基于曼巴(Mamba)的轻量级、动态自适应入侵检测框架,适用于车载CAN总线系统
《Internet of Things》:A Mamba-Based Lightweight and Dynamically Adaptive Intrusion Detection Framework for In-vehicle CAN Bus
【字体:
大
中
小
】
时间:2026年03月06日
来源:Internet of Things 7.6
编辑推荐:
基于Mamba架构的CAN总线轻量级入侵检测框架提出,通过动态自适应攻击分类器整合攻击行为特征,实现99.75%以上F1分数,计算量仅为Transformer模型的15.8%,检测延迟降低85%至0.5ms。
徐博成|李庆宝|曹飞|高远龙
中国河南省郑州市信息工程大学网络空间安全学院,450001
摘要
近年来,车联网(IoV)的快速发展引发了人们对联网车辆安全问题的广泛关注。车载控制器局域网(CAN)总线负责电子控制单元(ECU)之间的关键通信,由于缺乏加密和认证等防御机制,已成为攻击的主要目标。基于机器学习的入侵检测框架已成为有效的车辆防御措施。然而,传统的特征提取方法难以捕捉长期时间依赖性,而复杂模型的高计算需求无法满足车载系统的实时性和轻量级要求。为了解决这些问题,我们提出了一种基于Mamba架构的轻量级、动态自适应的车载CAN总线入侵检测框架,并将Mamba模型应用于车载网络入侵检测中以提取长期时间特征。其线性复杂度的架构克服了传统模型中长序列相关的计算瓶颈。此外,我们构建了一个动态自适应的攻击分类器,通过整合攻击者行为特征来智能分类入侵,从而克服了传统方法对序列攻击的检测限制。在三个包含真实车载CAN流量的公开数据集上进行的广泛实验表明,我们的框架在所有攻击类别中均实现了接近完美的F1分数(99%-100%)。同时,它的计算开销仅降至相关基于Transformer模型的15.8%(MACs = 5.85M),识别延迟降低了85%(0.5ms)。
引言
随着车联网(IoV)的快速发展,智能联网车辆已成为物联网(IoT)生态系统中的核心节点之一。它们与外部网络之间的频繁交互显著提升了车辆的智能化水平[1]。然而,这种高度的连接性也使车载网络面临日益严重的安全威胁[2]。目前,车载网络的安全问题已引起学术界和工业界的广泛关注。
CAN总线是现代车辆中广泛使用的一种关键总线,作为车载ECU之间通信的核心协议,主要负责关键ECU之间的数据传输[3]。然而,由于其原始设计中缺乏安全考虑(如明文传输和认证机制的缺失),CAN总线本质上容易受到攻击。敌手可以利用物理或远程接口注入伪造消息或发起DoS攻击[4]。因此,许多黑客通过攻击CAN总线来破坏车辆行为。早在2008年,Miller等人[5]就展示了针对车载CAN总线的攻击。2015年,Miller等人[6]远程控制了一辆Jeep Cherokee的刹车和转向系统,导致Chrysler因安全漏洞召回了一百多万辆汽车。
为应对针对车载CAN总线的日益增多的攻击,当前的研究主要提出了两种防御技术:CAN协议安全增强和车载CAN总线入侵检测。然而,基于加密或认证的安全增强技术通常会增加带宽和计算负担。由于CAN消息长度有限以及ECU的计算能力受限,大多数现有的CAN安全增强措施都较为轻量级。一旦攻击者获取了密钥,保护效果就会显著降低[7]。因此,本文重点讨论车载CAN总线的入侵检测技术。
图1展示了车载CAN总线入侵检测系统的应用场景。现有的CAN总线入侵检测技术主要可以分为两类:基于特征的方法和基于机器学习的方法。基于特征的入侵检测通过监控消息参数并建模正常参数行为来识别入侵。Cho和Shin[8]首次通过分析电压特征检测到CAN总线上的入侵ECU。Wang等人[9]提出了一系列基于熵的异常检测方法,利用信息熵来衡量网络流量的不确定性并通过监控熵变化来检测潜在异常。然而,这些方法在针对消息内容的攻击面前效果较差,而机器学习技术在黑盒场景下具有某些优势。Derhab等人[10]将CAN总线数据包组合成窗口进行流量分类,实现了有效的检测。Le等人[11]使用时间嵌入Transformer和自动编码器(AE)模型提取CAN消息特征,有效解决了传统Transformer模型在时间特征利用不足和细粒度时间敏感性不足的问题。尽管如此,当前的CAN总线入侵检测技术在攻击类型覆盖范围上仍然有限。此外,大多数现有的入侵检测系统复杂且消息识别延迟较高,难以满足车载CAN总线的轻量级和实时性要求。
为了解决这些挑战,开发一种在保持高准确性的同时确保模型轻量级和低延迟的车载CAN总线攻击检测系统至关重要。为此,我们提出了一种基于Mamba模型和攻击者行为特征的车载CAN总线攻击检测系统,以防御各种典型的车辆攻击。Mamba模型采用线性复杂度的状态空间架构[12],能够高效处理大规模和长时间持续的CAN消息数据,并克服了Transformer等模型在长序列场景中的计算瓶颈。通过堆叠多个Mamba模块,该模型可以递归捕获多层次的时间依赖性,从而准确识别复杂的攻击行为。Mamba模型与攻击者行为特征的结合大大提升了系统的检测准确性,同时保持了其效率和低延迟性能。本文的主要贡献如下:
•我们利用Mamba模型从CAN总线数据中提取深度时间特征。通过深度建模多维时间差分特征,我们的方法有效捕获了复杂的时间依赖性和异常攻击行为。这种方法不仅提高了长序列建模的效率和准确性,还为入侵检测框架提供了坚实的时间基础,显著提升了异常检测系统的整体性能。
•本文提出了一种基于攻击者行为特征的动态自适应攻击分类器。该方法系统地从消息流中提取多维行为特征,如局部类别分布、主导类别变化和异常密度,全面反映了消息在时间背景下的行为模式。这些特征与传统的消息内容特征深度融合,并最初使用高性能机器学习模型进行分类。此外,在推理过程中引入了动态概率调整机制,使分类器能够根据消息在其上下文中的行为特征自适应优化每个类别的预测概率,从而实现复杂攻击行为的智能检测。这种方法有效提升了对隐蔽性和依赖上下文的攻击的检测能力。
•为了验证我们提出的入侵检测系统(IDS)的准确性和鲁棒性,我们在三个公开的车载CAN总线数据集上进行了广泛实验。实验结果表明,我们的攻击检测系统在所有攻击类别中的整体F1分数超过99.75%。在大多数攻击类别中,它还实现了最高的精确度分数。同时,计算成本仅为相关基于Transformer方法的15.8%(MAC=5.85M),检测延迟降低了85%(0.5ms)。
本文的其余部分安排如下:第2节介绍CAN总线及相关工作;第3节描述系统模型,包括对手模型和Mamba算法;第4节详细说明所提出的入侵检测框架;第5节展示实验性能和可行性评估;第6节讨论限制和未来工作;最后,第7节总结本文。
章节摘录
CAN总线
CAN总线是一种多主串行通信协议,主要用于汽车和工业自动化领域。CAN总线消息帧分为四种类型:过载帧、远程帧、错误帧和数据帧。其中,数据帧是数据传输的标准格式[13]。图2展示了CAN数据帧的结构。
Mamba
在车载CAN总线入侵检测领域,Mamba模型提出了一种创新的方法
对手模型
车载CAN总线连接了许多关键的车载ECU,如发动机和仪表盘。因此,对CAN总线进行消息注入攻击已成为攻击车辆的主要手段之一。
(1)攻击场景:目前,有两种主要的访问CAN总线的方法:物理入侵和无线入侵[25]。本地攻击者可以通过物理访问连接到车载网络。其中,OBD-II用于车辆故障检测
入侵检测框架概述
基于Mamba模型和XGBoost模型,我们开发了一种利用多维分析的轻量级车载CAN总线攻击检测框架。该框架能够有效识别CAN总线消息的时间特征,并捕获车载CAN总线网络流量中的复杂时间关系。入侵检测框架的总体结构如图5所示。所提出的框架整合了数据预处理、长周期
实验数据集描述
CAR Hacking [26]:该数据集包含从真实车辆收集的CAN总线流量。其中包括DoS攻击、模糊攻击、针对齿轮的欺骗攻击和针对仪表盘的欺骗攻击。该数据集的重要性在于其真实的攻击场景和正常的CAN总线流量收集。此外,它涵盖了多种欺骗攻击类型,这对于研究人员开发准确且鲁棒的入侵检测系统(IDS)至关重要。
HCRL SA数据集 [27]:该数据集包含CAN
限制和未来工作
尽管我们提出的入侵检测框架在检测多种攻击类型时几乎达到了100%的准确率,但在检测重放攻击方面的准确率仍略显不足,这主要是由于重放攻击的隐蔽性。在未来的工作中,我们将重点解决重放攻击检测准确性的问题。关于部署设置,车载入侵检测的实际实施带来了超出检测准确性的挑战。结论
本研究提出了一种基于Mamba的轻量级车载CAN总线入侵检测框架。该框架克服了传统Transformer的二次计算瓶颈,能够高效提取长周期时间特征。通过利用多维时间特征,它捕获了隐蔽的时间依赖性,例如攻击消息的周期性注入。此外,构建了一个动态自适应分类器,该分类器整合了攻击者行为
CRediT作者贡献声明
徐博成:软件、方法论。李庆宝:资金获取、概念化。曹飞:写作——审阅与编辑、监督。高远龙:写作——原始草稿、数据整理。
利益冲突声明
作者声明没有需要披露的利益冲突或财务冲突。
徐博成毕业于中国郑州轻工业大学,目前在中国郑州信息工程大学攻读硕士学位。他的研究兴趣包括网络安全和车联网(IoV)安全。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
