| 学术论文附件 | 无附件 |
|||
 |
论文题目 | 一种基于支持向量机的车载网络异常检测方法 | ||
| 作者姓名 | 龚子超,伊晓瑞,刘满山 | |||
| 是否发表 | 是 | 刊 号 | 1005-1228 | |
| 期刊名称 | 电脑与信息技术 | 期刊期次 | 2020-4-15 | |
| 项目名称 | 基于支持向量机的车载网络异常检测 | |||
| 项目类型 | 创新训练项目 | |||
| 项目编号 | S201910542062 | 学科类别 | 工学——电子信息类 | |
| 立项年份 | 2019 | 联系QQ号 | 1203580171 | |
| 项目组成员 | 姓 名 | 年 级 | 专 业 | 是否主持人 |
| 龚子超 | 2017 | 通信工程 | 第一主持人 | |
| 刘满山 | 2017 | 通信工程 | 否 | |
| 伊晓瑞 | 2017 | 通信工程 | 否 | |
| 指导老师 | 姓 名 | 职称 | 研究方向 | |
| 魏叶华 | 副教授 | |||
| 论文摘要 | 一种基于支持向量机的车载网络异常检测方法
龚子超,伊晓瑞,刘满山 (湖南师范大学 信息科学与工程学院,长沙市 410081) 摘 要:随着人工智能、5G、激光雷达和各类传感器等技术的不断发展与应用,无人驾驶、车联网等应运而生,汽车朝着智能化和网联化不断发展,为人们带来舒适、安全的驾驶体验。同时,网联化也打破了汽车现有的闭环状态,为车载电子系统带来了潜在的信息安全问题。为此,本文提出了基于支持向量机的车载网络入侵检测算法。通过对报文的DATA域的分析,挖掘报文的各字节特点,综合各字节和字节数据的信息熵,构成分类训练样本,训练支持向量模型,以此检测数据的可能异常。通过真实车辆数据实验分析,对模拟攻击的异常检测具有较高的检测率。 关键词:车载网络安全;支持向量机;异常检测 中图分类号:TP309 文献标识码:A An Anomaly Detection Method Based on Support Vector Machine for In-vehicle Network GONG Zi-chao,YI Xiao-rui,LIU Man-shan (College of Information Science and Engineering,Hunan Normal University ,Changsha 410081)
Abstract:With the development and application of artificial intelligence, 5G, lidar and every kinds of sensors and other technologies, driveless and vehicle internet come alive. Vehicles is becoming more and more intelligent and networking, bringing us comfort and safe experience of driving. At the same time, networking also breaks the existing close-loop state of the vehicle, which brings the potential problems of information safety. Therefore, our paper proposes a vehicle network intrusion detection algorithm based on support vector machine. Through analyzing the DATA domain of the message, digging out the characters of each byte of the message, synthesizing the information entropy of each byte and byte data, forming the classified training sample, training support vector machine model, we can detect the possible abnormalities of data. By analyzing the real vehicle data experiment, the anomaly detection of simulated attack has a high detection rate. Key words:Vehicle Network Security;Support Vector Machine;anomaly detection 随着车联网、无人驾驶等不断发展,汽车与外界环境的交互越来越多,带来了更好的驾驶体验,同时也带来了潜在的信息安全问题。。目前,汽车内部的总线网络,如 CAN、LIN、MOST等在设计阶段就没有考虑数据通信的安全问题,也缺乏信息安全防护机制,一旦被破解掌控,将失去对车辆的控制,甚至酿成重大事故[3]。2015年的黑帽大会上,Miller C和Valasek C通过“0day”漏洞,攻击了一辆Jeep的车载娱乐系统,利用一台笔记本电脑完成对该车辆的控制,证明了车载系统确实隐含风险。 目前针对车载网络数据异常检测,有些学者开展了相关研究。文献[1]阐述了车载网络CAN总线协议及特性,介绍了CAN网络模型,并提出基于C4.5算法的异常检测方案,将机器学习方法运用到异常检测。文献[2]提出了基于SVDD的流量检测模型和基于HTM网络的数据异常检测。文献[5]中提到了基于信息熵的入侵检测算法,为我们提供了基于信息熵的方法。综合车载系统的实时性要求较高,车载电子单元计算能力有限,为提高车载网络异常检测效率,减少训练样本集,本文提出了基于支持向量机的车载网络异常检测算法。 1 CAN报文数据域特征提取 1.1车载CAN总线 CAN总线是目前汽车中最常见的总线结构,目前对车辆攻击的研究大多数也是基于CAN网络的,因此本文中的车载网络主要指CAN网络。CAN总线连接着许多电子控制单元(ECU),各个ECU之间通过总线传输数据。不同CAN网络之间通过网关相连。
