[发明专利]一种基于交通流密度差异的车联网异常入侵检测方法

权利要求书

1.一种基于交通流密度差异的车联网异常入侵检测方法，应用于车联网，每辆车装配有车载单元，在路侧设置有路侧基站，通过车载单元和路侧基站进行信息采集，进行异常入侵检测，其特征在于，在车载单元和路侧基站内都设置有事件分析模块；所述的检测步骤包括：

步骤1：路侧基站对通信范围内的车速进行采集，根据不同交通状况选择不同检测机制；

当路侧基站检测到车速大于等于预设速度V_T时，采用分布式协作入侵检测机制，执行步骤2；否则，采用集中式入侵检测机制，执行步骤3；V_T为正数；

步骤2：车辆上的车载单元执行分布式入侵检测机制；

车载单元采集网络数据包信息和车辆信息，利用车载单元中的事件分析模块进行异常入侵检测；当检测到异常后，启动联机响应模块及时报警并切断与相邻节点的连接；

步骤3：路侧基站执行集中式入侵检测机制；

各车辆将采集的网络数据包信息和车辆信息发送给路侧基站，路侧基站利用本地的事件分析模块进行异常入侵检测；若检测到异常时报警并切断车辆节点与路侧基站之间的连接；

所述的事件分析模块中采用加权改进的朴素贝叶斯算法进行异常入侵检测，包括：

设X为待检测的特征向量，表示为X＝{x₁,x₂,…x_n}，x₁,x₂,…x_n为对应的n个特征属性值，设有m个分类为C₁,C₂,…C_m，n、m为正整数；

先确定各特征属性的权值ω_k，k＝1,2,…n；然后利用如下公式计算X的分类结果V_WNBC(X)：

其中，P(C_i)为类别C_i的先验概率；P(x_k|C_i)为在类别C_i的条件下特征属性x_k的条件概率。

2.根据权利要求1所述的方法，其特征在于，所述的步骤1中，V_T设置为45km/h。

3.根据权利要求1所述的方法，其特征在于，所述的步骤2中，车辆信息包括车辆速度和车辆地理位置，网络数据包信息包括车辆节点接入网络持续时间duration、车辆节点访问系统敏感文件和目录的次数hot、从目标车辆节点到源车辆节点的数据的字节数dst_bytes以及车辆节点登录通信网络尝试失败的次数num_failed_logins。

4.根据权利要求1所述的方法，其特征在于，所述的车载单元和路侧基站内还都设置异常特征库和正常特征库；当事件分析模块检测出异常时，将异常特征存储在异常数据库中，如果未检出异常，则将数据特征存入正常特征库。

5.根据权利要求1或3所述的方法，其特征在于，所述的车载单元的事件分析模块，对车载单元采集的网络数据包信息和车辆信息进行预处理，预处理包括特征属性的选择、去除冗余数据以及统一数据格式；特征属性从网络数据包信息和车辆信息中选择；一组数据预处理后表示为一个特征向量。

6.根据权利要求5所述的方法，其特征在于，所述的步骤2中，车辆的事件分析模块在检测出异常时，向用户发送异常报警，并向相邻的车辆发送异常特征和异常警报，同时中断自身车辆与其他车辆以及网络的所有连接；当相邻车辆接收到异常警报后，首先断开与相邻车辆的网络连接，车辆自身启动本地异常检测；在检测到入侵异常攻击开始经过时间段t后，未检测到异常的车辆恢复网络通信。

7.根据权利要求5所述的方法，其特征在于，所述的步骤3中，路侧基站的事件分析模块检测到异常时，向所有车辆发出警报，切断所有车辆与网络的连接；当车辆与网络断开连接时间段t之后，或者当被入侵车辆离开路侧基站通信范围后，路测基站通信范围内的网络恢复通信连接。