CN114222300B - 一种车载控制器局域网络入侵检测方法及设备 - Google Patents
一种车载控制器局域网络入侵检测方法及设备 Download PDFInfo
- Publication number
- CN114222300B CN114222300B CN202210165407.4A CN202210165407A CN114222300B CN 114222300 B CN114222300 B CN 114222300B CN 202210165407 A CN202210165407 A CN 202210165407A CN 114222300 B CN114222300 B CN 114222300B
- Authority
- CN
- China
- Prior art keywords
- data
- feature
- clustering
- vehicle
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000012549 training Methods 0.000 claims abstract description 51
- 238000001514 detection method Methods 0.000 claims abstract description 43
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 21
- 238000012216 screening Methods 0.000 claims abstract description 18
- 238000012360 testing method Methods 0.000 claims abstract description 16
- 238000010187 selection method Methods 0.000 claims abstract description 15
- 230000010354 integration Effects 0.000 claims abstract description 14
- 238000012545 processing Methods 0.000 claims abstract description 11
- 238000010606 normalization Methods 0.000 claims abstract description 5
- 238000007781 pre-processing Methods 0.000 claims abstract description 5
- 238000005070 sampling Methods 0.000 claims description 35
- 238000012217 deletion Methods 0.000 claims description 13
- 230000037430 deletion Effects 0.000 claims description 13
- 230000000694 effects Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 238000004422 calculation algorithm Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 6
- 238000004140 cleaning Methods 0.000 claims description 4
- 238000005457 optimization Methods 0.000 claims description 4
- 238000002790 cross-validation Methods 0.000 claims description 3
- 230000006855 networking Effects 0.000 abstract description 14
- 238000005516 engineering process Methods 0.000 description 9
- 230000008901 benefit Effects 0.000 description 7
- 238000013528 artificial neural network Methods 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Evolutionary Computation (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computing Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Medical Informatics (AREA)
