论文阅读：SP-CIDS: Secure and Private Collaborative IDS for VANETs

SP-CIDS: Secure and Private Collaborative IDS for VANETs

原文指引

摘要

车载自组织网络（VANET）作为智能交通系统（ITS）的骨干，为乘客提供安全和舒适。然而VANET容易受到来自个人或分布式攻击者的关于破坏数据隐私和网络服务的攻击。本文提出了一种安全、专用的协同入侵检测系统（SP-CIDS），用于检测网络攻击并缓解安全问题。在SP-CIDS中，使用了基于交替方向乘数法（ADMM）的分布式机器学习（DML）模型，该模型利用了学习过程中车辆间协作的潜力，以提高IDS的存储效率、准确性和可扩展性。然而，在这种协作可能存在严重的数据隐私问题，CIDS可以充当恶意系统，可以访问学习过程的中间阶段。此外，SP-CIDS系统使用差异隐私（DP）技术解决上述与基于DML的CIDS相关的数据隐私风险。SP-CIDS系统采用逻辑回归、朴素贝叶斯和集成分类器进行评估。仿真结果表明，专用集成分类器能够保证训练数据的DP安全性，并达到96.94%的准确率。

问题描述

入侵检测系统通过监视主机或网络，分析审计日志来查找恶意行为或违反安全策略的行为。传统的基于主机(HID)或网络(NID)存在例如单点故障和低可扩展性等缺点。在VANET这种分布式环境中，Collaborative IDS(CIDS) 可以通过共享信息和计算资源来缓解缺陷。

CIDS由HIDS和NIDS的集合组成，允许资源共享和检测协作或分布式攻击。一般CIDS以下组件组成

1. 本地监控器(local monitoring)
2. 全局监控器(global monitoring)
3. 关联和聚类(correlation and aggregation)
4. 数据传播组件(data dissemination components)

CIDS系统通常会基于分布式机器学习（DML），用于探测已知和未知的攻击。一个基于DML的CIDS系统的关键安全需求是在不损害数据隐私的情况下促进ML模型的共享。DML容易受到inversion attack攻击，敌手可以通过学习结果反向推断出敏感训练数据。

贡献

提出一个基于Alternating Direction Method of Multipliers(ADMM)，使用DML的安全隐私协同IDS——SP-CIDS，此框架下所有车辆协同创建一个全局分类器，并使用差分隐私来减弱数据泄露风险。

• 一个高效的使用基于DML的ADMM的SP-CIDS被提出，可提高IDS的存储和计算效率。
• 通过DP范式解决数据隐私问题，保护DML中训练数据的隐私。
• 通过在SP-CIDS中使用基于私有集成的分类器，通过协作相邻车辆创建全局模型，从而提高CIDS的准确性

相关工作

• 集中式CIDS：协作式入侵检测，使用集中式的协作模型来获取警报数据，容易受单点故障(SPoF)和性能问题。这些问题可由分层级式入侵检测系统（Hierarchical Intrusion Detection HIDE）system 缓解.
• HIDE：由按层次排序的入侵检测代理组成。使用神经网络进行统计预处理和分类来进行异常检测。然而，由于警报在每一个级别上汇总细化，因此信息容易丢失。Large Scale Intrusion Detection
  (LarSID)可减轻这种丢失情况。

SP-CIDS 系统模型

每辆车有一个SP-CIDS系统，在VANET中创建一个ML模型来检测网络中的攻击。

• 架构图：

• 模型中符号含义：

假设VANET中的该架构由四个主要组件构成：

A. Analysis Unit

AU(Application Unit )从OBU、邻居车辆和RSU中获取审计数据，检测例如数据包丢弃和复制等恶意行为。包括预处理和本地监控器两部分

• Pre-processing Unit：
  获取VANET实时数据，模型使用过滤其滤除噪声，不良和不完整数据。由于OBU的不稳定连接等问题，可能造成数据值缺失，因此需要使用代替平均值等数据处理方法。对数据进行采样和最大似然算法进一步归一化以进行有效处理
• Local Monitoring Unit（LMU）：
  接受来自预处理的数据，使用从GLU生成的全局模型进行分析。LMU操作如下：

来自车辆集合$\mathcal{N}$的车辆$l$，$l$的分类器$f_l:X\to Y$使用训练数据集$D_l$，将每一个输入点