基于SOEKS的车载电子信息系统入侵检测方法与实现

摘要

本发明属于知识工程与车辆网络通信及其安全技术领域，公开了一种基于SOEKS的车载电子信息系统入侵检测方法与实现，车载CAN总线安全网关设置有主控模块包括：微处理器、外部存储器；外部存储器用于存储经验集知识结构数据经验集知识结构；入侵检测方法包括：利用已训练好的经验集知识结构对所有总线上的数据进行处理分析，在处理分析过程中不断使用经验集中的规则及约束条件进行判断当前信息是否正确、有效；若分析结果中某节点值的变化偏离正常范围或者多个节点间的关联关系远远偏离正常范围，检测到该汽车受到入侵。本发明如果发现异常数据，会及时通知驾驶员，以防汽车出现危险行驶行为，保证驾驶人的人身财产安全。

说明书

技术领域

本发明属于知识工程与车辆网络通信及其信息安全技术领域，尤其涉及一种基于SOEKS的车载电子信息系统入侵检测方法与实现。

背景技术

目前，汽车已成为大多数人的日常代步工具，在性能一样的标准下，大多数汽车厂商开始追求汽车的娱乐性，汽车功能也越来越丰富，但同时也带来了一些潜在的安全威胁。近些年，汽车被攻击的事件报道的越来越多，2015年8月全球最大的黑客大会DEFCON展示了许多汽车攻击过程。另外JEEP汽车破解事件的两位黑客Charlie Miller和Chris Valasek，就是选择了从JEEP的娱乐系统入手，再控制汽车的刹车等紧要器件，导致2015年7月克莱斯勒公司在美国大规模召回140万辆Jeep。可以看出，当前，汽车信息安全的重要性。

目前保证安全的主要方式就是信息加密和入侵检测技术，但是由于汽车网络内部空间有限且对时效性的要求，而难以采用信息加密技术。入侵检测是一种积极主动地安全防护技术，在汽车网络中，主要是通过对CAN总线网络中若干关键信息的收集和分析，从中发现网络是否被攻击，并对攻击行为做出相应的提示，以保证驾驶人的人身财产安全。

综上所述，现有技术存在的问题是：

目前在一些文献中给出了实时攻击检测方法，但针对汽车车载电子信息系统的攻击实时检测方法，由于计算量大，实现较困难，且通用性差，无法适用于不同类型的汽车车载电子信息系统攻击检测，本发明在经验集知识结构(Set of Experience KnowledgeStructure，SOEKS)中结合决策基因(Decisional DNA，DDNA)有效地进行知识表示和管理，建立一个通用的攻击检测模型，适用于所有类型汽车车载电子信息系统，并且实现简单，容易形成相关产品。

发明内容

针对现有技术存在的问题，本发明提供了一种基于SOEKS的车载电子信息系统入侵检测方法与实现。

本发明首先针对汽车车载电子信息系统的入侵攻击行为，利用经验集知识结构(Set ofExperience Knowledge Structure，SOEKS)中结合决策基因(Decisional DNA，DDNA)有效地进行知识表示和管理，建立一个通用的攻击检测模型。该模型利用SOEKS的四个基本组件：变量、约束、规则和功能，其中变量组件(参看上文所描述的各元素)使用属性值语言表示知识，用于推理最优状态，建立目标变量之间的联系；约束组件与变量组件连接，用于对可能性的限制，在决策问题中限制可行解决方案，以及限制汽车车载电子信息系统目标方面表现的因素；规则组件与变量组件连接，用于在变量组件之间表达转换的条件关系；功能组件与变量组件连接，用于提供计算第i种数据包实际出现概率p_i＝C_i/∑C_i和计算实际检测数据的信息熵值h＝-∑p_ilogp_i；其中，P_i表示第i种数据包的一个检测周期内的理论出现概率；h表示一个检测周期内数据的理论信息熵值；C_i表示第i种数据包在一个检测周期内出现的次数。

通过SOEKS建立模型后，利用车载电子信息系统CAN总线数据进行训练，获得初始化预置参数。建立一个车载电子信息系统根据CAN总线数据报文进行入侵检测的主控模块。主控模块包括两个部分：(1)微处理器是用于不同CAN总线间的数据处理及转发；(2)外部存储器与微处理器连接，它是用于存储经验集知识结构数据。

本发明提供的一种车载CAN总线安全网关的车载入侵检测方法，包括：

利用已训练好的经验集知识结构对所有总线上的数据进行处理分析，在处理分析过程中不断使用经验集中的规则及约束条件进行判断当前信息是否正确、有效；若分析结果中某节点值的变化偏离正常范围或者多个节点间的关联关系远远偏离正常范围，检测到该车载受到入侵。

进一步，所述车载CAN总线安全网关的车载入侵检测方法包括：

利用经验集知识结构的报文结构进行预处理，根据经验集知识结构的四个组件:约束、变量、规则、功能；将车载电子信息系统中一个检测周期T作为约束组件中的元素；将一个检测周期内第i种数据包的理论出现概率Pi，一个检测周期内数据的理论信息熵值H，一个检测周期内第i种数据包的出现次数Ci，一个检测周期内第i种数据包的实际出现概率pi，一个检测周期内数据的实际信息熵值记为h，一个检测周期内第i种数据包的出现的误差ei，以及一个检测周期内数据的信息熵值误差ed作为变量组件中的各个元素；

将以下条件组件:If|Pi-pi|≤|ei|then Normal、If|Pi-pi|>|ei|then Error、If|H-h|≤|ed|then Normal、If|H-h|>|ed|then Error作为规则；

并设置功能组件:pi＝Ci/∑Ci、h＝-∑pilogpi，以形成一个完整的经验集知识结构模型，将这些组件中不同的元素作为完整的经验集知识结构模型的不同输入数据。

进一步，所述车载CAN总线安全网关的车载入侵检测方法还包括：利用车载电子信息系统CAN总线的正常报文数据对经验集知识结构的变量组件、规则组件、功能组件、约束组件中的各个元素进行训练，获得初始化预置参数；

微处理器根据检测周期T实时采集汽车车载电子信息系统CAN总线的报文数据，并将报文数据包传入已建立好的经验集知识结构模型，根据功能函数pi＝Ci/∑Ci、h＝-∑pilogpi分别计算出pi和h，最后运行规则判断pi、h是否满足规则中的条件，并给出汽车是否正常或受到攻击的检测结果。

本发明的优点及积极效果为：

由于汽车的电子信息系统内部结构较复杂，不同厂商生产的车型不同，数据格式不统一，导致研制的安全产品无法通用。本发明的优点：利用决策基因(Decisional DNA，DDNA)中的经验集知识结构(Set of Experience Knowledge Structure，SOEKS)可以有效地进行知识表示，通过决策基因知识表示的四种基本组件(变量(variables)、功能(functions)、限制(constraints)和规则(rules))的定义，即可对各类知识进行明确的、标准化的表示和进行有效的管理，可以建立通用的汽车信息系统安全模型；任何汽车都可以利用该通用汽车信息系统安全模型，结合汽车CAN总线的数据进行入侵检测判断。这样可以解决由于不同厂商生产的车型不同，数据格式不统一，导致研制的安全产品无法通用的问题。

附图说明

图1是本发明实施例提供的汽车入侵检测方法流程图。

图2是本发明实施例提供的经验集知识结构示意图。

图3是本发明实施例提供的车载电子信息系统CAN总线安全网关硬件结构图。

图中：1、高速CAN网络接口模块；2、主控模块；3、低速CAN网络接口模块；4、第一CAN网络；5、第一CAN网络收发器；6、第一CAN网络控制模块；7、微处理器；8、外部存储器；9、第二CAN网络；10、第二CAN网络收发器；11、第二CAN网络控制模块。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明提供的汽车入侵检测方法及车载CAN总线安全网关，当汽车在驾驶过程中，如果出现一些异常数据，会及时通知驾驶员，以防汽车出现危险行驶行为，保证驾驶人的人身财产安全。

下面结合附图对本发明的应用原理作详细描述。

本发明实施例提供的车载CAN总线安全网关，该车载CAN总线安全网关不仅能够实现传统车载网关高速CAN与低速CAN两个子网间的连接还能够实现子网间数据帧的检测和过滤并判断出汽车是否遭受攻击。入侵检测的原理是在网关主控CPU中添加已训练好的经验集知识结构(Set of Experience Knowledge Structure,SOEKS)，运用已经训练好的知识对所有总线上的数据进行处理分析，在处理分析过程中不断使用经验集中的规则及约束条件进行判断当前信息是否正确、有效。正常情况下，一个驾驶动作会引起许多节点的变化，单个节点的变化是符合一定规律的，且各节点之间存在着一种关联关系，若发现分析结果中某节点值的变化偏离正常范围或者多个节点间的关联关系远远偏离正常范围，那么表示为该车受到入侵。

本发明实施例提供的车载CAN总线安全网关，设置有主控模块；所述主控模块包括：

微处理器，用于网络间的数据处理及转发；

外部存储器，与微处理器连接，用于存储经验集知识结构数据；

所述经验集知识结构包括：

变量组件，使用属性值语言表示知识；用于推理最优状态，建立目标变量之间的联系；

约束组件，与变量组件连接，用于对可能性的限制，在决策问题中限制可行解决方案，以及限制汽车车载电子信息系统目标方面表现的因素；

规则组件，与变量组件连接，用于在变量组件之间表达转换的条件关系，功能组件，与变量组件连接，用于提供计算数据包i实际出现概率p_i＝C_i/∑C_i和计算实际检测数据的信息熵值h＝-∑p_ilogp_i；其中，P_i表示数据包i的一个检测周期内的理论出现概率；h表示一个检测周期内数据的理论信息熵值；C_i表示数据包i在一个检测周期内出现的次数。

如图1所示，本发明实施例提供的车载CAN总线安全网关的车载入侵检测方法，利用已训练好的经验集知识结构对所有总线上的数据进行处理分析，在处理分析过程中不断使用经验集中的规则及约束条件进行判断当前信息是否正确、有效；若分析结果中某节点值的变化偏离正常范围或者多个节点间的关联关系远远偏离正常范围，检测到该车载受到入侵。

所述车载CAN总线安全网关的车载入侵检测方法中，利用经验集知识结构(如图2)的报文结构进行预处理，根据经验集知识结构的四个组件:约束、变量、规则、功能；将车载电子信息系统中一个检测周期T作为约束组件中的元素；将一个检测周期内第i种数据包的理论出现概率Pi，一个检测周期内数据的理论信息熵值H，一个检测周期内第i种数据包的出现次数Ci，一个检测周期内第i种数据包的实际出现概率pi，一个检测周期内数据的实际信息熵值记为h，一个检测周期内第i种数据包的出现的误差ei，以及一个检测周期内数据的信息熵值误差ed作为变量组件中的各个元素；

将以下条件组件:If|Pi-pi|≤|ei|then Normal、If|Pi-pi|>|ei|then Error、If|H-h|≤|ed|then Normal、If|H-h|>|ed|then Error作为规则；

并设置功能组件:pi＝Ci/∑Ci、h＝-∑pilogpi，以形成一个完整的经验集知识结构模型，将这些组件中不同的元素作为完整的经验集知识结构模型的不同输入数据。

所述车载CAN总线安全网关的车载入侵检测方法还包括：利用车载电子信息系统CAN总线的正常报文数据对经验集知识结构的变量组件、规则组件、功能组件、约束组件中的各个元素进行训练，获得初始化预置参数；

微处理器根据检测周期T实时采集汽车车载电子信息系统CAN总线的报文数据，并将报文数据包传入已建立好的经验集知识结构模型，根据功能函数pi＝Ci/∑Ci、h＝-∑pilogpi分别计算出pi和h，最后运行规则判断pi、h是否满足规则中的条件，并给出汽车是否正常或受到攻击的检测结果。

如图3所示，本发明实施例提供的车载CAN总线安全网关具有入侵检测方法的车载CAN总线安全网关，分别为高速CAN网络接口模块1、主控模块2、低速CAN网络接口模块3，其中高速CAN网络接口模块1包含第一CAN网络4、第一CAN网络收发器5、第一CAN网络控制模块6；主控模块2包括一个进行数据处理及转发的微处理器7、用于经验集数据存储的外部存储器8；低速CAN网络接口模块3包含第二CAN网络9、第二CAN网络收发器10、第二CAN网络控制模块11。

其中微处理器7用于子网间数据转发，同时对CAN总线的数据进行分析，外部数据寄存器8用于存储经验集知识结构数据的基本组件(包括变量(variables)，功能(functions)，约束(constraints)和规则(rules))。变量通常涉及使用属性值语言(即通过变量和值的向量)表示知识；功能可以用于推理最优状态，建立目标变量之间的联系；约束是对可能性的限制，在决策问题中限制可行解决方案，以及限制系统在其目标方面的表现的因素；规则是在变量之间表达关系的另一种形式，是变量在经验集知识结构中转换的条件关系，规则是由语句IF-THEN-ELSE连接的条件与结果之间的关系。

下面结合具体分析对本发明作进一步描述。

本发明实施例提供的微处理器7得到数据，以毫秒为单位，将一个数据帧内的数据进行综合处理，用经验集知识结构来表示，判断出该数据帧是否符合已经训练好的经验集(包括数据帧前后的关联性，以及数据帧所包含的数值大小是否符合规范)，若不符合既定经验，则判断为非法。入侵检测分析流程如图1所示。

对于汽车内部较为繁多的数据，决策基因(Decisional DNA，DDNA)中的经验集知识结构(Set of Experience Knowledge Structure，SOEKS)可以有效地进行知识表示，通过决策基因知识表示的四种基本组件(变量(variables)、功能(functions)、限制(constraints)和规则(rules))的定义，即可对各类知识进行明确的、标准化的表示和进行有效的管理。该技术在机器人学、工程创新和数据挖掘方面都有着较大的应用前景。DNA可进行信息的长期存储，DNA片段所组成的遗传信息则称之为基因，同样，决策性基因与经验集知识结构结合也可以有效的进行知识的发掘，存储和应用。

下面结合经验集知识结构对本发明作进一步描述。

经验集知识结构是一种基于现有和可用知识的模型，它必须根据构建的决策事件进行调整(即,它是一种依赖于正式决策事件提供信息的动态结构)。四个基本组件围绕着决策事件，并存储在由经验集(Set of Experience)组成的动态结构组合中。这四个组件是变量(variables)组件，功能(functions)组件，约束(constraints)组件和规则(rules)组件；如图2。

变量通常涉及使用属性值语言(即通过变量和值的向量)表示知识；功能可以用于推理最优状态，建立目标变量之间的联系；约束是对可能性的限制，在决策问题中限制可行解决方案，以及限制系统在其目标方面的表现的因素；规则是在变量之间表达关系的另一种形式，是变量在经验集知识结构中转换的条件关系，规则是由语句IF-THEN-ELSE连接的条件与结果之间的关系。

总之，经验集知识结构是变量，功能，约束和规则的组合，它们被独特地组合以表示正式的决策事件。可以根据效率收集，分类和组织多套经验，将其分组成染色体。染色体是一组经验集，可以构成特定领域的决策策略。最后，一组染色体包含了所谓的决定性DNA。

经分析发现多数汽车CAN总线数据具有严格的周期性，报文出现的概率是有规律可循的，因此，本发明引入经验集知识结构针对报文的规律性进行攻击检测。根据经验集知识结构对报文结构的预处理，形成完整的经验集，最后，通过已经检测和训练好的基于经验集知识结构的经验集进行入侵检测，判断是否存在攻击行为。

存在n种数据包的CAN总线入侵检测的经验集知识结构定义如下表：

表1约束表

表2变量表

表3规则表

表4功能表

经验集知识表示需要较大的存储空间，因此本发明在硬件设计上，选择了一个微处理器处理及转发数据，一个存储器来存储经验集数据，这样在不影响网关转换性能的前提下，实现了入侵检测功能。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。