专利名称:针对车联网数据采集中预防数据注入攻击的保护方法
技术领域:
本发明属于车联网信息安全技术领域,涉及到一种用于利用车联网进行交通流数据采集过程中防止数据注入攻击的保护方法。
背景技术:
车联网是一个以数据为中心的网络。其中,基于车联网所获取的交通流数据(速度、流量等)是众多基于车联网应用的基础,例如,交通信号控制系统、车辆防碰撞、交通流诱导等都是基于上述交通流数据的。因此,基于车联网所获取的交通流数据的安全性尤为重要。然后,由于车联网的网络相对于用户是开放的,然而,这种开放性,也为众多网络攻击提供了可能。其中,数据的注入攻击相对于数据安全问题尤为重要。数据注入攻击,主要体现在向车联网中注入错误的或者无效的交通流数据,影响基于这些交通流数据的交通应用服务的正常工作。同时,这些错误数据的积累,可能会导致更严重的恶意攻击,影响整个车联网的正常工作,甚至危及车联网用户的人身与财产安全。
·
目前,主要的两种非法注入的数据主要体现为(I)虚假数据,由攻击者随机生成的数据。(2)恶意复制数据,由攻击者截获有效数据,直接复制并注入网络。当前,防止数据注入攻击的安全方法主要是基于建立信任机制的方法,即为用户授权或者分配密钥。这些方法都需要事先为用户分配有效的身份和验证方法。但是由于,车联网用户的数量巨大,各个车联网子网络中车辆是随机、快速变化的。现有的方法均存在假设合法身份或密码一旦授权,长时间有效。而拥有合法权力的用户其具体行为是否合法却缺少跟踪与分析。同时,现有的方法从数据合法性的角度同样缺少有效的解决方法,目前常用的数据质量的方法是很难区分非法数据的,因为这些数据在伪造过程中参考了一些有效数据的数据特征,比如有效数据的范围或者直接复制截获的有效数据。然而,上述基于建立信任机制的方法很难有效的防止数据注入攻击。针对上述方法的不足,结合非法数据的构成及其特征分析,不同于基于建立信任机制的方法,目前也存在面向数据的用于车联网数据安全的技术。复旦大学的AifengWu 等人[Aifeng ffu, Jianqing Ma, Shiyong Zhang. RATE: A RSU-Aided Scheme forData-Centric Trust Establishment in VANETs.1nternational Conference onWireless Communications, Networking and Mobile Computing (WiCOM). 2011,1-6.]提出了一个面向数据的保护车联网防止非法节点入侵的安全机制,RATE。该机制运行在路侧基础设施上,利用蚁群优化的方法分析数据的可信度,但该机制没有指明所保护数据的类型,特别是没有提供对交通流数据(速度和流量)的具体保护措施。罗马尼亚的布加勒斯特理工大学的Sinziana Mazilu等人[Sinziana Maziluj Mihaela Telerj Ciprian Dobre.Securing Vehicular Networks based on Data-Trust Computation.1nternationalConference on P2P,Parallel, Grid, Cloud and Internet Computing. 2011,51-58.]同样提出了面向数据的安全机制,该机制主要针对车联网中传递的交通信息,如交通拥塞、交通事故等。该方法主要是利用小世界网络为每一条信息计算一个可信索引,接收方需要将该索引与其它同一事件所涉及的用户所发送的数据进行匹配,方可确认该信息的有效性。该方法需要多个用户协同实现,同时也没有对交通流数据的合法性分析提供有效的解决办法。
发明内容
本发明的目的是利用路侧基础设施对车联网中各车辆发送出来的交通流数据进行数据接入与汇总时,提供一种防止数据注入攻击的保护方法,如图1所示。该方法主要是在路侧基础设施上利用基于尖点突变理论模型对车辆行驶速度和交通流量这两种交通流数据进行二维建模,并利用该模型对将路侧基础设施上实时接收到的交通流数据进行数据注入攻击分析、识别,一旦发现攻击存在,则进行丢弃数据、屏蔽该入侵用户后继发送的数据等处理。该方法主要运行在具有运算与处理能力的路侧基础设施上,如信号机、路侧网关等,只要其能够得到车辆实时行驶速度和交通流流量这两类交通流数据即可。本发明的技术方案是首先,利用尖点突变理论对车辆行驶速度以及交通流流量建立二维交通流建模,其次,基于该模型对路侧基础设施上所接收到的来自车辆的车辆行驶速度以及在路侧基础设施上所统计的交通流流量进行注入攻击分析、识别以及处理,最后,当所接收到的车辆行驶速度被检测为注入攻击所产生的数据时,对该数据进行丢弃,并屏蔽其所属用户以后发送的所有数据。对每个交通流数据包进行注入攻击分析的步骤如下步骤1.数据预处理,即将在路侧基础设施上得到各个车辆发送来的实时数据生成车辆的速度和交通流量,并对数据进行规格化处理,车辆的速度,V,是该车辆提供的即时速度,单位是米/秒(m/s),可由车辆发过来的数据包中直接获得;交通流量,q,统计收到该数据包时之间5分钟内所经过的车辆数,该数据再转换成辆/小时(/h),即得到交通流流量。交通流量的统计方法是当基础设施 接收到车辆发送出来的车辆行驶速度时,将接收到的数据包绝对时间(真实时间)以及用户ID记录下来,统计5分钟内的交通流量就是统计5分钟内出现不同ID的数量;步骤2.数据分析与识别,即在突变理论模型中,计算突变距离。根据该突变距离,识别是否存在数据注入攻击行为;步骤3.处理,即当在步骤2中识别出所接收到的车辆行驶速度是注入攻击所产生的数据时,对该数据进行丢弃,并屏蔽其所属用户以后发送的所有数据;步骤4.模型系数的自调整,即根据合法的交通流数据,利用分批估计理论模型对模型的系统进行在线调整,使其根据交通流特点自动调整,确保模型的实效性。本发明的效果和益处是其一是将利用交通流数据自身特点对数据注入攻击进行识别,而无须复杂的身份验证,为车联网中大量用户并存的情况提供有效的防止数据注入攻击的安全方法;其二是数据合法性分析简单,同时符合城市交通流非线性、突变的交通流特性,使得数据注入攻击检测更有实用性;其三利用分批估计理论模型对模型的系数进行自动调整更新,使其在实际应用过程中能够确保模型分析的有效性,以及无需人工设置,对不同的交通流特性的车联网子网络中的交通流特性进行在线自动调整。
附图1是数据注入攻击分析、识别与处理的流程图。附图2是车联网示意图。图2中1基于路侧基础设施的车联网子网。附图3是基于路侧基础设施的车联网子网示意图。图3中2路侧基础设施。
具体实施例方式以下结合技术方案和附图详细叙述本发明的具体实施方式
。1、车联网内部通讯方式以及网络拓扑如图2所示,车与路侧之间通讯主要可以是基于短距离通讯技术(DSRC)本方案主要考虑的是802.1lp或Zigbee作为通讯介质的通讯方式。具体网络拓扑是,将图2中的路侧基础设施固定在道路边上,距离路边I米-10米,保证通讯距离100米左右即可。在车联网子网络中,当有恶意数据攻击者入侵时,其车联网子网络示意图如图3所示。2、车联网内车辆身份(ID)的表示为了区别每一辆车,本方法主要是利用车辆通讯中所使用的物理通讯层MAC地址。因为不管是802.1lx或zigbee作为通讯介质,其通讯节点芯片在出厂时候都有一个唯一的地址,而且在通讯过程中,该地址是可得到的,同时也不需要重新授权。3、数据注入攻击模型所需数据参数以及形式规格化该方法主要要用到车辆的速度、交通流流量、以及车辆行驶方向等3项信息。其中车辆的速度和交通流流量用于数据注入攻击的判别,车辆行驶方向主要是用来确定双向车道上具体行驶方向,因为该方法中是利用同一行驶方向上的数据进行分析。为了便于分析,需要将数据格式(单位)规格化。车辆的速度,V,是该车辆提供的即时速度,单位是米/秒(m/s);交通流量,q,是在基础设施上当接收到车辆发送的速度数据时,统计收到该数据包时之间5分钟内所经过的车辆数,该数据再转换成辆/小时(/h),即得到交通流流量。具体交通流流量的统计方法是当基础设施接收到车辆发送出来的车辆行驶速度时,将接收到的数据包绝对时间(真实时间)以及用户ID记录下来,统计5分钟内的交通流量就是统计5分钟内出现不同ID的数量。为了转换成辆/小时的单位,即在该5分钟内统计车辆数的基础上乘以12,即可得到。4、基于突变理论的交通流数据流模型根据尖点突变理论模型来描述交通速度和流量之间的关系,如公式(I)所示412 V6+108mv3q+27m2q2+2m3q3=0(I)其中m为系数,其初始值范围是,m e (-1000, -500)。根据公式(I)提出利用V和q的数据注入攻击的分析模型,如公式(2)所示f (v, q) =412v6+108mv3q+27m2q2+2m3q3(2)根据每个规格化的数据(V,q)带入公式(2),即可得到| f (V,q) |,该数值作为突变距离,为数据注入攻击的识别作为依据。5、数据注入攻击行为的分析与识别根据公式(2)所计算出来的突变距离,对数据注入攻击行为进行分析与识别,具体方法是
(I)当|f(v,q)| ( ε,表示(V,q)是好数据,其所在的数据包为有效数据包;(2)当|f(v,q)| > ε,表示(V,q)是坏数据,同时说明有数据注入攻击。其中,ε是容忍系数,ε e (1,1.0)。需要说明的是车辆所获取的速度精度很高,同时对车流量的统计精度也很高,除非车联网自身瘫痪,无法正常工作,否者不存在由于数据精度误差而导致If (V,q) I > ε情况出现。6、数据注入攻击行为发生后的处理当数据注入攻击发生时,在路侧基础设施中记录数据包的所有者ID,并丢弃该所在的数据包,如果再收到该ID发送的数据包,直接丢弃。7、模型系数的自调整当接收到好数据时,基于分批估计理论模型,利用公式(1),请(V,q)的值代入,将m作为变量,即可得到m的值,如果计算结果m的值为多个,选择与当前m最接近的值,作为新的值对m进行调整,并将新的m的值带入公式(2)中,进行下一次数据分析。其中涉及到的公式如公式(3)所示
权利要求
1.一种针对车联网数据采集中预防数据注入攻击的保护方法,对车联网在交通流数据获取过程中,是否存在数据注入攻击进行实时在线分析、识别以及处理,该方法运行在具有运算与处理能力的路侧基础设施上,如信号机、路侧网关等,只要其能够得到车辆实时行驶速度和交通流流量这两类交通流数据即可,其特征是首先,利用尖点突变理论对车辆行驶速度以及交通流流量建立二维交通流建模,其次,基于该模型对路侧基础设施上所接收到的来自车辆的车辆行驶速度以及在路侧基础设施上所统计的交通流流量进行注入攻击分析、识别以及处理,最后,当数据被检测为注入攻击所产生的数据时,对该数据进行丢弃,并屏蔽其所属用户以后发送的所有数据;对每个交通流数据包进行注入攻击分析的具体步骤如下步骤1.数据预处理,即对所接收到的车辆行驶速度以及交通流流量数据进行规格化; 步骤2.数据分析与识别,即利用所建立的车辆行驶速度与交通流流量的二维交通流建模进行对在路侧基础设施所接收到的车辆行驶速度进行数据注入攻击分析;步骤3.处理,即当在步骤2中识别出数据注入攻击行为,对当前数据包进行丢弃,并将数据包发送者身份进行记录,拒绝其后续发送的所有数据;步骤4.模型系数的自调整,即根据合法的交通流数据,利用分批估计理论模型对模型的系统进行在线调整,使其根据交通流特点自动调整,确保模型的实效性。
2.根据权利要求1所述的一种针对车联网数据采集中预防数据注入攻击的保护方法, 其特征是利用尖点突变理论模型对车辆实时行驶速度和交通流流量建立二维模型,为数据注入攻击分析提供理论依据。
全文摘要
一种针对车联网数据采集中预防数据注入攻击的保护方法,属于车联网信息安全技术领域。其特征是首先利用尖点突变理论对车辆行驶速度以及交通流流量建立二维交通流建模;其次,基于该模型对路侧基础设施上所接收到的来自车辆的车辆行驶速度以及在路侧基础设施上所统计的交通流流量进行注入攻击的分析、识别以及处理;最后,当数据被检测为注入攻击所产生的数据时,对该数据进行丢弃,并屏蔽其所属用户以后发送的所有数据。本发明的效果和益处是将利用交通流数据自身特点对数据注入攻击进行识别,而无须复杂的身份验证,为车联网中大量用户并存的情况提供有效的防止数据注入攻击的安全方法。
文档编号H04L29/06GK103036874SQ201210496879
公开日2013年4月10日 申请日期2012年11月28日 优先权日2012年11月28日
发明者丁男, 谭国真 申请人:大连理工大学