專利名稱：針對車聯(lián)網(wǎng)數(shù)據(jù)采集中預防數(shù)據(jù)注入攻擊的保護方法
技術(shù)領(lǐng)域：
本發(fā)明屬于車聯(lián)網(wǎng)信息安全技術(shù)領(lǐng)域，涉及到一種用于利用車聯(lián)網(wǎng)進行交通流數(shù)據(jù)采集過程中防止數(shù)據(jù)注入攻擊的保護方法。
背景技術(shù)：
車聯(lián)網(wǎng)是一個以數(shù)據(jù)為中心的網(wǎng)絡。其中，基于車聯(lián)網(wǎng)所獲取的交通流數(shù)據(jù)(速度、流量等)是眾多基于車聯(lián)網(wǎng)應用的基礎(chǔ)，例如，交通信號控制系統(tǒng)、車輛防碰撞、交通流誘導等都是基于上述交通流數(shù)據(jù)的。因此，基于車聯(lián)網(wǎng)所獲取的交通流數(shù)據(jù)的安全性尤為重要。然后，由于車聯(lián)網(wǎng)的網(wǎng)絡相對于用戶是開放的，然而，這種開放性，也為眾多網(wǎng)絡攻擊提供了可能。其中，數(shù)據(jù)的注入攻擊相對于數(shù)據(jù)安全問題尤為重要。數(shù)據(jù)注入攻擊，主要體現(xiàn)在向車聯(lián)網(wǎng)中注入錯誤的或者無效的交通流數(shù)據(jù)，影響基于這些交通流數(shù)據(jù)的交通應用服務的正常工作。同時，這些錯誤數(shù)據(jù)的積累，可能會導致更嚴重的惡意攻擊，影響整個車聯(lián)網(wǎng)的正常工作，甚至危及車聯(lián)網(wǎng)用戶的人身與財產(chǎn)安全。
·
目前，主要的兩種非法注入的數(shù)據(jù)主要體現(xiàn)為(I)虛假數(shù)據(jù)，由攻擊者隨機生成的數(shù)據(jù)。(2)惡意復制數(shù)據(jù)，由攻擊者截獲有效數(shù)據(jù)，直接復制并注入網(wǎng)絡。當前，防止數(shù)據(jù)注入攻擊的安全方法主要是基于建立信任機制的方法，即為用戶授權(quán)或者分配密鑰。這些方法都需要事先為用戶分配有效的身份和驗證方法。但是由于，車聯(lián)網(wǎng)用戶的數(shù)量巨大，各個車聯(lián)網(wǎng)子網(wǎng)絡中車輛是隨機、快速變化的?，F(xiàn)有的方法均存在假設合法身份或密碼一旦授權(quán)，長時間有效。而擁有合法權(quán)力的用戶其具體行為是否合法卻缺少跟蹤與分析。同時，現(xiàn)有的方法從數(shù)據(jù)合法性的角度同樣缺少有效的解決方法，目前常用的數(shù)據(jù)質(zhì)量的方法是很難區(qū)分非法數(shù)據(jù)的，因為這些數(shù)據(jù)在偽造過程中參考了一些有效數(shù)據(jù)的數(shù)據(jù)特征，比如有效數(shù)據(jù)的范圍或者直接復制截獲的有效數(shù)據(jù)。然而，上述基于建立信任機制的方法很難有效的防止數(shù)據(jù)注入攻擊。針對上述方法的不足，結(jié)合非法數(shù)據(jù)的構(gòu)成及其特征分析，不同于基于建立信任機制的方法，目前也存在面向數(shù)據(jù)的用于車聯(lián)網(wǎng)數(shù)據(jù)安全的技術(shù)。復旦大學的AifengWu 等人[Aifeng ffu, Jianqing Ma, Shiyong Zhang. RATE: A RSU-Aided Scheme forData-Centric Trust Establishment in VANETs.1nternational Conference onWireless Communications, Networking and Mobile Computing (WiCOM). 2011，1-6.]提出了一個面向數(shù)據(jù)的保護車聯(lián)網(wǎng)防止非法節(jié)點入侵的安全機制，RATE。該機制運行在路側(cè)基礎(chǔ)設施上，利用蟻群優(yōu)化的方法分析數(shù)據(jù)的可信度，但該機制沒有指明所保護數(shù)據(jù)的類型，特別是沒有提供對交通流數(shù)據(jù)(速度和流量)的具體保護措施。羅馬尼亞的布加勒斯特理工大學的Sinziana Mazilu等人[Sinziana Maziluj Mihaela Telerj Ciprian Dobre.Securing Vehicular Networks based on Data-Trust Computation.1nternationalConference on P2P，Parallel, Grid, Cloud and Internet Computing. 2011，51-58.]同樣提出了面向數(shù)據(jù)的安全機制，該機制主要針對車聯(lián)網(wǎng)中傳遞的交通信息，如交通擁塞、交通事故等。該方法主要是利用小世界網(wǎng)絡為每一條信息計算一個可信索引，接收方需要將該索引與其它同一事件所涉及的用戶所發(fā)送的數(shù)據(jù)進行匹配，方可確認該信息的有效性。該方法需要多個用戶協(xié)同實現(xiàn)，同時也沒有對交通流數(shù)據(jù)的合法性分析提供有效的解決辦法。

發(fā)明內(nèi)容
本發(fā)明的目的是利用路側(cè)基礎(chǔ)設施對車聯(lián)網(wǎng)中各車輛發(fā)送出來的交通流數(shù)據(jù)進行數(shù)據(jù)接入與匯總時，提供一種防止數(shù)據(jù)注入攻擊的保護方法，如圖1所示。該方法主要是在路側(cè)基礎(chǔ)設施上利用基于尖點突變理論模型對車輛行駛速度和交通流量這兩種交通流數(shù)據(jù)進行二維建模，并利用該模型對將路側(cè)基礎(chǔ)設施上實時接收到的交通流數(shù)據(jù)進行數(shù)據(jù)注入攻擊分析、識別，一旦發(fā)現(xiàn)攻擊存在，則進行丟棄數(shù)據(jù)、屏蔽該入侵用戶后繼發(fā)送的數(shù)據(jù)等處理。該方法主要運行在具有運算與處理能力的路側(cè)基礎(chǔ)設施上，如信號機、路側(cè)網(wǎng)關(guān)等，只要其能夠得到車輛實時行駛速度和交通流流量這兩類交通流數(shù)據(jù)即可。本發(fā)明的技術(shù)方案是首先，利用尖點突變理論對車輛行駛速度以及交通流流量建立二維交通流建模，其次，基于該模型對路側(cè)基礎(chǔ)設施上所接收到的來自車輛的車輛行駛速度以及在路側(cè)基礎(chǔ)設施上所統(tǒng)計的交通流流量進行注入攻擊分析、識別以及處理，最后，當所接收到的車輛行駛速度被檢測為注入攻擊所產(chǎn)生的數(shù)據(jù)時，對該數(shù)據(jù)進行丟棄，并屏蔽其所屬用戶以后發(fā)送的所有數(shù)據(jù)。對每個交通流數(shù)據(jù)包進行注入攻擊分析的步驟如下步驟1.數(shù)據(jù)預處理，即將在路側(cè)基礎(chǔ)設施上得到各個車輛發(fā)送來的實時數(shù)據(jù)生成車輛的速度和交通流量，并對數(shù)據(jù)進行規(guī)格化處理，車輛的速度，V,是該車輛提供的即時速度，單位是米/秒(m/s)，可由車輛發(fā)過來的數(shù)據(jù)包中直接獲得；交通流量，q，統(tǒng)計收到該數(shù)據(jù)包時之間5分鐘內(nèi)所經(jīng)過的車輛數(shù)，該數(shù)據(jù)再轉(zhuǎn)換成輛/小時(/h)，即得到交通流流量。交通流量的統(tǒng)計方法是當基礎(chǔ)設施 接收到車輛發(fā)送出來的車輛行駛速度時，將接收到的數(shù)據(jù)包絕對時間(真實時間)以及用戶ID記錄下來，統(tǒng)計5分鐘內(nèi)的交通流量就是統(tǒng)計5分鐘內(nèi)出現(xiàn)不同ID的數(shù)量；步驟2.數(shù)據(jù)分析與識別，即在突變理論模型中，計算突變距離。根據(jù)該突變距離，識別是否存在數(shù)據(jù)注入攻擊行為；步驟3.處理，即當在步驟2中識別出所接收到的車輛行駛速度是注入攻擊所產(chǎn)生的數(shù)據(jù)時，對該數(shù)據(jù)進行丟棄，并屏蔽其所屬用戶以后發(fā)送的所有數(shù)據(jù)；步驟4.模型系數(shù)的自調(diào)整，即根據(jù)合法的交通流數(shù)據(jù)，利用分批估計理論模型對模型的系統(tǒng)進行在線調(diào)整，使其根據(jù)交通流特點自動調(diào)整，確保模型的實效性。本發(fā)明的效果和益處是其一是將利用交通流數(shù)據(jù)自身特點對數(shù)據(jù)注入攻擊進行識別，而無須復雜的身份驗證，為車聯(lián)網(wǎng)中大量用戶并存的情況提供有效的防止數(shù)據(jù)注入攻擊的安全方法；其二是數(shù)據(jù)合法性分析簡單，同時符合城市交通流非線性、突變的交通流特性，使得數(shù)據(jù)注入攻擊檢測更有實用性；其三利用分批估計理論模型對模型的系數(shù)進行自動調(diào)整更新，使其在實際應用過程中能夠確保模型分析的有效性，以及無需人工設置，對不同的交通流特性的車聯(lián)網(wǎng)子網(wǎng)絡中的交通流特性進行在線自動調(diào)整。


附圖1是數(shù)據(jù)注入攻擊分析、識別與處理的流程圖。附圖2是車聯(lián)網(wǎng)示意圖。圖2中1基于路側(cè)基礎(chǔ)設施的車聯(lián)網(wǎng)子網(wǎng)。附圖3是基于路側(cè)基礎(chǔ)設施的車聯(lián)網(wǎng)子網(wǎng)示意圖。圖3中2路側(cè)基礎(chǔ)設施。
具體實施例方式以下結(jié)合技術(shù)方案和附圖詳細敘述本發(fā)明的具體實施方式
。1、車聯(lián)網(wǎng)內(nèi)部通訊方式以及網(wǎng)絡拓撲如圖2所示，車與路側(cè)之間通訊主要可以是基于短距離通訊技術(shù)(DSRC)本方案主要考慮的是802.1lp或Zigbee作為通訊介質(zhì)的通訊方式。具體網(wǎng)絡拓撲是，將圖2中的路側(cè)基礎(chǔ)設施固定在道路邊上，距離路邊I米-10米，保證通訊距離100米左右即可。在車聯(lián)網(wǎng)子網(wǎng)絡中，當有惡意數(shù)據(jù)攻擊者入侵時，其車聯(lián)網(wǎng)子網(wǎng)絡示意圖如圖3所示。2、車聯(lián)網(wǎng)內(nèi)車輛身份(ID)的表示為了區(qū)別每一輛車，本方法主要是利用車輛通訊中所使用的物理通訊層MAC地址。因為不管是802.1lx或zigbee作為通訊介質(zhì)，其通訊節(jié)點芯片在出廠時候都有一個唯一的地址，而且在通訊過程中，該地址是可得到的，同時也不需要重新授權(quán)。3、數(shù)據(jù)注入攻擊模型所需數(shù)據(jù)參數(shù)以及形式規(guī)格化該方法主要要用到車輛的速度、交通流流量、以及車輛行駛方向等3項信息。其中車輛的速度和交通流流量用于數(shù)據(jù)注入攻擊的判別，車輛行駛方向主要是用來確定雙向車道上具體行駛方向，因為該方法中是利用同一行駛方向上的數(shù)據(jù)進行分析。為了便于分析，需要將數(shù)據(jù)格式(單位)規(guī)格化。車輛的速度，V，是該車輛提供的即時速度，單位是米/秒(m/s);交通流量，q，是在基礎(chǔ)設施上當接收到車輛發(fā)送的速度數(shù)據(jù)時，統(tǒng)計收到該數(shù)據(jù)包時之間5分鐘內(nèi)所經(jīng)過的車輛數(shù)，該數(shù)據(jù)再轉(zhuǎn)換成輛/小時(/h)，即得到交通流流量。具體交通流流量的統(tǒng)計方法是當基礎(chǔ)設施接收到車輛發(fā)送出來的車輛行駛速度時，將接收到的數(shù)據(jù)包絕對時間(真實時間)以及用戶ID記錄下來，統(tǒng)計5分鐘內(nèi)的交通流量就是統(tǒng)計5分鐘內(nèi)出現(xiàn)不同ID的數(shù)量。為了轉(zhuǎn)換成輛/小時的單位，即在該5分鐘內(nèi)統(tǒng)計車輛數(shù)的基礎(chǔ)上乘以12，即可得到。4、基于突變理論的交通流數(shù)據(jù)流模型根據(jù)尖點突變理論模型來描述交通速度和流量之間的關(guān)系，如公式(I)所示412 V6+108mv3q+27m2q2+2m3q3=0(I)其中m為系數(shù)，其初始值范圍是，m e (-1000, -500)。根據(jù)公式(I)提出利用V和q的數(shù)據(jù)注入攻擊的分析模型，如公式(2)所示f (v, q) =412v6+108mv3q+27m2q2+2m3q3(2)根據(jù)每個規(guī)格化的數(shù)據(jù)(V，q)帶入公式(2)，即可得到| f (V，q) |，該數(shù)值作為突變距離，為數(shù)據(jù)注入攻擊的識別作為依據(jù)。5、數(shù)據(jù)注入攻擊行為的分析與識別根據(jù)公式(2)所計算出來的突變距離，對數(shù)據(jù)注入攻擊行為進行分析與識別，具體方法是
(I)當|f(v，q)| ( ε，表示(V，q)是好數(shù)據(jù)，其所在的數(shù)據(jù)包為有效數(shù)據(jù)包；(2)當|f(v，q)| > ε，表示(V，q)是壞數(shù)據(jù)，同時說明有數(shù)據(jù)注入攻擊。其中，ε是容忍系數(shù)，ε e (1,1.0)。需要說明的是車輛所獲取的速度精度很高，同時對車流量的統(tǒng)計精度也很高，除非車聯(lián)網(wǎng)自身癱瘓，無法正常工作，否者不存在由于數(shù)據(jù)精度誤差而導致If (V，q) I > ε情況出現(xiàn)。6、數(shù)據(jù)注入攻擊行為發(fā)生后的處理當數(shù)據(jù)注入攻擊發(fā)生時，在路側(cè)基礎(chǔ)設施中記錄數(shù)據(jù)包的所有者ID，并丟棄該所在的數(shù)據(jù)包，如果再收到該ID發(fā)送的數(shù)據(jù)包，直接丟棄。7、模型系數(shù)的自調(diào)整當接收到好數(shù)據(jù)時，基于分批估計理論模型，利用公式(1)，請(V，q)的值代入，將m作為變量，即可得到m的值，如果計算結(jié)果m的值為多個，選擇與當前m最接近的值，作為新的值對m進行調(diào)整，并將新的m的值帶入公式(2)中，進行下一次數(shù)據(jù)分析。其中涉及到的公式如公式(3)所示
權(quán)利要求
1.一種針對車聯(lián)網(wǎng)數(shù)據(jù)采集中預防數(shù)據(jù)注入攻擊的保護方法，對車聯(lián)網(wǎng)在交通流數(shù)據(jù)獲取過程中，是否存在數(shù)據(jù)注入攻擊進行實時在線分析、識別以及處理，該方法運行在具有運算與處理能力的路側(cè)基礎(chǔ)設施上，如信號機、路側(cè)網(wǎng)關(guān)等，只要其能夠得到車輛實時行駛速度和交通流流量這兩類交通流數(shù)據(jù)即可，其特征是首先，利用尖點突變理論對車輛行駛速度以及交通流流量建立二維交通流建模，其次，基于該模型對路側(cè)基礎(chǔ)設施上所接收到的來自車輛的車輛行駛速度以及在路側(cè)基礎(chǔ)設施上所統(tǒng)計的交通流流量進行注入攻擊分析、識別以及處理，最后，當數(shù)據(jù)被檢測為注入攻擊所產(chǎn)生的數(shù)據(jù)時，對該數(shù)據(jù)進行丟棄，并屏蔽其所屬用戶以后發(fā)送的所有數(shù)據(jù)；對每個交通流數(shù)據(jù)包進行注入攻擊分析的具體步驟如下步驟1.數(shù)據(jù)預處理，即對所接收到的車輛行駛速度以及交通流流量數(shù)據(jù)進行規(guī)格化； 步驟2.數(shù)據(jù)分析與識別，即利用所建立的車輛行駛速度與交通流流量的二維交通流建模進行對在路側(cè)基礎(chǔ)設施所接收到的車輛行駛速度進行數(shù)據(jù)注入攻擊分析；步驟3.處理，即當在步驟2中識別出數(shù)據(jù)注入攻擊行為，對當前數(shù)據(jù)包進行丟棄，并將數(shù)據(jù)包發(fā)送者身份進行記錄，拒絕其后續(xù)發(fā)送的所有數(shù)據(jù)；步驟4.模型系數(shù)的自調(diào)整，即根據(jù)合法的交通流數(shù)據(jù)，利用分批估計理論模型對模型的系統(tǒng)進行在線調(diào)整，使其根據(jù)交通流特點自動調(diào)整，確保模型的實效性。
2.根據(jù)權(quán)利要求1所述的一種針對車聯(lián)網(wǎng)數(shù)據(jù)采集中預防數(shù)據(jù)注入攻擊的保護方法， 其特征是利用尖點突變理論模型對車輛實時行駛速度和交通流流量建立二維模型，為數(shù)據(jù)注入攻擊分析提供理論依據(jù)。
全文摘要
一種針對車聯(lián)網(wǎng)數(shù)據(jù)采集中預防數(shù)據(jù)注入攻擊的保護方法，屬于車聯(lián)網(wǎng)信息安全技術(shù)領(lǐng)域。其特征是首先利用尖點突變理論對車輛行駛速度以及交通流流量建立二維交通流建模；其次，基于該模型對路側(cè)基礎(chǔ)設施上所接收到的來自車輛的車輛行駛速度以及在路側(cè)基礎(chǔ)設施上所統(tǒng)計的交通流流量進行注入攻擊的分析、識別以及處理；最后，當數(shù)據(jù)被檢測為注入攻擊所產(chǎn)生的數(shù)據(jù)時，對該數(shù)據(jù)進行丟棄，并屏蔽其所屬用戶以后發(fā)送的所有數(shù)據(jù)。本發(fā)明的效果和益處是將利用交通流數(shù)據(jù)自身特點對數(shù)據(jù)注入攻擊進行識別，而無須復雜的身份驗證，為車聯(lián)網(wǎng)中大量用戶并存的情況提供有效的防止數(shù)據(jù)注入攻擊的安全方法。
文檔編號H04L29/06GK103036874SQ201210496879
公開日2013年4月10日 申請日期2012年11月28日 優(yōu)先權(quán)日2012年11月28日
發(fā)明者丁男, 譚國真 申請人:大連理工大學