基于SVM 的VANET 黑洞攻擊檢測(cè)方法*

葉雪梅，許馨月，朱云杰，戴宇佳，蔡艷寧，范青剛

(1.西安高技術(shù)研究所 計(jì)算機(jī)教研室，陜西 西安710025;2.西安高技術(shù)研究所202 教研室，陜西 西安710025)

0 引 言

車載自組網(wǎng)(vehicular Ad Hoc network，VANET)的廣泛應(yīng)用已使其安全性備受關(guān)注，保證VANET 的安全，對(duì)車輛行駛安全、消息及時(shí)傳輸有重大意義。將VANET 應(yīng)用于民用或軍用車隊(duì)中，如，運(yùn)輸車隊(duì)、領(lǐng)導(dǎo)車隊(duì)或作戰(zhàn)指揮車隊(duì)，解決了車隊(duì)內(nèi)部之間通信的互聯(lián)，并能夠保證車隊(duì)行進(jìn)、獲取重要消息等的整體一致性，但同時(shí)也面臨著網(wǎng)絡(luò)安全問(wèn)題。在車隊(duì)的組織與行進(jìn)中，必須采取嚴(yán)密的安全防范措施來(lái)保障其順利完成運(yùn)輸、指揮、作戰(zhàn)等任務(wù)。而VANET 的安全研究是一個(gè)比較新的研究領(lǐng)域，多數(shù)學(xué)者的研究都停留在隱私保護(hù)、消息驗(yàn)證、數(shù)字簽名等方面，對(duì)于VANET 受到入侵攻擊展開(kāi)的研究涉足甚少。一方面，由于車輛節(jié)點(diǎn)高速移動(dòng)、拓?fù)渥兓l繁，捕捉與記錄數(shù)據(jù)受到環(huán)境等因素影響較大;另一方面，VANET 的審計(jì)數(shù)據(jù)是局部的，只局限在無(wú)線通信的覆蓋范圍內(nèi)，VANET 的入侵檢測(cè)也只能是局部的。

黑洞攻擊入侵VANET 會(huì)使得本應(yīng)正常傳遞的數(shù)據(jù)在沒(méi)有到達(dá)目的地之前就會(huì)被丟棄，使得網(wǎng)絡(luò)內(nèi)無(wú)法交流重要信息，造成通信不暢。針對(duì)黑洞攻擊的檢測(cè)，已有多種解決方案被提出，文獻(xiàn)［1］提出了一種基于對(duì)響應(yīng)節(jié)點(diǎn)的下游鄰居節(jié)點(diǎn)驗(yàn)證的方法，這種方法能夠解決單個(gè)惡意節(jié)點(diǎn)的黑洞攻擊，但無(wú)法解決相互合作的惡意節(jié)點(diǎn)的黑洞攻擊。文獻(xiàn)［2，3］在文獻(xiàn)［1］的基礎(chǔ)上，提出了解決相互合作的中間惡意節(jié)點(diǎn)進(jìn)行黑洞攻擊的方法，但是無(wú)法實(shí)現(xiàn)對(duì)目的惡意節(jié)點(diǎn)發(fā)起的黑洞攻擊。由于支持向量機(jī)(support vector machine，SVM)算法具有樣本需求小、泛化能力好等特點(diǎn)，對(duì)任意節(jié)點(diǎn)都可以進(jìn)行訓(xùn)練和檢測(cè)，本文選擇SVM 算法進(jìn)行黑洞攻擊的檢測(cè)分析。

1 基于SVM 的入侵檢測(cè)算法

SVM 是一類新型機(jī)器學(xué)習(xí)算法，它能夠非常成功地解決分類和回歸問(wèn)題。在小樣本的情況下，該算法具有建模精度高、推廣能力強(qiáng)等特點(diǎn)，能夠避免局部最優(yōu)解與維數(shù)災(zāi)難，為解決入侵檢測(cè)問(wèn)題提供了重要思路。SVM 算法的關(guān)鍵是確定核函數(shù)與分類器。

1.1 核函數(shù)選擇

在SVM 中，不同的核函數(shù)形成了不同的算法，導(dǎo)致樣本在高維特征空間的分布形成不同的復(fù)雜度，主要的核函數(shù)有線性核函數(shù)、多項(xiàng)式核函數(shù)、徑向基核函數(shù)及Sigmoid核函數(shù)［5］。

比較這幾種核函數(shù)，可以發(fā)現(xiàn)其中有這樣的關(guān)系:線性核函數(shù)是徑向基核函數(shù)的特例，但徑向基核函數(shù)可以將訓(xùn)練樣本非線性地映射到高維空間，文獻(xiàn)［6］證明了線性核函數(shù)的SVM 與徑向基核函數(shù)的SVM 有相同的分類性能，但徑向基核函數(shù)的適用范圍更廣;與多項(xiàng)式核函數(shù)相比，當(dāng)多項(xiàng)式次數(shù)較高時(shí)，多項(xiàng)式核函數(shù)的計(jì)算復(fù)雜度增加較快，相比之下徑向基核函數(shù)模型的計(jì)算復(fù)雜度較低;與Sigmoid核函數(shù)相比，Sigmoid 核函數(shù)對(duì)參數(shù)的選擇有較高的要求，選取的參數(shù)如果不合適會(huì)導(dǎo)致訓(xùn)練效果變差。綜上考慮，徑向基核函數(shù)比較適合作為本文SVM 訓(xùn)練的核函數(shù)。

1.2 特征向量與分類器選擇

在SVM 分類器的訓(xùn)練中，影響訓(xùn)練結(jié)果好壞的因素有多個(gè)，但是最主要的因素有兩個(gè):特征向量的選擇與分類器的模型設(shè)計(jì)。針對(duì)這兩個(gè)方面，解決的主要思路如下:

1)特征向量的選擇是影響SVM 分類器檢測(cè)效果的關(guān)鍵問(wèn)題，選擇能較好區(qū)分黑洞攻擊與正常網(wǎng)絡(luò)狀態(tài)的特征，可使SVM 分類器達(dá)到較好的訓(xùn)練與檢測(cè)效果。

由于檢測(cè)關(guān)注的重點(diǎn)是車輛通信中數(shù)據(jù)的傳輸過(guò)程有無(wú)異常情況發(fā)生，因而選擇路由層中與車載通信、網(wǎng)絡(luò)數(shù)據(jù)包等相關(guān)的統(tǒng)計(jì)量作為特征，如一條通信鏈路中節(jié)點(diǎn)收發(fā)數(shù)據(jù)包的計(jì)數(shù)情況，具體的特征屬性記錄如表1 所示。

表1 黑洞攻擊特征列表Tab 1 List of features of black hole attack

這四個(gè)特征都是路由層中數(shù)據(jù)包的動(dòng)作事件的個(gè)數(shù)。且要特別注意，只有當(dāng)本節(jié)點(diǎn)是源節(jié)點(diǎn)的時(shí)候才會(huì)有發(fā)送數(shù)據(jù)包的動(dòng)作，CBRs_ij 才有計(jì)數(shù)，CBRs_ij 才有意義。只有當(dāng)通信鏈路中存在入侵節(jié)點(diǎn)，且本節(jié)點(diǎn)正是入侵節(jié)點(diǎn)時(shí)，才會(huì)在路由層出現(xiàn)丟包現(xiàn)象，CBRd_ij 才有計(jì)數(shù)，但考慮到實(shí)際工作時(shí)，入侵節(jié)點(diǎn)本身出于“自我保護(hù)”是無(wú)法作為檢測(cè)節(jié)點(diǎn)來(lái)對(duì)當(dāng)前網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)的。因而，更確切地說(shuō)，黑洞攻擊存在的網(wǎng)絡(luò)中，只有CBRr_ij 與CBRf_ij 比較適合作為特征向量。考慮任意非源節(jié)點(diǎn)與非目的節(jié)點(diǎn)，它們的CBRr_ij 數(shù)與CBRf_ij 數(shù)在每一條通信鏈路中計(jì)數(shù)相同，選擇其中一個(gè)參量作為特征即可滿足SVM 訓(xùn)練的要求，因而不失一般性，選擇CBRr_ij 為黑洞攻擊入侵檢測(cè)的特征。

2)分類器的模型設(shè)計(jì)是SVM 算法的核心，分類效果的好壞直接影響實(shí)際應(yīng)用中的檢測(cè)性能。在入侵檢測(cè)分類器的模型設(shè)計(jì)中，考慮到分類效果與泛化性能等因素，選取標(biāo)準(zhǔn)SVM 分類方法C－SVC［7］作為入侵檢測(cè)的訓(xùn)練模型。

采用C－SVC 對(duì)VANET 進(jìn)行入侵檢測(cè)時(shí)，首先需要準(zhǔn)備數(shù)據(jù)樣本，進(jìn)行數(shù)據(jù)預(yù)處理，然后提取重要的特征向量，優(yōu)選訓(xùn)練參數(shù)，輸入到SVM 進(jìn)行訓(xùn)練，最后對(duì)新樣本進(jìn)行預(yù)測(cè)。這里需要注意的是，VANET 的動(dòng)態(tài)拓?fù)湫耘c節(jié)點(diǎn)的自治獨(dú)立性使得每一個(gè)車輛節(jié)點(diǎn)只能檢測(cè)自己的通信數(shù)據(jù)狀態(tài)，因而，每一個(gè)節(jié)點(diǎn)都配備SVM 分類器，每個(gè)節(jié)點(diǎn)檢測(cè)出的結(jié)果也只能代表在某一段時(shí)間內(nèi)該節(jié)點(diǎn)參與的通信鏈路是否有入侵情況發(fā)生。實(shí)際應(yīng)用中還要注意到，惡意節(jié)點(diǎn)出于自我保護(hù)，作為檢測(cè)節(jié)點(diǎn)來(lái)對(duì)當(dāng)前網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)的是不可靠的。

2 黑洞攻擊仿真實(shí)驗(yàn)與檢測(cè)結(jié)果分析

2.1 黑洞攻擊入侵車隊(duì)VANET 仿真實(shí)驗(yàn)

目前，國(guó)際上沒(méi)有公認(rèn)的VANET 通信數(shù)據(jù)的樣本庫(kù)，因而本文通過(guò)利用NS－2 仿真軟件模擬車隊(duì)行進(jìn)過(guò)程中受到黑洞攻擊的場(chǎng)景，獲得VANET 在正常狀態(tài)與異常狀態(tài)時(shí)的通信數(shù)據(jù)作為訓(xùn)練樣本。

首先對(duì)車隊(duì)行進(jìn)過(guò)程時(shí)的通信進(jìn)行仿真實(shí)現(xiàn)，根據(jù)車隊(duì)的實(shí)際應(yīng)用要求，對(duì)車隊(duì)做如下規(guī)定:

1)車隊(duì)內(nèi)部車輛之間保持跟隨前進(jìn)，不得任意更換車輛次序;

2)車隊(duì)內(nèi)部車輛及時(shí)調(diào)整行進(jìn)速度，使得與車隊(duì)整體的行駛速度保持一致，并能夠保持基本一致的車距;

3)考慮專用車隊(duì)的保密安全問(wèn)題，故行駛過(guò)程中不與路邊單元(RSU)和其他非車隊(duì)內(nèi)部車輛進(jìn)行信息交換，也假定車隊(duì)通信不會(huì)受到基站電波的干擾。

因此，車隊(duì)行駛的道路環(huán)境可以簡(jiǎn)化為一個(gè)矩形區(qū)域，車隊(duì)中的每一輛車是一個(gè)節(jié)點(diǎn)，假定各節(jié)點(diǎn)性能相同，通信與移動(dòng)能力均正常，在矩形區(qū)域內(nèi)排成直線勻速行駛。編寫tcl 腳本，通過(guò)NS－2 仿真軟件模擬車隊(duì)行進(jìn)1 000 s 的場(chǎng)景，具體仿真參數(shù)設(shè)置如表2。設(shè)置5#節(jié)點(diǎn)為黑洞攻擊節(jié)點(diǎn)，通信鏈路設(shè)置為0#與19#節(jié)點(diǎn)進(jìn)行通信互傳。仿真效果如圖1 所示，圖為0#節(jié)點(diǎn)向19#節(jié)點(diǎn)發(fā)送路由請(qǐng)求分組。分別仿真網(wǎng)絡(luò)正常和遭受黑洞攻擊的狀態(tài)，得到能完整記錄各節(jié)點(diǎn)實(shí)時(shí)通信數(shù)據(jù)信息的trace 文件，黑洞攻擊時(shí)的trace 文件樣本如圖2。

表2 場(chǎng)景參數(shù)設(shè)置Tab 2 Setting of parameters of scene

圖1 車隊(duì)模型通信Fig 1 Communication of fleet model

圖2 Trace 文件樣本Fig 2 Samples of trace files

對(duì)VANET 網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行特征向量提取，是采用SVM 進(jìn)行入侵檢測(cè)的關(guān)鍵步驟。利用編寫的awk 程序?qū)W(wǎng)絡(luò)正常和遭受入侵時(shí)的trace文件分別進(jìn)行遍歷，間隔0.5 s 統(tǒng)計(jì)一次通信情況，可得到特征向量樣本，共有2 000 個(gè)正樣本(正常網(wǎng)絡(luò))與2 000 個(gè)負(fù)樣本(黑洞入侵)，各取50%數(shù)據(jù)組成訓(xùn)練樣本，另50%組成測(cè)試樣本。

2.2 檢測(cè)結(jié)果分析

LibSVM 軟件是臺(tái)灣大學(xué)開(kāi)發(fā)的一個(gè)用于SVM 模式識(shí)別與回歸的軟件包，提供了交互檢驗(yàn)的功能，本文利用libSVM 軟件對(duì)訓(xùn)練參數(shù)進(jìn)行優(yōu)選。

