王 鵬 都一博 李玉峰

1 中原工學(xué)院 鄭州 450007

2 網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室 南京 210008

3 上海大學(xué) 上海 200444

引言

隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展，云計(jì)算、人工智能、車聯(lián)網(wǎng)通信(V2X)等先進(jìn)技術(shù)正在汽車中得到越來越廣泛的應(yīng)用，這使得聯(lián)網(wǎng)汽車更加智能，為人們提供舒適的服務(wù)并保障駕駛員和乘客的安全。然而，隨著汽車變得越來越連接，打破了汽車現(xiàn)有的閉環(huán)狀態(tài)，為車載電子系統(tǒng)帶來了潛在的信息安全問題。當(dāng)汽車開始變成車輪上的聯(lián)網(wǎng)計(jì)算機(jī)時，車載網(wǎng)絡(luò)安全問題成為了一個日益嚴(yán)重的問題[1]。

近年來，汽車信息安全事件不斷發(fā)生。2021年，黑客利用中繼裝置放大車主汽車鑰匙的信號，入侵解鎖并偷走了伯明翰路上的奔馳C級汽車；2022年，奇安信星輿實(shí)驗(yàn)室Kevin2600發(fā)現(xiàn)本田汽車鑰匙存在設(shè)計(jì)缺陷，無線信號被重放[2]；同年，蔚來汽車遭受了一起勒索攻擊事件，導(dǎo)致大量用戶數(shù)據(jù)泄露；2023年，包括豐田、奔馳、寶馬等全球20多家知名車企，由于應(yīng)用程序接口的漏洞，導(dǎo)致車主個人信息泄露[3]，暴露了用戶的敏感數(shù)據(jù)。這些事件無不顯示針對網(wǎng)聯(lián)汽車的攻擊不僅危及個人隱私、造成經(jīng)濟(jì)損失，還可能危害人們的生命安全，甚至對國家的公共安全造成威脅，因此，迫切需要采取措施以保障車輛的網(wǎng)絡(luò)安全。

現(xiàn)有的車載網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)之初缺乏信息安全考慮[4]，沒有提供內(nèi)置的身份驗(yàn)證和加密設(shè)施來保護(hù)系統(tǒng)免受潛在的安全攻擊；此外CAN總線協(xié)議廣播消息的性質(zhì)也為攻擊者提供了機(jī)會；汽車網(wǎng)聯(lián)化也將更多的設(shè)備如藍(lán)牙、GPS、傳感器等接入到車載網(wǎng)絡(luò)中，無形中增加了更多的攻擊入口，這些因素都導(dǎo)致網(wǎng)聯(lián)汽車容易受到攻擊損害。更改協(xié)議可能需要對車輛的硬件和軟件進(jìn)行較大的改動，而異常檢測技術(shù)可以在保持CAN總線協(xié)議不變的情況下進(jìn)行部署，及時發(fā)現(xiàn)攻擊后使其無害。因此，研究車載網(wǎng)絡(luò)異常檢測技術(shù)對提高車載網(wǎng)絡(luò)安全性有很大幫助。

1 車載網(wǎng)絡(luò)概述及其安全分析

智能網(wǎng)聯(lián)汽車的興起為我們帶來便利和智能化，也帶來了車輛網(wǎng)絡(luò)安全新挑戰(zhàn)。高度互聯(lián)性使其面臨廣泛、復(fù)雜的攻擊面，惡意攻擊者可操縱車載網(wǎng)絡(luò)和遠(yuǎn)程控制系統(tǒng)，威脅乘客安全和交通系統(tǒng)穩(wěn)定。因此，了解其架構(gòu)、攻擊面和攻擊方式，對后續(xù)采取有效防御措施尤為關(guān)鍵。

1.1 智能網(wǎng)聯(lián)汽車系統(tǒng)架構(gòu)

智能網(wǎng)聯(lián)汽車是一種基于互聯(lián)網(wǎng)和通信技術(shù)的新型汽車，通過使用大量ECU控制單元、傳感器、執(zhí)行器相互協(xié)同工作來實(shí)現(xiàn)車身控制、智能駕駛等各類功能[5]，智能網(wǎng)聯(lián)汽車系統(tǒng)架構(gòu)如圖1所示。

圖1 智能網(wǎng)聯(lián)汽車系統(tǒng)架構(gòu)

智能網(wǎng)聯(lián)汽車通過車內(nèi)網(wǎng)絡(luò)與不同類型的ECU、遠(yuǎn)程通信和車載娛樂系統(tǒng)和車載診斷系統(tǒng)(OBD-II)連接，以自動廣播消息。車內(nèi)有不同的通信協(xié)議，如CAN、FlexRay、媒體導(dǎo)向系統(tǒng)傳輸(MOST)等。在這些協(xié)議中，CAN是汽車網(wǎng)絡(luò)應(yīng)用最為廣泛的一種，負(fù)責(zé)不同系統(tǒng)功能的整體行為，如轉(zhuǎn)向、發(fā)動機(jī)管理、制動系統(tǒng)和導(dǎo)航等。智能網(wǎng)聯(lián)汽車融合了車輛自身的感知、計(jì)算和決策能力，通過與周圍環(huán)境的無線通信和數(shù)據(jù)交換，實(shí)現(xiàn)車輛之間的協(xié)同工作。

1.2 智能網(wǎng)聯(lián)汽車攻擊面分析

智能網(wǎng)聯(lián)汽車作為高度互聯(lián)的移動終端，面臨著廣泛的安全攻擊面。車載網(wǎng)絡(luò)攻擊面涵蓋了車輛中各種組件、接口和通信渠道等存在潛在安全風(fēng)險(xiǎn)和攻擊威脅的部分。以下是一些常見的車載網(wǎng)絡(luò)攻擊面。

1)無線通信：包括車輛與外部網(wǎng)絡(luò)連接的無線通信方式，如藍(lán)牙、Wi-Fi、蜂窩網(wǎng)絡(luò)等。攻擊者通過這些無線通信渠道入侵車輛系統(tǒng)，進(jìn)行遠(yuǎn)程控制、信息竊取或干擾。

2)CAN總線：CAN總線是車輛內(nèi)部系統(tǒng)之間的主要通信網(wǎng)絡(luò)。攻擊者通過物理接入或遠(yuǎn)程方式入侵CAN總線，進(jìn)行惡意指令注入、篡改車輛數(shù)據(jù)或控制車輛的各種功能。

3)車載娛樂系統(tǒng)：車載娛樂系統(tǒng)通常與車輛的其他系統(tǒng)存在連接，攻擊者通過娛樂系統(tǒng)的漏洞或弱點(diǎn)入侵車輛系統(tǒng)，控制其他關(guān)鍵功能，如剎車、加速等。

4)外部存儲設(shè)備接口：車輛通常具有USB接口、SD卡插槽等外部存儲設(shè)備接口，攻擊者可以通過惡意軟件或病毒感染存儲設(shè)備，然后將其插入車輛系統(tǒng)，導(dǎo)致惡意代碼傳播或攻擊。

5)車載診斷系統(tǒng)(OBD-II)：用于進(jìn)行車輛維護(hù)和故障診斷。攻擊者可以通過物理訪問或遠(yuǎn)程入侵診斷接口，操控車輛系統(tǒng)，執(zhí)行惡意操作。

1.3 常見攻擊方式

針對智能網(wǎng)聯(lián)汽車終端，攻擊者主要通過物理侵入或遠(yuǎn)程侵入的方式進(jìn)行攻擊[6]，利用DoS、重放、女巫攻擊等手段，針對車載總線和系統(tǒng)發(fā)動攻擊，以獲取車輛控制權(quán)和竊取車輛信息。物理攻擊針對接口和CAN總線進(jìn)行，遠(yuǎn)程攻擊包括遠(yuǎn)程控制和對無線通信的攻擊等。典型攻擊方式與常見的防御方法見表1。

