随着物联网、移动通信等技术的飞速发展,汽车的信息化、网联化程度不断提高。然而近年来频繁发生的汽车信息安全事件表明,汽车面临着严峻的信息安全问题。攻击者经过多种途径入侵汽车后,通过车内网络发送恶意指令,从而控制汽车。CAN总线是使用最广泛的车内网络总线协议,负责传输车内的控制指令、状态信息。因此,对CAN总线的安全防护是保证车内网络安全的核心。异常检测作为网络安全防御的重要手段,能以总线节点的形式嵌入到CAN总线中,在不影响总线通信的前提下,报告网络中的异常行为,可以很好地适用于车载网络环境。但研究发现,现有方案仍然存在以下不足:1)现有基于信息熵的异常检测方案没有考虑总线传输速率和非周期报文对熵值的影响,也没有利用不同报文之间的联系,导致了误报的同时也无法确定异常报文的ID;2)恶意指令存储在报文数据域,然而由于CAN总线通信矩阵保密的原因,现有方案对报文数据域的考虑较少,不能有效地检测篡改攻击,没有对CAN总线的异常报文进行细粒度的检测和定位。针对CAN总线的安全问题和现有方案的不足,本文根据CAN总线报文的不同特征,提出了相应的异常检测方案,从不同角度保护CAN总线的安全。本文的主要研究工作包括:1.深入分析了车载网络的信息安全问题和现有的异常检测方案。分类描述了汽车的攻击接口以及带来的安全问题,并详细介绍了CAN总线的特性。在此基础上,归纳总结了CAN总线面临的安全缺陷和攻击方式。最后根据CAN总线的特点,提出了CAN总线安全防护面临的挑战。总结了车载网络异常检测的难点,并分类概述了现有的车载网络异常检测方案。2.针对现有基于信息熵的CAN总线异常检测方案的缺陷,提出了基于相对熵的CAN总线异常检测方案。本方案采用了固定报文数量的滑动窗口,并利用报文之间的联系对报文进行结对。通过计算两种相对熵对异常进行检测,在有效检测出总线异常行为的同时,可以给出异常报文的ID。最后在真实的车载CAN总线数据集上验证了方案的有效性,准确检测出了CAN总线上的重放攻击和DoS攻击,并探讨了异常阈值的设置问题和滑动窗口大小对检测结果的影响。3.针对现有方案对CAN总线报文数据域的考虑较少的问题,提出基于报文数据域的CAN总线异常检测方案。本方案设计算法提取了报文数据域的常值、多值和循环值特征,根据这些特征建立正常报文模型,实现对异常报文细粒度的检测和定位。最后在从不同品牌的车内网络中收集的CAN总线数据集上进行实验,从准确率、检测率、误警率和漏报率等方面验证了本方案的性能。