CN116827667A - 一种基于公交域控制器的云协同网络入侵特征捕捉方法 - Google Patents
一种基于公交域控制器的云协同网络入侵特征捕捉方法 Download PDFInfo
- Publication number
- CN116827667A CN116827667A CN202310952454.8A CN202310952454A CN116827667A CN 116827667 A CN116827667 A CN 116827667A CN 202310952454 A CN202310952454 A CN 202310952454A CN 116827667 A CN116827667 A CN 116827667A
- Authority
- CN
- China
- Prior art keywords
- line
- attack
- bus
- vehicle
- att
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000007123 defense Effects 0.000 claims abstract description 24
- 230000006870 function Effects 0.000 claims abstract description 13
- 239000000523 sample Substances 0.000 claims abstract description 11
- 230000008901 benefit Effects 0.000 claims abstract description 10
- 230000002159 abnormal effect Effects 0.000 claims abstract description 7
- 238000010801 machine learning Methods 0.000 claims abstract description 4
- 230000000116 mitigating effect Effects 0.000 claims description 12
- 238000012512 characterization method Methods 0.000 claims description 9
- 230000000694 effects Effects 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 238000013461 design Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000004873 anchoring Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 claims description 2
- 230000002093 peripheral effect Effects 0.000 claims description 2
- 230000002265 prevention Effects 0.000 claims description 2
- 230000004044 response Effects 0.000 abstract description 4
- 230000008859 change Effects 0.000 abstract description 3
- 238000004088 simulation Methods 0.000 abstract description 2
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 240000000233 Melia azedarach Species 0.000 description 1
- 241000233805 Phoenix Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000003796 beauty Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000000407 epitaxy Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
Abstract
一种基于公交域控制器的云协同网络入侵特征捕捉方法,包括:1、对基于车辆网时空流的特征信息进行收集;2、多维度的提取有用信息并且对异常信息设定基于机器学习的可浮动阈值,自适应地形成适合当前攻击类型的机器辨别特征;3、通过径向基函数对攻击方的攻击目标进行实时模拟,同步调整防御策略并且在v2x服务基站和车辆的域控制器同步部署执行。本发明根据公交系统运营的特点,采用围绕疑似攻击方利益最大化设计探针参数,利用径向基函数对攻击方的攻击目标对整个公交系统的威胁程度Threat_degree进行实时模拟,从而可以根据攻防形势的不断变化调整防御应对。
Description
技术领域
本发明涉及车联网安全技术领域,更为具体地说是指一种基于公交域控制器的云协同网络入侵捕捉方法。
背景技术
现有的研究应用人工和智能对基于特征值分布的算法,来对该数据集进行深入剖析并用以识别正常和攻击集群。作为传统网络攻击的普通应对方法,首先获取入侵检测算法对可疑流量的判定结果,当可疑流量被判定为攻击流量时,分析流量的攻击类型;接着,依据入侵流量的攻击类型制定相应的攻击缓解策略,如流量清洗、服务重定向等;最后,将规划好的攻击缓解策略下发到交换机,由交换机执行策略实施攻击缓解,这样做需要消耗相当的网络资源。
但由于公共交通信息系统具有封闭式管理的特殊性,无法对所有的网络攻击进行信息取样造成信息维度的缺失。人工智能捕捉网络入侵数据特征的效果实用性不强。而且对于依赖v2x服务基站进行信息及定位服务的公交运营指挥系统,即使确认了遭受网络攻击也没有合适的应急处理手段缓解或者解决因此引起的调度失控问题,这就需要在传统系统的基础之上根据公交智能指挥网络的资源特点和管理需要,部署快速捕捉网络入侵原因和分析攻击目的的方法机制和与之相配合的域控制器设备才能有效的防御对智能公交系统的网络攻击。为此,我们提供了一种基于公交域控制器的云协同网络入侵特征捕捉方法。
发明内容
本发明提供一种基于公交域控制器的云协同网络入侵捕捉方法,旨在解决现有现有人工智能捕捉网络入侵无法用于公交系统应对网络攻击等问题。
本发明采用如下技术方案:
一种基于公交域控制器的云协同网络入侵特征捕捉方法,包括以下步骤:
步骤一、对基于车辆网时空流的特征信息进行收集;
步骤二、多维度的提取有用信息并且对异常信息设定基于机器学习的可浮动阈值,自适应地形成适合当前攻击类型的机器辨别特征;具体包括:2.1、设置假想攻击流量参数和假想攻击公交运营效率损失参数;2.2、采用围绕疑似攻击方利益最大化设计探针参数;
步骤三、攻击防御策略的执行;
步骤四、通过径向基函数对攻击方的攻击目标进行实时模拟,同步调整防御策略并且在v2x服务基站和车辆的域控制器同步部署执行;
步骤五、验证所选择方法的DDoS防御性能。
上述步骤一具体包括:1.1、对公交车辆的信息进行收集,包括对配置V2X交互设备的公交车型进行汇总;1.2、对公交运营调度相关的路口V2X设施的信息进行收集,所述V2X设施包括提供公交车辆定位和信息服务的5Gv2x服务基站、路口监控传感器、边缘计算设备、智能公交车站;1.3、对步骤1.2中选中的公交线路周边服务v2x服务基站被标识出来并进行信息安全情况收集。
上述步骤2.1的假想攻击流量参数,包括:a.从发起攻击到我方识别被攻击的时间长度t1;b.从我方识别被攻击到部署缓解措施的时间长度t2;c.缓解措施生效时间长度t3;d.从停止攻击到缓解措施解除的时间长度t4;e.攻击发起时,我方采取措施前损失的通道能力Lost_f1ow1,以百分比计数;f.通过发起佯攻我方因为采取缓解措施损失的网络流量能力加上依然存在的部分攻击效果之和Lost_flow2,以百分比计数;g.攻击停止到解除缓解措施这段时间里我方实际损失的通道能力Lost_flow3;h.当前触发我方判断受到攻击的流量域值k1。
上述步骤2.1的假想攻击公交运营效率损失参数,包括:①公交线路负载参数line_load:其中:线路站点id∈n,idn为每个站点的上车乘客人数;②攻击方的相关数据可以使用人流密度公式计算出line_load预期值line_load_p:line_load_p=公开信息中站点附近500米的人流密度值*人流密度比例;③公交线路车辆SOC(车辆剩余电量情况)line_SOC;④公交线路运营效率损失effic_lost:effic_lost=line_load-line_load_p;⑤因网络攻击导致公交抛锚,扰乱正常的交通流而导致整体通行效率下降的effic_lost_k:effic_lost_k=e^(-((line_load-line_load_p)/line_load_p)^2*0.5/(1+line_SOC)^2)。
上述步骤2.2中的探针参数包括:被攻击线路id(att_line_id),发现特定线路被攻击开始时间(att_line_id_time_sta),发现特定线路被攻击预计结束时间(att_line_id_time_end_p),被攻击线路的v2x服务基站id(att_line_id_serve_id),被攻击影响的车辆id(att_line_id_veh_id),车辆参数偏差(att_line_id_serve_id_dev)。
上述步骤2.2中探针参数的聚焦过程如下:(1)通过计算流量异常特征,可以最终确定:被攻击的公交线路att_line_id和被攻击线路的v2x服务基站att_line_id_serve_id;(2)确定公交线路以后开始计算攻击的开始和预计的结束时间:att_line_id_time_end_p=att_line_id_time_sta+t5;(3)通过被攻击基站和其链接的车辆可以确定:被攻击影响的车辆att_line_id_veh_id;(4)通过确定被攻击车辆确定车辆被影响参数:att_line_id_serve_id_dev=此车的总线状态参数-大数据期望状态参数。
进一步地,由步骤2.1可知,公交路线的载客数量变化最大化的表征因子(line_load-line_load_p)/line_load_p和公交车本身电池SOC的表征因子1+line_SOC是驱动攻击利益最大化的两个核心指标,单位时间内我方实际损失通道能力Lost_flow5是评价攻击方有效手段主要指标;结合步骤2.2中被攻击车辆确定车辆被影响参数,将公交车本身电池SOC的表征因子的计算公式设定为:1+line_SOC/att_line_id_serve_id_dev;当车辆网络攻击防御系统被攻破到可以影响到总线报文甚至底盘控制信息的程度,车辆抛锚相当于SOC为0,及att_line_id_serve_id_dev数值极大,line_SOC/att_line_id_serve_id_dev为0。
上述步骤四中径向基函数的公式为:Threat_degree=e^(-((1ine_load-line_load_p)/line_load_p)^2*0.5/(1+line_SOC/att_line_id_serve_id_dev)^2)。
上述步骤四中调整防御策略并且在v2x服务基站部署执行的具体过程如下:4.2.1、对基站进行可疑攻击端口排查;4.2.2、调用路口防疫系统进行人工智能识别监视;4.2.3、通过路口的人工智能车辆行人的动态捕捉技术,识别出有人形目标动态参数,判断是否为信息攻击实施人员。
上述步骤四中调整防御策略并且在车辆的域控制器同步部署执行的具体做法如下:通过步骤4.2.3参数分析,若公交车辆的车辆控制系统和报文系统没有被攻破,具备对其域控制器实施防御部署部署条件,由预备安全信道发布域控制器安全防御指令,在域控制器中的防御策略驱动程序被激活,开始关闭常规报文端口,公交车辆进入应急运营状态。
由上述对本发明的描述可知,和现有技术相比,本发明具有如下优点:
本发明根据公交系统运营的特点,采用围绕疑似攻击方利益最大化设计探针参数,利用径向基函数对攻击方的攻击目标对整个公交系统的威胁程度Threat_degree进行实时模拟,从而可以根据攻防形势的不断变化调整防御应对。
附图说明
图1为本发明公交车辆通讯系统的结构框图。
图2为本发明公交系统收集的公交特征信息示意图。
图3为本发明选中的公交线路周边v2x服务基站的标识示意图。
图4为本发明Packet-In消息个数与时间的坐标图。
图5为本发明公交系统受威胁的特征信息示意图。
图6为本发明人工智能识别的受威胁公交车辆所在路口的三维地图。
图7为本发明人工智能识别监视到路口有人形目标的示意图。
具体实施方式
下面参照附图说明本发明的具体实施方式。为了全面理解本发明,下面描述到许多细节,但对于本领域技术人员来说,无需这些细节也可实现本发明。对于公知的组件、方法及过程,以下不再详细描述。
本发明提供一种基于公交域控制器的云协同网络入侵特征捕捉方法。其中,参照图1,公交车辆内设有域控制器集成系统、车机系统及TBOX,公交车辆主要布置有三层通讯通道:1、TBOX与车机系统:无线网络(WIFI或4G/5G);2、CGW和各个域控制器:车载以太网通讯;3、CAN总线:CAN总线网络。网络入侵以上3层通讯通道,主要采用接触式攻击、近场攻击以及远程攻击。
该基于公交域控制器的云协同网络入侵特征捕捉方法,具体包括以下步骤:
步骤一、对基于车联网时空流的特征信息进行收集。
上述步骤一具体包括:
1.1、对公交车辆的信息进行收集。比如对配置V2X交互设备的公交车型进行汇总,见图1的下方信息轮询窗口,本发明实时反馈如下(车牌号为随机生成伪码):
ID1|闽D21476C|经纬度:118.204675,24.633898|Can车速:24.8|电池电压:608.1|剩余电量:16%|电池电流:-195.7|车型:XMQ6601AGBEVL1
ID2|闽D74191J|经纬度:118.207132,24.633915|Can车速:6.2|电池电压:608.4|剩余电量:41%|电池电流:-209.64|车型:XMQ6850BGBEVM1
……
ID36|闽D53824F|经纬度:118.023382,24.483688|Can车速:49.6|电池电压:608.3|剩余电量:34%|电池电流:-192.71|车型:XMQ6106AGBEVM1
以上信息表征某一维度(v2x功能有效运行前提下)查询出车辆的运行信息,为后续的综合分析做数据准备。在图2的地图界面中方框反映出所选车型在地图中的定位,同时在系统判断信号流量不稳定或其他异常时,根据系统判定异常的严重程度,方框颜色会逐渐从冷色调转向更靠近暖色调。
1.2、对公交运营调度相关的路口V2X设施(提供公交车辆定位和信息服务的5Gv2x服务基站、路口监控传感器、边缘计算设备、智能公交车站等)的信息进行收集,见图2左侧信息栏。
被选中(或轮询到)高亮的某公交线路,在界面右侧显示出,当前轮询节拍下各个站点的乘客人数为:
第一码头(BRT):20人、开禾路口(BRT):10人、思北(BRT):4人、斗西路(BRT):25人、二市(BRT):2人、文灶(BRT):8人、金榜公园(BRT):20人、火车站(BRT):11人、莲坂(BRT):5人、龙山桥(BRT):0人、卧龙晓城(BRT):20人、东芳山庄(BRT):0人、蔡塘(BRT):0人、金山(BRT):13人、市行政服务中心(BRT):9人、双十中学(BRT):7人、县后(BRT):18人、高崎机场(BRT):6人、T4候机楼(BRT):19人、凤林(BRT):2人、东安(BRT):2人、后田(BRT):8人、东亭(BRT):8人、美峰(BRT):19人、蔡店(BRT):23人、潘涂(BRT):21人、滨海新城(西柯)枢纽站(BRT):17人、官浔(BRT):24人、轻工食品园(BRT):2人、四口圳(BRT):18人、工业集中区(BRT):24人、第三医院(BRT):25人、城南(BRT):2人、同安枢纽站(BRT):1人。
对根据特定维度选择或者轮询到的相关服务v2x服务基站设备运行信息进行收集,通过存储Packet-In信息以及流表特征信息,能够更好的对攻击进行预判和检测。
图3中对1.2步骤中选中的公交线路周边服务v2x服务基站被标识出来并进行信息安全情况收集,该图3中的网络流量情况被用A标识出来(流量负荷越大,颜色越红),Packet-In消息数据结构如下:
表1、v2x服务基站流量情况表
对于“流表特征信息”和“攻击者特征信息”,由于网络运营单位针对网络攻击缓解和定位使用的信息在本发明中和公交运营安全的相关性较低,故本发明仅对“Packet-In消息频率统计”进行概率特征统计。
由于在传统网络攻防情况下,当攻击方以低速率进行攻击时,依靠Packet-In速率的预警监测机制反应不够灵敏,攻击流量会成功实现对服务器的攻击行为,破坏服务器的正常运行。因此需要将上述Packet-In消息频率综合其他系统信息进行综合判断才能有效防御并且缓解攻击对公交运营调度系统的影响。图4中可以看到780s-840s这段时间,出现明显的信息量负荷跃升。
以下案例从OpenStreetMap导入一个真实的地图,并且选择一个试验区域。在这个区域,虚拟选择了v2x服务基站,并使用图2中的信号塔标识“A”表示。在图3中,围绕v2x服务基站的圆圈表示v2x服务基站通讯覆盖范围。这些v2x服务基站的经纬度及其通讯覆盖范围具体如表2所示。当确定了v2x服务基站的经纬度和通讯范围后,根据系统内被监控公交车的轨迹数据集计算每一秒,所有车辆与v2x服务基站之间的距离。以这种方式,获得在v2x服务基站通信范围内的所有车辆的行为信息(比如,速度、时间、位置、车辆ID、车辆类型)。在案例中,可以获得了各个v2x服务基站所观测到的交通流情况。
通过开源工具模拟车联网中的DDoS攻击,并得到每一个时间段的数据集。
v2x服务基站ID | 纬度 | 经度 | 通讯覆盖范围 |
4a14c6b99cf7cc6a1c1d112c0 | 24.546552 | 118.154111 | 500(m) |
4a14c6b99cf7cc6a1c1d112c1 | 24.535102 | 118.148108 | 500(m) |
4a14c6b99cf7cc6a1c1d112c2 | 24.494329 | 118.146947 | 500(m) |
4al4c6b99cf7cc6a1c1d112c3 | 24.482768 | 118.146554 | 500(m) |
4a14c6b99cf7cc6a1c1d112c4 | 24.489899 | 118.146202 | 500(m) |
4a14c6b99cf7cc6a1c1d112c5 | 24.475386 | 118.093712 | 500(m) |
4a14c6b99cf7cc6a1c1d112c6 | 24.466847 | 118.100225 | 500(m) |
4a14c6b99cf7cc6a1c1d112c7 | 24.463053 | 118.080003 | 500(m) |
4a14c6b99cf7cc6a1c1d112c8 | 24.479557 | 118.131015 | 500(m) |
4a14c6b99cf7cc6a1c1d112c9 | 24.722238 | 118.14053 | 500(m) |
4a14c6b99cf7cc6a1c1d112c10 | 24.604354 | 118.119837 | 500(m) |
4a14c6b99cf7cc6a1c1d112c11 | 24.687668 | 118.129724 | 500(m) |
4a14c6b99cf7cc6a1cld112c12 | 24.677358 | 118.1368 | 500(m) |
表2、v2x服务基站经纬度及其通讯覆盖范围(实验数据)
步骤二、鉴于网络安全业内经常采用调整兰德系数、调整互信息、F1-measure和准确率,4种指标来评估算法区分正常连接与异常连接的性能,当新的DDoS攻击类型出现时,训练好的分类器模型往往不能很好地区分出正常数据流与异常数据流。本步骤通过多维度的提取有用信息并且对异常信息设定基于机器学习的可浮动阈值,从而自适应地形成适合当前攻击类型的机器辨别特征,以此提高DDoS攻击识别和针对性缓解措施的性能。
2.1、假想攻击参数设置。
2.1.1、攻击流量参数设置:
在本案例中,攻击方会先取若干个点(基站)进行试探性攻击,同样通过机器智能识别出我方识别攻击并且采取措施的几个关键参数:
a.从发起攻击到我方识别被攻击的时间长度t1;
b.从我方识别被攻击到部署缓解措施的时间长度t2;
c.缓解措施生效时间长度t3;
d.从停止攻击到缓解措施解除的时间长度t4;
e.攻击发起时,我方采取措施前损失的通道能力Lost_flow1,以百分比计数:
比如攻击流量为正常流量的7倍,Lost_flow1=(100/(7+1)*7)/100=87.5%;
f.通过发起佯攻我方因为采取缓解措施损失的网络流量能力加上依然存在的部分攻击效果之和Lost_flow2,以百分比计数:
比如:攻击流量为正常流量的7倍,通过屏蔽被怀疑攻击地址的DDoS缓解方法可以将攻击流量降低89.1%,但造成20%的通道资源被屏蔽,这样本例中实际我方实际损失通道能力为:Lost_flow2=((100/(7+1)*7)*(1-89.1%)+100*20%)/100=29.53%;
可以看到,即使攻击很快被遏制,在开始攻击到攻击停止,采用缓解措施到措施被解除的这段时间里依然有将近三分之一流量能力受到抑制。
g.攻击停止到解除缓解措施这段时间里我方实际损失的通道能力Lost_flow3:本例中为20%;
h.当前触发我方判断受到攻击的流量域值k1;
在估算出以上参数的前提下,攻击方可以定出攻击持续时间的长度t5,并且计算出,受攻击完整周期中(t5+t4),单位时间内我方实际损失通道能力Lost_flow5:
Lost_flow5=(t1+t2+t3)*Lost_flow1+(t5-(t1+t2+t3))*Lost_flow2+t4*Lost_flow3/(t5+t4)
攻击方在流量方面的攻击效果指标以Lost_flow5最大化为准。
2.1.2、假想攻击公交运营效率损失参数设置:
①公交线路负载参数line_load:其中:线路站点id∈n,idn为每个站点的上车乘客人数;
②攻击方的相关数据可以使用人流密度公式计算出line_load预期值line_load_p:line_load_p=公开信息中站点附近500米的人流密度值*人流密度比例;
比如:line_load_p=1000人/平方公里*0.0023(说明:此人员密度->上客映射比例0.0023,为大数据统计常量),当前时间段的1ine_load预期值2.3个人。
③公交线路车辆SOC(车辆剩余电量情况)line_SOC;
④公交线路运营效率损失effic_lost:
effic_lost=line_load-line_load_p;
⑤因网络攻击导致公交抛锚,扰乱正常的交通流而导致整体通行效率下降的effic_lost_k:
effic_lost_k=e^(-((line_load-line_load_p)/line_load_p)^2*0.5/(1+line_SOC)^2)(说明:考虑极端情况下,当line_SOC接近0,并且整条公交线瘫痪载客人数为0时交通效率下降最大,effic_lost_k下降到最小);
effic_lost_k因为能造成被观察系统损失外延,因此被称作关键损失(key损失);
2.2、防御方针对“拒绝服务式攻击(Denial of Service让被攻击的系统无法正常进行服务的攻击方式)防御系统”的探针参数设置的侧重点说明。
本发明不涉及对未知设备类型和流量结合起来进行监控甄别攻击设备ip的方式,而采用围绕疑似攻击方利益最大化设计探针参数。
2.2.1、防御方信息特征探测捕捉的目标参数;
相对业界主流的信息安全探针方案(全流量处理,资产及服务发现、流量及访问关系发现、细粒度流量审计),本实施例与之不同的是:并不对所有流量进行细粒度的审计,而是针对攻击方攻击点和攻击持续时间的长度t5,进行重点探测。
本发明主要任务是通过捕捉对公交日常运营产生干扰最大的攻击特征,进而筛查出攻击方的攻击重点线路和时间,以及可能发起攻击的持续时间段,进而短时间做出防御性应急预案动作部署,主要参数有:
被攻击线路id:att_line_id;
发现特定线路被攻击开始时间:att_line_id_time_sta;
发现特定线路被攻击预计结束时间:att_line_id_time_end_p;
被攻击线路的v2x服务基站id:att_line_id_serve_id;
被攻击影响的车辆id:att_line_id_veh_id;
车辆参数偏差:att_line_id_serve_id_dev。
系统聚焦过程如下:
(1)通过计算流量异常特征,可以最终确定:被攻击的公交线路att_line_id和被攻击基站att_line_id_serve_id;
(2)确定公交线路以后开始计算攻击的开始和预计的结束时间:att_line_id_time_end_p=att_line_id_time_sta+t5;
(3)通过被攻击基站和其链接的车辆可以确定:被攻击的车辆att_line_id_veh_id;
(4)通过确定被攻击车辆确定车辆被影响参数:att_line_id_serve_id_dev=此车的总线状态参数-大数据期望状态参数。
步骤三、攻击防御策略的执行。
由上述步骤2.1.2可知,公交路线的载客数量变化最大化的表征因子(line_load-line_load_p)/line_load_p和公交车本身电池SOC的表征因子1+line_SOC(公式中+1为正则化处理)是驱动攻击利益最大化的两个核心指标,单位时间内我方实际损失通道能力Lost_flow5是评价攻击方有效手段主要指标。
结合步骤2.2.1中被攻击车辆确定车辆被影响参数,将公交车本身电池SOC的表征因子的计算公式设定为:1+line_SOC/att_line_id_serve_id_dev。当车辆网络攻击防御系统被攻破到可以影响到总线报文甚至底盘控制信息的程度,车辆抛锚相当于SOC为0,及att_line_id_serve_id_dev数值极大,line_SOC/att_line_id_serve_id_dev为0。
步骤四、假设攻击方通过智能体在盲目尝试各种动作,然后根据动作对指标的影响进行效果比较分析,最后做出攻击方标的效果最大化的攻击策略并在执行过程中不断调整相关参数锁定对某个目的领域攻击效果最大化的目标。
本发明通过径向基函数对攻击方的攻击目标进行实时模拟,同步调整防御策略并且在v2x服务基站和车辆的域控制器同步部署执行。
4.1、利用径向基函数对攻击方的攻击目标对整个公交系统的威胁程度Threat_degree进行实时模拟,从而可以根据攻防形势的不断变化调整防御应对。
表征受攻击威胁程度的径向基函数公式:Threat_degree=e^(-((line_1oad-line_load_p)/1ine_load_p)^2*0.5/(1+line_SOC/att_line_id_serve_id_dev)^2)。
以上函数表现形式,见图5。图5左上角即为上述公式求值的结果,其中:
line_load=173.278828;
line_load_p=6.617264;
line_SOC=0.022647;
att_line_id_serve_id_dev=0.593027。
进一步查询参数表可知,攻击方从策略如图5所示:
公交线路代码为:f5b531573370194b9ce32134;
攻击公交线路名称为:938路(上头亭-双桥明珠);
攻击基站为:f5b531573370194b9ce321340。
通过参数推测:
A、线路承载人数从平常时间的6.6人,变为173人,因此附近应该有突发事件或者在举办某活动;
B、此线路车辆的line_SOC=0.022647电池状况变为2%,属于严重亏电状态,有可能是管理调度系统被攻击或者车辆总线被攻击造成的;
C、att_line_id_serve_id_dev=0.593027显示车辆总线异常并不严重。
初步可以判断是公交调度系统受到有效攻击造成车辆亏电,进而引起公交车将动力电池的电量消耗殆尽造成线路瘫痪。
4.2、调整防御策略并且在v2x服务基站部署执行:
4.2.1、部署基站号为:f5b531573370194b9ce321340的基站进行可疑攻击端口排查;
4.2.2、调用路口防御系统进行人工智能识别监视,见图5左下角、图6、图7左下角;
通过图6的人工智能车型识别到,受攻击路口有军用应急车队通过,初步判定4.1的异常为突发事件。
4.2.3、通过路口的人工智能车辆行人的动态捕捉技术,识别出图7左侧有人形目标动态参数为0.110628参数越小表示人动作越小,及这个人在路口长时间不动,有可能为信息攻击实施人员(需要进一步判断是否携带信息攻击设备);
4.3、调整防御策略并且在车辆的域控制器同步部署执行;
通过上述参数分析,公交车辆的车辆控制系统和报文系统没有被攻破,具备对其域控制器实施防御部署部署条件,因此由预备安全信道发布域控制器安全防御指令,在域控制器中的防御策略驱动程序被激活,开始关闭常规报文端口,公交车辆进入应急运营状态。
步骤五、验证所选择方法的DDoS防御性能。
上述仅为本发明的具体实施方式,但本发明的设计构思并不局限于此,凡利用此构思对本发明进行非实质性的改动,均应属于侵犯本发明保护范围的行为。
Claims (10)
1.一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于,包括以下步骤:
步骤一、对基于车辆网时空流的特征信息进行收集;
步骤二、多维度的提取有用信息并且对异常信息设定基于机器学习的可浮动阈值,自适应地形成适合当前攻击类型的机器辨别特征;具体包括:2.1、设置假想攻击流量参数和假想攻击公交运营效率损失参数;2.2、采用围绕疑似攻击方利益最大化设计探针参数;
步骤三、攻击防御策略的执行;
步骤四、通过径向基函数对攻击方的攻击目标进行实时模拟,同步调整防御策略并且在v2x服务基站和车辆的域控制器同步部署执行;
步骤五、验证所选择方法的DDoS防御性能。
2.如权利要求1所述的一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于,所述步骤一具体包括:1.1、对公交车辆的信息进行收集,包括对配置V2X交互设备的公交车型进行汇总;1.2、对公交运营调度相关的路口V2X设施的信息进行收集,所述V2X设施包括提供公交车辆定位和信息服务的5Gv2x服务基站、路口监控传感器、边缘计算设备、智能公交车站;1.3、对步骤1.2中选中的公交线路周边服务v2x服务基站被标识出来并进行信息安全情况收集。
3.如权利要求1所述的一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于:所述步骤2.1的假想攻击流量参数,包括:a.从发起攻击到我方识别被攻击的时间长度t1;b.从我方识别被攻击到部署缓解措施的时间长度t2;c.缓解措施生效时间长度t3;d.从停止攻击到缓解措施解除的时间长度t4;e.攻击发起时,我方采取措施前损失的通道能力Lost_flow1,以百分比计数;f.通过发起佯攻我方因为采取缓解措施损失的网络流量能力加上依然存在的部分攻击效果之和Lost_flow2,以百分比计数;g.攻击停止到解除缓解措施这段时间里我方实际损失的通道能力Lost_flow3;h.当前触发我方判断受到攻击的流量域值k1。
4.如权利要求3所述的一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于:所述步骤2.1的假想攻击公交运营效率损失参数,包括:①公交线路负载参数line_load:其中:线路站点id∈n,idn为每个站点的上车乘客人数;②攻击方的相关数据可以使用人流密度公式计算出line_load预期值line_load_p:line_load_p=公开信息中站点附近500米的人流密度值*人流密度比例;③公交线路车辆SOC(车辆剩余电量情况)line_SOC;④公交线路运营效率损失effic_lost:effic_lost=line_load-line_load_p;⑤因网络攻击导致公交抛锚,扰乱正常的交通流而导致整体通行效率下降的effic_lost_k:effic_lost_k=e^(-((line_load-line_load_p)/line_load_p)^2*0.5/(1+line_SOC)^2)。
5.如权利要求4所述的一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于,所述步骤2.2中的探针参数包括:被攻击线路id(att_line_id),发现特定线路被攻击开始时间(att_line_id_time_sta),发现特定线路被攻击预计结束时间(att_line_id_time_end_p),被攻击线路的v2x服务基站id(att_line_id_serve_id),被攻击影响的车辆id(att_line_id_veh_id),车辆参数偏差(att_line_id_serve_id_dev)。
6.如权利要求5所述的一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于,所述步骤2.2中探针参数的聚焦过程如下:(1)通过计算流量异常特征,可以最终确定:被攻击的公交线路att_line_id和被攻击线路的v2x服务基站att_line_id_serve_id;(2)确定公交线路以后开始计算攻击的开始和预计的结束时间:att_line_id_time_end_p=att_line_id_time_sta+t5;(3)通过被攻击基站和其链接的车辆可以确定:被攻击影响的车辆att_line_id_veh_id;(4)通过确定被攻击车辆确定车辆被影响参数:att_line_id_serve_id_dev=此车的总线状态参数-大数据期望状态参数。
7.如权利要求6所述的一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于:由步骤2.1可知,公交路线的载客数量变化最大化的表征因子(line_load-line_load_p)/line_load_p和公交车本身电池S0C的表征因子1+line_SOC是驱动攻击利益最大化的两个核心指标,单位时间内我方实际损失通道能力Lost_flow5是评价攻击方有效手段主要指标;结合步骤2.2中被攻击车辆确定车辆被影响参数,将公交车本身电池SOC的表征因子的计算公式设定为:1+line_SOC/att_line_id_serve_id_dev;当车辆网络攻击防御系统被攻破到可以影响到总线报文甚至底盘控制信息的程度,车辆抛锚相当于SOC为0,及att_line_id_serve_id_dev数值极大,line_SOC/att_line_id_serve_id_dev为0。
8.如权利要求7所述的一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于,所述步骤四中径向基函数的公式为:Threat_degree=e^(-((line_1oad-line_load_p)/line_load_p)^2*0.5/(1+line_SOC/att_line_id_serve_id_dev)^2)。
9.如权利要求1所述的一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于,所述步骤四中调整防御策略并且在v2x服务基站部署执行的具体过程如下:4.2.1、对基站进行可疑攻击端口排查;4.2.2、调用路口防疫系统进行人工智能识别监视;4.2.3、通过路口的人工智能车辆行人的动态捕捉技术,识别出有人形目标动态参数,判断是否为信息攻击实施人员。
10.如权利要求9所述的一种基于公交域控制器的云协同网络入侵特征捕捉方法,其特征在于,所述步骤四中调整防御策略并且在车辆的域控制器同步部署执行的具体做法如下:通过步骤4.2.3参数分析,若公交车辆的车辆控制系统和报文系统没有被攻破,具备对其域控制器实施防御部署部署条件,由预备安全信道发布域控制器安全防御指令,在域控制器中的防御策略驱动程序被激活,开始关闭常规报文端口,公交车辆进入应急运营状杰。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310952454.8A CN116827667A (zh) | 2023-07-31 | 2023-07-31 | 一种基于公交域控制器的云协同网络入侵特征捕捉方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310952454.8A CN116827667A (zh) | 2023-07-31 | 2023-07-31 | 一种基于公交域控制器的云协同网络入侵特征捕捉方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116827667A true CN116827667A (zh) | 2023-09-29 |
Family
ID=88141350
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310952454.8A Pending CN116827667A (zh) | 2023-07-31 | 2023-07-31 | 一种基于公交域控制器的云协同网络入侵特征捕捉方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116827667A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117134999A (zh) * | 2023-10-26 | 2023-11-28 | 四川万物纵横科技股份有限公司 | 一种边缘计算网关的安全防护方法、存储介质及网关 |
-
2023
- 2023-07-31 CN CN202310952454.8A patent/CN116827667A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117134999A (zh) * | 2023-10-26 | 2023-11-28 | 四川万物纵横科技股份有限公司 | 一种边缘计算网关的安全防护方法、存储介质及网关 |
CN117134999B (zh) * | 2023-10-26 | 2023-12-22 | 四川万物纵横科技股份有限公司 | 一种边缘计算网关的安全防护方法、存储介质及网关 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110149345B (zh) | 一种基于报文序列预测的车载网络入侵检测方法 | |
CN104486141B (zh) | 一种误报自适应的网络安全态势预测方法 | |
Zhang et al. | Intrusion detection system using deep learning for in-vehicle security | |
CN103581186B (zh) | 一种网络安全态势感知方法及系统 | |
CN107567005B (zh) | 基于人工免疫系统的车联网车辆异常行为检测方法及系统 | |
CN116827667A (zh) | 一种基于公交域控制器的云协同网络入侵特征捕捉方法 | |
CN106205143A (zh) | 智能卡口联网系统 | |
CN107346435A (zh) | 一种基于车辆特征库的嫌疑套牌车捕获方法 | |
Gramaglia et al. | New insights from the analysis of free flow vehicular traffic in highways | |
CN104301895A (zh) | 一种基于流量预测的双层触发入侵检测方法 | |
Gao et al. | An intrusion detection method based on machine learning and state observer for train-ground communication systems | |
CN106878995A (zh) | 一种基于感知数据的无线传感器网络异常类型鉴别方法 | |
CN105025011A (zh) | 车载信息安全的评价方法 | |
CN110505134A (zh) | 一种车联网can总线数据检测方法及装置 | |
CN106713354A (zh) | 一种基于不可检测信息攻击预警技术的电力信息物理系统脆弱性节点评估方法 | |
Thajchayapong et al. | Distributed classification of traffic anomalies using microscopic traffic variables | |
CN105868629A (zh) | 一种适用于电力信息物理系统的安全威胁态势评估方法 | |
CN106357637A (zh) | 一种针对智慧能源终端数据的主动防御系统 | |
CN102789690B (zh) | 违法车辆甄别方法及系统 | |
Santhi et al. | Reliability refinement in VANET with hybrid jamming attacks using novel index based voting algorithm | |
Le et al. | Shadows don't lie: n-sequence trajectory inspection for misbehaviour detection and classification in vanets | |
Biroon et al. | Real-time false data injection attack detection in connected vehicle systems with pde modeling | |
CN114900331B (zh) | 基于can报文特征的车载can总线入侵检测方法 | |
Zhang et al. | An intrusion detection method of data tampering attack in communication-based train control system | |
Dey et al. | Efficient detection and localization of dos attacks in heterogeneous vehicular networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |