1.   引言

随着空域密度和飞行器种类的快速增长，当前空管系统已经难以满足其发展需求，正逐步向下一代网络化空管系统进行过渡，其智能化、自动化和一体化水平不断提升^[1]。自动广播相关监视(Automatic Dependent Surveillance-Broadcast, ADS-B)技术作为下一代空管系统发展的核心技术之一，凭借高精度、广覆盖、易部署和支持空空监视等优势已经逐步发展成为下一代空管监视系统的主要监视手段^[2]，为构建精准可靠的空情态势感知能力提供重要的数据基础^[3]。但是，ADS-B协议在设计之初缺乏充分且完善的安全加固措施^[4]。在传输过程中ADS-B报文以明文方式进行传输，缺乏必要的数据完整性验证手段和可靠的数据可认证性措施，使得ADS-B数据暴露在多样化的攻击威胁之下^[5]。攻击者通过廉价的ADS-B接收设备能够对特定空域的监视数据进行大规模采集，并在此基础上对ADS-B数据实施截获、篡改、伪造、重放和阻塞攻击^[6]，使依托ADS-B数据构建的空情态势出现显著偏差，达到破坏监视系统可用性的目的。目前，针对ADS-B数据的攻击行为随着ADS-B部署范围的逐步扩大不断涌现，虚假数据注入攻击、幽灵飞行器注入攻击、飞行器数据泛洪攻击和数据重放攻击等攻击行为已经渗透到ADS-B数据中^[7]，文献[8]在实验环境中验证了ADS-B数据攻击行为的可行性，文献[9]已经充分验证了针对ADS-B数据的攻击行为的有效性。

为了削弱攻击行为的影响，增强ADS-B数据的安全性，针对ADS-B数据的攻击检测机制成为防御策略的重要一环，能够将攻击数据屏蔽在决策流程之外^[10]。虽然，针对ADS-B数据的攻击检测策略^[11-14]能够快速准确地发现攻击数据和识别攻击行为，但是目前的研究尚缺乏有效且可靠的攻击响应机制。当攻击数据被识别后，ADS-B攻击数据序列会被简单地抛弃掉，在部分系统中会使用较低精度的其他监视数据源替代遭受攻击的数据序列，从而维持空管监视系统的可用性。但是由于不同监视数据源监视精度、覆盖范围、时间同步和数据关联等方面的差异性^[15]，这样的处理机制不可避免地降低了监视系统的性能，在仅有ADS-B数据可供参考的空域或针对低延时突发事件处置时难以有效保证监视系统的可用性^[16]。为了对攻击数据进行充分利用，实现攻击条件下ADS-B数据序列的有效重构，本文提出了ADS-B弹性恢复方法，在多样化攻击样式下削弱攻击行为对ADS-B数据的破坏性影响，保证ADS-B数据的持续可用性。在有效的攻击检测条件下，获取当前数据序列和对应的预测数据序列，据此分析构建偏差数据序列、差分数据序列和邻近密度数据序列，通过分析这些数据的概率分布和抖动幅值构建弹性恢复策略，提取攻击数据中包含的攻击向量，将攻击数据映射到正常数据的邻域范围，构建鲁棒可靠的空情态势感知能力。

2.   问题建模

当ADS-B数据序列到达时，攻击检测机制将利用时空关联特性对数据进行分析并对攻击数据序列进行标记。假设攻击检测机制足够有效，攻击数据的起始采样点将被准确标记。设ADS-B数据序列为${{{x}}_i}$, ADS-B正常数据序列为${{{x}}_{\rm{n}}}$，攻击数据序列为${{{x}}_{\rm{a}}}$，攻击检测机制为$\varPhi$，攻击行为标记起始点为${a_{\rm{s}}}$，则针对攻击检测策略可以建模为$\{ {{{x}}_{\rm{n}}},{{{x}}_{\rm{a}}},{a_{\rm{s}}}\} = \varPhi ({{{x}}_i})$。通过对ADS-B数据进行攻击检测，能够获取攻击起始数据采样点${a_{\rm{s}}}$，并将采集得到的数据序列${{{x}}_i}$以${a_{\rm{s}}}$为边界划分为正常数据序列${{{x}}_{\rm{n}}}$和攻击数据序列${{{x}}_{\rm{a}}}$。对于攻击检测机制而言，如果采用生成式模型进行构造，会包含针对ADS-B流数据的预测器，用于实现对ADS-B数据的实时预测。该预测器一般用于描述ADS-B数据在正常模式下应当取的预测值，设该预测序列为${{{x}}_{\rm{p}}}$。预测序列${{{x}}_{\rm{p}}}$作为ADS-B数据序列${{{x}}_i}$在下一时间窗口的参考值，可以用于构建ADS-B数据的偏差序列，为攻击检测提供基本的判别依据。设预测器为$\psi$，则预测数据为${{{x}}_{\rm{p}}} = \psi {\rm{(}}{{{x}}_i}{\rm{)}}$。在进行数据恢复的过程中，预测器是必要的。当攻击行为具有较强的不确定性和较高的动态性时，攻击数据恢复将采用预测数据作为填充数据，完成最低限度的弹性恢复功能。

如图1所示，针对ADS-B序列进行的弹性恢复是以可靠的攻击检测策略为前提的，并且攻击检测机制中需要包含有效的在线预测机制。当攻击检测完成并将当前数据标记为攻击数据后，可以确定攻击数据${{{x}}_{\rm{a}}}$和可靠的历史数据${{{x}}_{\rm{n}}}$。利用可靠的历史数据，能够得到重要的参考预测值。弹性恢复策略在攻击数据起始标记值${a_{\rm{s}}}$处被触发，基于预测序列${{{x}}_{\rm{p}}}$和攻击数据序列${{{x}}_{\rm{a}}}$构建弹性恢复策略，确定攻击数据的恢复值以及恢复完成的终止点。设弹性恢复策略为$\varUpsilon$，恢复数据序列为${{{x}}_{\rm{r}}}$，恢复终止标记点为${a_{\rm{e}}}$，则弹性恢复问题可以描述为：$\{ {{{x}}_{\rm{r}}},{a_{\rm{e}}}\} = \varUpsilon ({{{x}}_{\rm{a}}},{{{x}}_{\rm{p}}},{a_{\rm{s}}})$。在恢复过程中，恢复数据序列将与参考数据序列进行偏差分析，确定恢复的终止标记点。恢复数据序列将持续替换攻击数据序列，向信息系统中的决策流进行推送。

图 1  问题建模

下载: 全尺寸图片 幻灯片

3.   弹性恢复方法

3.1   数据建模

考虑到信道噪声、量测误差等因素，包含噪声数据影响的ADS-B正常数据序列表示为${{{x}}_{\rm{n}}} = {{{x}}_{\rm{o}}} + {{z}}$，其中${{{x}}_{\rm{o}}}$为飞行器状态数据的真实值，${{z}}$为噪声数据。但是，噪声数据一般难以从正常数据中完全去除。针对正常数据构建的预测数据序列，作为重要的参考数据建模为${{{x}}_{\rm{p}}} = \psi ({{{x}}_i}) = {{{x}}_{\rm{n}}} + {{{x}}_{\rm{m}}}$，其中${{{x}}_{\rm{m}}}$为模型预测误差。预测数据必须与量测数据序列保持同步采样，当量测数据为正常数据序列时，预测数据与量测数据保持高度近似。对于攻击检测机制判定的攻击数据序列，需要重点关注其包含的攻击向量，因而将其建模为${{{x}}_{\rm{a}}} = {{{x}}_{\rm{n}}} + {{{a}}_{\rm{v}}}$，其中${{{a}}_{\rm{v}}}$为攻击向量。在基于攻击数据完成正常数据的重构恢复时，攻击向量必须得到削弱或者剔除，从而将其取值向正常数据序列${{{x}}_{\rm{n}}}$进行靠拢。

