【技术实现步骤摘要】
一种基于指令序列的车联网异常流量识别方法及装置
[0001]本专利技术涉及数字信息的传输
,具体涉及一种基于指令序列的车联网异常流量识别方法及装置。
技术介绍
[0002]目前我国的车联网协议主要有JT/T808、JT/T905、GB/T32960等协议,以JT/T808为例,它是由交通运输部制订的标准协议,规定了道路运输车辆卫星定位系统北斗兼容车载终端与监管/监控平台之间的通讯协议与数据格式,包括协议基础、通讯连接、消息处理、协议分类与说明及数据格式。
[0003]检索到的车联网的异常流量主要是入侵流量,其识别主要采用机器学习或者深度学习,对车载终端与云平台、车载终端与终端的数据流的时间特征和内容特征进行模型训练,机器学习主要是对报文的长度、载荷、时间序列、流持续时间、流方向、速率等进行特征提取,采用朴素贝叶斯,SVM等模型进行训练识别,深度学习则主要是根据内容特征,采用深度神经网络(CNN,SAE等)进行模型训练。识别方案集中在流的特性以及整体载荷特征,与通用流量的分析和检测方法较类似,未体现和结合车联网协...
【技术保护点】
【技术特征摘要】
1.一种基于指令序列的车联网异常流量识别方法,其特征在于:包括以下步骤:S1、训练用数据流量采集分析:流量采集模块通过抓包工具抓取车联网流量中的正常流量和异常流量作为训练用数据流量输出至所述数据预处理模块,所述正常流量为车载终端和云服务平台交互流量,所述异常流量从所述云服务平台采集;S2、训练用车联网流量预处理:所述数据预处理模块将所述训练用数据流量通过三元组拆分成多组不同源IP会话流后再依次将所述不同源IP会话流按照五元组划分成单流输出至规则提取模块;S3、训练用车联网流量规则提取:所述规则提取模块根据车联网协议的结构从所述单流指定的偏移位置提取车联网指令载荷并将所述车联网指令载荷按照包次序进行拼接,得到每个单流对应的指令流序列,然后针对每一个同源IP下的多组所述指令流序列,选择前m个指令流的前m个字节内容转换成m*m的图片并形成二维矩阵X
m*m
输出至所述模型训练模块,每一个同源IP会话流输出一个二维矩阵;S4、CNN模型搭建及训练:所述模型训练模块搭建卷积神经网络CNN模型,将正常流量二维矩阵X
m*m
打标为1、异常流量二维矩阵X
m*m
打标为0后输入CNN模型训练,得到判别模型;S5、待检测车联网流量检测并输出识别结果:将待检测车联网流量依次输入所述数据预处理模块和所述规则提取模块进行预处理、规则提取后对通过所述判别模型对正常流量和异常流量分类并输出识别结果。2.根据权利要求1所述的一种基于指令序列的车联网异常流量识别方法,其特征在于:步骤S1中,所述正常流量包括注册流量、鉴权流量、心跳流量、地图路况查询流量、上传流量、辅助驾驶信息流量和娱乐信息服务流量,所述异常流量包括所述云服务平台采集的入侵流量、扫描探测流量和DDOS流量,所述正常流量和所述异常流量均为TCP流量。3.根据权利要求1所述的一种基于指令序列的车联网异常流量识别方法,其特征在于:步骤S2中,所述不同源IP会话流为双向流;所述三元组包括源IP、目的IP和目的端口,所述五元组包括源IP、源端口、目的IP、目的端口和传输层协议,所述不同源IP会话流的源IP相同、目的IP相同、目的端口相同、源端口不同,每组所述不同源IP会话流按照TCP链接的发起到结束切割成多条所述单流。4.根据权利要求1所述的一种基于指令序列的车联网异常流量识别方法,其特征在于:步骤S3中,所述车联网协议为JT/T808协议,所述指定的偏移位置为有效载荷的第2字节和第3字节,根据所述单流的有效TCP载荷第一个字节是否是协议标志位\x7e来确认所述车联网协议是否为JT/T808协议;当前m个所述指令流中的所述单流字节数不足m时,使用0填充。5.根据权利要求1所述的一种基于指令序列的车联网异常流量识别方法,其特征在于:步骤S4包括以下步骤:S41、所述模型训练模块搭建卷积神经网络CNN模型,所述卷积神经网络CNN模型包括依次连接的网络输入层、卷积层、池化处理层和全连接处理层;S42、所述网络输入层将二维矩阵X
m*m
转换为m*m的矩阵序列后输出至所述卷积层,所述m*m的矩阵序列包括打标为1的正常流量二维矩阵X
m*m
和打标为0的异常流量二维矩阵X
m*m
,其中,1为正向,2为反向;S43、所述卷积层对所述m*m的矩阵序列进行特征提取和卷积操作得到特征图;所述卷
...
【专利技术属性】
技术研发人员:刘红雨,孟强,李彦君,梁国光,王碧扬,王红涛,李竞,隆冰,王飞,游帅,刘杰,林飞,易永波,华仲锋,阮伟军,詹斯伟,杨伦,陈磊,关振府,栗志新,
申请(专利权)人:中国移动通信集团山西有限公司任子行网络技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。