CN115694930B

CN115694930B - 基于信誉度管理的车联网恶意车辆节点行为检测方法

Info

Publication number: CN115694930B
Application number: CN202211272589.1A
Authority: CN
Inventors: 邱庆炎; 赵国锋
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2022-10-18
Filing date: 2022-10-18
Publication date: 2024-03-26
Anticipated expiration: 2042-10-18
Also published as: CN115694930A

Abstract

本发明涉及车联网与恶意车辆节点检测领域，具体涉及一种基于信誉度管理的车联网恶意车辆节点行为检测方法。所述方法包括车联网中的车辆节点发布车联网信息；所述车联网信息包括车辆节点的行为信息和路径轨迹信息；感知节点通过主动探测或/和被动监听的方式收集车联网信息；感知节点将收集的车联网信息上传到RSU节点；RSU节点对收集的车联网信息进行初步处理，计算车联网信息的可信度；RSU节点将计算得出的可信度上传至云服务器；云服务器基于收集的车联网信息和可信度来更新每个车辆节点的信誉值；当车辆节点的信誉值低于信誉阈值时，识别出该车辆节点为恶意车辆节点。本发明能够准确识别出恶意车辆节点。

Description

基于信誉度管理的车联网恶意车辆节点行为检测方法

技术领域

本发明涉及车联网领域，特别涉及一种基于信誉度管理的车联网恶意车辆节点检测方法。

背景技术

在车联网中，恶意车辆节点通过发送虚假的事件信息，包括交通事故、车辆拥堵等，使得基于路况信息的车联网应用做出错误反应，对车联网系统可靠性和交通安全造成威胁，给车联网和城市安全带来危害。因此，对恶意车辆节点的识别和检测，保证车联网中网络空间资源的可靠性和安全性，是车联网研究中至关重要的一环。

传统的恶意车辆节点识别技术主要分为三类，分别是基于身份认证的方式、基于行为分析的方式和基于测试任务的方式。在基于身份认证的方式中，CA机构为每个车辆节点发放一个合法的身份信息，同时使用基于公私钥机制的认证协议来识别车辆节点的真实身份信息。这种方式存在一些不足：攻击者可以通过入侵的方式获取合法的身份信息，使用非法途径获取的真实的身份信息对车联网进行攻击和破坏；并且认证车辆节点身份信息的过程需要依赖CA机构，会造成单点故障问题。在基于行为分析的方式中，车联网平台通过采集每个车辆的行为数据，从车辆行为数据中提取车辆行为特征，并且使用异常检测或者误用检测等手段分析车辆行为是否为攻击行为，具有攻击行为的车辆节点即被检测为恶意车辆节点。在这一类恶意车辆节点检测方式中，针对每种攻击类型都要建立各自的异常检测模型，难以防御零日攻击。在基于测试任务的方式中，车联网平台假设恶意车辆节点拥有的计算、存储、通信资源要比正常节点的资源低，因此车联网平台会通过向车辆节点请求执行测试任务，当车辆节点对测试任务执行失败时，认为该车辆节点为恶意车辆节点。在此方案中，测试任务会给车辆节点带来额外的资源消耗开销，并且若恶意车辆节点拥有和正常节点相同的资源后，基于测试任务的检测方式无法成功。

综上所述，传统的恶意车辆节点检测方案均存在不足之处，无法对车联网中的恶意车辆节点进行准确检测。

发明内容

本发明旨在解决以上现有技术的问题。提出了一种无监督学习算法来对用户发布信息进行可信度评估，借助评估结果对车辆节点的信誉度进行管理，并且基于信誉值进行恶意车辆节点检测；进一步地针对攻击者可能控制多个正常车辆节点，发布虚假恶意信息，进行女巫攻击，降低真实信息的可信度，本发明基于LSTM神经网络建立车联网用户行驶基线模型，并且基于此模型评估车辆节点当前可信度，从而降低恶意车辆节点对真实信息可信度的影响。

