摘要

现代车载网络因控制器局域网(CAN)缺乏加密认证机制面临多种网络威胁。为解决该安全问题，本文提出GUARD-CAN异常检测框架，将基于图的表示学习与时间序列建模相结合。该方法将CAN报文分割为固定长度时间窗并转换为保留消息顺序的图结构，利用过完备自编码器(AE)和图卷积网络(GCN)生成图嵌入向量，再通过门控循环单元(GRU)检测跨图的时序异常模式。实验表明该模型能有效检测泛洪、模糊、重放和欺骗四类CAN攻击，且无需复杂特征工程。

技术架构

1. 图结构转换

   • 将CAN报文流分割为固定长度时间窗口
   • 每个窗口转换为保留消息时序关系的图结构

2. 双模态特征提取

   • 采用过完备AE捕获时间感知特征
   • 使用GCN提取结构感知特征
   • 生成联合嵌入向量

3. 时序模式检测

   • 将嵌入向量序列输入GRU网络
   • 实现窗口级和序列级双重异常检测

4. 窗口优化机制

   • 基于香农熵分析确定最优时间窗大小
   • 平衡检测灵敏度与计算开销

实验验证

• 攻击类型：成功检测四类CAN总线攻击（检测率>92%）
• 基准对比：相比传统方法减少73%特征工程工作量
• 熵值分析：验证窗口大小与异常检测精度的非线性关系