基礎(chǔ)設(shè)施到車輛(I2V)信息在自動駕駛中的作用

在能見度有限的高密度交通情況下，使用基礎(chǔ)設(shè)施到車輛(I2V)信息可以為自動駕駛帶來巨大好處，因為車輛的傳感能力可以通過外部傳感器增強。在這項研究中，介紹了一種方法來提高車輛在十字路口的自我意識，以應對使用I2V通信時最大的可預見挑戰(zhàn)之一:網(wǎng)絡(luò)安全。本文介紹的異常檢測算法，運行在自動駕駛車輛上，評估I2V通信在多種網(wǎng)絡(luò)安全攻擊下的健康狀況。該分析是在模擬環(huán)境中進行的，使用Secredas項目（跨領(lǐng)域可靠的自動化系統(tǒng)的網(wǎng)絡(luò)安全）中的網(wǎng)絡(luò)攻擊場景，并提供了對車輛在面對不同類型和幅度的I2V網(wǎng)絡(luò)攻擊以及傳感器冗余丟失時的限制的深入了解。結(jié)果表明，自動駕駛汽車可以有效地檢測和緩解注入的異常，使其能夠更安全、更舒適地做出反應，并在交叉路口保持正確的目標跟蹤。

I.簡介

聯(lián)網(wǎng)和自動駕駛正在成為更安全、更高效、可持續(xù)和舒適的道路交通系統(tǒng)的解決方案，[1]。汽車制造商將不同的駕駛輔助或自主功能帶到道路上，增加了連接的可能性，如車對車（V2V）、車對基礎(chǔ)設(shè)施（V2I、I2V）或車對一切（V2X、X2V）。它們帶來了功能和性能上的好處，但也帶來了網(wǎng)絡(luò)安全和隱私方面的風險和擔憂：自動駕駛汽車是物聯(lián)網(wǎng)(IoT)中的一種事務(wù)，它可能會導致危險情況，并收集大量數(shù)據(jù)。

通過X2V通信，現(xiàn)在可以在不處于特定物理范圍或使用預先安裝的硬件的情況下侵入車輛，[2]。缺乏網(wǎng)絡(luò)安全會導致不安全的情況，并將造成用戶缺乏信任和帶有負面情緒。這就要求改進互聯(lián)和自動駕駛的安全和保障設(shè)計概念，能夠檢測到虛假和篡改的X2V信息，并作出主動和安全的反應。

異常，在ISO 26262標準中被定義為偏離預期的情況，例如基于需求、規(guī)格、設(shè)計文件、用戶文件、標準或經(jīng)驗[3]，可以有多種形式和模式。

更具體地說，網(wǎng)絡(luò)異常（即入侵企圖或威脅）被用來訪問和操縱信息或使系統(tǒng)不可靠或無法使用。檢測網(wǎng)絡(luò)異常是指實時檢測I2V流量中不符合預期正常行為的錯誤模式和異常現(xiàn)象，[4]。I2V通信是非常有益的，特別是在交叉路口的情況下，路側(cè)單元（RSU）被用來通信觀察到的易受傷害的道路使用者（VRU）的位置，提高跟蹤范圍和檢測對象的狀態(tài)估計精度，[5]。

目前已經(jīng)開發(fā)了多種異常檢測方法，可應用于I2V網(wǎng)絡(luò)攻擊，其中許多方法側(cè)重于有限場景下單一和已知類型的異常，或考慮合作駕駛中另一輛領(lǐng)先車輛[6]的狀態(tài)。例如，[7]中使用了粒子篩選和最大似然法，[8]中使用成對不一致圖比較傳感器輸出，[9]使用卷積神經(jīng)網(wǎng)絡(luò)和卡爾曼篩選器之間的組合，[10]使用長短期記憶（LSTM）神經(jīng)網(wǎng)絡(luò)。

此外，一些研究已經(jīng)介紹了網(wǎng)絡(luò)攻擊通?？梢灶A期的異常類型，[4]，[9]和可能的攻擊者行為[11]，但還沒有介紹可以通過I2V通信處理交叉路口周圍多種類型攻擊的方法，如圖1所示。也不知道傳感器冗余如何有助于確保車輛的安全運行，并如何用于識別異常情況。

為了應對這一挑戰(zhàn)，本文提出了一個擴展的卡爾曼濾波器（EKF）來檢測來自I2V通信的車內(nèi)網(wǎng)絡(luò)攻擊所導致的物體跟蹤異常情況。我們選擇這種算法是為了從易受傷害的道路使用者的領(lǐng)域知識中獲益，并且因為EKF是一種成熟的異常檢測方法，[9]。

與之前的工作不同，我們針對自動駕駛汽車可能遇到的交叉口場景，在多種類型的攻擊上開發(fā)并驗證了我們的方法，討論了傳感器冗余的重要性，這取決于不同的異常情況。本文的組織結(jié)構(gòu)如下。

第二節(jié)介紹了自動駕駛汽車的功能結(jié)構(gòu)和考慮的攻擊類型，第三節(jié)介紹了異常檢測問題、場景和開發(fā)的仿真環(huán)境。第四節(jié)和第五節(jié)介紹了擴展的卡爾曼濾波器和由該設(shè)計產(chǎn)生的仿真結(jié)果。最后，第六節(jié)介紹了結(jié)論和對未來工作的建議。

II.前言

在自動駕駛(AD)車輛中，內(nèi)部和可能的外部傳感器用于監(jiān)控環(huán)境。系統(tǒng)架構(gòu)和異常類型對于開發(fā)檢測這些異常的可靠方法非常重要。本節(jié)介紹了所使用的車輛功能結(jié)構(gòu)、現(xiàn)有異常類型的概述以及與通過I2V進行網(wǎng)絡(luò)攻擊有關(guān)的選擇。

A.傳感器融合和物體追蹤

圖2描述了自動車輛的功能結(jié)構(gòu)，其中世界建模包含自我車輛狀態(tài)估計功能、物體檢測和跟蹤功能以及道路建模功能，如車道和空的可駕駛空間模型。

圖2. AD應用程序的功能結(jié)構(gòu)，突出了用于I2V異常檢測的組件（基于[12], [13]）。

車輛環(huán)境中的動態(tài)物體由車載傳感器（即雷達、激光雷達、照相機）跟蹤，為車輛提供相對測量。此外，在圖1的場景中，連接到RSU的攝像機使用I2V通信提供絕對測量。這些傳感器測量值，連同自我車輛狀態(tài)估計，被一個模塊，即目標跟蹤器，融合為一個單一的物體狀態(tài)估計。

B.異常情況類型

異常的傳感器行為可以有不同的形式，這給檢測偏離穩(wěn)健行為帶來了不同的挑戰(zhàn)。除了惡意攻擊外，這些異?？赡軄碜岳珏e誤的傳感器校準、有限的傳感器能力和環(huán)境影響，[9]。在[14]中介紹了可能的傳感器信號異常的類別，其中三個主要類別被解釋為重要的并在實際部署中觀察到的，即短, 噪音 和持續(xù)。更詳細地說，作者在[9]中區(qū)分了四種類型的異常，即偏差、逐漸漂移、瞬間和缺失。

偏差異常意味著與正常的傳感器讀數(shù)相比，異常信號有一個時間上的恒定誤差。逐漸漂移是指在一段時間內(nèi)，觀察到的數(shù)據(jù)逐漸漂移（增加或減少），有或沒有偏差。漂移的周期越長，相對于觀察對象的真實狀態(tài)而言，特定的信號就越危險，越不具代表性。

瞬間異常意味著在兩個連續(xù)的傳感器讀數(shù)之間觀察到的數(shù)據(jù)發(fā)生了急劇的、無法解釋的變化，而缺失異常僅僅指在一個時間段內(nèi)缺乏可用的物體或信號數(shù)據(jù)。[6]中的作者認為，額外的異常情況可以是噪音，其中信號被擾亂（例如相機圖像中亮度或顏色信息的隨機變化），或突發(fā)，其中信號在短時間內(nèi)被擾亂（例如開車經(jīng)過一個坑洞）。

為了確保自我車輛在I2V網(wǎng)絡(luò)攻擊下的安全運行，如圖1所示，檢測那些異常情況是至關(guān)重要的，這些異常情況會提供錯誤的信息，從而導致自動車輛做出錯誤的決定(例如，與接近的行人或騎自行車的人相撞)。如[15]中的概述所示，網(wǎng)絡(luò)攻擊也可以誘發(fā)其他的異常情況（如車內(nèi)通信），但本研究的重點是來自基礎(chǔ)設(shè)施到車輛的攻擊，這可能導致不安全的情況。

因此，這項工作特別關(guān)注瞬間、偏差和漸進式漂移異常，聲稱例如噪音和突發(fā)異?？梢员环诸悶閺娏业臅r間性瞬間、偏差和/或漂移異常，而漏報異常將由目標追蹤器內(nèi)部處理。這些類型的異常構(gòu)成了最高的威脅，對合作的自動駕駛汽車來說是最危險的，[16][17]。

由于在所考慮的情況下，惡意數(shù)據(jù)來自于一個RSU，這項工作的重點將是檢測傳感器的異常情況（即任何嵌入或附著在車輛上的傳感器，以及位于環(huán)境中的傳感器）。這里不討論來自融合狀態(tài)輸出的異常，因為這是另一種類型的問題。

III.問題描述

雖然I2V可以提高AD車輛在視野范圍和傳感器冗余方面的物體探測能力，但為傳感器融合而交流物體信息確實帶來了網(wǎng)絡(luò)安全威脅，因為數(shù)據(jù)有可能被欺騙或篡改。使用這種被篡改的數(shù)據(jù)進行傳感器融合可能會導致錯誤的物體位置或速度估計，并因此可能導致安全關(guān)鍵的情況。

當在融合狀態(tài)估計中檢測到異常時(在圖2中的世界建模塊中)，可以警告駕駛員感知模型可能受到損害，或者AD-系統(tǒng)可以將車輛帶入安全狀態(tài)。然而，無法避免狀態(tài)估計的完整性受損。通過單獨監(jiān)控傳感器的異常情況，可以確定它們的健康狀況，并在傳感器融合算法中暫時忽略或永久禁用受損傳感器。

A.系統(tǒng)描述

所考慮的自動駕駛汽車配備了專用的汽車傳感器（雷達、照相機、激光雷達、GPS），以及用于軟件和通信的專用單元。RSU是位于十字路口一側(cè)的監(jiān)控系統(tǒng)，例如，檢測VRU的攝像頭。該通信是通過集合感知消息(CPM)接收器和對象解析器完成的，該接收器將相對攝像機對象檢測并將其轉(zhuǎn)換為全局參考系，以便與車輛的參考系相關(guān)聯(lián)。該解析器還將信息調(diào)整為Target Tracker軟件的接口。

B.情景及其變化

在所考慮的場景中，一輛AD車輛正在接近十字路口，并從被黑的RSU接收惡意信息，這是本研究中考慮的唯一受到攻擊影響的傳感器。車輛檢測到攻擊，并通過忽略目標跟蹤器中的故障外部傳感器信息來減輕攻擊。在這種情況下，RSU傳輸VRU(行人或自行車手)的錯誤位置，如圖3所示。變化的例子包括：

圖3. 異常RSU數(shù)據(jù)的情景示例。

(1) 在十字路口的一側(cè)有一個VRU，正在等待過馬路。被黑客攻擊的RSU傳達的信息是VRU在十字路口（圖3中的情況A），可能導致AD車輛不必要地在十字路口停車。這可能會導致，例如，即將到來的交通在自主車輛后面的其他危險情況；

(2)一個VRU正在穿過十字路口（圖3中的情況B），被黑的RSU傳達出VRU位于十字路口的一側(cè)，車輛故意不提醒經(jīng)過的VRU，這可能導致碰撞；

(3) 一個VRU要么在十字路口的一側(cè)，要么在十字路口的不同位置。RSU將關(guān)于VRU的航向或速度的錯誤信息發(fā)送給自動車輛，這可能會誤導車輛的預測或意圖分類模型。

C.仿真環(huán)境

圖4.所示基于gazebo的模擬場景。

此外，為了使模擬盡可能逼真，對車載傳感器和路邊攝像頭都引入了傳感器噪音。按照汽車物體跟蹤傳感器的典型傳感器噪聲，噪聲水平，σ，是獨立的零均值白噪聲，其標準偏差如下（來自[21]，作為正態(tài)分布的3σ值使用）：

其中計數(shù)器值j e {1, 2, 3, 4}表示信號的傳感器來源，分別為雷達、激光雷達、照相機和RSU。為便于記述，本文其余部分均使用這個計數(shù)器j，其含義完全相同。此外， 下標 x, y, vx , vy 分別指物體的縱向和橫向位置和速度。

D.異常注入

為不同異常注入的誤差定義為

對于偏差異常和

IV.車載網(wǎng)絡(luò)威脅異常檢測

利用第三節(jié)的模擬數(shù)據(jù)、圖1中描述的場景以及可用的車載傳感器和RSU測量值，可以進行故障診斷。

A.多傳感器EKF異常檢測算法

檢測傳感器異常行為的算法遵循圖2所示的架構(gòu)，更詳細的視圖見圖5。異常檢測器是為檢測任何傳感器狀態(tài)的異常而設(shè)計的。一旦檢測到異常情況，只要異常情況持續(xù)存在，受影響的傳感器狀態(tài)在目標追蹤器中就會被忽略。

該信息可用于忽略來自目標跟蹤器傳感器融合的測量，以減輕某種狀態(tài)的融合估計中的異常。為了檢測上述故障類型，擴展卡爾曼濾波器（EKF）與基于C2準則的測試相結(jié)合，用于殘差評估[22，第11.2.2節(jié)]。EKF算法使用一個全向運動模型，狀態(tài)X = [x, y, θ, v, vθ , a] 其中x, y表示縱向和橫向位置，θ表示目標相對于自動駕駛汽車的方向。

圖5. 異常檢測算法的示意圖以及它與目標追蹤器的互動方式。

我們用v和a表示結(jié)果的平面速度和加速度， vθ 是航向的第一時間導數(shù)。這些結(jié)果分量可以用速度 vx , vy 和加速度ax , ay 表示如下：

在模型中，假設(shè)有一個恒定的加速度a和恒定的偏航率 vθ 。這個假設(shè)是由于我們在場景中考慮了一個VRU（例如，一個行人或一個騎自行車的人），因此可以假設(shè)低動態(tài)的行為。這個VRU的模型可以表示為：

其中zk是一個獨立的零均值白噪聲的矢量信號，測量矩陣H的定義為：

圖6所示。在時間t = 45秒的RSU的yk測量中引入了 exB = 1.28m偏置故障的EKF殘差示例。

EKF的融合狀態(tài)預測值 X?k]k - 1 及其協(xié)方差矩陣可以表示為：

其中 Pk,k - 1是狀態(tài)預測協(xié)方差矩陣，Ak 是f (Xk )的協(xié)方差 and Q是過程噪聲協(xié)方差矩陣。用于更新當前時間步的內(nèi)部狀態(tài)估計的卡爾曼增益的計算方法是：

其中，Hk代表線性化狀態(tài)測量矩陣， R代表各傳感器j的傳感器噪聲協(xié)方差矩陣，Kk代表卡爾曼增益。最后，ε )是一組取決于某個傳感器測量是否存在故障的指示信號，這一點將在殘差評估中進一步解釋。對于下一個時間步，產(chǎn)生的殘差、狀態(tài)估計和它的協(xié)方差矩陣由以下公式預測：

其中 rk表示創(chuàng)新殘余信號。注意這個殘差 rk被用作故障檢測指標，也就是說，殘差信號被用來檢測一個測量是否與預測的測量偏差太大。EKF算法到此結(jié)束。圖6給出了該算法產(chǎn)生的殘差的說明性例子。在此，在RSU中注入偏置異常，可以觀察到RSU殘差對該偏置非常敏感。如前所述，EKF產(chǎn)生一個殘差信號（10），它給出了關(guān)于預測測量的偏差信息，該信息是根據(jù)預測狀態(tài) X?k]k - 1和測量模型與測量值 uk計算的。 需要進行下一層剩余評估。

殘差評估是使用基于 c2準則的檢測器完成的，其形式為：

其中算符。表示逐點Hadamard乘積。 由此產(chǎn)生的信號向量r r?k 的每個條目都與預先確定的正值閾值向量α (j) 進行比較，其大小等于每個傳感器j每次測量的測量狀態(tài)數(shù)。隨后，給定一個預定的時間跨度n，使用指標函數(shù)εk給出一個適當?shù)姆磻?/p>

其中i選擇測量狀態(tài)的索引。檢測到的故障的反應直接出現(xiàn)在方程（8）和（9）中，在更新步驟（11）和（12）中，受影響的測量狀態(tài)不再被考慮在內(nèi)。然而，受影響的測量在（10）中被考慮到，以檢測故障是否仍然存在。

V.結(jié)果分析

如第三節(jié)所述，為了衡量異常檢測算法的性能，對不同大小和持續(xù)時間的異常情況進行了模擬。對于瞬時異常，在0.1 m ~ 10 m范圍內(nèi)，按照10個樣本的對數(shù)分布選擇異常大小exI 。瞬間異常的持續(xù)時間為d=0.05秒。這導致在瞬間異常的情況下，總共有10次測試來評估算法。

對于偏差異常，按照0.1米和3米之間的5個樣本的對數(shù)分布，選擇異常大小exB 。選擇一個對數(shù)分布來確定異常檢測器可以標記哪個數(shù)量級的故障大小。此外，異常持續(xù)時間有如下變化：d = [0.25, 0.5, 1.0, 2.5] s。這導致了在有偏差故障的情況下，總共有20次測試來評估算法。對于漂移異常，通過遵循0.1米/秒和3米/秒之間的5個樣本的對數(shù)分布，再次選擇一個異常大小exD。此外，異常持續(xù)時間以以下變化再次變化:d = [0.25, 0.5, 1.0, 2.5] s。這導致在漂移故障的情況下，總共進行了20次測試來評估算法。

A.統(tǒng)計結(jié)果

為了測試故障檢測算法的性能和可靠性，之前介紹的測試在仿真環(huán)境中在線應用。初始狀態(tài)協(xié)方差矩陣和狀態(tài)選擇為P0=I, X?0=0. 測量噪聲協(xié)方差矩陣R從（8）中選擇，直接替換（1）中定義的測量噪聲的平方。來自（7）的過程噪聲協(xié)方差矩陣Q被選為 Q =0.001 ·I. 殘余評估范圍（13）被選為n =30，最后評估閾值（14）被選為所有位置狀態(tài) αx= αy = αθ = 0.18 ，所有速度狀態(tài) αv北= αv_ =αve = 0.7。這些閾值是以噪聲的大小為起點，反復確定的。 使用這些參數(shù)和初始條件，結(jié)果在圖7中給出。這種類型的圖被解釋為如下；故障是以一定的幅度（Y軸）和一定的持續(xù)時間（X軸）注入一定的類型（偏壓、漂移或瞬間）。如果檢測到注入的故障（藍星），它被標記為（紅圈）。如果在沒有注入故障的傳感器上檢測到故障，則被標記為假陽性（綠圈）。使用這種圖形表示法，觀察實際故障、是否被檢測到以及其他傳感器上是否發(fā)生任何誤報就變得簡單明了。

圖7. 故障檢測性能和假陽性穩(wěn)健性的結(jié)果，72%真陽性，6%假陽性。

這些結(jié)果表明，故障檢測算法能夠檢測出72%的注入故障，其中在6%的測試案例中，在不同的傳感器測量狀態(tài)下也檢測出了假陽性。 未檢測到的故障要么是最大值太低（閾值α的影響，防止殘差上的噪聲被歸類為故障），要么是故障持續(xù)時間太短（故障水平線n的限制效應）。在高振幅的故障中檢測到的假陽性是由綜合的內(nèi)部估計值 X?k引起的，在它被忽略之前，由于故障的測量被推高了。這種現(xiàn)象導致內(nèi)部估計和健康傳感器之間的差異，因此有可能將它們歸類為故障。

B.失去傳感器冗余時的案例分析

第V-A節(jié)的結(jié)果表明，該算法能夠很好地檢測出超過某個不確定性閾值的故障。 這個由α決定的閾值可以設(shè)置得更低，但這是不可取的，因為這將損害魯棒性，因為殘余的噪聲可能誘發(fā)假陽性。 然而，這也表明，該算法開始檢測高故障振幅的假陽性。由于EKF的糾錯效應以及殘差評估的估計范圍n，故障測量不是瞬間就能檢測出來的。因此，有缺陷的測量被用來在一定時間內(nèi)更新內(nèi)部狀態(tài)估計。

對于一個足夠高的故障，狀態(tài)估計暫時增加到這樣的程度，以至于非故障測量被認為是錯誤的，因為它們與內(nèi)部狀態(tài)估計的差異。預計在失去傳感器冗余的情況下，這種影響會進一步擴大。為了測試這一假設(shè)，在沒有激光雷達和雷達傳感器測量的情況下，使用與V-A節(jié)相同的初始條件和參數(shù)，對矩陣進行重新測試。

圖8. 在沒有雷達和激光雷達冗余的情況下，故障檢測性能和可靠性的結(jié)果，68%的真陽性，22%的假陽性。

這一分析的結(jié)果顯示在圖8中。在這里，人們可以觀察到假陽性檢測的累積總和在增加。這可以解釋為只有兩個傳感器來構(gòu)建內(nèi)部狀態(tài)估計值X?k ,因此X?k 和健康測量值之間的誤差也會增加。然而，與完全冗余的情況相比，真陽性的數(shù)量只減少了4%，這表明在失去冗余的情況下，該算法對真陽性檢測的穩(wěn)健性。

C.討論

按照這里的定義，從外部傳感器檢測異常并不能提供信息，也不能確定故障的原因（即故障分類）。 這里的主要興趣是檢測故障，并作為一種緩解行動，不再將受影響的狀態(tài)納入傳感器融合中。 這取決于功能的安全關(guān)鍵性，是否應該讓車輛的駕駛員知道故障的原因。

外部觀察到的物體，只是用車輛的傳感器和道路基礎(chǔ)設(shè)施的傳感器來觀察，而它的意圖和實際運動是未知的（這個外部物體上沒有傳感器）。這意味著，為了有一個可靠的故障檢測算法，需要一定程度的傳感器冗余，這是該算法的一個限制。 通過使用所有這些傳感器來預測外部觀察物體的相同內(nèi)部狀態(tài)，內(nèi)部狀態(tài)的估計可以被一個具有足夠幅度的故障推離其真實軌跡。盡管如此，通過用預測或已知的外部觀察對象的意圖來增強模型，有可能規(guī)避這個問題。

VI.結(jié)論和未來工作

這項工作的貢獻有兩個方面。這里介紹的異常檢測算法提供了從自動駕駛車輛的角度，在啟用I2V的道路交叉口檢測不同類型攻擊的可能性。

結(jié)果表明，大多數(shù)相關(guān)的和有潛在危險的異常情況都可以被檢測出來，特別是在故障幅度有限且存在車內(nèi)傳感器冗余的情況下。此外，結(jié)果顯示了擁有傳感器冗余對物體追蹤的好處，以及不存在冗余時的局限性。這意味著自動駕駛汽車即使在面對I2V網(wǎng)絡(luò)攻擊時也能保持安全和舒適的運行。這種用于檢測I2V通信中的攻擊的方法，也可用于檢測車內(nèi)傳感器的異常情況，使用車內(nèi)和I2V傳感器數(shù)據(jù)的融合。

未來的工作包括擴展到更多的場景，研究對網(wǎng)絡(luò)效應（延遲、包裹掉落）的魯棒性，納入更多的I2V信號（如交通燈信息），以及將EKF異常檢測方法與車輛控制緩解策略相結(jié)合，以應對可以檢測到異常的情況。 此外，可以考慮用數(shù)據(jù)驅(qū)動的方法進行擴展，以提高大故障振幅情況下的假陽性和假陰性率。

審核編輯：劉清