1.   引言

空中交通管理(Air Traffic Management, ATM)是管理空域、飞行器和航线的重要系统。它的任务是保护和促进空中交通安全，维护空中交通秩序，保障空中交通畅通。目前，随着空中交通流量的持续增大，导致了空中交通的拥塞，这给空中交通管制(Air Traffic Control, ATC)带来了极大的困难。一种有效的解决方案是提升空管监视系统的定位精度，传统的空管监视技术主要包括一次雷达(Primary Surveillance Radar, PSR)、二次雷达(Secondary Surveillance Radar, SSR)以及多点定位(MultiLATeration, MLAT)，但雷达的监测精度相对较低、多点定位对地面基站的安装位置有一定要求，因而广播式自动相关监视(Automatic Dependent Surveillance-Broadcast, ADS-B)技术正在发挥主要作用^[1]。ADS-B通过全球卫星导航系统(Global Navigation Satellite System, GNSS)获取其位置信息、通过机载导航设备获取其速度和航向等信息，而后通过ADS-B发射器广播这些信息，其他装有ADS-B接收设备的飞机和地面基站能接收到这些信息。作为新一代空管监视系统的关键技术，ADS-B定位精度达到33 m，比雷达200 m精度有大幅提升^[2]。由于ADS-B设备经济成本低和监视范围更加全面，全球大部分航空公司将于2020年前完成部署ADS-B设备。然而，由于ADS-B以广播方式发送明文数据，协议没有提供消息认证和加密机制，因而ADS-B安全性难以保证。

文献[3]讨论了ADS-B易遭受的窃听、干扰、消息注入、消息删除和消息篡改等攻击，并分析了攻击的难易等级。文献[4]从网络分层、攻击方法和影响程度等角度分析了ADS-B遭受的攻击。针对ADS-B的安全漏洞，目前的解决方案主要包括以下3类。第1类方案将密码学的方案应用于ADS-B^[5,6]，但是这类方案存在一些困难和问题：(1)ADS-B是一项国际协议，加解密方案必须和现有的标准化协议相适应；(2)一旦密钥管理出现问题，如密钥泄露给ADS-B非法用户，则系统的安全性仍将遭受损害。第2类方案是将位置认证用于ADS-B数据的合法性判定^[7]。文献[8]综合运用到达时间差(Time Difference Of Arrival, TDOA)、到达角(Angle Of Arrival, AOA)和到达频率差(Frequency Difference Of Arrival, FDOA)等量测定位飞行器位置，和ADS-B解析后的位置数据进行比较，实现ADS-B合法性判定，但是这对地面基站的安装位置有一定要求，并且需要多个基站协同工作，经济成本较高。文献[9]利用ADS-S消息对飞机的运动性能进行建模，利用建立的模型确定飞机不同飞行阶段的活动范围，进而判定ADS-B位置数据的合法性。第3类方案将机器学习和深度学习方法用于ADS-B数据的合法性判定。此类方案通常用于ADS-B数据的异常检测，异常检测是ADS-B研究的一个非常重要的问题。文献[10,11]分别采用深度学习的LSTM-encoder-decoder和seq2seq模型对ADS-B报文数据进行重构，通过重构误差检测ADS-B数据中的位置和速度等异常，但该方法没有考虑飞机的机动性状态带来的ADS-B数据变化，此方法的适应性较差。文献[12]将支持向量数据描述(Support Vector Data Description, SVDD)机器学习算法运用于ADS-B位置数据的异常检测，但是此方法没有考虑ADS-B目标类数据的多数据源和异构数据集问题，异常检测的检测率较低，异常检测性能较差。

本文针对ADS-B易遭受的随机位置偏移、固定位置偏移、拒绝服务(Denial Of Service, DOS)攻击和重放攻击，构建了粒子群优化多核支持向量数据描述(Particle Swarm Optimization Multi-Kernel Support Vector Data Description, PSO-MKSVDD)异常检测模型，用以检测以上4种攻击类型的异常数据。并且，此模型考虑了飞机的机动性状态带来的ADS-B数据变化，比文献[10,11]适应性更好；考虑ADS-B目标类数据的多数据源和异构数据集问题，比文献[12]ADS-B异常检测的检测率更优。本文首先介绍了SVDD、多核支持向量数据描述(Multi-Kernel Support Vector Data Description, MKSVDD)和粒子群算法(Particle Swarm Optimization, PSO)。接着，将ADS-B位置数据和SSR数据作差，把差值作为样本，样本经过训练后，得到了可用于异常检测的超球体分类器。并且，利用PSO算法优化了惩罚因子、多核核函数系数以及MKSVDD核参数，进一步提高了异常检测的召回率和检测率性能。仿真实验结果表明，PSO-MKSVDD能检测出这4种攻击类型的异常数据。

