CN114172686A - 车载can总线报文入侵检测方法以及相关设备 - Google Patents

车载can总线报文入侵检测方法以及相关设备 Download PDF

Info

Publication number
CN114172686A
CN114172686A CN202111291221.5A CN202111291221A CN114172686A CN 114172686 A CN114172686 A CN 114172686A CN 202111291221 A CN202111291221 A CN 202111291221A CN 114172686 A CN114172686 A CN 114172686A
Authority
CN
China
Prior art keywords
message
transfer
transfer characteristic
target
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111291221.5A
Other languages
English (en)
Other versions
CN114172686B (zh
Inventor
徐国爱
毕子祥
徐国胜
王晨宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN202111291221.5A priority Critical patent/CN114172686B/zh
Publication of CN114172686A publication Critical patent/CN114172686A/zh
Application granted granted Critical
Publication of CN114172686B publication Critical patent/CN114172686B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明实施例提供一种车载CAN总线报文入侵检测方法以及相关设备。所述方法包括:从按照传输顺序排列的车载CAN总线报文序列中,确定待检测的目标报文;确定所述目标报文与前一报文间的第一转移特征;确定所述目标报文与后一报文间的第二转移特征;确定所述前一报文与所述后一报文间的第三转移特征;根据所述第一转移特征、第二转移特征、第三转移特征,以及预先建立的报文转移矩阵,得到所述目标报文的检测结果。该方法可以准确快速的识别入侵行为,占用更少的汽车ECU计算和存储资源,在资源受限的环境中准确高效检测车载CAN总线报文中的异常报文,有效保障了车辆运行的安全。

Description

车载CAN总线报文入侵检测方法以及相关设备
技术领域
本发明涉及车载入侵检测技术领域,尤其涉及一种车载CAN总线报文入侵检测方法以及相关设备。
背景技术
随着车载电子控制单元(ECU)数量的增加、计算能力的提高以及数据算法的发展,汽车已经朝着智能化、网络化和数字化的方向发展。汽车不再是一种运输工具,而是成为一个具有计算和通信能力的智能终端。如今,智能汽车改善了司机和乘客的驾驶体验,并为人们提供了许多生活上的便利。与此同时,车载安全问题也更需要人们注意。通过向车辆内部的控制网络注入恶意信息,可以实现对车辆的恶意控制,如控制车身、动力***、制动***等,这将严重威胁车辆行驶安全。目前车辆内部的控制网络主要是控制器区域网络(CAN)。CAN是一种可靠的串行总线,在各个ECU之间提供通信。然而,CAN总线使用广播进行通信,而且没有加密和认证机制。一旦黑客以任何方式进入CAN网络,将会导致CAN总线报文出现异常,他们就可以对车辆控制单元进行攻击,对车辆、车内人员和行人的安全构成严重威胁。
发明内容
有鉴于此,本发明实施例的目的在于提出一种车载CAN总线报文入侵检测方法以及相关设备。
基于上述目的,本发明实施例提供了一种车载CAN总线报文入侵检测方法,包括:
从按照传输顺序排列的车载CAN总线报文序列中,确定待检测的目标报文;
确定所述目标报文与前一报文间的第一转移特征;
确定所述目标报文与后一报文间的第二转移特征;
确定所述前一报文与所述后一报文间的第三转移特征;
根据所述第一转移特征、第二转移特征、第三转移特征,以及预先建立的报文转移矩阵,得到所述目标报文的检测结果。
基于同一发明构思,本发明实施例还提供了一种车载CAN总线报文入侵检测装置,包括:
获取模块,被配置为从按照传输顺序排列的车载CAN总线报文序列中,确定待检测的目标报文;
第一转移特征模块,被配置为确定所述目标报文与前一报文间的第一转移特征;
第二转移特征模块,被配置为确定所述目标报文与后一报文间的第二转移特征;
第三转移特征模块,被配置为确定所述前一报文与所述后一报文间的第三转移特征;
检测模块,被配置为根据所述第一转移特征、第二转移特征、第三转移特征,以及预先建立的报文转移矩阵,得到所述目标报文的检测结果。
基于同一发明构思,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任意一项所述的车载CAN总线报文入侵检测方法。
基于同一发明构思,本发明实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行上述任意一项所述的车载CAN总线报文入侵检测方法。
从上面所述可以看出,本发明实施例提供的一种车载CAN总线报文入侵检测方法以及相关设备,通过确定待检测的目标报文与其前一报文的转移特征、待检测的目标报文与其与后一报文的转移特征、前一报文与后一报文的转移特征,将以上所述转移特征与预先建立的报文转移矩阵经行匹配,得到目标报文的检测结果,以此检查报文转移的合法性。本发明利用基于正常行驶时历史车载CAN总线报文构建的报文转移矩阵,通过确定转移特征并进行转移特征匹配的方法,在资源受限的环境中准确高效检测车载CAN总线报文中的异常报文,有效保障了车辆运行的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的车载CAN总线报文入侵检测方法流程示意图。
图2为本发明实施例的特征转移矩阵构建过程示意图。
图3为本发明实施例的车载CAN总线报文入侵检测流程示意图。
图4为本发明实施例的车载CAN总线报文入侵检测装置示意图。
图5为本发明实施例的电子设备结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,除非另外定义,本发明实施例使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。本发明实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术部分所述,控制器区域网络(CAN)是汽车最为常用的总线,当采用广播方式通信时,没有可靠的防攻击安全措施,报文数据域容易受到篡改等攻击。
现有技术一般是依靠CAN总线的物理特征进行异常检测,无法应对应用层的攻击,并且需要额外的硬件来获取物理特征,增加了车辆制造的开销,除此之外,还有的技术人员在ECU资源受限的情况下使用轻量级的算法,依靠合法的CAN数据分析结果进行异常检测,然而,这些算法只能从单一维度发现攻击,在异常识别中获得较差的准确性,特别是在识别高级攻击方面有所欠缺。此外,使用信息理论来识别异常攻击或者基于机器学习算法的CAN攻击检测方法不能在攻击发生后立即做出判断,不能满足汽车快速反应的要求。
