一种基于LightGBM的车载以太网网络攻击检测方法

一种基于lightgbm的车载以太网网络攻击检测方法
技术领域
1.本技术涉及信息安全技术领域，尤其涉及一种基于lightgbm的车载以太网网络攻击检测方法。


背景技术：

2.随着汽车电子化和智能化的快速发展，车辆内部集成了越来越多的电子设备，如娱乐系统、导航系统、车辆控制系统、传感器等。这些设备需要相互之间进行高速、稳定、可靠的数据传输，以实现各种功能，例如车辆信息娱乐、车辆诊断、车辆远程控制等。这就对车载通信网络提出了更高的要求。车载以太网可以提供高速的数据传输速率，通常可达到百兆位级别甚至千兆位级别，能够满足车辆内部各种设备之间大量数据传输的需求。
3.随着汽车网络的普及，车辆网络安全威胁也在不断增加。黑客和恶意攻击者可能会利用漏洞、弱点或恶意软件等手段，对车辆内部的以太网网络进行攻击，从而获得对车辆的未经授权的访问权或控制权。这可能导致车辆遭受未经授权的控制、信息泄露、车辆功能干扰甚至危及车辆和乘客的安全。随着车辆技术的不断发展，汽车网络攻击方式也日益复杂和隐蔽化。黑客和攻击者可以利用多种技术手段，如远程攻击、物理攻击等，对车辆内部的以太网网络进行入侵，这些攻击方式可对车辆的安全和隐私造成严重威胁。
4.异常检测是一种基于正常行为模式的建模来检测异常行为的方法。例如，通过对车辆内部的以太网通信行为进行建模，并检测是否存在与正常行为不符的异常行为。基于规则的入侵监测是一种通过预定义规则来检测异常行为的入侵检测方法，但是容易产生误报和漏报。基于网络流量的入侵监测通过分析网络流量来检测潜在的攻击行为。该方法通过监测网络流量中的数据包，来检测流量是否包含已知的攻击模式或异常行为，但是需要大量的计算和存储资源，对于高速网络和大规模的网络环境可能存在挑战。还有某些网络入侵检测通过从大量已知的攻击数据中进行学习，来识别和分类新的网络流量数据，以便及时发现和响应攻击，但需要占用大量计算资源，同时具有较高的时延，无法满足车载以太网数据实时性的需求。因此，现有入侵检测算法需要改进。


技术实现要素：

5.本技术提供了一种基于lightgbm的车载以太网网络攻击检测方法，能够解决现有的车载以太网网络攻击检测方法存在的具有较高的时延性并且需要大量的计算和存储资源的问题。
6.本技术的技术方案是一种基于lightgbm的车载以太网网络攻击检测方法，包括：
7.s1：获取关于重放攻击的若干个原始数据帧，以及基于原始数据帧的数据报头针对若干个原始数据帧进行编组处理，得到若干个待处理数据组；
8.s2：针对若干个所述待处理数据组进行特征降维处理，得到相应于原始数据帧的若干个降维矩阵；
9.s3：通过相应于原始数据帧的若干个降维矩阵针对lightgbm原始模型进行训练并
且通过遗传算法针对训练过程进行优化，得到以降维矩阵为输入项并且以分类结果为输出项的攻击检测基本模型；
10.s4：基于滑动窗口的步长调整策略，针对攻击检测基本模型进行优化，相应地得到攻击检测优化模型；
11.s5：获取若干条待检测数据帧，以及基于待检测数据帧的数据报头针对若干条待检测数据帧依次进行编组处理和特征降维处理，得到相应于待检测数据帧的降维矩阵；
12.输入相应于待检测数据帧的降维矩阵至所述攻击检测优化模型，得到相应于待检测数据帧的分类结果。
13.可选地，所述步骤s1包括：
14.s11：获取关于重放攻击的若干个原始数据帧并且相应地提取若干条原始数据帧的数据报头；
15.s12：基于原始数据帧的数据报头，针对若干个原始数据帧进行编组处理。
16.可选地，所述步骤s3包括：
17.s31：通过相应于原始数据帧的若干个降维矩阵针对lightgbm原始模型进行训练，以及在训练过程中通过遗传算法确定若干个待优化超参数并且确定相应于若干个待优化超参数的超参数组合；
18.s32：基于超参数组合，确定以降维矩阵为输入项并且以分类结果为输出项的攻击检测基本模型。
19.可选地，所述待优化超参数依次为max_depth、learning_rate、n_estimators和min_child_weight；
20.以及，相应于待优化超参数的搜索值依次为7、0.1264、60和3。
21.可选地，所述步骤s4包括：
22.s41：调整来源于lightgbm原始模型的攻击检测基本模型的滑动窗口的步长的分类阈值并且将分类阈值的数量设置为两个；
23.s42：基于分类阈值，针对攻击检测基本模型进行优化，得到得到相应于待检测数据帧的分类结果；
24.当预测值小于数值较小的分类阈值时，进行步长扩大处理；
25.当预测值大于数值较大的分类阈值时，进行步长减小处理。
26.有益效果：
27.本技术包括信息采集、模型训练、入侵检测和策略优化。其中，首先对以太网数据帧报头部分进行提取，对采集后的报头数据进行编组以提取数据的时序信息和数据间的关联信息；模型训练阶段针对编组后的数据采用主成分分析法和遗传算法提高模型的检测性；入侵检测阶段通过lightgbm对实时传输信息进行异常识别；策略优化通过检测结果实时对检测策略进行优化，由此可知，本技术的具有如下优点：
28.(1)本技术根据重放攻击的特点，提取车载以太网数据报头并进行编组以提取数据时序信息和数据间的关联信息，提高对重放攻击的检测性能。
29.(2)本技术本技术采用轻量级模型lightgbm，对编组数据采用主成分分析法进行特征降维，减少数据维度降低模型大小，以及利用ga算法提升模型的检测性能。
30.(3)本技术根据检测结果，通过使用自适应滑动窗口的方式优化检测模型，实现在
不同的入侵背景下采用不同的检测策略，提高在模型的检测效率和准确率，并避免在数据中包含大量入侵数据导致入侵检测系统将正常数据拦截，导致网络无法正常使用。
31.综上可知，本技术不仅能够解决车载计算资源有限的问题，保障车载入侵检测模型的轻量级，还在重放攻击的检测具有较高的检测率和低误报率，因此能够解决现有的车载以太网网络攻击检测方法存在的具有较高的时延性并且需要大量的计算和存储资源的问题。
附图说明
32.为了更清楚地说明本技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
33.图1为本技术实施例中基于lightgbm的车载以太网网络攻击检测方法的流程示意图；
34.图2为本技术实施例中基于lightgbm的车载以太网网络攻击检测方法的逻辑示意图；
35.图3为本技术实施例中针对输入数据进行训练前处理的流程示意图；
36.图4为本技术实施例中攻击检测优化模型的步长优化策略的逻辑示意图。
具体实施方式
37.下面将详细地对实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下实施例中描述的实施方式并不代表与本技术相一致的所有实施方式。仅是与权利要求书中所详述的、本技术的一些方面相一致的系统和方法的示例。
38.本技术实施例提供了一种基于lightgbm的车载以太网网络攻击检测方法，如图1和图2所示，图1为本技术实施例中基于lightgbm的车载以太网网络攻击检测方法的流程示意图，图2为本技术实施例中基于lightgbm的车载以太网网络攻击检测方法的逻辑示意图，方法包括：
39.s1：获取关于重放攻击的若干个原始数据帧，以及基于原始数据帧的数据报头针对若干个原始数据帧进行编组处理，得到若干个待处理数据组。
40.具体地，通过提取数据报头并对数据进行编组，选取数据的前58字节和44条进行编组，以提取数据之间的时序信息和关联信息。这样的编组方式可以有效地对数据进行组织和管理，方便后续处理。
41.其中，步骤s1包括：
42.s11：获取关于重放攻击的若干个原始数据帧并且相应地提取若干条原始数据帧的数据报头。
43.s12：基于原始数据帧的数据报头，针对若干个原始数据帧进行编组处理。
44.具体地，将数据进行报头提取并将数据进行编组，提取数据间的关联性和时间信息，之后将编组数据进行特征降维以减少模型大小并提高模型的检测速率。之后根据模型降维结果采用最优降维方式降维矩阵p对实施采集数据进行降维，降维结果如表1所示。
45.表1特征降维结果
[0046][0047]
s2：针对若干个待处理数据组进行特征降维处理，得到相应于原始数据帧的若干个降维矩阵。
[0048]
具体地，如图3所示，图3为本技术实施例中针对输入数据进行训练前处理的流程示意图，对编组后的高维数据进行特征降维，以提升模型的检测速度，并减少噪声对检测精度的影响。通过采用合适的降维算法和降维矩阵p，可以将高维数据映射到低维空间，从而减少计算负担和提高模型的性能。
[0049]
s3：通过相应于原始数据帧的若干个降维矩阵针对lightgbm原始模型进行训练并且通过遗传算法针对训练过程进行优化，得到以降维矩阵为输入项并且以分类结果为输出项的攻击检测基本模型。
[0050]
其中，为了获得更优的检测性能，根据lightgbm模型的检测效率和精度影响较大的超参数，采用遗传算法(ga)搜索最优的参数组合。通过不断地优化参数，使得模型在检测任务中能够取得更好的表现。
[0051]
其中，步骤s3包括：
[0052]
s31：通过相应于原始数据帧的若干个降维矩阵针对lightgbm原始模型进行训练，以及在训练过程中通过遗传算法确定若干个待优化超参数并且确定相应于若干个待优化超参数的超参数组合。
[0053]
s32：基于超参数组合，确定以降维矩阵为输入项并且以分类结果为输出项的攻击检测基本模型。
[0054]
待优化超参数依次为max_depth、learning_rate、n_estimators和min_child_weight。
[0055]
以及，相应于待优化超参数的搜索值依次为7、0.1264、60和3。
[0056]
具体地，将lightgbm中4个对检测精度影响较大的超参数利用ga算法进行搜索，采用最优的超参数组合提升模型的整体检测性能。
[0057]
表2超参数搜索结果
[0058][0059]
s4：基于滑动窗口的步长调整策略，针对攻击检测基本模型进行优化，相应地得到攻击检测优化模型。
[0060]
其中，步骤s4包括：
[0061]
s41：调整来源于lightgbm原始模型的攻击检测基本模型的滑动窗口的步长的分类阈值并且将分类阈值的数量设置为两个。
[0062]
s42：基于分类阈值，针对攻击检测基本模型进行优化，得到得到相应于待检测数据帧的分类结果。
[0063]
当预测值小于数值较小的分类阈值时，进行步长扩大处理。
[0064]
当预测值大于数值较大的分类阈值时，进行步长减小处理。
[0065]
具体地，相较于现有技术中lightgbm原始模型的二分类任务，本技术实施例设置两个分类阈值，用于进行三分类。
[0066]
如图4所示，图4为本技术实施例中攻击检测优化模型的步长优化策略的逻辑示意图，当预测值p《数值较小的分类阈值k1时，检测窗口内大概率不存在入侵信息，因此将检测步长增加到下一个级别，以降低设备的运算开销。当k1《p《k2时，窗口内可能存在入侵信息，因此保持当前的检测状态不变，维持检测步长不变。当p》数值较大的分类阈值k2时，表明窗口内存在入侵信息，因此缩短检测步长以保障车载以太网设备的正常运行并保持较高的检测效果。
[0067]
s5：获取若干条待检测数据帧，以及基于待检测数据帧的数据报头针对若干条待检测数据帧依次进行编组处理和特征降维处理，得到相应于待检测数据帧的降维矩阵。
[0068]
输入相应于待检测数据帧的降维矩阵至攻击检测优化模型，得到相应于待检测数据帧的分类结果。
[0069]
具体地，将网络中的实时传输的待检测数据帧进行采集，将待检测数据帧进行报头提取和编组后，利用降维矩阵p进行后续处理；
[0070]
在处理过的数据被输入到攻击检测优化模型之后，攻击检测优化模型会根据自适应滑动窗口对其检测策略进行动态调整，从而能够灵活应对各种不同的检测环境。
[0071]
以上对本技术的实施例进行了详细说明，但内容仅为本技术的较佳实施例，不能被认为用于限定本技术的实施范围。凡依本技术范围所作的均等变化与改进等，均应仍属于本技术的专利涵盖范围之内。

技术特征：
1.一种基于lightgbm的车载以太网网络攻击检测方法，其特征在于，包括：s1：获取关于重放攻击的若干个原始数据帧，以及基于原始数据帧的数据报头针对若干个原始数据帧进行编组处理，得到若干个待处理数据组；s2：针对若干个所述待处理数据组进行特征降维处理，得到相应于原始数据帧的若干个降维矩阵；s3：通过相应于原始数据帧的若干个降维矩阵针对lightgbm原始模型进行训练并且通过遗传算法针对训练过程进行优化，得到以降维矩阵为输入项并且以分类结果为输出项的攻击检测基本模型；s4：基于滑动窗口的步长调整策略，针对攻击检测基本模型进行优化，相应地得到攻击检测优化模型；s5：获取若干条待检测数据帧，以及基于待检测数据帧的数据报头针对若干条待检测数据帧依次进行编组处理和特征降维处理，得到相应于待检测数据帧的降维矩阵；输入相应于待检测数据帧的降维矩阵至所述攻击检测优化模型，得到相应于待检测数据帧的分类结果。2.根据权利要求1所述的基于lightgbm的车载以太网网络攻击检测方法，其特征在于，所述步骤s1包括：s11：获取关于重放攻击的若干个原始数据帧并且相应地提取若干条原始数据帧的数据报头；s12：基于原始数据帧的数据报头，针对若干个原始数据帧进行编组处理。3.根据权利要求1所述的基于lightgbm的车载以太网网络攻击检测方法，其特征在于，所述步骤s3包括：s31：通过相应于原始数据帧的若干个降维矩阵针对lightgbm原始模型进行训练，以及在训练过程中通过遗传算法确定若干个待优化超参数并且确定相应于若干个待优化超参数的超参数组合；s32：基于超参数组合，确定以降维矩阵为输入项并且以分类结果为输出项的攻击检测基本模型。4.根据权利要求3所述的基于lightgbm的车载以太网网络攻击检测方法，其特征在于，所述待优化超参数依次为max_depth、learning_rate、n_estimators和min_child_weight；以及，相应于待优化超参数的搜索值依次为7、0.1264、60和3。5.根据权利要求1所述的基于lightgbm的车载以太网网络攻击检测方法，其特征在于，所述步骤s4包括：s41：调整来源于lightgbm原始模型的攻击检测基本模型的滑动窗口的步长的分类阈值并且将分类阈值的数量设置为两个；s42：基于分类阈值，针对攻击检测基本模型进行优化，得到得到相应于待检测数据帧的分类结果；当预测值小于数值较小的分类阈值时，进行步长扩大处理；当预测值大于数值较大的分类阈值时，进行步长减小处理。

技术总结
本申请涉及信息安全技术领域，尤其涉及一种基于LightGBM的车载以太网网络攻击检测方法。包括：基于数据报头针对原始数据帧进行编组处理，得到待处理数据组；针对待处理数据组进行特征降维处理，得到若干个降维矩阵；针对LightGBM原始模型进行训练，得到攻击检测基本模型；针对攻击检测基本模型进行优化，得到攻击检测优化模型；针对待检测数据帧进行处理，得到降维矩阵；输入降维矩阵至基于LightGBM的车载以太网网络攻击检测方法攻击检测优化模型，得到分类结果。本申请根据重放攻击的特点，提取车载以太网数据报头并进行编组以提取数据时序信息和数据间的关联信息，提高对重放攻击的检测性能。还通过进行特征降维，减少数据维度降低模型大小。维度降低模型大小。维度降低模型大小。


技术研发人员：许一男 许一虎 郭子豪 宋紫奕 付硕
受保护的技术使用者：延边大学
技术研发日：2023.06.01
技术公布日：2023/9/12