图1 车载CAN总线结构图 CAN支持两种报文格式:标准CAN和扩展CAN。车载网络通常采用标准CAN进行通信。其帧格式如下图。
图2 CAN标准帧格式图 CAN标准帧由起始帧、仲裁域、控制域、数据域、CRC域、ACK域和帧结束共七部分组成。帧起始为1bit,帧结束为7bit。仲裁域代表优先级,由11bit的ID和1bit的RTR组成,RTR决定报文是数据帧还是远程帧。控制域中4bit的DLC识别数据域长度。数据域承载报文数据,最多为8个字节。CRC域为报文的校验和。ACK域用于判断数据是否被接受[1]。本文主要针对数据域进行特征提取的。 1.2数据域特征提取 车载网络中的总线信息熵在车辆正常驾驶时,其值趋于稳定或在特定范围内小幅波动。因此本文引入信息熵来提取CAN报文数据域特征。信息熵能够衡量一个系统是否有序,当一个系统有序时,其信息的种类数目趋于稳定,那么信息熵在小范围内稳定波动,当一个系统混乱时,信息熵则会大幅变化。假设有系统X,其有限的可能状态集为{X1,X2,X3...,Xn},然后系统X的信息熵为:
其中系统p(Xi)表示Xi在系统中出现的概率[5]。在本文中,以数据域第一字节(DATA1)为例,Xi的可能状态集为{0x00,0x01,0x02,...,0xff},在一段足够长的时间内统计0x00-0xff出现的次数为Ni(i=1,2,3,4,...,256),总共M条报文。则p(Xi)=Ni/M*100%。由此可以计算在单个周期内的信息熵H(X),将H(X)作为特征值来训练支持向量机。而数据域最多有8字节,对应8个信息熵作为特征值。 2 基于支持向量机的异常检测 为提高算法效率,减少训练样本数,提高算法鲁棒性,提出了基于支持向量机的车载网络异常检测算法。使用第2节中得到的数据域中8字节的信息熵的集合作为训练样本,样本为线性不可分,因此本文主要运用非线性支持向量机。利用核函数把非线性的数据映射到高维特征空间,将问题转化为线性问题。径向基核函数的检测率较高,检测速度较快,且不会出现过大的偏差,因此本文选用RBF核进行支持向量机训练。 训练数据集D可表示为:
其中满足:
异常检测问题实质上是分类问题,可将次问题通过选取一个适当的核函数
构造成最优化问题:
ai是每个样本对应的拉格朗日乘子。 有训练样本集经过训练,便可解得一组最优解:
解中由少部分不为零,其对应的样本就是支持向量。分类阈值b’可由任意支持向量求得。
我们选取最优解的一个正分量
之后,我们便可构造非线性决策函数[4]:
3 仿真实验 为验证检测算法的有效性,使用真实车辆数据集,进行了仿真验证。 3.1数据处理 本文采用的数据集由Hyunsung Lee提供,为真实车辆采集数据,包含了正常数据集和处理过的异常数据集。先对DATA域的8个字节进行处理,以第一个字节DATA1为例,统计得到240秒内共有463852条报文,统计0x00-0xff每个值在报文集中的比率,并计算-p(x)log2p(x)值,部分数据如下图所示:
图3 DATA1中字节值统计图 再分别计算出报文DATA域内8个不同字节(DATA1-DATA8)的0x00-0xff的-p(x)log2p(x),部分数据如图4所示。
图4 DATA域字节值统计图 根据图4中的数据,可以计算DATA域的信息熵,如下图所示,为前10周期数据。
图5 数据域的信息熵
3.2模型训练与检测 实验在MATLAB R2016a上进行,SVM分类器采用台湾林志仁教授开发的工具箱LIBSVM。设置惩罚因子C为1,设置RBF核的gamma为0.125。处理好的总共有190553个周期正常数据和8482个周期DOS攻击数据,主要针对DOS攻击检测进行验证,当由150000个周期的正常数据和2000个周期的异常数据组成训练样本集,得到训练模型,对1000个周期的DOS攻击数据进行异常检测,检测率为97.30%。对于训练样本集,正常数据不变,将异常数据分别增加到4000和7000个周期时,得到训练模型,对1000个周期的DOS攻击数据进行异常检测,检测率分别达到98.90%和99.20%。 4 结束语 本文提出了基于支持向量机的车载网络异常检测方法,并计算各个字节的信息熵作为特征来训练支持向量机,并进行异常检测验证,表明了具有较高的检测概率。
参考文献: [1] 曾润.车载CAN总线网络异常数据检测技术研究与实现[D].北京邮电大学,2018. [2] 赵振堂.车载网络异常检测技术研究[D].天津理工大学,2018. [3] 曲建云.车载网络安全数据可视化技术的设计与实现[J].厦门理工学院学报,2019,27(1):53-59. [4] 刘洁.基于支持向量机的网络入侵检测系统研究[D].中南大学,2008. [5] 吴武飞.新一代汽车网络入侵检测及安全增强设计研究[D].湖南大学,2018. [6] 张学工.关于统计学习理论和支持向量机[J].自动化学报,2000,26(1):32-42. [7] Miller C,Valasek C.A Survey of Remote Automotive Attack Surfaces[J].DEF CON,2014,21:34-90. [8] Miller C,Valasek C.Remote exploitation of an unaltered passenger vehicle[J]Black Hat USA.2015. [9] Miller C,Valasek C.Adventures in automotive networks and control units[J].DEF CON,2013, 21:260-264. [10] Checkoway S,Mccoy D,Kantor B,et al. Comprehensive Experimental Analyses of Automotive Attack Surfaces[C].Usenix Security Symposuim.2011:43-43.
|
|||
项目其他 学术成果 |
||||
| 项目其他学术成果附件 | 无附件 |
|||
,来计算下列式子:
