一种基于车辆自组织网络流量异常的黑客车辆检测方法
【专利摘要】本发明公开了一种基于车辆自组织网络流量异常的黑客车辆检测方法,该方法可以通过路侧设备的通信单元获取车载单元发出的信息,并将其流量信息上传到管理中心,运用方差分析法和拉伊达准则计算得到其阈值,将得到的流量进行比较,超出阈值范围的视为异常流量,提取发出该流量的车辆ID,视为可疑的黑客车辆。本发明针对车辆自组织网络中常见攻击会引起流量异常的特点,利用流量的变化预测黑客车辆;本发明将方差分析法与拉伊达准则结合起来,来计算流量阈值,使误判率降低。
【专利说明】
-种基于车辆自组织网络流量异常的黑客车辆检测方法
技术领域
[0001 ]本发明设及车联网和DSRC(Dedicated 化ort Range Communication)通信技术, 尤其设及一种基于车辆自组织网络流量异常的黑客车辆检测方法。
【背景技术】
[0002] DSRC即Dedicated Sho;rt Range Communications(专用短程通信技术),是一种高 效的无线通信技术,它可W实现在特定小区域内(通常为数十米)对高速运动下的移动目标 的识别和双向通信,例如车辆的"车-路"、"车-车"双向通信,实时传输图像、语音和数据信 息,将车辆和道路有机连接。DSRC设备的研发是智能交通系统(ITS)研究中的一个重要课 题,广泛地应用在不停车收费、出入控制、车队管理、信息服务等领域,并在区域分割功能即 小区域内车辆识别、驾驶员识别、路网与车辆之间信息交互等方面具备得天独厚的优势。
[0003] 但随着车联网技术的不断发展,车辆网络安全问题也暴露出来,车辆遭到黑客攻 击的事件层出不穷。据美国汽车媒体Leftlanenews近日消息,根据PT&C Forensics咨询公 司发布的最新报告显示出目前最容易受到黑客攻击,报告显示,2014款Jeep自由光,2014款 英菲尼迪Q50J014款凯迪拉克凯雷德,2014款福特化Sion和2014/2010款丰田普锐斯是最 容易受到黑客攻击的车型。两名安全专家化arlie Miller和化ris Valasek向《Wired》(连 线杂志)记者Andy Greenberg演示了如何让司机对高速行驶的汽车彻底失去控制。当 Greenbe巧开着运辆被黑的Jeep切诺基在高速公路飞驰时,Mi Iler和化Iasek先是用电脑远 程调高了车载音响的音量,然后开启了冷空调、雨刮器。他们甚至可W控制油口和刹车,对 于高速行驶中的汽车而言,运是生死攸关的安全问题。
[0004] 运个案例是黑客使用电脑进行远程入侵车辆,但现在出现了黑客利用车辆入侵车 辆的事件。黑客车辆将通过DSRC通信技术入侵其他车辆,造成财产损失甚至是人员伤亡。
【发明内容】
[0005] 本发明的目的是为了解决上述问题,基于车辆自组织网络中的流量异常,提出一 种黑客车辆检测方法,该方法通过对流量的检测,找出可疑车辆,本发明更有效地检测出可 疑的黑客车辆,及时进行预警。
[0006] -种基于车辆自组织网络流量异常的黑客车辆检测方法,包括W下几个步骤:
[0007] 步骤一:在道路上安装路测设备RSU,在车上安装车载单元OBU,实现车路和车车的 通信,车辆在与外界进行通信时,向外界发送数据包,通过路侧设备不间断的接收车辆发出 的数据包,并对其进行分析处理;
[000引路侧设备获取各车辆发出的数据包,将数据包上传至计算机;
[0009] 步骤二:计算机根据获取的数据包,对网络流量进行监测,根据设定的阔值,对超 过阔值的流量变化判定为流量异常;
[0010] 步骤检测异常流量的发送车辆IP,将其视为可疑黑客车辆,进行预警。
[ocm]本发明的优点在于:
[001^ (I)本发明利用DSRC通信技术,针对黑客通过车辆进行攻击,提出检现巧法;
[0013] (2)本发明针对车辆自组织网络中常见攻击会引起流量异常的特点,利用流量的 变化预测黑客车辆;
[0014] (3)本发明将方差分析法与拉伊达准则结合起来,来计算流量阔值,使误判率降 低。
【附图说明】
[0015] 图1为本发明的黑客车辆检测整体流程图;
[0016] 图2为DSRC通信场景图;
[0017] 图3为OBU整体结构图;
[001引图4为RS师則牛连接示意图;
[0019] 图5为本发明的方差分析法流程图。
【具体实施方式】
[0020] 下面将结合附图和实施例对本发明作进一步的详细说明。
[0021] 路侧单元(RSU)和车载单元(0脚)实现了车车通信和车路通信,构成了车辆自组织 网络。有些黑客通过车辆对其他车辆进行攻击,其中常见的入侵方式有网络扫描、DDoS攻 击、蠕虫攻击等,入侵检测作为防火墙之后的第二道屏障,起着越来越重要的作用。基于网 络流量异常的入侵检测作为一种新的技术,针对DDoS、蠕虫等影响网络流量的攻击有着较 为高效的检测能力,但目前尚处于研究的初级阶段,还面临着很大的挑战。本发明通过对流 量的监测,判断流量的变化是否异常,并找出可疑车辆的IP,进行黑客车辆预警。
[0022] 本发明的一种基于车辆自组织网络流量异常的黑客车辆检测方法,流程如图1所 示,包括W下几个步骤:
[0023] 步骤一:在道路上安装路测设备,在车上安装车载单元,实现车路和车车的通信连 接,车辆在与外界进行通信时,向外界发送数据包,通过路侧设备不间断的接收车辆发出的 数据包,并对其进行分析处理。
[0024] 图2为本发明的DSRC通信场景图,场景描述了在道路上通过DSRC通信技术实现车 车通信和车路通信的基本过程。该场景中部署了路侧设备(RSU)和车载单元(OBU),路侧设 备可W收集各车辆发出的数据包,并且可W上传数据至计算机,计算机可W对流量进行分 析计算。根据现有的技术,其具体过程为:路上的车辆安装了车载单元,不同车辆之间通过 车载单元,利用DSRC通信技术进行通信;在路边安装路侧设备,能够接受和发送信息,也能 够将信息上传到计算机网络。RSU与OBU之间的通信支持广播和点对点两种方式。广播方式 下,RSU与0脚之间不需要建立专用通信链路,W广播MC地址作为链路标识,所有0脚都能接 收RSU发出的信息;点对点方式下,RSU与0脚之间需建立专用通信链路,该链路W专用MC地 址作为唯一标识。
[0025] 专用链路的建立过程如下:
[0026] (I)RSU周期性广播需要OMJ回复的信息;
[0027] (2)通信区域内OMJ收到该信息后,随机延时Nl个时间单位化;
[002引(3)0脚发送包括其MAC地址的信息到RSU;
[0029] (4) R洲确认收到合法帖后,登记对应的OBU的MAC地址,并W该MAC地址与对应的 0脚通信;
[0030] (5)0脚收到带本0脚的MAC地址的下行链路帖后,专用链路建立成功。
[0031] 撤销过程为:专用通信链路的撤销W及R洲对OBU的MAC地址的注销,由R洲逻辑自 行确定。
[0032] 图3所示为0脚整体结构。0脚又叫车载单元,就是采用DSRC技术,与RSU等进行通讯 的微波装置,通信速度最高可达300Mbit/s。当车辆高速通过RSU的时候,OBU和RSU/0脚之间 用微波进行通讯,其距离可W达到十几米到几十米之间,其频率为5.8G化。MCU单元是0脚核 屯、部分,控制各个模块的有序工作,完成编解码和交易流程等工作;射频发射/接收模块实 现信号的发射与接收W及信号的调制与解调;电源管理模块负责管理OBU的电源,保证可靠 工作的同时实现最低的功耗;唤醒模块一方面要保证车辆在进入RSU的通信区域时OBU能被 及时唤醒,开始正常工作,另一方面还要避免0脚在非RSU的通信区域被误唤醒;加密模块实 现数据加密及交易过程安全认证;接口及显示模块提供USB接口和LCD显示。
[0033] 图4为R洲端的硬件连接示意图,道路上的车辆通过车载单元与路侧设备进行通 信,通信方式为DSRC技术。然后通过数据总线连接到控制器,该控制器是在32位终端设备发 卡板上修改的,并通过TCP^P协议与后台PC通信。后台PC将数据传输到车道控制器,车道控 制器可W激活车载单元,实现与车辆的通信,并且可W将数据上传到计算机网络中。
[0034] 通过上述设备和通信方式,计算机可W获取车辆发出的数据包,并得到其网络流 量,上述设备已有研究和应用。
[0035] 步骤二:如果黑客车辆想要对其他车辆进行攻击,其将会发出大量的数据包。通过 路侧设备将数据包传输到计算机中,对网络流量进行监测,根据相应的算法设定阔值,对超 过阔值的流量变化判定为流量异常。
[0036] 图5为本发明流量阔值的计算方法,阔值的设定是本发明至关重要的一步,阔值设 定的过大,那么漏警率会提高,阔值设定的过小,则虚警率就会提高,所W需要选择合适的 阔值。
[0037] 网络流量在每天的同一时刻会有一定的相似性,但是又可能会有部分的变化,因 此本发明采用的是方差计算的方式,计算出一个浮动值,在超过浮动值的时候就认为是出 现了异常。具体的计算过程如下:
[0038] 因为每辆车对外发出的流量都是独立的随机变量,根据中屯、极限定理,如果随机 变量X可W表示成很多个独立的随机变量Xl,X2,…,Xn之和,只要每个XiQ = I,2,...,n)对 X只起微小的作用,在n比较大的情况下,就可W认为X服从正态分布。对于n个数据,样本方 差计算如下:
[0039]
[0040] 其中:S为标准差,n为数据包的个数,Xi为第i个数据包的大小;
[0041] 利用样本均值和标准差能为流量特性的总体均值构造一个置信区间,利用运个区 间来判定异常,样本的标准差为:
[0042]
[0043] 根据拉伊达准则,数值分布在(X-3&,X + 3S")中的概率为0.9974,超过运个范围 的概率非常小,根据小概率原理,可W将
定为阔值,对收到的网络 流量进行分析计算,其中M为阔值上限的数据包大小,m为阔值下限的数据包大小,J为平均 数据包大小。若变化较小,流量在M与m之间,则认为是正常变化;若流量变化较大,大于M或 小于m,则认为是可疑流量。
[0044] 步骤检测异常流量的发送车辆IP,将其视为可疑黑客车辆,进行预警,并实施 进一步的处理措施。
[0045] -旦发现可疑流量,提取其IP地址视为可疑车辆进行预警,将其IP地址提交数据 库,并可W采取进一步的措施。
【主权项】
1. 一种基于车辆自组织网络流量异常的黑客车辆检测方法,包括以下几个步骤: 步骤一:在道路上安装路测设备RSU,在车上安装车载单元OBU,实现车路和车车的通 信,车辆在与外界进行通信时,向外界发送数据包,通过路侧设备不间断的接收车辆发出的 数据包,并对其进行分析处理; 路侧设备获取各车辆发出的数据包,将数据包上传至计算机; 步骤二:计算机根据获取的数据包,对网络流量进行监测,根据设定的阈值,对超过阈 值的流量变化判定为流量异常; 步骤三:检测异常流量的发送车辆IP,将其视为可疑黑客车辆,进行预警。2. 根据权利要求1所述的一种基于车辆自组织网络流量异常的黑客车辆检测方法,所 述的步骤步骤二中,阈值的设定方法为: 设Xi为某车第i个数据包的大小,则方差为:其中:S为标准差,η为数据包的个数; 标准差为:设定阈值下限的数据包大小为m,阈值上限的数据包大小为Μ,则其中,?为平均数据包大小,当流量大于或者等于m且小于或者等于Μ时,为正常变化,若 流量大于Μ或小于m时,则判断流量异常。
【文档编号】H04W4/00GK105828333SQ201610307892
【公开日】2016年8月3日
【申请日】2016年5月11日
【发明人】田大新, 王云鹏, 黄崇轩, 杨越, 石谦
【申请人】北京航空航天大学