息ID字节序对应的报文值。
2.根据权利要求1所述的基于相关分析的车载网络异常检测方法,其特征在于,所述预测模型的建立方法包括:
采集相同车型车辆行驶过程中的通信数据;
计算汉明距,分析汉明距数据,剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节;记录报文内容有变化的消息ID和对应的字节序;
针对记录的消息ID,对消息事件发生时间进行归一化处理,按相近时刻对不同消息ID的事件时间进行配对处理,分别计算其中各个字节对的相关系数,提取相关系数绝对值大于预设值的字节对,标记为相关关系分组;所述接近时刻包括相同时刻或预设范围内的时刻;
对各相关关系分组中的报文数据按时间序列用LSTM神经网络进行训练,建立各相关关系分组的预测模型。
3.根据权利要求2所述的基于相关分析的车载网络异常检测方法,其特征在于,计算汉明距,分析汉明距数据,剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节;记录报文内容有变化的消息ID和对应的字节序,具体包括:
按消息ID汇总统计总字节数的汉明距之和,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该消息ID所有字节报文内容无变化,则剔除该消息ID;
对于未剔除的消息ID,按字节序对消息ID中各个字节的汉明距进行统计,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该字节报文内容无变化,则剔除无变化的字节;
记录报文内容有变化的消息ID和对应字节序。
4.根据权利要求2所述的基于相关分析的车载网络异常检测方法,其特征在于,所述相关系数的预设值为0.5。
5.根据权利要求1所述的基于相关分析的车载网络异常检测方法,其特征在于,所述检测阈值的获取设置方法包括:
选取多段正常行驶记录采集的通信数据,使用所述预测模型预测对应消息ID中某字节的报文值,基于预测报文值与实际报文值之间的标准差,设置检测阈值。
6.一种基于相关分析的车载网络异常检测***,其特征在于,包括:
数据采集模块,用于采集车辆行驶过程中的通信数据;所述通信数据包括消息ID、消息报文内容及消息发生时间;
消息异常检测模块,使用预测模型建立模块建立的预测模型预测输出对应字节序的报文值,判断预测的报文值与实际的报文值之间的偏差是否超过检测阈值,如果超过,判断消息存在异常;所述预测模型基于车辆行驶过程中通信数据之间的相关关系分组建立;所述预测模型的输入为所述相关关系分组中的一个或多个消息ID字节序对应的报文值,所述预测模型的输出为所述相关关系分组中的其他消息ID字节序对应的报文值。
7.根据权利要求6所述的基于相关分析的车载网络异常检测***,其特征在于,所述预测模型的建立方法包括:
采集相同车型车辆行驶过程中的通信数据;
计算汉明距,分析汉明距数据,剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节;记录报文内容有变化的消息ID和对应的字节序;
针对记录的消息ID,对消息事件发生时间进行归一化处理,按相近时刻对不同消息ID的事件时间进行配对处理,分别计算其中各个字节对的相关系数,提取相关系数绝对值大于预设值的字节对,标记为相关关系分组;所述接近时刻包括相同时刻或预设范围内的时刻;
对各相关关系分组中的报文数据按时间序列用LSTM神经网络进行训练,建立各相关关系分组的预测模型。
8.根据权利要求7所述的基于相关分析的车载网络异常检测***,其特征在于,计算汉明距,分析汉明距数据,剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节;记录报文内容有变化的消息ID和对应的字节序,具体包括:
按消息ID汇总统计总字节数的汉明距之和,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该消息ID所有字节报文内容无变化,则剔除该消息ID;
对于未剔除的消息ID,按字节序对消息ID中各个字节的汉明距进行统计,计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值;若各项指标值都为0或者都相等,则表明该字节报文内容无变化,则剔除无变化的字节;
记录报文内容有变化的消息ID和对应字节序。
9.根据权利要求7所述的基于相关分析的车载网络异常检测***,其特征在于,所述相关系数的预设值为0.5。
10.根据权利要求6所述的基于相关分析的车载网络异常检测方法,其特征在于,所述检测阈值的获取设置方法包括:
选取多段正常行驶记录采集的通信数据,使用所述预测模型预测对应消息ID中某字节的报文值,基于预测报文值与实际报文值之间的标准差,设置检测阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911094247.3A CN112787984B (zh) | 2019-11-11 | 2019-11-11 | 一种基于相关分析的车载网络异常检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911094247.3A CN112787984B (zh) | 2019-11-11 | 2019-11-11 | 一种基于相关分析的车载网络异常检测方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112787984A true CN112787984A (zh) | 2021-05-11 |
| CN112787984B CN112787984B (zh) | 2023-11-14 |
Family
ID=75749725
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911094247.3A Active CN112787984B (zh) | 2019-11-11 | 2019-11-11 | 一种基于相关分析的车载网络异常检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112787984B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172686A (zh) * | 2021-10-27 | 2022-03-11 | 北京邮电大学 | 车载can总线报文入侵检测方法以及相关设备 |
| CN114244596A (zh) * | 2021-12-10 | 2022-03-25 | 上海交通大学 | 基于htm的车载can网络异常检测方法和*** |
| EP4277202A1 (en) * | 2022-05-13 | 2023-11-15 | Elektrobit Automotive GmbH | Threat detection for a processing system of a motor vehicle |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068170A (zh) * | 2007-06-05 | 2007-11-07 | 华为技术有限公司 | 一种报文接收异常的检测方法、***及其装置 |
| CN103106329A (zh) * | 2012-11-19 | 2013-05-15 | 华北电力大学 | 一种用于svr短期负荷预测的训练样本分组构造方法 |
| CN104133992A (zh) * | 2014-07-21 | 2014-11-05 | 快威科技集团有限公司 | 基于信息安全评估相关性的评估基准构建方法及装置 |
| US20160359893A1 (en) * | 2014-12-01 | 2016-12-08 | Panasonic Intellectual Property Corporation Of America | Anomaly detection electronic control unit, onboard network system, and anomaly detection method |
| CN108965001A (zh) * | 2018-07-12 | 2018-12-07 | 北京航空航天大学 | 一种车辆报文数据模型的评估方法及装置 |
| CN110040107A (zh) * | 2019-03-18 | 2019-07-23 | 百度在线网络技术(北京)有限公司 | 车辆入侵检测及预测模型训练方法、装置及存储介质 |
| CN110135630A (zh) * | 2019-04-25 | 2019-08-16 | 武汉数澎科技有限公司 | 基于随机森林回归和多步寻优的短期负荷需求预测方法 |
| CN110149345A (zh) * | 2019-06-11 | 2019-08-20 | 北京航空航天大学 | 一种基于报文序列预测的车载网络入侵检测方法 |
| US20190303567A1 (en) * | 2018-03-28 | 2019-10-03 | Nvidia Corporation | Detecting data anomalies on a data interface using machine learning |
-
2019
- 2019-11-11 CN CN201911094247.3A patent/CN112787984B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068170A (zh) * | 2007-06-05 | 2007-11-07 | 华为技术有限公司 | 一种报文接收异常的检测方法、***及其装置 |
| WO2008148334A1 (fr) * | 2007-06-05 | 2008-12-11 | Huawei Technologies Co., Ltd. | Procédé, système et appareil pour détecter la réception anormale d'un message |
| CN103106329A (zh) * | 2012-11-19 | 2013-05-15 | 华北电力大学 | 一种用于svr短期负荷预测的训练样本分组构造方法 |
| CN104133992A (zh) * | 2014-07-21 | 2014-11-05 | 快威科技集团有限公司 | 基于信息安全评估相关性的评估基准构建方法及装置 |
| US20160359893A1 (en) * | 2014-12-01 | 2016-12-08 | Panasonic Intellectual Property Corporation Of America | Anomaly detection electronic control unit, onboard network system, and anomaly detection method |
| US20190303567A1 (en) * | 2018-03-28 | 2019-10-03 | Nvidia Corporation | Detecting data anomalies on a data interface using machine learning |
