基于支持向量機的CAN-FD網絡異常入侵檢測

羅 峰，胡 強，侯 碩，張 璇

（同濟大學汽車學院，上海201804）

智能化、網聯化、電動化是當今汽車發展的三大趨勢。對于智能網聯汽車來說，信息通信技術是其中的基礎核心技術之一［1］。智能網聯汽車在高速發展背景下，信息安全是其發展道路上不容忽視的一個重要問題。汽車的信息安全問題的關注者正在從研究人員擴大到汽車行業人員、消費者、政府部門等［2-4］。入侵檢測和保護技術可以做到當攻擊發生以后，及時做出反饋和響應，主要的難點在檢測正確率和檢測效率之間的平衡。

針對車載網絡的入侵檢測系統從形式上分為基于電子控制單元（ECU）端的入侵檢測和基于云端的大數據檢測，從方法上分為根據已知攻擊類型的規則匹配檢測和針對未知攻擊類型的異常檢測。在保證準確率的前提下研究適應性較廣的異常檢測算法是一個研究趨勢。以色列特拉維夫大學提出了一種用于車載CAN總線網絡流量的新型域感知異常檢測系統。該異常檢測系統的核心為自動識別數據場的邊界和類型的分類器［5］。檢測采用Greedy算法，在字段長度和字段含義之間進行平衡。韓國梨花女子大學提出了一種利用DNN機器學習算法的新型入侵檢測系統。構建DNN結構的參數使用從車內網絡分組中提取的基于概率的特征向量進行訓練［6］。戴姆勒公司提出了一種基于信息熵的CAN總線異常檢測的方法。通過信息熵檢測方法可以成功識別與車載網絡正常行為的偏差［7］。該方法只需要記錄車載網絡流量作為正常行為的輸入。

在新一代的智能網聯汽車電子電氣架構下，CAN-FD總線將更多的取代傳統的CAN總線的作用。目前針對CAN-FD網絡入侵檢測的核心問題是如何高效而準確地對異常數據進行識別。提出了一種基于支持向量機（Support Vector Machine，SVM）的異常入侵檢測方法。該方法使用報文ID、時間周期和數據場數據作為入侵檢測特征，實現了對CAN-FD網絡環境下異常數據的識別。仿真實驗數據表明，提出的方法針對網絡異常數據具有較高的入侵檢測正確率。此方法可用于周期性和非周期性的CAN-FD報文。

1 入侵檢測系統框架

1.1 CAN-FD總線

在汽車的電子電氣架構中，車載網絡用于信號和數據的傳輸。CAN-FD總線作為一種典型的車載網絡，被廣泛用于動力總成，底盤控制，車身控制和汽車診斷。CAN-FD總線的安全性直接影響車輛的安全性。圖1為一個標準的CAN-FD幀結構圖［8］。

圖1 CAN-FD報文幀結構Fig.1 The structure of CAN-FD bus frame

其中數據字段的最大長度為64個字節，仲裁字段包含CAN-FD消息的標識符ID。CAN-FD總線的仲裁由消息標識符決定，標識符較低的消息比標識符較高的消息具有更高的優先級。CAN-FD總線是一個廣播網絡，連接到同一CAN-FD子網的任何ECU都可以接收所有消息并將消息傳輸到其他ECU。

針對廣播形式通信的CAN-FD總線的攻擊方式主要有竊聽攻擊、重放攻擊、篡改攻擊和DOS攻擊等形式，如圖2所示。正常的CAN-FD總線的數據都具有周期性發送、穩定的數據等特定。當CANFD總線攻擊行為發生時，網絡上會表現出各種異常狀態。

圖2 針對CAN-FD總線的攻擊Fig.2 Attacking on the CAN-FD bus

1.2 入侵檢測系統

數據加密和消息驗證能保證網絡通信過程中的機密性和可信性。當網絡攻擊已經發生時，需要采取進一步的入侵檢測和防御機制，保證網絡通信的可用性。入侵檢測系統可以通過對網絡系統的動態監控，識別典型的攻擊模式，分析異常狀態模式。識別出攻擊源和攻擊方法對快速高效的取證、隔離，安全補丁等措施的執行是十分重要的。

