[发明专利]一种车载内部网络入侵检测系统

权利要求书

1.一种车载内部网络入侵检测系统，其特征在于，包括流量采集模块、流量预处理模块和多维度入侵检测模块，其中，

所述流量采集模块采集车载控制器局部网络CAN上的流量数据，并将所述流量数据发送给所述流量预处理模块，其中所述流量数据包括对应有标识ID的数据帧；

所述流量预处理模块获取所述流量数据的检测判断值，并将所述检测判断值发送给所述多维度入侵检测模块；其中，所述检测判断值包括下述中的至少一项：流量数据在预设时间窗口内的流量状态图、ID所对应的数据帧中预设位置处的取值以及所述ID在所述预设时间窗口内的频率值；

所述多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值，检测所述ID所对应的数据帧是否为异常数据；

还包括基值训练模块；所述基值训练模块基于流量样本数据，确定所述流量数据的检测判断基准值，并将所述检测判断基准值发送给所述多维度入侵检测模块；所述流量样本数据包括对应有样本ID的样本数据帧；

其中，所述检测判断基准值包括下述中的至少一项：流量样本数据在所述预设时间窗口内的流量状态基准图、所述样本ID所对应的数据帧中预设位置处的取值基准范围以及所述样本ID在所述预设时间窗口内的频率基准值。

2.根据权利要求1所述的车载内部网络入侵检测系统，其特征在于，所述基值训练模块确定所述样本ID所对应的数据帧中预设位置处的取值基准范围，包括：

在所述预设时间窗口内，获取所述样本ID在数据帧中预设位置处的样本取值，并基于所述样本取值确定所述样本ID在所述预设位置处的取值范围；

分别计算所有相同样本ID所对应的所述取值范围的两端数值的第一均值，并将两端分别为所述第一均值的范围确定为所述样本ID在所述预设时间窗口内的取值基准范围。

3.根据权利要求1所述的车载内部网络入侵检测系统，其特征在于，所述基值训练模块确定所述样本ID在所述预设时间窗口内的频率基准值，包括：

在所述预设时间窗口内，获取相邻的相同样本ID之间的时间间隔；

计算所获取到的所有时间间隔的第二均值，并将所述第二均值确定为所述样本ID在所述预设时间窗口内的频率基准值。

4.根据权利要求1所述的车载内部网络入侵检测系统，其特征在于，所述基值训练模块确定所述流量样本数据在所述预设时间窗口内的流量状态基准图，包括：

针对预设时间窗口内的第一样本ID和第二样本ID，获取所述预设时间窗口内第三样本ID所对应的第一时间位置以及第四样本ID所对应的第二时间位置，所述第三样本ID为时间轴上第一个位于所述第一样本ID之后与所述第二样本ID相同的ID，所述第四样本ID为时间轴上第一个位于所述第三样本ID之前的与所述第一样本ID相同的ID；

当获取到多个成对的第一时间位置和第二时间位置组成的二元组时，针对每个二元组，计算得到所述第一时间位置和第二时间位置之间的时间偏差、所述第一时间位置和第二时间位置之间的ID数量以及在所述第一时间位置和第二时间位置之间的所有数据帧中预设比特出现的概率；

分别计算所有二元组中所述时间偏差的第三均值、所述ID数量的第四均值和所述概率的第五均值，并将所述第三均值、第四均值和第五均值作为所述第三样本ID和第四样本ID所组成的有向边的向量化赋权值；

将所述预设时间窗口内所有有向边的向量化赋权值作为所述预设时间窗口内的流量状态基准图。

5.根据权利要求1所述的车载内部网络入侵检测系统，其特征在于，所述多维度入侵检测模块基于所述流量状态图、所述ID所对应的数据帧中预设位置处的取值和/或ID在所述预设时间窗口内的频率值，检测所述ID所对应的数据帧是否为异常数据，包括：

当检测到所述ID所对应的数据帧中预设位置处的取值未处于与所述ID相同的样本ID所对应的取值基准范围内时，确定所述ID所对应的数据帧为异常数据；和/或

当检测到所述ID在所述预设时间窗口内的频率值未处于与所述ID相同的样本ID所对应的频率基准值的预设范围内时，确定所述ID所对应的数据帧为异常数据；和/或

当检测到所述流量状态图与所述预设时间窗口内的流量状态基准图的差异值大于预设值时，确定所述ID所对应的数据帧为异常数据。