車聯網入侵檢測技術
CAN總線數據異常檢測分類
CAN總線數據異常檢測方法主要分為基於統計方法、基於規則方法和基於機器學習方法。
-
基於統計的異常檢測是通過統計大量的歷史報文記錄,捕獲CAN數據流量,建立能夠表達其隨機行為的概要模型。原始的方法是基於單變量的概率模型,將其抽象為獨立高斯變量而后發展出多變量模型,考慮多個變量之間的相關性,以及時間序列模型,分析數據隨時間變化的規律。另外,有研究采用基於信息墒的異常檢測方法,越有規律的數據集,其墒越小,而異常數據的墒較大,以此來找出異常點。基於統計的方法的優點是系統無需了解攻擊的先驗件,能夠實時更新並檢測出最新的攻擊行為,並根據之前的數據獲得用戶的正常行為數據。其缺點是基於統計的方法高維數據檢測性能較差,且對於異常閡值的設定會影響檢測性能。
-
基於規則的方法是在已知先驗知識的條件下,對正常數據和異常數據的模式進行人為划分,滿足正常模式的數據即為正常數據。其中包括一種基於ASL的有限狀態機方法,將所需編譯的規則轉換成打一展的有限狀態自動機,以及專家系統的異常檢測。基於規則的方法可以達到較好的分類效果,且魯棒性較高,但是檢測決策的過程異常復雜,檢結論往往取決於專家的業務決策水平和能力,且需要耗費大量的人力。
-
基於機器學習方法是較為常用的異常檢測技術,機器學習是使計算機能模擬人類的學習行為,通過學習獲取新的知識和技能,並對已有的知識結構進行重新架構並完善性能的技術。
- 基於貝葉斯網絡的方法,所需的參數較少,模擬不確定性的處理模型的效果較好,但是其網絡特征變量是依據經驗選取的,如果參數選取不當將造成較大的誤檢率。
- 基於神經網絡模型的方法,神經網絡是生物學上真實人類大腦神經網絡的結構和功能及基本特性經過理論抽象、簡化后構成的一種信息處理系統。基於神經網絡的檢測方法采用創建用戶概要的方法,根據前期已知命令預測未知命令,以此判斷是否出現人侵行為,將其應用於異常檢測中具有自適應能力較強的優點,可進行並行處理且容錯能力較強。
- 基於模糊理論的方法,模糊理論采用了濫用檢測的優點,並沒有嚴格的公式推導,而是一種符合人類思考方式的推導過程,常用於模式識別等場合。模糊理論在端口掃描和探測領域使用效果較好,但它的資源消耗較高。
- 基於遺傳算法的方法是一種啟發式搜索算法,下一代在性能上更優於上一代,反復迭代向着更優解的方向進化,提高了訓練數據和檢測數據性能,缺點是計算開銷較大。基於密度的方法,典型的算法是局部異常因子(L OF)算法,它通過賦予待檢測對象一個表示其異常程度因子的方式,得到該對象相對於其局部鄰域的異常程度,其優點是可以檢測出局部異常數據。
- 基於聚類的方法,典型的算法是K-means算法,它是一種基於樣本間相似性度量的間接聚類方法,屬於非監督學習方法。此外,還有一些其他的方法,諸如單分類支持向量機(One class SVM )孤立森林(Isolation Forest ) 等多種方法對於異常檢測都有較好的性能。
F1 車內CAN總線入侵檢測算法研究_關亞東
F2 機器學習在網絡安全入侵檢測中的應用_吳喬
F3 基於機器學習的車聯網入侵檢測技術的研究與實現_李寧寧
F4 基於機器學習的車載CAN網絡入侵檢測研究_謝滸
基於報文數據特征的CAN總線異常檢測(常用)|
應用的三種機器學習算法:
- Adaboost
- KNN
- SVM