基于量测数据序列和预测数据序列构建偏差序列${{{x}}_{\rm{d}}}$，用以表征当前数据量偏离生成式模型的预测参考值的距离：${{x}}_{\rm{d}}^{(j)} = {{{F}} _L}({{x}}_{\rm{p}}^{(j)} - {{x}}_i^{(j)}) = \left| {{{x}}_{\rm{p}}^{(j)} - {{x}}_i^{(j)}} \right|$，其中${{{F}} _L}$为距离度量函数。当${{{x}}_i} = {{{x}}_{\rm{n}}}$时，${{x}}_{\rm{d}}^{(j)} = \left| {{{x}}_{\rm{m}}^{(j)} - {{{z}}^{(j)}}} \right| \to 0$；当${{{x}}_i} = {{{x}}_{\rm{a}}}$时，${{x}}_{\rm{d}}^{(j)} = \left| {{x}}_{\rm{m}}^{(j)} - {{{z}}^{(j)}} - {{a}}_{\rm{v}}^{(j)} \right| \sim \left| {{{a}}_{\rm{v}}^{(j)}} \right| \gg 0$。因此，在攻击条件下，${{{x}}_{\rm{d}}}$携带了攻击向量的信息，可以作为数据恢复的参考基准。基于特定时间窗口内的量测数据构建差分序列${{{x}}_{\rm{b}}}$，用以表征当前数据量在指定时间窗口内相邻取值的变化幅值：${{x}}_{\rm{b}}^{(j)} = {{{F}} _{\rm{b}}}({{x}}_i^{(j + {T_{\rm{w}}})},{{x}}_i^{(j)}) = \left| {{x}}_i^{(j + {T_{\rm{w}}})} - {{x}}_i^{(j)} \right|$，其中${T_{\rm{w}}}$为时间窗口长度，${{{F}} _{\rm{b}}}$为差分数据度量函数。当${{{x}}_i} = {{{x}}_{\rm{n}}}$时，${{x}}_{\rm{b}}^{(j)} = \left| {\Delta {{x}}_{\rm{n}}^{(j)}} \right| \in [0,{{\rm{C}}_{\rm{b}}}]$；当${{{x}}_i} = {{{x}}_{\rm{a}}}$时，${{x}}_{\rm{b}}^{(j)} = \left| {\Delta {{x}}_{\rm{n}}^{(j)} + \Delta {{a}}_{\rm{v}}^{(j)}} \right| \gg {{\rm{C}}_{\rm{b}}}$，其中${{\rm{C}}_{\rm{b}}}$为常量，一般取值为较小的判定阈值。在攻击条件下，差分数据能够描述攻击行为导致的时序关联特性的破坏量，为恢复数据的时序关联特性提供重要支持。根据量测到的不同目标的状态数据序列，分析当前飞行器的邻近密度数据序列${{{x}}_{\rm{g}}}$，用以表征当前飞行器在特定采样时间周期内对应空域飞行器的密度变化情况：${{{x}}_{\rm{g}}} = N({{{x}}_i})/{{{F}} _{\rm{g}}}({{{x}}_i})$，其中${{{F}} _{\rm{g}}}$表示以当前飞行器为球心测算的空间范围，$N$表示当前飞行器在${{{F}} _{\rm{g}}}$内邻近飞行器的数量。当${{{x}}_i} = {{{x}}_{\rm{n}}}$时，$\left| {\Delta {{x}}_{\rm{g}}^{(j)}} \right| \to {\delta _{\rm{o}}}$，其中${\delta _{\rm{o}}}$为0的邻域；当${{{x}}_i} = {{{x}}_{\rm{a}}}$时，$\left| {\Delta {{x}}_{\rm{g}}^{(j)}} \right| > {C_{\rm{g}}}$，其中${C_{\rm{g}}}$为浮动的判定阈值。邻近密度数据序列充分利用了ADS-B数据的空间关联特性，当攻击行为注入大量飞行器目标时，$\Delta {{{x}}_{\rm{g}}}$会出现较大波动。

3.2   恢复方法

在针对ADS-B攻击数据进行恢复时，通过综合考虑该数据序列在攻击影响下的变化、在时空关联下的不确定性波动，使用偏差数据${{{x}}_{\rm{d}}}$、差分数据${{{x}}_{\rm{b}}}$和邻近密度数据${{{x}}_{\rm{g}}}$构建描述攻击影响的度量集合${{X}} = \{ {{{x}}_{\rm{d}}},{{{x}}_{\rm{b}}},{{{x}}_{\rm{g}}}\}$。通过分析度量集合${{X}}$中序列变化趋势，定制攻击数据恢复方法，实现攻击数据向正常数据的有效映射。

