CN105828333A - 一种基于车辆自组织网络流量异常的黑客车辆检测方法 - Google Patents

Abstract

本发明公开了一种基于车辆自组织网络流量异常的黑客车辆检测方法，该方法可以通过路侧设备的通信单元获取车载单元发出的信息，并将其流量信息上传到管理中心，运用方差分析法和拉伊达准则计算得到其阈值，将得到的流量进行比较，超出阈值范围的视为异常流量，提取发出该流量的车辆ID，视为可疑的黑客车辆。本发明针对车辆自组织网络中常见攻击会引起流量异常的特点，利用流量的变化预测黑客车辆；本发明将方差分析法与拉伊达准则结合起来，来计算流量阈值，使误判率降低。

Description

一种基于车辆自组织网络流量异常的黑客车辆检测方法

技术领域

本发明涉及车联网和DSRC(DedicatedShortRangeCommunication)通信技术，尤其涉及一种基于车辆自组织网络流量异常的黑客车辆检测方法。

背景技术

DSRC即DedicatedShortRangeCommunications(专用短程通信技术)，是一种高效的无线通信技术，它可以实现在特定小区域内(通常为数十米)对高速运动下的移动目标的识别和双向通信，例如车辆的“车-路”、“车-车”双向通信，实时传输图像、语音和数据信息，将车辆和道路有机连接。DSRC设备的研发是智能交通系统(ITS)研究中的一个重要课题，广泛地应用在不停车收费、出入控制、车队管理、信息服务等领域，并在区域分割功能即小区域内车辆识别、驾驶员识别、路网与车辆之间信息交互等方面具备得天独厚的优势。

但随着车联网技术的不断发展，车辆网络安全问题也暴露出来，车辆遭到黑客攻击的事件层出不穷。据美国汽车媒体Leftlanenews近日消息，根据PT&CForensics咨询公司发布的最新报告显示出目前最容易受到黑客攻击，报告显示，2014款Jeep自由光，2014款英菲尼迪Q50、2014款凯迪拉克凯雷德，2014款福特Fusion和2014/2010款丰田普锐斯是最容易受到黑客攻击的车型。两名安全专家CharlieMiller和ChrisValasek向《Wired》(连线杂志)记者AndyGreenberg演示了如何让司机对高速行驶的汽车彻底失去控制。当Greenberg开着这辆被黑的Jeep切诺基在高速公路飞驰时，Miller和Valasek先是用电脑远程调高了车载音响的音量，然后开启了冷空调、雨刮器。他们甚至可以控制油门和刹车，对于高速行驶中的汽车而言，这是生死攸关的安全问题。

这个案例是黑客使用电脑进行远程入侵车辆，但现在出现了黑客利用车辆入侵车辆的事件。黑客车辆将通过DSRC通信技术入侵其他车辆，造成财产损失甚至是人员伤亡。

发明内容

本发明的目的是为了解决上述问题，基于车辆自组织网络中的流量异常，提出一种黑客车辆检测方法，该方法通过对流量的检测，找出可疑车辆，本发明更有效地检测出可疑的黑客车辆，及时进行预警。

一种基于车辆自组织网络流量异常的黑客车辆检测方法，包括以下几个步骤：

步骤一：在道路上安装路测设备RSU，在车上安装车载单元OBU，实现车路和车车的通信，车辆在与外界进行通信时，向外界发送数据包，通过路侧设备不间断的接收车辆发出的数据包，并对其进行分析处理；

路侧设备获取各车辆发出的数据包，将数据包上传至计算机；

步骤二：计算机根据获取的数据包，对网络流量进行监测，根据设定的阈值，对超过阈值的流量变化判定为流量异常；

步骤三：检测异常流量的发送车辆IP，将其视为可疑黑客车辆，进行预警。

本发明的优点在于：

(1)本发明利用DSRC通信技术，针对黑客通过车辆进行攻击，提出检测方法；

(2)本发明针对车辆自组织网络中常见攻击会引起流量异常的特点，利用流量的变化预测黑客车辆；

(3)本发明将方差分析法与拉伊达准则结合起来，来计算流量阈值，使误判率降低。

附图说明

图1为本发明的黑客车辆检测整体流程图；

图2为DSRC通信场景图；

图3为OBU整体结构图；

图4为RSU硬件连接示意图；

图5为本发明的方差分析法流程图。

具体实施方式

下面将结合附图和实施例对本发明作进一步的详细说明。

路侧单元(RSU)和车载单元(OBU)实现了车车通信和车路通信，构成了车辆自组织网络。有些黑客通过车辆对其他车辆进行攻击，其中常见的入侵方式有网络扫描、DDoS攻击、蠕虫攻击等，入侵检测作为防火墙之后的第二道屏障，起着越来越重要的作用。基于网络流量异常的入侵检测作为一种新的技术，针对DDoS、蠕虫等影响网络流量的攻击有着较为高效的检测能力，但目前尚处于研究的初级阶段，还面临着很大的挑战。本发明通过对流量的监测，判断流量的变化是否异常，并找出可疑车辆的IP，进行黑客车辆预警。

本发明的一种基于车辆自组织网络流量异常的黑客车辆检测方法，流程如图1所示，包括以下几个步骤：

步骤一：在道路上安装路测设备，在车上安装车载单元，实现车路和车车的通信连接，车辆在与外界进行通信时，向外界发送数据包，通过路侧设备不间断的接收车辆发出的数据包，并对其进行分析处理。

图2为本发明的DSRC通信场景图，场景描述了在道路上通过DSRC通信技术实现车车通信和车路通信的基本过程。该场景中部署了路侧设备(RSU)和车载单元(OBU)，路侧设备可以收集各车辆发出的数据包，并且可以上传数据至计算机，计算机可以对流量进行分析计算。根据现有的技术，其具体过程为：路上的车辆安装了车载单元，不同车辆之间通过车载单元，利用DSRC通信技术进行通信；在路边安装路侧设备，能够接受和发送信息，也能够将信息上传到计算机网络。RSU与OBU之间的通信支持广播和点对点两种方式。广播方式下，RSU与OBU之间不需要建立专用通信链路，以广播MAC地址作为链路标识，所有OBU都能接收RSU发出的信息；点对点方式下，RSU与OBU之间需建立专用通信链路，该链路以专用MAC地址作为唯一标识。

专用链路的建立过程如下：

(1)RSU周期性广播需要OBU回复的信息；

(2)通信区域内OBU收到该信息后，随机延时N1个时间单位Tu；

(3)OBU发送包括其MAC地址的信息到RSU；

(4)RSU确认收到合法帧后，登记对应的OBU的MAC地址，并以该MAC地址与对应的OBU通信；

(5)OBU收到带本OBU的MAC地址的下行链路帧后，专用链路建立成功。

撤销过程为：专用通信链路的撤销以及RSU对OBU的MAC地址的注销，由RSU逻辑自行确定。

图3所示为OBU整体结构。OBU又叫车载单元，就是采用DSRC技术，与RSU等进行通讯的微波装置，通信速度最高可达300Mbit/s。当车辆高速通过RSU的时候，OBU和RSU/OBU之间用微波进行通讯，其距离可以达到十几米到几十米之间，其频率为5.8GHz。MCU单元是OBU核心部分，控制各个模块的有序工作，完成编解码和交易流程等工作；射频发射/接收模块实现信号的发射与接收以及信号的调制与解调；电源管理模块负责管理OBU的电源，保证可靠工作的同时实现最低的功耗；唤醒模块一方面要保证车辆在进入RSU的通信区域时OBU能被及时唤醒，开始正常工作，另一方面还要避免OBU在非RSU的通信区域被误唤醒；加密模块实现数据加密及交易过程安全认证；接口及显示模块提供USB接口和LCD显示。

图4为RSU端的硬件连接示意图，道路上的车辆通过车载单元与路侧设备进行通信，通信方式为DSRC技术。然后通过数据总线连接到控制器，该控制器是在32位终端设备发卡板上修改的，并通过TCP/IP协议与后台PC通信。后台PC将数据传输到车道控制器，车道控制器可以激活车载单元，实现与车辆的通信，并且可以将数据上传到计算机网络中。

通过上述设备和通信方式，计算机可以获取车辆发出的数据包，并得到其网络流量，上述设备已有研究和应用。

步骤二：如果黑客车辆想要对其他车辆进行攻击，其将会发出大量的数据包。通过路侧设备将数据包传输到计算机中，对网络流量进行监测，根据相应的算法设定阈值，对超过阈值的流量变化判定为流量异常。

图5为本发明流量阈值的计算方法，阈值的设定是本发明至关重要的一步，阈值设定的过大，那么漏警率会提高，阈值设定的过小，则虚警率就会提高，所以需要选择合适的阈值。

网络流量在每天的同一时刻会有一定的相似性，但是又可能会有部分的变化，因此本发明采用的是方差计算的方式，计算出一个浮动值，在超过浮动值的时候就认为是出现了异常。具体的计算过程如下：

因为每辆车对外发出的流量都是独立的随机变量，根据中心极限定理，如果随机变量X可以表示成很多个独立的随机变量X1,X2,…,Xn之和，只要每个Xi(i＝1,2,...,n)对X只起微小的作用，在n比较大的情况下，就可以认为X服从正态分布。对于n个数据，样本方差计算如下：

$S_n^2=\frac{1}{n-1}\underset{i=1}{\overset{n}{\Σ}}{(X_i-\stackrel{\‾}{X_n})}^2=\frac{1}{n-1}(\underset{i-1}{\overset{n}{\Σ}}{X}_i^2-n{\stackrel{\‾}{X}}_n^2)$

其中：S为标准差，n为数据包的个数，Xi为第i个数据包的大小；

利用样本均值和标准差能为流量特性的总体均值构造一个置信区间，利用这个区间来判定异常，样本的标准差为：

$S_n=\sqrt{\frac{1}{n-1}(\underset{i-1}{\overset{n}{\Σ}}{X}_i^2-n{\stackrel{\‾}{X}}_n^2)}$

根据拉伊达准则，数值分布在中的概率为0.9974，超过这个范围的概率非常小，根据小概率原理，可以将和定为阈值，对收到的网络流量进行分析计算，其中M为阈值上限的数据包大小，m为阈值下限的数据包大小，为平均数据包大小。若变化较小，流量在M与m之间，则认为是正常变化；若流量变化较大，大于M或小于m，则认为是可疑流量。

步骤三：检测异常流量的发送车辆IP，将其视为可疑黑客车辆，进行预警，并实施进一步的处理措施。

一旦发现可疑流量，提取其IP地址视为可疑车辆进行预警，将其IP地址提交数据库，并可以采取进一步的措施。

Claims (2)

1.一种基于车辆自组织网络流量异常的黑客车辆检测方法，包括以下几个步骤：

步骤一：在道路上安装路测设备RSU，在车上安装车载单元OBU，实现车路和车车的通信，车辆在与外界进行通信时，向外界发送数据包，通过路侧设备不间断的接收车辆发出的数据包，并对其进行分析处理；

路侧设备获取各车辆发出的数据包，将数据包上传至计算机；

步骤二：计算机根据获取的数据包，对网络流量进行监测，根据设定的阈值，对超过阈值的流量变化判定为流量异常；

步骤三：检测异常流量的发送车辆IP，将其视为可疑黑客车辆，进行预警。

2.根据权利要求1所述的一种基于车辆自组织网络流量异常的黑客车辆检测方法，所述的步骤步骤二中，阈值的设定方法为：

设Xi为某车第i个数据包的大小，则方差为：

$S_n^2=\frac{1}{n-1}\underset{i=1}{\overset{n}{\Σ}}{(X_i-\stackrel{\‾}{X_n})}^2=\frac{1}{n-1}(\underset{i-1}{\overset{n}{\Σ}}{X}_i^2-n{\stackrel{\‾}{X}}_n^2)$

其中：S为标准差，n为数据包的个数；

标准差为：

$S_n=\sqrt{\frac{1}{n-1}(\underset{i-1}{\overset{n}{\mathrm{\Σ}}}{X}_i^2-n{\stackrel{\‾}{X}}_n^2)}$

设定阈值下限的数据包大小为m，阈值上限的数据包大小为M，则

$M=\stackrel{\‾}{X}+3S_n$

$m=\stackrel{\‾}{X}-3S_n$

其中，为平均数据包大小，当流量大于或者等于m且小于或者等于M时，为正常变化，若流量大于M或小于m时，则判断流量异常。