42、汽车控制器局域网入侵检测方法综述

汽车控制器局域网入侵检测方法综述

1. 语义基入侵检测方法

在汽车网络中，CAN 流量承载着代表车辆动态或状态的特定物理意义，基于此发展出了语义基入侵检测方法。

传统方式是基于物理表达式或经验手动构建物理模型。例如，有针对线控刹车系统提出的制动异常检测方法，选择 Brush 轮胎模型作为正常行为模型来描述轮胎与地面的摩擦关系，通过检查驾驶员输入与车载网络实际数据的一致性来观察对线控刹车系统的攻击，同时还考虑了不同天气和路况下轮胎摩擦系数的变化。还有设计了基于环的架构，利用物理模型和经验组织多个相关性，通过精心设计的相关环提高检测的鲁棒性并降低计算开销。

然而，这些传统方法需要对目标系统有深入理解和专业知识，这并非总是可行的。因此，研究人员借助机器学习算法自动构建反映物理规律的模型。因为在正常情况下，多个传感器读数与同一物理现象成正比，所以可以从车载网络的语义流量中生成模型，而无需对控制系统有深入了解。可利用的机器学习算法包括人工神经网络、随机森林回归器、深度自编码器和 CNN 模型等。

下面介绍几种基于机器学习的语义基入侵检测方法：
- 随机森林回归器 ：将异常检测问题表述为机器学习预测问题，通过回归模型解决。首先基于领域知识和成对相关性选择一组相关传感器数据作为回归模型的特征，例如用于计算车辆速度的发动机转速、纵向和横向加速度、刹车踏板比例、转向角度、档位等。在训练阶段，将特征读数输入随机森林回归器训练回归模型；在测试阶段，根据训练好的回归模型连续估计模型的输出值，当观测值与估计值的差异大于预定义阈值时标记为异常。
- 上下文感知入侵检测系统（CAID） ：利用瓶