| CN108965001A (zh) * | 2018-07-12 | 2018-12-07 | 北京航空航天大学 | 一种车辆报文数据模型的评估方法及装置 |
| CN110040107A (zh) * | 2019-03-18 | 2019-07-23 | 百度在线网络技术(北京)有限公司 | 车辆入侵检测及预测模型训练方法、装置及存储介质 |
| CN110135630A (zh) * | 2019-04-25 | 2019-08-16 | 武汉数澎科技有限公司 | 基于随机森林回归和多步寻优的短期负荷需求预测方法 |
| CN110149345A (zh) * | 2019-06-11 | 2019-08-20 | 北京航空航天大学 | 一种基于报文序列预测的车载网络入侵检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| DARIO STABILI; MIRCO MARCHETTI; MICHELE COLAJANNI: "Detecting attacks to internal vehicle networks through Hamming distance", IEEE * |
| 曲建云: "车载网络安全数据可视化技术的设计与实现", 厦门理工学院学报 * |
| 赵振堂: "车载网络异常检测技术研究", CNKI, no. 2018 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172686A (zh) * | 2021-10-27 | 2022-03-11 | 北京邮电大学 | 车载can总线报文入侵检测方法以及相关设备 |
| CN114172686B (zh) * | 2021-10-27 | 2022-08-05 | 北京邮电大学 | 车载can总线报文入侵检测方法、相关设备及计算机存储介质 |
| CN114244596A (zh) * | 2021-12-10 | 2022-03-25 | 上海交通大学 | 基于htm的车载can网络异常检测方法和*** |
| EP4277202A1 (en) * | 2022-05-13 | 2023-11-15 | Elektrobit Automotive GmbH | Threat detection for a processing system of a motor vehicle |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112787984B (zh) | 2023-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Marchetti et al. | READ: Reverse engineering of automotive data frames | |
| CN107302547B (zh) | 一种web业务异常检测方法及装置 | |
| CN112787984B (zh) | 一种基于相关分析的车载网络异常检测方法及*** | |
| CN112114995B (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
| CN111126622A (zh) | 一种数据异常检测方法与装置 | |
| CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、***及存储介质 | |
| CN112987675A (zh) | 一种异常检测的方法、装置、计算机设备和介质 | |
| CN109308411B (zh) | 基于人工智能决策树的分层检测软件行为缺陷的方法和*** | |
| CN102014031A (zh) | 一种网络流量异常检测方法及*** | |
| CN109145030B (zh) | 一种异常数据访问的检测方法和装置 | |
| CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
| CN113098887A (zh) | 一种基于网站联合特征的钓鱼网站检测方法 | |
| CN109391624A (zh) | 一种基于机器学习的终端接入数据异常检测方法及装置 | |
| CN111970229B (zh) | 一种针对多种攻击方式的can总线数据异常检测方法 | |
| CN115150182B (zh) | 基于流量分析的信息***网络攻击检测方法 | |
| CN115643035A (zh) | 基于多源日志的网络安全态势评估方法 | |
| CN115222303B (zh) | 基于大数据的行业风险数据分析方法、***及存储介质 | |
| CN108055227B (zh) | 基于站点自学习的waf未知攻击防御方法 | |
| CN115883163A (zh) | 网络安全告警监测方法 | |
| CN117150576B (zh) | 一种区块链电子***的智能验证***及方法 | |
| CN110598397A (zh) | 一种基于深度学习的Unix***用户恶意操作检测方法 | |
| CN117240522A (zh) | 基于攻击事件模型的漏洞智能挖掘方法 | |
| CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构*** | |
| CN116827641A (zh) | 一种车载can总线异常流量检测溯源方法及*** | |
| CN107306252A (zh) | 一种数据分析方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |