[发明专利]一种基于滑动窗口和CENN的车载CAN入侵检测方法

说明书

本发明涉及车载网络入侵检测技术领域，特别涉及一种基于滑动窗口和卷积编码器神经网络的车载控制器局域网络入侵检测方法，包括：对接收的原始数据进行数据清洗，并选择CAN ID和CAN Data作为特征；将CAN ID和CAN Data每个维度的特征转换为二进制数据；根据转换的二进制数据的位数计算特征尺寸；根据得到的特征尺寸设置正方形窗口，以该窗口对数据进行滑动窗口处理，获取处理后的特征；将处理后的特征输入卷积编码器神经网络中，卷积编码器神经网络根据输入的数据获得检测结果；本发明能够以较低的误报率及较高的检测率判别异常与正常流量，达到对CAN网络入侵检测目的。

技术领域

本发明涉及入侵检测技术领域，特别涉及一种基于滑动窗口和卷积编码器神经网络(Convolutional Encoder Neural Networks,CENN)的车载控制器局域网络(ControllerArea Network,CAN)入侵检测方法。

背景技术

现代车辆中通常集成数十个甚至数百个各种电子控制单元(ECU)，这些ECU以及车内的智能传感器、车内网络组成了现代智能汽车的基础。车内网络根据系统的信息量、响应速度、可靠性、应用和其他要求，有五个广泛使用的车载网络。表1显示了这五种车载网络的优缺点，分别是本地互连网络(LIN)，控制器局域网(CAN)，FlexRay，面向媒体的系统传输(MOST)和以太网。

表1车内网络比较

在车载网络中应用最广泛的是CAN，其消息帧如图1所示，图2是CAN的拓扑结构，它是一个广播域，其中所有连接到CAN总线的节点都可以接收和发送消息。每个节点的接收过滤器使用CAN ID来决定选择哪个消息。当多个节点尝试同时传输消息时，它们通过具有冲突避免功能(CSMA/CA)和消息优先级仲裁(AMP)的载波侦听多路访问竞争通过总线访问总线，其中ID较低的消息将赢得仲裁。由于通信不包含任何身份验证器字段和加密算法，因此攻击者可以利用这些缺陷通过伪造和控制消息的传输来进行一系列攻击，例如:拒绝服务(DoS)，甚至破坏系统造成更大的事故。因此需要对CAN网络进行入侵检测。

通常CAN网络安全加固方法主要有三种，分别是加密算法、访问控制、入侵检测系统(IDS)。前两种旨在防止外部网络攻击，但在防止内部攻击及在保持系统吞吐量不变的情况下实施这些技术十分困难。最后一种入侵检测系统能够实时的检测攻击，并且提高检测攻击率。

实施IDS一旦检测到攻击，有时可与入侵防御系统(IPS)配合使用。基于检测技术，IDS可以分为两类：基于知识的IDS和基于异常的IDS。1)基于知识的IDS预定义了一组已知的攻击模式，例如:黑名单。当发现事件与预定义模式之间匹配时，它将报告入侵。由于基于知识的IDS无法检测到新颖的攻击，因此误报率将非常高。此外，及时更新模式数据库是必要且具有挑战性的。2)基于异常的IDS定义正常行为或“指纹”。例如:某些消息ID的固定频率/时间间隔。恶意插入具有相同ID的额外消息将增加/减少观察到的频率/时间间隔，因此可以被检测到。这样的IDS基于真实数据，并且能够检测到新颖的攻击。但是，如果在设计时没有考虑到所有的正常行为或情况，它将具有很高的误报率。

最初，IDS中一些成熟的方法是基于CAN协议特性，例如:基于频率的检测和CAN消息的时序分析。上述方法的有效性在很大程度上取决于一些前提，即具有特定CAN ID消息的周期性。最近的研究试图通过使用深度学习技术来克服这些限制。例如：卷积神经网络(CNN)、LSTM等被应用于检测场景，但是特征上只采用了比较容易处理的CAN ID字段，缺少一种系统的特征预处理方法，并且这些网络所得到的结果具有较高的误报率。

发明内容

为了减少误报率，本发明提出一种基于滑动窗口和卷积编码器神经网络的车载CAN入侵检测方法，如图4，包括以下步骤：

S1、对接收的原始数据进行数据清洗，并选择CAN ID和CAN Data作为特征；