刘少勋，张 震,2，张金锋，程章龙，张跃中

（1.网络通信与安全紫金山实验室，江苏 南京 211111；2.国家数字交换系统工程技术研究中心，河南 郑州 450002）

0 引 言

近年来，随着人工智能、大数据和汽车电子等技术的快速发展，具有智能化和网联化特征的智能网联汽车成为汽车产业新形态。智能网联汽车通过搭载先进的车载传感器与智能控制系统，实现了车与车、路、云、人之间的信息交互与共享，为人们的交通出行带来了极大便利。但同时智能网联汽车对外通信接口的增加和系统复杂化使车载网络更容易受到网络攻击，针对车载网络的攻击事件也不断被爆出[1-2]。这不仅会造成个人隐私泄露问题，也会引发社会公共安全问题。

智能网联汽车CAN 网络是智能网联汽车应用最广泛的车载通信网络，由于CAN 在初始设计时缺乏信息安全机制，使得作为车载网络重要媒介的CAN 极易受到嗅探、伪造、修改和重放等攻击[3-4]。如何通过关键影响因素分析，使得在有限车载资源下准确快速地检测出CAN 网络异常状态，成为当前汽车产业重点关注的问题。

目前，对于智能网联汽车CAN 网络异常检测，学术界已开展了不少研究工作。其中，基于信息统计分析的异常检测方法[5-7]充分利用了CAN 网络实时传输大量消息的数据资源，通过统计分析消息传输信息熵[8-9]等方式，实现对CAN网络状态的高效检测。现有基于信息统计分析的主要检测方法的研究如下：Muter 等人[8]首次将信息熵的概念用于车载网络的入侵检测，提出了基于CAN 报文标识ID 信息熵的异常检测方法，通过计算设定时间内CAN 报文ID 信息熵来获取正常信息熵阈值，并将实时采集计算得到的CAN 报文ID 信息熵与该信息熵阈值比对；在此基础上，Virmani 等人[9]提出了一种基于信息熵偏差的CAN 网络入侵分析的算法；Zhao 等人[10]提出了一种针对DDoS 攻击的CAN 网络流量熵方法。此外，于赫等人[11]采用单位时间窗口内报文信息熵的波动来检测泛洪攻击和报文重放攻击；Wu 等人[12]采用固定消息数量窗口来计算CAN 报文ID 信息熵的分析方法。这些研究方法采用多种方式计算CAN 报文信息熵，能够有效检测出CAN 报文网络异常。然而，这些研究缺乏对CAN 报文信息熵异常检测影响因素的深入分析，难以为考虑检测准确性、时效性等目标的CAN 网络异常检测优化研究提供更有效的支撑。

针对上述方法存在的不足，本文研究分析了基于信息熵的CAN 网络异常检测关键因素影响。首先给出了CAN 报文信息熵概念内涵及计算方式；在此基础上，建立了CAN 网络异常检测的准确度和时效性量化指标，然后通过大量实验和数据统计，分析了窗口大小、滑动尺度和灵敏度三项关键因素的变化对CAN 报文信息熵、检测准确度和响应及时性的影响。

1 量化指标

为了能够量化表征关键因素对CAN 报文信息熵异常检测的精确度和响应及时性的影响，本节首先阐述了CAN 报文信息熵定义，以及窗口大小、滑动尺度和灵敏度三项关键因素；然后给出了异常检测准确性、响应及时性两个指标的计算方法。

（1）CAN 报文信息熵

CAN 报文数据帧结构包括ID、数据区和校验等部分，各部分占用字节情况如图1 所示。其中，ID 用于表明发送数据的类型标识和优先级，ID 越小则该报文传输优先级越高。提取出CAN 报文中的ID，并对一定时间内或一定数量的ID信息进行统计分析，能够反映CAN 网络传输报文消息的运行状态。本文通过统计一定报文数量窗口内的不同ID 类型分布概率来计算CAN 报文信息熵，公式如下：

图1 CAN 报文数据结构

式中：H(IDS)为采集窗口内所有报文标识ID 集IDS 的信息熵；numkid为采集窗口内第k种ID 报文出现的次数；ekid为采集窗口内第k种ID 报文的信息熵；n为采集窗口内出现的不同ID 报文数量。

（2）正常信息熵阈值

为了准确度量CAN 报文信息熵，通过计算大量窗口的CAN 报文信息熵均值和方差，建立CAN 报文正常的信息熵阈值区间。在设定采集窗口大小sizewin和滑动尺度slidewin基础上，计算大量采集窗口信息熵H(IDS)的平均值μ和标准差s，设定信息熵阈值区间如下：

将[μ-η×s,μ+η×s]作为判断CAN 网络是否处于攻击状态的信息熵阈值区间，η为标准差s的灵敏度。当采集窗口的信息熵不超出阈值区间，则认为CAN 报文传输异常。

（3）检测准确度

已有CAN 网络信息熵异常检测通常采用检测过程中正确预测出的消息窗口数量与窗口总量的比例来评估检测的准确度，没有考虑因滑动尺度设置过大导致部分攻击信息跳过检测的情况。在窗口滑动过程中，被攻击报文恰处于相邻两个检测窗口中的不检测区域，成功逃避了检测，如图2所示。

图2 CAN 报文逃避检测示意图

为了全面准确评估检测精度，本文综合考虑了检测过程中的检测正确率和未被列入检测窗口的正常消息比例来度量基于信息熵检测CAN 报文的准确度。

式中：sum 为整个检测过程中窗口滑动的总次数；α1、α2为权重系数，且满足α1+α2=1；当窗口滑过的CAN 报文集合Ij中存在攻击消息时，f(Ij)为0，否则为1；滑动尺度slidewin表示未检测的CAN 报文集合Ij大小，即slidewin=||Ij||。

（4）检测响应及时性

检测响应及时性反映了网络异常检测的反应速度和活跃程度。由于CAN 报文传输的时间周期具有不确定性，本文采用更具稳定特征的滑动尺度与滑动窗口大小的比值来评估CAN 报文异常检测的及时性，并忽略检测算法的执行时延，建立如下计算模型：

2 实验分析

2.1 实验数据

本文使用韩国高丽大学HCR 实验室的CAN 报文数据库，并从数据库中采集了汽车在正常行驶状态下的30 000条数据集，报文ID 范围为0X001 ～0X7ff。该数据集能够反映现实生活中车载网络通信数据的基本特征，见表1 所列。同时，模拟了DoS 和注入两种攻击场景下的数据集。在模拟DoS攻击中，将优先级最高的CAN 报文（ID=0x000）块插入到正常数据集中来生成DoS 攻击数据集。在注入攻击模拟中，采用了重放攻击，将合法CAN 报文中的消息块复制到正常的车辆数据集。

表1 CAN 报文实验数据集

2.2 参数对检测模型的影响

利用上述CAN 报文实验数据集，本文首先分析了窗口大小、滑动尺度和灵敏度对CAN 报文信息熵和检测准确度的影响。

在设定窗口滑动尺度为5、信息熵阈值区间灵敏度为1.2的前提下，设置采集窗口大小初始值为37，并按照间隔为5递增至177，计算不同窗口大小下的正常信息熵阈值区间，结果如图3 所示。图中显示，CAN 报文采集窗口越大，信息熵阈值区间越小并趋于稳定。

图3 不同采集窗口大小下的CAN 报文信息熵变化趋势

（1）采集窗口大小对信息熵和准确度的影响

在上述参数同等设置条件下，随着采集窗口的逐步增大，CAN 报文信息熵异常检测准确度从0.933 逐步提升至1，如图4 所示。图中变化趋势显示，检测准确度在递增过程中出现波动，这种波动现象主要是由于CAN 报文传输冲突等不确定性因素产生。

图4 不同采样窗口大小下的检测准确度变化情况

（2）窗口滑动尺度对信息熵计算和检测准确度的影响

在设定窗口大小为37、信息熵阈值区间灵敏度为1.2 的前提下，设置CAN 报文采样窗口的滑动尺度初始大小为5，并按照间隔为4 递增至121，计算不同窗口滑动尺度下的正常信息熵阈值区间。当滑动尺度小于窗口大小时，采集窗口的滑动尺度变化对信息熵阈值区间影响不大；当取值大于采集窗口时，对信息熵阈值区间的计算产生了波动，如图5所示。

图5 不同滑动尺度下的CAN 报文信息熵变化情况

在同等参数设置条件下，随着窗口滑动尺度的逐步增大，入侵检测准确度发生了较大波动，如图6 所示；同时，随着滑动尺度的增加，检测周期会明显变长，即检测的及时性逐步下降，如图7 所示。

图6 不同滑动尺度下的检测准确度变化情况

图7 不同滑动尺度下的检测响应及时性变化情况

（3）信息熵阈值区间灵敏度对准确度的影响

在设定窗口大小为37、窗口滑动尺度为5 的前提下，设置灵敏度η初始大小为0.5，并按照间隔为0.1 递增至2.9，计算不同信息熵阈值区间灵敏度下的检测准确度。计算结果显示，当信息熵阈值区间灵敏度增加时，检测准确度逐步变大，如图8 所示。

图8 不同灵敏度下的检测准确度变化趋势

从上述实验结果可以看出：

（1）采集窗口越大，信息熵越稳定，这对提高检测准确度有促进作用。

（2）窗口滑动尺度对信息熵计算影响不大，但过小的滑动尺度会导致无网络攻击情况下非必要的频繁检测计算；而当滑动尺度变大时，能够节约车载网络计算与存储资源，但会降低检测响应及时性。

（3）信息熵阈值区间灵敏度越大，检测准确度就越大。

3 结 语

CAN 网络安全问题是智能网联汽车网络安全领域关注的重点，准确、及时的异常检测是增强 CAN 网络安全的有力保障。本文阐述了CAN 报文信息熵概念内涵以及计算方式，重点建立了CAN 网络异常检测的准确度和响应及时性量化指标，然后通过大量实验和数据统计，分析了窗口大小、滑动尺度和灵敏度三项关键因素变化情况对CAN 报文信息熵、检测准确度和响应及时性的影响，并发现了采集窗口越大信息熵越稳定、滑动尺度越小车载资源开销越大、灵敏度越大检测准确度越高等变化趋势。本文的研究分析可以为后续进一步开展基于信息熵的CAN 网络异常检测优化研究提供借鉴指导。