[发明专利]一种基于相关分析的车载网络异常检测方法及系统

说明书

一种基于相关分析的车载网络异常检测方法及系统，方法包括：采集车辆行驶过程中的通信数据；所述通信数据包括消息ID、消息报文内容及消息发生时间；使用已建立的预测模型预测输出对应字节序的报文值，判断预测的报文值与实际的报文值之间的偏差是否超过检测阈值，如果超过，判断消息存在异常；所述预测模型基于车辆行驶过程中通信数据之间的相关关系分组建立；所述预测模型的输入为所述相关关系分组中的一个或多个消息ID字节序对应的报文值，所述预测模型的输出为所述相关关系分组中的其他消息ID字节序对应的报文值。本发明分析原始报文数据间的相关性，利用神经网络建立报文字节内容预测模型，可实时检测出不符合车辆正常行驶状态的恶意数据注入攻击。

技术领域

本发明涉及车辆数据安全领域，特别是一种基于相关分析的车载网络异常检测方法及系统。

背景技术

由于CAN协议的广播性和缺乏安全性特点，攻击者很容易在总线上注入恶意消息。车载网络安全问题已引起广泛关注，已有人提出各种各样的技术和相应的解决方案。针对恶意消息的异常检测，目前主要有两种解决方法。一种方法是通过物理变量异常检测来发现网络异常消息，这种方法需要知晓物理变量存储的位置和方式，即需要总线通信协议内容或者对总线进行逆向工程，若通信协议或逆向数据遭到泄露，会增加车辆总线通信遭受攻击的风险。另一种方法是通过分类法进行检测，这种方法不需要了解总线通信协议，但建立的检测模型受模拟训练的异常数据影响较大，只能检测到非正常数据内容的篡改或插入攻击，无法检测插入总线内部的属于正常数据范围内但违背行驶状态逻辑的非法数据。

发明内容

本发明的主要目的在于提出一种基于相关分析的车载网络异常检测方法及系统，通过分析原始报文数据间的相关性，利用神经网络建立报文字节内容预测模型，可实时检测出不符合车辆正常行驶状态的恶意数据注入。

本发明采用如下技术方案：

一方面，本发明一种基于相关分析的车载网络异常检测方法，包括：

采集车辆行驶过程中的通信数据；所述通信数据包括消息ID、消息报文内容及消息发生时间；

使用已建立的预测模型预测输出对应字节序的报文值，判断预测的报文值与实际的报文值之间的偏差是否超过检测阈值，如果超过，判断消息存在异常；所述预测模型基于车辆行驶过程中通信数据之间的相关关系分组建立；所述预测模型的输入为所述相关关系分组中的一个或多个消息ID字节序对应的报文值，所述预测模型的输出为所述相关关系分组中的其他消息ID字节序对应的报文值。

优选的，所述预测模型的建立方法包括：

采集相同车型车辆行驶过程中的通信数据；

计算汉明距，分析汉明距数据，剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节；记录报文内容有变化的消息ID和对应的字节序；

针对记录的消息ID，对消息事件发生时间进行归一化处理，按相近时刻对不同消息ID的事件时间进行配对处理，分别计算其中各个字节对的相关系数，提取相关系数绝对值大于预设值的字节对，标记为相关关系分组；所述接近时刻包括相同时刻或预设范围内的时刻；

对各相关关系分组中的报文数据按时间序列用LSTM神经网络进行训练，建立各相关关系分组的预测模型。

优选的，计算汉明距，分析汉明距数据，剔除报文内容没有变化的消息ID及消息ID中报文内容没有变化字节；记录报文内容有变化的消息ID和对应的字节序，具体包括：

按消息ID汇总统计总字节数的汉明距之和，计算出包括最大值、最小值、中位数、下四分位数和上四分位数的指标值；若各项指标值都为0或者都相等，则表明该消息ID所有字节报文内容无变化，则剔除该消息ID；