本发明专利技术公开了一种基于交通流密度差异的车联网异常入侵检测方法,属于车联网及网络入侵检测领域。本发明专利技术在车载单元和路侧基站内都设置有事件分析模块,首先根据路网中实际交通流密度的不同来选择分布式入侵检测机制或集中式入侵检测机制;然后通过车载单元来获取车辆节点中的相关网络信息和交通信息,利用车载计算机或路基计算机中的事件分析模块,使用加权改进的朴素贝叶斯算法对信息进行分类检测,实现车联网网络环境中的异常入侵检测。本发明专利技术的两种检测机制相互配合使车辆节点在任何移动速度下都可以被检测,保证了入侵检测的完整性和高效性,解决了传统入侵检测系统不适应于车联网通信动态变化、网络节点快速移动的问题。
【技术实现步骤摘要】
一种基于交通流密度差异的车联网异常入侵检测方法
本专利技术涉及车联网技术以及网络入侵检测技术,具体涉及一种基于交通流密度差异的车联网异常入侵检测方法。
技术介绍
随着交通领域的智能化发展,车联网技术已经被认为是未来智能交通的核心技术之一。目前,车联网的发展为我们的生活提供了极大的便利,包括交通信息的实时传递、减少交通拥堵等,同时车联网中的信息安全问题也逐渐显现。例如:黑客入侵Jeep事件、部分配备ConnectedDrive数字服务系统的车辆存在安全漏洞等,并且车联网的安全问题一旦爆发将会严重威胁到人们的生命财产安全。为了解决车联网的安全性问题人们已经提出了很多安全保障机制,包括安全认证技术、密钥管理技术等,这些基于预防的安全机制对于已经加入网络中的恶意节点的攻击仍然无法防御,因此基于检测的安全机制十分重要。查阅资料发现,目前已经有较多针对无线网络入侵检测的技术,但针对车联网的入侵检测研究仍然较少。现有的技术有基于公交车网络簇首节点的入侵检测技术、基于移动安全代理的网络入侵检测技术等。但上述的这些检测手段都有着明显的限制条件,在公交车网络中将车辆节点分簇并确定簇首节点的过程十分复杂,在实际中很难实现;基于移动安全代理的检测技术要求加入网络中的节点必须完全可信,在不断拓扑变化的车联网络环境下也不完全适应。综上所述,现有的技术还有较多不足之处,因此在设计适用于车联网的入侵检测技术时在考虑到交通环境基本特征的同时还要考虑到车联网拓扑频繁、节点高速移动、通信信道不稳定的特点,并以此设计出一种高效自适应的车联网入侵检测系统。入侵检测于1980年第一次被提出,随着网络环境的不断发展入侵检测系统的研发也呈现出繁荣多样发展的局面。入侵检测系统是对网络的信息传输进行实时监测在发现异常时及时发出警报或者采取措施的系统。基本的入侵检测结构包括事件产生器、事件分析器、事件数据库、响应单元四个模块,并且遵循P2DR动态信息安全模型。现有的用于入侵检测的算法繁多包括:神经网络、支持向量机、遗传算法、统计学算法等,对于神经网络分类算法来说,在实现过程中可以通过机器学习不断更新分类系统,但将其应用于车联网系统中成本过大,耗费时间较多,不能保证在频繁拓扑的车联网环境中实现实时检测;对于支持向量机它在解决小样本、非线性以及高维模式识别中有许多优势,但在车联网入侵检测中数据量庞大,且主要涉及到两类识别因此支持向量机的应用也会存在一些不足之处;基于统计学的朴素贝叶斯算法被广泛应用,这种算法在两类分类问题中有较强的分类能力,但是朴素贝叶斯算法分类精度较低在实际应用时应根据实际需求进行相应改进与调整。
技术实现思路
针对现有技术的不足,本专利技术利用一种改进的朴素贝叶斯分类算法,完整的考虑到整个网络的特点之后,设计了一种基于交通流密度差异的车联网异常入侵检测方法,根据不同的交通状况对车联网络采用不同的入侵检测机制,保证每一个车辆节点在车联网的通信范围内能够被完全检测,并且该检测方法能够适应车联网拓扑频繁、网络节点高速移动、路侧基站通信范围有限的特点。本专利技术提供的一种基于交通流密度差异的车联网异常入侵检测方法,基于车联网,每辆车装配有车载单元,在路侧设置有路侧基站,通过车载单元和路侧基站进行信息采集,采集的信息包括网络数据包信息和交通基本信息。在车载单元和路侧基站内都设置有事件分析模块。本专利技术方法进行异常入侵检测的步骤包括如下:步骤一:路侧基站对通信范围内的车速进行采集,根据不同交通状况选择不同检测机制。1)当路侧基站检测到路网中的车辆速度>VT时,表示车辆在路侧基站的通信范围内停留时间短,此时采用分布式入侵检测机制,执行步骤二,在车辆节点中进行本地检测,在不同车辆节点间进行联机响应检测。2)当路侧基站检测到路网中的车辆速度≤VT时,车辆在路侧基站的通信范围内停留时间长,此时采用集中式入侵检测机制,执行步骤三,将车辆单元采集的信息传输到路侧基站处,以路侧基站作为中心节点进行统一集中式检测。步骤二:车辆上的车载单元执行分布式入侵检测机制;车载单元采集网络数据包信息和车辆信息,利用车载单元中的事件分析模块进行异常入侵检测;当检测到异常后,启动联机响应模块及时报警并切断与相邻节点的连接。步骤三:路侧基站执行集中式入侵检测机制。各车辆将采集的网络数据包信息和车辆信息发送给路侧基站,路侧基站利用本地的事件分析模块进行异常入侵检测;若检测到异常时报警并切断车辆节点与路侧基站之间的连接。所述的事件分析模块利用加权优化的朴素贝叶斯算法进行异常入侵检测,包括:启动事件分析模块,数据的检测与分类;若检测出异常则及时做出报警响应,并且将异常数据特征存入异常数据库中,若未检测出异常则将该数据标记为正常存入正常数据库中。本专利技术通过上面两种机制不断地在整个车联网覆盖范围内传递,从而实现整个网络的异常入侵检测。所述的事件分析模块中采用加权改进的朴素贝叶斯算法进行异常入侵检测,包括:设X为待检测的特征向量,表示为X={x1,x2,…xn},x1,x2,…xn为对应的n个特征属性值,设有m个分类为C1,C2,…Cm,n、m为正整数;先确定各特征属性的权值ωk,k=1,2,…n;然后利用如下公式计算X的分类结果VWNBC(X):其中,P(Ci)为类别Ci的先验概率;P(xk|Ci)为在类别Ci的条件下特征属性xk的条件概率。相比较已有的技术,本专利技术的优点如下:(1)本专利技术根据不同的交通环境采用两种不同的入侵检测机制,两种检测机制相互配合使车辆节点在任何移动速度下都可以被检测,保证了入侵检测的完整性和高效性,解决了传统入侵检测系统不适应于车联网通信动态变化、网络节点快速移动的问题;(2)本专利技术中的分布式入侵检测机制可以很好的适应车载自组织网络分布式的特点,同时可以适应车联网车辆节点移动速度快、网络拓扑频繁、无线通信信道不稳定的特点,是一种新型高效的入侵检测机制。这种分布式协作入侵检测系统(IDS)可以很好的弥补单节点IDS中存在的缺点,考虑到网络中各节点间的合作关系,分布式入侵检测中的每个节点不仅进行本地检测,而且会与其他节点合作做出联机响应共同参与整个网络的入侵检测,使得对单节点入侵和全网入侵检测效率都大大提高。(3)本专利技术中的集中式入侵检测机制直接以路侧通信单元作为检测中心,减去了在网络中选择分簇簇首节点和中心节点的过程,不同于传统的分级IDS,使得整个检测过程步骤简化、效率提高。(4)本专利技术采用一种利用属性间相关性来确定各数据特征属性的权值,并用此权值对朴素贝叶斯分类算法改进用于入侵检测数据分析模块中,改进的算法考虑到实际存在的数据之间不可能完全独立的状况,通过确定权值提高了分类算法的分类精确率,并且更加符合实际数据的特征属性。附图说明图1为本专利技术的入侵检测系统应用交通场景图;左图为车辆数较少车速较快的场景,右图为车辆数较多车速较慢的场景;图2为本专利技术的分布式入侵检测机制流程图;图3为本专利技术的集中式入侵检测机制流程图;图4为本专利技术的加权朴素贝叶斯分类算法计算流程图。具体实施方式下面结合附图和实例对本专利技术进行详细的描述。如图1所示,为本专利技术的入侵检测系统应用交通场景图,该场景分为两种分别对应描述了两种入侵检测机制的适用情况,交通场景中包括车辆自组织网络和车辆与路侧基站构成的网络本文档来自技高网...
【技术保护点】
1.一种基于交通流密度差异的车联网异常入侵检测方法,应用于车联网,每辆车装配有车载单元,在路侧设置有路侧基站,通过车载单元和路侧基站进行信息采集,进行异常入侵检测,其特征在于,在车载单元和路侧基站内都设置有事件分析模块;所述的检测步骤包括:步骤1:路侧基站对通信范围内的车速进行采集,根据不同交通状况选择不同检测机制;当路侧基站检测到车速大于等于预设速度VT时,采用分布式协作入侵检测机制,执行步骤2;否则,采用集中式入侵检测机制,执行步骤3;VT为正数;步骤2:车辆上的车载单元执行分布式入侵检测机制;车载单元采集网络数据包信息和车辆信息,利用车载单元中的事件分析模块进行异常入侵检测;当检测到异常后,启动联机响应模块及时报警并切断与相邻节点的连接;步骤3:路侧基站执行集中式入侵检测机制;各车辆将采集的网络数据包信息和车辆信息发送给路侧基站,路侧基站利用本地的事件分析模块进行异常入侵检测;若检测到异常时报警并切断车辆节点与路侧基站之间的连接;所述的事件分析模块中采用加权改进的朴素贝叶斯算法进行异常入侵检测,包括:设X为待检测的特征向量,表示为X={x1,x2,…xn},x1,x2,…xn为对应的n个特征属性值,设有m个分类为C1,C2,…Cm,n、m为正整数;先确定各特征属性的权值ωk,k=1,2,…n;然后利用如下公式计算X的分类结果VWNBC(X):...
【技术特征摘要】
1.一种基于交通流密度差异的车联网异常入侵检测方法,应用于车联网,每辆车装配有车载单元,在路侧设置有路侧基站,通过车载单元和路侧基站进行信息采集,进行异常入侵检测,其特征在于,在车载单元和路侧基站内都设置有事件分析模块;所述的检测步骤包括:步骤1:路侧基站对通信范围内的车速进行采集,根据不同交通状况选择不同检测机制;当路侧基站检测到车速大于等于预设速度VT时,采用分布式协作入侵检测机制,执行步骤2;否则,采用集中式入侵检测机制,执行步骤3;VT为正数;步骤2:车辆上的车载单元执行分布式入侵检测机制;车载单元采集网络数据包信息和车辆信息,利用车载单元中的事件分析模块进行异常入侵检测;当检测到异常后,启动联机响应模块及时报警并切断与相邻节点的连接;步骤3:路侧基站执行集中式入侵检测机制;各车辆将采集的网络数据包信息和车辆信息发送给路侧基站,路侧基站利用本地的事件分析模块进行异常入侵检测;若检测到异常时报警并切断车辆节点与路侧基站之间的连接;所述的事件分析模块中采用加权改进的朴素贝叶斯算法进行异常入侵检测,包括:设X为待检测的特征向量,表示为X={x1,x2,…xn},x1,x2,…xn为对应的n个特征属性值,设有m个分类为C1,C2,…Cm,n、m为正整数;先确定各特征属性的权值ωk,k=1,2,…n;然后利用如下公式计算X的分类结果VWNBC(X):其中,P(Ci)为类别Ci的先验概率;P(xk|Ci)为在类别Ci的条件下特征属性xk的条件概率。2.根据权利要求1所述的方法,其特征在于,所述的步骤1中,VT设置为45km/h。3.根据权利要求1所述的方法,其特征在于,所述的步骤2中,车辆信息包括车辆速度和车辆地理位置,网络数据包信息包括车辆节点接入网络持续时间duration、车辆节点访问系统敏感文件和目录的次数hot、从目标车辆节点到源车辆节点的数据的字节数dst_bytes以及车辆节点登录通信网络尝试失败的次数num_failed_logins。4.根据权利要求1所述的方法,其特征在于,所述的车载单元和路侧基站内还都设置异常特征库和正常...
【专利技术属性】
技术研发人员:田大新,王从毓,王云鹏,李玉洲,段续庭,周建山,朱宇凯,刘超,康璐,刘文豪,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。