2.   准备知识

2.1   支持向量数据描述

支持向量数据描述(SVDD)是Tax等人^[13]提出的一种单分类无监督机器学习方法。其目的是寻找一个几乎包含全部训练样本的最小超球体。对于训练集$X = \{ {{{x}}_{{i}}} \in {{{R}}^d}\left| {i = 1,2,··· ,n} \right.\}$, SVDD表示为求解如式(1)所示问题

其中，${{{x}}_{{i}}}$是$d$维向量，$R$为半径，${{a}}$为球心。${\xi _i}$为松弛因子，${\xi _i} \ge 0$。$C$是惩罚系数，用来控制超球体体积和非目标类的数量。引入拉格朗日乘子${\alpha _i}({\alpha _i} \ge 0)$和${\beta _i}({\beta _i} \ge 0)$，可求解出超球体半径$R$满足

则测试样本${{{x}}_{{t}}}$与球心${{a}}$的距离$f\left( {{{{x}}_{{t}}}} \right)$满足

若$f\left( {{{{x}}_{{t}}}} \right) < R$，则测试样本${{{x}}_{{t}}}$在超球体内部，是正常样本；若$f\left( {{{{x}}_{{t}}}} \right) = R$，则测试样本${{{x}}_{{t}}}$是支持向量；若$f\left( {{{{x}}_{{t}}}} \right) > R$，则测试样本${{{x}}_{{t}}}$是异常样本。

2.2   多核核函数

在求解超球体半径$R$和距离$f({{{x}}_{{t}}})$时，为了使分类结果更具鲁棒性，需要用核函数代替内积

但不同的核函数针对不同类型的数据集，具有不同的分类效果。MKSVDD能解决目标类数据存在多数据源和异构数据集的分类问题。多核核函数的构造包括多尺度核、无限核和合成核方法^[14,15]。合成核中的加权求和核方法通过调节权重系数，能使多核核函数适应不同的样本输入，故这种方法兼具学习与泛化能力；且该方法的运算复杂度低，故该文采用两两加权求和核方法构造多核核函数

其中，$a$和$b$是系数，满足$a > 0$, $b > 0$, $a + b = 1$; ${K_1}({{{x}}_{{i}}},{{{x}}_{{j}}})$和${K_2}({{{x}}_{{i}}},{{{x}}_{{j}}})$是单核函数。常见的单核函数有Gauss核函数${K_{\rm{Gauss}}}({{{x}}_{{i}}},{{{x}}_{{j}}})$, Sigmoid核函数${K_{{\rm{Tanh}} }}({{{x}}_{{i}}},{{{x}}_{{j}}})$以及Laplace核函数${K_{\rm{Lapl}}}({{{x}}_{{i}}},{{{x}}_{{j}}})$，具体形式为

本文构造3种多核核函数，分别为GaussLapl多核核函数${K_{\rm{GL}}}({{{x}}_{{i}}},{{{x}}_{{j}}})$, GaussTanh多核核函数${K_{{\rm{GT}} }}({{{x}}_{{i}}},{{{x}}_{{j}}})$以及TanhLapl多核核函数${K_{\rm{TL}}}({{{x}}_{{i}}},{{{x}}_{{j}}})$，具体形式分别为

2.3   PSO算法机理

粒子群优化算法(Particle Swarm Optimization, PSO)是一种基于群智能的演化计算技术^[16]。目前PSO算法已经广泛应用于函数优化、神经网络训练等领域^[17]。待优化参数被称作粒子，粒子具有两个属性：速度和位置。所有粒子均由适应度函数决定它的适应值。本文适应值由异常检测的错误率决定。每次迭代中，粒子根据适应值大小搜索自身的最优解，将其记为个体极值。整个种群搜索得到的最优解记为全局极值。粒子根据个体极值和全局极值来调整自身的速度和位置。将第$i$个粒子的速度表示为${{{v}}_{{i}}}$，位置表示为${{{x}}_{{i}}}$；粒子总数表示为$N$；第$i$个粒子的个体极值表示为${\bf{pbes}}{{\bf{t}}_{{i}}}$；若在所有的个体极值中，第$g$个最优，则将其作为全局极值并表示${\bf{gbes}}{{\bf{t}}_{{g}}}$; ${\rm{rand}}{_1}$和${\rm{rand}}{_2}$表示介于(0,1)之间的均匀分布的随机数；速度和位置的更新公式为

其中，$1 \le i \le N$; $w$是惯性权重,用来衡量粒子搜索能力的大小；${c_1}$是个体学习因子；${c_2}$是群体学习因子；一般取${c_1} = {c_2} = 2$。本文采用PSO算法优化惩罚因子、多核核函数系数以及MKSVDD核参数。

3.   异常检测模型构建

3.1   特征数据选取

ADS-B协议中包含了飞机的经度、纬度、高度、识别号、速度和航向等信息，本文针对ADS-B位置数据出现的异常，构建了ADS-B异常检测模型。由于ADS-B位置数据随时间的变化而变化，不同时间的ADS-B数据不能保证分布在超球体内部的，因而不能直接对ADS-B位置数据直接用MKSVDD算法。本文将ADS-B位置数据和同步的SSR数据作差，将两者的差值${{x}}(k)$选取作为MKSVDD异常检测的特征样本数据。对于同一空中目标的监视，ADS-B的精度约33 m，SSR的监视精度约为200 m，所以，无论飞机处于何种机动状态，两者的差值能保证收敛在一个常数H范围内

3.2   PSO-MKSVDD异常检测模型

PSO-MKSVDD模型旨在将PSO优化算法和MKSVDD结合起来，用以检测ADS-B异常数据。图1是ADS-B异常检测模型的流程图。模型包括两个阶段：PSO参数优化阶段和MKSVDD异常检测阶段。

图 1  PSO-MKSVDD异常检测模型

下载: 全尺寸图片 幻灯片

3.2.1   PSO参数优化阶段

步骤 1　初始化PSO粒子数$N$、惯性权重$w$、个体学习因子${c_1}$和群体学习因子${c_2}$。

步骤 2　 MKSVDD参数作为PSO粒子。MKSVDD参数包括惩罚因子$C$、多核核系数$a$, $b$以及MKSVDD核参数。将这些待优化参数视作粒子，利用PSO算法优化这些参数。

步骤 3　错误率${\rm{ER}}$作为PSO适应度函数${F_1}$。错误率${\rm{ER}}$用来描述异常检测分类器的错分比例

${P_1}$是正样本数量，${N_1}$是负样本数量；${\rm{FP}}$是被模型预测为正的负样本数量；${\rm{FN}}$是被模型预测为负的正样本数量。待优化粒子经过适应度函数计算，产生适应值。粒子的适应值是更新自身个体极值的依据。

步骤 4　求解个体极值${\bf{pbest\_f}}$和全局极值${\bf{gbest\_f}}$。粒子根据适应值大小迭代搜索自身的最优解，记为个体极值${\bf{pbest\_f}}$；全局极值${\bf{gbest\_f}}$为所有个体极值中最小值。

步骤 5　首次更新位置X、速度V。粒子根据式(8)和式(9)更新自己的位置X和速度V。

步骤 6　设置最大迭代次数Max_Num及最小误差E0。当迭代次数达到Max_Num时，粒子群停止迭代搜索。当错误率${\rm{ER}}$小于E0，粒子群同样会停止迭代搜索。

3.2.2   MKSVDD异常检测阶段

步骤 1　样本数据选取及归一化处理。将${{x}}(k) = {\bf{ads}}(k) - {\bf{ssr}}(k)$选取样本数据，${{x}}(k)$是一个3维列向量，包含纬度、经度和高度信息。样本数据的训练，需要先作归一化处理，归一化处理公式为

其中，$\mu$是样本的均值，$\sigma$是样本的标准差。

步骤 2　MKSVDD程序求解。样本数据经过训练，得到超球体半径$R$和样本${{{x}}_t}$到球心的距离$f({{{x}}_t})$。通过比较$f({{{x}}_t})$和$R$的大小，能判断样本${{{x}}_t}$的合法性。

步骤 3　返回错误率${\rm{ER}}$。根据MKSVDD程序求解出的错误分类的样本数量占全部测试样本的比例，得到错误率${\rm{ER}}$。

步骤 4　更新${\bf{pbest\_f}}$和${\bf{gbest\_f}}$。每个粒子通过比较当前的适应值与历史个体极值的大小，来更新个体极值。若当前的适应值小于历史个体极值，则个体极值更新为当前的适应值；否则个体极值仍取值为历史个体极值。全局极值取值为所有个体极值中最小值。

步骤 5　达到最大迭代次数Max_Num或最小误差E0。如果达到设定的最大迭代次数，或者错误率小于误差E0时，则终止迭代。否则，转到步骤2，继续迭代搜索。

步骤 6　获取${\bf{gbest\_f}}$, ${\rm{ER}}$及对应的异常数据序列。全局极值${\bf{gbest\_f}}$是用PSO算法求出的最优参数；错误率${\rm{ER}}$可以初步评估PSO-MKSVDD异常检测模型的整体性能；异常数据序列是PSO-MKSVDD模型求解出的非法数据。

3.3   异常检测模型评价指标

本文采用召回率${\rm{Re}}$和检测率${\rm{De}}$评估异常检测模型的性能，召回率${\rm{Re}}$是指被模型正确预测为正样本的数量占实际正样本数的比例，检测率${\rm{De}}$是指被模型正确预测出为负样本的数量占实际负样本数的比例。召回率${\rm{Re}}$和检测率${\rm{De}}$的值越高，PSO-MKSVDD异常检测模型的性能就越佳。表1是样本的分类结果。

表 1  样本分类结果表

实际情况	预测结果
	正例	负例
正例	${\rm{TP}}$(真正例)	${\rm{FN}}$(假负例)
负例	${\rm{FP}}$(假正例)	${\rm{TN}}$(真负例)

下载: 导出CSV 

| 显示表格

召回率${\rm{Re}}$和检测率${\rm{De}}$分别定义为

4.   仿真与实验结果

4.1   数据获取

实验从OPENSKY中获取200架次航班数据^[18]，每架次ADS-B数据在100～1000之间，选取的ADS-B数据包含了飞机的起飞、爬升、巡航和下降阶段。同步的SSR数据从2次雷达监视系统数据库中获得。图2—图5，是一次包含300条ADS-B数据的航班，飞机处于爬升到巡航的转换阶段，此时飞机的机动状态变化较大。实验中，将前200条航迹数据用作训练样本，可以训练出超球体分类器；后100条航迹数据用作测试样本。攻击的报文数据由模拟生成，具体生成方法如下：

图 2  随机位置偏移攻击

下载: 全尺寸图片 幻灯片

图 3  固定位置偏移攻击

下载: 全尺寸图片 幻灯片

图 4  DOS攻击

下载: 全尺寸图片 幻灯片

图 5  重放攻击

下载: 全尺寸图片 幻灯片

随机位置偏移(消息篡改)：如图2所示，共300条数据构成了ADS-B航迹。其中，用于测试的后100条ADS-B航迹数据中：前50条数据不做任何篡改；后50条数据，实验在经度和纬度上加上高斯白噪声，高斯白噪声的均值为0，标准差为800 m。

固定位置偏移(消息篡改)：如图3所示，前50条测试航迹数据不做篡改；后50条数据，在经度和纬度上加上400 m的固定数值偏差。

航迹消失(DOS攻击)：如图4所示，前50条测试航迹数据不做篡改；后50条数据，由于受到DOS攻击，航迹数据不能被监视到，出现了航迹消失。

航迹替换(重放攻击)：如图5所示，前50条测试航迹数据不做篡改；针对后50条数据，攻击者向监视系统发送的并非真实航迹，而是延迟发送的前50条测试航迹。

如式(11)所示，错误率表示分类器的错分比例，一般来说错误率越低，分类效果越好，异常检测性能越佳。实验中，将异常检测的错误率${\rm{ER}}$作为PSO算法的适应度函数。实验分别对单核SVDD，以及GaussLapl, GaussTanh和TanhLapl这3种MKSVDD的参数进行优化。如图6—图9所示，当异常检测的错误率最低的时候，单核SVDD的惩罚因子$C$为0.25; GaussLapl惩罚因子$C$为0.37；GaussTanh惩罚因子$C$为0.28; TanhLapl惩罚因子$C$为0.16。

图 6  单核SVDD最优惩罚因子C

下载: 全尺寸图片 幻灯片

图 7  GaussLapl最优惩罚因子C

下载: 全尺寸图片 幻灯片

图 8  GaussTanh最优惩罚因子C

下载: 全尺寸图片 幻灯片

图 9  TanhLapl最优惩罚因子

下载: 全尺寸图片 幻灯片

用PSO算法优化其它参数。SVDD的核参数${s_1}$=9。GaussLapl核参数${s_1}$=5, ${s_2}$=20；系数$a$=0.8, $b$=0.2。GaussTanh的${s_1}$=5, $\beta$=0.1, $\theta$=10; $a$=0.4, $b$=0.6。TanhLapl的${s_2}$=10, $\beta$=0.2, $\theta$=1; $a$=0.7, $b$=0.3。

4.2   异常检测实验结果

针对随机位置偏移、固定位置偏移、DOS攻击和重放攻击，实验分别比较了单核SVDD, GaussLapl, GaussTanh和TanhLapl的异常检测的召回率与检测率。

图10是单核SVDD的随机位置偏移的检测图，样本经过训练后，得到的超球体半径$R$为0.52。经计算，SVDD随机位置偏移的召回率是94%，检测率是90%。如图11—图13所示，GaussLapl随机位置偏移的召回率是98%，检测率是94%。GaussTanh召回率是96%，检测率是92%。TanhLapl的召回率是96%，检测率是86%。由于TanhLapl的检测率相对较差，所以后续实验不再考虑TanLapl。

图 10  单核SVDD异常检测

下载: 全尺寸图片 幻灯片

图 11  GaussLapl异常检测

下载: 全尺寸图片 幻灯片

图 12  GaussTanh异常检测

下载: 全尺寸图片 幻灯片

图 13  TanhLapl异常检测

下载: 全尺寸图片 幻灯片

针对单核SVDD以及GaussLapl, GaussTanh两种MKSVDD，将200架次航班数据做了异常检测实验，取200次实验召回率和和检测率的均值作为实验的结果。表2综合对比了SVDD, GaussLapl, GaussTanh在4种不同攻击下，异常检测的召回率和检测率的值。对比分析表2中的数据，结果表明：GaussLapl和GaussTanh方法的召回率与检测率均高于单核SVDD，这证明了本文PSO-MKSVDD异常数据检测模型的正确性和优势。

表 2  异常检测对比表(%)

		SVDD	GaussLapl	GaussTanh
随机位置偏移	召回率	94.0	95.2	94.8
	检测率	89.2	93.6	92.0
固定位置偏移	召回率	94.8	95.6	96.0
	检测率	94.4	96.4	97.2
DOS攻击	召回率	94.8	96.0	95.2
	检测率	100.0	100.0	100.0
重放攻击	召回率	94.8	96.0	95.6
	检测率	98.4	99.2	98.9

下载: 导出CSV 

| 显示表格

另外，本文选取了其他机器学习和深度学习的方法，与PSO-MKSVDD模型作比较。这些方法包括长短期记忆神经网络(Long Short Term Memory, LSTM), SVDD^[12], LSTM-encoder-decoder^[10]和seq2seq^[11]。对比实验中，ADS-B攻击数据的生成方法和4.1节的4种攻击方式保持一致(即在用相同的ADS-B攻击数据条件下，比较了各种异常检测方法的性能)。表3列出了各种方法结果对比表。对比分析表3中的数据，结果表明：

表 3  各种异常检测方法结果对比(%)

		LSTM	SVDD	LSTM-encoder-decoder	seq2seq	GaussLapl	GaussTanh
随机位置偏移	召回率	85.6	94.0	90.3	91.7	95.2	94.8
	检测率	87.0	89.2	89.8	90.6	93.6	92.0
固定位置偏移	召回率	84.2	94.8	93.8	91.0	95.6	96.0
	检测率	72.1	94.4	79.4	82.4	96.4	97.2
DOS攻击	召回率	87.5	94.8	93.7	94.4	96.0	95.2
	检测率	92.6	100.0	95.2	95.6	100.0	100.0
重放攻击	召回率	85.7	94.8	92.0	91.6	96.0	95.6
	检测率	88.2	98.4	93.6	94.4	99.2	98.9

下载: 导出CSV 

| 显示表格

(1) GaussLapl和GaussTanh方法的召回率和检测率，均比LSTM-encoder-decoder和seq2seq的要高。这是因为本文考虑了飞机机动性状态带来的ADS-B数据变化，因而PSO-MKSVDD异常检测性能更优。

(2) 此模型比SVDD用于ADS-B异常数据检测的检测率和召回率更高。这是因为PSO-MKSVDD模型考虑了ADS-B数据的异构性和复杂性，并且用PSO算法优化了实验参数。

5.   结论

本文将ADS-B位置数据和同步的SSR数据作差，把差值作为MKSVDD的样本，样本经过训练后得到了超球体分类器，此分类器可用于检测ADS-B随机位置偏移、固定位置偏移、DOS攻击和重放攻击。且用PSO算法优化了惩罚因子、多核核函数系数以及核参数，进一步提高了异常检测的召回率和检测率。

PSO-MKSVDD模型考虑了飞机机动性状态带来的ADS-B数据变化，比深度学习的LSTM-encoder-decoder和seq2seq模型的适应性更好，异常检测性能更优；PSO-MKSVDD模型考虑了ADS-B数据的异构性和复杂性，比SVDD的异常数据召回率和检测率更高，异常检测性能更佳。