羅鵬，王布宏，李騰耀

空軍工程大學(xué) 信息與導(dǎo)航學(xué)院，西安 710077

空中交通管理(ATM)是管理空域、飛行器和航線的重要系統(tǒng)。它利用通信、導(dǎo)航、監(jiān)視等技術(shù),保障和維護(hù)空中交通安全、秩序和暢通[1]。目前，空管監(jiān)視技術(shù)主要包含一次雷達(dá)(PSR)、二次雷達(dá)(SSR)、廣域多點(diǎn)定位(Wide Area Multilateration，WAM)、廣播式自動(dòng)相關(guān)監(jiān)視(ADS-B)等監(jiān)視技術(shù)[2]。PSR通過(guò)對(duì)雷達(dá)發(fā)射信號(hào)和反射信號(hào)的分析計(jì)算，可獲得探測(cè)目標(biāo)的位置和速度等狀態(tài)信息，但是PSR獲取的狀態(tài)信息誤差較大。SSR通過(guò)詢問(wèn)、應(yīng)答機(jī)制獲取目標(biāo)的狀態(tài)信息，但在缺乏雷達(dá)保障的區(qū)域很難獲取飛行器的狀態(tài)信息，且SSR的監(jiān)視精度不高。WAM通過(guò)到達(dá)時(shí)間差(TDOA)對(duì)目標(biāo)飛行器的位置和速度完成測(cè)算，但是WAM需要部署多個(gè)地面接收站，且對(duì)地面接收站的部署位置有一定要求。ADS-B作為新一代空管監(jiān)視技術(shù)，比雷達(dá)監(jiān)視技術(shù)監(jiān)視精度高、監(jiān)視范圍廣；且相較于WAM，雖然ADS-B的定位精度略低，但由于ADS-B采用了廣播機(jī)制，使得監(jiān)視信息易在鄰近飛行器和地面站之間完成信息共享，因而全球大部分商用飛機(jī)都安裝了ADS-B設(shè)備[3-4]。ADS-B通過(guò)衛(wèi)星導(dǎo)航系統(tǒng)(GNSS)和其他機(jī)載設(shè)備獲取位置、速度和航向等信息，然后由ADS-B發(fā)射器廣播這些信息，其他裝配有ADS-B接收設(shè)備的飛行器和地面基站可以實(shí)時(shí)接收這些信息。但是，ADS-B以明文格式廣播發(fā)送數(shù)據(jù)，協(xié)議缺少消息認(rèn)證和加密機(jī)制，因而其安全性易受挑戰(zhàn)。

文獻(xiàn)[5-7]討論了ADS-B易遭受的竊聽(tīng)、干擾、消息篡改、消息刪除和消息注入等攻擊，并對(duì)攻擊的網(wǎng)絡(luò)分層、難易等級(jí)和影響程度進(jìn)行了分析。針對(duì)ADS-B的安全漏洞，目前已經(jīng)提出了多種解決方法。第1類(lèi)方案將加密技術(shù)用于ADS-B[8-10]，但是此類(lèi)方案不易實(shí)施，原因是與標(biāo)準(zhǔn)化的ADS-B協(xié)議不兼容。第2類(lèi)方案將位置驗(yàn)證用于ADS-B數(shù)據(jù)的合法性判定[11-13]。文獻(xiàn)[14]運(yùn)用到達(dá)時(shí)間差(TDOA)和到達(dá)時(shí)間和(TSOA)2個(gè)量測(cè)定位飛行器位置，和ADS-B解析后的位置數(shù)據(jù)進(jìn)行比較，實(shí)現(xiàn)ADS-B合法性判定，但是這需要多個(gè)基站協(xié)同工作；并且當(dāng)多個(gè)基站接收ADS-B數(shù)據(jù)時(shí)間不同步時(shí)，會(huì)影響到 ADS-B數(shù)據(jù)合法性的判定。第3類(lèi)方案將機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的方案用于ADS-B數(shù)據(jù)的異常檢測(cè)，異常檢測(cè)是ADS-B研究的一個(gè)關(guān)鍵問(wèn)題。文獻(xiàn)[15-16]使用深度學(xué)習(xí)的seq2seq模型重構(gòu)ADS-B數(shù)據(jù)，對(duì)ADS-B數(shù)據(jù)中存在的位置和速度等異常，利用重構(gòu)誤差進(jìn)行檢測(cè)，但這種方法沒(méi)有考慮飛行器機(jī)動(dòng)狀態(tài)改變所帶來(lái)的ADS-B數(shù)據(jù)變化，因而這種方案的適應(yīng)性不高。文獻(xiàn)[17]將機(jī)器學(xué)習(xí)的支持向量數(shù)據(jù)描述(SVDD)用于ADS-B數(shù)據(jù)的異常檢測(cè)，但是此方法需要同步的SSR數(shù)據(jù)和ADS-B數(shù)據(jù)做差，數(shù)據(jù)的時(shí)間同步問(wèn)題不易解決，因而難以真正化。