本发明的一种基于信誉度管理的车联网恶意车辆节点行为检测方法，所述方法包括：

车联网中的车辆节点发布车联网信息；所述车联网信息包括车辆节点的行为信息和路径轨迹信息；

感知节点通过主动探测或/和被动监听的方式收集车联网信息；

感知节点将收集的车联网信息上传到RSU节点；

RSU节点对收集的车联网信息进行初步处理，计算车联网信息的可信度；

RSU节点将计算得出的可信度上传至云服务器；

云服务器基于收集的车联网信息和可信度来更新每个车辆节点的信誉值；

当车辆节点的信誉值低于信誉阈值时，识别出该车辆节点为恶意车辆节点。

本发明的有益效果：

本发明的基于信誉度管理的车联网恶意车辆节点行为检测方法中，首先通过对车联网中的车辆节点发布的信息进行可信度评估，并且基于评估的信息可信度更新车辆节点信誉值。当车辆节点的信誉值低于某个信誉阈值时，认为该车辆为恶意车辆节点，从而识别出恶意的车辆节点。考虑到攻击者可能控制多个正常车辆节点，发布虚假恶意信息，进行女巫攻击，降低真实信息的可信度。针对此问题，本方案基于LSTM神经网络建立车辆节点驾驶行为基线模型，并且基于此模型预测车辆节点当前可信度评估结果，利用当前可信度评估结果来计算当前信誉评估值，并利用当前信誉评估值更新下一轮次的信息质心，通过更新后的信息质心来计算可信度，能够降低恶意车辆节点对真实信息可信度的影响。

附图说明

图1是常见的恶意车辆节点攻击模型示意图；

图2是本发明基于车辆信任管理的恶意车辆节点识别方案示意图；

图3是本发明基于信誉度管理的车联网恶意车辆节点行为检测方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

常见的攻击场景如图1所示，攻击场景1中，攻击者通过控制车联网中行驶的恶意车辆节点，发布伪造信息，制造路况拥堵、车辆事故等虚假事件，破坏车联网中流量调度、自动驾驶等应用，危害车联网安全。假设所有车辆节点集合为U＝(u₁,u₂,…,u_n)，每个车辆节点具有坐标信息其中/>为车辆节点u_i在t_k时刻的坐标，所在的网格区域为/>攻击者控制恶意车辆节点a_i∈U，恶意车辆节点具有可被观测的坐标信息每一个车辆节点u_i∈U在车联网中发布信息，信息序列为/>正常车辆节点的行为X_i均为真实信息，恶意车辆节点a_i的行为序列信息/> 存在异常信息，攻击者通过发布虚假信息来达到攻击目的。

进一步地，如图1中的攻击场景2所示，攻击者通过攻击正常车辆节点，盗取其合法身份信息，使用盗取的多个合法身份信息，并且对自身的地理位置信息进行伪造从而躲避追踪。攻击者使用不同合法身份发布多个虚假信息，降低真实信息的可信度，增加对恶意车辆节点的识别难度，危害车联网整体安全。攻击者控制的恶意车辆节点集合为A＝(a₁,a₂,…,a_n)，其中恶意车辆节点集合为所有节点集合的子集每个恶意车辆节点a_i∈A同样具有行为序列X_i＝(x_i,1,x_i,2,…,x_i,n)，恶意车辆节点的行为序列X_i中存在异常信息。并且每个恶意车辆节点具有伪造的坐标信息/>使得识别过程的难度增加。

基于上述攻击场景，在本发明实施例中，如图2所示，首先，车联网中的普通车辆节点发布车联网信息，所述车联网信息包括：车辆节点位置信息、车辆节点移动速度、车辆节点网络信息、车辆广播的路况信息等；其次，感知车辆节点通过主动探测或者被动监听的方式收集车联网信息；再次，感知车辆节点将探测收集的车联网信息上传到RSU节点，RSU节点对探测收集到车联网信息进行初步分析，基于每个车辆节点的用户画像信息和路径轨迹计算信息的可信度，并且将可信度评估结果上传至云服务器；最后，云服务器基于探测收集的车联网信息和可信度来更新每个车辆节点的信誉值，同时也向RSU节点更新可信度评估参数。

在本发明实施例中，有四类主要节点进行协同工作，完成车联网恶意车辆节点检测，包括：普通车辆节点、探测车辆节点、RSU节点、云服务器节点四类。

其中，普通车辆节点即在车联网中行驶的、不进行感知工作的车辆节点，普通车辆节点作为车联网应用的主要参与者，同时作为车联网信息的生产者和消费者。普通车辆节点发布车联网信息，以满足各类车联网应用。例如：当前路况信息、道路是否拥堵、是否发生紧急事故、周围车辆行驶速度等。恶意车辆节点可能隐藏于普通车辆节点之中，通过发布虚假恶意信息，危害车联网安全。

其中，感知车辆节点即为被感知平台招募、进行移动群智感知的感知探测工作的车辆节点。这一类节点利用自身传感器和车载网关设备，执行车辆群智感知任务，进行车联网信息监听采集工作。感知车辆节点主要探测方式包括主动探测和被动探测，在本发明中主要指被动探测，即通过车载网关和移动天线等设备，对发布在车联网中的信息进行监听采集，并上传到感知平台。

其中，RSU节点即为车联网路边节点，保存了车辆节点的用户画像模型和信誉值，负责基于车辆节点的用户画像模型和信誉值对感知车辆节点上传的信息进行可信度评估，并且将评估结果上传到云服务器中。

其中，云服务器节点即为感知平台总体计算节点，利用分布式、微服务等架构保证自身高可用、高可靠、高性能等特性。云服务器节点负责对RSU节点上传的可信度评估进行汇总，并且基于可信度评估结果对普通车辆节点的信誉值进行计算和更新。并且基于普通车辆节点的当前驾驶行为更新普通车辆节点的用户行为画像模型。最后将计算更新的普通车辆节点信誉值和用户驾驶行为画像模型更新到RSU节点中，作为可信度评估参数。

可以理解的是，在本发明实施例中，所述感知车辆节点也可以是具有感知功能的非车辆节点，即安装有相应感知单元的设备，为了方便描述，本发明将其称为感知车辆节点。

基于上述节点的协同工作，图3是本发明实施例的基于信誉度管理的车联网恶意车辆节点行为检测方法流程图，如图3所示，所述方法包括：

101、车联网中的车辆节点发布车联网信息；所述车联网信息包括车辆节点的行为信息和路径轨迹信息；102、感知节点通过主动探测或/和被动监听的方式收集车联网信息；

103、感知节点将收集的车联网信息上传到RSU节点；

104、RSU节点对收集的车联网信息进行初步处理，计算车联网信息的可信度；

105、RSU节点将计算得出的可信度上传至云服务器；

106、云服务器基于收集的车联网信息和可信度来更新每个车辆节点的信誉值；

107、当车辆节点的信誉值低于信誉阈值时，识别出该车辆节点为恶意车辆节点。

在本发明实施例中，考虑到攻击者会控制恶意车辆节点在车联网中广播虚假信息来进行伪造紧急事件的恶意行为，破坏车联网安全。在这一类攻击场景中，多数正常车辆节点发布真实信息，恶意车辆节点发布虚假信息。在同一时间、同一片网格区域中，不同车辆对同一事实的描述应为相同的，例如某时刻某路段的红绿灯为红灯，某时刻某路段发生了紧急事故，不同车辆对该事件的描述应为一致。因此，本发明将同一时间、同一片网格区域中对同一事件的描述信息划分为一个集合其中表示来自车辆节点u_i在t_k时刻的车联网信息。由于不同车辆节点发布的信息/>之间可能存在差别，为了量化这个差别，本发明定义信息距离函数：

