一种车联网攻击检测方法、装置、电子设备和存储介质与流程

1.本发明实施例涉及车联网技术领域，尤其涉及一种车联网攻击检测方法、装置、电子设备和存储介质。


背景技术：

2.随着科技的进步，车辆逐渐成为人们出行所必须的交通工具之一。车联网是以行驶中的车辆为信息感知对象，通过信息通信技术，实现车辆与车辆、车辆与人、车辆与道路以及车辆与云平台之间的网络连接，从而为用户提供安全、舒适和智能的驾驶服务。
3.车联网为人们提供便利的同时也存在安全隐患，部分用户通过控制多个账户接入网络，使得车联网上出现多个虚构的恶意车辆，不利于车联网的管理。现有技术一般通过分析车辆轨迹的相似性，再通过训练模型检测出恶意车辆。
4.发明人研究发现现有技术通过训练模型中有限的训练数据进行检测，检测速度慢且准确度受限。


技术实现要素：

5.本发明提供了一种车联网攻击检测方法、装置、电子设备和存储介质，以解决现有技术通过训练模型中有限的训练数据进行检测，检测速度慢且准确度受限的技术问题。
6.第一方面，本发明实施例提供了一种车联网攻击检测方法，包括：记录预设时长内每个车辆标识的轨迹点信息，轨迹点信息为车辆标识对应与rsu进行通信的时间信息；以车联网的子网为基本单位，根据轨迹点信息对基本单位内的车辆标识进行运动轨迹比对；筛选出运动轨迹的重合度达到预设阈值的疑似车辆标识；根据轨迹点信息确认疑似车辆标识的时空关系，根据时空关系确认攻击车辆。
7.第二方面，本发明实施例提供了一种车联网攻击检测装置，包括：记录单元，用于记录预设时长内每个车辆标识的轨迹点信息，轨迹点信息为车辆标识对应与rsu进行通信的时间信息；比对单元，用于以车联网的子网为基本单位，根据轨迹点信息对基本单位内的车辆标识进行运动轨迹比对；第一筛选单元，用于筛选出运动轨迹的重合度达到预设阈值的疑似车辆标识；确认单元，用于根据轨迹点信息确认疑似车辆标识的时空关系，根据时空关系确认攻击车辆。
8.第三方面，本发明实施例提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个计算机程序；当一个或多个计算机程序被一个或多个处理器执行，使得电子设备实现如第一方
面的车联网攻击检测方法。
9.第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面的车联网攻击检测方法。
10.上述车联网攻击检测方法、装置、电子设备和存储介质，该方法中，记录预设时长内每个车辆标识的轨迹点信息，轨迹点信息为车辆标识对应与rsu进行通信的时间信息；以车联网的子网为基本单位，根据轨迹点信息对基本单位内的车辆标识进行运动轨迹比对；筛选出运动轨迹的重合度达到预设阈值的疑似车辆标识；根据轨迹点信息确认疑似车辆标识的时空关系，根据时空关系确认攻击车辆。通过比对车辆标识的运动轨迹，筛选出运动轨迹的重合度达到预设阈值的疑似车辆标识，并根据疑似车辆的时空关系确认攻击车辆，攻击检测的数据基于车辆标识实时的运动轨迹，检测速度比较快且准确。
附图说明
11.图1为本发明实施例提供的一种车联网攻击检测方法的流程示意图；图2为本发明实施例提供的车辆标识的运动轨迹不重合的示意图；图3为本发明实施例提供的车辆标识的运动轨迹重合的示意图；图4为本发明实施例提供的不同轨迹段的示意图；图5为本发明实施例提供的一种车联网攻击检测装置的结构示意图；图6为本发明实施例提供的电子设备的结构示意图。
具体实施方式
12.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
13.需要注意的是，由于篇幅所限，本技术说明书没有穷举所有可选的实施方式，本领域技术人员在阅读本技术说明书后，应该能够想到，只要技术特征不互相矛盾，那么技术特征的任意组合均可以构成可选的实施方式。
14.车联网利用传感技术感知车辆的状态信息，并借助无线通信网络与现代智能信息处理技术实现交通的智能化管理。车联网可以实现车辆与云平台、车辆与车辆、车辆与道路、车辆与人之间以及车辆内的设备之间的通信。车辆与云平台间的通信是指车辆通过卫星无线通信或移动蜂窝等无线通信技术，实现与车联网服务平台的信息传输，接受云平台下达的控制指令，实时共享车辆数据。车辆与车辆的通信是指车辆与车辆之间实现信息交流与信息共享，包括车辆位置、行驶速度等车辆状态信息，可用于判断道路车流状况。车辆与道路的通信是指借助道路固定通信设施实现车辆与道路之间的信息交流，用于监测道路路面状况，引导车辆选择最佳的行驶路径。车辆与人的通信是指用户可以通过wi-fi、蓝牙、蜂窝等无线通信技术与车辆进行信息沟通，使用户能通过对应的移动终端设备监测并控制车辆。车辆内的设备之间的通信是指车辆内部各个设备间的信息数据传输，用于对设备状态的实时检测与运行控制，建立数字化的车内控制系统。
15.车联网是物联网技术在交通系统领域的应用。车联网近些年一直飞速发展，其广泛应用也带来了新的攻击面，针对网络的攻击行为逐渐增多，攻击规模不断扩大，给交通安
全带来威胁。其中一种攻击车联网的方式是女巫攻击，在女巫攻击中，攻击者通过创建大量的虚假账户标识来破坏对等网络的信誉系统。也就是说，女巫攻击主要表现为攻击者通过控制多个账户，在车联网中构造出多个虚假节点，即车辆，从而扰乱网络的正常运行。具体地，网约车司机通过女巫攻击获得多个出租车账号，并在用户终端的在线地图中伪造出虚假节点，从而增加自己接单的概率。
16.下面对本发明各实施例进行详细说明。
17.本发明实施例是对前文所提及的车联网攻击的检测方法的具体描述。图1为本发明实施例提供的一种车联网攻击检测方法的流程图。如图1所示，该车联网攻击检测方法，包括：步骤s101：记录预设时长内每个车辆标识的轨迹点信息，轨迹点信息为车辆标识对应与rsu进行通信的时间信息。
18.在etc系统中，rsu（road side unit，路侧单元）通过dsrc（dedicated short range communication，专用短程通信技术），与obu（on board unit，车载单元）进行通讯，实现车辆身份识别和电子扣分。rsu通常安装在路侧，在道路上行驶的车辆会与距离其最近的rsu进行通信。由于车辆具有高移动性，因此，车辆在道路行驶过程中会经过多个rsu，从而与多个rsu进行通信。此外，行驶中的车辆还会向距离其最近的rsu汇报位置，基于此，车辆每经过一个rsu都留下一个轨迹点，这些轨迹点依次连接组成了该车辆对应的车辆标识的轨迹点信息。例如，如图2所示，不同车辆对应的车辆标识为a、b、c、d，这些车辆在道路上行驶的过程中，经过5个rsu，每当经过一个rsu时均与其通信并汇报位置，因此，可以获取到关于这些车辆对应的车辆标识的节点位置，每个车辆经过5个rsu即有5个节点位置，将这5个节点位置连接组成每个车辆标识的轨迹点信息。由于有些车辆行驶时间比较长，且行驶的路程也比较长，为了便于处理和分析该车辆的轨迹点信息，本技术可以只记录预设时长内每个车辆标识的轨迹点信息，预设时长可以是30分钟，也可以是1个小时。
19.步骤s102：以车联网的子网为基本单位，根据轨迹点信息对基本单位内的车辆标识进行运动轨迹比对。
20.要实现车联网，通常先将车联网设备连接车辆内部的网络，再将车联网设备连接到互联网上，然后确保车辆之间联网以及车辆与道路设施联网。道路设施可以包括红绿灯和测速仪等。车辆在行驶过程中，通常可以连接到车联网中的不同子网，而对于位置比较相近的车辆通常会连接到车联网中的同一个子网。女巫攻击中，攻击者通过伪造出多个账户，使得车联网上出现多个车辆标识，然而，多个车辆标识中只有一个车辆标识对应真实的车辆，即通过女巫攻击可以使得一个车辆有多个车辆标识，而这些车辆标识均是接入相同子网，且运动轨迹一般是相近的。因此，本实施例可以以车联网的子网为基本单位，然后根据轨迹点信息对基本单位内的车辆标识进行运动轨迹比对。
21.步骤s103：筛选出运动轨迹的重合度达到预设阈值的疑似车辆标识。
22.由于不同的车辆标识在行驶过程中的运动轨迹一般都是不同的，当然也可能会存在相近似或者部分重合的运动轨迹，例如，车辆标识在同一方向上匀速移动时，其运动轨迹通常都是比较接近的。如图3所示，刚开始时车辆标识a和车辆标识b的运动轨迹比较接近，慢慢地，车辆标识a和车辆标识b的轨迹点重合，且在运动轨迹重合的情况下移动了一段距离，因此，可以将车辆标识a和车辆标识b筛选为疑似车辆标识。不同车辆对应的车辆标识的
运动轨迹一般不会出现很高几率的重合，因此，本实施例可以设置一个预设阈值，将运动轨迹的重合度达到预设阈值的车辆标识筛选出来，由于这里的筛选只是初步认定，因此，需要将这些筛选出来的车辆标识先定义为疑似车辆标识，然后再做进一步地检测。
23.步骤s104：根据轨迹点信息确认疑似车辆标识的时空关系，根据时空关系确认攻击车辆。
24.时空是指物质运动的方向和速度。将疑似车辆标识筛选出来后，根据轨迹点信息可以了解到车辆标识运动的方向和速度。一般来说，车辆标识运动的方向和速度不会持续保持相同，只有攻击者伪造出来的多个虚假账户对应的车辆标识才会存在运动的方向和速度都近似相同的情况。也就是说，当疑似车辆标识的运动方向和速度相同时，证明疑似车辆标识可能来自攻击车辆，因此，根据轨迹点信息可以确认疑似车辆标识的时空关系，即运动方向和速度，然后根据时空关系可以确认出攻击车辆。
25.在具体实施过程中，步骤s102可以实现为：步骤s1021：以车联网的子网为基本单位，根据轨迹点信息中的rsu确认基本单位内的车辆标识的运动轨迹。
26.步骤s1022：将每个运动轨迹按预设的rsu数量拆分为至少一种轨迹段组合方式，每种轨迹段组合方式中的轨迹段组成运动轨迹。
27.步骤s1023：对车辆标识基于同一种拆分方式得到的轨迹段进行比对。
28.对应的，步骤s103可以实现为：筛选出轨迹段的重合度达到预设阈值的疑似车辆标识。
29.许多恶意的网约司机通过女巫攻击获得多个出租车账号，并在用户终端的在线地图中伪造出虚拟的节点，即车辆标识。同一车辆对应多个车辆标识的运动轨迹可能不会一直重合，不过这些车辆标识可能存在分段重合的情况，例如，如图4所示，司机伪造出多个身份账户，这些身份账户分别对应车辆标识a、b、c、d，刚开始的运动轨迹中，车辆标识ab的运动轨迹的重合度达到预设阈值，车辆标识cd的运动轨迹的重合度达到预设阈值，在下一个运动轨迹中，车辆标识a、b、c、d之间的运动轨迹的重合度均没有达到预设阈值，接着下一个运动轨迹中，车辆标识ac的运动轨迹的重合度达到预设阈值，车辆标识bd的运动轨迹的重合度达到预设阈值。因此，可以认为车辆标识abcd可能是疑似车辆标识。但是，如果仅比对其中一个运动轨迹，例如车辆标识a、b、c、d之间的运动轨迹的重合度均没有达到预设阈值的那一个运动轨迹，则可能会错误地认为车辆标识a、b、c、d不是疑似车辆标识，导致出现检测遗漏的情况，为了提高攻击检测的准确度，本实施例可以按照预设的rsu数量，将运动轨迹拆分出至少一种轨迹段组合方式，然后再对基于同一种拆分方式的轨迹段进行比对。具体的，将车辆标识的运动轨迹中按照10个rsu拆分成三个轨迹段，每三个rsu之间的距离组成一个轨迹段，最后由四个rsu之间距离组成一个轨迹段。当然，也可以是其他拆分方式，此处不再赘述。
30.在具体实施过程中，步骤s104可以实现为：步骤s1041：根据轨迹点信息确认疑似车辆标识与同一rsu进行通信时的时间间隔；步骤s1042：将各个时间间隔在预设时长内的疑似车辆标识确认为来自攻击车辆。
31.通常情况下，攻击者伪造的多个账户对应的车辆标识与同一个rsu进行通信的时
间会比较紧密。在筛选出疑似车辆标识后，可以计算这些疑似车辆标识与同一rsu进行通信时的时间间隔，如果时间间隔比较短，且在预设时长内，可以确认这些疑似车辆标识来自攻击车辆。
32.在具体实施过程中，步骤s101之后还包括：步骤s201：以车联网的子网为基本单位，筛选出前一车辆标识消失的时间信息与后一车辆标识出现的时间信息前后衔接的两个车辆标识；对应的，步骤s104可以具体实现为：根据轨迹点信息确认两个车辆标识在封闭路段衔接前后对应的rsu在预设范围内，确认两个车辆标识来自攻击车辆。
33.在实际应用中，攻击者可能会频繁切换不同的车辆标识，由于这些切换操作均由同一个攻击者操作，也就是来自同一个车辆，则这些车辆标识之间的出现或者消失都会在时间信息上有衔接的关系，不过有些车辆标识可能来自比较接近攻击车辆的真实车辆，在攻击者切换车辆标识时恰好转弯或者驶出该路段，从而导致真实车辆对应的车辆标识的消失时间与攻击车辆对应的车辆标识出现的时间相同。为了避免出现这种情况，本实施例在筛选出前一车辆标识消失的时间信息与后一车辆标识出现的时间信息前后衔接的两个车辆标识后，还需要根据轨迹点信息分析这两个车辆标识在封闭路段衔接前后对应的rsu是否在预设范围内。例如，封闭路段中有两个rsu，与第一个rsu通信的是车辆标识a，此时，若车辆标识b在与第二个rsu通信之前车辆标识a消失了，且车辆标识a和b对应的第二个rsu在预设范围内，在频繁出现这些情况时，说明车辆标识a和b均来自攻击车辆。
34.在具体实施过程中，步骤s102还可以具体实现为：步骤s1024：以车联网的子网为基本单位，分析子网所处的道路状况；步骤s1025：在不拥堵的道路状况下，根据轨迹点信息对基本单位内的车辆标识进行运动轨迹比对。
35.当道路出现拥堵的情况时，车辆的移动会比较缓慢，例如，城市道路会出现早高峰拥堵或晚高峰拥堵的情况，当然也可能由于车祸或者建设工程等情况导致交通拥堵。在这种情况下，车辆标识的运动轨迹的变化在短时间内一般不会有太大的差异。因此，为了提高攻击检测的准确度，本实施例将会以车联网的子网为基本单位，分析子网所处的道路状况，在不拥堵的道路状况下，才根据轨迹点信息对车辆标识进行运动轨迹比对，以避免对不必要的数据进行处理和判断，提高了攻击检测的速度。
36.图5为本发明实施例提供的一种车联网攻击检测装置的结构示意图，参考图5，该车联网攻击检测装置包括记录单元210、比对单元220、第一筛选单元230和确认单元240。
37.其中，记录单元210，用于记录预设时长内每个车辆标识的轨迹点信息，轨迹点信息为车辆标识对应与rsu进行通信的时间信息；比对单元220，用于以车联网的子网为基本单位，根据轨迹点信息对基本单位内的车辆标识进行运动轨迹比对；第一筛选单元230，用于筛选出运动轨迹的重合度达到预设阈值的疑似车辆标识；确认单元240，用于根据轨迹点信息确认疑似车辆标识的时空关系，根据时空关系确认攻击车辆。
38.在上述实施例的基础上，比对单元220可以包括：轨迹确认模块，用于以车联网的子网为基本单位，根据轨迹点信息中的rsu确认基本单位内的车辆标识的运动轨迹；
轨迹拆分模块，用于将每个运动轨迹按预设的rsu数量拆分为至少一种轨迹段组合方式，每种轨迹段组合方式中的轨迹段组成运动轨迹；分段比对模块，用于对车辆标识基于同一种拆分方式得到的轨迹段进行比对；对应的，第一筛选单元230，包括：分段筛选模块，用于筛选出轨迹段的重合度达到预设阈值的疑似车辆标识。
39.在上述实施例的基础上，确认单元240可以包括：间隔确认模块，用于根据轨迹点信息确认疑似车辆标识与同一rsu进行通信时的时间间隔；时长比对模块，用于将各个时间间隔在预设时长内的疑似车辆标识确认为来自攻击车辆。
40.在上述实施例的基础上，还可以包括：第二筛选单元，用于以车联网的子网为基本单位，筛选出前一车辆标识消失的时间信息与后一车辆标识出现的时间信息前后衔接的两个车辆标识；对应的，确认单元240包括：衔接确认模块，用于根据轨迹点信息确认两个车辆标识在封闭路段衔接前后对应的rsu在预设范围内，确认两个车辆标识来自攻击车辆。
41.在上述实施例的基础上，比对单元220还可以包括：分析模块，用于以车联网的子网为基本单位，分析子网所处的道路状况；第二比对模块，用于在不拥堵的道路状况下，根据轨迹点信息对基本单位内的车辆标识进行运动轨迹比对。
42.本发明实施例提供的车联网攻击检测装置包含在电子设备中，且可用于执行上述实施例中提供的对应的车联网攻击检测方法，具备相应的功能和有益效果。
43.值得注意的是，上述车联网攻击检测装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
44.图6为本发明实施例提供的一种电子设备的结构示意图。如图6所示，该电子设备包括处理器610和存储器620，并可以还包括输入装置630、输出装置640以及通信装置650；电子设备中处理器610的数量可以是一个或多个，图6中以一个处理器610为例；电子设备中的处理器610、存储器620、输入装置630、输出装置640以及通信装置650可以通过总线或其他方式连接，图6中以通过总线连接为例。
45.存储器620作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的车联网攻击检测方法对应的程序指令/模块。处理器610通过运行存储在存储器620中的软件程序、指令以及模块，从而执行电子设备的各种功能应用以及数据处理，即实现上述的车联网攻击检测方法。
46.存储器620可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据电子设备的使用所创建的数据等。此外，存储器620可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器620可进一步包括相对于处理器610远程设置的存储器，这些远程存储器可以通过网络连接至电
子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
47.输入装置630可用于接收输入的数字或字符信息，以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置640可包括显示屏等显示设备。
48.上述电子设备包含车联网攻击检测装置，可以用于执行任意车联网攻击检测方法，具备相应的功能和有益效果。
49.本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序在被处理器执行时用于执行本技术任意实施例中提供的车联网攻击检测方法中的相关操作，且具备相应的功能和有益效果。
50.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。
51.因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。本技术是参照根据本技术实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
52.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
53.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器（cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
54.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的
包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
55.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。