基于聚类的智能车辆异常检测

提高智能车辆警报准确性

摘要

智能车辆通过车载自组织网络（VANET）共享道路安全信息，如事故警报，以提醒道路上的驾驶员。攻击者可能会发送虚假警报消息来干扰其他驾驶员，或者故障的警报系统可能无法发送警报。任何此类异常行为或异常都可能导致道路安全问题并造成人员伤害。本研究针对警报准确性问题，提出了一种基于聚类和相对行驶速度的恶意行为检测方案，用于识别异常车辆。实验结果表明，所提出的方案在各种交通场景下具有稳定且较高的检测率以及极低的误报率。

关键词 ：异常行为检测 · 车载自组织网络 (VANET) · 异常检测

1 引言

信息通信技术的创新近年来基于联网车辆的概念构建了智能交通系统（ITS）。通过配备多种传感器和物联网，车辆变得越来越自动化和智能化。智能车辆配备了无线通信接口，道路上的车辆与路侧设备可以连接在一起形成车载自组织网络（VANET）。这种通信网络以自组织的方式构建，无需预先了解周边车辆的信息。

车载自组织网络（VANET）中有两种类型的节点：车载单元（OBU）和路侧单元（RSU）。车载单元（OBU）由安装在车辆中的微型计算机、传感器和无线电设备组成；路侧单元（RSU）沿道路建设，构成车载自组织网络的基础设施。车载自组织网络可以为车辆提供相对位置信息，例如下一个交通信号灯的距离和限速。路侧单元通过有线网络连接，并基于道路上收集的信息负责交通管理。

车载自组织网络采用专用短程通信（DSRC）和车载环境无线接入（WAVE），以及IEEE 802.11p和IEEE 1609。车载自组织网络可为驾驶员提供有用的交通信息，例如事故、拥堵、危险、道路施工、附近加油站、停车场、服务站和娱乐服务的位置。一些国家[1, 2]已经部署了配备智能道路系统的车载自组织网络。

汽车工业对这些协作系统中的网络攻击风险表示担忧[3]，且黑客已演示了能够完全控制受害车辆的攻击案例[4, 5]。数据的协同交换将提供关键输入，以提升智能车辆上智能交通系统的性能和安全性。在车载自组织网络中，车辆会周期性地发送包含速度和位置等信息的信标消息。接收车辆根据从周围各方收集的信息判断是否存在事故或交通拥堵。然而，如果攻击者伪造警报或有缺陷的智能交通系统未能发送警报，道路上的车辆可能会误判交通状况并引发交通事故。因此，车辆必须能够检测异常行为并验证信息的正确性，以降低误报或故障车辆带来的风险。本研究提出了一种能够检测和预测异常行为的异常检测方案。

异常行为检测方案用于识别是否存在异常驾驶行为，可分为两种方法：以节点为中心和以数据为中心。两者的主要区别在于机制是关注消息中包含的数据值，还是关注发送消息的节点，而这两种方法均存在局限性。该研究提出了一种混合检测算法，以覆盖更广泛的异常行为。

2 相关工作

文献[6–9]回顾了车载自组织网络中的安全问题，并指出了对道路安全的威胁。先前的研究提出了基于以节点为中心的[10]和以数据为中心的[11]方法的异常行为检测。加莱布等人[12]监控了车辆在其传输范围内的监控移动模式，并利用这些模式来检测接收到的消息的正确性。异常事件是基于合理的行驶距离、距上一条消息的时间间隔以及在该时间段内是否存在事故来识别的。塞杰拉姆西等人[13]采用博弈论和贝叶斯网络来预测车辆被攻破的概率，每辆车都根据信誉维护一份其他车辆的列表。该研究假设所有消息都是正确的，且未保护数据隐私。

一些研究基于位置验证来识别恶意车辆。李等人[14]计算了两个连续信标消息之间的合理行驶距离，利用历史数据和投票机制发现恶意车辆。巴尔努瓦尔等人[15]应用时间戳、位置和速度来预测车辆是否处于预期位置范围内。车辆可能会发送虚假信息，只是为了在拥堵区域获得整条车道的通行权。哈里特等人[16]认为，在快速移动的交通流中，发现真实警报比发现异常行为更为关键。他们的模型通过观察节点对检测到的事件的实际移动响应来进行判断。

格罗弗等人[17]基于路侧单元计算的接受范围验证、速度检查和密度检查来验证位置的正确性。在此研究中，路侧单元在验证车辆位置的合法性以及发送安全消息方面发挥着重要作用。

黄等人[18]提出了一种检测方法，通过跟踪车辆位置的相对地图，并基于车辆的相对位置来检测事故或交通拥堵。魏[19]提出了一种基于信标的信任管理系统，旨在传播消息并阻止内部攻击者发送或转发伪造消息。戈什等人[20]提取了异常行为的根本原因，以评估该异常行为的影响。文中阐述并使用了因果树方法来检测异常行为。

金等人[21]利用车载自组织网络中的信息，使车辆能够过滤掉由少数行为异常车辆发送的恶意消息。武利米里等人[22]定义了次级警报和主警报，并观察到多个来源的信息可以为主警报生成置信度。该研究通过关联来自邻近车辆的SVA警报（次级警报），以验证PCN警报（主警报）的正确性。戈什等人[23]使用矩阵记录车辆位置，并对实验中收集的驾驶行为进行分类。作者定义了正常与异常情况下的驾驶模块，并基于以数据为中心的方法验证警报。阿布埃莱拉等人[24]采用贝叶斯理论识别轻度交通情况下的事件。

3 提出的异常行为检测机制设计

本研究假设车辆配备全球定位系统以报告当前位置，并具备无线通信能力与其他车辆进行通信。车辆会周期性地广播包含基本驾驶信息的信标消息： <Vi, Li, Pi, Ti> ，其中Vi表示车辆 的速度，Li表示车辆 所在的车道，Pi表示车辆i的位置，Ti表示发送信标消息的时间戳。当一辆车识别到道路状况时，将广播一条警报（MDS消息），以警告道路上的驾驶员。MDS格式为 <s, type, Ms, Ts> ，其中s表示发送车辆的标识符，type表示道路状况类型，Ms表示异常车辆的标识符，Ts表示警报发送的时间戳。

本研究提出了一种用于检测车载自组织网络（VANET）中异常车辆并验证警报正确性的恶意行为检测方案（MDS）。该方案针对多种攻击模式，包括危险驾驶、慢速/停止驾驶、虚假警报、遗漏警报和错误位置。除了大多数研究关注的常见警报外，本研究还考虑了可能影响道路安全的粗心驾驶行为，例如突然变道或改变速度。

事故或慢速/停止车辆可能导致交通拥堵；其后方的车辆会形成一个移动缓慢的车簇。车簇中的车辆在道路上位置相近，且具有相似的平均速度。交通拥堵的实际原因是车簇的领头车辆。为了避免对同一道路状况发送多个警报，本研究识别车簇，找出领头车辆，并发送包含领头车辆位置的警报。

为确保道路安全，所提出的恶意行为检测方案（MDS）将检测以下异常行为：（1）慢速车辆警报（SVA），（2）停止车辆（SVA），（3）危险驾驶（DVA），以及（4）事故警报（PCN，事故后通知）。

当交通繁忙时，行驶速度相较于轻度交通更慢。因此，慢速车辆是相对于道路的平均速度而言的。每辆车会计算其邻近车辆的平均速度，作为识别低速行驶的参考依据。设平均速度Vavg为平均速度，α(0 < α < 1)为计算低速的比率。当车辆i的速度Vi < Vavg * α时，该车辆被视为慢速车辆。如上所述，一辆慢速车辆可能会导致后续跟随的一连串慢速车辆形成车簇。所提出的恶意行为检测方案将识别出领头车辆，并发送包含领头车辆位置的慢速/停止车辆警报（SVA）。

正常情况下，车辆在停止前会逐渐减速。检测即将停止的车辆与检测低速行驶车辆类似。所提出的恶意行为检测方案通过识别低速车辆的车簇，并监测领头车辆的速度是否正在减速至零来实现检测。

危险驾驶员会快速改变速度，即其速度的标准差与邻近车辆相比有显著变化。设Savg为邻近车辆平均速度的标准差，β(0 < β < 1)为计算危险驾驶员的比率。若车辆i的速度Si > Savg * β，则该车辆被视为危险驾驶。

攻击者可能会抑制警报以危害道路安全。因此，异常行为检测方案不能完全依赖来自其他车辆的警报；而应监控邻域内的车辆以识别路况。在发生车辆事故时，车辆会在事故附近减速，并在通过事故点后恢复速度。位于事故同一车道的车辆均会在到达事故点前变换车道，可能在通过事故点后再次变回原车道。所提方案利用这些避免事故的驾驶行为来检测事故及其位置。接近事故的车辆将形成一个车簇，并发送慢速/停止车辆警报（SVA）。当所接收的SVA数量超过车簇中车辆总数的阈值比例时，所提方案即判定生成一次事故警报（PCN）。

4 性能评估

在实际情况下，并非道路上的所有车辆都是配备OBU并与其他车辆共享信息的智能车辆。大多数研究依赖于从邻近智能车辆收集的信息。当非智能车辆数量增加时，可能会影响检测率。因此，本研究考虑了道路上此类非智能车辆的影响。道路中非智能车辆的比率（RNV）是本次评估中的一个评估参数。所提方案采用聚类来识别异常。两个连续簇之间的距离（D2C）是所提方案形成车簇的一个重要系统参数。它可能影响检测性能，应进行评估。

评估的目的如下：（1）评估所提方案，以确定检测率是否受到道路上非智能车辆比率（RNV）、两个车簇之间的距离（Dis）以及道路车辆平均速度的影响；（2）与以往研究进行性能比较。性能评估主要采用检测率，即真正率（TPR）。使用城市交通模拟器（SUMO）[25]来实现车辆在道路上的行为模拟。它支持多种参数，包括拓扑结构、道路网络、通信协议、车辆驾驶特性以及交通状况。

根据高速公路交通统计报告[26]，大型车辆与小型车辆的类型比例为1:4。大型车辆（如拖车）行驶速度较慢，且比小型车辆需要更长的反应时间。为了更好地模拟真实场景，本研究将上述附加属性加入到模拟的高速公路交通中。所有实验均固定某些仿真参数，包括车辆类型比例（大型:小型 = 1:4）、车载自组织网络中每跳的最大传输范围（300米）、感知范围（1公里）、高速公路长度（5公里）以及仿真持续时间（10分钟）。

4.1 实验1：车簇间距离（D2C）的影响

所提方案依赖于聚类概念来识别导致异常的领头车辆。位于车簇后方的车辆可能被视为另一个车簇的领头车辆或正在接近该车簇，这取决于其与车簇中最后一辆车的距离。因此，两个连续簇之间的距离（D2C）可能会影响检测率。表1列出了变化参数的取值范围。图2展示了在轻交通负荷情况下（交通密度为= 20辆每千米）及所有智能车辆（RNV = 0%）时，不同D2C下的检测率（真正率，TPR）。

变化参数	取值范围
非智能车辆比例（RNV）	0%–80%
交通密度（辆/公里）	20–100
两个簇之间的距离（D2C）（米）	30–400
车辆数量	60–150

从图2可以看出，检测率随着D2C的增加而提高，并在特定D2C值时趋于稳定。在实际情况中，车辆在拥堵交通下容易聚集在一起。检测率在拥堵交通下比在轻度交通下更为敏感。因此，为了识别异常车辆，间距需要较小；否则，两个车簇可能会被合并在一起，从而无法检测到异常行为。

4.2 实验2：速度的影响

高速车辆在发生事故或遇到慢速/停止车辆时需要更长的响应时间。本实验旨在评估所提方案是否能在不同车速下及时检测到异常行为，以确保道路安全。变化参数之间存在一定的相互依赖性。车辆应与前方车辆保持安全距离。然而，交通密度可能会缩短安全距离，并影响检测率。

本实验在不同平均速度下的检测率如图3所示。结果表明，所提方案在不同车辆速度下均具有稳定且良好的性能。

5 结论

所提出的恶意行为检测方案结合了以数据为中心和以节点为中心的方法，以兼具两者的优势。该方案采用车辆聚类的概念来识别道路上的异常。已进行了全面的性能评估，实验结果表明，基于聚类的方案能够在多种交通场景下高效地识别异常。该方案优于基于投票的方案，后者的检测性能对交通负载较为敏感。

智能车辆正变得普及，人们可能越来越依赖智能交通系统。然而，本文揭示了其他一些安全威胁，例如对智能交通系统的攻击或远程控制车辆。为了保障道路安全，有必要对车载自组织网络中的安全威胁进行深入研究。