本發(fā)明涉及can總線流量入侵檢測方法，尤其是涉及一種基于深度嵌入式聚類的can總線流量入侵檢測方法。

背景技術(shù)：

1、當(dāng)前，全球數(shù)字化經(jīng)濟(jì)正處于快速發(fā)展的階段。新一代信息通信技術(shù)與各行各業(yè)不斷融合滲透，推動(dòng)了物聯(lián)網(wǎng)(internet?of?things,iot)、車聯(lián)網(wǎng)(internet?ofvehicles,iov)、工業(yè)物聯(lián)網(wǎng)(industrial?internet?of?things,iiot)等新興產(chǎn)業(yè)的迅速壯大。這些新興產(chǎn)業(yè)的發(fā)展，對傳統(tǒng)產(chǎn)業(yè)如汽車、交通等的數(shù)字化、網(wǎng)絡(luò)化、智能化進(jìn)程起到了有力推動(dòng)作用。同時(shí)，隨著機(jī)器學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)等人工智能技術(shù)的興起，不僅豐富并擴(kuò)展了汽車智能化、網(wǎng)聯(lián)化的發(fā)展前景，而且為車聯(lián)網(wǎng)安全產(chǎn)業(yè)的高質(zhì)量發(fā)展提供了堅(jiān)實(shí)的支撐。

2、目前，平均一輛智能網(wǎng)聯(lián)汽車內(nèi)部具有幾十個(gè)電子控制單元(electroniccontroller?unit,ecu)，高級的智能網(wǎng)聯(lián)汽車的ecu數(shù)量甚至能達(dá)到上百個(gè)。智能網(wǎng)聯(lián)汽車的各個(gè)ecu分別對與其對應(yīng)的的部件進(jìn)行控制。

3、智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)結(jié)構(gòu)主要包括三個(gè)部分：車載網(wǎng)絡(luò)、車載自組織短距離通信網(wǎng)絡(luò)和移動(dòng)遠(yuǎn)程通信網(wǎng)絡(luò)。其中，車載網(wǎng)絡(luò)用于實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車內(nèi)部各個(gè)電子控制單元(electronic?controller?unit,ecu)之間的數(shù)據(jù)傳輸工作。can總線被廣泛應(yīng)用于車載網(wǎng)絡(luò)，是智能網(wǎng)聯(lián)汽車重要的底層控制網(wǎng)絡(luò)，負(fù)責(zé)車載網(wǎng)絡(luò)中電子控制單元之間的數(shù)據(jù)交互，實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車的狀態(tài)信息和控制信息傳遞，具有相當(dāng)高的可靠性，能夠在復(fù)雜、惡劣的工作環(huán)境下提供可靠的通信質(zhì)量。can總線數(shù)據(jù)幀由支持?jǐn)?shù)據(jù)傳輸?shù)钠邆€(gè)字段組成，分別是幀開始(sof)、仲裁字段(can?id)、控制字段(dlc)、有效負(fù)載(data)、循環(huán)冗余碼(crc)、應(yīng)答(ack)和幀結(jié)束(eof)。

4、早期采用can總線實(shí)現(xiàn)的車載網(wǎng)絡(luò)結(jié)構(gòu)簡單，沒有與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互的需求，是一個(gè)相對封閉的網(wǎng)絡(luò)，不存在信息安全問題，因此can總線在設(shè)計(jì)上沒有考慮加入任何信息安全保障機(jī)制，現(xiàn)如今，車載網(wǎng)絡(luò)增加了許多與外部進(jìn)行數(shù)據(jù)交互的接口，導(dǎo)致車載網(wǎng)絡(luò)很容易成為黑客攻擊目標(biāo)，嚴(yán)重影響行車安全。

5、與傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全不同，針對車載網(wǎng)絡(luò)的信息安全增強(qiáng)設(shè)計(jì)受到成本、網(wǎng)絡(luò)帶寬、計(jì)算資源和兼容性等方面的約束，在車載網(wǎng)絡(luò)中部署信息安全機(jī)制需要考慮消息實(shí)時(shí)性和可調(diào)度性的限制。針對車載網(wǎng)絡(luò)面臨的多方面漏洞和潛在網(wǎng)絡(luò)威脅，人們已經(jīng)付出了大量努力來加強(qiáng)其安全防護(hù)體系。一些研究試圖通過引入基于成對對稱秘鑰的數(shù)字簽名來增強(qiáng)can總線的協(xié)議的安全性。然而，數(shù)字簽名會(huì)引入相當(dāng)大的通信開銷，考慮到can總線的帶寬限制在500kbps，這是一個(gè)關(guān)鍵的問題。此外，除了通信開銷之外，在現(xiàn)有智能網(wǎng)聯(lián)汽車的所有設(shè)備中實(shí)施這些變化也是一個(gè)相當(dāng)大的挑戰(zhàn)。因此，需要認(rèn)識到在操作和財(cái)務(wù)約束的領(lǐng)域中，檢測方法成為增強(qiáng)車載網(wǎng)絡(luò)安全性的更實(shí)際和可行的方法。

6、在現(xiàn)有車載網(wǎng)絡(luò)環(huán)境內(nèi)，相關(guān)學(xué)者已經(jīng)在已知特征攻擊的異常檢測研究領(lǐng)域具有較為深入的研究，提出的方法大多是基于監(jiān)督學(xué)習(xí)模型的。但是目前車載網(wǎng)絡(luò)攻擊在不斷地進(jìn)化，難以有效窮盡所有的車載網(wǎng)絡(luò)攻擊行為，同時(shí)攻擊行為的多種多樣，其特征也越來越難以捕捉。面對層出不窮的零日攻擊，僅僅依靠標(biāo)記數(shù)據(jù)是不夠的，這種思路限制了監(jiān)督學(xué)習(xí)模型的學(xué)習(xí)能力。為了應(yīng)對這一挑戰(zhàn)，人們又提出了基于無監(jiān)督模型的can總線流量入侵檢測方法?；跓o監(jiān)督模型的can總線流量入侵檢測方法是通過特征提取模塊將can總線數(shù)據(jù)幀從高維映射到低維，得到低維特征，并通過聚類模塊對低維特征進(jìn)行聚類，得到是否異常的分類結(jié)果，并根據(jù)分類結(jié)果判斷是否存在入侵。但是，現(xiàn)有的基于無監(jiān)督模型的can總線流量入侵檢測方法由于受傳統(tǒng)思維約束的分離訓(xùn)練手段限定，導(dǎo)致其檢測效果不穩(wěn)定；另外，低維特征的學(xué)習(xí)方向是不受約束的，也會(huì)導(dǎo)致檢測結(jié)果不夠穩(wěn)定和可靠。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明所要解決的技術(shù)問題是提供一種穩(wěn)定性和可靠性均較高的基于深度嵌入式聚類的can總線流量入侵檢測方法。

2、本發(fā)明解決上述技術(shù)問題所采用的技術(shù)方案為：一種基于深度嵌入式聚類的can總線流量入侵檢測方法，通過對can總線數(shù)據(jù)進(jìn)行周期性采樣，并對周期性采樣的can總線數(shù)據(jù)進(jìn)行預(yù)處理，得到符合機(jī)器學(xué)習(xí)的基本數(shù)據(jù)格式要求的預(yù)處理數(shù)據(jù)，以便自編碼器進(jìn)行學(xué)習(xí)，然后一方面采用自編碼器對預(yù)處理數(shù)據(jù)進(jìn)行數(shù)據(jù)維度的壓縮，得到低維特征數(shù)據(jù)，另一方面基于預(yù)處理數(shù)據(jù)的數(shù)據(jù)條數(shù)分別構(gòu)建用于表示預(yù)處理數(shù)據(jù)中每條數(shù)據(jù)的隸屬度的隸屬度矩陣和聚類中心的質(zhì)心矩陣，并對隸屬度矩陣以及質(zhì)心矩陣進(jìn)行初始化，得到預(yù)處理數(shù)據(jù)中每條數(shù)據(jù)的隸屬度的初始值以及質(zhì)心矩陣的初始值；接著對自編碼器、隸屬度矩陣和質(zhì)心矩陣進(jìn)行訓(xùn)練，在訓(xùn)練過程中通過構(gòu)建基于熵的嵌入模糊聚類目標(biāo)函數(shù)作為目標(biāo)損失函數(shù)來對隸屬度矩陣到質(zhì)心矩陣的距離和自編碼器進(jìn)行約束，訓(xùn)練完后得到最終的隸屬度矩陣，將最終的隸屬度矩陣中取值小于0.5的隸屬度對應(yīng)的數(shù)據(jù)判斷為正常can總線數(shù)據(jù)，取值大于等于0.5的隸屬度對應(yīng)的數(shù)據(jù)判斷為異常can總線數(shù)據(jù)，如果預(yù)處理數(shù)據(jù)中存在異常can總線數(shù)據(jù)，則判斷發(fā)生了入侵，否則，沒有發(fā)生入侵。

3、對周期性采樣的can總線數(shù)據(jù)進(jìn)行預(yù)處理，得到符合機(jī)器學(xué)習(xí)的基本數(shù)據(jù)格式要求的預(yù)處理數(shù)據(jù)的具體過程為：

4、步驟1、將每個(gè)周期采樣得到的can總線數(shù)據(jù)中包括的報(bào)文條數(shù)記為m條，m為大于等于100的整數(shù)，選擇每條報(bào)文中的時(shí)間戳、can?id、數(shù)據(jù)長度碼dlc和8字節(jié)數(shù)據(jù)字段data[0]-data[7]；

5、步驟2、對m條報(bào)文分別進(jìn)行更新，得到m條中間報(bào)文，具體為：

6、s2.1、計(jì)算每條報(bào)文與其前一條報(bào)文的時(shí)間戳之差的絕對值，以及與其后一條報(bào)文的時(shí)間戳之差的絕對值，采用得到的兩個(gè)絕對值的平均值更新該條報(bào)文的時(shí)間戳，如果該條報(bào)文為當(dāng)前采樣周期采樣得到的第一條報(bào)文，則其前一條報(bào)文的時(shí)間戳取值與其時(shí)間戳相等，如果該條報(bào)文為當(dāng)前采樣周期采樣得到的最后一條報(bào)文，則其后一條報(bào)文的時(shí)間戳取值與其時(shí)間戳相等；

7、s2.2、將每條報(bào)文的特征的8字節(jié)數(shù)據(jù)字段data[0]-data[7]分割為8個(gè)block，如果8字節(jié)數(shù)據(jù)字段data[0]-data[7]不足8字節(jié),則以前導(dǎo)0作為填充后進(jìn)行分割；每個(gè)block包含兩個(gè)16進(jìn)制值，將每個(gè)block的兩個(gè)十六進(jìn)制值均轉(zhuǎn)換為十進(jìn)制值；此時(shí)每條報(bào)文更新完成，更新后的每條報(bào)文均為一條中間報(bào)文，每條中間報(bào)文的時(shí)間戳、can?id、數(shù)據(jù)長度碼dlc和8個(gè)block分別為該中間報(bào)文的的特征，即每個(gè)中間報(bào)文具有11個(gè)特征；

8、步驟3、預(yù)處理數(shù)據(jù)的構(gòu)建過程如下所示：

9、s3.1、將m條中間報(bào)文中，從時(shí)間戳最近的一條中間報(bào)文開始，每n條中間報(bào)文按構(gòu)建一條長度為n的報(bào)文流，直至得到個(gè)長度為n的報(bào)文流，其中n取值為10或100，為向下取整符號；按照構(gòu)建先后順序，將第i個(gè)報(bào)文流記為每個(gè)報(bào)文流中，每個(gè)中間報(bào)文的的每個(gè)特征分別為該報(bào)文流的一個(gè)特征，將每個(gè)報(bào)文流具有的特征數(shù)量記為n，n＝11*n，采用公式(1)將stream(mi)表示為：

10、stream(mi)＝mi(t1)，mi(t2)，mi(t3)，?…，mi(tn)?(1)

11、公式(1)中，mi(ta),為第i個(gè)報(bào)文流stream(mi)的第a個(gè)特征，a＝1,2,…，n；

12、s3.2、計(jì)算第i個(gè)報(bào)文流stream(mi)的n個(gè)特征的平均值μn和標(biāo)準(zhǔn)差σn：

13、

14、s3.3、采用公式(4)得到第i條報(bào)文流stream(mi)的預(yù)處理數(shù)據(jù)流zi：

15、

16、s3.4、第1條報(bào)文流stream(m1)的預(yù)處理數(shù)據(jù)流z1至第k條報(bào)文流stream(mk)的預(yù)處理數(shù)據(jù)流zk構(gòu)成符合機(jī)器學(xué)習(xí)的基本數(shù)據(jù)格式要求的預(yù)處理數(shù)據(jù)，

17、對自編碼器、隸屬度矩陣和質(zhì)心矩陣進(jìn)行訓(xùn)練，在訓(xùn)練過程中通過構(gòu)建基于熵的嵌入模糊聚類目標(biāo)函數(shù)作為損失函數(shù)來對隸屬度矩陣到質(zhì)心矩陣的距離和自編碼器進(jìn)行約束，訓(xùn)練完后得到最終的隸屬度矩陣的具體過程為：

18、s3.1將第1條報(bào)文流stream(m1)的預(yù)處理數(shù)據(jù)流z1至第k條報(bào)文流stream(mk)的預(yù)處理數(shù)據(jù)流zk輸入自編碼器中，使用基于熵的嵌入模糊聚類的目標(biāo)損失函數(shù)進(jìn)行約束并反向傳播，對自編碼器進(jìn)行其權(quán)重和偏置的參數(shù)更新，更新完成得到最終的隸屬度矩陣，其中目標(biāo)損失函數(shù)如公式(5)所示：

19、

20、其中θ＝{w,b,u,c}，w表示自編碼器的權(quán)重，b表示自編碼器的偏置，u表示隸屬度矩陣，c表示質(zhì)心矩陣，表示為求目標(biāo)損失函數(shù)在θ上的最小值，表示為取兩個(gè)向量距離的平方范數(shù)符號，log為對數(shù)符號，xi是對zi的潛在表示，從自編碼器的潛在空間中提取得到，是輸出的重構(gòu)表示，cj表示質(zhì)心矩陣的質(zhì)心，c取值為質(zhì)心個(gè)數(shù)，一般取為2，uij表示u的第i行第j列的元素，第一項(xiàng)表示重構(gòu)誤差(re)，第二項(xiàng)表示模糊聚類的損失，第三項(xiàng)表示熵正則化項(xiàng)；系數(shù)λ1,λ2,λ3用于權(quán)衡目標(biāo)損失函數(shù)中的損失項(xiàng)，其中λ1＝[1,10,100,1000,10000,100000],λ2＝[0.1,1,10,100],λ3＝[0.1,0.01,0.001,0.0001]；f(uij)采用對uij使用softmax函數(shù)計(jì)算得到。

21、與現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)點(diǎn)在于通過對can總線數(shù)據(jù)進(jìn)行周期性采樣，并對周期性采樣的can總線數(shù)據(jù)進(jìn)行預(yù)處理，得到符合機(jī)器學(xué)習(xí)的基本數(shù)據(jù)格式要求的預(yù)處理數(shù)據(jù)，以便自編碼器進(jìn)行學(xué)習(xí)，然后一方面采用自編碼器對預(yù)處理數(shù)據(jù)進(jìn)行數(shù)據(jù)維度的壓縮，得到低維特征數(shù)據(jù)，另一方面基于預(yù)處理數(shù)據(jù)的數(shù)據(jù)條數(shù)分別構(gòu)建用于表示預(yù)處理數(shù)據(jù)中每條數(shù)據(jù)的隸屬度的隸屬度矩陣和聚類中心的質(zhì)心矩陣，并對隸屬度矩陣以及質(zhì)心矩陣進(jìn)行初始化，得到預(yù)處理數(shù)據(jù)中每條數(shù)據(jù)的隸屬度的初始值以及質(zhì)心矩陣的初始值；接著對自編碼器、隸屬度矩陣和質(zhì)心矩陣進(jìn)行訓(xùn)練，在訓(xùn)練過程中通過構(gòu)建基于熵的嵌入模糊聚類目標(biāo)函數(shù)作為損失函數(shù)來對隸屬度矩陣到質(zhì)心矩陣的距離和自編碼器進(jìn)行約束，訓(xùn)練完后得到最終的隸屬度矩陣，將最終的隸屬度矩陣中取值小于0.5的隸屬度對應(yīng)的數(shù)據(jù)判斷為正常can總線數(shù)據(jù)，取值大于等于0.5的隸屬度對應(yīng)的數(shù)據(jù)判斷為異常can總線數(shù)據(jù)，如果預(yù)處理數(shù)據(jù)中存在異常can總線數(shù)據(jù)，則判斷發(fā)生了入侵，否則，沒有發(fā)生入侵，由此，本發(fā)明將自編碼器和深度聚類相結(jié)合，并在訓(xùn)練過程中構(gòu)建基于熵的嵌入模糊聚類目標(biāo)函數(shù)作為目標(biāo)損失函數(shù)來對隸屬度矩陣到質(zhì)心矩陣的距離和自編碼器進(jìn)行約束，保證得到的最終的隸屬度矩陣的精確度較高，再基于最終的隸屬度矩陣確定是否入侵，穩(wěn)定性和可靠性均較高。