3.2.1   偏差数据分析

当获取到偏差数据序列${{{x}}_{\rm{d}}}$时，分析其变化趋势。首先，利用线性模型进行估计，以便应对常量偏差注入攻击引入的破坏效果，设当前偏差数据序列满足线性模型$f({{{x}}_{\rm{d}}}) = {{{\omega }}^{\rm{T}}}{{{x}}_{\rm{d}}} + {{b}}$，考虑到模型误差和噪声影响，使用支持向量回归(Support Vector Regression, SVR)对偏差数据的潜在规律进行估计，利用拉格朗日乘子法获得该线性模型的解集合$\{ {{\omega }},{{b}}\}$。当线性模型拟合误差的期望值在判定时间窗口内持续低于阈值${\delta _l}$时，接受线性模型的假设，利用估计量$\hat f({{{x}}_{\rm{d}}})$对攻击数据构建恢复量${{\chi }}$，作为攻击数据的替代值：

当偏差数据序列无法被线性模型拟合时，利用混合高斯模型(Gaussian Mixture Model, GMM)对偏差数据序列${{{x}}_{\rm{d}}}$满足的概率分布进行估计，以应对随机偏差注入攻击对ADS-B序列的影响。利用时间窗口内的偏差数据序列作为GMM模型的输入，对不同数据点满足的高斯分布参数进行估计，获得描述攻击数据偏差的混合高斯模型。进而，针对不同偏差数据点${{{x}}_{\rm{d}}}^{(i)}$，利用其所对应的高斯分布获取期望值${\rm{E}} ({{{x}}_{\rm{p}}}^{(i)})$并构建恢复量${{\chi }}$

3.2.2   差分数据分析

差分数据是对量测数据序列时序关联的度量，对数据篡改攻击较为敏感，能够对数据重放攻击进行针对性恢复。针对相邻量测数据值构建基本的差分数据序列${{{x}}_{\rm{b}}}$，当${{{x}}_{\rm{b}}}$出现突变时，设突变数据点为$i = k$，有${{{x}}_{\rm{b}}}^{(k)} > {{\rm{C}}_{\rm{b}}}$。对突变数据点后续数据序列，在时间长度${l_t}$内分析${{{x}}_{\rm{b}}}$的幅值变化。设定差分数据变化的可信阈值为${C_\tau }$，当$\Delta {{x}}_{\rm{b}}^{(i)} > {C_\tau }$时，说明当前数据已经被恶意篡改，并且攻击者没有按照飞行器目标的状态连续变化构造攻击向量。为了应对该情况下的攻击行为，使用预测数据序列对攻击数据进行填充替换。当$\Delta {{x}}_{\rm{b}}^{(i)} \le {C_\tau }$时，说明当前数据没有超出飞行器目标状态连续变化的基本约束，位置和速度信息仍然满足基本的运动规律。在飞行器状态数据重置和数据重放攻击条件下，易出现该类ADS-B量测序列。为了有效恢复相邻数据的连续变化，构建时间窗口集$T = \{ {t_i}|{t_i} = {\gamma _i}{t_{\rm{o}}},{\gamma _i} \in {N_ + }\}$，其中${t_{\rm{o}}}$是两组ADS-B数据的发送时间间隔。通过对${\gamma _i}$进行有效选择，在不同时间窗口条件下对数据的周期性变化规律进行挖掘。为了实现遍历效率和分析性能的权衡，令${\gamma _i} = {2^i},i \in {N_ + }$，其中将${\gamma _i}$选取值的数量上限为${n_\gamma }$，即$\left| {\{ {\gamma _i}\} } \right| < {n_\gamma }$。进一步地，对特定时间周期内数据的变化进行度量。

当该度量值的变化均值稳定在较小范围内时，攻击数据潜在的攻击模式可能为重放攻击行为

其中，$\varepsilon$为评估数据周期性变化的关键指标，当数据在时间维度产生平移后，$\varepsilon$会处在较小的取值空间中。特别地，当${\gamma _{\rm{c}}}$与攻击者实施重放攻击的时间差相匹配时，$\varepsilon \to 0$。当出现如式(4)所示的情况时，将当前攻击数据序列在时间维度向前平移${\gamma _{\rm{c}}}$个时间长度，并利用预测数据序列对攻击数据最后${\gamma _{\rm{c}}}$个数据值进行预测填充。当$\varepsilon > \phi {C_\tau }$时，依托预测器对攻击窗口内的数据进行预测，并利用偏差数据序列进行定向恢复。

