基于支持向量机的CAN-FD网络异常入侵检测

罗峰，胡强，侯硕，张璇; LUO Feng; HU Qiang; HOU Shuo; ZHANG Xuan

网刊加载中。。。

使用Chrome浏览器效果最佳，继续浏览，你可能不会看到最佳的展示效果，

确定继续浏览么?

复制成功，请在其他浏览器进行阅读

基于支持向量机的CAN⁃FD网络异常入侵检测 PDF

- ORCID：
罗峰
- ORCID：
胡强
- ORCID：
侯硕
- ORCID：
张璇

同济大学汽车学院，上海 201804

中图分类号： U463.67

最近更新：2020-12-31

DOI：10.11908/j.issn.0253-374x.20004

摘要

针对汽车潜在的网络攻击行为，对于车载灵活数据速率控制器局域网络（CAN-FD）提出了一种基于支持向量机的异常入侵检测算法。在通用入侵检测框架（CIDF）下，该方法使用报文标识符（ID）、时间周期和数据场数据作为入侵检测特征，利用支持向量机算法的二分类特性和小样本特征，实现了对CAN-FD网络环境下入侵报文数据的识别。仿真实验数据表明，所提出的方法具有较高的入侵检测正确率，且可用于周期性报文和非周期性报文。

关键词

网络安全; 灵活数据速率控制器局域网络; 入侵检测; 支持向量机

智能化、网联化、电动化是当今汽车发展的三大趋势。对于智能网联汽车来说，信息通信技术是其中的基础核心技术之一^［

1］。智能网联汽车在高速发展背景下，信息安全是其发展道路上不容忽视的一个重要问题。汽车的信息安全问题的关注者正在从研究人员扩大到汽车行业人员、消费者、政府部门等^{［参考文献 2-4}2-4］。入侵检测和保护技术可以做到当攻击发生以后，及时做出反馈和响应，主要的难点在检测正确率和检测效率之间的平衡。

针对车载网络的入侵检测系统从形式上分为基于电子控制单元（ECU）端的入侵检测和基于云端的大数据检测，从方法上分为根据已知攻击类型的规则匹配检测和针对未知攻击类型的异常检测。在保证准确率的前提下研究适应性较广的异常检测算法是一个研究趋势。以色列特拉维夫大学提出了一种用于车载CAN 总线网络流量的新型域感知异常检测系统。该异常检测系统的核心为自动识别数据场的边界和类型的分类器^［

5］。检测采用Greedy算法，在字段长度和字段含义之间进行平衡。韩国梨花女子大学提出了一种利用DNN机器学习算法的新型入侵检测系统。构建DNN结构的参数使用从车内网络分组中提取的基于概率的特征向量进行训练^{［参考文献 6

百度学术}6］。戴姆勒公司提出了一种基于信息熵的CAN总线异常检测的方法。通过信息熵检测方法可以成功识别与车载网络正常行为的偏差^{［参考文献 7

百度学术}7］。该方法只需要记录车载网络流量作为正常行为的输入。

在新一代的智能网联汽车电子电气架构下，CAN-FD总线将更多的取代传统的CAN总线的作用。目前针对CAN-FD网络入侵检测的核心问题是如何高效而准确地对异常数据进行识别。提出了一种基于支持向量机（Support Vector Machine， SVM）的异常入侵检测方法。该方法使用报文ID、时间周期和数据场数据作为入侵检测特征，实现了对CAN-FD网络环境下异常数据的识别。仿真实验数据表明，提出的方法针对网络异常数据具有较高的入侵检测正确率。此方法可用于周期性和非周期性的CAN-FD报文。

1 入侵检测系统框架

1.1　CAN-FD总线

在汽车的电子电气架构中，车载网络用于信号和数据的传输。CAN-FD总线作为一种典型的车载网络，被广泛用于动力总成，底盘控制，车身控制和汽车诊断。CAN-FD总线的安全性直接影响车辆的安全性。图1为一个标准的CAN-FD帧结构图^［

8］。

图1 CAN-FD报文帧结构

Fig.1 The structure of CAN-FD bus frame

其中数据字段的最大长度为64个字节，仲裁字段包含CAN-FD消息的标识符ID。CAN-FD总线的仲裁由消息标识符决定，标识符较低的消息比标识符较高的消息具有更高的优先级。CAN-FD总线是一个广播网络，连接到同一CAN-FD子网的任何ECU都可以接收所有消息并将消息传输到其他ECU。

针对广播形式通信的CAN-FD总线的攻击方式主要有窃听攻击、重放攻击、篡改攻击和DOS攻击等形式，如图2所示。正常的CAN-FD总线的数据都具有周期性发送、稳定的数据等特定。当CAN-FD总线攻击行为发生时，网络上会表现出各种异常状态。

图2 针对CAN-FD总线的攻击

Fig.2 Attacking on the CAN-FD bus

1.2　入侵检测系统

数据加密和消息验证能保证网络通信过程中的机密性和可信性。当网络攻击已经发生时，需要采取进一步的入侵检测和防御机制，保证网络通信的可用性。入侵检测系统可以通过对网络系统的动态监控，识别典型的攻击模式，分析异常状态模式。识别出攻击源和攻击方法对快速高效的取证、隔离，安全补丁等措施的执行是十分重要的。

1.3　通用入侵检测框架模型

通用入侵检测框架（CIDF）模型将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统其他途径得到的信息。该模型中入侵检测系统由事件产生器、事件分析器、响应单元和事件数据库组成^［

9］。将 CIDF模型应用于CAN-FD网络的入侵检测系统中，如图3所示。其中数据分析和模式识别的算法是入侵检测系统中最关键的一个环节。

图3 CAN-FD网络入侵检测系统架构

Fig.3 The architecture of CAN-FD bus intrusion detection system

2 基于支持向量机的异常检测

2.1　支持向量机原理

支持向量机是一种基于分类与回归分析的监督式数据分析学习模型算法。支持向量机使用时需要对给定的训练组中每一个实例进行标记，并分类为两个类别。支持向量机的训练算法将创建一个二元的线性分类器，并具有非概率性。对于给定的新的实例，该模型将会把实例分到两个类别中的一个。

CAN-FD网络的状态数据是高维的，同时可用的入侵攻击状态数据小于CAN-FD总线的正常状态数据。SVM在分类方面具有良好的性能。对于小样本检测来说，SVM比神经网络工作得更好，同时SVM还具有良好的泛化能力。当这些优势使得SVM适合检测CAN-FD网络的异常状态。

数据样本各个特征具有不同的分布的取值范围，通过归一化将各个维度的特征值映射到相同区间，使得各特征值具有相同量纲，处于同一数量级。

将特征值从一个大范围映射到［0，1］或者［-1，1］，如果原始值都是正数，则选择映射到［0，1］，即

a^{*} = \frac{a - m i n}{m a x - m i n}

（1）

式中： $a$ 是数据集的某类数值； $a_{}^{*}$ 是数据集中 $a$ 的归一化值；min 是数据集的该类数值的最小值；max是数据集的该类数值的最大值。

2.2　CAN-FD总线异常检测

分类SVM（C-SVM）用于对CAN-FD子网中的正常消息和异常消息进行分类。SVM模型的输入向量为CAN-FD报文。在基于SVM的入侵检测系统中，CAN-FD总线的检测参数包括消息ID，消息循环周期和消息数据值。其中，对于消息数据值来说，CAN-FD报文的数据场为64个字节。在安全通信模式下，有效的通信数据字节为48个^［

10］。本文将每个通信数据字节作为一个消息输入向量。CAN-FD消息输入向量

x \in R^{50}

定义为

x = {T, I D, B_{1}, B_{2}, B_{3}, . . ., B_{46}, B_{47}, B_{48}}

（2）

式中： $T$ 为CAN-FD消息的最近循环周期； $I D$ 为CAN-FD消息的标识符； $B_{n} (n = 1, . . ., 48)$ 为CAN-FD消息数据字段中用于数据传输的字节值。

CAN-FD子网的流量状态标签 $y \in R$ 定义为

y = {- 1,1}

（3）

式中：-1代表该消息为异常消息，1代表该消息属于正常的消息。

C-SVM的约束公式为

y_{i} [(ω \cdot x_{i}) + b] \geq 1 - ξ_{i}, i = 1, . . ., l

（4）

式中： $ω$ ， $b$ 是超平面定义的参数； $l$ 是SVM训练集中的CAN-FD的帧数； $ξ_{i} (ξ_{i} \geq 0)$ 是松弛系数。

由于CAN-FD总线的特征参数不是线性的，因此需要根据式（5）将CAN-FD流量状态的原始数据映射到新的空间，即

ϕ : x \to ϕ (x)

（5）

使用径向基函数（RBF）作为内核函数 $K$ 进行数据映射。 $K$ 由式（6-7）定义如下：

K (x, x_{i}) = (ϕ (x) \cdot ϕ (x_{i}))

（6）

K (x, x_{i}) = e^{- γ {|x - x_{i}|}^{2}}

（7）

式中， $γ$ 是内核函数的预定义参数。

CAN-FD流量状态 $(x, y)$ 的训练集从 $R^{50} \times R$ 映射到Hilbert空间 $\times R$ 为

{(x_{1}, y_{1}), . . ., (x_{l}, y_{l})} = {(ϕ (x_{1}), y_{1}), . . ., (ϕ (x_{l}), y_{l})}

（8）

根据式（9）~式（11）确定超平面 $(ω \cdot x) + b = 0$ ：

s . t . y_{i} [(ω \cdot x_{i}) + b] \geq 1 - ξ_{i}, i = 1, . . ., l

（9）

ξ_{i} \geq 0, i = 1, . . ., l

（10）

\underset{ω \in H, b \in R, ξ \in R^{l}}{m i n} \frac{1}{2} {‖ω‖}^{2} + C \sum_{i = 1}^{l} ξ_{i}

（11）

式中： $C$ 是成本参数。

基于内核函数 $K$ ，式（9）~式（11）的对偶公式分别为式（12）~式（14），即

s . t . \sum_{i = 1}^{l} y_{i} α_{i} = 0

（12）

C \geq α_{i} \geq 0, i = 1, . . ., l

（13）

\underset{α}{m i n} \sum_{i = 1}^{l} \sum_{j = 1}^{l} y_{i} y_{j} α_{i} α_{j} K (x_{i}, x_{j}) - \sum_{j = 1}^{l} α_{i}^{}

（14）

参数 $C$ 和 $γ$ 的最佳值可以通过使用训练数据集的网格搜索找到，而C-SVM模型由超平面 $(ω \cdot x) + b = 0$ 唯一的解 $(ω^{*}, b^{*})$ 进行定义。其中

ω^{*} = \sum_{i = 1}^{l} α_{i}^{*} y_{i} x_{i}

（15）

b^{*} = y_{i} - \sum_{i = 1}^{l} y_{i} α_{i}^{*} K (x_{i}, x_{j}), j \in {j | C \geq α_{j} \geq 0}

（16）

SVM的分类过程原理如图4所示，其中 $N_{s}$ 是支持向量 $ω^{*}$ 的数量。

图4 支持向量机原理

Fig.4 Support vector machine

$N_{s}$ 的数值将会直接影响计算的复杂度和计算时间。对于每个CAN-FD消息，输出标签 $y$ 由SVM模型预测，预测结果如下：

y = s g n (\sum_{i = 1}^{N_{s}} α_{i} y_{i} K (x_{N_{s}}, x) + b)

（17）

2.3　支持向量机模型训练

网络攻击类型数据库的完善是入侵检测非常重要的一部分。攻击数据的采集存在多种困难，如道路情况的变化，驾驶员个人习惯的差异，车型的变化都会对攻击数据的有效性产生相应的影响。本文采用CANoe仿真网络的正常流量和攻击流量对C-SVM模型进行训练和预测。CAN-FD通信数据包的训练集是从CANoe模拟的车载网络环境中收集的，如图5所示。正常流量是基于报文库文件生成和调度，模拟实车的网络执行流量。攻击流量是在正常流量上随机生成的异常流量。

图5 车载CAN-FD网络仿真环境

Fig.5 Simulation environment of CAN-FD networks

其中正常数据用标签“1”记录，异常数据记录标签为“-1”。训练配置为检测CAN-FD消息“Engine_Data”的异常状态。对于某个CAN-FD消息，消息标识符和帧频是固定的，因此可以过滤掉消息标识符和帧频率的异常。在实验中，模拟攻击字段是CAN-FD消息的数据字段。

实验的训练集中，正常CAN-FD消息的数量是10 920，异常CAN-FD消息的数量是6 000。基于MATLAB的LIBSVM用于模型训练^［

11］。训练集中的数据通过数据归一化进行优化。

x^{*}

中的元素缩放范围为［-1，1］。

x^{*} = {T^{*}, I D^{*}, B_{1}^{*}, B_{2}^{*}, B_{3}^{*}, . . ., B_{46}^{*}, B_{47}^{*}, B_{48}^{*}}

（18）

预定义参数 $C$ 和 $γ$ 会影响SVM模型的检测精度（Acc）。使用网格搜索为C-SVM找到最佳参数 $C$ 和 $γ$ 。训练交叉验证准确性的结果如图6所示。对于这个训练数据集，最佳 $l o g_{2} (C)$ 是5，最佳 $l o g_{2} (γ)$ 是-5。

图6 SVM模型中C和γ交叉验证的精确度

Fig.6 Cross-validation accuracy of C and γ in the SVM model

3 测试结果分析及对比

3.1　数据预测结果

用于测试的CAN-FD流量数据包含正常和异常CAN-FD消息。其中正常CAN-FD消息的数量为4 000，异常CAN-FD消息的数量为2 000。数据场利用率为48个字节中的前8个字节，剩余32个字节的前8个字节类似。

图7显示了CAN-FD流量入侵检测过程中正常CAN-FD消息和异常CAN-FD消息的分布。“ $○$ ”表示预测为“1”的消息，“ $*$ ”表示预测为“-1”的消息。图7a，7b，7c和7d为根据输入矢量的不同元素的缩放数据的视图。检测参数的范围直接与异常入侵检测有关。前8个字节数据场中基于不同参数的检测精度的结果列于表1中。

图7 CAN-FD报文数据集的预测结果

Fig.7 Predicting results of CAN-FD messages test datasets

表1 检测参数对检测精度的影响结果

Tab.1 Value ranges of training data sets and the detection accuracy of testing sets

检测准确率	$T$	$I D$	$B_{1}$	$B_{2}$	$B_{3}$	$B_{4}$	$B_{5}$	$B_{6}$	$B_{7}$	$B_{8}$
数值范围	50 ms	100	0 ~ 255	0 ~ 16	25 ~ 63	2 ~ 45	0 ~ 255	0 ~ 21	0 ~ 255	2 ~ 58
攻击8个数据	不适用	不适用	99.87
攻击4个数据	不适用	不适用	99.90				98.21
攻击2个数据	不适用	不适用	97.75		99.78		97.38		94.48
攻击1个数据	95.38	95.10	89.14	90.75	97.27	99.06	88.02	94.92	78.69	93.67

通过图7可以看出：

（1）参数 $T$ 为一个固定的值，因此具有最好的检测准确率。当攻击者使 $T$ 的值发送变化时，可以很容易被检测出来。

（2）参数 $B_{1}$ 的原始数据变化范围大，单独使用 $B_{1}$ 做检测的准确率较低。

（3）参数 $B_{2}$ 的原始数据具有分布间距大，植入的数据和参数 $B_{1}$ 相比，检测准确率更高。

（4）参数 $B_{3}$ 的原始数据和 $B_{2}$ 相比，数据范围更广。对于边缘型的数据，能较好的识别。

（5）参数 $B_{4}$ 的原始数据与 $B_{3}$ 类似，但是数据范围域不同。

（6）参数 $B_{5}$ 的原始数据和参数 $B_{1}$ 类似，单独使用 $B_{5}$ 做检测的准确率较低。

（7）参数 $B_{6}$ 的原始数据和参数 $B_{3}$ 类似。对于边缘型的数据，能较好的识别。

（8）参数 $B_{7}$ 的原始数据和参数 $B_{1}$ 类似，单独使用 $B_{7}$ 做检测的准确率较低。

（9）参数 $B_{8}$ 的原始数据和参数 $B_{3}$ 类似。对于边缘型的数据，能较好的识别。

对于参数 $B_{9}$ ， $B_{10}$ ，. .. ， $B_{48}$ 的原始数据分布对于检测准确率的影响，和参数 $B_{1}$ ， $B_{2}$ ，.. . ， $B_{48}$ 之间的关系一致。

3.2　检测结果分析

原始数据的范围对检测的准确率有直接的影响。对于参数 $T$ ， $B_{1}$ ， $B_{2}$ ，.. . ， $B_{8}$ ，当攻击报文的异常数据只篡改单个数据时，基于支持向量机的算法异常检测准确率如图8所示。

图8 单维度数据范围与预测准确率的变化

Fig.8 Changes in single-dimensional data range and prediction accuracy

某个 CAN-FD 消息的消息标识符和循环周期的正常值是固定的。如果攻击者仅更改消息标识符 $I D$ 和循环周期 $T$ ，则可以检测到异常状态。在这种情况下，检测精度高达 95% 。

如果攻击目标在 CAN-FD 帧上的数据字段上，则检测精度与值范围有关。对于某个字节，字节值增加的范围将导致检测精度降低。因为正常字节值范围正在增加，异常字节值范围正在减小。当攻击者篡改的数据在多个数据位时，检测正确率有明显的提升。

（1）攻击篡改发生在 $B_{1}$ ， $B_{5}$ 和 $B_{7}$ 的检测精度低于 90%，而攻击内容发生在 $B_{2}$ ， $B_{3}$ ， $B_{4}$ ， $B_{6}$ 和 $B_{8}$ 时，检测的准确性更高。

（2）当攻击篡改的目标超过一个字节时，异常入侵检测系统具有更好的性能。检测准确性在 $(B_{1}, B_{2})$ ， $(B_{3}, B_{4})$ ， $(B_{5}, B_{6})$ ， $(B_{7}, B_{8})$ 上超过 90%。

（3）当攻击篡改的目标在 $(B_{1}, B_{2}, B_{3}, B_{4})$ ， $(B_{5}, B_{6}, B_{7}, B_{8})$ 上时，检测准确性超过 98%。

（4）当攻击篡改的目标在 $(B_{1}, B_{2}, B_{3}, B_{4}, B_{5},$ $B_{6},$ $B_{7}, B_{8})$ 上时，检测准确性超过99%。

通过以上的数据检测结果可以看出，将支持向量机的异常检测算法应用于 CAN-FD 网络时，具有较高的异常数据检测正确率，可以应用于入侵检测系统。根据攻击篡改的数据不同，检测准确率能达到为 80% 或更高。基于支持向量机的 C-SVM 算法对于 CAN-FD 网络的入侵检测具有有效性。

3.3　入侵检测方法对比

针对提出的基于SVM模型的入侵检测算法，表2从检测准确率、计算性能和其限制条件等方法出发，和部分已知的网络入侵检测方法进行对比。相比于其他的入侵检测方法，本文中利用SVM模型的CAN-FD网络入侵检测算法可适用于多种攻击类型的网络异常检测，具有检测准确率高的特点。同时该方法不需要对网关或者ECU的硬件进行修改，可以有效地降低硬件升级成本。但同时该方法对算法的计算性能要求也相对较高。

表2 入侵检测方法评估对比

Tab.2 Evaluation results of intrusion detection methods

相关研究	检测原理	类型	检测准确率	性能负载	限制条件
报文接收时间判断^{[参考文献 12 百度学术}12]	测量CAN总线中的数据延时	基于行为的	高	低	需要对ECU硬件进行修改；需要已知网络的设计信息；仅适用周期性报文
报文接收内容判断^{[参考文献 13 百度学术}13]	对总线中报文数据进行监测	基于行为的	高	低	需要对网关和ECU硬件进行修改；需要已知网络的设计信息
熵值计算^{[参考文献 7 百度学术}7]	测量网络系统的熵值变化	基于行为的	中	较高	需要已知网络的设计信息
报文特征计算^{[参考文献 14 百度学术}14]	监测报文ID的顺序和频率	基于行为的	高	相对低	需要已知网络的设计信息；仅适用周期性报文
身份验证识别^{[参考文献 15 百度学术}15]	通过数字签名认证结果进行检测	基于知识的	非常高	中	只适用已知攻击类型
身份验证识别^{[参考文献 16 百度学术}16]	通过MAC认证结果进行检测	基于知识的	非常高	中	只适用已知攻击类型
基于深度学习技术^{[参考文献 6 百度学术}6]	对CAN报文中的“1”位数量进行建模	基于行为的	中	高	需要网络的设计信息
本文使用的算法	基于帧ID、频率和数据建立SVM模型进行数据归类	基于行为的	较高	较高	检测准确率受数据范围影响大

3.4　入侵检测算法优化

单一维度里的原始数据范围对于数据异常检测的正确率有直接的影响。可以考虑通过数据维度划分的方式，降低 CAN-FD 报文中单一维度里的数据范围。根据式（2）中的定义，采用的数据维度划分方式为基于报文周期、标识位 ID 和数据字节。由于支持向量机本身对于高维数据不敏感，可以采用多种维度划分方式。另一种维度划分方式是通过数据的定义来划分，使用报文中字节在报文数据文件里的定义，可以降低单一维度的数据变化范围。

因为方法论的缘故，在异常入侵检测的攻击场景未知的情况下，无法避免异常入侵检测中的错误。为了提高入侵检测系统的性能，可以结合误用入侵检测方法和异常入侵检测方法。出于对网络性能和ECU计算性能的保护，基于支持向量机的入侵检测方法更合适应用于远程服务器的部署。

4 结语

从网络入侵检测和保护的角度出发，基于CIDF通用入侵检测模型建立了CAN-FD入侵检测架构，并提出了一种基于支持向量机的异常入侵检测方法。通过参数分析和预测正确率的评估，对 CAN-FD 支持向量机的维度划分方法进行了优化。相比于其他的入侵检测方法，本文利用SVM模型的CAN-FD网络入侵检测算法可适用于多种攻击类型的网络异常检测，具有检测准确率高的特点。在后续的研究工作中将继续优化检测算法的计算资源消耗。

参考文献

中国汽车工程学会. 节能与新能源汽车技术路线图［M］.北京：机械工业出版社， 2016. [百度学术]

SAE-China. Technology roadmap for energy saving and new energy vehicles［M］. Beijing： China Machine Press， 2016. [百度学术]

WOO S， JO H J， LEE D H. A practical wireless attack on the connected car and security protocol for in-vehicle CAN ［J］. IEEE Transactions on Intelligent Transportation Systems， 2015， 16（2）： 993. [百度学术]

KOSCHER K， CZESKIS A， ROESNER F， et al. Experimental security analysis of a modern automobile［C］//IEEE Symposium on Security and Privacy. Oakland ： IEEE， 2010： 447-462. [百度学术]

于赫. 网联汽车信息安全问题及CAN总线异常检测技术研究［D］. 长春：吉林大学， 2016. [百度学术]

YU HE. Research on connected vehicle cyber security and anomaly detection technology for in-vehicle CAN bus［D］. Changchun： Jilin University， 2016. [百度学术]

MARKOVITZ M， WOOL A. Field classification， modeling and anomaly detection in unknown CAN bus networks［J］. Vehicular Communications， 2017，9： 43. [百度学术]

KANG M J， KANG J W. Intrusion detection system using deep neural network for in-vehicle network security［J］. Plus One， 2016， 11（6）： 1. [百度学术]

MUTER M， ASAJ N. Entropy-based on anomaly detection for in-vehicle networks［C］//IEEE Intelligent Vehicle Symposium （IV）. Baden-Baden： IEEE， 2011： 1110- 1115. [百度学术]

HARTWICH F.CAN with flexible data-rate ［C］// CAN in Automation. Hambach：CIA， 2012：1-9 [百度学术]

TUNG B. The common intrusion specification language： a retrospective［C］//DARPA Information Survivability Conference and Exposition. Hilton Head： IEEE， 2000： 36-45. [百度学术]

罗峰，胡强，刘宇. 基于CAN-FD总线的车载网络安全通信［J］. 同济大学学报（自然科学版）， 2019， 47（3）： 386. [百度学术]

LUO F， HU Q， LIU Y. Secure communication method for in-vehicle network based on CAN-FD bus［J］. Journal of Tongji University （Natural Science）， 2019， 47（3）： 386. [百度学术]

CHANG C C， LIN C J. LIBSVM： a library for support vector machines［J］. ACM Transactions on Intelligent Systems and Technology， 2001， 2（3）：1. [百度学术]

OTSUKA S， ISHIGOOKA T， OISHI Y， et al. CAN security： cost-eﬀective intrusion detection for real-time control systems［R］. Detroit： SAE， 2014. [百度学术]

LARSON U E， NILSSON D K， JONSSON E. An approach to speciﬁcation-based attack detection for in-vehicle networks［C］//IEEE Intelligent Vehicles Symposium. Eindhoven： IEEE， 2008： 220-225. [百度学术]

AHN S， KIM H， JEONG J， et al. A countermeasure against spooﬁng and DoS attacks based on message sequence and temporary ID in CAN［C］//Symposium on Cryptography and Information Security. Kumamoto： IEICE， 2016： 1-8. [百度学术]

VAN HERREWEGE A， SINGELEE D， VERBAUWHEDE I. CANAuth—a simple， backward compatible broadcast authentication protocol for CAN bus［C］//ECRYPT Workshop on Lightweight Cryptography. Louvain-la-Neuve： UCL Crypto Group， 2011： 20-26. [百度学术]

NILSSON D K， LARSON U E， JONSSON E. Eﬃcient in-vehicle delayed data authentication based on compound message authentication codes［C］//2008 IEEE 68th Vehicular Technology Conference. Calgary： IEEE， 2008： 1-5. [百度学术]

基于支持向量机的CAN⁃FD网络异常入侵检测 PDF

摘要

关键词

1 入侵检测系统框架

1.1 CAN-FD总线

1.2 入侵检测系统

1.3 通用入侵检测框架模型

2 基于支持向量机的异常检测

2.1 支持向量机原理

2.2 CAN-FD总线异常检测

2.3 支持向量机模型训练