标签:Trustworthiness Estimation
论文标题:Trustworthiness Estimation of Entities within Collective Perception
发表期刊/会议:2019 IEEE Vehicular Networking Conference (VNC)
问题:V2X通信范围内的agent可能受到天气、故障或网络攻击的影响,导致传输的信息可能是由攻击者伪造的或者包含由故障引起的不一致的信息,使用通过V2X通信收到的错误信息可能会危及道路使用者的安全。因此,对错误数据的检测必不可少,需要评估所接收信息的可靠性和质量。
1 可信度估计
应用贝叶斯过滤器进行概率建模,根据两个agent提供的数据的一致性来估计可信度,同时量化对数据正确性的信心。 为了防止伪造或错误的数据渗入global awareness,直接对传入的原始数据进行评估,利用host车辆的 global awareness作为参考,基于两个agents的environmental awareness的一致性来估计两个agent的可信度。
1.1 贝叶斯滤波器
在可信度估计中,state只包括一个二元假设:
(1) entity 1和entity 2都是可信的 ( T e 1 ∧ e 2 ) (\mathcal{T}^{e1∧e2}) (Te1∧e2);
(2) 两者中至少有一个是不可信的 ( T e 1 ∨ e 2 ) ({\mathcal{T}}^ {e1∨e2}) (Te1∨e2)。
在两个 entity 的时间 k k k之前的轨迹列表信息条件下,两个entity 在时间 k k k都是可信的概率表示为 p ( T k e 1 ∧ e 2 ∣ T e 1 k , T e 2 k ) p(\mathcal{T}^{e1∧e2}_k |\mathcal{T}^k_{e1},\mathcal{T}^k_{e2}) p(Tke1∧e2∣Te1k,Te2k)。两个轨迹列表信息 T k \mathcal{T}^k Tk中至少有一个是不可信的概率为 1 − p ( T k e 1 ∧ e 2 ∣ T e 1 k , T e 2 k ) 1-p(\mathcal{T}^{e1∧e2}_k |\mathcal{T}^k_{e1},\mathcal{T}^k_{e2}) 1−p(Tke1∧e2∣Te1k,Te2k)。每个列表都包括感知obeject的track以及ego track。
应用贝叶斯滤波器来估计可信度,贝叶斯滤波器递归地估计object状态,即估计每个time-step k k k 的两个 entity 是否可信的概率。
1. 预测从前一个时间 k − 1 k-1 k−1到当前时间 k k k的状态。
使用状态转换概率 p c T p_{c_\mathcal{T}} pcT和 p c ˉ T p_{\bar{c}_\mathcal{T}} pcˉT来预测 prior trustworthiness 的概率:
其中, p c T p_{c_T} pcT是两个entity 都还值得信任的概率, p c ˉ T p_{\bar{c}_\mathcal{T}} pcˉT表示其中一个或两个entity都不值得信任的概率。
- 参数 p c T p_{c_T} pcT选择略小于1以模拟假设:两个值得信赖的entity都可能在下一个time step 继续值得信赖,但至少有一个 entity 变成了不可信赖的概率为 1 − p c T 1-p_{c_T} 1−pcT。
- 参数 p c ˉ T p_{\bar{c}_\mathcal{T}} pcˉT的选择略大于0以模拟假设:所有不值得信任的entity都有可能变成值得信任的,但很可能不值得信任的实体将继续不值得信任。
2. 更新可信度
通过检查entity1的track列表 T e 1 T_{e1} Te1和entity2的track列表 T e 2 T_{e2} Te2之间的一致性来更新可信度。
- Association:模拟不同的 observable events 的概率
a) 两个entity都可信任
在两个entity 都可信任的条件下,entity1 的tracks列表中的track t j t_j tj能与entity2 的tracks列表中的track t i t_i ti相对应的概率 p ( t ∣ T k ) p (t|\mathcal{T}_k) p(t∣Tk),取决于该object存在的概率和该objiect可被entity1 的传感器检测到的检测概率:
其中,使用entity 2作为reference,即entity 2的估计作为object存在的概率。
b) 至少有一个entity可信任
在至少有一个entity 可信任的条件下,entity 1 的track列表中的track t j t_j tj与entity 2 的track列表中的track t i t_i ti相对应的概率 p ( t ∣ T k ′ ) p(t|\mathcal{T}'_k) p(t∣Tk′):
(1)如果object存在: p ( t ∣ T k ′ ) p(t|\mathcal{T}'_k) p(t∣Tk′)为使用参数 p ˉ f \bar{p}_f pˉf(用于估计部分不是伪造objects的参数)降低了的 p ( t ∣ T k ) p (t|\mathcal{T}_k) p(t∣Tk)。
(2)如果object至少在一个entity的列表中是存在的:使用一个杂波概率 p c p_c pc来模拟一个伪造的object被意外匹配到的可能性,这里的 p c p_c pc被建模为一个略大于0的常数。
- No association
在entity 1和entity 2都值得信任的条件下,entity 1的track列表中没有track t j t_j tj可以分配给entity 2的track t i t_i ti 的概率 p ( t ˉ ∣ T k ) = 1 − p ( t ∣ T k ) p (\bar{t}|\mathcal{T}_k)=1-p (t|\mathcal{T}_k) p(tˉ∣Tk)=1−p(t∣Tk)。
因此,在至少有一个entity 是不可信的条件下,在entity 1的track列表中没有track t j t_j tj可以分配给entity 2的track列表中的track t i t_i ti的概率 p ( t ˉ ∣ T k ′ ) = 1 − p ( t ∣ T k ′ ) p(\bar{t}|\mathcal{T}'_k)= 1 -p(t|\mathcal{T}'_k) p(tˉ∣Tk′)=1−p(t∣Tk′)。 - 复合事件概率
结合观察到的情况以减少计算量,最后使用复合概率作为一致性检查的结果来更新可信度。
假设轨道track可用的单个事件是有条件独立分布的,那么以两个entity 是否可信为条件的复合事件的复合概率为:
其中,在track列表 T e 1 T_{e1} Te1和 T e 2 T_{e2} Te2之间已经匹配到了 N N N条轨道,有 M M M条轨道没有被关联。
最终,两个entity 都值得信任的概率和至少一个entity 不值得信任的概率按照以下方式更新:
其中,根据entity 1和entity 2截至时间 k k k的track列表的信息,后验可信度由两个entity 都是可信的概率 p ( T ∣ T k ) p(\mathcal{T}|T^k) p(T∣Tk)和至少一个是不可信的概率 p ( T ′ ∣ T k ) p(\mathcal{T}'|T^k) p(T′∣Tk)表示。
从entity 1和entity 2到时间 k − 1 k-1 k−1的track列表中获得的先验可信度分别用 p ( T ∣ T k − 1 ) p(\mathcal{T}|T^{k-1}) p(T∣Tk−1)和 p ( T ′ ∣ T k − 1 ) p(\mathcal{T}'|T^{k-1}) p(T′∣Tk−1)表示。从时间 k k k的track列表中得到的 measurement 信息由 p ( E ∣ T k ) p (E|\mathcal{T}_k) p(E∣Tk)和 p ( E ∣ T k ′ ) p (E|\mathcal{T}'_k) p(E∣Tk′)表示。归一化系数 η η η定义为:
1.2 参数的建模
应用参数、检测概率和非伪造对象参数。
1.2.1 检测概率 p d p_d pd
检测概率 p d p_d pd 表示一个entity 是否能够提供关于一个object的有效信息的概率,利用传感器的FOV和障碍物遮挡对其进行建模。每个传感器的FOV受其最小和最大范围及角度的限制,检测概率在FOV的极限附近会下降。周围的障碍物只包括已确认的跟踪object以及来自地图数据的静态object。根据障碍物的范围,对被遮挡的区域进行建模,其中视线传感器的检测概率收敛为0。
1.2.2 用于估计部分不是伪造objects的参数 p ˉ f \bar{p}_f pˉf
参数 p ˉ f \bar{p}_f pˉf根据检测概率和是否存在可匹配的track来确定。对于entity 2的track列表中的所有object,entity 1能够检测到track t i t_i ti 的概率超过阈值 t t t的次数被计算出来。此外,在entity 1 能够检测到track t i t_i ti的条件下, 计算entity 1的track没有与entity 2的track列表中的track匹配到的频率。概率 p ˉ f \bar{p}_f pˉf计算如下:
如果分子或分母中的第二项为0,则 p ˉ f \bar{p}_f pˉf被设定小于1和大于0的常量。
2 评估
基于提供移动性数据和传感器测量的仿真器评估所提出的可信度估计方法,仿真场景包括 5 辆正在交换CPM的车辆,即4辆remote车辆(entity 1-4)和1 辆host车辆(entity 5)。所有entity 都正在驶过同一个十字路口。entity 4跟随entity 1向北行驶,entity 2、3、5分别向西、向东和向南行驶。
为了评估所提出的方法,模拟了5次攻击。
- 在16s < t < 17s期间,entity 2通过传输关于entity 3的伪造的航向信息来攻击VANET。同时,entity 3本身也在传输包括ego状态信息的CPM,这时host车辆会收到冲突的信息,但不可能推断出哪个entity 在执行攻击。
- 在19.5s < t < 20.5s期间,entity 2再次伪造了关于entity 3的位置数据。由于除了来自entity 3的正确信息外,还有来自entity 1和4的正确信息,因此可以追溯到攻击者为entity 2。
- 在21.5s < t < 22.5s期间,entity 2传送了关于entity 1的伪造速度信息。host车辆从entity 1和4收到描述entity 1的真实信息。
- 在28s < t < 29s期间和32s < t < 35s期间的两次攻击中,entity 5传输了伪造的位置数据。最初,entity 1正在执行攻击,由于没有冗余,所以host无法检测出攻击者。
- 第5次攻击是由entity 4执行的,而entity 1提供了相互矛盾的、但正确的信息。
在评估期间,host车辆提供的数据被忽略,report 四个remote车辆中的任何一对的可信度评估的结果,即两个entity 都是可信的估计概率。
- 在第一次安全攻击期间,entity 2和3值得信任的概率收敛为0。一旦一个object进入两个entity 的FOV,其概率会增加或略微减少,这取决于该object被确认的及时性。减少的数量高度依赖于检测概率模型。
- 在第二和第三次安全攻击期间,entity 1和2以及entity 2和4值得信赖的概率收敛为0。一旦,entity 的FOV内没有object存在,其相应的可信度概率就会收敛到0.5。
- 第四次安全攻击没有被发现。
- 第五次安全攻击的结果是,entity 1和4的可信度概率收敛到0。
3 结论
为解决VANETs的安全问题,本文利用贝叶斯理论,通过评估接收到的数据的一致性来估计发送agent的可信度, 量化在VANETs内传输的数据的真实性。