1.3 通用入侵檢測框架模型

通用入侵檢測框架（CIDF）模型將入侵檢測系統需要分析的數據統稱為事件，它可以是網絡中的數據包，也可以是從系統其他途徑得到的信息。該模型中入侵檢測系統由事件產生器、事件分析器、響應單元和事件數據庫組成［9］。將CIDF模型應用于CAN-FD網絡的入侵檢測系統中，如圖3所示。其中數據分析和模式識別的算法是入侵檢測系統中最關鍵的一個環節。

圖3 CAN-FD網絡入侵檢測系統架構Fig.3 The architecture of CAN-FD bus intrusion detection system

2 基于支持向量機的異常檢測

2.1 支持向量機原理

支持向量機是一種基于分類與回歸分析的監督式數據分析學習模型算法。支持向量機使用時需要對給定的訓練組中每一個實例進行標記，并分類為兩個類別。支持向量機的訓練算法將創建一個二元的線性分類器，并具有非概率性。對于給定的新的實例，該模型將會把實例分到兩個類別中的一個。

CAN-FD網絡的狀態數據是高維的，同時可用的入侵攻擊狀態數據小于CAN-FD總線的正常狀態數據。SVM在分類方面具有良好的性能。對于小樣本檢測來說，SVM比神經網絡工作得更好，同時SVM還具有良好的泛化能力。當這些優勢使得SVM適合檢測CAN-FD網絡的異常狀態。

數據樣本各個特征具有不同的分布的取值范圍，通過歸一化將各個維度的特征值映射到相同區間，使得各特征值具有相同量綱，處于同一數量級。

將特征值從一個大范圍映射到［0，1］或者［-1，1］，如果原始值都是正數，則選擇映射到［0，1］，即

式中：a是數據集的某類數值；a*是數據集中a的歸一化值；min是數據集的該類數值的最小值；max是數據集的該類數值的最大值。

2.2 CAN-FD總線異常檢測

分類SVM（C-SVM）用于對CAN-FD子網中的正常消息和異常消息進行分類。SVM模型的輸入向量為CAN-FD報文。在基于SVM的入侵檢測系統中，CAN-FD總線的檢測參數包括消息ID，消息循環周期和消息數據值。其中，對于消息數據值來說，CAN-FD報文的數據場為64個字節。在安全通信模式下，有效的通信數據字節為48個［10］。本文將每個通信數據字節作為一個消息輸入向量。CANFD消息輸入向量x∈R50定義為

式中：T為CAN-FD消息的最近循環周期；ID為CAN-FD消息的標識符；Bn(n=1，...，48)為CANFD消息數據字段中用于數據傳輸的字節值。

CAN-FD子網的流量狀態標簽y∈R定義為

式中：-1代表該消息為異常消息，1代表該消息屬于正常的消息。

C-SVM的約束公式為

式中：ω，b是超平面定義的參數；l是SVM訓練集中的CAN-FD的幀數；ξi(ξi≥0)是松弛系數。

由于CAN-FD總線的特征參數不是線性的，因此需要根據式（5）將CAN-FD流量狀態的原始數據映射到新的空間，即

使用徑向基函數（RBF）作為內核函數K進行數據映射。K由式（6-7）定義如下：

式中，γ是內核函數的預定義參數。

CAN-FD流量狀態(x，y)的訓練集從R50×R映射到Hilbert空間×R為

根據式（9）～式（11）確定超平面(ω·x)+b=0：

式中：C是成本參數。

基于內核函數K，式（9）～式（11）的對偶公式分別為式（12）～式（14），即

參數C和γ的最佳值可以通過使用訓練數據集的網格搜索找到，而C-SVM模型由超平面(ω·x)+b=0唯一的解(ω*，b*)進行定義。其中

SVM的分類過程原理如圖4所示，其中Ns是支持向量ω*的數量。

Ns的數值將會直接影響計算的復雜度和計算時間。對于每個CAN-FD消息，輸出標簽y由SVM模型預測，預測結果如下：

圖4 支持向量機原理Fig.4 Support vector machine

2.3 支持向量機模型訓練

網絡攻擊類型數據庫的完善是入侵檢測非常重要的一部分。攻擊數據的采集存在多種困難，如道路情況的變化，駕駛員個人習慣的差異，車型的變化都會對攻擊數據的有效性產生相應的影響。本文采用CANoe仿真網絡的正常流量和攻擊流量對CSVM模型進行訓練和預測。CAN-FD通信數據包的訓練集是從CANoe模擬的車載網絡環境中收集的，如圖5所示。正常流量是基于報文庫文件生成和調度，模擬實車的網絡執行流量。攻擊流量是在正常流量上隨機生成的異常流量。

圖5 車載CAN-FD網絡仿真環境Fig.5 Simulation environment of CAN-FD networks

其中正常數據用標簽“1”記錄，異常數據記錄標簽為“-1”。訓練配置為檢測CAN-FD消息“Engine_Data”的異常狀態。對于某個CAN-FD消息，消息標識符和幀頻是固定的，因此可以過濾掉消息標識符和幀頻率的異常。在實驗中，模擬攻擊字段是CAN-FD消息的數據字段。

實驗的訓練集中，正常CAN-FD消息的數量是10 920，異常CAN-FD消息的數量是6 000。基于MATLAB的LIBSVM用于模型訓練［11］。訓練集中的數據通過數據歸一化進行優化。x*中的元素縮放范圍為［-1，1］。

預定義參數C和γ會影響SVM模型的檢測精度（Acc）。使用網格搜索為C-SVM找到最佳參數C和γ。訓練交叉驗證準確性的結果如圖6所示。對于這個訓練數據集，最佳log2(C)是5，最佳log2(γ)是-5。

圖6 SVM模型中C和γ交叉驗證的精確度Fig.6 Cross-validation accuracy of C and γ in the SVM model

3 測試結果分析及對比

3.1 數據預測結果

用于測試的CAN-FD流量數據包含正常和異常CAN-FD消息。其中正常CAN-FD消息的數量為4 000，異常CAN-FD消息的數量為2 000。數據場利用率為48個字節中的前8個字節，剩余32個字節的前8個字節類似。

圖7顯示了CAN-FD流量入侵檢測過程中正常CAN-FD消息和異常CAN-FD消息的分布。“○”表示預測為“1”的消息，“*”表示預測為“-1”的消息。圖7a，7b，7c和7d為根據輸入矢量的不同元素的縮放數據的視圖。檢測參數的范圍直接與異常入侵檢測有關。前8個字節數據場中基于不同參數的檢測精度的結果列于表1中。

表1 檢測參數對檢測精度的影響結果Tab.1 Value ranges of training data sets and the detection accuracy of testing sets

通過圖7可以看出：

（1）參數T為一個固定的值，因此具有最好的檢測準確率。當攻擊者使T的值發送變化時，可以很容易被檢測出來。

（2）參數B1的原始數據變化范圍大，單獨使用B1做檢測的準確率較低。

圖7 CAN-FD報文數據集的預測結果Fig.7 Predicting results of CAN-FD messages test datasets

（3）參數B2的原始數據具有分布間距大，植入的數據和參數B1相比，檢測準確率更高。

（4）參數B3的原始數據和B2相比，數據范圍更廣。對于邊緣型的數據，能較好的識別。

（5）參數B4的原始數據與B3類似，但是數據范圍域不同。

（6）參數B5的原始數據和參數B1類似，單獨使用B5做檢測的準確率較低。

（7）參數B6的原始數據和參數B3類似。對于邊緣型的數據，能較好的識別。

（8）參數B7的原始數據和參數B1類似，單獨使用B7做檢測的準確率較低。

（9）參數B8的原始數據和參數B3類似。對于邊緣型的數據，能較好的識別。

對于參數B9，B10，... ，B48的原始數據分布對于檢測準確率的影響，和參數B1，B2，... ，B48之間的關系一致。

3.2 檢測結果分析

原始數據的范圍對檢測的準確率有直接的影響。對于參數T，B1，B2，... ，B8，當攻擊報文的異常數據只篡改單個數據時，基于支持向量機的算法異常檢測準確率如圖8所示。

圖8 單維度數據范圍與預測準確率的變化Fig.8 Changes in single-dimensional data range and prediction accuracy

某個CAN-FD消息的消息標識符和循環周期的正常值是固定的。如果攻擊者僅更改消息標識符ID和循環周期T，則可以檢測到異常狀態。在這種情況下，檢測精度高達95%。

如果攻擊目標在CAN-FD幀上的數據字段上，則檢測精度與值范圍有關。對于某個字節，字節值增加的范圍將導致檢測精度降低。因為正常字節值范圍正在增加，異常字節值范圍正在減小。當攻擊者篡改的數據在多個數據位時，檢測正確率有明顯的提升。

（1）攻擊篡改發生在B1，B5和B7的檢測精度低于 90%，而攻擊內容發生在B2，B3，B4，B6和B8時，檢測的準確性更高。

（2）當攻擊篡改的目標超過一個字節時，異常入侵檢測系統具有更好的性能。檢測準確性在(B1，B2)，(B3，B4)，(B5，B6)，(B7，B8)上超過 90%。

（3）當 攻 擊 篡 改 的 目 標 在 (B1，B2，B3，B4)，(B5，B6，B7，B8)上時，檢測準確性超過 98%。

（4）當攻擊篡改的目標在(B1，B2，B3，B4，B5，B6，B7，B8)上時，檢測準確性超過99%。

通過以上的數據檢測結果可以看出，將支持向量機的異常檢測算法應用于CAN-FD網絡時，具有較高的異常數據檢測正確率，可以應用于入侵檢測系統。根據攻擊篡改的數據不同，檢測準確率能達到為80%或更高。基于支持向量機的C-SVM算法對于CAN-FD網絡的入侵檢測具有有效性。

3.3 入侵檢測方法對比

針對提出的基于SVM模型的入侵檢測算法，表2從檢測準確率、計算性能和其限制條件等方法出發，和部分已知的網絡入侵檢測方法進行對比。相比于其他的入侵檢測方法，本文中利用SVM模型的CAN-FD網絡入侵檢測算法可適用于多種攻擊類型的網絡異常檢測，具有檢測準確率高的特點。同時該方法不需要對網關或者ECU的硬件進行修改，可以有效地降低硬件升級成本。但同時該方法對算法的計算性能要求也相對較高。

表2 入侵檢測方法評估對比Tab.2 Evaluation results of intrusion detection methods

3.4 入侵檢測算法優化

單一維度里的原始數據范圍對于數據異常檢測的正確率有直接的影響。可以考慮通過數據維度劃分的方式，降低CAN-FD報文中單一維度里的數據范圍。根據式（2）中的定義，采用的數據維度劃分方式為基于報文周期、標識位ID和數據字節。由于支持向量機本身對于高維數據不敏感，可以采用多種維度劃分方式。另一種維度劃分方式是通過數據的定義來劃分，使用報文中字節在報文數據文件里的定義，可以降低單一維度的數據變化范圍。

因為方法論的緣故，在異常入侵檢測的攻擊場景未知的情況下，無法避免異常入侵檢測中的錯誤。為了提高入侵檢測系統的性能，可以結合誤用入侵檢測方法和異常入侵檢測方法。出于對網絡性能和ECU計算性能的保護，基于支持向量機的入侵檢測方法更合適應用于遠程服務器的部署。

4 結語

從網絡入侵檢測和保護的角度出發，基于CIDF通用入侵檢測模型建立了CAN-FD入侵檢測架構，并提出了一種基于支持向量機的異常入侵檢測方法。通過參數分析和預測正確率的評估，對CANFD支持向量機的維度劃分方法進行了優化。相比于其他的入侵檢測方法，本文利用SVM模型的CAN-FD網絡入侵檢測算法可適用于多種攻擊類型的網絡異常檢測，具有檢測準確率高的特點。在后續的研究工作中將繼續優化檢測算法的計算資源消耗。