一种车载控制器局域网络入侵检测方法及设备与流程

技术特征：

1.一种车载控制器局域网络入侵检测方法，其特征在于，所述方法包括：

对采集的原始数据进行数值化和归一化处理，得到预处理后的数据，并划分为训练集和测试集；

采用PSO-LightGBM双向特征选择方法对所述预处理后的数据进行特征筛选；

使用Stacking集成模型对经过预处理和特征筛选之后的测试集数据进行分类，得到入侵检测结果；

所述PSO-LightGBM双向特征选择方法为：

首先使用PSO算法对LightGBM进行参数寻优，使模型整体效果最优；然后使用LightGBM对特征重要性进行降序排列，对排序后的全部特征集合进行筛选，每次从当前的特征集合中删除重要程度最低的特征，构成新的特征子集，对数据按照新的特征子集进行特征删减，通过所述Stacking集成模型进行分类预测；如果预测结果的精确度未降低，则删除该重要程度最低的特征，循环此过程，对所述新的特征子集进行特征删减；如果预测结果的精确度降低，则撤回此次特征删减，特征删减结束，返回只含特征删减后特征的数据集。

2.根据权利要求1所述的车载控制器局域网络入侵检测方法，其特征在于，所述方法还包括：

对预处理后的训练集数据，通过聚类混合采样方法进行混合采样，去除冗余，同时生成少数类攻击样本；采用PSO-LightGBM双向特征选择方法对经聚类混合采样处理后的数据进行特征筛选，使用特征筛选的训练集数据对Stacking集成模型进行训练；所述聚类混合采样方法包括：

对所述预处理后的训练集数据进行分析，判断各类别是否极度不平衡；

如果样本不存在极度不平衡现象，则使用Kmeans对所有训练集数据所有类别进行聚类，从聚类中心挑选设定比例的数据，形成一个具有高度代表性的数据子集，对所述数据子集使用TomekLink方法进行数据清洗，把清洗之后的数据作为新的训练集；

如果出现各类别数据极度不平衡，对于多数类，从各聚类中心采集设定比例的数据，去除冗余；对于少数类，通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本，插值生成方法如下：

其中表示新生成的样本，表示聚类中心样本点，为选出的K近邻点，是一个随机数；

对采样后的多数类样本和通过SMOTE生成的少数类样本进行拼接，得到待定数据集；使用Tomek Link采样法消除待定数据集中存在的噪音样本点，得到聚类混合采样后的训练集数据。

3.根据权利要求2所述的车载控制器局域网络入侵检测方法，其特征在于，所述通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本为，生成少数类的聚类中心为在第一次聚类基础上，进行二次聚类，根据二次聚类的聚类中心使用SMOTE生成同一类型的少数类数据。

4.根据权利要求2所述的车载控制器局域网络入侵检测方法，其特征在于，所述极度不平衡指多数类与少数类的样本比例大于100：1。

5.根据权利要求2所述的车载控制器局域网络入侵检测方法，其特征在于，所述Stacking集成模型分为两层，第一层分别使用XGBoost模型 、LightGBM模型以及CatBoost模型通过五折交叉验证得到初步分类结果，将所述初步分类结果作为特征进行横向拼接，得到新的训练集；第二层使用所述新的训练集对MLP模型进行训练，得到最终的Stacking集成模型。

6.一种车载控制器局域网络入侵检测设备，其特征在于，所述设备包括存储器和处理；所述存储器存储有实现根据权利要求1-5任一所述车载控制器局域网络入侵检测方法的计算机程序，所述处理器执行所述计算机程序。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述的计算机程序被处理器执行时实现根据权利要求1-5任一所述车载控制器局域网络入侵检测方法的步骤。

技术总结
本发明属于车联网安全技术领域，公开了一种车载控制器局域网络入侵检测方法及设备。本发明的方法包括，对采集的原始数据进行数值化和归一化处理，得到预处理后的数据，并划分为训练集和测试集；采用PSO‑LightGBM双向特征选择方法对所述预处理后的数据进行特征筛选；使用Stacking集成模型对经过预处理和特征筛选之后的测试集数据进行分类，得到入侵检测结果。本发明用于高效、准确地检测出中车载控制器局域网络出现的入侵信息，防止由于车载控制器局域网络被入侵导致的车联网安全事件。

技术研发人员：戚湧;孙扬威;
受保护的技术使用者：南京理工大学;
技术研发日：2022.02.23
技术公布日：2022.03.22