CN103237308B - 一种车载自组织网络的分布式入侵检测方法 - Google Patents
一种车载自组织网络的分布式入侵检测方法 Download PDFInfo
- Publication number
- CN103237308B CN103237308B CN201310177157.7A CN201310177157A CN103237308B CN 103237308 B CN103237308 B CN 103237308B CN 201310177157 A CN201310177157 A CN 201310177157A CN 103237308 B CN103237308 B CN 103237308B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- feature database
- feature
- local
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明提供了一种车载自组织网络的分布式入侵检测方法,车辆节点采用改进的朴素贝叶斯分类算法启动本地检测,当检测出异常时,将数据标记为异常并存入本地特征库,其本地响应模块立即采取响应措施,同时,通过联机响应模块向邻居节点发出异常报警并传递异常特征,如果邻居节点也发现异常,则存入本地特征库,其本地响应模块立即采取响应措施,同时,通过联机响应模块向除异常报警来源节点以外的其它邻居节点发出异常报警并传递异常特征,通过这种方式不断传递下去,从而实现整个车载自组织网络的分布式入侵检测,本发明提高了整个车载自组织网络的分析检测能力,具有体系结构简单、复杂度低、学习能力强和智能化程度高的特点。
Description
技术领域
本发明涉及车载自组织网络领域,特别是涉及一种车载自组织网络的入侵检测方法。
背景技术
车载自组织网络以车辆为基本信息单元,通过车与车、车与路边设施的实时信息交互来保证车辆行驶安全、规避道路拥塞和提高出行舒适度。车载自组织网络的安全机制可以分为基于预防的安全机制和基于检测的安全机制。其中基于预防的安全机制主要指密钥管理和认证实现的访问控制,而基于检测的安全机制则主要指入侵检测。通常,基于预防的防御策略对于那些已经加入车载自组织网络的恶意节点是无能为力的。作为基于检测的安全机制,入侵检测技术可以很好地进行补充。资料表明,目前已有较多无线自组织网络入侵检测方面的成果,但是,到目前为止,国内外仅有少量可供参考的车载自组织网络入侵检测方面的成果。Kachirski等人针对无线自组织网络提出一种基于移动安全代理的入侵检测系统,这种系统的前提是被选出的代理节点必须是绝对可信任的。由于迅速的拓扑变化将导致频繁选举代理节点,因此该方案不适用于车载自组织网络。Zhang等人考虑使用统计技术来解决无线自组织网络中的入侵检测问题。但是该方案应用到车载自组织网络也将面临拓扑迅速变化的挑战:很可能在信息搜集和分析决策完成之前,某些恶意节点已经脱离该网络了。Tian等人提出一种依赖于公交车网络(由公交车构成的虚拟移动骨干网)的入侵检测系统,它以公交车为簇头,将整个车载自组织网络划分为若干簇,在每个簇中实现基于合作的入侵检测。这种系统明显的特点是必须依赖于公交车网络的底层结构。综上所述,一方面由于车载自组织网络中节点的高速移动性使得节点间基于合作的检测很难实现,另一方面基于单个节点的检测又很难搜集到足够的信息用于分析决策。因此,迫切需要设计一种既能充分考虑车载自组织网络高速移动、频繁拓扑变化的特点又具有较高检测能力的入侵检测方法。
入侵检测系统是一种对网络传输进行实时监测,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IETF将一个入侵检测系统分为四个组件:事件产生器,事件分析器,响应单元和事件数据库。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。根据检测对象的不同,入侵检测系统可分为主机型、网络型和分布式。误用检测和异常检测是入侵检测系统最常见的两种分类模型。误用检测是指使用自定义的描述语言生成入侵模式,并解析网络数据等信息,使各信息与入侵模式进行逐一的匹配,从而发现攻击。异常检测是指通过量化分析与统计分析建立正常的使用规则,并将该规则与当前的系统或用户行为进行比较,根据彼此的差异区分攻击行为。除此之外,神经网络、遗传算法、隐马尔可夫、支持向量机、粗糙集以及人工免疫算法等智能方法也被广泛应用于入侵检测。其中基于朴素贝叶斯分类器的入侵检测方法具有分类效果好、鲁棒性强的特点,能够根据少量的训练数据就能估计出必要的参数,但是在直接应用到车载自组织网络时存在一定的局限性,如:没有考虑训练集中未出现过的事件的概率;不能直接处理数据中的连续属性等。
发明内容
本发明所要解决的技术问题是:如何创新地设计一种既能充分考虑车载自组织网络高速移动、频繁拓扑变化的特点又具有较高检测能力的分布式入侵检测方法。
为了解决上述问题,本发明公开了一种车载自组织网络分布式入侵检测方法,其技术方案包括以下各步骤:
步骤1:车载自组织网络中的车辆节点对采集到的原始数据进行预处理,包括无用数据过滤、类型转换和格式统一;
步骤2:车辆节点采用改进的朴素贝叶斯分类算法启动本地检测,所述改进的朴素贝叶斯分类算法包括以下步骤:
(1)利用等宽区间法离散化连续属性:根据指定的区间数K,将连续属性的值域[X min , X max ]划分为K个区间,X min 表示连续属性的最小值,X max 表示连续属性的最大值,并使每个区间宽度相等,即都等于(X max - X min )/K,然后将连续属性值分布在不同区间成为离散值;
(2)建立多项式事件模型:设特征库中有m条记录,每条记录用一个n维特征向量表示X = {x 1, x 2, ..., x n } T ,x n 表示特征向量X的第n个属性,检测结果用一个随机变量y表示,y∈Y,Y = {0, 1},如果y = 1表示这条记录为异常数据,否则y = 0表示这条记录为正常数据,当出现一条属性值为{a 1, a 2, ..., a n }的新记录时,a n 表示特征向量X的第n个属性的值,我们得到最可能的目标值为 ;
(3)利用朴素贝叶斯分类器得到目标函数,y INB 是改进的朴素贝叶斯分类器的目标函数值,x i 表示特征向量X的第i个属性,a i 表示特征向量X的第i个属性的值;
(4)利用拉普拉斯平滑法,估计不同的P(y)和P(x i = a i | y)项的值;
(5)计算出目标函数值并得到检测结果:
如果,则y INB = 0表示这条新记录是正常的数据,将该条记录标记为正常,否则y INB = 1,表示这条新数据是异常数据,将该条记录标记为异常;
(6)利用半衰期更新法更新特征库:设特征库的容量为1,特征库的1/2固定存储着初始的特征数据,称这块区域为原始特征数据区,剩余1/2的空间采用半衰期更新法对特征库进行更新,在进行检测时,节点将学习到的新的正常特征和新的异常特征存入特征库的剩余空间,当特征库存满即剩余空间为0时,则原始特征数据区除外,存入的特征衰减至原来的1/2,即占整个特征库容量的1/4,此时特征库的剩余空间为1/4;当特征库再次存满时,之前衰减过的特征再次衰减1/2,即占整个特征库容量的1/8,则原始特征数据区除外,未衰减过的特征也衰减至原来的1/2,即占整个特征库容量的1/8,此时特征库的剩余空间为1/4;到进行第r次衰减时,最先开始衰减的特征只占特征库容量的1/2 r+1,随后衰减的特征分别占特征库容量的1/2 r+1,1/2 r ,1/2 r-1,...,1/23,此时特征库的剩余空间为1/4;
步骤3:当检测出异常时,当前节点将数据标记为异常并存入本地特征库,其本地响应模块立即采取响应措施,同时,当前节点通过联机响应模块向邻居节点发出异常报警并传递异常特征;反之,如果检测为正常,则将数据标记为正常并存入本地特征库;
步骤4:邻居节点在收到异常报警和异常特征后立即隔离异常报警来源节点,启动本地检测,如果发现异常,则存入本地特征库,其本地响应模块立即采取响应措施,同时,通过联机响应模块向除异常报警来源节点以外的其它邻居节点发出异常报警并传递异常特征;反之,如果检测正常,则邻居节点不会触发联机响应模块;
步骤5:通过这种方式不断传递下去,从而实现整个车载自组织网络的分布式入侵检测。
与现有技术相比,本发明具有以下优点:
(1)本发明采用了一种适用于车载自组织网络的分布式入侵检测体系结构,车辆节点在本地响应模块的基础上,增加了联机响应模块和异常特征的网络传递功能,实现了分布式网络环境下车辆节点之间的合作检测以及异常特征的联机学习,提高了整个车载自组织网络的分析检测能力,具有体系结构简单、复杂度低、学习能力强和智能化程度高的特点;
(2)本发明采用了一种改进的朴素贝叶斯分类算法用于车辆节点的本地检测,该算法利用等宽区间法将连续属性离散化,引入拉普拉斯平滑从观测到的攻击估计未观测到攻击的概率,利用半衰期更新法不断更新本地特征库,这些措施成功解决了朴素贝叶斯分类算法不能处理数据中连续属性的问题以及可能出现事件概率分配不合理的现象,提高了单个车辆节点分析检测的能力。
附图说明
图1为本发明的车载自组织网络的分布式入侵检测系统的体系结构图。
图2为本发明的改进的朴素贝叶斯分类算法流程图。
具体实施方式
下面结合附图对本发明进行详细说明。
如附图1所示,车载自组织网络的分布式入侵检测系统中每个节点由数据处理、本地检测、特征库、本地响应和联机响应模块组成。
本发明方法按照以下步骤进行:
步骤1:车载自组织网络中的车辆节点对采集到的原始数据进行预处理,包括无用数据过滤、类型转换和格式统一;
步骤2:车辆节点采用改进的朴素贝叶斯分类算法启动本地检测; 如附图2所示,改进的朴素贝叶斯分类算法包括以下步骤:
(1)利用等宽区间法离散化连续属性:由于采集到的数据中有些属性值是连续的,不能直接用于朴素贝叶斯分类器,因此需要采用等宽区间法将数据中的这部分连续属性离散化,等宽区间法是一种简单的无监督学习的离散化方法,其离散过程如下:根据指定的区间数K,将连续属性的值域[X min , X max ]划分为K个区间,X min 表示连续属性的最小值,X max 表示连续属性的最大值,并使每个区间宽度相等,即都等于(X max - X min )/K,然后将连续属性值分布在不同区间成为离散值;
(2)建立多项式事件模型:假设特征库中有m条记录,每条记录用一个n维特征向量表示X = {x 1, x 2, ..., x n } T ,x n 表示特征向量X的第n个属性,检测结果用一个随机变量y表示,y∈Y,Y = {0, 1},如果y = 1表示这条记录为异常数据,否则y = 0表示这条记录为正常数据,当出现一条属性值为{a 1, a 2, ..., a n }的新记录时,a n 表示特征向量X的第n个属性的值,我们得到最可能的目标值为;
(3)利用朴素贝叶斯分类器得到目标函数,y INB 是改进的朴素贝叶斯分类器的目标函数值,x i 表示特征向量X的第i个属性,a i 表示特征向量X的第i个属性的值;
(4)利用拉普拉斯平滑法,估计不同的P(y)和P(x i = a i | y)项的值;
(5)计算出目标函数值并得到检测结果:
如果,则y INB = 0表示这条新记录是正常的数据,将该条记录标记为正常,否则y INB = 1,表示这条新数据是异常数据,将该条记录标记为异常;
(6)利用半衰期更新法更新特征库:假设特征库的容量为1,特征库的1/2固定存储着初始的特征数据,我们称这块区域为原始特征数据区,剩余1/2的空间采用半衰期更新法对特征库进行更新,在进行检测时,节点将学习到的新的正常特征和新的异常特征存入特征库的剩余空间,当特征库存满即剩余空间为0时,存入的特征(原始特征数据区除外)衰减至原来的1/2(占整个特征库容量的1/4),此时特征库的剩余空间为1/4。当特征库再次存满时,之前衰减过的特征再次衰减1/2(占整个特征库容量的1/8),未衰减过的特征(原始特征数据区除外)也衰减至原来的1/2(占整个特征库容量的1/8),此时特征库的剩余空间为1/4,到进行第r次衰减时,最先开始衰减的特征只占特征库容量的1/2 r+1,随后衰减的特征分别占特征库容量的1/2 r+1,1/2 r ,1/2 r-1,...,1/23,此时特征库的剩余空间为1/4;
步骤3:当检测出异常时,当前节点将数据标记为异常并存入本地特征库,其本地响应模块立即采取响应措施,同时,当前节点通过联机响应模块向邻居节点发出异常报警并传递异常特征;反之,如果检测为正常,则将数据标记为正常并存入本地特征库;
步骤4:邻居节点在收到异常报警和异常特征后立即隔离异常报警来源节点,启动本地检测,如果发现异常,则存入本地特征库,其本地响应模块立即采取响应措施,同时,通过联机响应模块向除异常报警来源节点以外的其它邻居节点发出异常报警并传递异常特征;反之,如果检测正常,则邻居节点不会触发联机响应模块;
步骤5:通过这种方式不断传递下去,从而实现整个车载自组织网络的分布式入侵检测。
Claims (1)
1.一种车载自组织网络的分布式入侵检测方法,其特征在于,包括以下各个步骤:
步骤1:车载自组织网络中的车辆节点对采集到的原始数据进行预处理,包括无用数据过滤、类型转换和格式统一;
步骤2:车辆节点采用改进的朴素贝叶斯分类算法启动本地检测,所述改进的朴素贝叶斯分类算法包括以下步骤:
(1)利用等宽区间法离散化连续属性:根据指定的区间数K,将连续属性的值域[X min , X max ]划分为K个区间,X min 表示连续属性的最小值,X max 表示连续属性的最大值,并使每个区间宽度相等,即都等于(X max - X min )/K,然后将连续属性值分布在不同区间成为离散值;
(2)建立多项式事件模型:设特征库中有m条记录,每条记录用一个n维特征向量表示X = {x 1, x 2, ..., x n } T ,x n 表示特征向量X的第n个属性,检测结果用一个随机变量y表示,y∈Y,Y = {0, 1},如果y = 1表示这条记录为异常数据,否则y = 0表示这条记录为正常数据,当出现一条属性值为{a 1, a 2, ..., a n }的新记录时,a n 表示特征向量X的第n个属性的值,我们得到最可能的目标值为 ;
(3)利用朴素贝叶斯分类器得到目标函数,y INB 是改进的朴素贝叶斯分类器的目标函数值,x i 表示特征向量X的第i个属性,a i 表示特征向量X的第i个属性的值;
(4)利用拉普拉斯平滑法,估计不同的P(y)和P(x i = a i | y)项的值;
(5)计算出目标函数值并得到检测结果:
如果,则y INB = 0表示这条新记录是正常的数据,将该条记录标记为正常,否则y INB = 1,表示这条新数据是异常数据,将该条记录标记为异常;
(6)利用半衰期更新法更新特征库:设特征库的容量为1,特征库的1/2固定存储着初始的特征数据,称这块区域为原始特征数据区,剩余1/2的空间采用半衰期更新法对特征库进行更新,在进行检测时,节点将学习到的新的正常特征和新的异常特征存入特征库的剩余空间,当特征库存满即剩余空间为0时,则原始特征数据区除外,存入的特征衰减至原来的1/2,即占整个特征库容量的1/4,此时特征库的剩余空间为1/4;当特征库再次存满时,之前衰减过的特征再次衰减1/2,即占整个特征库容量的1/8,则原始特征数据区除外,未衰减过的特征也衰减至原来的1/2,即占整个特征库容量的1/8,此时特征库的剩余空间为1/4;到进行第r次衰减时,最先开始衰减的特征只占特征库容量的1/2 r+1,随后衰减的特征分别占特征库容量的1/2 r+1,1/2 r ,1/2 r-1,...,1/23,此时特征库的剩余空间为1/4;
步骤3:当检测出异常时,当前节点将数据标记为异常并存入本地特征库,其本地响应模块立即采取响应措施,同时,当前节点通过联机响应模块向邻居节点发出异常报警并传递异常特征;反之,如果检测为正常,则将数据标记为正常并存入本地特征库;
步骤4:邻居节点在收到异常报警和异常特征后立即隔离异常报警来源节点,启动本地检测,如果发现异常,则存入本地特征库,其本地响应模块立即采取响应措施,同时,通过联机响应模块向除异常报警来源节点以外的其它邻居节点发出异常报警并传递异常特征;反之,如果检测正常,则邻居节点不会触发联机响应模块;
步骤5:通过这种方式不断传递下去,从而实现整个车载自组织网络的分布式入侵检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310177157.7A CN103237308B (zh) | 2013-05-15 | 2013-05-15 | 一种车载自组织网络的分布式入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310177157.7A CN103237308B (zh) | 2013-05-15 | 2013-05-15 | 一种车载自组织网络的分布式入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103237308A CN103237308A (zh) | 2013-08-07 |
CN103237308B true CN103237308B (zh) | 2015-05-06 |
Family
ID=48885319
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310177157.7A Expired - Fee Related CN103237308B (zh) | 2013-05-15 | 2013-05-15 | 一种车载自组织网络的分布式入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103237308B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104978866A (zh) * | 2014-04-03 | 2015-10-14 | 杨旭 | 分布式自组织公共交通信息系统 |
DE102016204999A1 (de) * | 2016-03-24 | 2017-09-28 | Volkswagen Aktiengesellschaft | Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs |
US11044260B2 (en) | 2016-04-01 | 2021-06-22 | The Regents Of The University Of Michigan | Fingerprinting electronic control units for vehicle intrusion detection |
CN106899614B (zh) * | 2017-04-14 | 2019-09-24 | 北京梆梆安全科技有限公司 | 基于报文周期的车内网络入侵检测方法及装置 |
CN108111510A (zh) * | 2017-12-20 | 2018-06-01 | 北京航空航天大学 | 一种车内网络入侵检测方法及系统 |
CN110958271A (zh) * | 2019-12-24 | 2020-04-03 | 国家计算机网络与信息安全管理中心 | 一种车载外部网络入侵检测系统 |
CN111611589B (zh) * | 2020-05-19 | 2023-07-04 | 浙江华途信息安全技术股份有限公司 | 一种数据安全平台、计算机设备及可读存储介质 |
CN112822684B (zh) * | 2021-02-04 | 2022-12-16 | 中汽创智科技有限公司 | 车辆入侵检测方法及防御系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101286872A (zh) * | 2008-05-29 | 2008-10-15 | 上海交通大学 | 无线传感器网络中分布式入侵检测方法 |
CN101394316A (zh) * | 2008-11-11 | 2009-03-25 | 南京大学 | 基于完全无向图的贝叶斯的网络入侵分类方法 |
US7565692B1 (en) * | 2000-05-30 | 2009-07-21 | At&T Wireless Services, Inc. | Floating intrusion detection platforms |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8332458B2 (en) * | 2006-03-20 | 2012-12-11 | Technion Research & Development Foundation Ltd. | Monitoring threshold functions over distributed data sets |
-
2013
- 2013-05-15 CN CN201310177157.7A patent/CN103237308B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7565692B1 (en) * | 2000-05-30 | 2009-07-21 | At&T Wireless Services, Inc. | Floating intrusion detection platforms |
CN101286872A (zh) * | 2008-05-29 | 2008-10-15 | 上海交通大学 | 无线传感器网络中分布式入侵检测方法 |
CN101394316A (zh) * | 2008-11-11 | 2009-03-25 | 南京大学 | 基于完全无向图的贝叶斯的网络入侵分类方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103237308A (zh) | 2013-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103237308B (zh) | 一种车载自组织网络的分布式入侵检测方法 | |
US20220006825A1 (en) | Cognitive neuro-linguistic behavior recognition system for multi-sensor data fusion | |
CN109005173B (zh) | 一种基于交通流密度差异的车联网异常入侵检测方法 | |
Ercan et al. | Misbehavior detection for position falsification attacks in VANETs using machine learning | |
CN111131185B (zh) | 基于机器学习的can总线网络异常检测方法及装置 | |
CN102802158B (zh) | 基于信任评估的无线传感器网络异常检测方法 | |
Faezipour et al. | Progress and challenges in intelligent vehicle area networks | |
CN102624696B (zh) | 一种网络安全态势评估方法 | |
CN105191257A (zh) | 用于检测多阶段事件的方法和装置 | |
US11270218B2 (en) | Mapper component for a neuro-linguistic behavior recognition system | |
CN111885060B (zh) | 面向车联网的无损式信息安全漏洞检测系统和方法 | |
CN108491720B (zh) | 一种应用识别方法、系统以及相关设备 | |
US20200198651A1 (en) | System and method for detecting behavioral anomalies among fleets of connected vehicles | |
Bahrepour et al. | Use of wireless sensor networks for distributed event detection in disaster management applications | |
CN104268481A (zh) | 一种实现智能手机预警的方法及装置 | |
CN114140082B (zh) | 企业内容管理系统 | |
CN112001443A (zh) | 网络行为数据的监控方法、装置、存储介质及电子设备 | |
JP2023031255A (ja) | 異常検出 | |
Almalki et al. | Deep learning to improve false data injection attack detection in cooperative intelligent transportation systems | |
US20140031061A1 (en) | Systems And Methods For Monitoring Device And Vehicle | |
Mansourian et al. | Deep learning-based anomaly detection for connected autonomous vehicles using spatiotemporal information | |
US20190087904A1 (en) | Remote processing of anomalous vehicle sensor data | |
Kang et al. | A study on attack pattern generation and hybrid MR-IDS for in-vehicle network | |
Saudagar et al. | An Amalgamated Novel IDS Model for Misbehaviour Detection using VeReMiNet | |
Rosenstatter et al. | V2c: A trust-based vehicle to cloud anomaly detection framework for automotive systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150506 Termination date: 20170515 |