综上所述,本发明提出得的一种车载CAN总线报文入侵检测方法,通过确定待检测的目标报文与其前一报文的转移特征、待检测的目标报文与其与后一报文的转移特征、前一报文与后一报文的转移特征,将以上所述转移特征与预先建立的报文转移矩阵经行匹配,得到目标报文的检测结果,以此检查报文转移的合法性。本发明基于正常行驶的历史车载CAN总线报文的数据距离转移特征和时间间隔转移特征构建特征转移矩阵,在检测阶段利用该特征转移矩阵检查报文转移的合法性。一方面准确快速的识别入侵行为,另一方面占用更少的汽车ECU计算和存储资源,在资源受限的环境中准确高效检测车载CAN总线报文中的异常报文,有效保障了车辆运行的安全。
以下,通过具体的实施例进一步详细说明本发明的技术方案。
参考图1,为本发明实施例的车载CAN总线报文入侵检测方法流程示意图,包括以下步骤:
步骤S101,从按照传输顺序排列的车载CAN总线报文序列中,确定待检测的目标报文。
在本步骤中,在按照传输顺序排列的车载CAN总线报文序列中确定待检测的目标报文,该目标报文为随机选取的,需要说明的是,由于恶意攻击一般不会选取传输序列中第一个报文进行攻击,所以本发明实施例中的随机选取指的是在排除传输序列中第一个开头报文之后的报文序列中进行随机选取。
步骤S102,确定所述目标报文与前一报文间的第一转移特征。
在本步骤中,第一转移特征包括:目标报文的ID和前一报文的ID的索引数据,例如,目标报文为mj,具有idj,前一报文为mi,具有idi,那么目标报文的ID和前一报文的ID的索引数据为idi→idi
第一转移特征还包括:目标报文与前一报文的数据距离,例如,目标报文有效载荷为dataj,前一报文有效载荷为datai,那么datai和dataj的距离Dij为目标报文与前一报文的数据距离。
第一转移特征还包括:目标报文与前一报文的时间间隔,例如,目标报文时间戳为tj,前一报文时间戳为ti,那么(tj-ti)为目标报文与前一报文的时间间隔。
步骤S103,确定所述目标报文与后一报文间的第二转移特征。
在本步骤中,第二转移特征包括:目标报文的ID和后一报文的ID的索引数据,例如,目标报文为mj,具有idj,后一报文为mk,具有idk,那么目标报文的ID和后一报文的ID的索引数据为idj→idk
第二转移特征还包括:目标报文与后一报文的数据距离,例如,目标报文有效载荷为dataj,后一报文有效载荷为datak,那么datai和datak的距离Djk为目标报文与后一报文的数据距离。
第二转移特征还包括:目标报文与后一报文的时间间隔,例如,目标报文时间戳为tj,后一报文时间戳为tk,那么(tk-tj)为目标报文与后一报文的时间间隔。
步骤S104,确定所述前一报文与所述后一报文间的第三转移特征。
在本步骤中,第三转移特征包括:前一报文的ID和后一报文的ID的索引数据,例如,前一报文为mi,具有idi,后一报文为mk,具有idk,那么前一报文的ID和后一报文的ID的索引数据为idi→idk
第三转移特征还包括:前一报文与后一报文的数据距离,例如,前一报文有效载荷为datai,后一报文有效载荷为datak,那么dataj和datak的距离Dik为前报文与后一报文的数据距离。
第三转移特征还包括:前一报文与后一报文的时间间隔,例如,前一报文时间戳为ti,后一报文时间戳为tk,那么(tk-ti)为前一报文与后一报文的时间间隔。
步骤S105,根据所述第一转移特征、第二转移特征、第三转移特征,以及预先建立的报文转移矩阵,得到所述目标报文的检测结果。
在本步骤中,报文转移矩阵的构建过程如图2所示,首先,对日常驾驶场景中获得的CAN总线报文进行特征提取,其中,所述的特征是指日常驾驶场景中获得的CAN总线报文的ID、数据距离和任意两个报文之间的时间间隔,利用报文ID建立索引,任意两个报文之间的数据距离和任意两个报文之间的时间间隔建立报文转移矩阵ΩT,报文转移矩阵ΩT是一个n的正方形矩阵,其中,n是CAN总线报文中唯一ID的数量,唯一ID的集为(id0,id1,id2...idn),包含CAN总线报文中的所有ID。
在初始化阶段,报文转移矩阵ΩT的行和列索引被初始化为唯一的ID集。矩阵中元素的初始化值是两个空列表Dij和Tij,它们用于保存连续传输的报文的数据距离和时间间隔。
接下来,在初始报文转移矩阵ΩT建立后,根据日常驾驶场景中获得的CAN总线报文的特征提取结果,选择最佳距离模型,选定的最佳距离模型被用来计算数据距离,计算结果被存储在初始化的报文转移矩阵ΩT的数据距离列表Dij中。其中,距离模型可以但不限于是汉明距离模型、jaro距离模型、余弦距离模型、莱文斯顿距离模型和Jaro-Winkle距离模型,在本发明实施例中,根据抗随机数碰撞的概率,使用0-100%之间的概率值来选择该段序列的最佳距离模型。
同时,计算任意两个报文之间的时间间隔,计算结果被存储在初始化的报文转移矩阵ΩT的时间间隔列表Tij中。