表1 典型攻擊方式及常見防御方法

2 車載網(wǎng)絡(luò)異常檢測技術(shù)研究進(jìn)展

2.1 車載網(wǎng)絡(luò)異常檢測技術(shù)分析

異常檢測技術(shù)是保護(hù)車載網(wǎng)絡(luò)安全的有效手段，它用于尋找異常情況，并在第一時間發(fā)現(xiàn)攻擊并使其無害。針對智能網(wǎng)聯(lián)汽車車載網(wǎng)絡(luò)異常檢測技術(shù)，按照技術(shù)發(fā)展歷程分為基于設(shè)備指紋、參數(shù)監(jiān)測、信息論和基于人工智能以及混合方法五個方面。如圖2所示。

圖2 車載網(wǎng)絡(luò)異常檢測技術(shù)

基于設(shè)備指紋、參數(shù)監(jiān)測、信息論的方法屬于基于規(guī)則或特征的檢測方法，檢測準(zhǔn)確度高，但只匹配特征庫里的攻擊，對于未知的攻擊，基本無能為力。隨著人工智能的發(fā)展，檢測方法變得智能化，借助機(jī)器學(xué)習(xí)(ML)、深度學(xué)習(xí)(DL)等技術(shù)，能在一定程度上檢測未知攻擊，相對于前述方法，人工智能方法具備顯著優(yōu)勢且備受關(guān)注。近幾年，深度學(xué)習(xí)在各行業(yè)大熱，越來越多的深度學(xué)習(xí)技術(shù)被應(yīng)用于車載網(wǎng)絡(luò)并取得較好的效果，是目前的研究熱點(diǎn)。

然而，這些方法仍是各自獨(dú)立的研究途徑，為實(shí)現(xiàn)更優(yōu)異的檢測效果，更需善用技術(shù)的互補(bǔ)性，巧妙融合各種方法，取長補(bǔ)短，例如集成學(xué)習(xí)的協(xié)同效應(yīng)以及結(jié)合多種技術(shù)優(yōu)勢的混合方法，從而更好地應(yīng)對多樣化的攻擊威脅。將各種方法的優(yōu)勢和局限性進(jìn)行比較如表2所示。后面對這幾種方法的研究展開詳細(xì)介紹。

表2 車載網(wǎng)絡(luò)異常檢測技術(shù)優(yōu)勢及局限性比較

2.2 車載網(wǎng)絡(luò)異常檢測技術(shù)研究

2.2.1 基于設(shè)備指紋的異常檢測技術(shù)

基于設(shè)備指紋的車載網(wǎng)絡(luò)異常檢測技術(shù)是一種有效的安全防護(hù)方法。該技術(shù)通過對車載網(wǎng)絡(luò)中設(shè)備的唯一特征進(jìn)行提取和分析，識別出異常行為并進(jìn)行及時響應(yīng)。

研究人員在車載網(wǎng)絡(luò)安全領(lǐng)域提出許多基于設(shè)備指紋的異常檢測技術(shù)。其中，Song等人[13]通過提取網(wǎng)絡(luò)信號特征并進(jìn)行統(tǒng)計(jì)分析，實(shí)現(xiàn)了對入侵行為的檢測。另外，Lee等人[14]則利用CAN消息的返回時延和時間間隔等作為設(shè)備指紋信息，并取得了較好的檢測效果。VoltageIDS[15]利用CAN信號作為每個ECU的獨(dú)特指紋，考慮欺騙和總線斷開攻擊，通過觀察兩個ECU之間發(fā)送的相同信號來檢測電氣故障攻擊。

基于設(shè)備指紋的車載網(wǎng)絡(luò)異常入侵檢測技術(shù)具有精確性、實(shí)時性和適應(yīng)性等優(yōu)點(diǎn)，能夠有效地識別和響應(yīng)入侵行為。然而，該技術(shù)存在特征提取復(fù)雜、且物理特征易受到如設(shè)備溫度和老化等影響而變化的問題。

2.2.2 基于參數(shù)監(jiān)測的異常檢測技術(shù)