本文針對(duì)ADS-B易遭受的隨機(jī)位置偏移攻擊、高度偏差攻擊、重放攻擊和拒絕服務(wù)(DOS)等攻擊，構(gòu)建了BiGRU-SVDD異常檢測(cè)模型。利用BiGRU神經(jīng)網(wǎng)絡(luò)對(duì)ADS-B數(shù)據(jù)進(jìn)行預(yù)測(cè)，得到ADS-B數(shù)據(jù)預(yù)測(cè)值；為了解決ADS-B數(shù)據(jù)攻擊檢測(cè)閾值自適應(yīng)問(wèn)題，將ADS-B預(yù)測(cè)值和實(shí)際值作差，把差值輸入SVDD超球體二次訓(xùn)練，得到的攻擊檢測(cè)閾值具有良好的自適應(yīng)性，提升了ADS-B異常數(shù)據(jù)的檢測(cè)性能。并且，選取了合適的滑動(dòng)窗口長(zhǎng)度，降低了BiGRU神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時(shí)長(zhǎng)。

1 準(zhǔn)備知識(shí)

1.1 雙向門(mén)控循環(huán)單元(BiGRU)

RNN(Recurrent Neural Network)是深度學(xué)習(xí)中用于處理序列數(shù)據(jù)的神經(jīng)網(wǎng)絡(luò)，目前已經(jīng)在故障預(yù)測(cè)和機(jī)器翻譯等領(lǐng)域有所運(yùn)用[18-19]。但是，RNN在參數(shù)訓(xùn)練時(shí)，存在梯度消失現(xiàn)象，因而RNN不適合處理長(zhǎng)序列問(wèn)題。GRU(Gated Recurrent Unit)是RNN的一種優(yōu)化類(lèi)型，它通過(guò)門(mén)控機(jī)制緩解了RNN的梯度消失問(wèn)題,因而具有學(xué)習(xí)長(zhǎng)序列中存在的長(zhǎng)期依賴關(guān)系的能力[20]。但單向GRU只是從前往后學(xué)習(xí)序列信息，然而在有些問(wèn)題中，當(dāng)前時(shí)刻的輸出不僅和上文序列信息相關(guān)，還和下文序列信息也有關(guān)[21]。例如，在預(yù)測(cè)一句話中缺失的單詞時(shí)，就需要同時(shí)結(jié)合上文和下文內(nèi)容進(jìn)行預(yù)測(cè)。BiGRU就是一種能處理這類(lèi)問(wèn)題的神經(jīng)網(wǎng)絡(luò)。BiGRU由2個(gè)信息傳遞方向相反的GRU循環(huán)層構(gòu)成，其中第1層按時(shí)間順序傳遞信息(順時(shí)間循環(huán)層)，第2層按時(shí)間逆序傳遞信息(逆時(shí)間循環(huán)層)。BiGRU的基本思想是：通過(guò)順時(shí)間循環(huán)層得到正向隱藏狀態(tài)，通過(guò)逆時(shí)間循環(huán)層得到反向隱藏狀態(tài)，再將正向隱藏狀態(tài)和反向隱藏狀態(tài)拼接，得到BiGRU最終輸出的隱藏狀態(tài)。

1.2 支持向量數(shù)據(jù)描述(SVDD)

SVDD是文獻(xiàn)[22]提出的一種基于邊界數(shù)據(jù)的單分類(lèi)機(jī)器學(xué)習(xí)方法。SVDD的主要思想是：通過(guò)訓(xùn)練目標(biāo)樣本，SVDD能創(chuàng)建一個(gè)超球體分類(lèi)器，此超球體分類(lèi)器幾乎包含全部訓(xùn)練樣本，并且它的體積越小越好。分類(lèi)器可以表示為

(1)

式中：R為半徑；a為球心；ξi為松弛因子，ξi≥0；C為懲罰系數(shù)，0

圖1為SVDD超球體分類(lèi)器示意圖。如果測(cè)試樣本離球心a的距離小于R，則測(cè)試樣本是正常樣本；若測(cè)試樣本離球心a的距離等于R，則測(cè)試樣本是支持向量；若測(cè)試樣本離球心a的距離大于R，則測(cè)試樣本是異常樣本。

圖1 SVDD分類(lèi)器Fig.1 SVDD classifier

2 異常檢測(cè)模型構(gòu)建

2.1 異常檢測(cè)門(mén)限

用時(shí)間序列X={X1,X2,…,XM}表示模型接收到的原始ADS-B數(shù)據(jù)，M為序列的長(zhǎng)度。Xk的表達(dá)式為

Xk=[x1,x2,…,xd]T1≤k≤M

(2)

Xk為一個(gè)d維列向量，每個(gè)維度表示ADS-B數(shù)據(jù)的一個(gè)特征，數(shù)據(jù)特征包括緯度、經(jīng)度、高度、識(shí)別號(hào)、航向等信息。本文要解決的問(wèn)題是如何檢測(cè)出ADS-B時(shí)間序列數(shù)據(jù)中的異常數(shù)據(jù)。為了解決此問(wèn)題，需要建立ADS-B異常數(shù)據(jù)的檢測(cè)門(mén)限。圖2為異常檢測(cè)門(mén)限建立的流程圖。

圖2 異常數(shù)據(jù)檢測(cè)門(mén)限Fig.2 Detection threshold of anomaly data

在訓(xùn)練階段，首先對(duì)原始ADS-B時(shí)間序列X={X1,X2,…,XM}進(jìn)行特征數(shù)據(jù)提取以及數(shù)據(jù)歸一化處理，得到歸一化后的序列數(shù)據(jù)Y={Y1,Y2,…,YM}；接著，利用BiGRU神經(jīng)網(wǎng)絡(luò)對(duì)Y進(jìn)行預(yù)測(cè)，可以預(yù)測(cè)下一時(shí)刻且在正常范圍內(nèi)的ADS-B預(yù)測(cè)序列P={P1,P2,…,PM}；然后，將預(yù)測(cè)序列和實(shí)際序列做差

Dk=Pk-Yk1≤k≤M

(3)

將差值序列D={D1,D2,…，DM}放入SVDD訓(xùn)練，可以求出 SVDD超球體的球心a和半徑R，此半徑R就是異常檢測(cè)的閾值。

在測(cè)試階段，輸入測(cè)試數(shù)據(jù)Xk，經(jīng)過(guò)求解后，如果其差值Dk距球心a的距離小于或等于閾值R，則Xk是正常數(shù)據(jù)；如果其差值Dk距球心a的距離大于閾值R，則Xk是異常數(shù)據(jù)。

2.2 數(shù)據(jù)預(yù)處理和特征提取

由于接收的ADS-B數(shù)據(jù)存在一定丟包率，故丟包特別多的ADS-B航班數(shù)據(jù)不能選取為訓(xùn)練樣本，否則會(huì)降低BiGRU神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)的準(zhǔn)確性，進(jìn)而降低模型的檢測(cè)率。對(duì)一架次航班缺失的少量ADS-B數(shù)據(jù)，本文采用插值法進(jìn)行補(bǔ)齊，插值法具體為：首先計(jì)算缺失值前后數(shù)據(jù)的斜率，再根據(jù)斜率補(bǔ)齊缺失的ADS-B數(shù)據(jù)。

ADS-B原始數(shù)據(jù)中包含了緯度、經(jīng)度、高度、速度和航向等信息，也包含了24位的循環(huán)冗余校驗(yàn)碼(CRC)，但是CRC主要是校驗(yàn)ADS-B通信鏈路上數(shù)字傳輸過(guò)程中出現(xiàn)的錯(cuò)誤，不能檢測(cè)攻擊者精心構(gòu)造的ADS-B異常數(shù)據(jù)。

為了檢測(cè)ADS-B異常數(shù)據(jù)，本文選取緯度、經(jīng)度、高度、速度和航向?yàn)樘卣鲾?shù)據(jù)。用時(shí)間序列H={H1,H2,…,Hk,…,HM}表示提取的特征數(shù)據(jù)，序列H中每個(gè)元素均是一個(gè)五維列向量，5個(gè)維度表示的屬性分別為緯度、經(jīng)度、高度、速度和航向。為了消除奇異樣本數(shù)據(jù)導(dǎo)致的不良影響，同時(shí)為了減短模型的訓(xùn)練時(shí)長(zhǎng)、使訓(xùn)練過(guò)程盡快收斂，本文對(duì)ADS-B數(shù)據(jù)進(jìn)行歸一化處理，歸一化的公式為

(4)

式中：Hk為H的第k個(gè)元素；Hk為五維列向量；上標(biāo)i表示第i個(gè)維度；min(Hi)為Hi的最小值；max(Hi)為Hi的最大值。

2.3 基于BiGRU神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)模型

ADS-B數(shù)據(jù)具有前后時(shí)間相關(guān)性，是基于時(shí)間的一系列數(shù)據(jù)，它任一時(shí)刻的緯度、經(jīng)度、高度、速度和航向等信息是與歷史時(shí)刻和未來(lái)時(shí)刻的ADS-B數(shù)據(jù)相關(guān)的。為了實(shí)現(xiàn)對(duì)ADS-B時(shí)序數(shù)據(jù)的預(yù)測(cè)，本文設(shè)計(jì)了一種基于BiGRU神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)結(jié)構(gòu)，如圖3所示。

圖3 BiGRU預(yù)測(cè)結(jié)構(gòu)Fig.3 Prediction structure of BiGRU

兩層BiGRU本層采用2層的BiGRU網(wǎng)絡(luò)結(jié)構(gòu)。利用BiGRU能捕獲ADS-B數(shù)據(jù)的時(shí)間相關(guān)性，并且能解決梯度消失問(wèn)題。第1層BiGRU1的神經(jīng)元個(gè)數(shù)為60；第2層BiGRU2的神經(jīng)元個(gè)數(shù)為40。2層BiGRU之間設(shè)置Dropout層，Dropout層是為了避免訓(xùn)練的過(guò)擬合，提高預(yù)測(cè)模型的泛化能力。

全連接層全連接層能通過(guò)權(quán)重矩陣提取以前全部的局部特征，能夠?qū)⒕W(wǎng)絡(luò)的輸出值映射成目標(biāo)輸出值。本文采用了3層的全連接層結(jié)構(gòu)，第1層全連接層的神經(jīng)元個(gè)數(shù)為20，第2層全連接層的神經(jīng)元個(gè)數(shù)為10，第3層全連接層的神經(jīng)元個(gè)數(shù)為5。

輸出層輸出層通過(guò)線性激活函數(shù)輸出xk+1預(yù)測(cè)結(jié)果。

2.4 利用SVDD算法求解

為了解決ADS-B數(shù)據(jù)攻擊檢測(cè)閾值的自適應(yīng)問(wèn)題，本文將ADS-B預(yù)測(cè)序列和實(shí)際序列做差，得到差值序列為Dk=Pk-Yk；將差值序列D輸入SVDD程序求解，可以求得SVDD超球體的半徑R和球心a。其中，半徑R就是異常檢測(cè)的閾值。為了使樣本在特征空間中線性可分，需要利用核函數(shù)將樣本從原始空間映射到一個(gè)更高維的特征空間[23-24]。本文采用高斯核函數(shù)，將樣本從原始空間映射到一個(gè)合適的特征空間，高斯核函數(shù)的表達(dá)式為

根據(jù)監(jiān)測(cè)軟件接收到的數(shù)據(jù)包個(gè)數(shù)分析可知,固定周期傳輸網(wǎng)絡(luò)中平均丟包率為2.5%。變周期數(shù)據(jù)傳輸網(wǎng)絡(luò)中丟包率為0.43%,與固定周期傳輸網(wǎng)絡(luò)對(duì)比,傳輸成功率高,網(wǎng)絡(luò)穩(wěn)定性更好。多個(gè)檢測(cè)器節(jié)點(diǎn)固定周期發(fā)送數(shù)據(jù)增加了同一時(shí)刻數(shù)據(jù)傳輸中網(wǎng)絡(luò)堵塞的概率。而變周期數(shù)據(jù)傳輸網(wǎng)絡(luò)中,由于對(duì)采集到的環(huán)境參數(shù)前后兩次求差與設(shè)定閾值作比較,當(dāng)大于所設(shè)定閾值時(shí)進(jìn)行數(shù)據(jù)的發(fā)送,減少了大量重復(fù)數(shù)據(jù)的傳輸,網(wǎng)絡(luò)負(fù)荷變小,數(shù)據(jù)堵塞概率降低,丟包率減小,確保了網(wǎng)絡(luò)穩(wěn)定性。

(5)

式中：Di和Dj為輸入SVDD的任意2個(gè)樣本；s為高斯核參數(shù)。

2.5 模型評(píng)價(jià)指標(biāo)

表1描述了樣本分類(lèi)結(jié)果。TP指實(shí)際正常樣本被正確判定為正常樣本的數(shù)量，F(xiàn)N指實(shí)際正常樣本被錯(cuò)誤判定為異常樣本的數(shù)量，F(xiàn)P指實(shí)際異常樣本被錯(cuò)誤判定為正常樣本的數(shù)量，TN指實(shí)際異常樣本被正確判定為異常樣本的數(shù)量。本文采用檢測(cè)率(De)、召回率(Rc)和準(zhǔn)確率(Acc)作為評(píng)價(jià)指標(biāo)。檢測(cè)率De是指被模型正確判定為異常樣本的數(shù)量占真實(shí)異常樣本數(shù)的比例，召回率Rc是指被正確判定為正常樣本的數(shù)量占真實(shí)正常樣本數(shù)的比例，準(zhǔn)確率Acc是指被正確判定的樣本占總樣本的比例。

表1 樣本分類(lèi)結(jié)果Table 1 Classification result of samples

則模型評(píng)價(jià)指標(biāo)公式為

(6)

(7)

(8)

3 實(shí)驗(yàn)與分析

3.1 數(shù)據(jù)獲取

實(shí)驗(yàn)從OPENSKY中總計(jì)獲取200架次航班數(shù)據(jù)用作訓(xùn)練樣本[25]，選取40架次航班作為測(cè)試樣本。每架次航班的ADS-B數(shù)據(jù)在200～3 000 之間，選取的ADS-B數(shù)據(jù)包含了飛機(jī)的起飛、爬升、巡航和下降等階段。

選取一架次包含300條ADS-B數(shù)據(jù)的示例航班，飛機(jī)處于巡航和爬升的機(jī)動(dòng)狀態(tài)，攻擊的報(bào)文數(shù)據(jù)由模擬生成，生成方法如下：

隨機(jī)位置偏移如圖4所示，選取的ADS-B航班數(shù)據(jù)共300條。其中，前100條和后100條ADS-B數(shù)據(jù)不做任何篡改；中間100條數(shù)據(jù)，經(jīng)度和緯度上加入均值為0、方差為0.1的高斯噪聲。攻擊者通過(guò)隨機(jī)位置偏移攻擊，使攻擊航跡在實(shí)際航跡左右隨機(jī)波動(dòng)。

圖4 隨機(jī)位置偏移Fig.4 Random position offset

高度偏差如圖5所示，前100條、后100條航跡不做任何篡改；中間100條航跡數(shù)據(jù)，以50 m為倍數(shù)，逐漸改變ADS-B數(shù)據(jù)中包含的高度信息。具體來(lái)說(shuō)，第101條航跡的高度增加50 m，第102條 航跡高度增加100 m，往后類(lèi)推。

圖5 高度偏差攻擊Fig.5 Height deviation attack

DOS攻擊如圖6所示，前100條、后100條航跡不做任何篡改；中間100條航跡，攻擊者發(fā)起DOS攻擊，接收端不能監(jiān)視到報(bào)文信息。

圖6 DOS攻擊Fig.6 DOS attack

重放攻擊如圖7所示，前100條、后100條航跡不做任何篡改；中間100條航跡數(shù)據(jù)，攻擊者發(fā)起重發(fā)攻擊，將第91～第100條ADS-B航跡數(shù)據(jù)連續(xù)發(fā)送了10次，接收端接收到的是延遲發(fā)送了10次的第91～第100條航跡。

圖7 重放攻擊Fig.7 Replay attack

航路替換如圖8所示，前100條、后100條航跡不做任何篡改；對(duì)于中間的100條ADS-B報(bào)文：假設(shè)攻擊者掌握了飛機(jī)正處于爬升到巡航的機(jī)動(dòng)狀態(tài)信息，則攻擊者注入另一段同樣正在爬升且含有高斯白噪聲的ADS-B報(bào)文。

圖8 航路替換Fig.8 Replacement of track

速度偏差前100條、后100條ADS-B數(shù)據(jù)不做篡改；中間100條數(shù)據(jù)，以5 m/s為倍數(shù)，逐漸改變ADS-B數(shù)據(jù)中包含的速度信息。具體來(lái)說(shuō)，第101條數(shù)據(jù)的速度增加了5 m/s，第102條數(shù)據(jù)的速度增加了10 m/s，往后類(lèi)推。

3.2 滑動(dòng)窗口長(zhǎng)度

在BiGRU神經(jīng)網(wǎng)絡(luò)訓(xùn)練次數(shù)epochs=50、設(shè)置訓(xùn)練批尺度batch_size=100、Dropout比率為0.2的條件下，BiGRU神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)效果較好。為了充分利用ADS-B數(shù)據(jù)的時(shí)間相關(guān)性，需要選擇一個(gè)合適長(zhǎng)度的滑動(dòng)窗口。如果滑動(dòng)窗口長(zhǎng)度太短，則BiGRU神經(jīng)網(wǎng)絡(luò)會(huì)失去大量的時(shí)間關(guān)聯(lián)的有效信息，降低異常檢測(cè)的檢測(cè)效果。如果滑動(dòng)窗口長(zhǎng)度太長(zhǎng)，則會(huì)導(dǎo)致BiGRU神經(jīng)網(wǎng)絡(luò)訓(xùn)練時(shí)間過(guò)長(zhǎng)。為了獲得合適的滑動(dòng)窗口長(zhǎng)度，本文比較了不同滑動(dòng)窗口長(zhǎng)度對(duì)異常檢測(cè)準(zhǔn)確率和訓(xùn)練時(shí)長(zhǎng)的影響。如圖9所示可以看出，當(dāng)滑動(dòng)窗口長(zhǎng)度大于8后，其準(zhǔn)確率變化不大，保持在0.95左右；但是其訓(xùn)練時(shí)間仍然快速增加，因而本文選擇滑動(dòng)窗口長(zhǎng)度為8，能保證ADS-B異常檢測(cè)的準(zhǔn)確率和訓(xùn)練時(shí)間達(dá)到相對(duì)最優(yōu)。

圖9 滑動(dòng)窗口長(zhǎng)度選擇Fig.9 Length selection of sliding window

3.3 異常檢測(cè)實(shí)驗(yàn)結(jié)果

以BiGRU-SVDD異常檢測(cè)的準(zhǔn)確率為適應(yīng)度函數(shù)，經(jīng)粒子群優(yōu)化算法[26]求得懲罰系數(shù)C=0.25，高斯核參數(shù)s=9。圖10～圖15為針對(duì)以上6種攻擊的異常檢測(cè)實(shí)驗(yàn)結(jié)果。其中，圖10為隨機(jī)位置偏移的異常檢測(cè)結(jié)果圖；樣本經(jīng)過(guò)訓(xùn)練后，得到SVDD超球體半徑R為0.232，R即為異常檢測(cè)的閾值。第101～200個(gè)異常測(cè)試樣本中，共有94個(gè)測(cè)試樣本的到超球體球心的距離大于閾值R，因而隨機(jī)位置偏移的檢測(cè)率為94%；第1～100個(gè)和第201～300個(gè)正常測(cè)試樣本中，共有195個(gè)測(cè)試樣本到超球體球心的距離小于閾值R，因而隨機(jī)位置偏移的召回率為97.5%；300個(gè) 測(cè)試樣本中共有289個(gè)樣本被正確檢測(cè)出了是否存在異常，因而隨機(jī)位置偏移異常檢測(cè)的準(zhǔn)確率為96.33%。

圖10 隨機(jī)偏移檢測(cè)Fig.10 Detection of random offset

同理，如圖11～圖15所示，高度偏差的檢測(cè)率為98%，召回率為96.5%，準(zhǔn)確率為97%；DOS攻擊的檢測(cè)率為100%，召回率為96%，準(zhǔn)確率為97.33%；重放攻擊檢測(cè)率為95%，召回率為95.5%，準(zhǔn)確率為95.33%；航路替換的檢測(cè)率為88%，召回率為97.5%，準(zhǔn)確率為94.33%；速度偏差檢測(cè)率為98%，召回率為97.5%，準(zhǔn)確率為97.67%。

圖11 高度偏差檢測(cè)Fig.11 Detection of height deviation

圖12 DOS攻擊檢測(cè)Fig.12 Detection of DOS attack

圖13 重放攻擊檢測(cè)Fig.13 Detection of replay attack

圖14 航路替換檢測(cè)Fig.14 Detection of track replacement

圖15 速度偏差檢測(cè)Fig.15 Detection of speed deviation

為了驗(yàn)證飛機(jī)處于爬升、轉(zhuǎn)向、下降等機(jī)動(dòng)狀態(tài)下，BiGRU-SVDD模型也具有良好的異常檢測(cè)性能，實(shí)驗(yàn)還選取了一架次含有600條ADS-B數(shù)據(jù)的示例航班，包含了飛機(jī)的爬升、轉(zhuǎn)向、巡航和下降等階段。如圖16所示，前50條和后50條ADS-B數(shù)據(jù)不做任何篡改；在中間500條數(shù)據(jù)注入隨機(jī)位置偏移攻擊，注入的攻擊和圖4的方法保持一致：在經(jīng)度和緯度上加入均值為0、方差為0.1的高斯白噪聲。

圖16 隨機(jī)位置偏移攻擊(600條數(shù)據(jù))Fig.16 Random position offset (600 data)

圖17為隨機(jī)位置偏移(600條數(shù)據(jù))的攻擊檢測(cè)圖，檢測(cè)率為94.4%，召回率為95%，準(zhǔn)確率為94.5%。600條ADS-B航跡數(shù)據(jù)包含了飛機(jī)的爬升、轉(zhuǎn)向和下降等階段，說(shuō)明即使飛機(jī)處于機(jī)動(dòng)狀態(tài)下，BiGRU-SVDD模型異常檢測(cè)的檢測(cè)性能也較好。

圖17 隨機(jī)位置偏移檢測(cè)(600條數(shù)據(jù))Fig.17 Detection of random offset (600 data)

實(shí)驗(yàn)總計(jì)對(duì)40架次測(cè)試航班采用BiGRU-SVDD模型做了異常檢測(cè)實(shí)驗(yàn)，取40次實(shí)驗(yàn)的檢測(cè)率、召回率、準(zhǔn)確率的均值作為異常檢測(cè)的結(jié)果。表2列出了BiGRU-SVDD異常檢測(cè)的結(jié)果。從表2可以看出，BiGRU-SVDD模型對(duì)航路替換的檢測(cè)率為88.72%，相對(duì)較低，其他形式的攻擊檢測(cè)率均在93.5%以上；BiGRU-SVDD模型召回率均在95%以上，準(zhǔn)確率均在92%以上；且BiGRU-SVDD用于DOS攻擊的異常檢測(cè)性能相對(duì)最優(yōu)，DOS攻擊檢測(cè)率達(dá)到了99.08%，這是因?yàn)镈OS攻擊導(dǎo)致航跡出現(xiàn)了消失，客觀上來(lái)說(shuō)，DOS攻擊也最容易被檢測(cè)。高度偏差攻擊的檢測(cè)率為93.56%，相對(duì)較低，這是因?yàn)槠鹗甲⑷氲母叨绕顚?dǎo)致的高度變化還不夠明顯，故客觀上起始注入的一小段高度偏差攻擊確實(shí)難以檢測(cè)。通過(guò)計(jì)算得到，針對(duì)6種形式的攻擊，BiGRU-SVDD模型的平均檢測(cè)率為95.26%，平均召回率為96.22%，平均準(zhǔn)確率為95.57%。

表2 BiGRU-SVDD異常檢測(cè)Table 2 Anomaly detection of BiGRU-SVDD

3.4 對(duì)比實(shí)驗(yàn)和分析

另外，本文選取了其他機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的方法，同樣用于檢測(cè)以上6種類(lèi)型的ADS-B數(shù)據(jù)攻擊(攻擊數(shù)據(jù)的構(gòu)造方法和3.1節(jié)保持一致)。這些方法包括一類(lèi)支持向量機(jī)(OCSVM)、孤立森林(IForest)、長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)(LSTM)、門(mén)控循環(huán)單元神經(jīng)網(wǎng)絡(luò)(GRU)、雙向門(mén)控循環(huán)單元神經(jīng)網(wǎng)絡(luò)(BiGRU)和seq2seq模型[16]。其中，OCSVM采用的核函數(shù)為徑向基核函數(shù)，核參數(shù)Gamma取值為0.2。IForest中，樹(shù)的棵數(shù)取值為默認(rèn)的100，每棵樹(shù)的采樣大小取值為256。LSTM、GRU和BiGRU都采用和圖3相似的網(wǎng)絡(luò)結(jié)構(gòu)，用余弦相似度衡量預(yù)測(cè)值和實(shí)際值的誤差大小(閾值的確定方法為：將余弦相似度按照從小到大排序，將第3%小的余弦相似度選取為閾值)。seq2seq模型采用的網(wǎng)絡(luò)結(jié)構(gòu)和文獻(xiàn)[16]保持一致，即編碼器和解碼器的隱藏層都采用LSTM神經(jīng)網(wǎng)絡(luò)，LSTM的單元數(shù)為128。表3給出了6種形式攻擊下，各種異常檢測(cè)方法的檢測(cè)率、召回率和準(zhǔn)確率的均值實(shí)驗(yàn)結(jié)果?？梢钥闯觯?/p>

1) OCSVM和IForest的檢測(cè)率、召回率、準(zhǔn)確率性能都較差。這是因?yàn)锳DS-B數(shù)據(jù)中的緯度、經(jīng)度、高度、速度和航向等信息的數(shù)值大小是隨時(shí)間的變化而變化的，然而OCSVM和IForest僅考慮了當(dāng)前時(shí)刻ADS-B數(shù)據(jù)的特征信息，沒(méi)有考慮到ADS-B數(shù)據(jù)的時(shí)間相關(guān)性，因而這兩種方法的異常檢測(cè)性能較差。

2) 考慮到ADS-B數(shù)據(jù)的前后時(shí)間相關(guān)性，將單向GRU和BiGRU的檢測(cè)性能作比較。實(shí)驗(yàn)結(jié)果表明，相比于單向GRU，BiGRU的檢測(cè)率、召回率和準(zhǔn)確率均更高，說(shuō)明BiGRU的預(yù)測(cè)效果更好，異常檢測(cè)性能更佳。

3) 為了解決ADS-B數(shù)據(jù)攻擊檢測(cè)閾值自適應(yīng)問(wèn)題，本文在BiGRU預(yù)測(cè)結(jié)果后加入SVDD進(jìn)行二次訓(xùn)練。結(jié)果表明，相較于BiGRU，BiGRU-SVDD的檢測(cè)率、召回率和準(zhǔn)確率均要更高，達(dá)到95%以上。說(shuō)明BiGRU-SVDD能解決ADS-B數(shù)據(jù)攻擊檢測(cè)閾值的自適應(yīng)問(wèn)題，異常檢測(cè)適應(yīng)性更好，效果更優(yōu)。

4)相較于seq2seq模型，本文的BiGRU-SVDD模型異常檢測(cè)性能更好。這是因?yàn)?，BiGRU-SVDD考慮了飛機(jī)的機(jī)動(dòng)狀態(tài)，seq2seq模型沒(méi)有考慮飛機(jī)的機(jī)動(dòng)狀態(tài)；并且BiGRU-SVDD利用SVDD對(duì)樣本進(jìn)行了二次訓(xùn)練，解決了ADS-B數(shù)據(jù)攻擊檢測(cè)閾值的自適應(yīng)問(wèn)題。因而，相比于seq2seq模型，本文的 BiGRU-SVDD模型異常檢測(cè)性能更優(yōu)。

由于BiGRU-SVDD模型在使用BiGRU對(duì)ADS-B數(shù)據(jù)進(jìn)行預(yù)測(cè)的基礎(chǔ)上，又使用了SVDD對(duì)差值樣本進(jìn)行了二次訓(xùn)練，因而需要比較BiGRU-SVDD模型和其他檢測(cè)方法的復(fù)雜性。本文記錄了各種異常檢測(cè)方法的訓(xùn)練時(shí)長(zhǎng)和檢測(cè)時(shí)長(zhǎng)。表4給出了訓(xùn)練一架次ADS-B航班數(shù)據(jù)的平均時(shí)長(zhǎng)，以及檢測(cè)一架次ADS-B航班數(shù)據(jù)的平均時(shí)長(zhǎng)(平均每架次航班包含的ADS-B數(shù)據(jù)約500條)?？梢钥闯觯?/p>

表4 訓(xùn)練與檢測(cè)時(shí)長(zhǎng)對(duì)比Table 4 Comparison of training time and testing time

1) OCSVM和IForest作為傳統(tǒng)的機(jī)器學(xué)習(xí)方法，訓(xùn)練時(shí)長(zhǎng)較短。但是結(jié)合表3可知，OCSVM和IForest的檢測(cè)率、召回率、準(zhǔn)確率性能較差。

表3 異常檢測(cè)均值Table 3 Mean value of anomaly detection

2) BiGRU比單向GRU的訓(xùn)練時(shí)長(zhǎng)多了5.51 s，BiGRU-SVDD比BiGRU的訓(xùn)練時(shí)長(zhǎng)僅僅多了0.67 s，這說(shuō)明BiGRU-SVDD的復(fù)雜性主要來(lái)自雙向機(jī)制。

3) BiGRU-SVDD模型檢測(cè)一架次ADS-B航班數(shù)據(jù)(約500條)共用了0.085 s，僅比BiGRU多了0.005 s,比LSTM和GRU多了0.015 s。

4) BiGRU-SVDD模型比seq2seq的訓(xùn)練時(shí)長(zhǎng)和檢測(cè)時(shí)長(zhǎng)都要短。這主要是因?yàn)槲墨I(xiàn)[16]ses2seq模型的編碼器和解碼器的LSTM單元數(shù)為128，本文的BiGRU-SVDD模型的2層BiGRU的單元數(shù)分別是60和40。

4 結(jié) 論

1) 本文考慮了ADS-B數(shù)據(jù)的時(shí)間相關(guān)性，利用BiGRU神經(jīng)網(wǎng)絡(luò)對(duì)ADS-B數(shù)據(jù)進(jìn)行預(yù)測(cè)，得到了ADS-B預(yù)測(cè)數(shù)據(jù)；再將預(yù)測(cè)值和實(shí)際值作差，將差值放入支持向量數(shù)據(jù)描述(SVDD)訓(xùn)練，可以得到能檢測(cè)ADS-B異常數(shù)據(jù)的超球體分類(lèi)器。并且，選擇了合適的滑動(dòng)窗口，在保證異常檢測(cè)準(zhǔn)確率的同時(shí)，縮短了BiGRU神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時(shí)長(zhǎng)。實(shí)驗(yàn)結(jié)果表明，BiGUR-SVDD模型可用于ADS-B異常數(shù)據(jù)的檢測(cè)。

2) 在OCSVM、IForest、LSTM、GRU、BiGRU、seq2seq和BiGRU-SVDD中，本文BiGRU-SVDD模型異常檢測(cè)性能均更具優(yōu)勢(shì)。