一种基于状态感知的车载网络入侵检测方法

本发明涉及汽车网络通信及汽车安全，具体为一种基于状态感知的车载网络入侵检测方法。

背景技术：

1、当前已有大量针对车载网络，尤其是can总线的攻击的报道。但是，汽车电子系统尤其是can总线缺乏有效的安全防护机制和入侵检测系统的设计。车载入侵检测系统(ids)是一种反应式安全组件，它可以实时地监控车载网络的异常行为并立刻做出反应。在传统的计算机网络中，传统的入侵检测系统大部分基于签名。基于签名的入侵检测系统具有较高的检测精度和低误报率，但其代价是需要频繁地更新签名库。然而，由于攻击方式、受限的攻击可能性以及车辆寿命等原因，基于异常的入侵检测方法更适用于车载网络。然而，基于异常的入侵检测方法需要定义系统在正常状态下的行为，任何偏离此正常行为的状态都被视为一次攻击。

2、目前针对基于信息熵的车载网络入侵检测已经有了一些系统研究，但是现有的研究并没有解决汽车的行驶状态的变化导致的车载网络报文的传输情况的变化以及单一的入侵检测模型无法准确地对车载网络中报文的信息熵建模等问题，导致了信息熵的变化，同时也没有取得很好的检测精度。

3、综上所述，现有技术存在的问题是：

4、(1)现有的can总线协议中，没有考虑车载网络信息的安全性问题，can总线上的数据没有加密的措施，can总线也没有身份认证机制，任何连接到can总线上的设备，所发送的报文格式如果符合网络协议，就可以被其他ecu所接收，因此can总线很容易被黑客进行攻击和监听。

5、(2)现有的技术中can总线中的报文没有进行分类，容易在汽车行驶状态不同和非周期性can报文的情况下对信息熵产生干扰。

6、(3)现有的技术中入侵检测模型单一，无法准确地对车载网络中报文的信息熵建模，导致信息熵阈值难以确定，产生大量的误报和漏报。

7、(4)现有的技术检测精度低，且对ecu的计算能力要求过高，占用过多的带宽资源，不能适应复杂的驾驶环境。

技术实现思路

1、针对现有技术存在的问题，本发明的目的在于提供一种基于状态感知的车载网络入侵检测方法，为车载can总线提供一种计算复杂度低、检测性能高、误报率低，能够根据车载网络中的报文类别来动态选取检测模型，提高ids在面对注入攻击和模糊攻击时检测精度的方法。

2、为实现上述目的，本发明提供如下技术方案：一种基于状态感知的车载网络入侵检测方法，包括如下内容：

3、具有状态感知功能的入侵检测系统实时监控can总线中的报文，按照can总线中传输的报文类型对can总线当前的工作状态进行判断，根据状态选择相应的信息熵检测模型来检测can总线中是否存在入侵行为。

4、can总线报文id熵计算方法如下：

5、(1)用idi表示检测窗口中的某个报文的id，计算idi出现的概率如下：

6、

7、其中，ci为报文idi在检测窗口内的数量，n代表检测窗口内报文id的总数，且

8、(2)计算每个检测窗口内报文id的熵值h(w)，如下：

9、

10、其中，为idi在检测窗口中的报文id集合中出现的概率；

11、(3)计算报文idi的自信息量如下：

12、

13、(4)计算报文的自信息量的均值得其熵值，如下：

14、

15、检测窗口选取策略如下：

16、(1)计算can总线中信息熵的平均值如下：

17、

18、其中，hi(w)代表各窗口中报文的熵值；

19、(2)计算can总线中报文id熵值的方差σ，如下：

20、

21、(3)将步骤(2)中的方差值计算公式作为目标函数，通过模拟退火算法求得该函数取最小值情况下的窗口值，将该窗口值作为最佳检测窗口，通过下式判断是否接收恶化解，如下：

22、

23、采用上述metropolis准则判断是否为最优解。其中，e(x)为目标函数，t代表初始温度。如果e(xnew)＜e(xold)，说明找到了一个更优的解，因此在这种情况下接受新解的概率为1，如果e(xnew)≥e(xold)，说明求得了一个恶化的解，以概率p接受该解。

24、(4)信息熵检测模型可表示为其中是信息熵的平均值，σ是信息熵的方差值,k值决定了can总线中信息熵值的合法范围，如果k值过大，会检测性能会变差，导致极高的漏报率，如果k值过小，误报率会增大。因此，入侵检测模型的范围应该满足其中hmin是can总线中信息熵的最小值，hmax是can总线中信息熵的最大值。

25、所述入侵检测系统包括训练阶段和检测阶段，训练阶段用于求得合适的检测窗口以及该窗口下信息熵的方差值。实时检测阶段根据训练结果构建入侵检测系统来检测异常。具体包括如下步骤：

26、步骤1：按照报文定义，对can总线中的报文进行分类，并得出can总线报文状态，所述报文状态可进一步映射为车辆运行状态。

27、步骤2：随机生成一个检测窗口，向窗口中添加报文。

28、步骤3：提取窗口中的报文id，计算给定窗口下，数据集的信息熵，以及信息熵的方差值。

29、步骤4：将所得方差值与上一次的计算结果作比较，通过metropolis准则判断是否接受当前解。

30、步骤5：执行降温函数，如果温度低于eps(能够达到的最低温度值)，则结束训练，如果温度高于eps，重复上述步骤1至步骤4，进行迭代，以获得具有最稳定熵值的最佳检测窗口大小。

31、进一步的，实时检测阶段根据训练结果构建入侵检测系统来检测异常。包括如下步骤：

32、步骤1：在实时检测阶段，can总线报文首先被存储在ecu的内存中，在数量达到检测窗口大小后，计算信息熵，得到检测窗口内信息熵值。

33、步骤2：根据窗口中的报文定义选择对应的检测模型与步骤1中获得的信息熵值比较，得到入侵检测结果。

34、步骤3：如果存在入侵，记录异常的熵值。

35、本发明提供了一种评估方式，其使用机器学习中计算正确率和误报率的方法进行评估。

36、与现有技术相比，本发明的有益效果是：

37、1、准确性高、误报率低、计算复杂度低、检测响应时间短等优势，可有效应对dos攻击、注入攻击和模糊攻击。在无攻击状态的情况下，can报文信息熵值趋于一个稳定的状态，本方法对正常状态下can总线的信息熵值建模，当熵值偏离正常范围即判定为存在入侵，实时性较好，能够兼容can2.0a和can2.0b协议，兼容性较好，不需要对硬件或现有协议进行更改，因此可以有效的检测入侵。

38、2、便于维护。现有应用于can网络的基于签名的入侵检测技术，需要频繁地更新签名库，不便于维护，且占用过多存储资源。本发明不需要维护特征库，只需存储少量数据，即can总线报文的信息熵。

技术特征：

1.一种基于状态感知的车载网络入侵检测方法，其特征在于，包括：

2.根据权利要求1所述的一种基于状态感知的车载网络入侵检测方法，其特征在于，包括如下步骤：

3.根据权利要求2所述的一种基于状态感知的车载网络入侵检测方法，其特征在于，所述can总线的工作状态判断是基于报文定义的。

4.根据权利要求2所述的一种基于状态感知的车载网络入侵检测方法，其特征在于，所述信息熵值计算为其中，idi表示检测窗口中的某个报文的id，uidi为报文idi的自信息量，ci为报文idi在检测窗口内的数量，n代表检测窗口内报文id的总数；信息熵检测模型表示为其中是信息熵的平均值，σ是信息熵的方差值,k值决定了can总线中信息熵值的合法范围。

5.根据权利要求2所述的一种基于状态感知的车载网络入侵检测方法，其特征在于，所述最佳检测窗口选取采用模拟退火算法，其规则为metropolis准则

技术总结
本发明提供了一种基于状态感知的车载网络入侵检测方法，所述方法包括：将固定数量的报文作为监控CAN总线信息熵的窗口，入侵检测系统实时采集CAN总线中的报文，在报文数量达到窗口大小时通过计算熵值检测CAN总线中的异常；具有状态感知功能的入侵检测系统实时监控CAN总线中的报文，根据所述报文进行分类，针对不同种类的报文，采用不同的信息熵模型来检测CAN总线中是否存在入侵行文，达到分类检测目的。本发明提供的一种基于状态感知的车载网络入侵检测技术相比现有技术，具有计算复杂度低、检测性能高，误报率低的特点。

技术研发人员：吴武飞,戴君豪,黄慧娟,李文彬,刘芮华,李文波
受保护的技术使用者：南昌大学
技术研发日：
技术公布日：2024/1/13