[发明专利]一种基于深度神经网络的车载CAN总线入侵检测方法及系统

权利要求书

1.一种基于深度神经网络的车载CAN总线入侵检测方法，其特征在于，包括以下步骤：

步骤1，获取CAN报文数据集并对其进行标注处理，得到标注的报文数据集；

步骤2，对所述标注后的报文数据集进行预处理，将报文转化为特征向量，并基于自编码器进行特征处理，得到各报文对应的高维特征向量；

步骤3，搭建分类器，基于自编码器与分类器共同构成报文分类识别模型，训练报文分类识别模型；

步骤4，导出训练后的报文分类识别模型，使用训练后的报文分类识别模型对实时报文数据进行入侵检测。

2.如权利要求1所述的基于深度神经网络的车载CAN总线报文入侵检测方法，其特征在于，所述步骤1中包括以下步骤：

步骤1.1、通过CAN总线分析工具can-utils获取真实CAN日志报文数据，构建报文数据集R；

步骤1.2、对报文数据集R进行标注，得到标注的报文数据集；标注标签包括{0,1,2,3}，0表示正常报文，1表示拒绝服务攻击DoS报文，2表示重放攻击报文，3表示模糊攻击报文。

3.如权利要求1所述的基于深度神经网络的车载CAN总线入侵检测方法，其特征在于，所述步骤2包括以下步骤：

步骤2.1，对步骤1得到的标注报文数据集中的CAN报文进行预处理，得到各报文数据的特征空间d；

步骤2.2，处理报文时序特征，并结合各报文数据的特征空间d，将报文转化为特征向量T；

步骤2.3，将报文的特征向量T标准化后使用自编码器进行特征处理，得到高维特征向量Z，将高维特征向量Z通过解码函数解码得到解码后向量T′。

4.如权利要求3所述的基于深度神经网络的车载CAN总线入侵检测方法，其特征在于，所述步骤2.1还包括：提取CAN ID和数据域，将数据域按字节划分为8个信息字，每个字节8位，以十六进制表示，构建各CAN报文数据的特征空间d，特征空间d包括{CAN ID，信息字1，信息字2，信息字3，信息字4，信息字5，信息字6，信息字7，信息字8}，共计9个维度。

5.如权利要求3或4所述的基于深度神经网络的车载CAN总线入侵检测方法，其特征在于，所述步骤2.2中，处理报文时序特征还包括：提取报文时间标识t_i，计算相同CAN ID报文出现的时间间隔，记为时间间隔Δt_i；结合步骤2.1得到的各报文数据的特征空间，得到报文数据的特征向量T，特征向量T包括11维特征空间，特征空间包括：{CAN ID，信息字1，信息字2，信息字3，信息字4，信息字5，信息字6，信息字7，信息字8，时间标识t_i，时间间隔Δt_i}，将特征标准化后表示为n_a维的特征向量T，本发明中n_a＝11，即T＝{a₁，a₂，……，a₁₁}。

6.如权利要求5所述的基于深度神经网络的车载CAN总线入侵检测方法，其特征在于，所述步骤2.3中，通过自编码器对特征向量T进行处理，得到高维特征向量Z，设输入自编码器的为n_a维的特征向量T，a_i∈T，编码器中的编码函数s_f满足：

其中，s_f为sigmoid激活函数，w为自编码器中隐藏层的权值矩阵，p为第一偏移量，编码函数处理后得到n_z维的高维特征向量Z，z_j∈Z，z_j为高维特征向量Z中的第j个维度对应的数据。