曹越,吕臣臣,孙娅苹,等. 面向车联网环境的异常行为检测机制研究综述[J]. 信息网络安全,2023,23(4):10-19.
车联网
指智能网联汽车借助新一代信息通信技术,按照规范的通信协议与网络中其他实体进行无线通信和信息交换的网络,涉及智能网联汽车车端、车联网通信和车联网服务平台
车联网通信
通信技术主要有专用短程通信(DSRC)和蜂窝车联网(C-V2X)。
通信模式主要是多播和广播。
欧洲电信标准协会定义了协同感知消息(CAM)和事件驱动的分散式环境通知消息(DENM)支持上述通信模式。美国汽车工程师协会定义了基本安全消息(BSM),其内容由两部分组成,与CAM和DENM颇为相似。上述消息类型构成了车联网通信的主要部分,主要服务于交通控制(如交通拥堵或道路施工等)。
近年来车联网环境中异常行为检测的相关研究
车联网中大多数应用程序依赖于节点间交互通信的数据,其安全功能主要聚焦保障数据的完整性和真实性。但是,传统公钥密码体制仅能检测未经授权
节点和未经签名消息,而无法检测来自拥有有效密钥对和证书的网络内部节点的攻击(如虚假消息和Sybil攻击)。
以虚假消息攻击导致的交通行为异常
1)攻击者通过操纵自身节点或入侵正常节点以获得可操纵的恶意节点
2)恶意节点在车联网通信中传播实际并未在位置X发生的交通事件消息
3)接收节点将基于此虚假消息改变行驶路线以避让虚假交通事件
发出虚假消息的是一个被授权的节点,但是被攻击者攻击了
Sybil攻击
异常行为定义
一般情况下与交通控制相关的消息易面临被动窃听和分析、主动篡改和伪造等攻击。此外,由于车联网通信依赖参与节点间合作,也更易受到恶意参与节点的攻击
常见威胁模型
异常行为检测机制
基于消息内容的异常检测
- 基于合理性的异常检测
- 基于一致性的异常检测
- 基于入侵检测系统的异常检测
基于消息处理行为的异常检测
- 基于看门狗的异常检测
- 基于自定义规则的异常检测
- 基于信任管理的异常检测