[发明专利]一种基于信息熵的CAN总线异常检测方法

权利要求书

1.一种基于信息熵的CAN总线异常检测方法，其特征在于，包括以下步骤：

步骤一.建立基线样本库；

步骤二.采集待测CAN总线报文并对报文数据进行预处理；

步骤三.对处理后的报文数据进行信息熵值计算、相对距离计算；

步骤四.将计算得到的熵值和相对距离与基线数据库进行对比分析，检测是否出现异常；

所述步骤一的具体步骤包括：

1-1)采集模拟真实环境下的CAN总线网络中的报文作为原始数据；

1-2)对原始数据进行预处理，统计出单位时间内报文流量、报文自信息；

1-3)对预处理后的数据进行熵值确定、阈值确定和相对距离确定；

1-4)得到基线样本库；

所述步骤1-3)中，熵值确定的具体步骤包括：

令E表示为T时间内出现的n种不同标识符的CAN报文消息集合，其中E＝{ε₁,ε₂,...,ε_n}，{C1,C2，...,Cn}为T时间内出现的n种不同标识符的CAN报文的发送周期；

时间T内总线的CAN报文消息的总数为:

第i种报文ε_i，在T时间内发送的数量n_i为

第i种报文，在T时间内出现的概率p(ε_i)表示为：

显然有

定义第i种消息的不确定性为消息i的自信息I(ε_i)

则在时间T内CAN总线的信息熵定义为消息的平均不确定性，即为自信息的数学期望:

所述步骤四中，当CAN总线系统信息熵增加，判断在原始报文基础上，CAN总线中出现新的报文消息，CAN总线异常；

当相对距离得到正值的变化趋势，判断CAN总线中出现被重放的报文消息；当得到负值的变化趋势，判断该消息的重放消失；当相对距离不变时，判断该消息没有被重放；

所述步骤1-3)中，相对距离确定的具体步骤包括：

定义第i种报文在两个相邻T时间段消息集合的相对距离

在重放攻击场景下，

在重放攻击场景下，第i种报文的相对距离

2.根据权利要求1所述的基于信息熵的CAN总线异常检测方法，其特征在于，所述步骤1-3)中，阈值D为0.01～0.02，网络正常检测的范围是(H(E)-D/2,H(E)+D/2)，超过此范围的总线信息熵将判定为异常。