最后,遍历处理所有的日常驾驶场景中获得的CAN总线报文后,Dij只保留列表中的最大值和最小值,作为报文转移矩阵的参考转移特征,而转移矩阵中的Tii则保留离散值、连续中段或对应于单边3sigma原则的区间作为合法的时间距离,作为报文转移矩阵的参考转移特征。需要说明的是,对于不存在的转移,矩阵的相关元素是两个空列表。
在本发明实施例过程中,检测阶段如图3所示,首先,从按照传输顺序排列的车载CAN总线报文序列中确定三个连续的报文(mi、mj和mk),其中,mj被确定为目标报文,对所述的三个连续的报文(mi、mj和mk)进行转移特征提取,包括:
目标报文mj的ID和前一报文mi的ID的索引数据idi→idj,目标报文mj的ID和后一报文mk的ID的索引数据idj→idk,前一报文的ID和后一报文的ID的索引数据idi→idk
目标报文mj与前一报文mi的数据距离dij_raw,目标报文mj与后一报文mk的数据距离djk_raw,前一报文mi与后一报文mk的数据距离dik_raw
前一报文mi到目标报文mj之间的时间间隔Δtij_raw,目标报文mj到后一报文mk之间的时间间隔Δtjk_raw,前一报文mi到后一报文mk之间的时间间隔Δtik_raw
作为一个具体的实施例,将提取结果输入到特征转移矩阵中,与参考转移特征进行匹配,如果mi到mj的转移特征与特征转移矩阵ΩT中的参考转移特征相不匹配,则目标报文mj的检测结果为异常。其中,匹配条件为:ΩT[i][j]不为空,且数据距离不超过参考数据距离转移特征的最大值与最小值的区间,时间间隔为合法值。
作为一个具体的实施例,将提取结果输入到特征转移矩阵中,与参考转移特征进行匹配,如果mi到mj的转移特征与特征转移矩阵ΩT中的参考转移特征相匹配,则将mj到mk的转移特征与特征转移矩阵ΩT中的参考转移特征进行匹配。如果匹配,则目标报文mi的检测结果为异常。
作为一个具体的实施例,将提取结果输入到特征转移矩阵中,与参考转移特征进行匹配,如果mi到mj的转移特征与特征转移矩阵ΩT中的参考转移特征相匹配,则将mj到mk的转移特征与特征转移矩阵ΩT中的参考转移特征进行匹配。如果不匹配,则将mi到mk的转移特征与特征转移矩阵ΩT中的参考转移特征进行匹配。若匹配,则目标报文mi的检测结果为异常。若不匹配,则目标报文mj的检测结果为正常。
需要说明的是,当目标报文被确定为正常报文的情况下,本发明的车载CAN总线报文入侵检测方法可以利用目标报文作为参考,确定目标报文的后一报文也为正常报文。当目标报文被确定为异常报文的情况下,本发明的车载CAN总线报文入侵检测方法可以利用目标报文的前一报文作为参考,以目标报文的后一报文的下一个报文作为后续参考报文来检测后一报文是否为正常报文,这种方式可以将报文序列的利用价值最大化,提高检测效率。
本发明除了能够识别传统的DoS攻击、Fuzzy攻击外,还能够有效识别重放攻击和预知的Fuzzy攻击;此外,识别准确率高于单一特征的轻量级入侵检测方法。
基于同一发明构思,本发明实施例还提供了一种车载CAN总线报文入侵检测装置。参考图4,所述的车载CAN总线报文入侵检测装置,包括:
401获取模块,被配置为从按照传输顺序排列的车载CAN总线报文序列中,确定待检测的目标报文。
402第一转移特征模块,被配置为确定所述目标报文与前一报文间的第一转移特征。
403第二转移特征模块,被配置为确定所述目标报文与后一报文间的第二转移特征。
404第三转移特征模块,被配置为确定所述前一报文与所述后一报文间的第三转移特征。
405检测模块,被配置为根据所述第一转移特征、第二转移特征、第三转移特征,以及预先建立的报文转移矩阵,得到所述目标报文的检测结果。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本发明实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,本发明实施例还提供了一种电子设备。该电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上任意一实施例所述的车载CAN总线报文入侵检测方法。
图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作***和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
基于同一发明构思,本发明实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行日上任意一实施例所述的车载CAN总线报文入侵检测方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种车载CAN总线报文入侵检测方法,其特征在于,包括:
从按照传输顺序排列的车载CAN总线报文序列中,确定待检测的目标报文;
确定所述目标报文与前一报文间的第一转移特征;
确定所述目标报文与后一报文间的第二转移特征;
确定所述前一报文与所述后一报文间的第三转移特征;
根据所述第一转移特征、第二转移特征、第三转移特征,以及预先建立的报文转移矩阵,得到所述目标报文的检测结果。
2.根据权利要求1所述的车载CAN总线报文入侵检测方法,其特征在于,所述报文转移矩阵的建立过程包括:
获取车载CAN总线参考报文序列中所有参考报文的ID作为所述报文转移矩阵的横坐标和纵坐标的索引;
对于所述车载CAN总线参考报文序列中的任意两个参考报文,确定该两个参考报文之间的数据距离以及时间间隔作为所述报文转移矩阵中该两个参考报文之间的参考转移特征。
3.根据权利要求1所述的车载CAN总线报文入侵检测方法,其特征在于,
所述第一转移特征,包括:所述目标报文的ID和所述前一报文的ID的索引数据,所述目标报文与所述前一报文的数据距离,以及所述前一报文到所述目标报文之间的时间间隔;
所述第二转移特征,包括:所述目标报文的ID和所述后一报文的ID的索引数据,所述目标报文与所述后一报文的数据距离,以及所述目标报文到所述后一报文之间的时间间隔;
所述第三转移特征,包括:所述前一报文的ID和所述后一报文的ID的索引数据,所述前一报文与所述后一报文的数据距离,以及所述前一报文到所述后一报文之间的时间间隔。
4.根据权利要求1所述的车载CAN总线报文入侵检测方法,其特征在于,所述根据所述第一转移特征、第二转移特征、第三转移特征,以及预先训练的报文转移矩阵,得到所述目标报文的检测结果,具体包括:
将所述第一转移特征与所述报文转移矩阵进行匹配,若不匹配,则所述目标报文的检测结果为异常。
5.根据权利要求1所述的车载CAN总线报文入侵检测方法,其特征在于,所述根据所述第一转移特征、第二转移特征、第三转移特征,以及预先训练的报文转移矩阵,得到所述目标报文的检测结果,具体包括:
将所述第一转移特征与所述报文转移矩阵进行匹配,若匹配,则将所述第二转移特征与所述报文转移矩阵进行匹配,若匹配,则所述目标报文的检测结果为正常。
6.根据权利要求1所述的车载CAN总线报文入侵检测方法,其特征在于,所述根据所述第一转移特征、第二转移特征、第三转移特征,以及预先训练的报文转移矩阵,得到所述目标报文的检测结果,具体包括:
将所述第一转移特征与所述报文转移矩阵进行匹配,若匹配,则将所述第二转移特征与所述报文转移矩阵进行匹配,若不匹配,则将所述第三转移特征与所述报文转移矩阵进行匹配,若匹配,则所述目标报文的检测结果为异常。
7.根据权利要求1所述的车载CAN总线报文入侵检测方法,其特征在于,所述根据所述第一转移特征、第二转移特征、第三转移特征,以及预先训练的报文转移矩阵,得到所述目标报文的检测结果,具体包括:
将所述第一转移特征与所述报文转移矩阵进行匹配,若匹配,则将所述第二转移特征与所述报文转移矩阵进行匹配,若不匹配,则将所述第三转移特征与所述报文转移矩阵进行匹配,若不匹配,则所述目标报文的检测结果为正常。
8.一种车载CAN总线报文入侵检测装置,其特征在于,包括:
获取模块,被配置为从按照传输顺序排列的车载CAN总线报文序列中,确定待检测的目标报文;
第一转移特征模块,被配置为确定所述目标报文与前一报文间的第一转移特征;
第二转移特征模块,被配置为确定所述目标报文与后一报文间的第二转移特征;
第三转移特征模块,被配置为确定所述前一报文与所述后一报文间的第三转移特征;
检测模块,被配置为根据所述第一转移特征、第二转移特征、第三转移特征,以及预先建立的报文转移矩阵,得到所述目标报文的检测结果。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任意一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1至7任意一项所述的方法。
CN202111291221.5A 2021-10-27 2021-10-27 车载can总线报文入侵检测方法、相关设备及计算机存储介质 Active CN114172686B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111291221.5A CN114172686B (zh) 2021-10-27 2021-10-27 车载can总线报文入侵检测方法、相关设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111291221.5A CN114172686B (zh) 2021-10-27 2021-10-27 车载can总线报文入侵检测方法、相关设备及计算机存储介质

