46、汽车信息物理系统中的实时入侵检测

汽车信息物理系统中的实时入侵检测

1. 引言

在汽车信息物理系统中，实时入侵检测至关重要。本文将介绍一种名为INDRA的入侵检测系统（IDS），并详细阐述其工作原理、实验设置、性能评估等内容。

2. INDRA IDS基础原理

2.1 入侵分数（IS）与消息入侵分数（MIS）

INDRA利用入侵分数（IS）来判断信号是否异常。当信号模式在训练阶段未被模型见过时，IS值较大；反之则较小。由于数据集缺乏信号级别的攻击标签信息，INDRA通过计算消息中信号的最大IS值，将信号级别的IS信息合并为消息级别的IS（MIS），公式如下：
[MIS = \max (IS_1, IS_2, \cdots, IS_m)]

2.2 入侵阈值（IT）选择

为了实现足够的检测精度，选择合适的入侵阈值（IT）来标记消息至关重要。INDRA使用训练阶段的最佳模型（运行验证损失最低的模型），记录多个指标，如最大值、均值、中位数、99.99%、99.9%、99%和90%的验证损失，作为IT的潜在选择。

2.3 INDRA IDS工作示例

以一个包含三个信号的消息在0到50时间内遭受平台攻击为例，图11展示了INDRA IDS的内部工作情况。图11a对比了输入（真实）信号值和IDS预测的信号值，攻击区间用红色突出显示。可以观察到，除了攻击区间外，大多数时间内信号的重建值与真实值接近。图11b描绘了三个信号的信号入侵分数，黑色虚线代表入侵阈值（IT）。在这个例子中，信号3的入侵分数在整个攻击区间内都高于IT，这清楚地表明INDRA能够检测到此类攻击。

3. 实验设置 <