基於機器學習的車載CAN網絡入侵檢測方法研究

一、項目的基本內容，項目研究的目的，國內外研究現狀、水平和發展趨勢，本研究達到的科學技術水平和預期社會經濟效益

• 項目基本內容

  • 通過分析CAN網絡的各種特性，其中包含電器特性、通信原理、協議類型以及安全隱患。總結出可能發生在汽車中的來自外部和內部的攻擊手段。

  • 通過對CAN網絡數據的發送頻率特性檢測和數據相關性檢測，得出ECU發送數據的頻率與當前車輛狀態之間的關系和ECU數據之間的隱藏關系，利用神經網絡對其進行檢測判斷當前CAN 是否存在入侵威脅。

  • 通過測量CAN總線上CANH和CANL電壓獲取消息ID值，采用機器學習的方法進行特征提取，獲得ACK閾值，應用最小二乘(RLS)算法識別威脅攻擊。

• 項目研究目的

  ​ 本項目的研究目的是實現基於機器學習的車載CAN網絡入侵檢測系統。該系統包含了對CAN網絡數據包的發送頻率特性檢測和CAN網絡數據包關聯性檢測，利用神經網絡技術進行入侵檢測，判斷當前數據的安全性。利用最小二乘算法等自適應信號處理機制，進行電壓信號測量以及預處理，應用機器學習的相關算法來進行特征提取，判斷遭受攻擊的ECU。

• 國內外研究現狀、水平和發展趨勢

  智能網聯汽車信息安全在其概念提出之初就受到了廣泛的關注，目前已成為網絡安全領域的研究熱點之一。 針對目前車載網絡、智能汽車所存在的安全問題以及需求，國內外研究者提出了相應的安全防護技術和解決方案。

  • 國外研究現狀

    在2013年美國Defcon黑客大會上兩位開發者查理.米勒和克里斯.瓦拉賽克首次公開了如何攻擊豐田普銳斯和福特翼虎汽車的控制系統。2015年的Defcon大會，二人展示了用筆記本在幾英里之外的地方控制-輛JeepCherokee汽車，讓克萊斯勒公司不得不選擇通過召回來修復安全漏洞。2016 年的黑客安全技術大會上，兩位黑客對Jeep自由光下手，用筆記本連接車上的OBD (On-Board Diagnostic車載診斷系統)接口去破解車輛，成功入侵控制了車輛的轉向與剎車裝置。兩位博士的研究震驚了整個汽車行業，針對車載CAN總線信息安全的研究逐漸發展起來。
    國外學者對車載CAN總線信息安全起步較早，研究主要從3個方面:基於數據加密和網關認證的研究、基於系統入侵和異常檢測的研究、基於 整體安全框架的研究。
    1)基於數據加密和網關認證的研究: Groa 等提出一系列輕型廣 播認證協議，針 對車載CAN總線安全問題進行了多個方面的研究工作，如EPSB並驗證了這些協議在ECU節點數目比較少的場景下的可用性，Wolf等人提出一種由網關分發證書進行設備認證的方法，為每個控制單元頒發網關的證書進行認證，相互完成認證的控制單元在進行數據傳輸的時候將接受對方的對稱加密密鑰，從而進行數據的加密傳輸。
    2)基於系統入侵和異常檢測的研究:HyunMinSong等提出了CAN消息的時間間隔分析，一個輕量級的車輛網絡入侵檢測算法，該系統可以成功地檢測亳秒內消息注入攻擊。Michael Muter 提出車載網絡異常檢測的結構化方法，基於典型的車輛網絡的性能，如控制器區域網絡，組異常檢測傳感器被引入，它允許在車輛的操作過程中進行識別，而不會導致誤報。
    3)基於整體安全框架的研究:Mundhenk等人討論了基於概率模型的汽車安全架構分析，可以量化安全性，每個元素保密性，完整性和可用性。P Kleberger等人提出基於協同檢測算法的車載安全體系框架，有利於實現車載網絡與安全機制的融合構建口。

