張海春，姜榮帥，王 頡，魯趙駿，劉政林

（1.華中科技大學(xué)光學(xué)與電子信息學(xué)院，武漢430074；2.深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司，深圳518000；3.華中科技大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，武漢430074）

前言

現(xiàn)代汽車不再是簡單的機(jī)械設(shè)備，而是集成了上百個(gè)電子控制單元（electronic control unit，ECU）的 復(fù) 雜 系 統(tǒng)［1］。各ECU通 過 控 制 器 局 域 網(wǎng)（controller area network，CAN）總線連接，汽車在不斷智能化、網(wǎng)聯(lián)化的同時(shí)也暴露了藍(lán)牙、蜂窩網(wǎng)絡(luò)等各類攻擊入口，導(dǎo)致入侵車載CAN總線的可能性大大增加［2］。

車載CAN總線在設(shè)計(jì)時(shí)充分考慮了汽車通信嚴(yán)苛的性能需求，成為事實(shí)上的汽車總線標(biāo)準(zhǔn)［3］。但是安全機(jī)制的缺乏帶來了重大安全隱患，惡意攻擊者一旦成功訪問車載CAN總線便可以注入任意數(shù)據(jù)幀。數(shù)據(jù)加密、身份認(rèn)證等安全機(jī)制對(duì)計(jì)算資源要求較高、計(jì)算耗時(shí)較長，無法滿足通信實(shí)時(shí)性，因此不能應(yīng)用于車載CAN總線。相比于傳統(tǒng)的安全機(jī)制，異常檢測不會(huì)干擾車載CAN總線正常通信，具有低成本、靈活部署、高兼容性的優(yōu)勢，研究人員對(duì)此開展了大量的研究工作。

文獻(xiàn)［4］中將CAN總線上連續(xù)兩個(gè)CAN ID相同的數(shù)據(jù)幀發(fā)送時(shí)間間隔超過閾值視為異常，但是沒有考慮非周期性數(shù)據(jù)幀的影響。文獻(xiàn)［5］中提出基于電壓特征變化的異常檢測方案，利用ECU位置的不同導(dǎo)致的電阻及電信號(hào)特征的不同檢測異常節(jié)點(diǎn)，但是該方法需要示波器等大型設(shè)備持續(xù)采集及處理總線電信號(hào)。文獻(xiàn)［6］中提出一種基于信息熵的CAN ID異常檢測機(jī)制，但是僅能檢測出CAN總線存在異常，無法檢測出異常的細(xì)節(jié)信息。

本文中在分析了基于信息熵的車載CAN總線異常檢測機(jī)制的基礎(chǔ)上提出了基于相對(duì)熵的車載CAN總線異常檢測機(jī)制，具體貢獻(xiàn)如下：（1）該機(jī)制將檢測窗口由時(shí)間窗口改為數(shù)據(jù)窗口，改善了時(shí)間窗口內(nèi)無法有效采集到足夠非周期數(shù)據(jù)幀的情況；（2）該方案采用相對(duì)熵作為檢測依據(jù)，可以檢測出導(dǎo)致總線異常的具體攻擊類型、異常數(shù)據(jù)幀的CAN ID，具備較好的檢測效果。

1 車載CAN總線威脅模型

CAN總線是多主機(jī)廣播通信協(xié)議，采用雙絞線架構(gòu)，減少了線路布局，增強(qiáng)了抗噪聲和干擾能力。網(wǎng)絡(luò)的分布式體系結(jié)構(gòu)易于維護(hù)，降低了系統(tǒng)成本。速度可達(dá)1 Mbit/s，可滿足汽車總線通信對(duì)于大帶寬、抗干擾能力強(qiáng)、實(shí)時(shí)性強(qiáng)的需求，在汽車總線網(wǎng)絡(luò)中得到了廣泛應(yīng)用。

如圖1所示，依據(jù)仲裁字段CAN ID的長度，CAN數(shù)據(jù)幀分為標(biāo)準(zhǔn)幀和擴(kuò)展幀［7］。標(biāo)準(zhǔn)數(shù)據(jù)幀主要由7個(gè)字段組成：數(shù)據(jù)幀起始字段（SOF），通知每個(gè)接收器數(shù)據(jù)傳輸開始；仲裁字段防止數(shù)據(jù)幀在傳輸過程中產(chǎn)生沖突；數(shù)據(jù)域傳輸最多8個(gè)字節(jié)的數(shù)據(jù)；循環(huán)冗余碼用于標(biāo)識(shí)數(shù)據(jù)幀是否正常發(fā)送到接收器，若接收器正常接收到數(shù)據(jù)幀則會(huì)激活A(yù)CK位；數(shù)據(jù)幀結(jié)束位表示數(shù)據(jù)幀的傳輸過程已結(jié)束；控制域解決總線數(shù)據(jù)競爭；數(shù)據(jù)長度字段（DLC）定義了數(shù)據(jù)域的長度。

圖1 CAN總線數(shù)據(jù)幀結(jié)構(gòu)

CAN總線缺乏基本的安全機(jī)制［8］，其脆弱性表現(xiàn)在以下6個(gè)方面。

（1）缺乏身份認(rèn)證。CAN總線沒有源標(biāo)識(shí)符字段，目的標(biāo)識(shí)符字段，任何節(jié)點(diǎn)都可以偽造成惡意節(jié)點(diǎn)發(fā)送報(bào)文。接收方無法識(shí)別發(fā)送方是否是真實(shí)的節(jié)點(diǎn)。

（2）缺乏加密機(jī)制?；跀?shù)據(jù)傳輸?shù)膶?shí)時(shí)性考慮，CAN總線協(xié)議未采用加密機(jī)制，攻擊者可以監(jiān)聽總線數(shù)據(jù)，造成隱私泄露。

（3）缺乏完整性校驗(yàn)。CAN總線缺乏數(shù)據(jù)完整性校驗(yàn)機(jī)制，數(shù)據(jù)幀接收者并未檢查數(shù)據(jù)的完整性，攻擊者可惡意篡改傳輸數(shù)據(jù)。

（4）廣播傳輸機(jī)制。CAN數(shù)據(jù)幀以廣播形式發(fā)送到CAN總線，CAN總線上的所有ECU都可以接收到數(shù)據(jù)幀，這意味著惡意節(jié)點(diǎn)可以監(jiān)聽到所有的總線傳輸數(shù)據(jù)［9］。

（5）基于ID的仲裁機(jī)制。CAN ID決定了CAN數(shù)據(jù)幀的傳輸優(yōu)先級(jí)。數(shù)據(jù)幀CAN ID越小，其在總線上傳輸?shù)膬?yōu)先級(jí)越高。惡意攻擊者可以構(gòu)造較高優(yōu)先級(jí)的數(shù)據(jù)幀不斷發(fā)送到總線上造成DoS服務(wù)攻擊。

（6）帶寬有限。高速CAN總線的數(shù)據(jù)傳輸速率僅為500 Kbit/s，數(shù)據(jù)載荷長度最高只有64 bit［8］，限制了CAN總線協(xié)議提供較強(qiáng)的訪問控制功能，為攻擊者攻擊ECU降低了難度。

基于車載CAN總線的脆弱性，車載CAN總線威脅模型如圖2所示。攻擊者可以發(fā)動(dòng)4種基本攻擊組合為實(shí)際的攻擊案例，包括監(jiān)聽攻擊、重放攻擊、偽造攻擊、注入攻擊。

（1）監(jiān)聽攻擊。車載CAN總線利用廣播機(jī)制傳輸數(shù)據(jù)，在未加密數(shù)據(jù)的情況下，攻擊者ECU?A可以監(jiān)聽并分析CAN總線數(shù)據(jù)，如圖2（a）所示。通過重放或者變異監(jiān)聽獲取的數(shù)據(jù)幀可以發(fā)動(dòng)重放攻擊、模糊測試［10］等攻擊，是實(shí)際攻擊的基礎(chǔ)。

（2）重放攻擊。在沒有身份認(rèn)證與數(shù)據(jù)完整性校驗(yàn)的情況下，攻擊者可以發(fā)動(dòng)重放攻擊［11-12］。如圖2（b）所示，惡意節(jié)點(diǎn)ECU?A可以發(fā)送來自ECU?C的數(shù)據(jù)到CAN總線，繼而控制ECU?B。

圖2 車載CAN總線威脅模型

（3）偽造攻擊。如圖2（c）所示，基于ECU?B數(shù)據(jù)幀內(nèi)容與總線頻率，惡意攻擊者可以掛起ECU?B，繼而利用ECU?B的CAN ID偽造數(shù)據(jù)幀控制ECU?C。

（4）注入攻擊。如圖2（d）所示，攻擊者利用仲裁機(jī)制構(gòu)造基于較高優(yōu)先級(jí)的CAN總線數(shù)據(jù)幀占據(jù)CAN總線［13］，引發(fā)總線拒絕服務(wù)，也可以基于特定的CAN ID構(gòu)造數(shù)據(jù)幀控制目標(biāo)ECU。

2 車載CAN總線異常檢測機(jī)制

2.1 信息熵與相對(duì)熵

在19世紀(jì)50年代，熵的定義由Rudolf Clausius提出，用來描述系統(tǒng)的混亂程度。1948年，香農(nóng)革命性地將熵的概念引入信息學(xué)，用信息熵的概念量化了信息的不確定度。目前，信息熵理論是常見的入侵檢測基礎(chǔ)理論之一。

假設(shè)系統(tǒng)X，其有限的可能狀態(tài)集為{X1，X2，…，XN}，則系統(tǒng)X的信息熵為

式中p(Xi)是狀態(tài)Xi在系統(tǒng)X中的概率。為評(píng)估CAN總線的信息熵和相對(duì)熵，可用β=(S，T)表示當(dāng)前檢測窗口的CAN總線系統(tǒng)，S={ID1，ID2，…，IDN}表示各個(gè)CAN ID數(shù)據(jù)幀集合，T表示當(dāng)前檢測窗口記錄的所有CAN總線數(shù)據(jù)幀集合，則當(dāng)前檢測窗口CAN總線系統(tǒng)β的信息熵為

設(shè)NIDi是當(dāng)前檢測窗口中CAN ID為IDi的數(shù)據(jù)幀數(shù)量，N是當(dāng)前檢測窗口所有數(shù)據(jù)數(shù)據(jù)幀的總數(shù)量，則

CAN ID為IDi的數(shù)據(jù)幀信息熵為

在信息論中，相對(duì)熵等價(jià)于兩個(gè)概率分布的信息熵的差值。設(shè)P(X)和Q(X)是隨機(jī)變量X上的兩個(gè)概率分布，則在離散隨機(jī)變量的情形下，相對(duì)熵的定義為

假設(shè)q(IDi)是CAN ID為IDi的報(bào)文在正常情況下的分布，即不受攻擊時(shí)的正常分布，p(IDi)是CAN ID為IDi的報(bào)文在受攻擊情況下的分布，則CAN ID為IDi的報(bào)文的異常情況對(duì)正常情況的相對(duì)熵為

當(dāng)總線沒有遭受攻擊時(shí)，KL(IDi)的值接近于0，當(dāng)總線中產(chǎn)生攻擊時(shí)，KL(IDi)會(huì)產(chǎn)生明顯的變化。遭受DoS攻擊的數(shù)據(jù)報(bào)文相對(duì)熵為

顯 然p(IDi)>q(IDi)，故DoS攻 擊 數(shù) 據(jù) 幀KL(IDi)>0。未遭受DoS攻擊的數(shù)據(jù)幀相對(duì)熵為

顯然p(IDi)

重放攻擊下，攻擊者一般重放特定CAN ID的數(shù)據(jù)幀到總線，占用總線資源較少，理想情況下，未被重放的數(shù)據(jù)幀出現(xiàn)頻率在重放攻擊下不變。假設(shè)攻擊者以n倍的頻率重放特定CAN ID的數(shù)據(jù)幀，則

顯然，KL(IDi)>0，其它沒有被重放的數(shù)據(jù)幀，出現(xiàn)的概率不變，KL(IDi)=0。因此，重放攻擊下CAN網(wǎng)絡(luò)的相對(duì)熵會(huì)產(chǎn)生明顯的波動(dòng)。

2.2 基于信息熵的異常檢測機(jī)制

基于信息熵的異常檢測機(jī)制檢測窗口為時(shí)間窗口，檢測機(jī)制分為兩個(gè)階段：分析階段和檢測階段。

分析階段：無攻擊情況下，采集車載CAN總線中一定時(shí)間窗口的CAN總線數(shù)據(jù)幀，確定最佳時(shí)間窗口長度、異常信息熵閾值、CAN ID白名單，構(gòu)成CAN總線異常檢測特征庫。

檢測階段：依據(jù)特征庫，在設(shè)定的時(shí)間窗口內(nèi)，首先判斷數(shù)據(jù)幀CAN ID是否在白名單中，超出白名單中的數(shù)據(jù)幀即為異常數(shù)據(jù)幀。其次，判斷時(shí)間窗口內(nèi)的數(shù)據(jù)幀信息熵是否超出閾值，超出閾值即為異常。

時(shí)間窗口的大小不僅影響檢測精度，還影響異常檢測的最大響應(yīng)時(shí)間。如果時(shí)間窗口過大，異常檢測的響應(yīng)時(shí)間過長。如果時(shí)間窗口過小，信息熵波動(dòng)大，會(huì)出現(xiàn)誤判的現(xiàn)象。

圖3 展示了時(shí)間窗口分別為1、3、5、7、10和20 s的信息熵波動(dòng)情況。無論時(shí)間窗口多大，信息熵都會(huì)在一定范圍內(nèi)波動(dòng)。當(dāng)時(shí)間窗口為1 s時(shí)，不足以覆蓋一個(gè)數(shù)據(jù)幀傳輸周期，信息熵波動(dòng)幅度最大；當(dāng)時(shí)間窗口為10、20 s時(shí)，異常檢測響應(yīng)時(shí)間較長。當(dāng)時(shí)間窗口選定為3 s時(shí)，信息熵變化范圍較大，信息熵變化范圍分別為（3.685 491，3.693 019）。當(dāng)滑動(dòng)時(shí)間窗口選定為5、7 s時(shí)，信息熵變化較小，信息熵變化范圍 分 別 為（3.687 199，3.688 828）、（3.687 091，3.688 774）。為平衡異常檢測的準(zhǔn)確率和檢測的實(shí)時(shí)性，本文選定T=5 s為最佳時(shí)間窗口。

圖3 不同時(shí)間窗口CAN總線信息熵

2.3 基于相對(duì)熵的異常檢測機(jī)制

考慮到非周期性數(shù)據(jù)幀對(duì)時(shí)間窗口的低敏感度，在一定時(shí)間窗口內(nèi)不一定能采集到足夠的非周期數(shù)據(jù)幀，基于相對(duì)熵的異常檢測機(jī)制未采用時(shí)間窗口，而是將采集一定數(shù)量數(shù)據(jù)幀的數(shù)據(jù)窗口作為檢測窗口?；谙鄬?duì)熵的異常檢測機(jī)制分為兩個(gè)階段：分析階段與檢測階段。

分析階段：確定最佳數(shù)據(jù)窗口大小、CAN ID白名單和相對(duì)熵閾值作為異常檢測特征數(shù)據(jù)庫。

檢測階段：依據(jù)特征庫，檢測數(shù)據(jù)幀CAN ID是否異常，檢測數(shù)據(jù)窗口內(nèi)的相對(duì)熵是否異常。

數(shù)據(jù)窗口的大小非常重要，數(shù)據(jù)窗口過大，CAN ID覆蓋率較高，但是異常檢測響應(yīng)時(shí)間過長。數(shù)據(jù)窗口過小，數(shù)據(jù)幀數(shù)量較少，CAN ID覆蓋率較低。

圖4 為數(shù)據(jù)窗口內(nèi)采集100、200、300個(gè)數(shù)據(jù)幀條件下的相對(duì)熵變化情況。數(shù)據(jù)窗口增加會(huì)導(dǎo)致異常檢測響應(yīng)時(shí)間變長，以周期為10 ms的數(shù)據(jù)幀為例，時(shí)間窗口設(shè)置為300，檢測響應(yīng)時(shí)間不低于3 s。隨著數(shù)據(jù)窗口增加，相對(duì)熵絕對(duì)值波動(dòng)愈加平緩。數(shù)據(jù)窗口為200與300的情況下，相對(duì)熵絕對(duì)值的波動(dòng)明顯小于數(shù)據(jù)窗口為100的情況。故隨著數(shù)據(jù)窗口變大，異常檢測率會(huì)增加。數(shù)據(jù)窗口低于100，則相對(duì)熵絕對(duì)值過于隨機(jī)，波動(dòng)較大，不利于提高檢測率。為平衡響應(yīng)時(shí)間與檢測率，本文選取數(shù)據(jù)窗口大小為T=200。

圖4 不同數(shù)據(jù)窗口CAN總線相對(duì)熵

3 實(shí)驗(yàn)及分析

本實(shí)驗(yàn)用于安全評(píng)估所采用的CAN總線收發(fā)設(shè)備為創(chuàng)芯科技CANalyst?II分析儀，實(shí)驗(yàn)車輛為某型號(hào)福特車輛。

3.1 基于信息熵的異常檢測

攻擊者從汽車CAN總線采集3 000條CAN數(shù)據(jù)幀作為重放攻擊輸入數(shù)據(jù)。本實(shí)驗(yàn)中，攻擊者隨機(jī)選取第22、27、33個(gè)時(shí)間窗口對(duì)車輛發(fā)動(dòng)重放攻擊。圖5為5 s時(shí)間窗口重放攻擊下的CAN總線信息熵變化。在22、27、33個(gè)時(shí)間窗口處，系統(tǒng)信息熵明顯偏離（3.687 199，3.688 828）的閾值范圍。依據(jù)特征數(shù)據(jù)庫，位于上述3個(gè)時(shí)間窗口處重放攻擊造成的數(shù)據(jù)異常可被檢測出來，系統(tǒng)在遭遇重放攻擊時(shí)會(huì)給出警報(bào)。

