基于LSTM的CAN总线入侵检测.pdf

该【基于LSTM的CAN总线入侵检测 】是由【珍珠夸克】上传分享，文档一共【6】页，该文档可以免费在线阅读，需要了解更多关于【基于LSTM的CAN总线入侵检测 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。第11卷第3期智能计算机与应用2021年3月

文章编号:2095-2163(2021)03-0038-06中图分类号::A
基于LSTM的CAN总线入侵检测
黄迪,陈凌珊
(上海工程技术大学机械与汽车工程学院,上海201620)
摘要:提出结合CAN矩阵对报文数据场信号的具体定义提取特征训练LSTM网络在多个时间步长上对一些重要的信
,,
号进行预测引入观测值得到预测误差矩阵使用多元高斯分布对误差矩阵建立异常概率模型根据误报率漏报率调整
,。,、
阈值大小得到完整模型后模拟总线攻击并实验验证了模型的精度
。,,。
关键词:CAN总线LSTM异常检测入侵检测车联网
;;;;
CANbusintrusiondetectionbasedonLSTM
HUANGDiCHENLingshan
,
SchoolofMechanicalandAutomotiveEngineeringShanghaiUniversityofEngineeringScienceShanghaiChina
(,,201620,)
AbstractCombiningwiththespecificdefinitionofmessagedatafieldsignalinCANmatrixthepaperextractsfeaturestrains
【】,,
LSTMnetworktopredictsomeimportantsignalsinmultipletimestepsandintroducesobservationvaluetoforecasterrormatrix.
,
Accordingtotheprobabilityoffalsepositiverateandfalsenegativeratethethresholdvalueisadjustedbyusingtheprobability
,

,
verifiedbyexperiments.
KeywordsCANbusLSTManomalydetectionintrusiondetectionintelligentconnectedvehicle
【】;;;;
期都是一个固定值然而近年来为了减轻总线负
0引言,,
载提高报文信息量在发送报文策略方面引入事件
,,
随着智能网联概念和自动驾驶技术的发展当的概念即不同的条件触发不同的发送周期
,,。Kang
代汽车的发展重心已经从传统的动力系统传动总等人[4]把报文数据场按字节作为特征使用
、RBM
成和汽车轻量化转移到汽车电子上汽车电子系统算法训练模型估计异
。(restrictedBoltzmanmachine),
越发地庞大一些传统的机械部件也由电子电气所常的可能性并标记超过阈值的报文为异常报文
,,。
取代且在不断地增加汽车对外界的接口使汽车变等人[5]根据总线上一段时间窗里数据流的统
,,Cortes
得更加地智能化电动化共享化网联化[1]计数据使用支持向量机来识别异常总线上
、、、。OCSVM
在年代就已开发出总线用来解决当的异常行为等人[6]研究基于总线广播
80,CAN。SongCAN
时分布式控制的行业要求甫一问世就因其优秀的的特征分析总线上的时间间隙报文的序列来识别
,,,、
数据传输稳定性多主机的总线结构灵活的总线扩异常等人[7]结合的定义使用机器学
,,。WeberCAN,
展性能以及较高的性价比赢得了汽车市场的认可和习算法从总线流的角度部署了入侵检测系统
。
青睐直至如今国内外的大部分车型依然使用的是等人[8]用预先定义总线广播的平均
,TomlinsonCAN
总线而当时的控制器并未对外界的智能设时间间隙值并结合方法来检测总线上的时
CAN。ARIMA
备提供接口所以总线设计上在网络安全方面间变化等人[9]提出基于总线上不同
,CAN。MarchettiID
就存在明显的不足时下若要发展和普及汽车网报文之间的传输序列的入侵检测算法
。,。
联技术和自动驾驶技术总线的网络安全则亟综上论述可知现有研究主要分析了总线
,CAN,CAN
待获得保障于赫[2]即分析了总线的入侵形的入侵形式以及基于报文或数据场对周期性的
。CAN,ID
式并基于信息熵和决策树的方法设计了入侵检测报文做出检测在机器学习领域把数据场里的数据
,,
系统但基于信息熵的方法只能识别总线上有大量按照单个字节作为特征输入并未考虑总线数据时
,,
异常报文的情况等人[3]根据总线上间上的关联性基于此本文使用多层神经
。MillerCAN。,LSTM
报文的固定周期特性识别异常报文研究中不仅某网络并充分考虑通信矩阵对数据场里信号的
,,,CAN
的发送周期不变且不同报文之间的发送周定义把数据场里不同的信号作为特征提取
ID,ID,CAN,
作者简介:黄迪男硕士研究生主要研究方向车载网络安全
(1995-),,,:。
收稿日期:哈尔滨工业大学主办
学术研究与应用
2020-10-20
第期黄迪等基于的总线入侵检测
3,:LSTMCAN39
以此提高算法的精度减少计算代价报文最大传输个字节的数据
,。8。
循环冗余校验码通过对数据场数
1CAN总线概述(8)CRC,。
据计算出一个码来确保发送端和接收端收到
CRC