Publications (2)

Publication Number Publication Date
CN114172686A true CN114172686A (zh) 2022-03-11
CN114172686B CN114172686B (zh) 2022-08-05

Family

ID=80477811

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111291221.5A Active CN114172686B (zh) 2021-10-27 2021-10-27 车载can总线报文入侵检测方法、相关设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN114172686B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114615086A (zh) * 2022-04-14 2022-06-10 合肥工业大学 一种车载can网络入侵检测方法
CN115277051A (zh) * 2022-06-01 2022-11-01 北京邮电大学 一种控制器局域网总线攻击检测方法和设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160308887A1 (en) * 2015-04-17 2016-10-20 Hyundai Motor Company In-vehicle network intrusion detection system and method for controlling the same
CN111030962A (zh) * 2018-10-09 2020-04-17 厦门雅迅网络股份有限公司 车载网络入侵检测方法及计算机可读存储介质
CN112134702A (zh) * 2020-10-29 2020-12-25 北京邮电大学 车内网安全通信发送、接收方法及装置
CN112787984A (zh) * 2019-11-11 2021-05-11 厦门雅迅网络股份有限公司 一种基于相关分析的车载网络异常检测方法及***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160308887A1 (en) * 2015-04-17 2016-10-20 Hyundai Motor Company In-vehicle network intrusion detection system and method for controlling the same
CN111030962A (zh) * 2018-10-09 2020-04-17 厦门雅迅网络股份有限公司 车载网络入侵检测方法及计算机可读存储介质
CN112787984A (zh) * 2019-11-11 2021-05-11 厦门雅迅网络股份有限公司 一种基于相关分析的车载网络异常检测方法及***
CN112134702A (zh) * 2020-10-29 2020-12-25 北京邮电大学 车内网安全通信发送、接收方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114615086A (zh) * 2022-04-14 2022-06-10 合肥工业大学 一种车载can网络入侵检测方法
CN114615086B (zh) * 2022-04-14 2023-11-03 合肥工业大学 一种车载can网络入侵检测方法
CN115277051A (zh) * 2022-06-01 2022-11-01 北京邮电大学 一种控制器局域网总线攻击检测方法和设备
CN115277051B (zh) * 2022-06-01 2024-06-07 北京邮电大学 一种控制器局域网总线攻击检测方法和设备

Also Published As

Publication number Publication date
CN114172686B (zh) 2022-08-05

Similar Documents

Publication Publication Date Title
US20210034745A1 (en) Security system and methods for identification of in-vehicle attack originator
CN114172686B (zh) 车载can总线报文入侵检测方法、相关设备及计算机存储介质
JP2018182724A5 (zh)
CN111447166B (zh) 车辆攻击检测方法及装置
US11711387B2 (en) Security management device, security management method, and computer program executed by security management device
CN107464447A (zh) 一种基于物联网的车位预约方法及装置
CN112600839A (zh) 基于车联网平台构建安全威胁关联视图的方法及装置
CN114157469B (zh) 基于域对抗神经网络的车载网络变种攻击入侵检测方法
Francia et al. Applied machine learning to vehicle security
US20210218756A1 (en) Controlled Message Error for Message and Electronic Control Unit Mapping
CN106982213A (zh) 一种应用于车载设备的网络攻击防御方法及相关装置
CN114677773A (zh) 一种用户绑定方法及装置
CN112287178A (zh) 数据清洗方法、装置、电子设备及存储介质
CN115348184B (zh) 一种物联网数据安全事件预测方法及***
JP7176564B2 (ja) 監視装置、および、監視方法
CN115603975A (zh) 报文的入侵检测方法、装置、电子设备及存储介质
CN113283286B (zh) 一种驾驶员异常行为检测方法和装置
CN115314239A (zh) 基于多模型融合的隐匿恶意行为的分析方法和相关设备
US20210004725A1 (en) Machine learning voltage fingerprinting for ground truth and controlled message error for message and ecu mapping
US11570186B2 (en) Security reporting via message tagging
CN114078265A (zh) 一点相对电压指纹识别
NL2032846B1 (en) Re-training intrusion detection fingerprints in the presence of an attacker
CN113366485A (zh) 通过与导航相关的感测进行认证
CN111401224B (zh) 目标检测方法、装置及电子设备
CN112383706B (zh) 基于行车记录仪的碰撞拍照方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant