一種基于相關分析的車載網絡異常檢測方法及系統，方法包括：采集車輛行駛過程中的通信數據；所述通信數據包括消息ID、消息報文內容及消息發(fā)生時間；使用已建立的預測模型預測輸出對應字節(jié)序的報文值，判斷預測的報文值與實際的報文值之間的偏差是否超過檢測閾值，如果超過，判斷消息存在異常；所述預測模型基于車輛行駛過程中通信數據之間的相關關系分組建立；所述預測模型的輸入為所述相關關系分組中的一個或多個消息ID字節(jié)序對應的報文值，所述預測模型的輸出為所述相關關系分組中的其他消息ID字節(jié)序對應的報文值。本發(fā)明分析原始報文數據間的相關性，利用神經網絡建立報文字節(jié)內容預測模型，可實時檢測出不符合車輛正常行駛狀態(tài)的惡意數據注入攻擊。

技術領域

本發(fā)明涉及車輛數據安全領域，特別是一種基于相關分析的車載網絡異常檢測方法及系統。

背景技術

由于CAN協議的廣播性和缺乏安全性特點，攻擊者很容易在總線上注入惡意消息。車載網絡安全問題已引起廣泛關注，已有人提出各種各樣的技術和相應的解決方案。針對惡意消息的異常檢測，目前主要有兩種解決方法。一種方法是通過物理變量異常檢測來發(fā)現網絡異常消息，這種方法需要知曉物理變量存儲的位置和方式，即需要總線通信協議內容或者對總線進行逆向工程，若通信協議或逆向數據遭到泄露，會增加車輛總線通信遭受攻擊的風險。另一種方法是通過分類法進行檢測，這種方法不需要了解總線通信協議，但建立的檢測模型受模擬訓練的異常數據影響較大，只能檢測到非正常數據內容的篡改或插入攻擊，無法檢測插入總線內部的屬于正常數據范圍內但違背行駛狀態(tài)邏輯的非法數據。

發(fā)明內容

本發(fā)明的主要目的在于提出一種基于相關分析的車載網絡異常檢測方法及系統，通過分析原始報文數據間的相關性，利用神經網絡建立報文字節(jié)內容預測模型，可實時檢測出不符合車輛正常行駛狀態(tài)的惡意數據注入。

本發(fā)明采用如下技術方案：

一方面，本發(fā)明一種基于相關分析的車載網絡異常檢測方法，包括：

采集車輛行駛過程中的通信數據；所述通信數據包括消息ID、消息報文內容及消息發(fā)生時間；

使用已建立的預測模型預測輸出對應字節(jié)序的報文值，判斷預測的報文值與實際的報文值之間的偏差是否超過檢測閾值，如果超過，判斷消息存在異常；所述預測模型基于車輛行駛過程中通信數據之間的相關關系分組建立；所述預測模型的輸入為所述相關關系分組中的一個或多個消息ID字節(jié)序對應的報文值，所述預測模型的輸出為所述相關關系分組中的其他消息ID字節(jié)序對應的報文值。

優(yōu)選的，所述預測模型的建立方法包括：

采集相同車型車輛行駛過程中的通信數據；

計算漢明距，分析漢明距數據，剔除報文內容沒有變化的消息ID及消息ID中報文內容沒有變化字節(jié)；記錄報文內容有變化的消息ID和對應的字節(jié)序；

針對記錄的消息ID，對消息事件發(fā)生時間進行歸一化處理，按相近時刻對不同消息ID的事件時間進行配對處理，分別計算其中各個字節(jié)對的相關系數，提取相關系數絕對值大于預設值的字節(jié)對，標記為相關關系分組；所述接近時刻包括相同時刻或預設范圍內的時刻；

對各相關關系分組中的報文數據按時間序列用LSTM神經網絡進行訓練，建立各相關關系分組的預測模型。

優(yōu)選的，計算漢明距，分析漢明距數據，剔除報文內容沒有變化的消息ID及消息ID中報文內容沒有變化字節(jié)；記錄報文內容有變化的消息ID和對應的字節(jié)序，具體包括：

按消息ID匯總統計總字節(jié)數的漢明距之和，計算出包括最大值、最小值、中位數、下四分位數和上四分位數的指標值；若各項指標值都為0或者都相等，則表明該消息ID所有字節(jié)報文內容無變化，則剔除該消息ID；