在訓(xùn)練參數(shù)組合(C，σ)中，C 為懲罰因子，σ 為形狀參數(shù)，不同的組合會(huì)訓(xùn)練產(chǎn)生不同分類性能的分類器。LibSVM 庫(kù)提供了能對(duì)訓(xùn)練參數(shù)C 和σ 做優(yōu)選的grid.py 文件，該文件利用了網(wǎng)格搜索法。利用grid.py 文件對(duì)分類器進(jìn)行訓(xùn)練參數(shù)優(yōu)選，得到最優(yōu)參數(shù)，將最優(yōu)參數(shù)輸入到分類器中，訓(xùn)練出每個(gè)節(jié)點(diǎn)的分類器。最后利用訓(xùn)練好的分類器對(duì)測(cè)試樣本進(jìn)行檢測(cè)，得到仿真結(jié)果如表3 所示。

表3 各節(jié)點(diǎn)仿真數(shù)據(jù)Tab 3 Simulation data of each node

為便于對(duì)仿真結(jié)果進(jìn)行直觀分析，利用Matlab 工具將各節(jié)點(diǎn)的檢測(cè)率和誤檢率制作成如圖3。

分析圖3 可知，1#～4#，6#～18#節(jié)點(diǎn)的檢測(cè)率幾乎為100%，平均誤檢率為11.47%，具有較好的入侵檢測(cè)性能。實(shí)際工作時(shí)，5#節(jié)點(diǎn)作為惡意節(jié)點(diǎn)是不能用于檢測(cè)的;0#和19#節(jié)點(diǎn)作為源節(jié)點(diǎn)和目的節(jié)點(diǎn)，誤檢率過(guò)高，也不適合作為檢測(cè)節(jié)點(diǎn)。

以上結(jié)果表明:在有黑洞攻擊存在的車載自組網(wǎng)中，設(shè)計(jì)CBRr_ij 作為入侵檢測(cè)特征是合適的，基于SVM 建立的黑洞攻擊檢測(cè)方法能有效解決黑洞攻擊入侵檢測(cè)的問(wèn)題。

圖3 各節(jié)點(diǎn)檢測(cè)率和誤檢率分布Fig 3 Distribution of detection rate and false detection rate of each node

3 結(jié)束語(yǔ)

本文主要研究了車隊(duì)VANET 遭受黑洞攻擊的入侵檢測(cè)問(wèn)題，提出了一種基于SVM 的入侵檢測(cè)方法。通過(guò)分析VANET 特點(diǎn)確定了核函數(shù)和SVM 分類器類型，根據(jù)通信數(shù)據(jù)傳遞規(guī)律設(shè)計(jì)了用于檢測(cè)的特征向量。通過(guò)NS－2 仿真軟件分別得到了車隊(duì)VANET 正常和遭受黑洞攻擊時(shí)的實(shí)驗(yàn)數(shù)據(jù)，在此基礎(chǔ)上，利用LibSVM 軟件對(duì)SVM 分類器進(jìn)行了訓(xùn)練和檢測(cè)，結(jié)果表明:對(duì)于非源、目的節(jié)點(diǎn)以及攻擊節(jié)點(diǎn)，本文提出的檢測(cè)方法具有較高的檢測(cè)率和較低的誤檢率，較好地適應(yīng)了基于單個(gè)節(jié)點(diǎn)通信數(shù)據(jù)判斷當(dāng)前網(wǎng)絡(luò)狀態(tài)的要求。

［1］ Deng Hongmei，Li Wei，Agrawal Dharma P.Routing security in wireless Ad Hoc networks［J］.IEEE Communication Magazine，2002，40(10):70－75.

［2］ 劉書明，劉建偉，毛 劍.一種改進(jìn)的AODV 安全路由協(xié)議［J］.中國(guó)科學(xué)院研究生院學(xué)報(bào)，2011，28(6):801－805.

［3］ Tamilselvan Latha，Sankaranarayanan V.Prevention of co－operative black hole attack in MANET［J］.Journal of Networks，2008，3(5):13－20.

［4］ 許建華，張學(xué)工，李衍達(dá).支持向量機(jī)的新發(fā)展［J］.控制與決策，2004，19(5):481－484，495.

［5］ 汪廷華，陳峻婷.核函數(shù)的選擇研究綜述［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2012，33(3):1181－1186.

［6］ 郭成報(bào).支持向量機(jī)最優(yōu)參數(shù)選取與應(yīng)用［D］.濟(jì)南:山東大學(xué)，2011:18－19.

［7］ Vladimir N Vapnik.統(tǒng)計(jì)學(xué)習(xí)理論［M］.北京:電子工業(yè)出版社，2009:42－53.