一种基于跨协议层融合的车载CAN总线入侵检测系统

本发明属于can总线入侵检测系统设计领域，尤其涉及一种基于跨协议层融合的车载can总线入侵检测系统。

背景技术：

1、can总线入侵检测系统是一种汽车网络安全技术，它处于汽车电子、网络安全和机器学习的交叉领域。can(控制器局域网)是一种用于实现车辆各控制系统之间通信的总线标准。然而，随着汽车逐渐变得更智能和网联化，汽车网络的安全性问题变得越来越突出。

2、can总线入侵检测系统(ids)的主要任务是实时监控汽车的can总线，以便检测并报告任何可疑的、异常的或恶意的活动。这些系统可以被视为汽车网络的"免疫系统"，能够防止黑客对汽车进行远程控制，保护车辆和乘客的安全。

3、近年来，随着人工智能和机器学习技术的快速发展，can总线入侵检测系统也在不断进化。一些先进的ids利用了深度学习、异常检测和其他复杂的算法，以提高对新型和复杂攻击的检测精度。此外，随着物联网(iot)的崛起，汽车正在变得越来越智能化，与其他设备和系统的连接也越来越紧密，这也进一步推动了can总线入侵检测系统的发展。总的来说，这是一个充满挑战和机遇的领域，对汽车行业的未来安全和发展具有至关重要的影响。

4、在can总线入侵检测系统领域中，现有技术是基于特征工程和机器学习的侵入检测系统。

5、这类系统主要依赖于对can消息的统计分析和模式识别。它们分析can总线上的数据流，提取出有意义的特征(如消息频率、载荷大小、数据的标准差等)，然后使用这些特征训练机器学习模型，如支持向量机(svm)、随机森林或者神经网络。当新的can消息到达时，这些模型可以预测它是否是异常或者恶意的。

6、现有的can总线入侵检测系统，尤其是那些基于特征工程和机器学习的系统，主要存在以下技术问题：

7、1.特征工程的挑战：这些系统依赖于手动提取特征，这是一个需要专业知识并且劳动密集型的过程。手动提取的特征可能无法捕捉到所有的攻击模式，尤其是对于新型和复杂的攻击。

8、2.数据需求：这些系统需要大量的正常和恶意can消息来训练模型，然而在实际场景中，获取这样的数据可能是困难的。

9、3.对未知攻击的检测能力：基于规则的检测系统可能对新型或未知的攻击反应不足，因为它们主要依赖于训练数据中的已知攻击模式。

10、4.协议层次的限制：大多数现有系统只关注于单一协议层次的检测，例如只关注应用层的攻击，而无法检出隐蔽性更强的链路层bus off的攻击。

技术实现思路

1、本发明的目的是针对现有技术的不足，提供一种基于跨协议层融合的车载can总线入侵检测系统，本发明系统可以同时检测应用层的攻击和链路层的攻击，如bus off攻击。这种跨层次的特征融合能够提供更全面的保护，可以在更早的阶段发现和防止攻击，从而大大提高汽车网络的安全性。

2、本发明采用的技术方案具体如下：

3、一种基于跨协议层融合的车载can总线入侵检测系统，包括：

4、数据获取单元，用于获取一段时间内的can报文及can总线差分信号电压波形数据；

5、入侵检测单元，用于将获取的一段时间内的can报文及can总线差分信号电压波形数据输入至一预训练的入侵检测模型，获得检测结果；其中，所述入侵检测模型包括can报文特征提取模块、电压波形特征提取模块、投票融合模块和分类层；其中can报文特征提取模块用于提取输入的can报文数据的特征；电压波形特征提取模块用于提取输入的can总线差分信号电压波形数据的特征；投票融合模块用于基于自注意力机制将can报文特征提取模块、电压波形特征提取模块输出的特征进行投票融合获得融合后的特征；分类层基于融合后的特征进行分类输出检测结果。

6、进一步地，所述can报文特征提取模块包括时序特征提取子模块和细节特征提取子模块，分别用于提取输入的can报文数据的时序特征和细节特征。

7、进一步地，所述时序特征提取子模块的结构采用长短时记忆网络等；所述细节特征提取子模块的结构采用卷积神经网络。

8、进一步地，所述电压波形特征提取模块的结构采用短时傅立叶变换方法进行处理。

9、进一步地，所述投票融合模块的结构采用transformer的encoder模块。

10、进一步地，所述一段时间内的can报文数据为采用one-hot编码的can报文数据。

11、进一步地，所述入侵检测模型基于收集的数据集，通过最小化所述入侵检测模型的输出与真值的损失进行训练获得。

12、进一步地，所述入侵检测模型的输出与真值的损失采用交叉熵损失。

13、本发明的有益效果是：

14、1、本发明提出的入侵检测模型不仅充分体现了深度学习在特征提取方面的强大优势，而且通过整合来自多个模块的特征，实现了对车载网络的深度和全方位的保护。这种多层次的融合策略为车载网络的防御策略提供了一个崭新且富有创意的研究方向。

15、2、本发明通过基于跨协议层融合物理层电压特征，不仅能够有效提升识别应用层的多种攻击的准确率，还能对链路层的bus off攻击进行有效检测，填补了多数现有方案的盲区。显示了其高度的适应性和稳健性。

16、3、本发明确保了对各种攻击手段的高效识别，大幅提升了汽车网络安全防护能力，为can总线提供全面保护。

技术特征：

1.一种基于跨协议层融合的车载can总线入侵检测系统，其特征在于，包括：

2.根据权利要求1所述的系统，其特征在于，所述can报文特征提取模块包括时序特征提取子模块和细节特征提取子模块，分别用于提取输入的can报文数据的时序特征和细节特征。

3.根据权利要求2所述的系统，其特征在于，所述时序特征提取子模块的结构采用长短时记忆网络；所述细节特征提取子模块的结构采用卷积神经网络。

4.根据权利要求1所述的系统，其特征在于，所述电压波形特征提取模块的结构采用短时傅立叶变换方法进行处理。

5.根据权利要求1所述的系统，其特征在于，所述投票融合模块的结构采用transformer的encoder模块。

6.根据权利要求1所述的系统，其特征在于，所述一段时间内的can报文数据为采用one-hot编码的can报文数据。

7.根据权利要求1所述的系统，其特征在于，所述入侵检测模型基于收集的数据集，通过最小化所述入侵检测模型的输出与真值的损失进行训练获得。

8.根据权利要求7所述的系统，其特征在于，所述入侵检测模型的输出与真值的损失采用交叉熵损失。

技术总结
本发明提供了一种基于跨协议层融合的车载CAN总线入侵检测系统，本发明通过基于跨协议层融合物理层电压特征，不仅能够有效提升识别应用层的多种攻击的准确率，还能对链路层的Bus off攻击进行有效检测，填补了多数现有方案的盲区，显示了其高度的适应性和稳健性。本发明跨层次的特征融合能够提供更全面的保护，可以在更早的阶段发现和防止攻击，从而大大提高汽车网络的安全性。

技术研发人员：林峰,倪鑫雨,张梦,任奎
受保护的技术使用者：浙江大学
技术研发日：
技术公布日：2024/4/17