本发明涉及车辆安全检测技术领域,具体涉及一种车辆入侵检测方法及装置。
背景技术:
车载can总线安全对车辆正常行驶至关重要。当前,can风险在于,缺乏有效的can通信加密和访问控制机制。鉴于can总线的特性,攻击者可通过物理侵入或远程侵入的方式实施消息伪造、拒绝服务、重放等攻击;攻击者可逆向总线通信协议,分析出汽车控制指令,伪造合法的can报文;其次,缺乏认证及消息校验机制,车辆控制系统不能对攻击者伪造、篡改的异常消息进行识别和预警。
技术实现要素:
为了克服现有技术存在的缺陷与不足,本发明提供一种车辆入侵检测方法及装置,本发明基于can数据几何形状进行入侵检测,检测速度快,满足车辆行驶过程中can报文的持续交付,能够实时地对车辆进行检测。
为了达到上述目的,本发明采用以下技术方案:
本发明提供一种车辆入侵检测方法,包括下述步骤:
采集车辆运行过程中车载can总线上的高维can数据;
基于流形距离核的谱聚类算法将高维can数据进行分簇;
采用非线性流形学习方法获得各数据簇的检测数据低维流形;
在模拟正常行驶环境中采集can数据,构建正常数据集并训练得到标准低维流形;
依据车辆特征,所述检测数据低维流形与标准低维流形在三维空间中进行对比,判断车辆是否发生入侵事件。
作为优选的技术方案,所述采集车辆运行过程中车载can总线上的高维can数据,所述高维can数据以数据帧的连续字节对作为数据分析单位,选取数据帧中的数据域连续的两个字节为连续字节对,所述连续字节对对应车辆状态参数。
作为优选的技术方案,所述基于流形距离核的谱聚类算法将高维can数据进行分簇,具体步骤包括:针对输入样本集,以流形距离核构建相似矩阵,构建邻接矩阵w和度矩阵d,获得拉普拉斯矩阵l=d-w,采用ncut切图后采用k均值聚类获得分簇。
作为优选的技术方案,所述分簇的步骤中,加入规范字节对与实际簇一起分簇,所述规范字节对表示确定车辆信息的字节对,用于标记各个簇的车辆信息,所述实际簇表示从车辆中获取的未知车辆信息的字节对簇。
作为优选的技术方案,所述构建正常数据集并训练得到标准低维流形,具体步骤包括:can数据帧提取出idfield和datafield中的字节对,构造数据集进行降维,将低维向量构造为hausdorff空间,将满足设定条件的拓扑流形作为标准低维流形。
作为优选的技术方案,所述判断车辆是否发生入侵事件,具体步骤包括:
根据检测数据低维流形与标准低维流形在三维空间中数据特征几何形状的相似度,设置相似度限定值,所述相似度小于相似度限定值时,判定为车辆发生入侵事件。
本发明还提供一种车辆入侵检测装置,包括:数据采集器和入侵检测器。所述数据采集器用于采集车辆运行过程中车载can总线上的高维can数据;
所述入侵检测器包括:处理器模块、传感模块和无线通信模块;
所述传感模块用于感应车辆是否进入检测范围;
所述无线通信模块用于传输车辆can报文;
所述处理器模块用于将高维can数据进行分簇,输出各数据簇的检测数据低维流形,将检测数据低维流形与标准低维流形对比,判断车辆是否发生入侵事件。
作为优选的技术方案,所述入侵检测器还设有功耗管理模块,所述功耗管理模块用于动态调整系统运行,在待检测状态,将处理器模块和无线通信模块设置为休眠状态,当传感模块检测到有车辆通过时,唤醒处于休眠状态的处理器模块和无线通信模块,入侵检测器接收车辆发送的can报文;
处理器模块监测入侵检测器负载状况,当负载高于限值时,无线通信模块向相邻入侵检测器交互负载信息,并按距离选取轻负载入侵检测器作为负载转发目的地,当负载低于限值时,结束转发过程,等待下一次负荷过载。
作为优选的技术方案,所述数据采集器部署在车辆上,所述入侵检测器以分布式节点形式部署于路面,节点相互链接。
作为优选的技术方案,所述传感模块包括环形线圈和接线盒,所述环形线圈设于路面下,所述环形线圈与接线盒连接,所述接线盒将信号传输至处理器模块。
本发明与现有技术相比,具有如下优点和有益效果:
(1)本发明采用数据驱动,不需要对车辆的硬件进行改动,且基于can数据几何形状进行入侵检测,适用各种车辆,有很强的扩展性。
(2)本发明的检测速度快,满足车辆行驶过程中can报文的持续交付,能够实时地对车辆进行检测。
(3)本发明在低功耗检测器方面,采用高速、低功耗的tja1042can收发器采集can数据,同时利用系统功耗的动态管理,报文的单字节过滤以及检测过程负载均衡来有效降低入侵检测器的功耗,当检测器出现故障时,入侵检测器具有较强的鲁棒性。
附图说明
图1为本实施例车辆入侵检测方法的流程示意图;
图2为本实施例检测数据低维流形与标准低维流形在三维空间中的数据几何形状拟合度示意图;
图3为本实施例车辆入侵检测装置的结构框图;
图4为本实施例车辆入侵检测装置的具体应用场景示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例
如图1所示,本实施例提供一种车辆入侵检测方法,包括下述步骤:
s1:采集车辆运行过程中can总线上的高维can数据,本实施例高维can数据的采集方式为由高速、低功耗的tja1042can收发器自动、持续采集,采集到的can数据是以数据帧的连续字节对作为数据分析单位,本实施例数据帧中的数据域由0~8个字节构成,选取数据帧datafield中连续的两个字节为连续字节对,不同车辆厂商对字节对的定义不同,本实施例以字节对对应的车辆状态参数来进行分析,同时can数据是高维、时序的;
s2:运用基于流形距离核的谱聚类算法将高维can数据进行分簇;
分簇过程以流形距离代替传统谱聚类算法中的欧式距离,流形距离表示如下:
dsp(xi,xj)是xi和xj之间的最短路径距离,d(pk,pk 1)是xi到xj最短路径上任意相邻两点的欧氏距离,对于输入样本集,以流形距离核构建相似矩阵,继而构建邻接矩阵w和度矩阵d,获得拉普拉斯矩阵l=d-w,使用ncut切图后用k均值聚类(k-means)获得分簇。
本实施例的分簇方法借助流形距离能够使同一个流形结构中数据对相似度提高,不同流形结构中数据对相似度降低,满足聚类全局性的目的。
为了确定各个簇所表示的车辆信息,通过加入规范字节对与实际簇一起分簇。规范字节对指的是确定车辆信息的字节对,实际簇指的是从车辆中获取的未知车辆信息的字节对簇,规范字节对来标记各个簇的车辆信息;
s3:利用非线性流形学习方法获得各数据簇的检测数据低维流形;
s4:在模拟正常行驶环境中采集can数据,构建正常数据集并训练得到标准低维流形;
正常数据集训练出来的低维流形是指对正常行驶环境中实时采集的的can数据帧提取出idfield和datafield中的特定字节对,构造数据集进行降维,将低维向量构造为hausdorff空间,如果这个空间的任何向量元素,都存在开邻域与欧式空间中的开子集同胚,那么这个拓扑流形就是标准低维流形。根据各个车型的can协议的不同,各车辆供应商通过训练在正常行驶的环境中所获得数据集,获得各车型标准低维流形,并将其存至入侵检测器,本实施例的正常数据集指的是正常行驶环境下获得的数据集,检测数据集为车辆实际行驶环境中获得的数据集。
s5:将检测获得的低维流形与正常数据集训练出来的低维流形依据车辆特征在三维空间中进行对比,判断车辆是否发生入侵事件。
根据检测数据低维流形与标准低维流形在三维空间中数据特征几何形状的相似度,若所述相似度小于所设阈值,则确定发生车辆入侵事件,相似度在宏观上表现为形状的相似程度,在微观上表现为数据点的拟合程度,通过数据低维流形和标准低维流形在微观上各数据点对应的数据相近程度计算得出相似度;
相似度为检测数据低维流形与标准低维流形在三维空间中的数据几何形状拟合度,阈值为检测数据低维流形与标准低维流形在三维空间中的数据几何形状的相似度限定值,该阈值为90%,当车辆发生入侵时,数据流形将产生变化,如在某位置产生跳跃,因而与标准流形产生不相似的地方,从而判断发生车辆入侵检测事件。
如图2所示,检测数据低维流形在某位置发生了产生了大的跳跃,与标准流形的相似度小于90%,因而判断发生入侵;
如图3、图4所示,本实施例还提供一种车辆入侵检测装置,包括数据采集器和入侵检测器;
数据采集器用于采集车辆运行过程中can总线上报文数据;入侵检测器用于将can数据的低维流形与标准低维流形对比,确定车辆是否发生入侵事件。
如图3所示,入侵检测器包括:处理器模块、传感模块、功耗管理模块和无线通信模块,传感模块、功耗管理模块和无线通信模块均与处理器模块连接,入侵检测器通过无线通信模块接收车辆发送来的车辆can报文,由处理器模块对报文进行检测,确定车辆是否发生车辆入侵事件;
在本实施例中,处理器模块负责协调和管理入侵检测器工作并检测can报文判断是否发生车辆入侵事件,传感模块负责感应车辆,功耗管理模块负责动态调整系统运行,无线通信模块负责接收和发送数据,在本实施例中,tja1042can收发器是在车辆上接收can总线上的can数据,无线通信模块则是在检测器上接收从车辆上传入的can数据。
如图4所示,本实施例的低功耗入侵检测装置应用于5g车联网环境下,数据采集器和入侵检测器是分离的,数据采集器部署于车辆上,采集车辆can总线上报文数据,入侵检测器以分布式节点形式部署于路面,节点相互链接;入侵检测器结合5g基站以分布式节点形式部署于路面,根据传感范围以及通信距离,入侵检测器之间的距离为400米至500米。
在本实施例中,部署于车内的数据采集器将采集到的can报文利用车载t-box设备发送至入侵检测器,车载t-box设备以智能网联汽车直联通信频段5905-5925mhz向路面检测器发送can报文,入侵检测器只接收该频段范围的数据;
在本实施例中,传感模块包括环形线圈、接线盒和传输电缆,检测车辆时,将多个环形线圈埋于路面下,线头接入接线盒,信号由传输电缆送入入侵检测器,负责感应车辆是否进入检测范围,传感模块检测车辆进入检测范围后则由无线通信模块进行数据通信。
入侵检测器通过系统功耗动态管理达到低功耗要求。传统的路面节点保持处理器和无线通信唤醒模式,实时接收处理信息并进行处理,然而在整个功耗消耗中处理器和通信会消耗大多数的功耗,因而有必要对检测器中处理器处理和通信传输进行低功耗管理,通过引入休眠,降低处理器和通信功耗,达到低功耗的目标,在正常情况下,处理器模块和无线通信模块处于休眠状态,仅当传感模块检测到有车辆通过时,唤醒处理器模块和无线通信模块,入侵检测器接收车辆发送的can报文。
入侵检测器通过负载均衡技术达到低功耗要求,处理器模块监测入侵检测器负载状况,当负载高于限值时,无线通信模块向相邻入侵检测器交互负载信息,并按距离选取轻负载入侵检测器作为负载转发目的地;当负载低于限值时,结束转发过程,等待下一次负荷过载的到来,以此有效均衡整个网络的功耗。在此过程中,负载均衡触发限值取决于5g密集基站网络中处理器模块在标准工况和理想整体吞吐率下服务的车辆数。
数据采集器通过数据预处理达到低功耗要求,入侵检测方法以can数据帧的连续字节对作为分析单位,数据采集器将过滤掉单字节的can报文,以减少can报文数据量,降低通信数据传输量。
入侵检测器检测can报文确定车辆是否发生车辆入侵事时件时,若车辆发生入侵事件,检测器将会通过5g基站通知车辆供应商车辆已被入侵,并将异常can报文发送至车辆供应商,本实施例以5905-5925mhz频段实时反馈车辆;
入侵检测器检测can报文确定车辆是否发生车辆入侵事件时,若入侵检测器出现故障或无法检测can报文,入侵检测器将会以5905-5925mhz频段发送当前报文至邻近入侵检测器,实时为车辆进行检测,保证入侵检测系统的鲁棒性。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
1.一种车辆入侵检测方法,其特征在于,包括下述步骤:
采集车辆运行过程中车载can总线上的高维can数据;
基于流形距离核的谱聚类算法将高维can数据进行分簇;
采用非线性流形学习方法获得各数据簇的检测数据低维流形;
在模拟正常行驶环境中采集can数据,构建正常数据集并训练得到标准低维流形;
依据车辆特征,所述检测数据低维流形与标准低维流形在三维空间中进行对比,判断车辆是否发生入侵事件。
2.根据权利要求1所述的车辆入侵检测方法,其特征在于,所述采集车辆运行过程中车载can总线上的高维can数据,所述高维can数据以数据帧的连续字节对作为数据分析单位,选取数据帧中的数据域连续的两个字节为连续字节对,所述连续字节对对应车辆状态参数。
3.根据权利要求1所述的车辆入侵检测方法,其特征在于,所述基于流形距离核的谱聚类算法将高维can数据进行分簇,具体步骤包括:针对输入样本集,以流形距离核构建相似矩阵,构建邻接矩阵w和度矩阵d,获得拉普拉斯矩阵l=d-w,采用ncut切图后采用k均值聚类获得分簇。
4.根据权利要求1或3所述的车辆入侵检测方法,其特征在于,所述分簇的步骤中,加入规范字节对与实际簇一起分簇,所述规范字节对表示确定车辆信息的字节对,用于标记各个簇的车辆信息,所述实际簇表示从车辆中获取的未知车辆信息的字节对簇。
5.根据权利要求1所述的车辆入侵检测方法,其特征在于,所述构建正常数据集并训练得到标准低维流形,具体步骤包括:can数据帧提取出idfield和datafield中的字节对,构造数据集进行降维,将低维向量构造为hausdorff空间,将满足设定条件的拓扑流形作为标准低维流形。
6.根据权利要求1所述的车辆入侵检测方法,其特征在于,所述判断车辆是否发生入侵事件,具体步骤包括:
根据检测数据低维流形与标准低维流形在三维空间中数据特征几何形状的相似度,设置相似度限定值,所述相似度小于相似度限定值时,判定为车辆发生入侵事件。
7.一种车辆入侵检测装置,其特征在于,包括:数据采集器和入侵检测器。所述数据采集器用于采集车辆运行过程中车载can总线上的高维can数据;
所述入侵检测器包括:处理器模块、传感模块和无线通信模块;
所述传感模块用于感应车辆是否进入检测范围;
所述无线通信模块用于传输车辆can报文;
所述处理器模块用于将高维can数据进行分簇,输出各数据簇的检测数据低维流形,将检测数据低维流形与标准低维流形对比,判断车辆是否发生入侵事件。
8.根据权利要求7所述的车辆入侵检测装置,其特征在于,所述入侵检测器还设有功耗管理模块,所述功耗管理模块用于动态调整系统运行,在待检测状态,将处理器模块和无线通信模块设置为休眠状态,当传感模块检测到有车辆通过时,唤醒处于休眠状态的处理器模块和无线通信模块,入侵检测器接收车辆发送的can报文;
处理器模块监测入侵检测器负载状况,当负载高于限值时,无线通信模块向相邻入侵检测器交互负载信息,并按距离选取轻负载入侵检测器作为负载转发目的地,当负载低于限值时,结束转发过程,等待下一次负荷过载。
9.根据权利要求7所述的车辆入侵检测装置,其特征在于,所述数据采集器部署在车辆上,所述入侵检测器以分布式节点形式部署于路面,节点相互链接。
10.根据权利要求7所述的车辆入侵检测装置,其特征在于,所述传感模块包括环形线圈和接线盒,所述环形线圈设于路面下,所述环形线圈与接线盒连接,所述接线盒将信号传输至处理器模块。
技术总结