一种基于多维特征的云车联动入侵检测方法及系统

本发明属于无人机通信，具体涉及一种基于多维特征的云车联动入侵检测方法及系统。

背景技术：

1、随着人工智能、5g、云计算等数字化进程的快速发展，现代智能车辆融合了越来越多的功能接口，这些技术在提高用户驾驶体验的同时，也开放了大量的接口与外网连接，使得车内网络更易受到恶意者攻击。can总线作典型的车内网络总线，与车辆安全直接挂钩，然而其最初设计环境是物理隔离的，因此本身几乎没有任何加密认证的防御手段，导致其首当其冲的成为了黑客攻击的重点对象。为了应对不同的攻击，研究者提出各种类型的入侵检测系统(ids，intrusion detection system)来保护车辆安全，但大多数ids存在一些的问题限制其实际应用。

2、首先，大多数ids是基于特定车辆的参数特征进行设计的，难以直接应用于其他类型车辆，且不能保证应用后模型的性能表现；

3、第二，这些ids是基于某个维度的特征变化进行检测，这限制了它们检测其他类型攻击的能力，例如，基于流量的ids擅长检测与数据修改相关的攻击但难以追踪攻击源；基于电压的ids可以识别攻击源，但无法检测bus-off等与时间维度相关的攻击；基于时间的ids可以捕捉到与时间变化相关的攻击但难以识别数据修改；

4、第三，许多ids建立在机器或深度学习(ml/dl，machine learning/deep)算法之上，有同时将其部署在车辆进行训练和检测，资源有限的车辆难以满足其高算力的要求。

技术实现思路

1、本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于多维特征的云车联动入侵检测方法及系统，用于解决基于单个车辆参数设计的ids普适性较低、单维特征检测能力有限、基于ml的ids加重车辆计算负担的技术问题。

2、本发明采用以下技术方案：

3、一种基于多维特征的云车联动入侵检测方法，包括以下步骤：

4、s1、采集车辆正常状态下产生的数据；

5、s2、将步骤s1得到的数据映射到时间、数据流和电压三个维度，得到特征集并上传云服务器；

6、s3、基于xgboost方法构建入侵检测模型，利用云服务器对入侵检测模型进行训练；

7、s4、将步骤s3训练好的入侵检测模型分发给车辆，根据当前数据与车辆标签是否匹配预测车辆是否被入侵。

8、具体的，步骤s1中，数据帧在can总线上以广播机制传输，获取传输数据帧的内容、时间和电压信号，电压信号以12.5ms/s的速率进行采样。

9、具体的，步骤s2中，时间维度计算的特征包括消息周期、时钟偏移量和每个n数据帧的累计时钟偏移量；

10、在数据流维度上，计算有效载荷的信息熵来捕获连续的can帧中数据域的变化模式；计算相同id的消息数据域的汉明距离，获得其在正常情况下同一个id的数据内容的变化规律；计算数据帧中id域的欧几里得距离来反映连续id序列的变化情况；

11、电压维度选择均值、标准差和偏度。

12、进一步的，消息周期periodi、时钟偏移量oi和每个n数据帧的累计时钟偏移量aoj具体为：

13、periodi＝ti-ti-1

14、oi＝periodi-periodi-1

15、aoj＝|aoj-1|+oj,j∈n

16、其中，i和j为当前消息的下标，j特指在计算累积时钟偏移的n个消息中的位置。

17、进一步的，连续can帧数据域的变化模式entropyi；同一个id的数据内容的变化规律hammingi；连续id序列的变化情况euclideani具体为：

18、

19、

20、

21、其中，li和l′i分别代表当前数据帧data和id字段的长度，ci0和ci1分别表示数据帧有效载荷的0和1的个数，和分别表示第i个数据帧的data和id字段的第j位元素。

22、进一步的，均值mean、标准差std和偏度skewness具体为：

23、

24、

25、

26、其中，v(i)表示电压信号，t表示当前数据帧电压信号记录的时间范围。

27、具体的，步骤s3中，入侵检测模型在训练过程中，通过建立具有不同特征的弱分类器处理输入数据，最终的预测结果是训练过程中所有弱分类器的累积结果；在训练过程中，每次迭代通过特征分裂不断增加新的弱分类器，在每次迭代中给一个预测值，并在下一次迭代中增加一个新的函数填补真实值与预测结果之间的差距。

28、进一步的，入侵检测模型的目标函数l如下：

29、

30、其中，为第i真实值与预测值之间的损失函数，i为训练过程中的轮数，ω(fk)为对第i轮建立的弱分类器结构复杂度的惩罚函数。

31、更进一步的，弱分类器的最大高为3，学习率为0.1。

32、第二方面，本发明实施例提供了一种基于多维特征的云车联动入侵检测系统，包括：

33、数据模块，采集车辆正常状态下产生的数据；

34、特征模块，将数据模块得到的数据映射到时间、数据流和电压三个维度，得到特征集并上传云服务器；

35、训练模块，基于xgboost方法构建入侵检测模型，利用云服务器对入侵检测模型进行训练；

36、检测模块，将训练模块训练好的入侵检测模型分发给车辆，根据当前数据与车辆标签是否匹配预测车辆是否被入侵。

37、与现有技术相比，本发明至少具有以下有益效果：

38、一种基于多维特征的云车联动入侵检测方法，利用can总线的数据流、时间和电压三个维度的多种特征，它可以从多个方面和角度去检测攻击，不局限于某些攻击的检测；利用can总线数据的时间特征建立电子控制单元(ecu，electronic control unit)与消息id之间的映射，检测出攻击时可迅速溯源，找到被攻击的ecu；利用云服务器的资源进行模型训练。模型训练好后下发至各个车辆，车辆仅用很少的计算资源进行数据检测，它可直接应用于车辆，实时监测can网络数据传输，保护车辆安全。

39、进一步的，利用can总线数据流的特征，将不同品牌车厂设计的不同数据含义抽象到特征层面，使不同车辆数据可放到一个模型中处理，解决数据异构问题。

40、进一步的，智能汽车执行的动作由can总线上电子控制单元(ecu)间交互的数据进行控制，而时间、数据、电压三个维度上的特征基本可以描绘can数据和ecu本身的大部分信息，进而区分出不同的车辆。时间维度本产品计算消息周期、时钟偏移量和每个n数据帧的累计时钟偏移量三个特征。大多数can消息都是周期性的出现在总线上，因此计算周期可以部分检测出干扰消息频率、周期等攻击。can是异步串行通信协议，因此can总线没有一个统一的时钟，而是每个ecu携带一个时钟，但由于制作工艺的独特性，每个ecu都会产生微小的时钟偏移，该特征可以唯一标识ecu用来追踪ecu，但由于单个消息的时钟偏移非常小，容易导致较大的误差，因此计算n个消息的累积时钟偏移，减小标识ecu时的误差。在数据流维度上，计算连续数据帧有效载荷的信息熵、相同id消息数据域的汉明距离、连续数据帧id域的欧几里得距离。由于can数据帧中id域用以指示消息的类型和优先级、data用于指示车辆执行的动作，因此正常行驶车辆时can总线上的消息存在特定规律，计算信息熵是为了知道连续消息的数据域变化模式；计算相同id是为了确定同一个id内数据域的变化范围；计算连续消息id的欧式距离是为了确定正常情况下id的变化规律，这三个特征反应了正常情况下can数据帧的大部分信息，当can总线被攻击时，这些特征的变化大概率会超出正常范围。在电压维度计算均值、标准差和偏度。由于相同品牌但不同版本的车辆可能存在数据含义、周期等设计相同的情况，仅依靠基于ecu的时钟偏移单个特征可能难以区分同品牌车辆，因此添加了基于ecu的物理信号维度(电压)进行检测，这样不仅可以识别不同品牌的车辆也可识别同品牌的不同车辆。

41、进一步的，本产品的为了可同时处理多个车辆的数据，按照相同规则从不同车辆提取时间、数据流、电压三个维度的不同特征，将这些特征作为输入可统一模型识别数据的形式，即将模型学习的重点从源数据的含义和分布转化为不同车辆数据特征的变化规律，避模型识别混乱问题。而xgboost方法擅长处理以特征为输入的数据，其在训练过程中首先选取最具影响力的特征建立新的弱分类器去拟合上一轮预测值与真实值之间的残差，该算法是较为符合本产品当下使用场景的。基于我们所提取特征的重要程度建立弱分类器去进行预测，最终结果是所有弱分类器预测值的和，该操作可以基于不同数据的特征去预测车辆的标识。

42、可以理解的是，上述第二方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。

43、综上所述，本发明可直接应用于不同车辆而不需要进行模型重训练和迁移学习等操作，且检测准确度不受攻击类型的影响。

44、下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。