[发明专利]基于机器学习的CAN总线网络异常检测方法及装置

权利要求书

1.基于机器学习的CAN总线网络异常检测方法，其特征在于，包括：

采集车载CAN总线报文样本，规格化车载CAN总线报文；

根据规格化车载CAN总线报文序号ID的类别划分报文，每一类别的报文作为训练样本，使用决策树生成算法训练得到该类别的决策树模型，获得与类别数量对应的多个决策树模型；

在车载CAN总线报文异常检测阶段，根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类，然后输入到对应类别的决策树模型，得到车载CAN总线正常报文和车载CAN总线异常报文；

在CAN总线决策树生成算法中，将车载CAN总线报文分类是一个二分类问题，CAN总线报文的基尼指数定义为：

其中，D表示车载CAN总线报文样本集合，k表示车载总线报文类别，k＝1表示车载CAN总线报文正常样本，k＝2表示车载CAN总线报文异常样本，P_k表示车载CAN总线报文不同类别的概率分布，P表示车载CAN总线报文正常样本的概率；CAN_gini(D)反映了随机从报文样本D中抽取两个报文，它们的类别不一致的概率；车载CAN总线报文根据数据域长度共有8种属性，每一种属性的取值范围是0－255，属性C的CAN总线报文数据的基尼指数定义为：

其中，D¹和D²分别表示报文样本D按照特征C是否取某个可能值c划分出的两个子集合，|D¹|和|D²|表示上述两个子集合包含的样本数目，|D|表示报文样本D的样本数目；

如果检测到车载CAN总线异常报文，则触发报警；触发的报警包括以下几种方式：蜂鸣器连续发出蜂鸣声、喇叭语音播报威胁、仪表盘指示灯闪烁提醒中的一种或几种；触发报警后，采取措施方法包括：(1)驾驶室向安全防护机构发送通讯请求；(2)关断车辆运行程序；(3)启动车辆预装的车联网网络安全防护机制；车联网网络安全防护机制包括访问控制、身份认证、应用加密、通信隔离和安全加固；安全加固包括安全CAN总线协议和全CAN总线网络；

车载CAN总线数据采用数据块1、数据块2，…，数据块n－1，数据块n的多个数据块的结构进行存储，规格化预处理的数据从数据块1到数据块n顺序循环进行填充内存块操作，填充内存块操作之后进行读取内存块操作，使得不需要将数据传至远程服务器端，立足于单台车进行本地化机器学习分析处理。

2.基于机器学习的CAN总线网络异常检测装置，其特征在于，包括：

数据接收模块，用于接收采集到的车载CAN总线数据；

数据预处理模块，用于规格化车载CAN总线报文；

机器学习算法分析引擎模块，用于根据规格化车载CAN总线报文序号ID的类别划分报文，每一类别的报文作为训练样本，使用决策树生成算法训练得到该类别的决策树模型，获得与类别数量对应的多个决策树模型；

检测模块，用于根据规格化车载CAN总线报文序号ID的类别对待检测报文进行分类，然后输入到对应类别的决策树模型，得到车载CAN总线正常报文和车载CAN总线异常报文；

所述基于机器学习的CAN总线网络异常检测装置，还包括：数据缓存处理模块，所述数据缓存处理模块包括n个数据块：数据块1、数据块2，…，数据块n－1，数据块n，所述数据预处理模块的程序从数据块1、数据块2，…，数据块n－1，数据块n的顺序循环进行填充内存块操作，在填充内存块操作之后机器学习算法分析引擎模块进行读取内存块操作，使得不需要将数据传至远程服务器端，立足于单台车进行本地化机器学习分析处理；

所述基于机器学习的CAN总线网络异常检测装置还包括报警装置，所述报警装置采用设置了连续发出蜂鸣声的蜂鸣器、设置了语音播报威胁的喇叭、设置了指示灯闪烁的仪表盘中的一种或者几种；触发报警后，采取措施方法包括：(1)驾驶室向安全防护机构发送通讯请求；(2)关断车辆运行程序；(3)启动车辆预装的车联网网络安全防护机制；车联网网络安全防护机制包括访问控制、身份认证、应用加密、通信隔离和安全加固；安全加固包括安全CAN总线协议和全CAN总线网络；

所述基于机器学习的CAN总线网络异常检测装置的一种硬件结构由CAN总线输入接口、数据处理单元、存储器、电源接口、外设接口和车载报警装置构成；CAN总线输入接口用于完成从CAN总线网络接收报文，并适配不同的CAN总线速率和协议结构；数据处理单元包括操作系统、CAN数据预处理和机器学习算法分析引擎；存储器是CAN总线数据缓存机构；电源接口从车载电源获取整个基于机器学习的CAN总线网络异常检测装置的工作电源；外设接口与车载报警装置连接，用于传递工作信号以及供电；车载报警装置完成异常报警功能。