距离函数衡量了信息/>和信息/>的偏差情况。不同特征的信息具有不同的距离函数，常用的距离函数包括闵氏距离、交叉熵函数、雅卡尔距离等。当车辆发布信息可以转化成为一个向量时，常使用闵氏距离估计信息误差，例如观测其他车辆的行驶速度；当车辆发布信息可以转化成为one-hot向量时，常使用交叉熵计算信息距离，例如当前道路信号灯信息；当车辆发布信息可以转化成为集合时，常使用雅卡尔距离计算信息距离，例如当前道路的车辆集合。本发明定义信息质心为/>信息质心为/>能使得每个信息/> 到达信息质心/>的距离最小：

其中为车辆节点u_i的信誉值，会随着车辆节点持续提供地更真实可信的信息而逐渐提升，提供虚假的信息而快速下降；该信誉初始值可由系统随机给定，其更新值由车辆节点驾驶行为基线模型确定。信息质心/>即为对真实信息的估计值，关于信息/>的距离函数/>计算值越小，表示越接近真实数据，该信息可信度越高；而距离函数/>越大，表示信息越偏离聚类质心，可信度则越低。本方案通过计算车辆节点u_i发布信息/>与信息质心/>的距离，评估车辆节点广播信息的可信度/>从而不断地更新车辆节点信誉值/>本发明定义信息可信度/>为：

本发明定义信誉值基于以下假设：车辆节点通过发布一系列真实可靠的信息，信誉值缓慢上升；在发布虚假信息之后，导致信誉值快速下降。在感知车辆节点探测收集了普通车辆节点发布的信息后，RSU计算信息可信度，并且使用信息可信度更新车辆节点的信誉值：

其中为更新后的信誉得分。其中输入参数/>为历史信息可信度的累加值，计算公式为：

如公式5所示，本方案将用户在所有过去轮次中的数据可信度进行累加，来预估用户的信誉评分。其中，t表示累加时间长度；ω(0<ω<1)是时间系数，将最近的记录赋予最高的权重，为用户u₊在t_k时刻的信息可信度平均值，/>用来衡量用户u_i在t_k时刻上的可信度是否高于平均水平，若高于平均水平，则信誉度函数逐渐上升，若低于平均水平，则信誉度快速下降。当车辆节点的信誉值低于一定的阈值时，则认为该车辆节点为恶意车辆节点。由于信息与真实值的偏差情况不仅来自于恶意车辆节点的错误信息，也来自于系统本身的噪声，本方案通过统计系统真实信息的偏差平均值∈来估计信誉阈值R_th：

为了应对攻击者控制多个车辆身份，共同发布虚假信息，降低真实信息的可信度，并且通过伪造自身伪造位置，躲避车联网平台追踪的问题，本方案提出了基于LSTM神经网络的车辆节点驾驶行为基线模型，用以评估车辆节点的当前可信度，从而避免正常车辆被攻击者控制导致信息评估受到影响。

一般情形下，正常的车辆节点在长时间的行驶中会慢慢建立相对稳定的行为模型，但攻击者一旦窃取了车辆节点的真实身份信息，并且利用真实身份信息进行恶意行为后，就会和正常时的车辆用户产生很大不同。车辆节点用户的驾驶行为基线模式，是指车辆节点在行驶速度、行驶区域、行驶时间、持续行驶路程等方面，都具有一种相对稳定的行为轮廓，即是该用户正常的行驶行为模式。目前针对于车辆用户的驾驶行为模型的建立，常使用传统的机器学习算法，如基于SVM算法，随机森林等，但这类方法一般提前车辆节点当前的行驶位置、行驶区域、驾驶时间等信息作为特征值进行判断，忽略了当前驾驶行为和历史驾驶行为的关系。同时也因为这些方法都必须通过大量的累积数据完成车辆节点的驾驶行为基线建立，所以对其时间窗口需求很大，从而导致这些模型的准确性较低，影响了车辆节点驾驶行为基线模型的性能。