- Evolutionary Biology (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Probability & Statistics with Applications (AREA)
- Traffic Control Systems (AREA)
Abstract
本发明属于车联网安全技术领域,公开了一种车载控制器局域网络入侵检测方法及设备。本发明的方法包括,对采集的原始数据进行数值化和归一化处理,得到预处理后的数据,并划分为训练集和测试集;采用PSO‑LightGBM双向特征选择方法对所述预处理后的数据进行特征筛选;使用Stacking集成模型对经过预处理和特征筛选之后的测试集数据进行分类,得到入侵检测结果。本发明用于高效、准确地检测出中车载控制器局域网络出现的入侵信息,防止由于车载控制器局域网络被入侵导致的车联网安全事件。
Description
技术领域
本发明属于车联网安全技术领域,具体涉及一种车载控制器局域网络入侵检测方法及设备。
背景技术
随着5G技术、人工智能技术等新兴技术的发展,传统的汽车产业也在逐渐向智能化和网联化的方向转型。车联网作为智能网联汽车主要的通信框架,使车辆与其他车联网实体之间能够进行可靠的通信。 车联网将车内网、车际网、车载移动互联网进行融合,实现人-车-路-云等多方位的网络链接。车内网主要通过控制器局域网络(CAN)传送CAN消息和执行操作。然而,随着车联网技术的智能化、网联化进程加快,传统互联网所面临的网络攻击也逐渐出现在车联网环境中。在车内网中,受限于CAN的兼容性,传统的网络安全机制,如某些身份验证机制、安全通信策略和加密技术在车内网环境中并不适用,因此很容易受到网络攻击。工信部指出在2020年整车企业车联网信息服务提供商等相关企业平台遭受的恶意攻击达到280余万次,这些潜在的网络攻击严重危害了智能网联汽车用户的生命安全。传统的网络安全技术,如数据加密、杀毒软件,大多属于被动的防范技术,无法做到及时掌握网络安全状况并进行实时保护,显然不适用于车联网环境。入侵检测作为一种主动安全技术,由于能够在网络受到攻击之前进行拦截,逐渐成为车联网安全研究中的重要内容。
针对车载控制器局域网络入侵检测问题,相关研究人员已经提出了多种方案,其中大多数为基于统计学或机器学习、深度学习模型的入侵检测方法。Song等提出了一种基于CAN消息时间间隔分析的入侵检测方法,该方法可以准确的检测出车载控制器局域网络中的消息注入攻击。Ghaleb等提出了一种基于前馈反向传播人工神经网络 (ANN)的车载控制器局域网络入侵检测模型,并在车联网真实入侵数据数据集NGSIM上进行了仿真实验,实验结果表明,与现有基线模型相比,该模型具有较好的检测效果。Alshammari等通过传统机器学习算法KNN和SVM对车载自组网中的数据进行分析,预测其是否为网络入侵。Yang等提出了一种多层混合入侵检测***(MTH-IDS)用于车联网的入侵检测,该***在准确性和低误报率方面有较好的表现。
伴随人工智能技术的发展,深度学习逐渐被用于车载控制器局域网络入侵检测上,深度学习方法通常具有较高的精度,但由于模型的复杂性,它们的计算成本往往很高,很显然不适用于计算能力较低的车载***上。相比深度学习,机器学习往往具有较高的效率,并且机器学习和数据挖掘算法已经被公认为是设计入侵检测***的有效模型。因此如何以机器学习为基础,设计一个高效、准确的车载控制器局域网络入侵检测方法将成为迫切需求。
发明内容
本发明目的是:针对现有技术的不足,提供一种车载控制器局域网络入侵检测方法及设备,用于高效、准确地检测出中车载控制器局域网络出现的入侵信息,防止由于车载控制器局域网络被入侵导致的车联网安全事件。
具体地说,本发明是采用以下技术方案实现的。
一方面,本发明提供一种车载控制器局域网络入侵检测方法,其特征在于,所述方法包括:
对采集的原始数据进行数值化和归一化处理,得到预处理后的数据,并划分为训练集和测试集;
采用PSO-LightGBM双向特征选择方法对所述预处理后的数据进行特征筛选;
使用Stacking集成模型对经过预处理和特征筛选之后的测试集数据进行分类,得到入侵检测结果;
所述PSO-LightGBM双向特征选择方法为:
首先使用PSO算法对LightGBM进行参数寻优,使模型整体效果最优;然后使用LightGBM对特征重要性进行降序排列,对排序后的全部特征集合进行筛选,每次从当前的特征集合中删除重要程度最低的特征,构成新的特征子集,对数据按照新的特征子集进行特征删减,通过所述Stacking集成模型进行分类预测,如果预测结果的精确度未降低,则删除该重要程度最低的特征,循环此过程,对所述新的特征子集进行特征删减;如果预测结果的精确度降低,则撤回此次特征删减,特征删减结束,返回只含特征删减后特征的数据集。
进一步的,所述车载控制器局域网络入侵检测方法,还包括:
对预处理后的训练集数据,通过聚类混合采样方法进行混合采样,去除冗余,同时生成少数类攻击样本;采用PSO-LightGBM双向特征选择方法对经聚类混合采样处理后的数据进行特征筛选,使用特征筛选的训练集数据对Stacking集成模型进行训练;所述聚类混合采样方法包括:
对所述预处理后的训练集数据进行分析,判断各类别是否极度不平衡;
如果样本不存在极度不平衡现象,则使用Kmeans对所有训练集数据所有类别进行聚类,从聚类中心挑选设定比例的数据,形成一个具有高度代表性的数据子集,对所述数据子集使用TomekLink方法进行数据清洗,把清洗之后的数据作为新的训练集;
如果出现各类别数据极度不平衡,对于多数类,从各聚类中心采集设定比例的数据,去除冗余;对于少数类,通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本,插值生成方法如下:
对采样后的多数类样本和通过SMOTE生成的少数类样本进行拼接,得到待定数据集;使用Tomek Link采样法消除待定数据集中存在的噪音样本点,得到聚类混合采样后的训练集数据。
进一步的,所述通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本为,生成少数类的聚类中心为在第一次聚类基础上,进行二次聚类,根据二次聚类的聚类中心使用SMOTE生成同一类型的少数类数据。
进一步的,所述极度不平衡指多数类与少数类的样本比例大于100:1。
进一步的,所述Stacking集成模型分为两层,第一层分别使用XGBoost模型 、LightGBM模型以及CatBoost模型通过五折交叉验证得到初步分类结果,将所述初步分类结果作为特征进行横向拼接,得到新的训练集;第二层使用所述新的训练集对MLP模型进行训练,得到最终的Stacking集成模型。
另一方面,本发明还提供车载控制器局域网络入侵检测设备,所述设备包括存储器和处理器;所述存储器存储有实现上述车载控制器局域网络入侵检测方法的计算机程序,所述处理器执行所述计算机程序。
再一方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述的计算机程序被处理器执行时实现上述车载控制器局域网络入侵检测方法的步骤。
本发明的车载控制器局域网络入侵检测方法及设备的有益效果如下:
本发明的车载控制器局域网络入侵检测方法及设备,如果出现各类别数据极度不平衡,则对多数类进行聚类,选取多个聚类中心,对每个聚类中心进行采样,这样既保证了多数类数据的多样性,又能去除多数类的冗余,在一定程度上能提高模型预测的准确性。对于少数类,首先进行聚类,得到少数类的多个聚类中心,通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本,生成的新样本不会与原样本产生很大的偏差。对采样后的多数类样本和通过SMOTE生成的少数类样本进行拼接,得到待定数据集。使用Tomek Link采样法清洗掉待定数据集中类间重叠样本,使得互为最近邻的样本均属同一类别,从而能更好的进行预测。
本发明的车载控制器局域网络入侵检测方法及设备,对测试集合以及经过聚类混合采样之后的训练集进行特征选择,使用PSO-LightGBM双向特征选择方法筛选出使模型整体效果最好的特征组合,综合特征的重要程度和模型的准确率进行考虑,可确保留下的特征子集中不含无用特征且模型的准确率较高。通过车载控制器局域网络数据验证,经过本发明的车载控制器局域网络入侵检测方法中聚类混合采样和PSO-LightGBM双向特征选择处理后的数据在检测准确率上有一定的提升, 同时所用训练时间大幅降低。
本发明的车载控制器局域网络入侵检测方法及设备通过对训练数据进行聚类混合采样,大幅降低数据的冗余,同时对少数类别的数据进行过采样,确保模型能够准确的识别少数类攻击,通过特征选择方法,进一步提高模型的训练速度和准确率,最后通过Stacking集成模型对多个模型进行融合,提升了检测的稳定性和准确率,可以在计算能力受限的情况下,较好、较快的检测出车载控制器局域网络中出现的入侵信息。本发明方法在车载控制器局域网络入侵检测上与其他现有方法相比,具有更高的检测准确率和检测精确度、更低的检测漏报率,在一定程度上说明本发明方法可以更好的识别入侵信息,具有较好的实际可行性。
附图说明
图1是本发明的车载控制器局域网络入侵检测方法流程图。
图2是本发明的聚类混合采样的算法流程图。
图3是本发明的PSO-LightGBM双向特征选择的算法流程图。
图4是本发明的Stacking集成模型训练方法流程图。
图5是本发明的训练集和测试集示意图。
图6是本发明的分别采用原始数据集和经过聚类混合采样、双向特征选择处理后的数据集进行训练和检测的训练时间和检测准确率对比示意图。
图7是本发明的分别采用原始数据集和经过聚类混合采样与双向特征选择处理后的数据集进行测试的各类别精确度示意图。
图8是本发明方法与现有方法(ANN、KNN、SVM、MTH-IDS)在检测准确率上的对比示意图。
图9是本发明方法与现有方法(ANN、KNN、SVM、MTH-IDS)在各类别检测漏报率上的对比示意图。
图10是本发明方法与现有方法(ANN、KNN、SVM、MTH-IDS)在各类别检测精确度上的对比示意图。
具体实施方式
下面结合实施例并参照附图对本发明作进一步详细描述。
实施例1:
本发明的一个实施例,为一种车载控制器局域网络入侵检测方法。如图1所示,包括以下步骤:
一、对采集的原始数据进行数值化和归一化处理,得到预处理后的数据,并划分为训练集和测试集,如图2所示
本实施例以HCR实验室的车载控制器局域网络入侵检测数据集为例,对采集原始数据进行数值化处理,筛选数据字段长度为8的数据。该数据集的特征包括时间戳、ID、DLC以及Data数据。其中,ID为CAN消息的标识符,十六进制数;DLC为数据的字节数;Data数据为CAN消息数据,0-8个字节。为了避免因特征量纲不同对模型造成的影响,对数据进行归一化去除量纲,其计算公式为:
对预处理后的数据划分训练集和测试集。
通过聚类混合采样方法对所述预处理后的训练集数据进行混合采样,去除冗余,同时生成少数类攻击样本,得到经聚类混合采样的训练集数据。采用PSO-LightGBM双向特征选择方法对经聚类混合采样处理后的数据进行特征筛选,使用特征筛选的训练集数据对Stacking集成模型进行训练,得到训练好的Stacking集成模型,用于对测试集数据进行预测。本发明的聚类混合采样方法包括以下步骤。
首先对预处理后的训练集数据进行分析,判断各类别是否极度不平衡。
l 如果样本不存在极度不平衡现象,则直接使用Kmeans对所有训练集数据所有类别进行聚类,从聚类中心挑选设定比例的数据,形成一个具有高度代表性的数据子集,直接对该数据子集使用TomekLink方法进行数据清洗,把清洗之后的数据作为新的训练集。Kmeans聚类采样与随机采样、同比例采样不同,聚类的目的是最小化每个数据点到相应聚类中心的距离平方和,因此相似的数据会被划分为同一个聚类,从不同聚类中进行采样,丢弃的大多是冗余数据,因此Kmeans聚类采样可以在不损失重要信息的情况下减少数据规模。
l 如果样本出现各类别数据极度不平衡,则对多数类和少数类分别进行处理,最后对采样后的多数类样本和通过SMOTE生成的少数类样本进行拼接,得到待定数据集。具体包括:
对于多数类,从各聚类中心采集设定比例的数据,去除冗余。
对于少数类,通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本,插值生成方法如下:
优选的,在另一个实施例中,对于少数类,在对少数类进行第一次聚类形成的聚类中心基础上进行二次聚类,依据二次聚类的聚类中心使用SMOTE方法生成同种类别的少数类数据。
此时待定数据集并不能直接使用,因为使用SMOTE生成的数据集会含有一些类间重叠样本,此类样本点的存在往往会导致分类困难。本发明使用Tomek Link采样法消除待定数据集中存在的噪音样本点,得到聚类混合采样后的训练集数据。其基本思想是:当距离最近的两个样本分属不同类别时,那么这两个样本构成一个Tomek Link对,要么其中的一个样本是噪音,要么两个样本均在边界附近。通过移除Tomek Link对可以清洗掉类间重叠样本,使得互为最近邻的样本均属同一类别,从而能更好的进行预测。
二、采用PSO-LightGBM双向特征选择方法对所述预处理后的数据进行特征筛选。
本发明的车载控制器局域网络入侵检测方法中,采用PSO-LightGBM双向特征选择方法对所述预处理后的数据进行特征筛选。包括入侵检测时对测试集进行特征选择,以及模型训练时对经过聚类混合采样之后的训练集进行特征选择。
本发明使用PSO-LightGBM双向特征选择方法筛选出使模型整体效果最好的特征组合。
如图3所示,本发明的PSO-LightGBM双向特征选择方法,首先使用PSO算法(Particle Swarm Optimization,粒子群优化算法)对LightGBM(Light GradientBoosting Machine,梯度提升机轻量级框架)进行参数寻优,使模型整体效果最优;然后使用LightGBM对特征重要性进行降序排列,对排序后的全部特征集合进行筛选,每次从当前的特征集合中删除重要程度最低的特征,构成新的特征子集,对预处理后的数据按照新的特征子集进行特征删减,通过Stacking集成模型进行分类预测;如果预测结果的精确度未降低,则删除该重要程度最低的特征,循环此过程,对所述新的特征子集进行特征删减;如果预测结果的精确度降低,则撤回此次特征删减,特征删减结束,返回只含特征删减后特征的数据集。
本发明的PSO-LightGBM双向特征选择方法,综合考虑特征的重要程度和模型的准确率,可确保留下的特征子集中不含无用特征,且模型的准确率较高。
三、使用经过数据预处理和特征选择之后的训练集数据对Stacking集成模型进行训练,保存训练后的Stacking集成模型。训练后的Stacking集成模型用于进行车载控制器局域网络入侵检测。
如图4所示,本发明的Stacking集成模型主要分为两层。第一层分别使用XGBoost模型 、LightGBM模型以及CatBoost模型通过五折交叉验证得到初步分类结果,将所述初步分类结果作为特征进行横向拼接,保存拼接结果,得到新的训练集。第二层使用第一层拼接得到的数据(新的训练集数据)对MLP模型进行训练,得到最终的Stacking集成模型。
四、使用步骤三训练好的Stacking集成模型对经过预处理和特征筛选之后的测试集数据进行入侵检测预测,得到最终的入侵检测结果。
