技术特征:
1.一种车载控制器局域网络入侵检测方法,其特征在于,所述方法包括:
对采集的原始数据进行数值化和归一化处理,得到预处理后的数据,并划分为训练集和测试集;
采用PSO-LightGBM双向特征选择方法对所述预处理后的数据进行特征筛选;
使用Stacking集成模型对经过预处理和特征筛选之后的测试集数据进行分类,得到入侵检测结果;
所述PSO-LightGBM双向特征选择方法为:
首先使用PSO算法对LightGBM进行参数寻优,使模型整体效果最优;然后使用LightGBM对特征重要性进行降序排列,对排序后的全部特征集合进行筛选,每次从当前的特征集合中删除重要程度最低的特征,构成新的特征子集,对数据按照新的特征子集进行特征删减,通过所述Stacking集成模型进行分类预测;如果预测结果的精确度未降低,则删除该重要程度最低的特征,循环此过程,对所述新的特征子集进行特征删减;如果预测结果的精确度降低,则撤回此次特征删减,特征删减结束,返回只含特征删减后特征的数据集。
2.根据权利要求1所述的车载控制器局域网络入侵检测方法,其特征在于,所述方法还包括:
对预处理后的训练集数据,通过聚类混合采样方法进行混合采样,去除冗余,同时生成少数类攻击样本;采用PSO-LightGBM双向特征选择方法对经聚类混合采样处理后的数据进行特征筛选,使用特征筛选的训练集数据对Stacking集成模型进行训练;所述聚类混合采样方法包括:
对所述预处理后的训练集数据进行分析,判断各类别是否极度不平衡;
如果样本不存在极度不平衡现象,则使用Kmeans对所有训练集数据所有类别进行聚类,从聚类中心挑选设定比例的数据,形成一个具有高度代表性的数据子集,对所述数据子集使用TomekLink方法进行数据清洗,把清洗之后的数据作为新的训练集;
如果出现各类别数据极度不平衡,对于多数类,从各聚类中心采集设定比例的数据,去除冗余;对于少数类,通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本,插值生成方法如下:
其中表示新生成的样本,表示聚类中心样本点,为选出的K近邻点,是一个随机数;
对采样后的多数类样本和通过SMOTE生成的少数类样本进行拼接,得到待定数据集;使用Tomek Link采样法消除待定数据集中存在的噪音样本点,得到聚类混合采样后的训练集数据。
3.根据权利要求2所述的车载控制器局域网络入侵检测方法,其特征在于,所述通过 SMOTE方法根据其聚类中心进行插值来生成额外的样本为,生成少数类的聚类中心为在第一次聚类基础上,进行二次聚类,根据二次聚类的聚类中心使用SMOTE生成同一类型的少数类数据。
4.根据权利要求2所述的车载控制器局域网络入侵检测方法,其特征在于,所述极度不平衡指多数类与少数类的样本比例大于100:1。
5.根据权利要求2所述的车载控制器局域网络入侵检测方法,其特征在于,所述Stacking集成模型分为两层,第一层分别使用XGBoost模型 、LightGBM模型以及CatBoost模型通过五折交叉验证得到初步分类结果,将所述初步分类结果作为特征进行横向拼接,得到新的训练集;第二层使用所述新的训练集对MLP模型进行训练,得到最终的Stacking集成模型。
6.一种车载控制器局域网络入侵检测设备,其特征在于,所述设备包括存储器和处理;所述存储器存储有实现根据权利要求1-5任一所述车载控制器局域网络入侵检测方法的计算机程序,所述处理器执行所述计算机程序。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述的计算机程序被处理器执行时实现根据权利要求1-5任一所述车载控制器局域网络入侵检测方法的步骤。
技术总结
本发明属于车联网安全技术领域,公开了一种车载控制器局域网络入侵检测方法及设备。本发明的方法包括,对采集的原始数据进行数值化和归一化处理,得到预处理后的数据,并划分为训练集和测试集;采用PSO‑LightGBM双向特征选择方法对所述预处理后的数据进行特征筛选;使用Stacking集成模型对经过预处理和特征筛选之后的测试集数据进行分类,得到入侵检测结果。本发明用于高效、准确地检测出中车载控制器局域网络出现的入侵信息,防止由于车载控制器局域网络被入侵导致的车联网安全事件。
技术研发人员:戚湧;孙扬威;
受保护的技术使用者:南京理工大学;
技术研发日:2022.02.23
技术公布日:2022.03.22
本文用于企业家、创业者技术爱好者查询,结果仅供参考。