[发明专利]一种基于孤立森林的汽车CAN总线网络数据异常检测方法

权利要求书

1.一种基于孤立森林的汽车CAN总线网络数据异常检测方法，其特征在于，包含以下步骤：

步骤1：对采集到的CAN数据进行预处理，将具有相同ID的数据分类，然后基于训练集的子样本建立孤立树，即对按ID分类好的CAN数据训练集进行子采样，采用随机超平面切割的方法构建包含t棵孤立树的孤立森林；

步骤2：对于一个待测数据，令其遍历每一棵孤立树，然后计算该数据最终的平均路径长度，并计算待检测数据的异常分数；

步骤3：设置异常分数阈值，根据异常分数大小判定CAN数据有无异常。

2.根据权利要求1所述的方法，其特征在于，所述的步骤1中构建孤立森林的方法包括以下步骤：

S11，对采集到的CAN数据进行预处理，将具有相同ID的数据分类；

S12，从训练集中进行采样，并根据算法构建孤立树，孤立树的建立过程如下：

S121，从训练数据点随机抽取ψ个子样本，放入树的根节点；

S122，随机指定一个特征维度，并在当前特征的所有范围内随机生成一个值p，p是在该特征范围的最大值和最小值之间随机产生的；

S123，根据值p对样本进行二叉划分，指定维度中小于p的数据被放在当前节点的左侧子树即子节点中，大于或等于p的数据被放在当前节点的右侧子树即子节点中；

S124，在生成的左右两侧子树中，重复步骤S122和步骤S123对子节点进行更新，直到达到终止条件，终止条件有两个，一个是只包含一个样本，或者全部样本相同时数据本身不可再分；另一个是树的高度达到所限定的高度h；

S13，构建t棵孤立树，搭建孤立森林模型。

3.根据权利要求2所述的方法，其特征在于，S124中树的限定高度h和子样本数量ψ的关系是h＝ceiling(log₂ψ)。

4.根据权利要求1所述的方法，其特征在于，所述步骤2中计算待检测数据的异常分数的方法是：

S21，遍历孤立森林中的每颗孤立树，记录路径长度；

S22，计算待测CAN数据每个样本的异常分数。

5.根据权利要求4所述的方法，其特征在于，所述路径长度即根节点到当前节点的边数。

6.根据权利要求4所述的方法，其特征在于，异常分数需要规范化，其方法如下：

其中E(h(i))是待检测点i在孤立森林中的经过的平均路径长度，c(n)是孤立森林的平均路径长度。

7.根据权利要求6所述的方法，其特征在于，E(h(i))的值有三种情况：

(a)E(h(i))→0时，s→1，此时被判定为异常；

(b)E(h(i))→n-1时，s→0，此时被判定为正常；

(c)E(h(i))→c(n)时，s→0.5，此时无法判定是否异常。

8.根据权利要求6所述的方法，其特征在于，c(n)是平均路径长度，其取值由下式决定：

9.根据权利要求书8所述的方法，其特征在于，H(·)是调和数，可以被估计为ln(·)+ξ，ξ是欧拉常数，取为0.5772156649。

10.根据权利要求书1所述的方法，其特征在于，异常分数的阈值根据得到的异常分数值进行选定，大于阈值则判定该数据为异常数据。