在当前的机器学习方法中，通常使用马尔科夫链模型处理数据序列之间关联关系，不过由于马尔可夫链模型在处理较长的行为关联序列中性能较低，因此大多数马尔可夫链模型假定当前驾驶行为只受前一次驾驶行为的影响。由于车辆节点当前的驾驶行为往往都和历史的驾车行为总和相关，所以将马尔可夫链模型用来构建车辆节点驾驶行为基线模型具有局限性。尽管目前的研究已经给出了可以解决较长的数字间序列关系的多阶马尔科夫链模型，但是由于多阶马尔科夫链模型具有维度高、参数个数多、函数优化较复杂等问题，因此不利于在现实应用中实现。本实施例针对当前研究中用户驾驶行为基线模型无法描述历史驾驶行为之间的序列关系，导致用户驾驶行为模式刻画不准确，影响异常行为检测效果的问题，提出了基于LSTM的用户驾驶行为基线模型，基于用户的历史驾驶行为信息，对用户当前行为的可信度进行计算和评估，并且使用评估结果作为权重来计算信息质心，避免对真实信息的估计受到恶意车辆节点的干扰。

循环神经网络(Recurrent Neural Network，RNN)是处理时序性数据的常见手段。传统神经网络中，同层的节点之间未产生连接，而RNN神经网络的特点是每层具有周期性连通的节点，基于这些节点能够使得时序性数据中的历史数据发生关联关系。在理想情况下，RNN能够处理无限长度的时间序列，但是在实践的过程中，当时间序列达到一定的长度时，在梯度反向传播的过程中，容易发生梯度消失或者梯度爆炸的问题，影响了RNN网络的收敛速度。为解决此问题，相关研究提出了LSTM神经网络，LSTM神经网络是对RNN神经网络的改进，能够解决长时序列的梯度消失和梯度爆炸问题。LSTM网络将隐藏层设计成为记忆单元结构，每个记忆单元中包含一个记忆细胞和三个控制门，分别为输入门i_t、遗忘门f_t和输出门o_t。通过输入门i_t控制当前输入信息的权重，通过遗忘门f_t控制前一时刻对当前输出的权重影响，通过输出门o_t控制当前信息在隐藏层h_t中的权重。

车辆用户在进行驾驶时，当前驾驶行为通常和过去的驾驶行为相关。例如：当行驶了很长时间时，会选择减慢速度。因此认为用户u_i在t_k时刻的驾驶行为与t_k-1，t_k,2,…等多个时刻的驾驶行为相关。将车辆用户的驾驶行为过程定义成为按照时间排序的集合，具体表示如公式7：

其中t_k表示用户u₊驾驶的当前时刻，表示用户u₊驾驶的历史时刻行为。本方案采用的LSTM网络对车辆用户驾驶行为数据进行学习与训练，形成车辆用户画像，构建出车辆用户驾驶行为基线模型。本方案提取的用户驾驶行为特征包括：车辆节点当前网格区域、车辆节点当前时刻、车辆节点当前速度、车辆节点本次已持续行驶时间、车辆节点本次已持续行驶路程。

隐藏层的层数决定了训练效果，由于LSTM神经网络本身属于递归结构，过多的隐藏层容易出现梯度弥散的现象，本方案设置为两层LSTM隐藏层，每层分别有256和512个记忆单元。为了避免过拟合现象，本方案将LSTM的输出结果通过一个遗忘层，在网络前向传播的过程中，对特征进行随机忽略，从而保证学习过程不过分依赖某一个局部显著特征。输出层由一个稠密层组成，它将神经网络的特征输出转换成为一个概率预测，显示当前用户的可信度评估结果。

