張吉宇

（柳州汽車檢測有限公司，廣西柳州，545000）

0 引言

隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，汽車已經(jīng)不再是傳統(tǒng)意義上的交通工具，汽車技術(shù)正在逐步向著智能化和網(wǎng)聯(lián)化的方向發(fā)展，汽車、駕駛員以及外界環(huán)境等元素已經(jīng)結(jié)合成有機的整體，智能網(wǎng)聯(lián)技術(shù)已經(jīng)成為汽車技術(shù)發(fā)展的一個重要方向[1]。智能網(wǎng)聯(lián)汽車可以實現(xiàn)復(fù)雜環(huán)境感知、智能化決策、安全輔助駕駛等功能，極大優(yōu)化了汽車的駕駛舒適度以及安全性，車載網(wǎng)絡(luò)智能系統(tǒng)已經(jīng)基本實現(xiàn)了對汽車的智能化控制，例如遠程控制汽車空調(diào)預(yù)熱、移動設(shè)備對汽車的精確定位等等[2]。但是需要完全實現(xiàn)自動化駕駛還有很長的路要走。

1 車載CAN 總線概述

■1.1 智能網(wǎng)聯(lián)汽車簡介

為了便于理解可以將智能網(wǎng)聯(lián)汽車類比成一個人，智能網(wǎng)聯(lián)汽車中的信息終端和傳感系統(tǒng)就如同人體的眼睛和耳朵，用于采集外界環(huán)境的各種信息數(shù)據(jù)，這些信息終端大致包括雷達、攝像頭、V2X 通信、GPS 定位等等。網(wǎng)聯(lián)汽車的中央決策系統(tǒng)就如同人體的大腦，將信息終端采集的信息數(shù)據(jù)上傳到中央決策系統(tǒng)進行數(shù)據(jù)分析再下達具體指令給執(zhí)行器。網(wǎng)聯(lián)汽車的執(zhí)行器就如同人體的手足，執(zhí)行機構(gòu)就是執(zhí)行各種動作的具體結(jié)構(gòu)，例如剎車和油門、各種主動安全性系統(tǒng)、自動變速器、電動轉(zhuǎn)向系統(tǒng)等等。網(wǎng)聯(lián)汽車借助車聯(lián)網(wǎng)和通信技術(shù)實現(xiàn)汽車運行信息的傳遞和交換。

汽車的網(wǎng)聯(lián)化發(fā)展也導(dǎo)致汽車的電路結(jié)構(gòu)變得更加復(fù)雜，而且ECU 的安裝數(shù)量也顯著增多，研究人員為了防止汽車出現(xiàn)電路故障時檢修流程太過繁瑣，所以車內(nèi)ECU 的信息交互都是依賴車載CAN 總線實現(xiàn)的，而CAN 總線的信息安全一直是令人擔憂的問題，攻擊者可以通過多種方式入侵CAN 總線。所以智能網(wǎng)聯(lián)汽車的駕駛安全性直接受到CAN 總線信息安全的影響。

■1.2 車載CAN 總線結(jié)構(gòu)與特點

如圖1 所示是CAN 總線物理結(jié)構(gòu)，在CAN 總線上設(shè)置有若干個ECU 連接節(jié)點，每個節(jié)點都需要連接CAN 控制器和收發(fā)器。CAN 收發(fā)器具有雙向傳遞數(shù)據(jù)的能力，通過接收由ECU 傳遞過來的數(shù)據(jù)信號并且進行數(shù)字化處理，再傳遞給CAN 控制器，CAN 控制器再將相應(yīng)指令傳遞到電子器件執(zhí)行相應(yīng)動作。CAN 總線具有布置簡單、工作可靠等優(yōu)點，所以成為絕大多數(shù)現(xiàn)代汽車采用的底層構(gòu)架通訊總線，CAN 總線具有以下特點：結(jié)構(gòu)簡單開發(fā)成本低廉，ECU 連接節(jié)點都是采用單片機開發(fā)工具；基本滿足汽車總體數(shù)據(jù)傳遞距離需求，最長傳遞距離可以達到10Km；具有優(yōu)良的數(shù)據(jù)傳輸速率，即使數(shù)據(jù)傳遞距離到達400m 最高傳輸速率也能達到1000Kpbs；智能化的數(shù)據(jù)節(jié)點處理能力，在同一條CAN 總線的ECU 節(jié)點設(shè)置不同的優(yōu)先級，在所有節(jié)點同時傳輸數(shù)據(jù)時，優(yōu)先級高的節(jié)點不受阻礙而優(yōu)先級低的節(jié)點暫停發(fā)送數(shù)據(jù)；先進的故障自我處理和檢測能力，在傳輸?shù)臄?shù)據(jù)出現(xiàn)明顯錯誤時可以自我糾正并重新傳輸數(shù)據(jù)，當某些ECU 節(jié)點出現(xiàn)不可修復(fù)故障時會自動關(guān)閉該節(jié)點，確保CAN 總線正常的數(shù)據(jù)傳遞工作。

圖1 CAN 總線物理結(jié)構(gòu)

■1.3 車載CAN 總線存在安全問題

CAN 總線存在的安全問題可以分為兩大類：第一類是CAN 總線的內(nèi)部安全漏洞，第二類是CAN 總線的外部威脅。首先分析內(nèi)部安全漏洞，在CAN 總線的設(shè)計之初只考慮到運用該項技術(shù)優(yōu)化汽車的駕駛舒適性，完全沒有考慮到可以與互聯(lián)網(wǎng)技術(shù)有機的結(jié)合在一起。隨著與外界接入端口的增加，越來越多地暴露出CAN 總線存在的結(jié)構(gòu)以及通訊機制上存在的安全漏洞，下面具體總結(jié)存在哪些內(nèi)部安全漏洞，首先沒有完備的安全防護以及認證機制，安全防護以及安全認證機制是CAN 總線的第一道防御措施，如果沒有完善的安全防護機制那么攻擊者可以隨意連接CAN 總線上的任意節(jié)點，實現(xiàn)對汽車所有電控系統(tǒng)的惡意控制，安全認證機制是針對于CAN 總線上的數(shù)據(jù)傳遞安全的，攻擊者惡意偽造指令而CAN 總線無法正確識別也對汽車的駕駛安全造成嚴重威脅；其次沒有安全隔離區(qū)域以及數(shù)據(jù)加密機制，安全隔離區(qū)域可以對關(guān)鍵性ECU 節(jié)點進行安全保護，加強相關(guān)設(shè)備運行的安全性，數(shù)據(jù)加密機制可以有效防止攻擊者惡意盜取汽車運行數(shù)據(jù)，現(xiàn)有CAN 總線的報文是采用廣播的形式進行傳播的，攻擊者可以非常輕易地截取數(shù)據(jù)信息再通過逆向分析方式獲取相關(guān)內(nèi)容；最后是CAN 總線固有的脆弱性，現(xiàn)有CAN 總線采用的是沖突避免的信息處理機制，這樣可以有效解決多數(shù)據(jù)同時傳輸產(chǎn)生沖突的問題，但是這也為攻擊者惡意控制提供了可能性，通過向CAN 總線發(fā)送優(yōu)先級最高的數(shù)據(jù)，使得ECU 節(jié)點無法正常傳輸數(shù)據(jù)導(dǎo)致系統(tǒng)癱瘓。

接下來分析CAN 總線存在的外部威脅，如圖2 所示是T-BOX 總體結(jié)構(gòu)，T-BOX 是CAN 總線為外源性設(shè)備相連接的端口，T-BOX 再通過USB3.0 接口或者UART 通訊方式與外源性設(shè)備相連接，并且利用5G 網(wǎng)絡(luò)連接云平臺，智能手機平板電腦等移動設(shè)備與云平臺形成交互，構(gòu)成以T-BOX為核心的智能車聯(lián)網(wǎng)體系，這雖然極大增強了汽車駕駛的舒適度以及娛樂性，但是也為黑客惡意入侵提供了便利，云平臺、移動設(shè)備、車載娛樂系統(tǒng)、T-BOX 這些設(shè)備和系統(tǒng)都極有可能成為惡意入侵的端口，其中移動設(shè)備是最有可能也是最便利的入侵端口，絕大部分安卓手機的應(yīng)用都可以很快捷地獲取機主的姓名電話號碼地址等基本信息，而手機是作為一個車聯(lián)網(wǎng)的移動控制設(shè)備，黑客可以誘導(dǎo)機主下載安裝入侵車聯(lián)網(wǎng)的手機應(yīng)用并獲得相應(yīng)權(quán)限，借助逆向分析技術(shù)可以很輕松地獲取汽車運行參數(shù)。

圖2 T—BOX 總體結(jié)構(gòu)

2 車載CAN 總線信息安全檢測方法

■2.1 CAN 總線攻擊方式

如圖3 所示是CAN 總線攻擊路徑，CAN 總線的攻擊方式主要有以下幾種：重放、洪泛、注入、遍歷、模糊測試、拒絕服務(wù)等等，這些攻擊方式都是通過偽裝成ECU 節(jié)點向CAN 總線發(fā)送錯誤信息，但是具體工作過程有所不同，下面具體介紹每一種攻擊方式的工作過程。

圖3 CAN 總線攻擊路徑

重放，攻擊者通過截取ECU 節(jié)點已經(jīng)發(fā)送的數(shù)據(jù)進行復(fù)制，借助CAN 總線收發(fā)設(shè)備將復(fù)制的信息進行重新發(fā)送進而達到擾亂汽車正常運行的目的；洪泛，攻擊者復(fù)制大量CAN 總線無法識別的數(shù)據(jù)通過ECU 節(jié)點進行傳播，達到占據(jù)CAN 總線數(shù)據(jù)通道導(dǎo)致系統(tǒng)癱瘓的目的。注入，攻擊者通過診斷報文注入或者畸形報文注入的手段來達到CAN 總線系統(tǒng)異常的目的，其中診斷報文注入的改進方式危險性最大，在汽車駕駛過程中注入診斷報文極易導(dǎo)致汽車失控出現(xiàn)汽車安全事故。以上三種攻擊方式原理和實現(xiàn)方式都較為簡單，所以防御這三種攻擊方式也是比較容易的，而以下三種攻擊方式實現(xiàn)方式較為復(fù)雜并且危害性更大。

遍歷，攻擊者將所有可能應(yīng)用的報文ID 進行編輯，并向CAN 總線進行發(fā)送，由于發(fā)送的數(shù)據(jù)量足夠多所以很有可能觸發(fā)符合某個ECU 節(jié)點工作的報文，從而導(dǎo)致某些執(zhí)行機構(gòu)錯誤工作，這樣就導(dǎo)致CAN 總線的正常通信被嚴重擾亂。模糊測試，這一攻擊方式實際上經(jīng)常被汽車生產(chǎn)商自己應(yīng)用，用以發(fā)現(xiàn)CAN 總線可能存在的安全性漏洞，通過向CAN 總線發(fā)送大量異常數(shù)據(jù)，分析輸出結(jié)果來尋找安全性漏洞，但是這也可以用于監(jiān)視每個汽車廠商都嚴格保密的通信矩陣，CAN 總線通信矩陣被破解汽車將完全被他人所控制。拒絕服務(wù)，這一攻擊方法完全利用了CAN 總線固有的沖突避免信息處理機制，拒絕服務(wù)和重放有相似的地方，但是更具專一性，向CAN 總線高頻率大量發(fā)送高優(yōu)先級數(shù)據(jù)報文，這樣就可以使低優(yōu)先級數(shù)據(jù)報文無法被發(fā)送，擾亂CAN 總線的正常通信。

■2.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是保證CAN總線信息安全的第一道防線，如圖4 所示為外部信息入侵檢測過程，我們可以將實現(xiàn)入侵檢測的軟硬件集成化安裝在車載網(wǎng)關(guān)，從外界傳輸進來的數(shù)據(jù)可以通過該系統(tǒng)進行實時檢測，入侵檢測的流程分為四個步驟：數(shù)據(jù)的采集、數(shù)據(jù)的預(yù)處理、數(shù)據(jù)的分析與檢測、安全系統(tǒng)響應(yīng)。數(shù)據(jù)的采集就是將外界輸入的原始數(shù)據(jù)進行采集；數(shù)據(jù)的預(yù)處理是指對采集的數(shù)據(jù)進行冗余數(shù)據(jù)的刪除、再整理、規(guī)范化等處理轉(zhuǎn)換成檢測系統(tǒng)可以識別的數(shù)據(jù)類型；數(shù)據(jù)的分析與檢測是指對檢測數(shù)據(jù)進行安全分析，具體有數(shù)據(jù)的風(fēng)險類型、數(shù)據(jù)的異常行為、對異常行為進行識別等等，安全系統(tǒng)響應(yīng)是指確定輸入數(shù)據(jù)是入侵病毒時采取相應(yīng)處理措施。

圖4 入侵檢測系統(tǒng)

■2.3 數(shù)據(jù)檢測技術(shù)

入侵檢測系統(tǒng)中最關(guān)鍵的部分就是數(shù)據(jù)的分析和檢測，根據(jù)數(shù)據(jù)分析方法的不同可以將數(shù)據(jù)檢測技術(shù)分為兩類：分別為異常檢測和誤用檢測，異常檢測也被稱為行為檢測方式，將系統(tǒng)正常運行狀態(tài)的特征模式作為比較基準，以系統(tǒng)當前的狀態(tài)與基準進行比較就可以確定系統(tǒng)是否正常運行，當然不可能出現(xiàn)細微的偏差也認定系統(tǒng)出現(xiàn)故障，需要預(yù)先設(shè)置變化閾值，只有變化量超過變化閾值時才能認定系統(tǒng)出現(xiàn)故障，這種檢測方式的優(yōu)點是可以準確地判斷系統(tǒng)是否出現(xiàn)故障，但是無法確定引發(fā)故障的具體原因；誤用檢測和異常檢測正好相反，通過所有已知的攻擊模式建立檢測模型，當出現(xiàn)可能的入侵行為時可以立刻發(fā)現(xiàn)，這種檢測技術(shù)的優(yōu)點是可以確定具體的入侵攻擊方式，但是如果出現(xiàn)全新的攻擊方式，那么檢測技術(shù)將完全失效。

■2.4 異常檢測模型

根據(jù)信息熵的定義來設(shè)計異常檢測模型，將信息熵算法引入到信息檢測中。通過處理CAN 報文樣本數(shù)據(jù)庫，得到正常狀態(tài)網(wǎng)絡(luò)信息熵的基線以及閾值。并且以該數(shù)據(jù)作為異常檢測標準，將實時采集的數(shù)據(jù)樣本信息熵與檢測標準作為對比就能檢測出數(shù)據(jù)是否異常，在模型設(shè)計過程中首先需要確定三個基本參數(shù)：特征量、閾值、檢測周期。特征量的合理選擇可以良好體現(xiàn)系統(tǒng)行為特征。閾值的選擇直接決定檢查結(jié)果的準確性，由于數(shù)據(jù)入侵和異常行為不是完全對應(yīng)的關(guān)系，所以檢查結(jié)果的虛報和漏報時常發(fā)生，而且異常行為的檢測是以正常狀態(tài)作為評判標準的，合理的閾值選擇可以有效減少虛報和漏報的發(fā)生。檢測周期的時長間隔過長不僅會增加漏報率，而且也增加了系統(tǒng)被攻擊的可能性，時長間隔選擇的過小會占用過多系統(tǒng)處理資源。

如圖5 所示是異常檢測模型，模型的建立分為兩個部分，第一部分是標定模型建立，第二部分是檢測模型建立，在標定模型建立階段，首先對正常狀態(tài)CAN 總線報文數(shù)據(jù)進行采集，對報文數(shù)據(jù)進行處理，確定若干個檢測周期，在每個檢測周期下統(tǒng)計報文ID 類型與數(shù)量，計算在該檢測周期下報文信息熵值和閾值范圍。對不同檢測周期下的檢測結(jié)果進行效率評估，選擇最合理的檢測標定模型。異常行為的檢測過程如下：首先對需要進行檢測的數(shù)據(jù)報文進行采集，然后進行數(shù)據(jù)處理和信息熵計算，將計算的熵值與標準值對比，如果超過檢測閾值及時預(yù)警處理。

圖5 異常檢測模型