(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210968196.8 (22)申请日 2022.08.12 (71)申请人 西北工业大 学 地址 710072 陕西省西安市碑林区友谊西 路127号 (72)发明人 刘家佳　荀毅杰　赵艺淋　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 专利代理师 高博 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/40(2006.01) H04L 67/12(2022.01) (54)发明名称 一种基于时钟偏斜的车辆入侵检测与攻击 源识别方法及系统 (57)摘要 本发明公开了一种基于时钟偏斜的车辆入 侵检测与攻击源识别方法及系统， 估算时钟偏 斜， 将车辆每个电子控制单元的时钟偏斜分布区 间作为电子控制单元的指纹， 建立指纹库； 实时 采集CAN数据， 当新消息到达时， 从ID消息中提取 指纹， 并与指纹库中存储的指纹进行对比， 确定 入侵ID消息； 从得到的入侵ID消息中提取指纹； 计算ID消息与其它ID消息的相似性， 将相似性与 对应的车辆电子控制单元填入相似性表； 将相似 性最高的车辆电子控制单元作为攻击源电子控 制单元， 完成攻击源识别。 本发明能够检测目前 所出现的绝大多数攻击， 识别到欺骗攻击与伪装 攻击的攻击源， 适用于不同的车辆， 具有良好的 鲁棒性。 权利要求书2页 说明书13页 附图5页 CN 115333833 A 2022.11.11 CN 115333833 A 1.一种基于时钟偏斜的车辆入侵检测与攻击源识别方法， 其特 征在于， 包括以下步骤： S1、 将车辆每个电子控制单元的时钟偏斜分布区间作为电子控制单元的指纹， 建立指 纹库； S2、 实时采集CAN数据， 当新消息到达时， 从ID消息中提取指纹， 并与步骤S1建立的指纹 库中存储的指纹进行对比， 确定入侵ID消息； S3、 从步骤S2得到的入侵ID消息中提取指纹； 计算ID消息与其它ID消息的相似性， 将相 似性与对应的车辆电子控制单元填入相似性表； 将相似性最高的车辆电子控制单元作为攻 击源电子控制单 元， 完成攻击源识别。 2.根据权利要求1所述的基于时钟偏斜的车辆入侵检测与攻击源识别方法， 其特征在 于， 步骤S1具体为： S101、 监视每个ID消息的到达时间 并通过计算ID消息的平均到 达时间间隔估计 每个ID消息的周期Tid， 每当有新消息 到达时， 更新 ID消息的周期； S102、 计算步骤S101更新的不同ID消息周期的最小公倍数将不同周期的ID消息转换为 相同周期的ID消息 过滤出子集Lid， 每个ID消息以 为周期； S103、 根据步骤S102 过滤的子集Lid， 计算预计到达时间和实际到达时间的差值， 以计算 电子控制单 元的时钟偏斜O； S104、 使用递归最小二乘法估算时钟偏斜， 实时更新步骤S103得到的时钟偏斜O， 得到 每个电子控制单元时钟偏斜作为每个电子控制单元的唯一指纹， 建立电子控制单元的指纹 库。 3.根据权利要求2所述的基于时钟偏斜的车辆入侵检测与攻击源识别方法， 其特征在 于， 步骤S103中， 每当第k个消息到达时， 估算相同周期的ID消息 利用之前每条ID消 息的实际到达时间与预计到达时间差值之和的均值估算此时的时钟偏斜， 累计时钟偏斜 Oacc＝Oacc[k‑1]+|O[k]|。 4.根据权利要求1所述的基于时钟偏斜的车辆入侵检测与攻击源识别方法， 其特征在 于， 步骤S2具体为： S201、 获取每个ID消息的多段连续消息； 并计算每段的平均时钟偏斜， 得到一组数据 Skewid； 计算每个ID消息的Skewid的平均值 μi和标准差σid； S202、 当有新消息到达时， 判断id是否在IDlist中， 使用递归最小二乘法计算id的时钟 偏斜， 并添加到滑动窗口中， 删除最早进入滑动窗口的元素， 在滑动窗口中使用时钟偏斜计 算平均时钟偏斜 S203、 利用步骤S202得到的平均时钟偏斜 进行指纹匹配； S204、 删除列表Skewid中的第一个元素， 填入步骤S203匹配的平均时钟偏斜 再次计 算偏斜的平均值和标准差， 更新 μid和σid。 5.根据权利要求4所述的基于时钟偏斜的车辆入侵检测与攻击源识别方法， 其特征在 于， 步骤S202中， 如果 id不在IDl ist中， id消息就是攻击消息； 否则， 继续下一 步。 6.根据权利要求4所述的基于时钟偏斜的车辆入侵检测与攻击源识别方法， 其特征在权　利　要　求　书 1/2 页 2 CN 115333833 A 2于， 步骤S20 3具体为： 如果 id信息为正常， λid是设定的阈值； 否则， 计算 找 出最小值对应的电子控制单元， 如果电子控制单元为原来的电子控制单元， 消息为正常； 否 则， 识别消息的来源。 7.根据权利要求1所述的基于时钟偏斜的车辆入侵检测与攻击源识别方法， 其特征在 于， 步骤S3具体为： S301、 提取电子控制单元中待检测的IDx和某一IDi具有相同时间间隔的到达时间部 分， 得到两个到达时间序列Lx和Li， 将Lx和Li分别输入递归最小二乘法， 得到IDx和IDi的瞬时 时钟偏斜序列Kx和Ki； S302、 在DTW算法中输入步骤S301得到的瞬时时钟偏斜序列Kx和Ki， 返回瞬时时钟偏斜 序列Kx和Ki的相似度simi larity[i]； S303、 重复步骤S301和S302， 将待检测IDx与其它电子控制单元的ID信息进行比较， 获 得相似度表simi larity； S304、 找到与步骤S303得到的相似度表similarity中最小值对应的IDi， 发送IDi的电 子控制单 元即为攻击源。 8.根据权利要求1所述的基于时钟偏斜的车辆入侵检测与攻击源识别方法， 其特征在 于， 步骤S3 02具体为： S3021、 根据两个时钟的倾 斜长度p和q建立大小为a ×b的矩阵M； S3022、 计算倾斜长度p上任意点pi到倾斜长度q上任意点qj的欧拉距离d(pi， qj)， 将d (pi， qj)填充入矩阵M中的对应位置； S3023、 使用动态规划计算 通过步骤S3 022填充后矩阵M的最短路径； S3024、 将步骤S3 023得到的最短路径上每 个点的d(i， j)值相加， 得到总距离dsum。 9.根据权利要求1所述的基于时钟偏斜的车辆入侵检测与攻击源识别方法， 其特征在 于， 总距离dsum为： dsum(i， j)＝mi ndsum(i‑1， j)， dsum(i‑1， j)， dsum(i‑1， j‑1)}+M(i， j)。 10.一种基于时钟偏斜的车辆入侵检测与攻击源识别系统， 其特 征在于， 包括： 指纹模块， 将车辆每个电子控制单元的时钟偏斜分布区间作为电子控制单元的指纹， 建立指纹库； 检测模块， 实时采集CAN数据， 当新消息到达时， 从ID消息中提取指纹， 并与指纹模块建 立的指纹库中存 储的指纹进行对比， 确定入侵ID消息； 识别模块， 从检测模块得到的入侵ID消息中提取指纹； 计算ID消息与其它ID消息的相 似性， 将相似性与对应的车辆电子控制单元填入相似性表； 将相似性最高的车辆电子控制 单元作为攻击源电子控制单 元， 完成攻击源识别。权　利　要　求　书 2/2 页 3 CN 115333833 A 3