3.2.3   邻近密度数据分析

邻近密度数据是在空域飞行密度快速增长的过程中度量目标飞行器状态数据空间关联性的重要指标。以当前被攻击目标为球心构建邻近密度测算范围$K$，设ADS-B接收器接收半径为${r_{\rm{c}}}$，选定的邻近密度测算半径为${R_{\rm{d}}} = \kappa {r_{\rm{c}}},\kappa \in [0,1]$。在时间窗口${T_{\rm{d}}}$内，如果遭受攻击的飞行器目标邻近密度数据出现快速增长时，即$\Delta {{{x}}_{\rm{g}}} > {C_{\rm{g}}}$，此时攻击数据可能受到飞行器泛洪攻击影响。一般地，${C_{\rm{g}}}$取值会高于正常状态下邻近密度取值的最大值。

其中，$\tau$为ADS-B消息的接收时间间隔，当ADS-B数据在时间窗口${T_{\rm{d}}}$内持续出现邻近密度快速增长时，当前飞行器为幽灵飞行器的概率随之增长。设在邻近范围$K$内，遭受攻击的目标飞行器数量为${n_{\rm{a}}}$，对应的全部目标数量为${n_{\rm{w}}}$，则定义攻击目标密度为

如果在当前遭受攻击的飞行器目标邻近范围内，出现多个攻击数据序列，并且均满足$\rho > {C_\rho }$，则将标记为攻击数据序列的目标进行抛弃。如果当前范围内仅存在1个攻击数据序列，则借助差分数据对当前数据序列进行恢复。

3.2.4   弹性恢复策略

通过对偏差数据序列、差分数据序列和邻近密度数据序列等数据的综合分析，针对单个攻击数据序列构建弹性恢复策略。对ADS-B数据进行实时采集以获取量测序列${{{x}}_i}$，根据系统已经部署的攻击检测算法获取ADS-B预测序列${{{x}}_{\rm{p}}}$和攻击初始点${a_{\rm{s}}}$。根据${a_{\rm{s}}}$将量测序列${{{x}}_i}$划分为正常数据序列${{{x}}_{\rm{n}}}$和攻击数据序列${{{x}}_{\rm{a}}}$，构建偏差数据序列${{{x}}_{\rm{d}}}$。如果${{{x}}_{\rm{d}}}$满足线性变化规律，直接对攻击向量进行提取，利用SVR方法构建恢复向量${{\chi }}$；如果${{{x}}_{\rm{d}}}$满足非线性规律，利用GMM方法对其潜在的分布规律进行分析，构建恢复向量${{\chi }}$作为后续分析的基础。根据${{{x}}_{\rm{a}}}$构建差分数据序列${{{x}}_{\rm{b}}}$，如果差分数据序列在某个特定的时间点超出可信阈值${{\rm{C}}_{\rm{b}}}$，则判定当前遭受时序攻击的概率较高。如果破坏效果在$\Delta {{{x}}_{\rm{b}}}$中持续存在，则使用恢复向量${{\chi }}$进行填充；如果破坏效果在$\Delta {{{x}}_{\rm{b}}}$序列中仅在有限时间点处出现突变，在时间窗口集$T$中进行遍历，选择使得对应时间长度下差分数据累积和最小的时间窗口标记值${\gamma _{\rm{c}}}$，并在该时间窗口${\gamma _{\rm{c}}}{t_{\rm{o}}}$下分析数据周期性变化指标$\varepsilon$。如果$\varepsilon \le \phi {C_\tau }$，则在时间维度上将${x_{\rm{a}}}$向前平移${\gamma _{\rm{c}}}$个时间长度并利用${{{x}}_{\rm{p}}}$对攻击数据${\gamma _{\rm{c}}}$个数据值进行预测填充，否则利用预测数据序列${{{x}}_{\rm{p}}}$对整个攻击数据序列${{{x}}_{\rm{a}}}$进行预测填充。进一步地，利用量测数据序列${{{x}}_i}$分析邻近密度数据序列${{{x}}_{\rm{g}}}$，当邻近密度数据序列的变化量$\Delta {{{x}}_{\rm{g}}}$的统计量超出可信阈值${C_{\rm{g}}}$且攻击目标密度值$\rho$超出控制上限${C_\rho }$时，对应攻击数据序列将以大概率认定为幽灵飞行器目标，因而将该量测数据序列进行抛弃，并进行标记。

经过上述综合分析后，能够得到有效的弹性恢复向量${{{x}}_{\rm{r}}}$，并在此基础上对攻击数据序列进行恢复。基于恢复数据序列${{{x}}_{\rm{r}}}$与量测数据序列${{{x}}_i}$的偏差构建终止点${a_{\rm{e}}}$的确定规则。设定时间维度上的滑动窗口并构建数据采样时间点集合${T_{\rm{r}}}$，其采样间隔等同于相邻ADS-B数据报文接收的平均时间间隔$\tau$，滑动窗口长度为$\left| {{T_{\rm{r}}}} \right|$。在时间采样点集合${T_{\rm{r}}}$内，当恢复数据序列和量测数据序列持续近似时，ADS-B数据逐步达到弹性恢复的终止点${a_{\rm{e}}}$。

一旦${a_{\rm{e}}}$被确定，恢复过程将被终止，并将采集得到的量测数据流作为正常数据送入空管监视系统的后续处理流程。

3.3   策略评估

当弹性恢复策略应用到攻击数据序列时，攻击行为造成的破坏影响将得到一定程度的削弱。为了对该恢复策略进行有效评估，使用第三方参考监视数据源作为正常可靠数据对恢复数据进行比对分析。在进行评估的过程中，会使用到多种监视数据源数据，这是为了防止单个数据源引入的噪声和攻击不确定性。因为攻击者对所有监视手段同时实施攻击的可能性比较小，因而使用除ADS-B数据之外的多种参考数据源构建时间同步的正常数据序列${{{x}}_{\rm{f}}}$。基于参考数据源${{{x}}_{\rm{f}}}$、攻击数据${{{x}}_{\rm{a}}}$和恢复数据序列${{{x}}_{\rm{r}}}$构建评估恢复策略有效性的指标$Q$

其中，${\rm{E}}$为期望函数，${\rm{D}}$为方差函数，$\varphi$为权重常量，$\eta$为避免分母为0的微小修正量。评估指标$Q$重点考虑了恢复策略对攻击影响的削弱程度以及恢复过程中的稳定性。当恢复序列逼近正常取值并且稳定地分布在正常值邻近范围时，$Q$的取值会增大；当恢复序列远离正常取值或者恢复序列仅仅恢复小比例攻击数据时，$Q$的取值会减小。

4.   实验分析

在实验过程中，针对6种常见的攻击样式应用弹性恢复方法，对偏差数据序列、差分数据序列和邻近密度数据序列的特性进行分析，实现对弹性恢复策略有效性的验证。本实验以真实ADS-B数据集作为分析基础，所有数据获取自OpenSky项目^[17]，结合攻击行为对数据序列的攻击影响构造实验分析所需的攻击数据集。以文献[14]提出的攻击检测方法作为基础，利用层次时序记忆模型构建ADS-B量测序列的在线预测数据序列，随机选取攻击目标并应用本文提出的弹性恢复方法完成分析验证。

4.1   攻击行为分析

由于安全法规的限制，在真实空域环境中ADS-B攻击数据难以有效采集。通过对ADS-B数据攻击模式的分析，依托表1所示的典型攻击样式构造特定攻击数据序列。对于常量偏差注入攻击(ATK-1)，攻击向量构造为${{{a}}_{\rm{v}}} = {\cal K}{{{x}}_{\rm{n}}},{\cal K} \in [0,0.1]$，偏差注入比例${\cal K}$控制在对应属性数据取值的10%以内，在正常数据序列中附加常量偏差，实现对正常数据的定向篡改；对于随机偏差注入攻击(ATK-2)，攻击向量构造为${{{a}}_{\rm{v}}} = \lambda {{\cal K}_0}{{{x}}_{\rm{n}}}$，偏差注入初始比例${{\cal K}_0}$略大于${\cal K}$，随机数值因子$\lambda \sim N(0,1)$，实现在正常数据序列中附加一定比例的随机值，使攻击数据在正常数据邻近范围抖动；对于增量偏差注入攻击，攻击向量构造为${{a}}_{\rm{v}}^{(i)} = {\widetilde {\cal K}_0}{{x}}_{\rm{n}}^{(i)}({t_i} - {t_0})/\tau$，偏差注入基础比例${\widetilde {\cal K}_0}$略小于${\cal K}$，$({t_i} - {t_0})/\tau$为当前数据采样点距离攻击初始点${a_s}$的时间间隔，随着时间间隔的逐渐增长，对应的注入偏差取值按比例递增，使正常数据的偏差随时间不断扩大；对于航迹替换攻击，攻击向量构造为${{{a}}_{\rm{v}}} = - {{{x}}_{\rm{n}}} + {{{x}}'_{\rm{n}}}$, ${{{x}}'_{\rm{n}}}$为替换数据，设定为邻近飞行器在等长时间窗口的数据序列，是正常数据在攻击窗口内被直接替换；对于航迹重放攻击，攻击向量构造为${{a}}_{\rm{v}}^{(i)} = - {{x}}_{\rm{n}}^{(i)} + {{x}}_{\rm{n}}^{(i - {\cal T})}$，其中时延控制参数${\cal T} > 5\tau$，将时间间隔${\cal T}$之前的数据替换当前时间点的数据，间接造成正常数据的接收时延增大。对于飞行器泛洪攻击，是向攻击空域注入大量虚假飞行器数据，虚假飞行器数据通过随机构造飞行器的位置信息构成，注入的数量在30架次到300架次之间。利用攻击检测算法构建在线预测序列并对攻击数据进行标记，构建攻击影响度量集$X$，作为弹性恢复策略的输入。

表 1  构造的典型攻击样式

编号	攻击模式	攻击影响
ATK-1	常量偏差注入攻击	针对ADS-B多属性数据注入常量偏差
ATK-2	随机偏差注入攻击	针对ADS-B多属性数据注入随机偏差
ATK-3	增量偏差注入攻击	针对ADS-B多属性数据注入增量偏差
ATK-4	航迹替换攻击	针对特定时间窗口内的航迹进行替换
ATK-5	航迹重放攻击	在特定时间长度下实现航迹重放
ATK-6	飞行器泛洪攻击	向当前空域态势中注入大量幽灵飞行器目标

下载: 导出CSV 

| 显示表格

4.2   数据序列分析

针对偏差数据、差分数据和邻近密度数据序列，结合6种攻击模式进行分析获取。ATK-1～ATK-3 3种攻击模式适用于偏差数据分析，并利用恢复向量进行恢复；ATK-4～ATK-5两种攻击模式适用于利用差分数据进行分析，对ATK-5进行时间平移能够有效削弱攻击影响；ATK-6攻击模式适合使用邻近密度数据序列进行恢复。在弹性恢复策略中，对于未知数据会首先根据偏差数据计算恢复向量，而后基于差分数据进行数据恢复，当攻击数据不适合通过时间平移进行恢复时会使用恢复向量进行数据替代，最后基于邻近密度数据针对幽灵飞行器注入攻击进行防御，及时剔除虚假的飞行器节点。

4.2.1   偏差数据分析

偏差数据是对攻击数据偏离正常数据潜在合规模式的有效度量。如图2所示，常量偏差注入攻击偏差数据和增量偏差注入攻击偏差数据可以使用线性模型进行拟合；随机偏差注入攻击偏差数据出现随机波动，使用概率分布估计能够对该数据序列进行描述。航迹替换攻击偏差数据频繁出现跳变，航迹重放攻击偏差数据在攻击开始和结束时出现波动，这两种攻击模式不易于直接使用基于偏差数据的恢复策略进行恢复。对常量偏差注入攻击偏差数据和增量偏差注入攻击偏差数据使用SVR进行拟合，能够对产生的偏差进行更好地估计，在下一时刻数据遭受破坏之前对偏差进行提前感知。对随机偏差注入攻击偏差数据使用GMM进行均值的分析，能够使用该均值对攻击数据进行恢复。

图 2  偏差数据分析

下载: 全尺寸图片 幻灯片

如图3所示，对ATK-1～ATK-3 3种攻击模式应用恢复策略，可以发现在攻击采样点100到攻击采样点200之间，恢复数据更加靠近正常数据附近。虽然仍旧保留了一定的攻击特征，但是在数值上显著地削弱了不同攻击模式的影响。

图 3  数据恢复效果(ATK-1～ATK-3)

下载: 全尺寸图片 幻灯片

4.2.2   差分数据分析

差分数据用于分析ADS-B数据序列的时序关联特性，如图4所示。航迹替换攻击的差分数据在攻击起始点和终止点出现突变；航迹重放攻击的差分数据同样在起始点和终止点出现显著变化，但是幅度相较于航迹替换攻击要小很多，在攻击过程中在较小范围内出现浮动。

图 4  差分数据分析

下载: 全尺寸图片 幻灯片

通过对航迹替换攻击和航迹重放攻击两种攻击模式进行恢复，攻击数据在一定程度上得到纠正，如图5所示。航迹替换攻击数据的恢复使用预测数据进行替换，由于替换航迹的不确定性，其恢复过程很不稳定，并仍旧与原航迹保持一定偏差；航迹重放攻击数据的恢复通过平移时间的最优化完成数据的逆向恢复，使攻击引入的时延得到修正。

图 5  数据恢复效果(ATK-4, ATK-5)

下载: 全尺寸图片 幻灯片

4.2.3   邻近密度数据分析

通过对不同幽灵飞行器注入规模下的邻近密度数据进行采集分析，可以发现在该攻击模式下飞行器的邻近密度会出现快速增长，为进一步判别和标定飞行器泛洪攻击数据及攻击目标密度提供了支撑。如图6所示，通过应用恢复策略能够对幽灵飞行器进行删除，使空情态势遭受的破坏程度得到削弱，但是由于攻击目标密度在与真实飞行器较邻近范围内比较小的原因，存在部分幽灵飞行器没有被完全剔除。这使得针对飞行器泛洪攻击的数据恢复存在一定的限制。

图 6  数据恢复效果(ATK-6)

下载: 全尺寸图片 幻灯片

4.3   恢复策略分析

通过对6种典型攻击模式进行弹性恢复，能够获取到恢复数据和正常数据之间的差异数据。如图7所示，通过对$Q$值的分析，能够获取恢复策略对不同攻击模式的恢复效能。恢复策略对ATK-1～ATK-3的恢复效果更好，偏差注入攻击在有效的偏差估计方法下能够得到有效削弱。对常量偏差注入攻击(ATK-1)数据的恢复相对较差，这主要是由于常量偏差仅在攻击起始点位置出现大幅度波动，同时较小的常量偏差数值难以从攻击数据序列中有效提取；航迹替换攻击(ATK-4)由于替换航迹的不确定性，其恢复性能在6种典型攻击数据中是最差的；航迹重放攻击(ATK-5)受限于重放时延的搜索，恢复性能受到一定影响；飞行器泛洪攻击数据在恢复策略下能够对虚假飞行器目标进行一定程度上的剔除，部分与合法飞行器距离较近的飞行器数据不易被及时滤除，空情态势感知的可用性只能在一定程度上得到恢复。

图 7  恢复策略效能分析

下载: 全尺寸图片 幻灯片

5.   结束语

为了弥补ADS-B数据攻击检测策略缺乏有效数据恢复机制的不足，充分利用ADS-B攻击数据携带的合规数据信息，提出针对ADS-B数据的弹性恢复策略。对ADS-B攻击数据序列进行正常状态信息的重构，利用偏差数据序列、差分数据序列和邻近密度数据序列构建弹性恢复策略，实现对多样化攻击模式的有效恢复，确保空情态势感知的可用性。

但是，提出的恢复策略中存在多个可信阈值需要进行设定，这些阈值对数据恢复性能具有重要影响，在实践过程中主要利用可靠的历史数据的统计信息进行估计，但是由于ADS-B数据自身存在的动态性使得阈值的有效确定仍是恢复策略中需要持续改进和完善的重要方面。此外，前置攻击检测算法中的预测数据的可靠性对ADS-B数据弹性恢复方法的性能也会带来一定的影响，在进行数据恢复过程中仍需要进一步提升对攻击行为识别的准确性，以制定更具针对性的弹性恢复策略。