基于參數(shù)監(jiān)測的異常檢測技術(shù)是通過監(jiān)測網(wǎng)絡(luò)和消息級別的參數(shù)，如車輛的車速、加速度、剎車狀態(tài)、轉(zhuǎn)向角度等各種參數(shù)來檢測異常行為或攻擊跡象。

相關(guān)參數(shù)監(jiān)測解決方案如下。李中偉等人[16]針對總線脫離攻擊所引發(fā)的車載CAN總線通信安全問題，提出了一種車載CAN總線脫離攻擊入侵檢測算法。WINDS[17]通過連續(xù)小波變換的設(shè)計(jì)來檢測CAN總線上的異常情況，利用小波變換精確地確定頻率分量在時間軸上的位置，在攻擊立即發(fā)生的情況下實(shí)現(xiàn)更高的檢測率。

基于參數(shù)監(jiān)測的IDS具有較低的計(jì)算要求，為了提高檢測的準(zhǔn)確性和魯棒性，可以考慮結(jié)合其他參數(shù)，以綜合評估車載網(wǎng)絡(luò)的安全狀態(tài)，并及時發(fā)現(xiàn)潛在的入侵行為。但容易受到噪聲影響。

2.2.3 基于信息論的異常檢測技術(shù)

信息論是一種數(shù)學(xué)處理通信系統(tǒng)中傳輸信息的概念、規(guī)則的方法。其中，熵是信息論中的關(guān)鍵概念之一，基于熵的異常檢測算法基于其統(tǒng)計(jì)熵水平來表征一組數(shù)據(jù)的預(yù)期行為[18]，用于衡量無序度和與隨機(jī)變量相關(guān)的不確定性。

基于信息論的一些解決方案描述如下。張海春等人[19]在分析了基于信息熵的車載CAN總線異常檢測機(jī)制的基礎(chǔ)上，提出一種相對熵的檢測方法，彌補(bǔ)了前者無法檢測出異常細(xì)節(jié)信息的缺陷。譚凱等人[20]針對CAN總線通信安全問題，提出了基于報(bào)文位反轉(zhuǎn)特征和條件隨機(jī)場的CAN總線協(xié)議字段劃分算法，通過使用模糊測試技術(shù)來監(jiān)視網(wǎng)絡(luò)的異常狀態(tài)并發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，正確有效地檢測出大多數(shù)異常行為。文獻(xiàn)[21]中,研究者使用Bloom濾波器結(jié)合報(bào)文標(biāo)識符和部分?jǐn)?shù)據(jù)字段的信息，實(shí)現(xiàn)了對車載網(wǎng)絡(luò)中報(bào)文周期性的檢測，可有效發(fā)現(xiàn)潛在的重放或偽造攻擊。

基于信息熵的車載網(wǎng)絡(luò)異常檢測可以有效檢測重放、泛洪等攻擊，但不具備良好的穩(wěn)健性，易受汽車狀態(tài)變化造成的信息熵抖動影響。另外，需要消耗大量的計(jì)算資源，特別是在大規(guī)模車載網(wǎng)絡(luò)中，可能會面臨實(shí)時性要求難以滿足的問題。

2.2.4 基于人工智能的異常檢測技術(shù)

1)傳統(tǒng)機(jī)器學(xué)習(xí)

傳統(tǒng)的基于機(jī)器學(xué)習(xí)的異常檢測技術(shù)，主要通過經(jīng)驗(yàn)來自動改進(jìn)算法，旨在通過構(gòu)建合適的特征工程和選擇適當(dāng)?shù)姆诸愃惴▉頇z測車載網(wǎng)絡(luò)中的異常行為，可以應(yīng)用以理解CAN網(wǎng)絡(luò)數(shù)據(jù)的模式，從而學(xué)習(xí)系統(tǒng)的預(yù)期行為。

L.Yang等人[22]使用CAN入侵OTID數(shù)據(jù)集，決策樹、隨機(jī)森林、額外樹(ET)和XGBoost模型，并與KNN和SVM進(jìn)行比較，結(jié)果表明，DT、RF和ET方法比KNN和SVM方法更有效，具有99.99%的準(zhǔn)確性。文獻(xiàn)[23]中提到一個基于VGG的模型，與其他作者在先前研究中使用的傳統(tǒng)方法KNN、SVM和RF相比，假陽性率降低，準(zhǔn)確率提高到96%。在文獻(xiàn)[24]中，OTID數(shù)據(jù)集與SVM、DT、MLP和RF一起使用。RF是性能最好的分類算法，準(zhǔn)確率為98.5%。

基于ML的IDS通過審查大量數(shù)據(jù)發(fā)現(xiàn)人類未能明顯觀察到的趨勢和模式，能夠檢測未知攻擊。此外，隨著更多的數(shù)據(jù)被輸入到模型中，該模型不斷提高準(zhǔn)確性和效率。缺點(diǎn)是計(jì)算要求高。

2)深度學(xué)習(xí)

通過構(gòu)建和訓(xùn)練深層神經(jīng)網(wǎng)絡(luò)從大數(shù)據(jù)集中來提取和學(xué)習(xí)數(shù)據(jù)的高級特征，從而實(shí)現(xiàn)復(fù)雜的模式識別和分類任務(wù)。

基于深度學(xué)習(xí)方法的入侵檢測研究方面，Song等人[25]設(shè)計(jì)了一種基于深度卷積神經(jīng)網(wǎng)絡(luò)的車輛網(wǎng)絡(luò)入侵檢測系統(tǒng)，并構(gòu)建了CAN ID二維矩陣數(shù)據(jù)作為輸入，以訓(xùn)練DCNN分類器。Ho等人[26]提出一種利用卷積神經(jīng)網(wǎng)絡(luò)檢測已知和創(chuàng)新網(wǎng)絡(luò)攻擊的新入侵檢測模型。Lo等人[27]通過使用CNN和LSTM網(wǎng)絡(luò)自動提取時空特征并證明自動提取的頻譜和時間特征在表征網(wǎng)絡(luò)流量方面比人工特征工程表現(xiàn)更好。

深度學(xué)習(xí)方法與傳統(tǒng)ML相比避免了復(fù)雜的特征提取步驟，且可以通過網(wǎng)絡(luò)層將輸入的高維特征進(jìn)行多維抽象變換，發(fā)現(xiàn)更深層次的潛在特征，但是深度學(xué)習(xí)方法需要海量數(shù)據(jù)和高算力，訓(xùn)練時間長，泛化能力差，而且它像一個黑匣子，可解釋性差。

3)集成學(xué)習(xí)

集成學(xué)習(xí)方法是通過將多個弱分類器組合成一個強(qiáng)分類器來改善異常檢測的效果，以產(chǎn)生最優(yōu)預(yù)測結(jié)果的技術(shù)。此外，集成學(xué)習(xí)還可以通過投票、加權(quán)或組合等方式來整合不同分類器的輸出，提供更可靠的異常檢測結(jié)果。

Khoei等人[28]研究了基于裝袋的、基于增強(qiáng)的和基于堆疊的三種不同的集成學(xué)習(xí)技術(shù)的性能。Shi等人[29]提出基于集成學(xué)習(xí)的極端樹網(wǎng)絡(luò)入侵檢測框架，通過改進(jìn)極值樹減少集成訓(xùn)練時間。Mowla等[30]提出基于動態(tài)投票的車載網(wǎng)絡(luò)可解釋方法，利用隨機(jī)森林和動態(tài)投票技術(shù)，通過特征和模型探索提供具有可解釋性的魯棒解決方案。

通過集成學(xué)習(xí)，IDS能夠綜合多個分類器的優(yōu)勢，提高檢測率、降低誤報(bào)率，可以實(shí)現(xiàn)所需的準(zhǔn)確性和魯棒性。但是，多個模型集成一定程度上增加了模型復(fù)雜度，反應(yīng)時間變長、模型體積增大，降低在車輛上的可用性。

2.2.5 基于混合方法的異常檢測技術(shù)

基于混合方法的異常檢測技術(shù)是將多種不同的技術(shù)和方法結(jié)合起來，以增強(qiáng)檢測能力和提高準(zhǔn)確性，和集成方法相似，但它一般按照某種規(guī)則進(jìn)行分層，先后使用互補(bǔ)的技術(shù)。它綜合利用傳統(tǒng)的規(guī)則基礎(chǔ)方法和基于機(jī)器學(xué)習(xí)的方法，以及其他相關(guān)技術(shù)，以應(yīng)對各種復(fù)雜的安全威脅和攻擊。

相關(guān)文獻(xiàn)如下：趙振堂等人[31]針對車內(nèi)多種入侵行為難以檢測的問題進(jìn)行分析，提出了基于SVDD的流量異常檢測方法以及基于HTM網(wǎng)絡(luò)的數(shù)據(jù)異常檢測方法。Wisanwanichthan等人[32]提出了一種基于樸素貝葉斯和SVM的雙層混合網(wǎng)絡(luò)入侵檢測方法,研究了不同攻擊類別的共同特征,在檢測罕見攻擊方面表現(xiàn)出出色的性能。

基于混合的方法結(jié)合兩種或幾種方法的優(yōu)勢，從不同的點(diǎn)出發(fā)，各層有各層的工作，可以一定程度上節(jié)省時間，增加準(zhǔn)確性，設(shè)計(jì)和部署混合方法的IDS面臨一些挑戰(zhàn)，如訓(xùn)練數(shù)據(jù)的獲取和標(biāo)記、算法選擇和參數(shù)調(diào)優(yōu)、系統(tǒng)的可擴(kuò)展性和實(shí)時性等方面的考慮。

3 基于集成學(xué)習(xí)的車載網(wǎng)絡(luò)異常檢測方法

車載網(wǎng)絡(luò)易受不同類型的攻擊，對各種攻擊檢測不同ML模型的預(yù)測性能差異很大，我們往往只能得到多個有偏好的模型，車載網(wǎng)絡(luò)的異常檢測存在單一模型檢測不全面的問題，集成學(xué)習(xí)即組合多個弱模型以期望得到一個更好更全面的強(qiáng)模型。因此本節(jié)提出了一種基于Stacking集成的異常檢測方法。

3.1 Stacking集成學(xué)習(xí)方法

集成學(xué)習(xí)通過構(gòu)建并結(jié)合多個學(xué)習(xí)器來完成學(xué)習(xí)任務(wù)，以獲得比單一學(xué)習(xí)器顯著優(yōu)越的泛化性能。Stacking是一種常見的集成方法，由兩層組成，先從初始數(shù)據(jù)集訓(xùn)練出初級學(xué)習(xí)器，然后“生成”一個新的數(shù)據(jù)集用于訓(xùn)練次級學(xué)習(xí)器，在這個新數(shù)據(jù)集中，初級學(xué)習(xí)器的輸出被當(dāng)作樣例輸入特征，而初始樣本的標(biāo)記仍被當(dāng)作樣例標(biāo)記。Stacking思想的原理示意如圖3所示。

圖3 Stacking思想原理圖

在Stacking方法中，每個基模型選取任意一種機(jī)器學(xué)習(xí)模型，比如KNN(K近鄰)、NB(樸素貝葉斯)、DT(決策樹)、SVM、邏輯回歸等。并將第一層訓(xùn)練出最好的模型作為第二層集成的元分類器。經(jīng)驗(yàn)上來說，各個基模型之間差異性越顯著，集成效果越好。

3.2 實(shí)驗(yàn)設(shè)計(jì)與實(shí)現(xiàn)

系統(tǒng)使用Python3.9實(shí)現(xiàn)，使用包含最新攻擊場景的標(biāo)準(zhǔn)IDS數(shù)據(jù)CICIDS2017[34]，包含正常、Dos攻擊、PortScan攻擊、BruteForce攻擊等七類數(shù)據(jù)，該數(shù)據(jù)集共77種特征。選取了部分?jǐn)?shù)據(jù)樣本進(jìn)行實(shí)驗(yàn)。

實(shí)驗(yàn)選擇KNN，NB，RF(隨機(jī)森林)模型作為基礎(chǔ)分類器，隨機(jī)森林作為Stacking集成的元分類器進(jìn)行多分類任務(wù)，流程如圖4所示。

圖4 實(shí)驗(yàn)流程圖

在模型訓(xùn)練之前，對數(shù)據(jù)進(jìn)行歸一化處理、缺失值填入、標(biāo)簽編碼等預(yù)處理，然后由于某些異常數(shù)據(jù)數(shù)量較少，使用過采樣(SMOTE)方法平衡數(shù)據(jù)集，數(shù)據(jù)分布樣本變化如表3所示，實(shí)驗(yàn)選用準(zhǔn)確率、檢測率、召回率、F1分?jǐn)?shù)和預(yù)測時間作為評價指標(biāo)。

表3 數(shù)據(jù)樣本情況

3.3 實(shí)驗(yàn)結(jié)果與分析

通過實(shí)驗(yàn)，生成如圖5所示的混淆矩陣，顯示了三個基礎(chǔ)分類器和集成模型在測試集上的預(yù)測結(jié)果。分析各模型針對各種攻擊的F1分?jǐn)?shù)如表4所示，集成模型在各種攻擊檢測的F1分?jǐn)?shù)均取得最優(yōu)。

表4 各攻擊的F1分?jǐn)?shù)

圖5 NB、KNN、RF、Stacking集成混淆矩陣

將訓(xùn)練的模型性能與單一模型的效果進(jìn)行比較，如表5所示，基于NB算法的準(zhǔn)確率最低為66.346%，RF分類器在三者之中取勝作為Stacking集成的元分類器，將三種模型進(jìn)行疊加后，預(yù)測時間雖然比最快的NB模型慢一點(diǎn)，但準(zhǔn)確率、檢測率、召回率和F1分?jǐn)?shù)均達(dá)到最優(yōu)，相較于最優(yōu)的RF模型準(zhǔn)確率從99.541%提高到99.602%，即可以更好檢測到所有訓(xùn)練好的攻擊。

表5 CICIDS2017數(shù)據(jù)集上的性能評估

4 車載網(wǎng)絡(luò)異常檢測技術(shù)發(fā)展趨勢

隨著汽車智能化的高速發(fā)展，車載網(wǎng)絡(luò)異常檢測技術(shù)的重要性與日俱增。然而，日益復(fù)雜和多樣化的安全威脅使得車載網(wǎng)絡(luò)異常檢測面臨著一系列挑戰(zhàn)。在保障車輛和乘客安全的同時，車載網(wǎng)絡(luò)異常檢測需具備全面、實(shí)時、準(zhǔn)確和高效等特點(diǎn)，以應(yīng)對不斷演化的威脅和攻擊手段。文章對當(dāng)前車載網(wǎng)絡(luò)異常檢測技術(shù)面臨的挑戰(zhàn)進(jìn)行深入分析，展望了其未來可能的發(fā)展方向。

4.1 強(qiáng)化對未知攻擊的檢測

隨著攻擊者不斷變化和創(chuàng)新攻擊方式，傳統(tǒng)的檢測方法很難有效應(yīng)對未知攻擊。為提高車載網(wǎng)絡(luò)的安全性，需要開發(fā)更智能和自適應(yīng)的檢測方法，以覆蓋更多的攻擊場景。未知攻擊的檢測可以借助機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等先進(jìn)技術(shù)。通過使用大規(guī)模數(shù)據(jù)集和實(shí)時學(xué)習(xí)算法，讓檢測系統(tǒng)不斷學(xué)習(xí)和適應(yīng)新的攻擊方式，從而提高檢測的準(zhǔn)確性和泛化能力。同時，可以采用行為分析的方法，對車輛和乘客的正常行為進(jìn)行建模，當(dāng)出現(xiàn)異常行為時，及時發(fā)出警報(bào)。

4.2 實(shí)時性和低延遲

車載網(wǎng)絡(luò)異常檢測系統(tǒng)需要具備及時發(fā)現(xiàn)和響應(yīng)異常行為的能力，這是確保車輛安全的重要要求。然而，在實(shí)際應(yīng)用中，車輛面臨著多種潛在的攻擊和異常行為，處理大規(guī)模數(shù)據(jù)可能導(dǎo)致計(jì)算和存儲的負(fù)擔(dān)增加，從而影響檢測系統(tǒng)的實(shí)時性能。對此，研究人員可以針對車載網(wǎng)絡(luò)的特點(diǎn)，通過采用數(shù)據(jù)流處理、分布式計(jì)算、輕量級算法和模型以及硬件優(yōu)化等方法，提升系統(tǒng)的實(shí)時性，確保及時檢測和響應(yīng)車載網(wǎng)絡(luò)的異常行為。這將為車輛提供更可靠的安全保障，保護(hù)乘客和車輛的安全。

4.3 輕量化和資源優(yōu)化

一些先進(jìn)的異常檢測方法，如深度學(xué)習(xí)模型，通常具有較大的規(guī)模和計(jì)算復(fù)雜度。然而，車載網(wǎng)絡(luò)環(huán)境受資源限制，為解決這一問題，可以采用模型壓縮和優(yōu)化技術(shù)，減小模型的規(guī)模和計(jì)算復(fù)雜度，同時保持檢測的準(zhǔn)確性。一種常見的方法是使用剪枝和量化技術(shù)，通過去除冗余參數(shù)和降低精度來減小模型的大小。此外，還可以采用輕量級的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，如MobileNet和EfficientNet等，這些網(wǎng)絡(luò)結(jié)構(gòu)具有較少的參數(shù)和計(jì)算復(fù)雜度，適合在車載網(wǎng)絡(luò)中進(jìn)行部署。此外，還可以考慮利用硬件加速器，如GPU和FPGA等，以提高車載網(wǎng)絡(luò)異常檢測系統(tǒng)的計(jì)算性能和能效。

4.4 多模態(tài)數(shù)據(jù)融合

智能網(wǎng)聯(lián)汽車產(chǎn)生的數(shù)據(jù)具有多模態(tài)性，包括傳感器數(shù)據(jù)、通信數(shù)據(jù)、地理位置數(shù)據(jù)等多種類型的數(shù)據(jù)[33]。目前的研究大多基于單一模態(tài)的數(shù)據(jù)，忽視了多模態(tài)數(shù)據(jù)之間的關(guān)聯(lián)和相互影響。因此，如何綜合利用多種數(shù)據(jù)源進(jìn)行異常檢測，并通過數(shù)據(jù)融合和綜合分析來提高異常檢測的效果，成為未來車載網(wǎng)絡(luò)異常檢測技術(shù)的重要研究方向之一。

研究人員可以探索融合不同模態(tài)數(shù)據(jù)的方法，以獲取更全面的異常行為信息；還可以探索跨模態(tài)數(shù)據(jù)的遷移學(xué)習(xí)方法，通過在一個模態(tài)上學(xué)習(xí)到的知識，來輔助其他模態(tài)數(shù)據(jù)的異常檢測。減少在每個模態(tài)上進(jìn)行訓(xùn)練的工作量，并利用已有的知識來提升異常檢測的性能。這將幫助我們更好地理解車輛行為和交通環(huán)境，提升異常檢測的準(zhǔn)確性和魯棒性，為智能網(wǎng)聯(lián)汽車的安全和可靠性提供更強(qiáng)大的保障。

5 結(jié)語

智能網(wǎng)聯(lián)汽車作為車聯(lián)網(wǎng)朝著“云-管-端”架構(gòu)發(fā)展下的終端節(jié)點(diǎn)，面臨著日益嚴(yán)重的信息安全威脅。在此背景下，文章首先介紹了智能網(wǎng)聯(lián)汽車中車載架構(gòu)，隨后總結(jié)了當(dāng)前車載網(wǎng)絡(luò)安全問題，對比分析了車載網(wǎng)絡(luò)異常檢測技術(shù)現(xiàn)狀。最后總結(jié)了當(dāng)前車載網(wǎng)絡(luò)異常檢測技術(shù)面臨的挑戰(zhàn)并展望未來的發(fā)展方向。