关宇昕,冀浩杰,崔 哲,李 贺,陈丽文
(1. 华北理工大学机械工程学院,唐山 063210;
2. 北京航空航天大学合肥创新研究院,合肥 230012)
如今的汽车正朝着智能化、电动化、共享化、网联化——新四化方向发展[1]。随着智能汽车与车联网技术的不断融合,智能网联汽车(intelligent and connected vehicle,ICV)作为万物互联时期的新产物,已经成为全球众多国家的战略发展方向。汽车制造商为使汽车变得更为智能,向其内部增加了越来越多的电子控制单元(electronic control unit,ECU)、传感器和执行器等[2]。网联化的升级增加了车端信息与外界的互联互通,导致智能网联汽车信息安全风险不断增加。其中,车载无线通信技术(vehicle to everything,V2X)发展至今,已经成为现代智能汽车广泛应用的技术。该技术可以大幅度降低汽车安全事故的风险并提高驾驶人的舒适性。此外,汽车制造商将蓝牙、Wi-Fi、GPS和蜂窝网络等技术集成到T-box中[3],使车辆能够更多的与外界互联互通。在汽车网联化的同时,ICV 信息安全风险不断增加,车辆信息及用户隐私面临着更大的安全考验。
早期的汽车只是独立运行的单元,并不容易受到网络攻击。而ICV 具有高复杂性,并与外界互联网相连,很容易使用户的个人隐私泄漏、财产与经济损失,甚至可能给车内人员造成生命安全威胁。目前,已经发生多起对车载网络的攻击事件。
例如,Miller 和Valasek 使用Wi-Fi 开放端口入侵吉普切诺基的车载网络,并重新对ECU 编程。使汽车制动系统和发动机失灵,导致140万辆汽车被迫召回[4]。此外,据2020 年的一项调查,福特和大众两款汽车也发现严重的网络安全漏洞[5]。车载GPS 系统和娱乐服务系统等需要车外网络支持的服务均可受到来自黑客的攻击。在未来,ICV 会暴露出愈来愈多的网络安全问题。因此,研究对其的网络安全防护势在必行。
现有车载网络信息安全增强手段有数据加密技术、消息认证技术和入侵检测技术[1]。但在车载网络这种计算资源紧张且实时性要求高的环境中,数据加密和消息认证技术往往起不到较好效果。入侵检测系统(intrusion detection system,IDS)是一种主动的安全防护技术,它可以检测出对车载网络的攻击以及车辆的异常行为。虽然最近几年一些文章对车载网络的安全问题和车载网络IDS 进行了总结和分析[6-8],但车载网络安全问题和对其的入侵检测方法是实时性的问题。随着ICV 技术所面临的安全问题日益增加,相关人员研究出许多应用于车载网络的新型IDS。Elkhail等[6]发表了对汽车安全漏洞、恶意软件攻击和防御的调查,介绍了过去几年中的恶意软件检测技术。Gmiden 等[7]总结了当前CAN 网络协议存在的缺点,以及为解决CAN 网络安全问题而设计的各种方法。特别地,他们又对一些密码机制进行概述。Dibaei 等[8]首先确定了ICV 的主要攻击类型,总结并分析了针对这些攻击类型的防御措施,讨论了对ICV 攻击防护的剩余挑战和未来研究方向。此外,Zhang 等[9]介绍了物联网体系结构的层次,并且概述了物联网体系结构在不同层面上的安全问题和研究现状。Slevi等[10]重点对物联网范式的新型IDS进行调查。总结了IDS模型、类型和基本细节,主要研究使用深度学习入侵检测方法避免物联网遭受威胁。
本文的其余部分如下。在第二章首先对车载网络进行系统的概述,总结了当今应用在车内各种类型车载网络优缺点。在第三章中,本文分析了黑客对ICV的攻击途径以及车载CAN网络的脆弱性和对其的攻击方式。第四章中本文对车载CAN 网络IDS进行归纳和分类,回顾了近几年车载CAN 网络IDS的研究现状。由于在目前研究中,多数以车载CAN网络的IDS 为主。因此在文章的最后,本文对未来车载网络IDS提出了几项有待解决的开放性问题。
1.1 车载网络介绍
ICV 是相对复杂的系统,其内部约有70-100 个ECU[4],每个ECU 之间的通信通过车载网络来实现。由于每种车载网络的带宽、成本和容错性等不同,被应用在车上不同的位置。图1为车载网络结构图。
图1 车载网络结构图
1.2 车载网络的分类
由于ICV 每个电控系统中通信实时性的要求不同,可以按通信速度将车载网络分为高速、中速和低速网络。根据汽车工程学会(Society of Automotive Engineers,SAE)的标准,可将车载网络分为5类。分别为A 类低速网络、B 类中速网络、C 类高速网络、D类多媒体网络以及E 类安全应用网络,如表1 所示。ICV通信系统中有5种常用的车载网络,分别为控制器局域网络(controller area network,CAN)、局域互联网(local interconnect network,LIN)、FlexRay、MOST和车内以太网[6]。表2 为它们的功能属性对比。
表1 车载网络分类
表2 常见车载网络的对比
CAN 是近30 年以来发展起来的技术。由德国Robert Bosch 公司在1983 年首先提出,并最终成为国际标准[11]。CAN 网络以低成本、高容错及稳定性较高等优点,在全球众多国家已经成为汽车计算机控制系统的标准,受到了诸多汽车制造商的青睐。CAN 网络协议是一种串行数据通信协议,具有总线型拓扑结构,CAN 网络中的ECU 节点均可向其他ECU(一个或多个)发送报文[12]。CAN 网络具有非破坏性仲裁机制,当多个节点同时发送数据时,其优先级由报文ID 决定,ID 越小优先级越高[13]。消息格式为短帧结构,数据的出错率较低,并且当数据出错时可自动关闭节点,图2 为CAN 网络数据帧结构图。CAN 网络协议的传输速度最高为1 Mbps,可以满足早期汽车通信需求[14]。然而,随着现代汽车中ECU的增加,导致CAN 网络负载逐渐增加,造成消息拥堵、信号传输延迟等,甚至会出现低优先级的报文传输丢失的现象。虽然升级版CAN 网络(CAN-FD)的推出一定程度上增加了带宽[15],但还是无法保证能够满足未来车载通信的带宽要求。
图2 CAN网络数据帧结构图
LIN 的成本和网络安全威胁较低,常用于辅助CAN 网络。主要应用在实时性不高的场合(例如雨刮器、车窗升降、仪表盘等部位)。与CAN 网络不同的是其结构是由一个主节点和一个或多个从节点组成,最多可以连接15 个从节点。消息的时序由主节点决定,容错性较低,且消息的最高传输速度仅有19.2 Kbps。
FlexRay 是由FlexRay 联盟开发的一种具备故障容错的高速车载网络。可以通过单通道或双通道进行消息的传输,且单通道消息传输速度最高可达到10 Mbps[16]。主要应用在安全性极高的位置(例如电子制动、电子转向盘等)。另外,当某一个通道出现故障,另一通道仍然可以进行消息的发送,这使得FlexRay 具有较高的容错性。但FlexRay 的价格比CAN昂贵许多,并不适合大量应用在车载网络中。
MOST是由宝马、DaimlerChrysler、Harman/Becker等公司联合开发的一种用于汽车媒体系统中消息传输的车载网络,采用环形拓扑结构,其最大带宽理论值为150 Mbps[8]。并且采用塑料光纤作为物理层,网络与电磁干扰隔离,防止信息娱乐系统中出现嗡嗡声等问题[8],比CAN 更适合媒体系统数据传输。但由于成本较高以及网关的开发难度过大,目前在高端汽车应用较多。
车载以太网的带宽可以达到100 Mbps[8],预计在不久后可增加近1 Gbps,比CAN 网络协议的速度快约100 倍。然而,由于其成本远高于CAN,很可能无法完全取代CAN 网络,而是用于辅助CAN 网络更好的改变汽车通信功能。
2.1 ICV的攻击途径分析
随着汽车智能化的快速发展以及网联化技术大面积覆盖,越来越多的攻击入口被暴露在外,黑客可以通过这些入口访问车载网络。车载网络受到的网络攻击途径可分为物理访问和无线访问攻击两类,其中物理访问攻击分为直接和间接物理访问攻击两种,而无线访问攻击分为近程和远程无线访问攻击。图3为ICV中潜在攻击途径。
维修人员可通过车载诊断系统(on-board diagnostic,OBD)中的OBD-II 端口或OBD 加密狗直接访问车辆ECU 及车载网络[17]。OBD-II 端口可以监测车辆速度、行驶里程来调节车辆的性能[18]。但OBD-II 端口缺少身份认证机制,黑客可通过该端口访问车载网络。其次,电动汽车充电桩通过充电电缆与车辆进行信息交换,黑客可以攻击充电桩等基础设施,进而攻击任何连接到充电桩的汽车[19]。另外,汽车内部的信息娱乐系统也很容易遭到非法入侵。Checkoway 等[20]证明了黑客可以通过OBD-II端口、CD 播放器、USB 等入口点访问车载网络并注入攻击报文。腾讯敏锐安全实验室的研究人员对雷克萨斯汽车进行安全实验评估时发现车载蓝牙和OBD系统存在安全漏洞,利用这些漏洞他们可以进入汽车信息娱乐系统,将攻击数据包注入到CAN 网络中[21]。Zingbox 的研究人员将恶意制作的USB 设备连接到信息娱乐系统中,一旦与驾驶员的手机配对,信息娱乐系统中的恶意软件就会利用手机的短信服务等手段来访问个人信息[22]。
目前大部分汽车中都装有车载蓝牙设备,黑客可利用蓝牙设备中的漏洞访问车载网络。2018 年赛尔黑客新闻报道出几个汽车品牌的信息娱乐系统中发现了一个新的被称为“CarsBlues”的大规模网络漏洞,黑客能通过该蓝牙漏洞将车主手机同步到汽车的个人身份信息窃取[23]。腾讯敏锐安全团队将汽车连接到恶意Wi-Fi 热点,使用网络浏览访问网络来控制车辆,并在视频中展示了对汽车的攻击[24]。Vanhoef 等[25]研究了受保护的Wi-Fi 仍有受到拒绝服务攻击(denial of service,DoS)的可能。胎压检测系统(tire pressure monitoring system,TPMS)是保障行车安全的报警装置,Rouf 等[26]分析了TPMS 通信协议,并表明该系统可能受到攻击而出现故障。同样,车辆中的车载雷达、专用短程通信技术(dedicated short range communications,DSRC)、遥控门锁系统等均存在安全威胁[19]。Woo等[27]演示了使用手机恶意APP在汽车联网的环境下对车辆进行无线攻击,并设计了一种应用于车载环境的安全协议。车载GPS 系统可以给汽车提供驾驶辅助和定位,但黑客能向该系统提供的接口注入恶意数据攻击车辆[28]。同时,汽车中的远程通信单元允许车辆与蜂窝网络进行通信,黑客可通过蜂窝网络对车辆实施恶意行为[20]。另外,黑客也可以通过车载广播等途径攻击车辆,但黑客通过这种攻击途径取得成功的可能性很低[19]。
2.2 车载CAN网络脆弱性分析
车载网络中CAN 网络的威胁程度最高,通常是黑客的主要攻击目标。黑客一旦获得CAN 网络的访问权限,就能通过易受攻击的接口(USB、Wi-Fi、CD 播放器等)读取ECU 内部数据,将攻击报文注入到CAN 网络中[20]。车载CAN 网络在最初设计时存在的缺陷如下。
仲裁机制的缺陷:CAN网络具有仲裁机制,网络中的节点通过报文ID 来确定优先级。假如入侵者一直发送高优先级报文,导致CAN 网络一直被占用,其他的节点无法发送报文[6]。
广播传输特性的缺陷:CAN 报文以广播形式传输,网络中的所有ECU 均可监听CAN 网络中的消息。一旦黑客控制任意节点,就可通过该节点读取消息内容。
缺少消息检验及认证机制:CAN 网络缺乏身份认证机制[29],无法判断消息是否存在异常。当黑客破解CAN 网络协议后,可直接向网络中发送伪造的报文。例如,高速行驶的汽车收到伪造的熄火命令,但ECU 无法识别消息的真伪,会导致车辆的突然熄火,引发交通事故。
缺少信息安全及加密机制:CAN 报文在CAN 网络中以明文形式传输。由于缺乏加密机制,黑客可以轻松读取并破解其中的数据。CAN网络中信息的完整性无法得到保障,存在信息泄露的风险。
2.3 车载CAN网络攻击方式分析
ICV 容易受到不同程度的网络攻击,黑客可以通过多种途径点访问CAN 网络。对于车载CAN 网络的攻击类型可以分为被动和主动两类,常见的攻击方式对比如表3所示。
表3 车载CAN网络常见攻击方式对比
嗅探攻击:当黑客成功入侵CAN 网络后,可监听网络内部的报文并对其进行逆向工程,以便攻击车辆上的特定部件。如图4(a)所示。
图4 车载CAN网络常见攻击方式示意图
DoS攻击:由于CAN 网络的仲裁机制,黑客可向网络中发送大量高优先级的攻击报文,导致其它节点无法向网络中发送消息,严重的甚至可能导致车载网络的崩溃。如图4(b)所示。
重放攻击:当黑客捕获到ECU 发送的报文后不对其做任何处理,再次将报文重放到网络中,可能导致车内正常通信受到干扰。如图4(c)所示。
篡改攻击:当黑客捕获到网络中的报文后,首先对报文的内容进行修改,再将其发送到CAN 网络中。其中,修改的部位可能是报文ID 或数据段的信息,以上两种篡改方式均会造成或多或少的影响。如图4(d)所示。
消息注入攻击:当黑客成功入侵CAN 网络后,可直接向其内部注入恶意报文,可能会给汽车安全带来严重威胁。如图4(e)所示。
欺骗攻击:当黑客掌握网络中CAN 数据帧的详细信息后,便可将欺骗性的报文对网络实施特定的攻击。这些报文中包含错误的信息,可能会误导相应的ECU。如图4(f)所示。
丢弃攻击:当黑客成功入侵车载网络中的某一节点或者网关后,可以删除网络中的报文,导致某些重要的报文无法被其他节点接收,使汽车某些重要的功能出现异常。如图4(g)所示。
模糊攻击:黑客使用某些变异算法将合法数据转换成随机数据,再将随机数据注入到CAN 网络中,干扰车内正常通信。如图4(h)所示。
伪装攻击:黑客可以模拟节点向网络发送报文,由于CAN 网络无消息认证机制,网络中的其他节点无法识别消息的真伪。如图4(i)所示。
入侵检测系统从被提出以来,在保护传统计算机网络的安全性中发挥至关重要的作用。汽车网联化的升级导致汽车信息安全风险加重。随着汽车信息安全概念的提出,关于车载网络IDS 的研究备受关注。车载网络IDS 作为保护车载网络安全的一种重要方法,它可以检查车载网络中的可疑活动和外部入侵,同时发出入侵警报确保驾驶人能够及时采取相应措施。它不同于其他的信息安全增强方法(例如数据加密、消息认证技术等),入侵检测系统不会占用车载网络内部大量的运算资源,适合车载网络这种资源受限的环境。
入侵检测按照检测技术分为基于签名的入侵检测系统(signature-based intrusion detection system,SIDS)和基于异常的入侵检测系统(anomaly-based intrusion detection system,AIDS)。其中,基于签名的入侵检测系统通过监视预定义的攻击签名列表实现入侵检测[30]。该方法的优点是检测结果出现假阳性的概率较低且检测速度快,但由于该方法的数据库是提前设定好的,无法有效识别新型攻击。当有新型恶意签名出现时,需要人工对数据库进行实时更新。而基于异常的入侵检测系统是通过监测车载网络状态是否偏离正常模式来识别入侵。该方法通过训练大量数据得出检测模型,与车载网络中的数据进行对比来判断系统是否出现异常。这种检测方法的优点是对未知攻击具有预测性,能够检测未知类型的攻击。本文针对车载CAN 网络的IDS按照检测技术进行总结和分析。
3.1 基于签名的车载CAN网络入侵检测方法
Studnia 等[31]通过对CAN 网络特殊性的分析,得出一组禁止的消息序列(即签名)进行入侵检测。他们创建了一个全面的签名库,该签名库可以在汽车的整个生命周期中使用,无需更新。Jin 等[32]提出了一种基于签名的轻量级入侵检测系统,该系统所需的计算时间较少,适用于运算资源受限的车载环境中。他们从实际场景中收集数据后进行统计分析,提取检测时所用的签名,并使用CANoe 软件对车辆CAN 网络进行模拟仿真。试验结果表明,该入侵检测系统可以有效地检测出丢弃攻击和重放攻击,检测率分别为100%和98.2%。但对篡改攻击的检测率仅有66.2%,他们提出利用信号之间的关系可提高篡改攻击的检测率。
虽然基于签名的车载CAN 网络IDS对已知攻击有匹配速度快及高精度等优点,但对这种超大型数据库的维护也是一项挑战。另外,黑客对车载网络的攻击方式多种多样,当黑客使用新型恶意签名攻击CAN 网络时可能导致基于签名的入侵检测系统的失效。可将该方法与基于异常的车载CAN 网络IDS 相结合的设计方式来解决无法检测到未知攻击的问题。
3.2 基于异常的车载CAN网络入侵检测方法
基于异常的入侵检测系统多是通过特征提取或数据统计建立正常特征行为规律,当违反规律时认为入侵行为发生。可将特征分为物理特征和数据特征两类,其中物理特征表示为车载网络通信在物理层存在着诸多规律(如电压波动、时钟偏移),而数据特征主要指传输报文的类别、标识、有效载荷、消息内容等。车载网络在数据特征方面的异常检测研究方法较多,本文对其从几个重要方向进行分类总结,如图5 所示。各类检测方法的文献对比如表4~表6所示。
表4 基于物理特征的车载CAN网络入侵检测方法
表5 基于信息论与统计分析的车载CAN网络入侵检测方法
表6 基于机器学习的车载CAN网络入侵检测方法
图5 基于异常的车载CAN网络IDS示意图
3.2.1 基于物理特征的方法
Murvay等[33]根据 CAN 网络的物理特性,采用低通滤波、均方误差和卷积等方法对采集物理层信息进行提取和处理,通过实验证明了不同节点的物理特征存在差异,这种差异可以作为节点认证和信息识别的依据。Ning 等[34]提出一种基于局部离群因子(local outlier factor,LOF)的入侵检测方法。该方法通过CAN 帧电压的物理特征来判断消息是否由合法的ECU 发送。通过在两辆车上的大量实验验证可知,该方法平均检测率为98.9%,误检率小于0.5%,并提出可以使用验证机制来降低误报率。
Tian 等[35]提出一种基于温度变化指纹技术(temperature-varied fingerprints,TVF)对入侵检测系统。该方法利用了ECU 的时钟偏移随温度变化的规律来识别攻击源。证明了ECU 的时钟偏移量随温度的变化而变化,并提出分布在发动机附近不同位置的ECU 可能由于温度的差异导致时钟偏移的入侵检测方法失效。通过性能评价实验可知,该方法在能有效检测伪装攻击的同时也能够检测出攻击的来源。Zhao 等[36]利用ECU 的时钟倾斜设计了一种名为ClockIDS 的入侵检测方法,该方法根据时钟偏移为每个ECU 建立一个独特的指纹。在此基础上,利用经验规则和动态时间扭曲实现了入侵检测和攻击源检测的功能。并用实验证明了所提出的方法的平均检测率为96.77%,并且平均时间成本仅有1.99 ms。
3.2.2 基于信息论与统计的方法
Muter 等[37]首次将基于信息熵的异常检测方法引入到车载网络入侵检测的领域。该作者认为,车载网络中的流量比传统计算机更受限。正常状态下车载网络中的熵值不会发生大的改变,通过分析熵值的变化来判断是否有异常事件的发生。通过向真实车辆CAN 网络中实施消息注入、DoS、伪装攻击,实验结果表明,该方法虽能实现对这3 种攻击的异常检测,但在处理小规模的攻击模式的能力具有局限性,在识别车辆或用户的正常行为时可能会产生误报。于赫等[38]提出了一种基于信息熵及CAN 报文相对距离的方法对车载CAN 网络实现入侵检测。使用CANoe 软件模拟CAN 网络环境,对3 种攻击场景实验分析表明,该方法可有效检测到重放和DoS攻击。Marchetti 等[39]提出了一种基于熵计算的异常检测算法。通过分析车载CAN 网络交换消息的熵水平,观察到熵值非常稳定,分布类似于正态分布。若熵值过大偏离平均熵值,则报告异常。为了反映真实道路的交通状况,对高速公路上驾驶过程中收集的数小时CAN 消息进行实验评估,该算法只能检测出包含大量伪装消息的攻击。对于少量伪装消息的攻击,该方法需要多个异常检测器(每个ID 一个)并行执行,但这种方法对于在正常条件下熵表现出很大变化的一小部分 ID 也是无效的。Wu 等[40]对CAN 网络特点分析后,优化了以前的基于信息熵的入侵检测方法。使用具有固定消息数量的最佳滑动窗口大小来提高 IDS 的检测精度和响应时间。他们所提出的方法可以检测到所有DoS 攻击,对于消息注入攻击的检测率也达到92.3%,显著提高了检测精度,并且未发生误报。Ohira 等[41]发现了一种称为熵操纵攻击的新型DoS 攻击,提出一种基于两个滑动窗口相似性的DoS 攻击检测方法。其中的一个滑动窗口由实际接收的CAN ID(窗口ID:WIDs)组成,另一个滑动窗口由普通CAN ID(标准ID:CIDs)组成。该方法使用辛普森系数计算WIDs 和CIDs 中的相似性。通过从真实车辆上采集的CAN 消息进行实验,所提出的系统可以检测所有类型的DoS攻击,且检测时间与基于熵的入侵检测系统相比缩短了93.33%。此外,为促进针对DoS 攻击对策的研究,该作者公布了源代码。Islam 等[42]提出一种基于图形的CAN 网络入侵检测方法,该方法借助图形理论、统计分析和卡方检验来检测异常的CAN 消息。首先将非攻击数据定义为基本假设,并将其定义为基本分布。然后使用其他分布与基本分布相比较。可以明显观察到分布的差异。实验测试表明,该方法比文献[39]中方法的准确性提高13.73%。Ling和Feng[43]为检测CAN 网络中的恶意消息提出了一种算法。该算法利用消息的ID 与其可中断发生的频率相结合,通过计算输入消息ID 的连续数量,如果ID 计数器超过给定阈值,IDS 会发出警报。使用CANoe 和CAPL 仿真实验结果表明,该算法可以检测到DoS 攻击和消息注入攻击。Lee 等[44]基于CAN网络中远程帧的“请求和应答”机制,通过分析远程帧对有攻击和无攻击场景下的应答行为,提出一种基于远程帧的车载网络入侵检测系统OTIDS。他们使用实车采集的远程帧应答数据提出窗口偏移量与时间间隔、及时响应、丢失响应4 种特征构建的正常行为检测模型。通过实验测试,OTIDS 可快速实现对DoS、模糊攻击和伪装攻击的检测,并公布了研究所用的数据集[47]。
Stabili 等[45]提出一种CAN 网络入侵检测算法,该算法通过计算ID 的CAN 报文有效载荷序列的汉明距离与离线训练阶段建立的有效汉明距离的参考范围进行比较,分别对消息注入攻击和重放攻击两种入侵行为实施检测。对福特汽车未经修改的CAN流量跟踪进行的实验评估表明,该模型能够有效检测到消息注入攻击,并且该算法具有较低的计算开销(约为几百字节),适合用于车辆ECU 中。但这种方法并不适合检测重放攻击。Tomlinson 等[46]对CAN 广播进行了分析,并将时间定义的窗口方法与Z 评分和自回归综合移动方法(autoregressive integrated moving average model,ARIMA)相结合。将所提出的方法与平均时间间隔监督的方法进行了比较,并测试了这些方法是否能够触发丢弃数据包和插入数据包的高优先级。测试结果显示,无监督方法具有高优先级。另外还强调了确保最佳阈值的重要性,阈值设置的高低均会降低检测方法的灵敏度和特异性。
3.2.3 基于机器学习的方法
Narayanan 等[48]收集不同车辆的CAN 消息,生成了一个用于预测车辆异常状态的隐马尔可夫模型(hidden Markov model,HMM)。该模型不但可以检测攻击状态,还能检测到车辆中不安全的行为(例如在200 英里/h 的车速下打开车门是不安全的)。他们通过观察速度传感器和发动机速度传感器的值是否突然变化实现对车辆异常状态的检测。类似的,Levi 等[49]提出一种基于时间的检测技术,该技术使用HMM 和回归模型来检测车辆异常。他们应用HMM 模型学习车辆正常行为并计算模型似然分数,然后基于时间特征建立回归模型并使用回归模型预测时间间隔似然分数。通过比较两个模型的似然分数来检测相关异常。
Avatefipour 等[50]提出一种改进的机器学习异常检测模型,使用基于改进的单类支持向量机构建所提出的模型,并利用改进的蝙蝠算法进行优化。为证明所提出模型的性能,他们使用传统的一类支持向量机(support vector machines,SVM)和隔离森林(isolation forest,IF)算法与该模型进行评估。相比之下,所提出的方法具有更高的检测率,并且可以表现出很高的搜索能力和收敛性。
Minawi 等[51]和Alfardus 等[52]分别提出两种基于机器学习的CAN 网络入侵检测系统,所提出的系统可以直接插入车辆中的OBD 端口。以上两种系统模型均由CAN 报文输入层、威胁检测层和警报层这3 层组成。其中,文献[51]中的威胁检测层包含随机树(random tree,RT)、随机森林(random forest,RF)、带铰链损失的随机梯度下降(stochastic gradient descent,SGD)和朴素贝叶斯(naive Bayes,NB)4 种算法,而文献[52]中威胁检测层包含K-最近邻网络(k-nearest neighbor,KNN)、RF、SVM 和多层感知器(multilayer perceptron,MLP)4 种算法。他们使用相同的数据集对各自所提出的算法进行评估。结果表明,文献[51]中的系统使用朴素贝叶斯算法和随机树算法来检测DoS攻击,实现了100%的准确率。另外,随机树算法在模糊攻击中的准确率也达到了99.99%。文献[52]中的系统对伪装和DoS 攻击的检测率达到100%,并且对模糊攻击的检测率也高达99%。
Seo 等[53]提出一种生成对抗网络(generative adversarial networks,GAN)的车载IDS 模型(GIDS),并公布了该研究所用数据集[54]。首先使用one-hot编码将CAN ID 转换为图像,第1鉴别器接收CAN 图像并输出一个0到1的值,若输出结果低于阈值则报告异常(检测出已知攻击)。若高于阈值则图像由第2鉴别器接收并输出一个0到1之间的值,输出低于阈值,则报告异常(检测出未知攻击)。实验表明,GIDS对4 种攻击方式的平均检测率大于98%,但GIDS 无法区分CAN 流量异常是由电子元件故障引起的还是黑客恶意攻击引起的。Xie 等[55]分析了CAN 网络的安全威胁,提出了一种增强深度学习GAN 模型的入侵检测技术。他们引入汽车CAN 通信矩阵,将同一发送方的所有消息分组到数据块作为入侵检测系统的输出。通过实验评估结果显示,所提出的模型可以有效抵御DoS、消息注入、伪装和篡改攻击。
Taylor 等[56]提出使用(long short-term memory,LSTM)神经网络检测汽车CAN 网络中序列数据的异常。所提出的方法无需对数据信息解码,并且具有检测未知攻击的能力。但该方法将每个ID 的数据序列视为独立的序列,并没有考虑不同消息类型之间相互依赖的关系。类似地,Longari 等[57]为车载网络专门设计了一种LSTM 的入侵检测系统CANnolo。该系统采用无监督学习模式,在训练阶段自动分析数据,无需知道消息的语义。运行时利用经过训练的CAN 消息并预测后续序列。然后,根据真实数据和预测数据之间的重建误差检测异常。该方法优于文献[56]中所提出的方法。但此方法的计算速度较慢,需将其轻量化。Ding 等[58]利用CAN报文之间的时间相关性提出一种基于双向长短期记忆网络(Bi-LSTM)的入侵检测系统,并设计出一种滑动窗口策略,对实车采集的数据集进行时间序列线性回归。在通过确定的滑动窗口构造二维输入数据样本集,利用Bi-LSTM 网络学习二维数据特征训练分类器实现入侵检测。为验证入侵检测模型的性能,使用数据集[54]进行实验。实验中,Bi-LSTM 模型由输入层、两个连续层中16 个单元的隐藏层和一个完全连接的输出层组成。结果显示,Bi-LSTM 模型高于其他网络模型精度。除DoS 攻击数据集外,其他3 种攻击数据集的检测准确率均达到100%。与现有研究方法相比,对4 种数据集的检测准确率平均提高了5.3%、3.8%、2%和3.3%。
Song 等[59]提出一种基于深度卷积神经网络(deep convolutional neural networks,DCNN)的入侵检测系统。并提出一个名为frame builder的新模块,能使 CAN 通信量直接输入所提出的模型中,无需对数据预处理。为测试该系统的可行性,使用数据集[54]对该系统进行实验。结果表明,所提出的系统可以有效检测DoS、模糊、欺骗驱动装置和欺骗RPM 仪表这4 种攻击模式。他们还比较了其他著名的机器学习算法的性能,评估结果表明DCNN 模型要明显优于其他的机器学习技术。
Arai等[60]提出一种通过递归图生成的图像来训练卷积神经网络(convolutional neural networks,CNN)模型对车载网络进行入侵检测。在这项研究中,他们使用CAN 数据包的时间戳和仲裁ID来训练模型。但时间戳不直接用于训练,仅用于保持数据包的优先级。提取数据集的仲裁 ID 并将其编码为介于 0 和N之间的值(N表示唯一仲裁 ID 的总数)。随后,仲裁 ID 的编码序列使用 RP 转换为CNN 的输入图像。在从RP 中的平方矩阵中生成训练图像。最后,CNN 模型将车载网络攻击分类为二元或多类分类。
Lo等[61]提出一种基于CNN 和LSTM 所组成的车载入侵检测系统HyDL-IDS。该IDS 主要由CAN 流量预处理器和HyDL 检测器组成。CAN 流量预处理器首先将捕获到的CAN 流量转换为统一尺度,再将处理好的数据输入到HyDL 模块中。HyDL 检测器相当于整个系统的大脑,从网络流量中提取空间和时间特征,在使用上述两种深度学习方法对流量分类。他们使用数据集[54]将该系统与传统机器学习方法和神经网络方法进行比较,HyDL-IDS在检测精度和误报率方面都有显著提升。Javed 等[62]将CNN 与基于注意力的门控单元(attention-based gated recurrent unit,AGRU)相结合,提出一种名为CANintelliIDS 的入侵检测方法。检测模型由3 个AGRU 层和两个CNN 层组成,首先将数据点转换为向量序列并输入到CNN 层中,CNN 再将输入序列中的重要特征提取到AGRU 模型中。AGRU 根据数据点的关系方面和上下文信息学习序列,以调整其权重。注意力机制根据数据点序列的显著性为其分配权重分数,在将数据点的权重分数与相应的向量相乘,并生成上下文向量来预测目标标签。使用数据集[47]将所提出的方法与现有方法进行比较,结果显示,所提出的方法比现有方法提升10.79%的性能。
智能网联技术的发展,使现代汽车能够更多地连接到互联网之中,汽车的信息安全所面临的风险显著增加。车载IDS 作为一种主动防御技术,不仅可以识别外部入侵,还能检测车载网络内部系统异常,是现阶段车端最有效的安全防护方法。但目前对车载IDS 的研究仍有很多不足,结合前文所总结的车载IDS研究现状,本文对未来车载IDS提出了几项有待解决的开放性问题。
4.1 如何提升车载网络IDS检测能力的全面性
在现实场景中,车辆所处的环境以及可能遭受到的网络攻击方式复杂多样。而现有对车载IDS 研究多数只是针对车载CAN 网络的一种或几种攻击方式进行入侵检测,检测的环境较为单一,并不具备全面的入侵检测能力。然而,车联网是一种复杂的环境,网联化的加重导致黑客对ICV 的攻击途径和攻击方式会逐渐变多。因此,在今后车载IDS 的研究中,不应仅局限对于车载CAN 网络单个方面实现入侵检测,也应考虑如何检测T-Box 通信模块、V2X通信协议等或其它车载网络的入侵。
4.2 如何构建基于车载网络IDS评估基准数据集
近年来,对于传统计算机IDS 效果的评估,多数研究采用KDD CUP 和DARPA 等数据集作为评估基准。现阶段对于车载网络IDS 的研究,虽然大多项研究使用的数据集据来源于真实的测试车辆,但部分研究所用的数据集并未公开,无法对比检测系统在不同攻击场景下的性能。因此,在未来的研究方向中,如何统一测试数据集来标准化地评估车载网络IDS 的检测性能是未来研究中有待解决的问题。
4.3 如何提升车载网络IDS的检测性能
在未来的研究中应考虑如何提升车载网络IDS的检测性能,其中检测性能包括检测精度、检测时间和检测系统的鲁棒性等。目前,基于签名的车载网络IDS 的检测精度较高,但该方法只能识别签名库中的已知攻击,需要人工对签名库进行更新。而机器学习算法在入侵检测领域彰显出优越的性能,是未来车载网络IDS 研究的重要方向。基于机器学习的车载网络IDS 方法通过训练数据所构建的检测模型来识别攻击,该方法可以检测到未知的攻击,对未知的数据有自适应能力。但传统的机器学习算法所占用的运算资源较高,在车载网络这种计算开销受限以及要求检测实时性高的场合中,应考虑如何提高检测算法的计算速度、降低检测响应时间是目前对车载网络IDS研究中亟待解决的重要问题。
随着2015 年《中国制造2025》的发布,智能网联车在我国将成为未来发展的重点。然而,智能化与网联化在推动汽车技术变革的同时,也带来了相应的网络安全问题。本文在此背景下,首先概述了当今汽车主要应用的车载网络类型,并讨论了现阶段智能网联汽车所面对的网络安全问题以及黑客对车载网络的攻击方式。随后,针对近几年车载CAN 网络IDS 的研究做了较全面的综述,总结了车载CAN网络入侵检测方法的研究现状。最后,本文对未来车载网络入侵检测方法的发展趋势提出了几项开放性问题。
猜你喜欢黑客报文车载基于J1939 协议多包报文的时序研究及应用汽车电器(2022年9期)2022-11-07欢乐英雄趣味(数学)(2022年5期)2022-07-29多少个屁能把布克崩起来?趣味(数学)(2022年5期)2022-07-29CTCS-2级报文数据管理需求分析和实现铁道通信信号(2020年4期)2020-09-21网络黑客比核武器更可怕疯狂英语·新悦读(2020年1期)2020-02-20高速磁浮车载运行控制系统综述铁道通信信号(2020年8期)2020-02-06浅析反驳类报文要点中国外汇(2019年11期)2019-08-27智能互联势不可挡 车载存储需求爆发中国公共安全(2017年11期)2017-02-06ATS与列车通信报文分析铁道通信信号(2016年8期)2016-06-01基于ZVS-PWM的车载隔离DC-DC的研究电源技术(2015年2期)2015-08-22