[2026-01-05] Detection of Malicious (DMN) in Vehicular Ad-Hoc Networks

🦥 본문

Background

Ad-hoc network

중앙 집중화되지 않은 분산형 무선 네트워크. 라우터나 AP 같은 인프라에 의존하지 않고 라우팅 알고리즘에 따라 동적으로 노드에 의해 데이터 전달.

Related Works

Node Centric Misbehavior Detection Schemes

노드 중심 오작동 탐지 기법. 인증(보안 자격 증명, 디지털 서명)을 사용하여 서로 다른 노드 식별.

• 오작동 기반 평판 관리 시스템(MBRMS)
  1. 오작동 탐지
  2. 이벤트 전송
  3. 글로벌 퇴출
• Detection of Malicioust Vehicle (DMV)
  • 수신된 패킷을 복제하거나 드롭하는 관찰을 통해 악성 노드를 발견하고 distrust value를 부여해 정직한 노드로부터 격리하는 알고리즘. 검증자 노드들에 의해 모니터링
  • 해당 알고리즘을 개선하여 탐지뿐만 아니라 예방까지 아우름
    • 블랙홀 공격의 영향을 줄임

• QoS-OLSR 클러스터링

  Dempster-shafer 기반의 협력적 watchdog 모델을 사용함.

Data Centric Misbehavior Detection Schemes

데이터 중심 오작동 탐지 기법. 노드 신원보다 메시지를 분석. 1차 경고에 대응하여 생성되는 2차 경고 메시지 기반으로 오작동 탐지.

• VARM
  • 한 차량에서 모든 이웃 차량의 전송과 관련된 정보를 수집하는 매커니즘
• 확률적 접근 방식
  • 메시지의 신뢰도를 계산하고 정직한 차량으로부터 온 것인지 확인
• ML 기반
  • 관찰자 노드에 의해 계산되는 프레임 워크
  • 앙상블 기반
    • RSU에서 실행
    • 공격자를 찾아내고 배제하는 중앙 평가 시스템
• 단기 오작동 탐지 기법
  • heartbeat/becon 메시지를 통해 가짜 위치 및 속도 정보를 유포하는 악성노드를 탐지
• Fox-Hole 영역 활용
  • 위치와 속도를 바탕으로 차량 노드의 안전 수치를 찾는 데 도움을 주는 Fox-Hole 영역 활용
• 기만자 탐지 프로토콜
  • 가짜 혼잡 정보를 방송하고 존재하지 않는 다른 차량을 사칭하는 악성 차량을 탐지하는 프로토콜
  • 레이더를 이용하여 속도와 거리를 측정하여 혼잡 이벤트의 진위 여부 검증
• 악성 활동을 탐지하는 침입 탐지 시스템(IDS)
  • 수신 및 발신 패킷의 서명을 검증

Network Model

차량과 RSU로 구성. 인증 기관(CA) 존재.

CA

차량의 신원 관리와 검증자 노드가 보낸 오작동 보고서를 검증. 보고 내용이 사실로 판명할 경우 해당 노드의 distrust value를 수정

각 차량은 해당 클러스터 헤드로부터 제공받은 화이트리스트와 CA가 보낸 블랙리스트 보유

DMN 알고리즘

기준

네트워크 혼잡 유발, 다른 차량 노드를 잘못된 길로 유도, 이기적인 목적으로 수신된 패킷을 드롭/복제하는 것을 비정상적인 행동으로 간주. distrust value(DV)가 임계값을 초과하면 악성 차량으로 분류

알고리즘

source → relay → destination. 차량 노드(VN)가 relay 역할을 할 때, 신뢰 가능한 검증자(VU)가 행동을 모니터링.

• VU는 DV, load, 거리 기준으로 선택
  • 영역(CH, VN) 내 결정 매개변수 DP가 임계값 TVS보다 작은 노드들이 선택
    • CH : 클러스터 헤드. 클러스터 헤드가 신뢰할 수 없으면 더 신뢰할 수 있는 차량으로 교체.
• a : VN이 수신한 패킷 수
• b : VN이 드롭하거나 복제한 패킷 수.
  • 특정 시간 PL이 경과한 후, VN이 수신된 패킷을 전달하지 않거나 여러 개의 복사본을 보내면 1 unit 증가
• 새로운 DV 값은 모든 이웃 노드에게 알려지고 이웃은 목록을 업데이트. 화이트리스트에 있는 경우에는 협력하고 임계값을 넘어가면 CA로 보고
  • CA는 해당 악성 노드 ID를 broadcast
• 공식

  • 정의

    $Area(V_N) = TR(V_N) - P_L (S_{mx} - S_{mn})$

    Vn의 영역 = Vn의 전송 영역 - 패킷 지연 시간 * (최고 속도 - 최저 속도)

    • Load : 차량이 이미 모니터링 하는 노드의 수
    • Dv : 불신값이 낮을 수록 신뢰할 수 있는 노드
    • Ds : 모니터링 대상 차량으로부터의 거리. 거리가 가까울 수록 전송 범위 내에 더 오래 머물 수 있음

  • Dp : 결정 매개변수

    \[D_P = W_1 * L_D + W_2 * D_V + W_3 * D_S\]

    W1, W2, W3는 가중치. 총합이 1

동작 흐름

1. Vn이 네트워크에 진입
2. 클러스터 키를 얻음
3. Load, Dv, 거리 등을 계산하여 결정 매개변수를 구함
4. Dp 값이 임계값보다 작은 노드를 찾아 Vn의 검증자로 할당
5. 검증자가 Vn의 행동을 모니터링하고 비정상적인 행동이 감지되면 CH에 보고
6. CH는 불신값을 새로 계산하여 화이트리스트 업데이트 or CA에 보고 후 블랙 리스트에 추가, 모든 노드에 경고 메시지를 보냄

평가

NS-2를 사용하여 시뮬레이션 수행. 가중치는 40%, 30%, 30%.

성능은 패킷 전달률(PDR), 평균 End-to-End 지연 시간, Throughput 측면에서 계산

매개 변수

| Parameter (매개변수) | Value (값) | | — | — | | Number of Nodes (노드 수) | 50 | | Traffic Pattern (트래픽 패턴) | CBR (Constant Bit Rate) | | Network Size (네트워크 크기) | 2500x50 | | Simulation Time (시뮬레이션 시간) | 100s | | Speed of Vehicles (차량 속도) | 70-120 km/hr | | Packet Transmission Rate (패킷 전송률) | 5 packets/s | | Number of Malicious Nodes (악성 노드 수) | 5, 8, 10, 25 |

• $Throughput = \frac{\text{Total Received Packets}}{\text{Stop Time} - \text{Start Time}}$
• $PDR = \frac{\text{Data Packet Received by the Destinations}}{\text{Data Packet Generated by the Sources}}$
• $End\ to\ End\ Delay = \text{Packet Delivery Time at Destination} - \text{Packet Origination Time at Source}$

대상 차량보다 Dv값이 낮은 모든 노드를 검증자로 선택하던 알고리즘 개선.전체적으로 훨씬 뛰어난 성능. 후에 PSO(입자 군집 최적화) 같은 기술 고려

궁금한 점

검증자가 없어지면 어뜩함..? 또는 분산된 공격으로 악성 노드가 분산된 공격을 하면..? 또는 패킷을 많이 드롭시켜서 정상 차량을 악성 차량으로 판단시켜서 네트워크에서 제외시키면..?