摘要

本文提出了一种名为AntibotV的多层次基于行为的框架，用于在车辆网络中检测僵尸网络。随着连接汽车的普及，车辆网络为个人和公共交通公司提供了安全性和效率，但同时也引发了隐私和安全问题。黑客可能利用僵尸恶意软件远程控制车辆，例如远程禁用刹车或启动引擎。本文不仅考虑了文献中已有的车内攻击，还考虑了针对车辆网络环境的新的零日僵尸恶意软件攻击，如WSMP-Flood和Geo-WSMP Flood。AntibotV框架结合了两个主要模块进行攻击检测，分别监控网络级别和车内级别的车辆活动。实验结果显示，该框架的检测率超过97%，误报率低于0.14%。

原理

AntibotV框架的工作原理基于机器学习技术，通过监控网络流量和车内通信来检测僵尸网络活动。网络分析器模块使用决策树算法，通过分析网络流量的统计特征（如流持续时间、总发送数据包数等）来分类网络流为正常或恶意。车内分析器模块同样使用决策树算法，通过分析CAN总线帧的特征（如时间戳、CAN ID、数据长度等）来分类车内通信为正常或恶意。这两个模块的分类模型在中央服务器上训练后集成到框架中，用于实时监控和检测。

流程

AntibotV的工作流程包括三个主要模块：流量收集模块、分析器模块和管理器模块。流量收集模块负责收集和预处理网络流量和车内CAN帧数据，生成特征向量。分析器模块接收特征向量，使用预训练的分类模型进行分析，判断流量是否为恶意。管理器模块处理分析器模块的警报，触发相应的响应措施，如终止网络会话、保存日志和通知驾驶员。此外，管理器模块还负责定期更新分类模型，以应对新的恶意软件攻击。

应用

AntibotV框架的应用前景广阔，特别适用于智能交通系统中的车辆网络安全防护。随着自动驾驶和车联网技术的发展，车辆网络安全将成为关键问题。AntibotV能够有效检测和防御各种僵尸网络攻击，保护车辆免受远程控制和数据窃取的威胁，从而提高车辆网络的整体安全性和可靠性。