本方案提出的车辆用户驾驶行为基线模型的训练详细流程如下：

1.对车辆用户的历史数据进行预处理，提取出特征值：车辆节点当前网格区域、车辆节点当前时刻、车辆节点当前速度、车辆节点本次已持续行驶时间、车辆节点本次已持续行驶路程，并且将其构建成为时序序列。

2.将时序序列按照神经网络定义的输入长度将时序序列输入模型中，进行前向传播过程。

3.网络输出预测结果后，基于均方误差计算模型的损失函数，并利用梯度下降算法优化模型中的参数。

4.经过多轮训练后，误差函数逐渐趋于稳定，意味着训练模型已收敛，本方案的用户驾驶行为基线模型训练完成。

相较于传统的机器学习方法，本方案提出的基于LSTM的用户驾驶行为行为基线模型构建方法，通过学习用户的正常驾驶行为特征以及驾驶行为之间的关联关系，提高了对用户驾驶行为基线模型构建的精确度。

基于LSTM网络获取了用户u₊的当前可信度评估结果后，计算用户的当前信誉值：

通过上述分析，基于更新后的用户信誉值重新计算信息的质心，可以将公式2改写为：

根据公式9，信息质心经由对车辆用户u_i的信誉度评估，避免了攻击者控制多个恶意车辆节点进行女巫攻击的风险。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：ROM、RAM、磁盘或光盘等。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种基于信誉度管理的车联网恶意车辆节点行为检测方法，其特征在于，所述方法包括：

感知节点将收集的车联网信息上传到RSU节点；

RSU节点计算车联网信息的可信度的过程包括将同一时间、同一网格区域对同一事件的描述信息划分到一个车联网信息集合；计算到同一车联网信息集合中所有车辆节点的车联网信息信誉距离之和最小的信息质心；根据同一车联网信息集合中的不同车辆节点的车联网信息到信息质心之间的信誉距离，分别评估得到每个车辆节点的车联网信息的可信度；

信息质心的计算方式包括根据车辆节点的当前行为信息，利用基于LSTM神经网络的车辆节点驾驶行为基线模型，预测得到车辆节点的当前可信度评估结果；根据车辆节点的当前可信度评估结果和车辆节点的当前信誉值计算出车辆节点的当前信誉评估值；根据车联网信息集合中的所有车辆节点的当前信誉评估值，更新在下一轮次中到同一车联网信息集合中所有车辆节点的车联网信息信誉距离之和最小的信息质心；

信息质心所采用的计算公式表示为：

其中，表示在t_k时刻的信息质心，/>表示在t_k时刻的车联网信息集合，/>表示车辆节点u_i在t_k时刻的车联网信息，/>为车辆节点u_i的信誉值；

车辆节点的车联网信息的可信度的计算公式表示为：

其中，表示车辆节点u_i在t_k时刻的车联网信息的可信度，/>表示在t_k时刻的车联网信息集合，/>表示信息质心/>与车联网信息/>之间的距离，表示在t_k时刻的信息质心，/>表示车辆节点u_i在t_k时刻的车联网信息；

RSU节点将计算得出的可信度上传至云服务器；

云服务器更新车辆节点的信誉值的过程包括采用自适应权重对车辆节点的信息可信度进行累加处理；根据累加可信度更新得到每个车辆节点的信誉值；

所述累加可信度的计算公式表示为：

其中，表示车辆节点u_i在t_k+1时刻的车联网信息的累加可信度，ω(0<ω<1)是时间系数；/>表示车辆节点u_i在t_k时刻的车联网信息的可信度，/>表示车辆节点u_i在t_k+1时刻的车联网信息的平均可信度；t表示累加时间长度；

根据累加可信度更新得到每个车辆节点的信誉值所采用的计算公式表示为：

其中，表示车辆节点u_i在t_k+1时刻的信誉值；

当车辆节点的信誉值低于信誉阈值时，识别出该车辆节点为恶意车辆节点；

所述信誉阈值表示为：

其中，R_th表示信誉阈值；∈表示车联网真实信息的偏差平均值。