異常檢測技術已經被應用于確保解決網絡安全和網聯車輛安全性等挑戰性問題。本文提出了這個領域的先前研究的分類。本文提出的分類學有3個總體維度,包括9個類別和38個子類別。從調查中得出的主要觀察結果是:真實世界的數據集很少被使用,大多數結果來自仿真;V2V / V2I通信和車載通信不一起考慮;提議的技術很少針對基線進行評估;網聯車輛的安全沒有網絡安全那么受關注。
作者:GopiKrishnan Rajbahadur1, Andrew J. Malton2, Andrew Walenstein2 and Ahmed E.Hassan1
I.介紹
Velosa等人 [1]預測到2020年將有25億輛網聯車輛上路。車聯網是指能夠連接到網絡的車輛,即它可以與其他車輛(V2V)或基礎設施(V2I)進行通信,因而可以增強信息娛樂功能以及可以減少碰撞和避免擁塞[2]復雜的等進行復雜功能的應用。在V2V的情況下,通常建議車輛之間形成車輛自組織網絡( VANET )。
雖然網聯車輛可以增加乘客的便利性以及行駛的安全性,但它們也很容易受到網絡攻擊[3]。一些研究[4]、[5]、[6]已經發現并證明了普通車輛中可利用的漏洞。網聯車輛連接數量的增加會增加這些漏洞的脆弱性的影響和普遍程度。此外,確保網聯車輛的安全性變得至關重要,因此各國政府加大了實現功能性VANET的力度[7]。
本文對自2000年初以來的研究進行了調查和分析,即對網聯車輛的安全和網絡安全問題進行異常檢測。異常檢測是識別不遵循預期模式[ 8 ]的數據點或事件的過程。據悉,這是第一項在此背景下調查異常檢測使用的研究。我們提出了一個基于3個總體類別和9個子類別的分類法。我們還有38個維度來分類所有的調查論文。
我們調查和分析后得出以下推論:
1)大多數研究(65篇調查論文中有37篇)是在仿真數據集上進行的(65篇調查論文中只有19篇使用了真實世界的數據集)。
2)V2X和車載通信基本上沒有被一起探索(65個調查論文中的1個除外),這使得研究比較分散。
3)與網絡安全相比,網聯車輛的安全性(65份調查論文中只有21份)的研究較少。
4)與基線相比,新提出的采用異常檢測技術的方法很少(在65份調查論文中只有4篇),導致我們提出的方法的有效性量化較差。
因此,我們建議,應該更加重視建立基準和基線技術,以此來評估新技術。此外,我們還主張更多地利用真實世界的數據,而不是仿真數據。
論文的其余部分組織如下:我們在第II部分和第III部分探討相關工作和我們的調查方法,并在第Ⅳ部分提出我們的分類法。
II.相關工作
與當前的調查不同,自20世紀初以來,以前的調查分別考慮了VANET和車載網絡。例如,outernali等人[ 9 ]調查了VANETs以及Sakiz等人提出的各種入侵檢測方法。[10]全面調查了所有可能的攻擊,并提出了與VANETs相關的檢測機制。這兩項研究都沒有考慮可能的基于車載網絡的網絡安全問題。很少有研究調查車載網絡中可能存在的威脅和對策。例如Liu等人、McCune等人和Kelberger等人 [11],[12],[13]提出了車載(控制器局域網(CAN),本地互連網絡(LIN),FlexRay等)的各種威脅和可能的對策,網絡安全問題(基于VANET的問題不是考慮)。我們目前的調查是第一次在網聯車輛的背景下審查異常檢測技術。
III.調查方法
為了確保可重復性,我們的調查遵循Wholin的滾雪球方法[14]如下。
范圍定義:繼Chandola等人之后。 [8]我們將異常檢測定義為“在不符合預期行為的數據中查找模式”。形成或學習模型,然后監測數據的一致性。
收集初步研究:我們在Google學術中通過關鍵字搜索確定了一組初始論文。我們這樣做是為了避免出版商的偏見。使用的關鍵詞是: "異常檢測"、"連接車輛"、" VANET "、" V2I "、" V2V "、"入侵檢測"、"不當行為檢測"、" CAN總線"、"車內"、"安全"、"安保"。
滾雪球:通過關鍵詞搜索收集的初始集可能并不詳盡。因此,我們進行了前后滾雪球式的收集,以收集初始集引用的所有參考文獻。然后通過閱讀摘要包括或排除論文,然后考慮范圍的徹底閱讀(從而消除超出我們范圍的論文)。這個滾雪球過程被重復進行,直到沒有新的相關論文被添加。我們最終研究了有65篇論文。
雖然Wholin [14]建議聯系該領域的知名研究人員以獲取更多相關文獻,但我們忽略了這一步驟,因為鑒于該領域的多樣性,我們無法最終確定最重要的研究人員。
數據提取和分類發展:通過Wholin的調查方法[14],一旦詳盡地收集了所有相關論文,我們就記下了每篇論文的關鍵要素。我們使用了一種開放式卡片分類技術[15],收集了關鍵點,以得出我們提議的分類的維度。開放式卡片分類技術是通過參與者之間的共識將關鍵元素組織成概念組的過程。我們使用這種技術來達到我們的38個維度(底層)。然后,我們使用自下而上的方法,將這些維度分為9個子類別(中級),我們后來根據排序的多次迭代將其歸入3個總體類別(頂級)。我們只在這項研究的作者中進行了公開卡片分類的過程,盡管這個過程通常涉及更大的群體[ 15 ]。最后,我們通過標記將收集到的每篇論文都歸入我們的分類體系,通過用它們占據的每個指定維度標記每個論文。
IV.分類
上述過程產生了一個分類法(見圖1),包含3個頂級類別,9個子類別和38個維度。這些類別代表了研究領域的更高層次特征。我們的目標是確定每篇論文所針對的威脅、解決方案和研究特征。特別是,抓住了研究特點,對實驗的類型和嚴謹性進行了闡述。
反過來,每個提議的類別包括幾個子類別。威脅特征有兩個子類別,解決方案特征有4個子類別,研究特征各有3個子類別,可以更好地捕捉每個類別的特征。子類別還具有如圖1所示的尺寸,這些尺寸捕捉并突出了區分每個子類別的技術差異,如下所示:
A.威脅特征
這一類別涉及每篇調查論文所涉及的威脅。我們將其劃分為兩個正交的子類別,如下所示。
1)攻擊面:攻擊面識別網聯車輛中的潛在弱點。例如,一篇論文可能是針對基于CAN總線的攻擊(其他總線由于缺乏足夠的文獻而未被考慮),而其他一些論文則專門關注偽造車輛ECU (電子控制單元)輸出的攻擊。
2)攻擊方法:一篇論文可能涉及不止一種攻擊方法。我們特別提請注意此子類別中的黑/灰/蟲洞攻擊維度。這些是基于路由的攻擊,包括丟棄、選擇性轉發或惡意重新路由VANET[16]中的通信數據包。
B.解決方案特征
這一類別代表了為應對威脅而提議的解決方案的性質。
1)動機:異常檢測技術是用于檢測威脅還是也提供對威脅的響應?
2)部署點:網聯車輛的哪一部分是建議部署的解決方案。例如,可以在車輛的ECU中或在VANET的中央管理機構(CA)或路側單元(RSU)中部署解決方案。
3)安全目標:是否保護了信息安全(完整性,機密性,可用性)[17]和/或網聯車輛的安全性。人身安全不在這項工作的范圍之內。
4)異常檢測方法:異常可以用多種方式檢測。分類法區分了所使用的異常檢測方法。我們在這里提請注意基于規則的方法維度,它只代表從車輛操作中自動推斷規則的研究,而不是那些從專家那里引出規則的研究。
C.研究特點
雖然上述類別根據已解決的威脅和已確定的維度區分了先前的研究,但這一類別涉及研究方法和數據。
1)科學性:該子類別可記錄一篇論文是屬于理論論文,實驗論文,實證論文還是調查論文。論文可以是類型的組合。
2)數據來源:該子類別記錄論文是否使用現實數據或仿真數據。
3)數據集:該子類別記錄論文是使用VANET還是車載(CAN總線等)或自然數據[18]。如果一篇論文觀察了運行中的連接車輛,并觀察了其自然運行環境中的數據,而沒有引入任何人工數據(例如,攻擊),則認為該論文使用了自然數據。
V.從分類法中得出的推論
A.關注
我們對調查的分析中發現了兩個問題。研究VANET的論文都沒有使用真實世界的數據。在我們調查和分類的所有論文中,VANET中甚至沒有一篇論文(在研究VANET數據的35/65篇論文中)使用真實數據(所有研究都是在仿真數據集上進行的(37/65篇論文))。我們可以從表I中看到這一點,觀察到在研究特征類別中沒有VANET和真實世界維度上都有標記的論文。總體而言,在65篇被調查的論文中,只有28篇使用真實世界的數據集(大部分在車載網絡研究中)。
我們所提出的基于異常檢測的解決方案很少針對基線進行評估。從表I中的經驗維度(EMP)可以看出,只有4篇被調查的論文(65篇調查論文中有4篇)評估了針對基線的擬議解決方案。我們預計建立一個量化改進的基線將是一個領域成熟的可喜跡象[79]。
B.差距
這個研究領域還有三個明顯的空白有待填補。
除了65篇調查論文中的1篇論文(Levi等[47])外,沒有其他論文通過同時分析車載和VANET數據來考慮保護網聯車輛:即使來自VANET或車載網絡的故障/惡意通信也可能影響網聯車輛的安全性。例如,如果網聯車輛的車載網絡受到危害,則可能開始將故障數據發送到VANET,而VANET又可能危及其他車輛。
與確保網絡安全相比,車聯網安全性受到的關注較少。在許多情況下,安全漏洞可能危及網聯車輛的安全性,反之亦然。因此,即使在沒有安全問題的情況下也確保網聯車輛的安全性是重要的。只有少數被調查的論文(65篇被調查論文中的13篇)也考慮應對已發現的威脅。大多數論文(65篇調查論文中的59篇)僅用于在異常檢測的幫助下監測威脅。
VI.結論
為了提高連接車輛的安全性,本文對異常檢測進行了研究。異常檢測研究的廣泛使用和零散的發表導致了大量文獻的出現,其中存在許多空白和問題。為了找出這些差距和關注點,并對研究領域做了一個全面的了解,我們對65份相關論文進行了調查,在調查期間開發了一種新的分類法,并根據分類法對調查的論文進行了分類,以找出差距。
該調查表明:
大部分研究是在仿真數據上進行的(65份調查論文中有37篇);車載網絡數據和VANET數據很少被一起考慮來用于保護網聯車輛(65份調查論文中除1份外); 網聯車輛安全研究沒有得到網絡安全研究那么多關注(在65篇調查論文中只有13篇);而且,許多研究沒有對照基線評估提出新的技術(在65篇調查論文中只有4篇這樣做),這可能導致難以量化的結果。
因此,我們敦促研究人員解決這些發現的問題,并定期用我們提議的分類學來分析研究,以了解研究的現狀及其演變。