  • 國內研究現狀

    目前，國內對智能網聯汽車的研究起步較晚，對於智能網聯汽車信息安全的研究成果較少。最有代表性的是於赫等提出車載CAN總線網絡安全問題及異常檢測方法，通過計算CAN總線上不同標識符報文出現的概率，可以得到當前CAN總線的信息熵。對正常狀態下的CAN總線網絡信息熵值進行標定作為異常檢測的基線，並通過減少攻擊時間窗口給出檢測閾值。之后於赫又提出基於決策樹的CAN總線異常檢測方法，針對每種不同標識符的CAN報文的數據，使用CART決策樹模型生成決策樹得到判斷閾值，使用閾值判斷的方式給出異常報文錯誤位置。

  • 縱觀國內外對智能網聯汽車研究雖然已經取得一定的成果，但是仍然處於初步研究階段，缺乏統一的理論體系指導，而且大多停留在對算法模型研究的基礎上，沒有統一的標准划分，對於解決智能網聯汽車總線信息安全還有一定的局限性。

  • 近些年來，對網聯汽車信息安全的研究逐漸成為熱點，車內網絡作為車聯網系統必不可少的一環，圍繞其進行的攻防研究也越來越受關注，許多公司和個人相繼投入這一領域，通過CAN總線工具開發、汽車ECU破解、通信協議解析、汽車漏洞挖掘等技術發現車載網絡中的漏洞，促進車聯網安全的不斷發展。

• 本研究達到的科學技術水平

  ​ 本項目完成預期研究目標與任務后，擬提交以下主要最終成果：公開發表反映本項目主要研究成果的專題性學術論文1篇。

• 預期的社會經濟效益

  ​ 近些年，國內外對網聯汽車的安全問題的研究逐漸成為熱點，越來越多的人投入到對車載網絡的信息安全研究當中。

  ​ 隨着汽車電子控制單元數量和復雜度的不斷增加，汽車與外部環境的信息交互日益頻繁，越來越多的信息安全問題暴露出來，通過對車載網絡入侵檢測的研究可以避免汽車受到黑客攻擊導致汽車失控而影響到用戶的生命安全。

  ​ 本研究旨在實現基於機器學習的車載CAN網絡入侵檢測系統，通過機器學習的相關算法提高對車載CAN網絡威脅檢測的效率，降低入侵檢測的誤報率和漏報率，為車載CAN網絡安全的發展打下基礎。

二、項目的研究思路和方法，技術路線、實驗方案及可行性分析（包括過去的研究工作基礎、現有條件）

• 項目研究思路和方法

• 技術路線

  • 探討CAN 總線的工作原理以及各種特性。其中包括 CAN 總線的電氣特性、CAN 數據包格式和 CAN網絡數據傳輸原理協議類型以及安全隱患。總結出可能發生在汽車中的來自外部和內部的攻擊手段。

  • 探討入侵檢測系統的總體目標、功能需求、非功能需求等。

​ 圖1入侵檢測系統結構圖

• 在需求分析的基礎上，對基於神經網絡的車載CAN網絡入侵檢測模型的框架設計和實現，對其中的各個模塊之間的關系進行研究。

​ 圖2 基於機器學習的車載CAN總線入侵檢測系統的框架設計圖

• 針對於框架中各個模塊的具體功能和職責，進行較為具體的探討。然后對系統的數據捕獲模塊、預處理模塊、入侵檢測模塊和入侵響應模塊等主要功能模塊進行詳細設計。其中入侵檢測模塊包括數據發送頻率特性檢測模塊和數據相關性檢測模塊。

• 通過對CAN網絡數據的發送頻率特性檢測和數據相關性檢測，得出ECU發送數據的頻率與當前車輛狀態之間的關系和ECU數據之間的隱藏關系，利用神經網絡對其進行檢測判斷當前CAN 是否存在入侵威脅。通過測量CAN總線上CANH和CANL電壓獲取消息ID值，采用機器學習的方法進行特征提取，應用自適應信號處理方法，獲得ACK閾值，最后系統識別威脅攻擊。