为了验证本发明中的聚类混合采样和PSO-LightGBM双向特征选择的有效性,采用原始车载控制器局域网络训练集和经过聚类混合采样与PSO-LightGBM双向特征选择的车载控制器局域网络训练集合,通过LightGBM进行训练并预测,训练数据和测试数据如图5所示,结果如图6、图7所示。可以看出经过聚类混合采样和PSO-LightGBM双向特征选择处理后的数据在检测准确率上有一定的提升, 同时所用训练时间大幅降低,表明所提方法有效。
为了验证本发明方法相较于现有方法具有较好的效果和稳定性,使用经过同样处理的车载控制器局域网络数据集进行验证,结果如图8、图9、图10所示。综合上述实验结果分析可知,本发明方法在车载控制器局域网络入侵检测上具有更优、更稳定的检测效果,在一定程度上说明本发明方法可以更好的识别入侵信息,具有较好的实际可行性。
在一些实施例中,上述技术的某些方面可以由执行软件的处理***的一个或多个处理器来实现。该软件包括存储或以其他方式有形实施在非暂时性计算机可读存储介质上的一个或多个可执行指令集合。软件可以包括指令和某些数据,这些指令和某些数据在由一个或多个处理器执行时操纵一个或多个处理器以执行上述技术的一个或多个方面。非暂时性计算机可读存储介质可以包括例如磁或光盘存储设备,诸如闪存、高速缓存、随机存取存储器(RAM)等的固态存储设备或其他非易失性存储器设备。存储在非临时性计算机可读存储介质上的可执行指令可以是源代码、汇编语言代码、目标代码或被一个或多个处理器解释或以其他方式执行的其他指令格式。
计算机可读存储介质可以包括在使用期间可由计算机***访问以向计算机***提供指令和/或数据的任何存储介质或存储介质的组合。这样的存储介质可以包括但不限于光学介质(例如,光盘(CD)、数字多功能光盘(DVD)、蓝光光盘)、磁介质(例如,软盘、磁带或磁性硬盘驱动器)、易失性存储器(例如,随机存取存储器(RAM)或高速缓存)、非易失性存储器(例如,只读存储器(ROM)或闪存)或基于微机电***(MEMS)的存储介质。计算机可读存储介质可以嵌入计算***(例如,***RAM或ROM)中,固定地附接到计算***(例如,磁性硬盘驱动器),可移除地附接到计算***(例如,光盘或通用基于串行总线(USB)的闪存),或者经由有线或无线网络(例如,网络可访问存储(NAS))耦合到计算机***。
请注意,并非上述一般性描述中的所有活动或要素都是必需的,特定活动或设备的一部分可能不是必需的,并且除了描述的那些之外可以执行一个或多个进一步的活动或包括的要素。更进一步,活动列出的顺序不必是执行它们的顺序。而且,已经参考具体实施例描述了这些概念。然而,本领域的普通技术人员认识到,在不脱离如下权利要求书中阐述的本公开的范围的情况下,可以进行各种修改和改变。因此,说明书和附图被认为是说明性的而不是限制性的,并且所有这样的修改被包括在本公开的范围内。
上面已经关于具体实施例描述了益处、其他优点和问题的解决方案。然而,可能导致任何益处、优点或解决方案发生或变得更明显的益处、优点、问题的解决方案以及任何特征都不应被解释为任何或其他方面的关键、必需或任何或所有权利要求的基本特征。此外,上面公开的特定实施例仅仅是说明性的,因为所公开的主题可以以受益于这里的教导的本领域技术人员显而易见的不同但等同的方式进行修改和实施。除了在权利要求书中描述的以外,没有意图限制在此示出的构造或设计的细节。因此明显的是,上面公开的特定实施例可以被改变或修改,并且所有这样的变化被认为在所公开的主题的范围内。
Claims (5)
1.一种车载控制器局域网络入侵检测方法,其特征在于,所述方法包括:
对采集的原始数据进行数值化和归一化处理,得到预处理后的数据,并划分为训练集和测试集;
对于所述训练集,通过聚类混合采样方法进行混合采样,去除冗余,同时生成少数类攻击样本;采用PSO-LightGBM双向特征选择方法对经聚类混合采样处理后的数据进行特征筛选,使用经过特征筛选之后的训练集数据对Stacking集成模型进行训练,得到训练好的Stacking集成模型;所述聚类混合采样方法包括:
对所述预处理后的训练集数据进行分析,判断各类别是否极度不平衡;
如果样本不存在极度不平衡现象,则使用Kmeans对所有训练集数据所有类别进行聚类,从聚类中心挑选一定比例的数据,形成一个具有高度代表性的数据子集,对所述数据子集使用TomekLink方法进行数据清洗,把清洗之后的数据作为新的训练集;
如果出现各类别数据极度不平衡,对于多数类,从各聚类中心采集一定比例的数据,去除冗余;对于少数类,通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本,插值生成方法如下:
对采样后的多数类样本和通过SMOTE生成的少数类样本进行拼接,得到待定数据集;使用Tomek Link采样法消除待定数据集中存在的噪音样本点,得到聚类混合采样后的训练集数据;所述通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本为,生成少数类的聚类中心为在第一次聚类基础上,进行二次聚类,根据二次聚类的聚类中心使用SMOTE生成同一类型的少数类数据;
对于所述测试集,采用PSO-LightGBM双向特征选择方法对所述预处理后的数据进行特征筛选;使用所述训练好的Stacking集成模型对经过预处理和特征筛选之后的测试集数据进行分类,得到入侵检测结果;
所述PSO-LightGBM双向特征选择方法为:
首先使用PSO算法对LightGBM进行参数寻优,使模型整体效果最优;然后使用LightGBM对特征重要性进行降序排列,对排序后的全部特征集合进行筛选,每次从当前的特征集合中删除重要程度最低的特征,构成新的特征子集,对数据按照新的特征子集进行特征删减,通过所述Stacking集成模型进行分类预测;如果预测结果的精确度未降低,则删除该重要程度最低的特征,循环此过程,对所述新的特征子集进行特征删减;如果预测结果的精确度降低,则撤回此次特征删减,特征删减结束,返回只含特征删减后特征的数据集。
2.根据权利要求1所述的车载控制器局域网络入侵检测方法,其特征在于,所述极度不平衡指多数类与少数类的样本比例大于100:1。
3.根据权利要求1所述的车载控制器局域网络入侵检测方法,其特征在于,所述Stacking集成模型分为两层,第一层分别使用XGBoost模型 、LightGBM模型以及CatBoost模型通过五折交叉验证得到初步分类结果,将所述初步分类结果作为特征进行横向拼接,得到新的训练集;第二层使用所述新的训练集对MLP模型进行训练,得到最终的Stacking集成模型。
4.一种车载控制器局域网络入侵检测设备,其特征在于,所述设备包括存储器和处理器;所述存储器存储有实现根据权利要求1-3任一所述车载控制器局域网络入侵检测方法的计算机程序,所述处理器执行所述计算机程序。
5.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述的计算机程序被处理器执行时实现根据权利要求1-3任一所述车载控制器局域网络入侵检测方法的步骤。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210165407.4A CN114222300B (zh) | 2022-02-23 | 2022-02-23 | 一种车载控制器局域网络入侵检测方法及设备 |
PCT/CN2023/077806 WO2023160600A1 (zh) | 2022-02-23 | 2023-02-23 | 一种车载控制器局域网络入侵检测方法及设备 |
US18/577,181 US20240224041A1 (en) | 2022-02-23 | 2023-02-23 | Intrusion detection method and device for in-vehicle controller area network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210165407.4A CN114222300B (zh) | 2022-02-23 | 2022-02-23 | 一种车载控制器局域网络入侵检测方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114222300A CN114222300A (zh) | 2022-03-22 |
CN114222300B true CN114222300B (zh) | 2022-04-26 |
Family
ID=80709344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210165407.4A Active CN114222300B (zh) | 2022-02-23 | 2022-02-23 | 一种车载控制器局域网络入侵检测方法及设备 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20240224041A1 (zh) |
CN (1) | CN114222300B (zh) |
WO (1) | WO2023160600A1 (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114222300B (zh) * | 2022-02-23 | 2022-04-26 | 南京理工大学 | 一种车载控制器局域网络入侵检测方法及设备 |
CN115514581B (zh) * | 2022-11-16 | 2023-04-07 | 国家工业信息安全发展研究中心 | 一种用于工业互联网数据安全平台的数据分析方法及设备 |
CN116032615A (zh) * | 2022-12-27 | 2023-04-28 | 安徽江淮汽车集团股份有限公司 | 车载can总线入侵检测方法 |
CN116647844A (zh) * | 2023-04-18 | 2023-08-25 | 广州大学 | 一种基于堆叠集成算法的车载网络入侵检测方法 |
CN116827607A (zh) * | 2023-06-02 | 2023-09-29 | 广州大学 | 一种集成XGBoost和LightGBM模型的车载CAN总线入侵检测算法 |
CN116915514B (zh) * | 2023-09-14 | 2023-12-12 | 鹏城实验室 | 基于双向时间卷积网络的入侵检测方法、装置及智能汽车 |
CN117040939B (zh) * | 2023-10-10 | 2023-12-15 | 长春大学 | 基于改进视觉自注意力模型的车载网络入侵检测方法 |
CN117081858B (zh) * | 2023-10-16 | 2024-01-19 | 山东省计算中心(国家超级计算济南中心) | 一种基于多决策树入侵行为检测方法、***、设备及介质 |
CN117829370B (zh) * | 2024-01-05 | 2024-06-11 | 兰州交通大学 | 一种交通事故严重程度预测方法、***及计算机设备 |
CN117763360B (zh) * | 2024-02-22 | 2024-07-12 | 杭州光云科技股份有限公司 | 基于深度神经网络的训练集快速分析方法及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110138784A (zh) * | 2019-05-15 | 2019-08-16 | 重庆大学 | 一种基于特征选择的网络入侵检测*** |
CN110168313A (zh) * | 2017-01-10 | 2019-08-23 | 北京嘀嘀无限科技发展有限公司 | 用于预估到达时间的方法及*** |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140310610A1 (en) * | 2013-04-15 | 2014-10-16 | Flextronics Ap, Llc | Vehicle occupant impairment assisted vehicle |
US9648446B2 (en) * | 2015-09-22 | 2017-05-09 | Veniam, Inc. | Systems and methods for shipping management in a network of moving things |
US10686807B2 (en) * | 2018-06-12 | 2020-06-16 | International Business Machines Corporation | Intrusion detection system |
CN110687549B (zh) * | 2019-10-25 | 2022-02-25 | 阿波罗智能技术(北京)有限公司 | 障碍物检测方法和装置 |
US20210174257A1 (en) * | 2019-12-04 | 2021-06-10 | Cerebri AI Inc. | Federated machine-Learning platform leveraging engineered features based on statistical tests |
CN113052198B (zh) * | 2019-12-28 | 2024-06-21 | 中移信息技术有限公司 | 一种数据处理方法、装置、设备及存储介质 |
CN111314353B (zh) * | 2020-02-19 | 2022-09-02 | 重庆邮电大学 | 一种基于混合采样的网络入侵检测方法及*** |
CN112887302A (zh) * | 2021-01-22 | 2021-06-01 | 中汽创智科技有限公司 | 汽车控制器局域网络总线入侵检测方法和*** |
CN113824684B (zh) * | 2021-08-20 | 2022-11-29 | 北京工业大学 | 一种基于迁移学习的车载网络入侵检测方法及*** |
CN113923014A (zh) * | 2021-10-08 | 2022-01-11 | 北京擎天信安科技有限公司 | 一种基于k近邻法的车载总线网络异常检测方法 |
CN114222300B (zh) * | 2022-02-23 | 2022-04-26 | 南京理工大学 | 一种车载控制器局域网络入侵检测方法及设备 |
-
2022
- 2022-02-23 CN CN202210165407.4A patent/CN114222300B/zh active Active
-
2023
- 2023-02-23 US US18/577,181 patent/US20240224041A1/en active Pending
- 2023-02-23 WO PCT/CN2023/077806 patent/WO2023160600A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110168313A (zh) * | 2017-01-10 | 2019-08-23 | 北京嘀嘀无限科技发展有限公司 | 用于预估到达时间的方法及*** |
CN110138784A (zh) * | 2019-05-15 | 2019-08-16 | 重庆大学 | 一种基于特征选择的网络入侵检测*** |
Non-Patent Citations (1)
Title |
---|
计算机工程与科学 2019年 第41卷 总目次;《计算机工程与科学》;20191215(第12期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
WO2023160600A1 (zh) | 2023-08-31 |
CN114222300A (zh) | 2022-03-22 |
US20240224041A1 (en) | 2024-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114222300B (zh) | 一种车载控制器局域网络入侵检测方法及设备 | |
Zhang et al. | Intrusion detection system using deep learning for in-vehicle security | |
US11509499B2 (en) | Detecting abnormal events in vehicle operation based on machine learning analysis of messages transmitted over communication channels | |
US11928006B2 (en) | System and method for labeling bits of controller area network (CAN) messages | |
CN114157513B (zh) | 基于改进卷积神经网络的车联网入侵检测方法及设备 | |
KR102281819B1 (ko) | 오토인코더 앙상블 기반 이상행위 탐지 방법 및 시스템 | |
Gesi et al. | An empirical examination of the impact of bias on just-in-time defect prediction | |
CN111726351B (zh) | 基于Bagging改进的GRU并行网络流量异常检测方法 | |
Tomlinson et al. | Using a one-class compound classifier to detect in-vehicle network attacks | |
CN113869778A (zh) | 一种基于城市管理的无人机河道巡检方法及*** | |
CN110620760A (zh) | 一种SVM和贝叶斯网络的FlexRay总线融合入侵检测方法和检测装置 | |
Brandao et al. | Log Files Analysis for Network Intrusion Detection | |
CN117118810B (zh) | 一种网络通信异常预警方法及*** | |
CN113660267A (zh) | 一种针对IoT环境的僵尸网络检测的***、方法及存储介质 | |
CN114397842B (zh) | 电力监控网络安全智能巡检加固方法 | |
CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
CN112200052B (zh) | 轨迹偏移识别、车辆行驶分析方法、装置、设备及介质 | |
Samadzadeh et al. | Evaluating Security Anomalies by Classifying Traffic Using a Multi-Layered Model | |
CN114707566A (zh) | 智能网联汽车异常智能检测方法、装置及可读存储介质 | |
CN111340261B (zh) | 判定订单违规行为的方法、***、计算机设备及存储介质 | |
Mohi-Ud-Din et al. | NIDS: Random Forest Based Novel Network Intrusion Detection System for Enhanced Cybersecurity in VANET's | |
Kanth | Gaussian Naıve Bayes based intrusion detection system | |
CN106572108A (zh) | 一种基于邻域距离的入侵特征选择方法 | |
Wu | Networked Test System Attack Detection Based on Deep Generative Models | |
CN117749499A (zh) | 一种网络信息***场景下的恶意加密流量检测方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |