[发明专利]一种基于隐马尔科夫模型的车联网入侵检测系统

权利要求书

1.一种基于隐马尔科夫模型的车联网入侵检测系统，其特征在于，包括预检测模块、更新模块、检测中心模块和响应中心模块；

预检测模块用于过滤邻居车辆的消息；该模块中主要的功能包括获得数据包的目的地址，获得下一跳路径，获得邻居车辆ID，获得邻居车辆起始位置，计算当下位置和起始位置的差值，判断邻居车辆的ID是否在通信范围内，获得邻居车辆消息类型，获得接收的数据包大小，设置数据包大小，添加攻击节点，转发消息；预检测模块从更新模块接收每个邻居车辆的预测链，然后将预测链和该预测链的相关参数存储在预测表中，根据其接收的消息判断ID是否存在于该预测表中，如果存在，判断是否需要更新隐马尔科夫模型，然后根据预测链预测车辆是“正常”节点还是“异常”节点，并将决策结果发送至更新模块和响应中心模块；否则，将邻居车辆的消息转发到检测中心模块；

更新模块用于维护记录表并且根据记录表建立新的隐马尔科夫模型，隐马尔科夫模型生成预测链后会将其发送给预检测模块；而从预检测模块和检测中心模块接收的结果会被记录到更新模块的记录表中，当模型学习时，随机初始化参数值，并根据记录表中车辆的检测结果，利用baum-welch算法学习出模型的最优参数；

检测中心模块中的特征提取模块提取识别攻击的特征，分类器模块用于根据特征对攻击进行分类；无法被预检测模块过滤掉的车辆将由检测中心模块检测，经由检测中心将其标记为“正常”或“异常”，并将结果发送至更新模块和响应中心模块；

响应中心模块从预检测模块和检测中心接收到检测结果，根据检测结果返回相应的信号，使网络管理员做出规避措施，使得车联网损失达到最小；

检测中心模块的特征提取模块，用于提取能够识别False alert攻击的交通流量特征、Sybil攻击的车辆位置特征、Black hole攻击的数据包转发率特征和DoS攻击的数据包转发频率特征；

检测中心模块的特征提取模块，提取能够识别False alert攻击的交通流量特征值Flow；基于Green shield模型，得到交通流量q，根据公式(4)计算出主车所在道路的平均q值AvgFlow_own，其中q_ne代表邻居车辆所在道路的q值，q_own代表主车所在道路的q值，n-1代表主车周围邻居车辆的个数；按照同样的方式计算出目标车辆及目标车辆邻居车辆所在道路的平均q值AvgFlow_tag，如公式(5)，q_tne代表目标车辆的邻居车辆所在道路的q值，q_tag代表目标车辆所在道路q值，m-1代表目标车辆周围邻居车辆的个数；

将公式(4)和公式(5)的差值作为特征值Flow，如公式(6)所示，

Flow＝|AvgFlow_own-AvgFlow_tag| (6)。