• 給出數據結構，選取實驗數據對系統進行訓練和學習。

• 對入侵檢測系統進行測試，訓練后的系統對試驗數據包進行檢測，獲得試驗結果。參考入侵檢測中常用的准確率、誤報率和漏報率三個指標通過實驗論證系統的有效性和實用性。

• 實驗方案

  1. 整體階段分析
  2. 首先進行前期知識技能儲備
  3. 建立簡單的入侵檢測模型，並進行優化
  4. 探索將神經網絡相關算法應用入侵檢測系統中
  5. 采集CAN總線上電壓信號，獲得ACK閾值利用RLS算法識別攻擊威脅
  6. 對系統進行實驗驗證，是否達到預期目的
  7. 對入侵檢測模型調整和優化，再次進行驗證

三、項目的實際應用價值和現實意義

• 實際應用價值：

  研究車載CAN網絡入侵檢測系統實際應用價值在於：

  • 一、由於通信缺乏加密和訪問控制機制，可被攻擊者逆向總線通信協議，從而分析出汽車控制指令用於攻擊指令偽造，通過入侵檢測可以判斷是否存在入侵威脅並進行分類，從而近一步應對網絡中的攻擊；

  • 二、由於通信缺乏認證及消息校驗機制，不能對攻擊者偽造、篡改的異常消息進行識別和預警。鑒於CAN 總線的特性，攻擊者可通過物理侵入或遠程侵入的方式實施消息偽造、拒絕服務、重放等攻擊，需要通過入侵檢測來進行近一步的安全隔離，確保智能網聯汽車內部 CAN 網絡不被非法入侵。

• 現實意義：

  現在的汽車都配有大量電子設備，除了基本的電控、媒體系統，還有智能化的高級輔助駕駛系統，如自動啟停、泊車、ALL系統，更有可與手機等智能設備連接的信息娛樂系統等，這些系統都會從車載CAN總線網絡獲取數據。隨着車載移動通信技術和計算機網絡的發展，特別是近年來隨着車聯網、智能汽車、無人駕駛、智能交通等概念的提出，使得汽車外部網絡與汽車的信息交互日益頻繁。網聯汽車是將汽車與互聯網、汽車與智能交通基礎設施、汽車與汽車、汽車與車載網絡連接在一起，打破彼此之間的信息屏障，形成一個融合網絡。

  得益於這個融合網絡，使得汽車擁有更加豐富的車載信息系統應用(例如智能導航、智能停車等)。這些功能使得車輛外部接口類型不斷增多，同時也使得黑客攻擊路徑也不斷增多一旦黑客入侵這些系統並能夠成功連接到車內CAN總線網絡，即意味着駕駛者可能己經喪失了汽車的控制權。這使得解決車載網絡信息安全隱患迫在眉睫。

  由於車載網關將汽車內部網絡與外部網絡連接在一起，在一定程將車載內部網絡暴露在外面，給了黑客入侵的入口。因此車載網絡信息安全問題不僅要解決來自汽車外部網絡的安全隱患，更需要利用入侵檢測檢測系統來避免和解決來自汽車內部網絡的安全隱患。

四、年度研究計划及預期進展最終預期研究成果，有助於理解、評審的現有技術和參考文獻檢索目錄

• 年度研究計划

  

• 預期研究成果

  1. 設計一個基於機器學習的車載CAN網絡入侵檢測系統；
  2. 在相關的期刊或者會議上發表論文一篇；

• 參考文獻

  [1]Weijian Fang,Xiaoling Tan,Dominic Wilbur. Application of intrusion detection technology in network safety based on machine learning[J]. Elsevier Ltd,2020,124.

  [2]謝瀟雨. 基於卷積神經網絡的入侵檢測模型研究[D].南京郵電大學,2019.

  [3]Antonios Andreatos,Vassilios Moussas. A Novel Intrusion Detection System Based on Neural Networks[J]. EDP Sciences,2019,292.

  [4]董琛. 車輛CAN總線入侵檢測系統的研究與實現[D].北京交通大學,2019.

  [5]關亞東. 車內CAN總線入侵檢測算法研究[D].哈爾濱工業大學,2019.

  [6]吳貽淮. 基於神經網絡的車載CAN網絡入侵檢測系統的研究[D].成都信息工程大學,2018.

  [7]曾凡. 網聯汽車入侵檢測系統的研究與實現[D].電子科技大學,2018.