CN109005173B - 一种基于交通流密度差异的车联网异常入侵检测方法 - Google Patents

一种基于交通流密度差异的车联网异常入侵检测方法 Download PDF

Info

Publication number
CN109005173B
CN109005173B CN201810872206.1A CN201810872206A CN109005173B CN 109005173 B CN109005173 B CN 109005173B CN 201810872206 A CN201810872206 A CN 201810872206A CN 109005173 B CN109005173 B CN 109005173B
Authority
CN
China
Prior art keywords
vehicle
intrusion detection
network
abnormal
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810872206.1A
Other languages
English (en)
Other versions
CN109005173A (zh
Inventor
田大新
王从毓
王云鹏
李玉洲
段续庭
周建山
朱宇凯
刘超
康璐
刘文豪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN201810872206.1A priority Critical patent/CN109005173B/zh
Publication of CN109005173A publication Critical patent/CN109005173A/zh
Application granted granted Critical
Publication of CN109005173B publication Critical patent/CN109005173B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

本发明公开了一种基于交通流密度差异的车联网异常入侵检测方法,属于车联网及网络入侵检测领域。本发明在车载单元和路侧基站内都设置有事件分析模块,首先根据路网中实际交通流密度的不同来选择分布式入侵检测机制或集中式入侵检测机制;然后通过车载单元来获取车辆节点中的相关网络信息和交通信息,利用车载计算机或路基计算机中的事件分析模块,使用加权改进的朴素贝叶斯算法对信息进行分类检测,实现车联网网络环境中的异常入侵检测。本发明的两种检测机制相互配合使车辆节点在任何移动速度下都可以被检测,保证了入侵检测的完整性和高效性,解决了传统入侵检测系统不适应于车联网通信动态变化、网络节点快速移动的问题。

Description

一种基于交通流密度差异的车联网异常入侵检测方法
技术领域
本发明涉及车联网技术以及网络入侵检测技术,具体涉及一种基于交通流密度差异的车联网异常入侵检测方法。
背景技术
随着交通领域的智能化发展,车联网技术已经被认为是未来智能交通的核心技术之一。目前,车联网的发展为我们的生活提供了极大的便利,包括交通信息的实时传递、减少交通拥堵等,同时车联网中的信息安全问题也逐渐显现。例如:黑客入侵Jeep事件、部分配备Connected Drive数字服务系统的车辆存在安全漏洞等,并且车联网的安全问题一旦爆发将会严重威胁到人们的生命财产安全。
为了解决车联网的安全性问题人们已经提出了很多安全保障机制,包括安全认证技术、密钥管理技术等,这些基于预防的安全机制对于已经加入网络中的恶意节点的攻击仍然无法防御,因此基于检测的安全机制十分重要。查阅资料发现,目前已经有较多针对无线网络入侵检测的技术,但针对车联网的入侵检测研究仍然较少。现有的技术有基于公交车网络簇首节点的入侵检测技术、基于移动安全代理的网络入侵检测技术等。但上述的这些检测手段都有着明显的限制条件,在公交车网络中将车辆节点分簇并确定簇首节点的过程十分复杂,在实际中很难实现;基于移动安全代理的检测技术要求加入网络中的节点必须完全可信,在不断拓扑变化的车联网络环境下也不完全适应。
综上所述,现有的技术还有较多不足之处,因此在设计适用于车联网的入侵检测技术时在考虑到交通环境基本特征的同时还要考虑到车联网拓扑频繁、节点高速移动、通信信道不稳定的特点,并以此设计出一种高效自适应的车联网入侵检测系统。
入侵检测于1980年第一次被提出,随着网络环境的不断发展入侵检测系统的研发也呈现出繁荣多样发展的局面。入侵检测系统是对网络的信息传输进行实时监测在发现异常时及时发出警报或者采取措施的系统。基本的入侵检测结构包括事件产生器、事件分析器、事件数据库、响应单元四个模块,并且遵循P2DR动态信息安全模型。
现有的用于入侵检测的算法繁多包括:神经网络、支持向量机、遗传算法、统计学算法等,对于神经网络分类算法来说,在实现过程中可以通过机器学习不断更新分类系统,但将其应用于车联网系统中成本过大,耗费时间较多,不能保证在频繁拓扑的车联网环境中实现实时检测;对于支持向量机它在解决小样本、非线性以及高维模式识别中有许多优势,但在车联网入侵检测中数据量庞大,且主要涉及到两类识别因此支持向量机的应用也会存在一些不足之处;基于统计学的朴素贝叶斯算法被广泛应用,这种算法在两类分类问题中有较强的分类能力,但是朴素贝叶斯算法分类精度较低在实际应用时应根据实际需求进行相应改进与调整。
发明内容
针对现有技术的不足,本发明利用一种改进的朴素贝叶斯分类算法,完整的考虑到整个网络的特点之后,设计了一种基于交通流密度差异的车联网异常入侵检测方法,根据不同的交通状况对车联网络采用不同的入侵检测机制,保证每一个车辆节点在车联网的通信范围内能够被完全检测,并且该检测方法能够适应车联网拓扑频繁、网络节点高速移动、路侧基站通信范围有限的特点。
本发明提供的一种基于交通流密度差异的车联网异常入侵检测方法,基于车联网,每辆车装配有车载单元,在路侧设置有路侧基站,通过车载单元和路侧基站进行信息采集,采集的信息包括网络数据包信息和交通基本信息。在车载单元和路侧基站内都设置有事件分析模块。本发明方法进行异常入侵检测的步骤包括如下:
步骤一:路侧基站对通信范围内的车速进行采集,根据不同交通状况选择不同检测机制。
1)当路侧基站检测到路网中的车辆速度>VT时,表示车辆在路侧基站的通信范围内停留时间短,此时采用分布式入侵检测机制,执行步骤二,在车辆节点中进行本地检测,在不同车辆节点间进行联机响应检测。
2)当路侧基站检测到路网中的车辆速度≤VT时,车辆在路侧基站的通信范围内停留时间长,此时采用集中式入侵检测机制,执行步骤三,将车辆单元采集的信息传输到路侧基站处,以路侧基站作为中心节点进行统一集中式检测。
步骤二:车辆上的车载单元执行分布式入侵检测机制;
车载单元采集网络数据包信息和车辆信息,利用车载单元中的事件分析模块进行异常入侵检测;当检测到异常后,启动联机响应模块及时报警并切断与相邻节点的连接。
步骤三:路侧基站执行集中式入侵检测机制。
各车辆将采集的网络数据包信息和车辆信息发送给路侧基站,路侧基站利用本地的事件分析模块进行异常入侵检测;若检测到异常时报警并切断车辆节点与路侧基站之间的连接。
所述的事件分析模块利用加权优化的朴素贝叶斯算法进行异常入侵检测,包括:启动事件分析模块,数据的检测与分类;若检测出异常则及时做出报警响应,并且将异常数据特征存入异常数据库中,若未检测出异常则将该数据标记为正常存入正常数据库中。
本发明通过上面两种机制不断地在整个车联网覆盖范围内传递,从而实现整个网络的异常入侵检测。
所述的事件分析模块中采用加权改进的朴素贝叶斯算法进行异常入侵检测,包括:
设X为待检测的特征向量,表示为X={x1,x2,…xn},x1,x2,…xn为对应的n个特征属性值,设有m个分类为C1,C2,…Cm,n、m为正整数;
先确定各特征属性的权值ωk,k=1,2,…n;然后利用如下公式计算X的分类结果VWNBC(X):
Figure BDA0001752433090000031
其中,P(Ci)为类别Ci的先验概率;P(xk|Ci)为在类别Ci的条件下特征属性xk的条件概率。
相比较已有的技术,本发明的优点如下:
(1)本发明根据不同的交通环境采用两种不同的入侵检测机制,两种检测机制相互配合使车辆节点在任何移动速度下都可以被检测,保证了入侵检测的完整性和高效性,解决了传统入侵检测系统不适应于车联网通信动态变化、网络节点快速移动的问题;
(2)本发明中的分布式入侵检测机制可以很好的适应车载自组织网络分布式的特点,同时可以适应车联网车辆节点移动速度快、网络拓扑频繁、无线通信信道不稳定的特点,是一种新型高效的入侵检测机制。这种分布式协作入侵检测系统(IDS)可以很好的弥补单节点IDS中存在的缺点,考虑到网络中各节点间的合作关系,分布式入侵检测中的每个节点不仅进行本地检测,而且会与其他节点合作做出联机响应共同参与整个网络的入侵检测,使得对单节点入侵和全网入侵检测效率都大大提高。
(3)本发明中的集中式入侵检测机制直接以路侧通信单元作为检测中心,减去了在网络中选择分簇簇首节点和中心节点的过程,不同于传统的分级IDS,使得整个检测过程步骤简化、效率提高。
(4)本发明采用一种利用属性间相关性来确定各数据特征属性的权值,并用此权值对朴素贝叶斯分类算法改进用于入侵检测数据分析模块中,改进的算法考虑到实际存在的数据之间不可能完全独立的状况,通过确定权值提高了分类算法的分类精确率,并且更加符合实际数据的特征属性。
附图说明
图1为本发明的入侵检测系统应用交通场景图;左图为车辆数较少车速较快的场景,右图为车辆数较多车速较慢的场景;
图2为本发明的分布式入侵检测机制流程图;
图3为本发明的集中式入侵检测机制流程图;
图4为本发明的加权朴素贝叶斯分类算法计算流程图。
具体实施方式
下面结合附图和实例对本发明进行详细的描述。
如图1所示,为本发明的入侵检测系统应用交通场景图,该场景分为两种分别对应描述了两种入侵检测机制的适用情况,交通场景中包括车辆自组织网络和车辆与路侧基站构成的网络。每辆车上都装备有车载单元进行信息收集和本地检测,每个路侧基站的专用通信单元都连接一个计算机进行中心集中检测。本发明方法中,实时通过网络中每辆车上的车载单元和路侧基站来获取网络数据包和交通基本信息,包括车速、位置等等。然后基于所获取的信息进行异常入侵检测。
在使用DSRC(专用短程通信技术)时,如果车速太快,但由于DSRC的通信距离较短,无法向车辆提供及时的警告信息,也无法及时收到来自车辆的信息,因此本发明根据不同的交通状况选择不同的检测机制。本发明方法中设置了两种入侵检测机制,根据路网中的交通流密度与车辆速度判断选择何种入侵检测机制。本发明实施例中预设VT为45km/h。通过路侧基站对通信范围内的车速进行采集,当车速>45km/h时,表示当前交通流密度较小、车速较快,车辆在路侧通信单元有效通信距离内停留时间较短,此时采取分布式入侵检测机制,对应图1左侧场景。车辆上的车载单元通过信息采集模块采集车辆的交通信息包括车速、车辆位置以及车辆自组织网络间传递的网络数据包信息,并在车辆节点中进行本地检测。
当路侧基站检测到通信范围内的车辆的车速≤45km/h,表示当前交通流密度较大、车速较慢,车辆在路侧通信单元有效通信距离内停留的时间足够长,此时采取集中式入侵检测机制,对应图1右侧场景。此时,车辆上的车载单元通过信息采集模块采集车辆的相关信息并将其传输到路侧单元,利用路基计算机对该范围内的所有车辆信息进行集中检测与分析,做出响应。
如图2所示,为本发明中分布式入侵检测机制流程,分布式入侵检测步骤如下:
步骤1.1:数据收集,首先利用车载单元中的信息采集模块收集来自网络和GPS的实时数据信息,包括网络数据包信息、车辆速度和车辆地理位置等。
其中,网络数据包信息包括车辆节点接入网络持续时间duration、车辆节点访问系统敏感文件和目录的次数hot、从目标车辆节点到源车辆节点的数据的字节数dst_bytes以及车辆节点登录通信网络尝试失败的次数num_failed_logins等。
步骤1.2:数据预处理。车辆本地的事件分析模块将收集到的所有数据信息进行预处理,包括特征的选择、去除冗余的数据、过滤无用的数据、将不同格式的数据信息进行格式的统一、数据的标准和归一化等。
步骤1.3:本地入侵检测。经过预处理的车辆数据和网络数据包信息,进入车辆本地的事件分析模块,利用改进后的加权朴素贝叶斯分类算法对数据进行分类检测,以分类结果来界定该信息是否为异常。
步骤1.4:异常标记。通过步骤1.3的检测确定是否为异常,如果检测为异常则将该特征保存到异常特征库中,并进入步骤1.5;如果未检测出异常则将该特征标记为“正常”,存入正常特征库中。
步骤1.5:异常响应。如果检测出异常,车辆本地的事件分析模块首先向用户发送异常报警等响应,并且向相邻的节点发送异常特征和异常警报,同时中断车辆自身与其他车辆节点以及网络的所有连接,避免异常攻击在整个网络中的蔓延。
步骤1.6:邻居节点异常响应。相邻车辆节点接收到异常警报之后,首先断开与其相邻节点的连接,隔离与相邻车辆节点的通信,然后开启车辆自身的本地检测系统,同时循环步骤1.3。
步骤1.7:通信恢复。在检测到入侵异常攻击一段时间t之后,未检测到异常的车辆节点以及相邻车辆节点的网络通信会恢复到连接。通过这种方式的循环,实现整个网络范围内的入侵检测。t为预设的时间段。
如图3所示,为本发明中集中式入侵检测机制流程,集中式入侵检测步骤介绍如下:
步骤2.1:当车辆节点进入一个路侧基站的通信范围内时,该入侵检测机制开始工作,首先由车载单元进行信息采集,此模块与分布式入侵检测相同。
步骤2.2:数据传输与数据预处理,收集到的信息首先传输到路侧基站中,路侧基站的事件分析模块进对数据进行预处理,去除数据中的冗余部分、进行数据标准和归一化等等。
步骤2.3:集中检测。所有经过预处理的数据在中心节点处进行入侵检测,通过加权朴素贝叶斯分类将数据分为正常和异常两类,以此分类结果来界定该信息是否为异常。
步骤2.4:异常标记。通过检测确定特征数据是否为异常,如果检测为异常则将该特征保存到异常特征库中,进入步骤2.5;如果未检测出异常则将该特征标记为“正常”存入正常特征库中。
步骤2.5:异常响应,如果检测出异常,路侧基站的事件分析模块及时启动异常报警模块向所有车辆发出警报,并且切断所有车辆节点与网络的连接。
步骤2.6:当车辆节点与网络断开连接一段时间t之后,即当被入侵车辆节点离开移动基站通信基站之后,整个网络将会恢复正常的通信连接。在整个网络中重复上述步骤2.1~2.6实现集中式入侵检测。
上述分布式入侵检测过程和集中式入侵检测过程中,事件分析模块利用加权朴素贝叶斯算法作为核心入侵检测方法。所述的加权朴素贝叶斯分类算法流程,如图4所示,具体说明如下。
首先,确定特征向量的属性,获取已标记分类结果的训练样本。
每个数据样本都用一个特征向量来表示,设用一个n维特征向量X={x1,x2,…xn}来表示一个待分类项,每个特征向量分别对应n个属性A1,A2,…An的n个度量,在本发明中将采集到的车速、车辆位置、各种不同的网络传输数据对应作为特征属性,在数据预处理中,可根据情况来选择特征向量的属性。
假设有m个分类为C1,C2,…Cm,对没有分类的待处理数据集合进行分类,也就是估算X的后验概率最高的类别,若对应的类别为Ci,则将数据X分类到类Ci的可能性最大,转化为数学语言就是求最大的P(Ci|X)和使P(Ci|X)取值最大的类Ci,也就是对于给定的一个待分类样本X={x1,x2,…xn}分配给类Ci(1≤i≤m),当且仅当:P(Ci|X)>P(Cj|X)(1≤i,j≤m,j≠i)。根据条件概率和全概率公式可得贝叶斯定理:
Figure BDA0001752433090000061
其中,P(Ci|X)为特征向量X分类为类Ci的后验概率,P(X|Ci)为在类别Ci的条件下特征向量X的条件概率,P(Ci),P(X)分别为类别Ci、特征向量X的无条件概率,也称先验概率。
然后,计算每个类别对应的先验概率,对特征向量X的每个特征属性计算所有划分的条件概率。
为了使P(Ci|X)最大化,只需要分子最大即可。假定在先验概率未知的情况下,一般认为所有类的先验概率都是相等的,P(X)对于所有的类别均为常数1,且P(C1)=P(C2)=…P(Ci),计算公式如下:
Figure BDA0001752433090000062
其中Si为训练样本中属于类Ci的特征向量个数,S为训练样本总数,本发明中采用的是机器学习的方法,利用已知的数据集作为训练样本用来训练算法生成分类器,并进行下一步的分类。
当属性较多时,通常假设各个属性值之间彼此独立,且通过公式(1)可得P(X|Ci)的计算公式:
Figure BDA0001752433090000063
其中概率P(x1|Ci)·P(x2|Ci)……P(xn|Ci)可以由训练样本进行估值,若其中的样本特征为离散性属性,则有:
Figure BDA0001752433090000064
其中Sik为训练样本中属性Ak取值为xk的样本实际个数。
若样本特征为连续值属性,则认为大部分都满足高斯分布。
综上所述,朴素贝叶斯分类算法可以总结为:
Figure BDA0001752433090000071
然而,在实际情况中数据的特征属性不可能全部独立,需要对这种方法进行改进,本发明中采用基于属性相关性的权重确定方法为朴素贝叶斯分类算法增加权重,权重确定方法将在下文中做出具体介绍,并利用公式(6)计算分类概率:
Figure BDA0001752433090000072
公式中ωk为特征属性xk所对应的权重值。
在利用训练集生成分类器后,对待分类数据样本进行分类,根据公式(6)可以得到最后的分类结果。
在本发明中异常检测根据不同的检测机制分别在在车载计算机或者路基计算机中进行,可以使用python中的机器学习模块(scikit-learn)进行加权朴素贝叶斯算法的实现。
本发明中采用的加权算法为基于属性相关性的统计算法,下面对该算法进行具体介绍,在某一类Ci的集合中,定义样本X的属性指标xk与xj的相关系数为:
Figure BDA0001752433090000073
其中count(xk,xj)、count(xk)和count(xj)分别代表在类别Ci中属性对(xk,xj)、(xk)和(xj)出现的频数,Si为训练集合中属于Ci类个数。
若属性相互独立则相关系数为0,而在实际情况中,属性相互独立的情况很少出现,则有:
Figure BDA0001752433090000074
在某一类中,定义属性指标xk与xj的权重系数
Figure BDA0001752433090000075
为:
Figure BDA0001752433090000076
其中,当xk与xj相互独立时
Figure BDA0001752433090000077
一般情况下
Figure BDA0001752433090000078
若数据样本X={x1,x2,…xn},向量X的相关度
Figure BDA00017524330900000714
可以定义为:
Figure BDA0001752433090000079
其中
Figure BDA00017524330900000715
的值越大,则向量X的相关性就越大,若向量中x1,x2,…xn相互独立,则
Figure BDA00017524330900000710
且向量的相关度与两两属性间的相关度成正比,定义相关度权重:
Figure BDA00017524330900000711
其中,
Figure BDA00017524330900000712
表示
Figure BDA00017524330900000713
相乘的个数;β是控制参数,一般的取值范围在0.1~0.5之间;由样本大小决定在选择时,尽量使ωk的值尽可能稳定在1附近。在本发明方法中利用公式(10)计算得到权重值作为最终权重值,并利用公式(6)完成加权朴素贝叶斯分类算法。
在实际应用中,根据训练集中数据确定属性xk和xj的count(xk)和count(xj),和属性对(xk,xj)的样本数count(xk,xj),并通过公式(7)和公式(8)计算出
Figure BDA0001752433090000081
带入到公式(10)中求出最终权值。以此权值对朴素贝叶斯算法进行加权,根据公式(6)求出对应于不同分类的后验概率并完成分类。

Claims (9)

1.一种基于交通流密度差异的车联网异常入侵检测方法,应用于车联网,每辆车装配有车载单元,在路侧设置有路侧基站,通过车载单元和路侧基站进行信息采集,进行异常入侵检测,其特征在于,在车载单元和路侧基站内都设置有事件分析模块;所述的检测步骤包括:
步骤1:路侧基站对通信范围内的车速进行采集,根据不同交通状况选择不同检测机制;
当路侧基站检测到车速大于等于预设速度VT时,采用分布式协作入侵检测机制,执行步骤2;否则,采用集中式入侵检测机制,执行步骤3;VT为正数;
步骤2:车辆上的车载单元执行分布式入侵检测机制;
车载单元采集网络数据包信息和车辆信息,利用车载单元中的事件分析模块进行异常入侵检测;当检测到异常后,启动联机响应模块及时报警并切断与相邻节点的连接;
步骤3:路侧基站执行集中式入侵检测机制;
各车辆将采集的网络数据包信息和车辆信息发送给路侧基站,路侧基站利用本地的事件分析模块进行异常入侵检测;若检测到异常时报警并切断车辆节点与路侧基站之间的连接;
所述的事件分析模块中采用加权改进的朴素贝叶斯算法进行异常入侵检测,包括:
设X为待检测的特征向量,表示为X={x1,x2,…xn},x1,x2,…xn为对应的n个特征属性值,设有m个分类为C1,C2,…Cm,n、m为正整数;
先确定各特征属性的权值ωk,k=1,2,…n;然后利用如下公式计算X的分类结果VWNBC(X):
Figure FDA0002442902030000011
其中,P(Ci)为类别Ci的先验概率;P(xk|Ci)为在类别Ci的条件下特征属性xk的条件概率。
2.根据权利要求1所述的方法,其特征在于,所述的步骤1中,VT设置为45km/h。
3.根据权利要求1所述的方法,其特征在于,所述的步骤2中,车辆信息包括车辆速度和车辆地理位置,网络数据包信息包括车辆节点接入网络持续时间duration、车辆节点访问系统敏感文件和目录的次数hot、从目标车辆节点到源车辆节点的数据的字节数dst_bytes以及车辆节点登录通信网络尝试失败的次数num_failed_logins。
4.根据权利要求1所述的方法,其特征在于,所述的车载单元和路侧基站内还都设置异常特征库和正常特征库;当事件分析模块检测出异常时,将异常特征存储在异常数据库中,如果未检出异常,则将数据特征存入正常特征库。
5.根据权利要求1或3所述的方法,其特征在于,所述的车载单元的事件分析模块,对车载单元采集的网络数据包信息和车辆信息进行预处理,预处理包括特征属性的选择、去除冗余数据以及统一数据格式;特征属性从网络数据包信息和车辆信息中选择;一组数据预处理后表示为一个特征向量。
6.根据权利要求5所述的方法,其特征在于,所述的步骤2中,车辆的事件分析模块在检测出异常时,向用户发送异常报警,并向相邻的车辆发送异常特征和异常警报,同时中断自身车辆与其他车辆以及网络的所有连接;当相邻车辆接收到异常警报后,首先断开与相邻车辆的网络连接,车辆自身启动本地异常检测;在检测到入侵异常攻击开始经过时间段t后,未检测到异常的车辆恢复网络通信。
7.根据权利要求5所述的方法,其特征在于,所述的步骤3中,路侧基站的事件分析模块检测到异常时,向所有车辆发出警报,切断所有车辆与网络的连接;当车辆与网络断开连接时间段t之后,或者当被入侵车辆离开路侧基站通信范围后,路测基站通信范围内的网络恢复通信连接。
8.根据权利要求1所述的方法,其特征在于,所述的加权改进的朴素贝叶斯算法中,对已标记分类结果的训练样本,计算每个类别对应的先验概率P(Ci),对待检测的特征向量X的每个特征属性计算所有划分的条件概率;
其中,
Figure FDA0002442902030000021
Si为训练样本中属于类Ci的特征向量个数,S为训练样本总数。
9.根据权利要求1所述的方法,其特征在于,所述的加权改进的朴素贝叶斯算法中,基于属性相关性的统计算法来确定特征属性的权值,如下:
在类别Ci的集合中,定义样本X的属性xk与xj的相关系数
Figure FDA0002442902030000022
为:
Figure FDA0002442902030000023
其中count(xk,xj)、count(xk)和count(xj)分别代表在类别Ci中属性对(xk,xj)、(xk)和(xj)出现的频数,Si为训练集合中属于类别Ci的个数;
在类别Ci中,定义属性xk与xj的权重系数
Figure FDA0002442902030000024
为:
Figure FDA0002442902030000025
其中,当xk与xj相互独立时
Figure FDA0002442902030000026
否则,
Figure FDA0002442902030000027
定义特征属性的权值ωk为:
Figure FDA0002442902030000028
其中,
Figure FDA0002442902030000031
表示
Figure FDA0002442902030000032
相乘的个数;β是控制参数,取值范围在0.1~0.5之间。
CN201810872206.1A 2018-08-02 2018-08-02 一种基于交通流密度差异的车联网异常入侵检测方法 Active CN109005173B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810872206.1A CN109005173B (zh) 2018-08-02 2018-08-02 一种基于交通流密度差异的车联网异常入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810872206.1A CN109005173B (zh) 2018-08-02 2018-08-02 一种基于交通流密度差异的车联网异常入侵检测方法

Publications (2)

Publication Number Publication Date
CN109005173A CN109005173A (zh) 2018-12-14
CN109005173B true CN109005173B (zh) 2020-08-07

Family

ID=64594632

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810872206.1A Active CN109005173B (zh) 2018-08-02 2018-08-02 一种基于交通流密度差异的车联网异常入侵检测方法

Country Status (1)

Country Link
CN (1) CN109005173B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112653655A (zh) * 2019-10-12 2021-04-13 深圳市奇虎智能科技有限公司 汽车安全通信控制方法、装置、计算机设备及存储介质
EP4104407A1 (en) * 2020-02-11 2022-12-21 Continental Automotive Technologies GmbH Method for edge computing-based detecting of intrusions and anomalies
CN111431864A (zh) * 2020-02-28 2020-07-17 深圳开源互联网安全技术有限公司 车联网监控系统、方法、装置及可读存储介质
CN111696361B (zh) * 2020-05-15 2021-11-23 公安部道路交通安全研究中心 一种远端安检核验方法、装置及系统
CN111800421B (zh) * 2020-07-06 2021-08-24 东北大学 一种基于隐马尔科夫模型的车联网入侵检测系统
CN114765555A (zh) * 2021-01-12 2022-07-19 华为技术有限公司 一种网络威胁的处理方法和通信装置
CN112822684B (zh) * 2021-02-04 2022-12-16 中汽创智科技有限公司 车辆入侵检测方法及防御系统
CN112906778A (zh) * 2021-02-07 2021-06-04 滁州职业技术学院 一种基于加权隐朴素贝叶斯模型大数据入侵检测方法
CN115085951A (zh) * 2021-03-10 2022-09-20 中国移动通信集团山东有限公司 车联网安全预警方法和电子设备
CN114710372B (zh) * 2022-06-08 2022-09-06 湖南师范大学 基于增量学习的车载can网络入侵检测系统及方法
CN115320538A (zh) * 2022-07-20 2022-11-11 国汽智控(北京)科技有限公司 智能网联汽车入侵检测系统及方法
CN117077064B (zh) * 2023-10-13 2024-02-06 云南滇能智慧能源有限公司 一种风电设备的故障检测方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105101086A (zh) * 2015-07-23 2015-11-25 西北大学 一种基于车辆密度分布的数据传输路径选择方法
CN105844904A (zh) * 2016-04-22 2016-08-10 北京航空航天大学 一种基于dsrc的异常车辆行为检测及追踪方法
CN106792681A (zh) * 2016-11-28 2017-05-31 北京洋浦伟业科技发展有限公司 用于车联网的入侵检测方法和装置及设备
CN107786492A (zh) * 2016-08-24 2018-03-09 北京计算机技术及应用研究所 基于集成分类器的网络安全态势评估方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8768603B2 (en) * 2012-05-29 2014-07-01 Telefonaktiebolaget Lm Ericsson (Publ) Mobile terminal relaying of event notifications in an intelligent transportation system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105101086A (zh) * 2015-07-23 2015-11-25 西北大学 一种基于车辆密度分布的数据传输路径选择方法
CN105844904A (zh) * 2016-04-22 2016-08-10 北京航空航天大学 一种基于dsrc的异常车辆行为检测及追踪方法
CN107786492A (zh) * 2016-08-24 2018-03-09 北京计算机技术及应用研究所 基于集成分类器的网络安全态势评估方法
CN106792681A (zh) * 2016-11-28 2017-05-31 北京洋浦伟业科技发展有限公司 用于车联网的入侵检测方法和装置及设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A game theory based multi layered intrusion detection framework for VANET;Basant Subba;《Future Generation Computer Systems》;20171231;全文 *
车载自组网中基于交通场景的入侵行为检测机制;李春彦;《山东大学学报(工学版)》;20140225;第44卷(第1期);全文 *

Also Published As

Publication number Publication date
CN109005173A (zh) 2018-12-14

Similar Documents

Publication Publication Date Title
CN109005173B (zh) 一种基于交通流密度差异的车联网异常入侵检测方法
CN109347834B (zh) 物联网边缘计算环境中异常数据的检测方法、装置及设备
Peixoto et al. A traffic data clustering framework based on fog computing for VANETs
Zhang et al. A multilevel information fusion approach for road congestion detection in VANETs
Fiadino et al. Steps towards the extraction of vehicular mobility patterns from 3G signaling data
Kong et al. Multimedia data fusion method based on wireless sensor network in intelligent transportation system
CN103237308B (zh) 一种车载自组织网络的分布式入侵检测方法
Saleem et al. Deep learning-based dynamic stable cluster head selection in VANET
CN108650649B (zh) 适用于无线传感器网络的异常数据检测方法
Wang et al. Optimizing quality-of-information in cost-sensitive sensor data fusion
CN111159243A (zh) 用户类型识别方法、装置、设备及存储介质
Sonker et al. A new procedure for misbehavior detection in vehicular ad-hoc networks using machine learning.
CN115718874A (zh) 异常检测
Almalki et al. Deep learning to improve false data injection attack detection in cooperative intelligent transportation systems
Kanjo et al. CrowdTracing: overcrowding clustering and detection system for social distancing
Liu et al. Data mining intrusion detection in vehicular ad hoc network
Jyothi et al. An optimized deep learning-based trust mechanism In VANET for selfish node detection
CN111245833B (zh) 一种车辆入侵检测方法及装置
CN110139278B (zh) 车联网下安全型防御合谋攻击的系统的方法
Zhu Safety detection algorithm in sensor network based on ant colony optimization with improved multiple clustering algorithms
Manogaran et al. Machine learning based trust model for secure internet of vehicle data exchange
Balaram et al. Highly accurate sybil attack detection in vanet using extreme learning machine with preserved location
CN113553239B (zh) 异常数据检测方法及相关装置
Rezaul Karim et al. An efficient collaborative intrusion detection system for MANET using Bayesian Approach
Faramondi et al. Distributed c-means clustering via broadcast-only token passing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant