车载网络异常检测的结构化方法
异常检测传感器
No | 传感器 | 描述 |
S-1 | 形式传感器 | 正确的消息大小,标头和字段大小,字段定界符,校验和 |
S-2 | 位置传感器 | 允许有关专用总线系统的消息 |
S-3 | 范围传感器 | 有效载荷在数据范围方面的合规性 |
S-4 | 频率传感器 | 消息的时间属性 |
S-5 | 相关传感器 | 不同总线系统上消息的相关性符合规范 |
S-6 | 协议传感器 | 内部质询响应协议的正确顺序,开始时间等 |
S-7 | 合理性传感器 | 消息有效负载的内容是合理的,与先前的值没有不可行的关联 |
S-8 | 一致性传感器 | 来自多源头的数据是一致的 |
S-1:形式传感器
通过验证分组报头,定界符,字段大小,校验和等来检查每个消息的通信协议的形式正确性。
S-2:位置传感器
数据包在自己的区域,例如动力系统的数据包不能出现在通信系统。
S-3:范围传感器
数据是否保持在允许的边界内。例如,车速> 300km/h的值表示异常。
S-4:频率传感器
检查循环消息之间的间隔是否在定义的上限和下限之内。
S-5:相关传感器
多个消息不限于单个总线系统,而是不同子网中的多个设备同时需要。相关传感器可以验证通常仅在特定子网组合出现的消息是否在自己的区域。
S-6:协议传感器
协议传感器根据协议的规范来监视流量,例如,通过检查是否有人试图篡改协议中消息的顺序。
S-7:合理性传感器
确定消息的语义,并检查数据内容是否真实。例如异常情况,车速从20 km/h变为200km/h,并在没有足够中间值的情况下立即向后移动。
S-8:一致性传感器
与合理性传感器相比,它不限于特定的子网。相反,它可以访问汽车中的各种数据源验证数据的正确性。例如,轮胎旋转传感器显示车辆处于静止状态,而导航系统的GPS传感器指示运动的情况。
检测传感器的适用性
1)AC-1:基于规范:
车载网络具有通信系统的非常严格的规范,包括总线系统上允许的每条消息。 对于CAN,这些规范包含在特定网络的CAN矩阵中。 因此,标准AC-1描述了是否只能借助像CAN矩阵这样的规范才能可靠地确定传感器。 否则,例如,如果需要其他数据源或必须定义攻击模式,则该值为false。 为了集成到车辆中,该标准意味着需要将该规格包括在传感器中,但是不需要其他数据,例如,通过与冗余数据源的布线。
2)AC-2:消息数:
此传感器所需的最小消息数。我们区分一个消息和许多消息(n)。这里的“ 1”始终表示总线系统的标准数量为“ 1”,并使标准AC-4不适用(n.a.)。需要多个消息的传感器通常在性能,内存等方面对硬件有更高的要求。
3)AC-3:总线系统数:
为了执行检测的最小数量,传感器需要访问一些总线系统。我们区分一个和多个总线系统(n)。将传感器集成到车辆中,需要访问多个总线系统更加复杂,并且需要付出更大的努力。多个接入点可以包含在中央网关中,也可以以分布式方式放置。
4)AC-4:不同的消息类型:
如果一种消息类型足以进行检测,则为false;如果需要两种或多种消息类型,则为true。如果标准AC-2为1,用na表示,则不适用在CAN的上下文中,如果两条消息具有相同的标识符,则它们属于同一类型,这意味着该消息所寻址的ECU相同,但是所传输的值可以不一样
5)AC-5:有效载荷检验:
此标准描述了至少要考虑消息有效载荷的至少一部分。此参数值的一个主要含义是,如果该值为true,则传感器只能处理未加密的消息,因为通常无法对加密的有效负载进行读取访问。尽管当前大多数车载网络不使用加密,但这在将来可能是非常重要的方面。通常,基于有效载荷的传感器对异常检测系统提出更高的性能要求,因为需要读取和处理整个有效载荷。
6)AC-6:基于语义:
只有考虑了有效负载,它才可以成立。当执行有效载荷内容的范围检查时,数据的语义才能判断是否相关。
分类
适用性标准可用于组织和构造我们描述的用于检测车辆网络异常的不同传感器。因此,我们确定了两个关键适用性标准,这些标准适用于对异常检测传感器进行分类。根据我们在传感器方面的初步经验,我们将AC-2和AC-5确定为潜在的关键标准,并获得了如图所示的分类。
这两种适用标准都适合用于分类,因为它们不会相互影响,并且可以明确而明确地确定其值。AC-2是一个主要标准,因为事实证明,检测所需的最少消息量会对检测传感器的设计和实现复杂性产生强烈的影响。如果检查数据包的有效载荷,通常对传感器的性能要求会更高。这是一个至关重要的事实,突显了标准AC-5的相关性,因为性能,尤其是其财务影响,是高度成本驱动的汽车行业的关键方面。
图将布置分为四个类别:两个最左边的类是基于数据包的,最右边的两个类是基于流的,因为它们考虑了多个消息。如果我们假设有效载荷检查的复杂性在增加,则可以将类Packet-Inspection和Stream-Inspection视为在汽车领域中的实现和实现具有更高的复杂性。图包括传感器的映射,作为每个类别的示例。因此,例如,如果出现新的技术可能性或将焦点转向另一个车辆总线系统,则可以在稍后补充分类中的传感器列表。
传感器结果的整合
此部分是接收事件的严重性的估计。事件是指至少一个传感器Si识别出异常的情况,这意味着Sit= 1且Sit∈{0,1},其中t决定了时间点,i∈{1,...,n}(当前n = 8)选择传感器类型。通过将事件的严重性分为三类,我们介绍了事件的严重性的基本估计:C = {重要,严重,严重}这些类别允许区分三个基本临界级别,这三个基本临界级别可促进对异常的反应和驾驶员的适当通知。
如果我们定义权重w来确定每个传感器,可以通过以下方式获取时间t时所有传感器的累计重量
基于以下假设,该方程式可用于估计在给定时间点t的事件的严重性,即,假设检测到异常的传感器数量更大以及加权传感器数量更高,则分类会变得更加关键。
在某些情况下,单个异常,例如由电磁兼容性(EMC)干扰引起的特定CAN消息中的校验和不正确,在某种程度上还是可以容忍的,因为通常只会导致错误,消息并由发送方ECU重新传输。不仅影响单个消息,而且网络中的重传百分比急剧增加的情况,被认为更为严重。 因此,我们使用滑动窗口方法将先前的事件包括在评估中,并将Xit定义为直到时间t的大小为SLW的最后一个窗口中传感器Si的所有事件的总和:
我们估计临界度,相对于先前事件确定事件的阈值,并为每个关键性类别C定义阈值T:Timportant
我们将方程式除以全部的算术平均值
权重并适当地调整阈值(用T‘表示),以使阈值与各个权重和传感器数量n分离。 因此,我们收到
这样可以估算出事件在时间t的严重程度。在这里,权重允许平衡不同的传感器类型,并且滑动窗口可确保评估累积情况。 滑动窗口的合理尺寸仍然必须确定。 我们期望严格的较低边界大小是CAN矩阵定义的所有受影响的循环CAN消息的最高循环周期。 但是,滑动窗的最佳尺寸仍然需要通过调查确定和验证。
- 用户评论
