黄学臻 ，翟 翟 ，周 琳 ，祝雅茹

（1.公安部第一研究所，北京 100044；2.北京交通大学 智能交通数据安全与隐私保护技术北京市重点实验室，北京 100044）

0 引言

随着当前车辆激增，交通拥堵及交通事故等严重影响了社会生活，为了满足人们对于提升出行质量的需求，车载自组网（Vehicular Ad-Hoc Network，VANET），简称车载网，逐渐成为实现智能交通系统的基础之一。虽然VANET 能够为人们的出行质量提供有力保障，但是大量的车辆数据通过无线通信共享，任何交换恶意信息的节点都会损害网络安全性，因此，VANET 的安全性成为了车联网领域的重点研究目标。

为了提高VANET 安全性，避免入侵行为产生的危害，首先需要明确其面临的安全问题。VANET 中入侵行为主要源自于自私的驾驶者和恶意的攻击者，自私的驾驶者主要是为了私利而独享道路、节约自身资源等；恶意的攻击者使车辆无意或有意地在网络中传输不正确的信息（例如错误的位置或速度坐标），影响车载网的正常工作，威胁驾乘者的生命财产安全[1]。然而，面对日益复杂的车载网络环境，传统的入侵检测方法呈现出相当多的问题。其中最主要的问题是：大数据背景下传统入侵检测方法性能低下，存储与时间成本高，准确性不高。

为了有效解决上述问题，本文提出了一种在VANET场景下的高效入侵检测方法，将基于轻量级密集卷积神经网络的入侵检测方法部署在RSU 上，以对车辆发来的消息及时进行检测。实验结果表明，本文所提出的模型在VeReMi 数据集上具有较高的准确率，在各攻击类别和正常类别的识别上均具有稳定的性能。同时，在训练过程中消耗时间短，模型参数总量相对较少，进一步节省计算开销与存储开销。

1 相关工作

随着机器学习与深度学习的广泛应用，研究人员提出了各种基于机器学习或深度学习方法的入侵检测方法。在基于机器学习方法的研究中，Zhang 等[2]提出了一种分布式检测方案，该方案可以在网络中的单个车辆上运行，并且可以协作进行异常信息交换；Garg 等[3]提出了一种基于机器学习的入侵检测方案，该方案结合了椭圆曲线密码学和模糊C-means 聚类；Schmidt 等[4]提出了一种结流分类模型，该模型采用k 均值聚类算法进行动态聚类；Bangui 等[5]提出一种混合机器学习模型，该方法主要利用随机森林的优点来检测已知的网络入侵。然而，这些传统的机器学习方法虽然透明简单且训练直观，但是需要手动处理特征且对入侵行为分类精度不够高，已经不能满足车载网络的安全需求。

经过研究人员的广泛探究与实践，基于深度学习的入侵检测方案已成为目前车载网安全领域内相对成熟和主流的方式。Van 等利用CNN 来检测由车辆传输的异常传感器数据[6]，然而，他们只考虑了少数异常类型；Nie 等探索了使用CNN 的无监督方法，该方法使用VANET 流量的时空和稀疏特征以及基于马哈拉诺比斯距离的损失函数的CNN 架构[7]，并在其最新工作中使用监督技术进一步扩展[8]；Ning 等[9]对边缘服务器进行了深度强化学习，进一步解决了入侵检测问题中的计算问题；Alladi 等人[10]提出了基于深度神经网络的车辆异常检测方案，使用序列重建方法来区分正常车辆数据和异常数据。但是这些工作往往只关注某一类或者某几类异常攻击类型，且需要较大的计算与存储开销。

2 应用场景

VANET 旨在最大限度地减少交通堵塞、交通事故等问题，虽然VANET 可以实现车辆间通信以及交通数据共享，但是也容易遭受到各种攻击。因此，采取措施加强车载网络安全至关重要。在本节中，首先讨论本文考虑的车载网络场景，再具体介绍在此场景下本文方案主要针对的攻击类型。

2.1 车载自组网网络模型

如图1 所示，本文所假设的VANET 系统模型包括以下3 类实体[11]：

（1）车载单元（On Board Unit，OBU）：安装在车辆中，用于在VANET 中发布和接收交通路况消息，从而及时调整行车路线，避免交通拥堵等事故发生。

（2）路边单元（Road Side Unit，RSU）：部署在十字路口以及停车场等场所，负责管辖其所在位置一定范围内的车辆，本文提出的入侵检测模型就部署在RSU 上。

（3）可信中心（Trusted Authority，TA）：TA 是可信的，负责维护RSU 的身份与位置映射列表，根据RSU 的实际情况动态地更新映射列表，对列表中长时间无响应的RSU 进行删除，因此RSU 也是可信的。

2.2 攻击类型

在不同车流量场景和不同的攻击者密度下，内部攻击者修改基础安全消息（Basic Safety Message，BSM）[12]以生成虚假或错误的位置与速度信息，并在DSRC 上进行广播。在车载网络中，恶意车辆可能会发送虚假信息，造成车辆混乱，严重影响其他节点的安全应用。表1 列出了本文所采用的VeReMi 数据集中建模的攻击类型及使用的参数[13]。

表1 攻击类型及参数

3 基于轻量级密集神经网络的入侵检测方法

本节给出了入侵检测方法的设计目标，并提出了轻量级密集神经网络模型，以及基于此模型的入侵检测方法。

3.1 设计目标

针对车载网中恶意攻击者传输错误数据的行为，并结合现有入侵检测方案存在的不足，本文提出的入侵检测方法设计目标为：

（1）RSU 及时检测入侵行为。当网络中有恶意攻击者传输不正确数据时，RSU 需要及时检测出入侵行为。

（2）设计轻量级且精度高的模型。VANET 场景下，网络结构快速变化，信息交互迅速，实时性高，要求具有较低的模型检测时间与存储成本。

（3）检测多类攻击行为。为使RSU 更好地响应和处理接收到的车辆数据，需要实现对多种不同攻击行为的准确识别。

3.2 轻量级密集神经网络模型

密集神经网络（Dense Neural Network，DenseNet）[14]是一种高效的神经网络模型，解决了网络过深引起的梯度消失、参数爆炸而导致网络难以训练的问题。为了将DenseNet 应用于车载自组网的入侵检测，本文对DenseNet进行改进，设计了轻量级密集神经网络（Light Dense Neural Network，L-DenseNet）。

原始DenseNet 主要由稠密块（Dense Block）、过渡层（Transition Layer）和增长率（Growth Rate）构成。其中，Dense Block 定义了输入和输出的连结方式；Transition Layer 用来控制通道数，防止通道数过多；Growth Rate 表示每个Dense Block 中每层输出的feature map 个数。一个完整DenseNet 由4 个Dense Block 和3 个Transition Layer 组成，Transition Layer 存在于两个相邻的Dense Block 中间。以DenseNet-121 为例，完整的DenseNet 结构如图2所示。

图2 完整的DenseNet-121 结构图

由于车载网络中传输的车辆数据大小比原始的DenseNet 的图像数据简单得多，因此不需要使用如此复杂的结构。本文通过减少其组件以及调整参数，使模型变得更加轻便高效。L-DenseNet 模型调整了Dense Block和相应Transition Layer 的数量，减少了2 个Dense Block和2 个Transition Layer。

Dense Block 内部采用多层结构，每层数据都通过一个非线性变换函数H 传递给下一层，且每层的输入来自前面所有层的输出。如图3 所示，L 层的Dense Block有L（L+1）/2 个连接。这一结构更有效地利用了数据特征，同时减少了参数数量。其中，非线性变化函数H 包括了BN（Batch-Normalization）、激活函数（ReLU）以及卷积（Conv）3 种操作（BN+ReLU+3×3 Conv）。由于后面层 的输入会非常大，因此，Dense Block 内部采用了Bottleneck 层来减少计算量，在原有的结构中增加1×1 Conv，降低特征数量。

图3 Dense Block 内部结构图

本文提出的L-DenseNet 在减少Dense Block 数量的基础上，还对其内部结构和参数进行了修改。针对车载网络中的一维数据集，本文的L-DenseNet 将原二维卷积均改成一维卷积，并对卷积核的尺寸做了相应改变。L-DenseNet 的Dense Block 使用了BN+ReLU+1 Conv+BN+ReLU+3 Conv+Dropout 结构。Dropout 的使用进一步简化了网络结构复杂度，衰退率设置为0.001。

Transition Layer 保证了每个Dense Block 后面的特征维度统一，一般结构为BN+ReLU+1×1 Conv+2×2 Avg-Pooling。通过1×1 卷积层来减小通道数，使用步幅（stride）为2 的平均池化层（average pool）来进一步降低模型复杂度。本模型使用stride 为1 的average pool。

表2 为原始DenseNet 和L-DenseNet 的结构以及输出维度对比。通过创建一个更轻量级的模型，减少了内存需求和参数的数量，使模型更适用于拓扑结构快速变化的车载网。

表2 DenseNet-121 与L-DenseNet 的参数配置及输出对比

模型的输出为攻击样本的类型，若是正常数据，则RSU 可正常响应并与其他车辆进行数据共享；若为异常数据，RSU 则不在其管理域内共享该数据。

3.3 基于轻量级密集神经网络的入侵检测方法

本小节基于3.2 节提出的L-DenseNet，给出了一种轻量级的入侵检测方法，如图4 所示。

图4 基于轻量级密集神经网络的入侵检测方法

VANET 中入侵检测方案的应用流程如下：

（1）车辆将其位置、车速等相关数据封装成消息，发送给RSU；

（2）RSU 提取多维度的时间、位置、车速等相关数据，进行数据标准化；

（3）将步骤（2）得到的数据作为神经网络模型的输入，其输出是相应的攻击类型编号，类型0 代表无攻击。

4 实验及分析

本文使用车载自组网中的经典数据集VeReMi 数据集进行实验验证，并与其他入侵检测方法进行对比分析。

4.1 实验设置

（1）数据集

VeReMi 数据集[15]总共包括225 个模拟的车辆运行过程，在这些车辆中，一部分是恶意的，通过采样均匀分布（[0，1]）并将其与攻击者分数参数进行比较，使每个车辆基本具有该概率作为攻击者。同时，所有归类为攻击者的车辆都执行相同的攻击算法，数据集中的异常数据也相应分为5 类攻击，如表1 所示。

（2）数据预处理

VeReMi 数据集一共分为5 类攻击文件，每个文件有17 列特征值和一个标签值，如表3 所示。由于每条数据的标签都为正常/异常，因此首先对5 类攻击文件进行合并，贴上相应标签，并将样本标签的数值转化为6 维one-hot 编码。最后对数据集进行归一化处理。

表3 VeReMi 数据集各特征含义

（3）评价指标

深度学习模型通常使用的评价指标有准确率（accuracy）、召回率（recall）、精确率（precision）、F1值。这4 种指标可以利用一个混淆矩阵来计算得出。混淆矩阵各类数据统计量及其之间的关系如表4 所示。

表4 混淆矩阵

准确率指正确检测的样本数量占样本总数的比例，计算公式如下：

精确率指被检测为正常且检测正确的样本数量占所有被预测为正常样本数量的比例，计算公式如下：

召回率指被检测为正常且检测正确的样本数量占所有正常样本数量的比例，计算公式如下：

F1 值指精确率和召回率的加权调和平均值，计算公式如下：

4.2 实验结果及分析

首先在不同的学习率、增长率参数设置下进行实验，以找到较为适合L-DenseNet 模型结构的参数设置，接下来将使用L-DenseNet 在VeReMi 数据集上进行实验所得到的各攻击类别精确率、召回率等评价指标与几种现有模型进行对比分析，以说明L-DenseNet 应用于车载自组网场景时所具有的优势。

4.2.1 参数设置对实验结果的影响

学习率是深度神经网络模型最重要的超参数之一，它通过调节模型权重更新的速度从而控制模型学习的进度。为了确定最佳学习率大小，本文在当学习率分别设置为0.001、0.005、0.01、0.05、0.1、0.5 时进行实验，并将测试集上的准确率作为评价指标，实验结果如图5所示。

图5 不同学习率设置下的测试集准确率

根据实验数据，当学习率取值为0.05 或0.1 时较为适合本模型结构。

此外，由于DenseNet 网络的增长率参数控制着每个Dense Block 输出的特征映射数量，因此增长率参数的取值大小也会对模型的准确率造成一定的影响。本文对增长率参数选取为8、16、24、32 的情况依次进行实验，并将测试集上的准确率作为评价指标，实验结果如图6所示。

图6 不同增长率设置下的测试集准确率

根据图6 可知，在网络深度一定的情况下，适当增加增长率可以在一定程度上使模型的准确率得到提升。但是增长率的增加也会引起模型参数量的急剧增加，当增长率取值为8、16、24、32 时，L-DenseNet的参数总量分别为18 622、59 342、123 102、209 902，需要结合实际应用中RSU 的存储和计算能力在模型准确率和规模之间做出一定的权衡。

4.2.2 本文模型与其他模型性能对比分析

文献[15]最初提出了VeReMi 数据集并且展示了它如何应用在入侵检测场景中，文献[16]使用传统机器学习方法来对VeReMi 数据集中的攻击类型进行分类检测，文献[17]提出了另外一种基于DenseNet 的多分类模型。本文将L-DenseNet 在VeReMi 数据集上进行实验所得到的各攻击类型精确率、召回率与文献[15]、文献[16]、文献[17]相关的实验结果进行对比，如表5 所示。

表5 中与文献[15]、文献[16]的对比结果说明，本文所提出的L-DenseNet 模型在VeReMi 数据集上各攻击类型的检测中均具有较高准确率；并且在各攻击类型的精确率、召回率上可以看出，虽然文献[15]对于Attack1、Attack4 的检测精确率、召回率较高，但是其Attack2、Attack8 的精确率明显低于平均水平。同理，文献[16]中的模型在Attack2 和Attack16 的检测上均表现欠佳，这反映出上述模型存在检测准确率分布不均匀的问题，而本文所提出的L-DenseNet 模型对于上述5 种攻击类型的检测能力相对稳定，避免了不同攻击类型精确率、召回率等指标高低差别大的情况。特别是对于Attack2 和Attack16 的检测，L-DenseNet 表现出了显著优越性。

表5 与文献[17]的对比结果说明，本文在进一步缩减模型规模的基础上仍然实现了令人满意的准确率。文献[17]同样使用密集连接结构的神经网络，在各种攻击类型的检测上也取得了较为理想的效果，但是文献[17]中的模型参数总量为448 746，增长率取值相同的情况下，本文所提出的L-DenseNet 参数总量仅为209 902，参数总量少于文献[17]中模型的1/2，然而各攻击类型的精确率、召回率均大于文献[17]中的模型。另外，当增长率取值为8 时，本文模型的参数总量仅为18 622，训练一个轮次耗时仅300 s，总体准确率却可达到96.69%，这更加体现了L-DenseNet 模型轻便高效的特点。

表5 本文模型与其他现有模型对比

5 结论

本文针对VANET 中的常见入侵行为进行研究，提出了L-DenseNet 模型以及相应的入侵检测方法。L-DenseNet模型不仅保留了DenseNet 可以缓解梯度消失或者爆炸问题的优点，同时降低了DenseNet 模型的架构复杂性，使其更适用于VANET 中简单、高效的入侵行为检测。此外，在VeReMi 数据集上对各类指标进行评估，与现有方案的对比分析表明，所提出的方案在准确率、计算开销及存储开销等方面均优于现有方案，在车载网络场景下具有更高的可行性。