。
报文格式接收端收到报文后的应答场
(9)ACK。。
总线有种协议单元格式区别主要在于帧结束比特隐性位标识一帧报
CAN2,(10)EoF。7,
仲裁场的大小对于分析总线的传输特性影响文结束
,CAN。
不大因此这里将基于行业内广泛应用的RTRIDEROEOF
,ISO11898SOFIDDLCDATACRCACK
的报文格式展开论述
。图1报文格式
总线在设计初期的目的是为了减少车辆

线束给分布在汽车不同位置的多个提供通信
、ECU通信矩阵

。CAN,通常通信矩阵是由主机厂和供应商共同
个以广播的形式通信在网络上的所有节点都,CAN
ECU,定义确定的用于描述整车电子系统上各个网段下
可以自由地收发报文当多个同时发送报文,
。ECU不同节点需要在总线上收发什么的报文以及收
时防止报文冲突多是取决于发送报文的仲裁场也ID,
,,发的方式数据场里比特位与信号的映射关系信号
就是大小越小的则有越高的优先权占用总,,
ID,ID的原始值与物理值的映射关系等
线总线共有种不同的报文帧分别为数。
。CAN4,:一个为的报文内容见表由
据帧错误帧远程帧超载帧文中将重点关注正ID0x1211。ESP
、、、。发送周期为数据场长度为个字节
常通信时使用的数据帧研究可知数据帧的基本,20ms,DLC8,
。,在第一个字节的第位至第二个字节的第位长度
结构如图所示由图可知对其中涉及的每一03
1。1,比特的数据场为车速信号此信号的解析方式为
位的功能含义拟做分述如下12,
。原始整形值乘上得到精度为的
,
(1)SoF。,车速物理值第二个字节的第位长度比特的数
示一个报文的开始,71
。据场为车速状态位表征此报文的车速信号是否有
场定义报文的标识以及优先级的,
(2)ID,。ID效为有效为无效还有一些空的数据场
值越小优先级越高,0x0,0x1。
,。没有被使用到
当报文为远程帧的时候置为显性。
(3)RTR。。其他报文也以类似的方式在矩阵里被定
在使用拓展帧的时候置为显性CAN
(4)IDE。。义在总线上接收到报文后可以使用
为保留位。CAN,Vector
(5)R0。。公司的工具载入带有矩阵信息的文件
定义数据场的大小最大为个字节,CANdbc,
(6)DLC。,8。在线解析每个报文里的每个信号
数据场用来传输实际的数据一个。
(7)DATA,。表1CAN通信矩阵

发送节点发送类型实时性位长度信号名称
IDDLC/mssignalvalue
-=INT∗
[0;]km/h
[0x000;0xFFE]
invalid:0xFFF
Init:0x000/Default:0xFFF
:Valid
0x1:Invalid
Init:0x0/Default:0x1
-[0,15]
Init/Default:0x0
-=(Byte1+Byte2...+Byte7)
XOR0xFF
智能计算机与应用第卷
4011

,2。2,
由节研究可知总线是基于报文设计数据有种分布模式蓝色点和红色点在最密集的
,CAN2:,
的通信方式所有节点在总线上接收与自己有关的地方可能性的值最高在边缘的点可能性更低在
,,。
报文获取数据而不会涉及到发送端和接收端的低于某个阈值之后被异常检测算法标识为一个异
ID,
任何信息因此就并不能判断接收到的报文的源头常比如图中在边缘线外的点
,。,2。
进一步地也将无法判断这一条是不是入侵报文
,。
同时在通信里所有报文数据场中的数据都没
CAN,
有经过加密另外在总线增加或减少节点是
。,CAN
非常便利的只是在物理上接入总线并不需要对新
,,
接入的节点进行验证就能在总线上正常收发报文
。
综上总线的不足加上各种对外界的无
CAN,ECU
线接口使得车载网络的网络安全面临严峻的挑战
,。

根据总线的易接入性在车上的自带的诊
CAN,
断接口可以轻易地接入整车车载网络监听总
OBD,图2异常检测
线上的报文由总线的仲裁机制可知越小
,CAN,
有越高的优先级攻击者就可以向总线上以高频率
,
的方式发送高优先级的报文即使没有任何节点接
,对于本文分析的问题总线上的信号通常
收此报文总线也会由于超负载而陷入瘫痪这种攻,CAN
,,有较强的关联性比如挡位信号车速信号和发动机
击模式即称为洪泛攻击,、
。转速信号等因此采用多元高斯分布来分析数据的
除了车上的口可以入侵车载网络现在越。
OBD,可能性分布
来越多的远程接入方式带来更大的隐患比如。d
,4G、研究中假设一个d维的矢量x服从多元
蓝牙等,∈ℝ
5G、WiFi、。高斯分布其概率密度为
另外在接入总线监听了总线上正常的通信后,:
、,NxlμΣ△
将其记录下来再重放到总线上去每个和数据都(,)
,IDé-ù
êT1ê
是正常的但接收端接收到的数据并不符合当前的工d/1/ê-1x-μΣx-μê.
,π212expë()()û(1)
2
况造成安全威胁这种攻击模式被称为回放攻击(2)其中Σμ表示x的d维均值向量Σ表示x变量
,。。,,
更隐秘的攻击方式是先入侵总线上的节点解析dd维对称正定的协方差矩阵
,∗、。
矩阵使节点发送合法的报文而改变数据向量与协方差矩阵对多元高斯分布的影响
CAN,ID,μΣ
场中的内容比如入侵整车上的一个网关通过网关é..ù
。,如图所示μ=[]Σ=ê0503ê通过调整
在总线上发送正确的车速报文和错误的车速信3。0,0,ë..û,
ID0305
息这时如果车辆上有主动安全功能就有可能会引μ和Σ的值可以捕捉数据之间的相关性
,,。
起误报或者触发刹车信号及转向信号这种攻击模
,。
式被称为伪装攻击是一种很难准确检测出来的攻击
,
方式因为除了数据场里的数据不符合当时的工况以
,
外其他特征均与正常报文一致而且与回放攻击比
,,
起来则几乎不会在总线流的角度上产生异常从而
,,
躲过监控总线统计数据的入侵检测系统
。
2异常检测

异常检测是指分析数据在正常情况下的行为特征
,
并能识别不具备这些特征的数据点这些点被称为异常
,。图3二元高斯分布
要识别出异常首先需要分析数据的分布情况
,
第期黄迪等基于的总线入侵检测
3,:LSTMCAN41
代入公式公式到公式得到
3长短期记忆LSTM(2)~(4)(6),LSTM
状态更新数学表达式即
,:
长短期记忆网络是Ct=σWf[ht-xt]+bfCt-+σWi
LSTMrecurrentneural(·1,)∗1(·
中的一种其特点是对数据有长期记[ht-xt]+bihwCht-xt+bC
network(RNN),1,)∗tan(·[1,]),(7)
忆性对一些对历史状态有依赖性的数据预测有较更新完当前长期记忆单元C后激活长期记忆
,t,
好的表现长短期记忆网络的单元结构如图所单元并对其作用输出门提取到与当前时间步相关
。4,
示性强的输出并作为短期记忆单元传递到下一时间
。,
步去
C_th_t:
C_t-1ht=ofC.
tanh()t∗(t)(8)
forget
h_t4实验
σσtanhσ

h_t-1
本文搭建了一个基于的以汽车系统时间
LSTM
x_t上的相关性为基础的总线入侵检测模型图中数
,5
据为国内某款汽车正常行驶状态下的实车总线数据
图4LSTM单元
形式包括时间戳收发信息数据长度数据场
。、、、、ID
场
为了使网络记忆历史数据里的重要信息对未。
,
来的预测以历史条件和输入作为限制做出质量更
,
高的预测中要处理的数据除了当前的外部
。LSTM
输入xt以外还有前一时刻的反馈ht-记
(),(1),
新输入为
:
图5总线数据
Ct=hwCht-xt+bC
^()tan(·[1,]),(2)
其中ht-xt表示当前输入向量与前一时刻
,[1,]通过公司的上位机软件加载
输出向量的拼接向量wC为输入权重矩阵bC为偏vectorCANoe
;;后可以从图的数据中解析出每帧报文的具
移向量DBC5
。体信号的物理值车辆航向角信号物理值如图所
图中Ct是的长期记忆单元包含,6
4,()LSTM,示
了t时段的状态信息Ct-为上一个时间步的。
,(1)
长期记忆单元ht-为上一个时间步的短期记
,(1)
忆单元Xt为当前时间步的输入σ为
,(),sigmoid
层输出之间的值控制遗忘记忆及输出的大
,0~1,、
e
t
小个门都是与ht-及当前输入Xt相关a
r
,3(1)()_
n
o0
的对其内容原理及定义公式可解析分述如下i
t
a
。。t
o
遗忘门数学表达为r
:-
ft=σWfht-xt+bf
(·[1,]),(3)
输入门数学表达为
:-
it=σWiht-xt+
(·[1,]),(4)
输出门数学表达为time
:
图6航向角
ot=σWoht-xt+bo
(·[1,]),(5)
一个在t时间步上对当前长期记忆单元
LSTM由于总线上信号太多为了确保准确率的同时
进行更新要经过步即,
2,:减少计算量文中人工选取了多个重要且不冗余的
Ct=ftCt-+itCt,
∗1∗^,(6)信号作为的输入分别为图中的车速信
对输入的新信息C做选择性记忆对上一时间LSTM,:6
^,号方向盘转角信号加速度信号加速踏板信号制
步长的长期记忆单元做选择性遗忘、、、、
Ct动踏板信号挡位信号发动机扭矩个特征选取
。、、7。
智能计算机与应用第卷
4211
的特征如图所示数据集为个正常行驶工况
7。200real_value

,,LSTM_test
取的采样数据共有维度的时间序
100Hz,200∗
列数据集

。r
u
accelt
a
e
Toquef0
400pedal
vehicle_speed
gear-
300brake
steer-
20002505007501000125015001750
time
100
图8LSTM模型


Time
20
图7选取的特征15

3
e5

将实录的正常数据分为训练集和验-5
85%15%
证集用训练集对模型进行训练并用验证集-10
-15
,LSTM,10


,。

。t
将数据集定义为X=x(1)x(2)...x()...图9误差分布
{,,,,,

x()t时刻的数据点在时间序列上是m维x()
},{1,

x()...xm()为训练模型的m维输入
2,,}LSTM。LSTM


e
。r
u
本文选取个特征因此的输入层为t0
a
e
7,LSTM7f
个单元d为因此的输出层应为个单元
,6,LSTM6,-
隐藏层设为和个单元预测时间长度定为
1530,-
个周期因此在个周期后的每个时刻
100,LSTM50-
输出为的矩阵
6∗100。

,30
的表现见图time
8。
由此得到形状为et的误差张量其中图10注入攻击
(6,100,),
e=表示预测的个特征e=
[0]66,[1]100
间序列上的预测长度e=t表示时间维度其异常检测
,[2]。
中个误差在t时刻分布的可视化如图所示经过上述步骤得到通过正常行驶的数据集训练
,39。

LSTM
异常数据仿真集把异常数据集输入到预测模型得到异常
,LSTM,
考虑到实车入侵的危险性和成本本文的异常数据集的误差张量后使其符合多元高斯分布求得
,,
数据为仿真数据分别对车速发动机转其分布均值向量协方差矩阵和每个误差点对应的
,ID0x121,、
速方向盘转角做仿真伪装报文可能性pe
ID0x10D,ID11F(t)。t
入侵报文攻击整车总线对个不同的报文数据当p()<τ时对应的输入特征x()将会被归为
,3ID
场注入一个突变的异常如图所示异常通过尽可能地最大化Fβ来确定阈
,10。‘’。-score
第期黄迪等基于的总线入侵检测
3,:LSTMCAN43

值τ[2]
。.
本文选用β=.的评价方法来评估模型的性[]:,2016

01[3],
能因为本文讨论的异常检测其正常数据的样本数andcontrolunitsC//
,[]21
远大于异常样本入侵检测的准确率要比查全率重VegasDEFCONCommunicationsInc..
:,,2013:260-264
,
要得多F.-在不同单元数隐藏层下的评估[4],
。
-[],
结果见表e.
2。2016,11(6):0155781
-
[5],-[]
-scoreLearning.
,1995,20(3):273-297

单元数准确率查全率F.[6],,
01-scorebasedontheanalysisoftimeintervalsofCANmessagesforin
-
vehiclenetworkC//internationalconferenceon
15~[]2016

20~(),:
IEEE.
,2016:63-68

5结束语[7],,,
anomalydetectionforautomotiveCANcommunicationC//th
[]9
本文通过先对总线上原始数据解析处理EuropeanCongressonEmbeddedRealTimeSoftwareand

,:,2018:1
后再输入到多层模型对多个特征在多时间.
LSTM,-11

,,[8],,,
tautomotiveCANcyberAttacksbyidentifyingpackettiming
求得其均值向量协方差向量和可能性p()通过-
、。anomaliesintimeWindowsC//thAnnualIEEE/IFIP
[]201848
F.-评价指标确定阈值τ得到一个较高的
01score,,InternationalConferenceonDependableSystemsandNetworks
.
。(-):,2018:231-238

[9],
参考文献messagesthroughanalysisofIDsequencesLosAngeles
(,2017)
C//
[]2017()
[1],,,[]AngelesCAIEEE–.
息安全与通信保密.,:,2017:15771583
,2020(7):106-114
.
上接第页[],2017,54:246-255
(37)
高负荷预测的精度本文提出了含注意力机制的[6],,
,
负荷预测方法模型首先对原始数据进[],2016,36
.
EMD-GRU。(2):399-406

EMD,[7],,,
预测降低了直接对非平稳性负荷数据进行预测带smartgridsusinglongshorttermmemorybasedrecurrentneural
---
,networkC//stAnnualConferenceonInformation
来的误差构建多层网络并加入了机[]201751
;
制深入挖掘当前数据与历史数据在关键时间上的(),,:,2017:
,.
相关性特征进一步提高预测精度使用贵州某地实1-6

,;[8],
.
[],2018,47(1):39-41
.
[9],-[]
,。电力科学与工程.
,2020,36(11):53-57

[10],,,-
.
[],2019,35(8):12-16
[1],,,-
[11],,-
[],2019,43(8):.
.[],2019,43(5):1745-1751
-
[12],,,
[2],,,.
.[],2018,42(12):4045-4052
[],2017,55(2):11-13,
[13],,,--
[3],,.
.[],2020,44(2):593-602
[],2004(2):36-
[14],,,-
[4],荷预测方法J///
[]:1-8[2020-07-28]:
[]/..TH....html.

,2014,30(2):364-
[15],,,-
[5],,,.
decompositionbasedensembledeeplearningforloaddemandtime[],2019,43(12):4370-4376