圖5 重放攻擊下的CAN總線信息熵（時(shí)間窗口=5 s）

根據(jù)CAN網(wǎng)絡(luò)基于優(yōu)先級(jí)傳輸?shù)奶匦?，?.22 ms的發(fā)送速率，向CAN網(wǎng)絡(luò)中注入CAN ID為0x000的數(shù)據(jù)包會(huì)導(dǎo)致CAN拒絕服務(wù)。本實(shí)驗(yàn)分別在22~26、32~33、38~40的時(shí)間窗口內(nèi)對(duì)車載CAN網(wǎng)絡(luò)發(fā)動(dòng)DoS攻擊。圖6為5 s時(shí)間窗口DoS攻擊下的CAN總線信息熵變化。實(shí)驗(yàn)表明，在22~26、32~33、38~40時(shí)間窗口內(nèi)，CAN總線信息熵出現(xiàn)明顯偏離正常（3.687 199，3.688 828）范圍的現(xiàn)象，異常檢測機(jī)制可以有效檢測出DoS攻擊造成的數(shù)據(jù)異常。但是DoS攻擊與重放攻擊引起的信息熵變化并無明顯區(qū)別，基于信息熵的異常檢測機(jī)制雖然可以檢測到總線異常，但是卻無法區(qū)分引起異常的攻擊類型。

圖6 DoS攻擊下的CAN總線信息熵變化（時(shí)間窗口=5 s）

3.2 基于相對(duì)熵的異常檢測

攻擊者從汽車CAN總線采集200條數(shù)據(jù)幀統(tǒng)計(jì)CAN總線相對(duì)熵。實(shí)驗(yàn)中，攻擊者向車載CAN總線重放CAN ID為0x211、0x275、0x433、0x4b0的數(shù)據(jù)幀模擬數(shù)據(jù)重放攻擊。圖7為模擬重放攻擊下CAN總線的相對(duì)熵情況。與圖4正常狀態(tài)下CAN總線的相對(duì)熵相比，CAN ID為0x211、0x275、0x433、0x4b0的數(shù)據(jù)幀相對(duì)熵變化較為明顯，檢測機(jī)制可以檢測出重放攻擊導(dǎo)致的CAN總線相對(duì)熵異常。

圖7 重放攻擊下CAN總線相對(duì)熵異常（滑動(dòng)窗口200）

攻擊者以較高頻率向CAN總線注入CAN ID為0x190的數(shù)據(jù)幀，基于CAN總線傳輸?shù)膹V播機(jī)制與仲裁機(jī)制，CAN ID為0x190的數(shù)據(jù)幀會(huì)占用總線資源，產(chǎn)生拒絕服務(wù)效果。圖8為DoS攻擊下的CAN總線相對(duì)熵，結(jié)果顯示CAN ID為0x190的數(shù)據(jù)幀相對(duì)熵產(chǎn)生了大幅度變化，該機(jī)制可以檢測出DoS攻擊造成的CAN總線相對(duì)熵異常。與重放攻擊相比，DoS攻擊造成的相對(duì)熵變化更為顯著，基于相對(duì)熵的異常檢測機(jī)制不僅可以檢測出兩種攻擊造成的CAN總線異常，還可以檢測出具體的攻擊類型與異常數(shù)據(jù)幀CAN ID。

圖8 DoS攻擊下的CAN總線相對(duì)熵（滑動(dòng)窗口200）

4 結(jié)論

本文中分析了車載CAN總線的安全漏洞并描述了針對(duì)車載CAN總線的威脅模型。為檢測外部攻擊造成的車載CAN總線數(shù)據(jù)幀流量異常，首先分析了基于信息熵的車載CAN總線異常檢測機(jī)制，該機(jī)制能夠檢測出外部攻擊造成的總線異常現(xiàn)象和異常數(shù)據(jù)幀CAN ID，但是無法區(qū)分導(dǎo)致異常的具體攻擊類型，例如DoS攻擊、重放攻擊等。在此基礎(chǔ)上，提出了基于相對(duì)熵的車載CAN總線異常檢測機(jī)制，該機(jī)制將基于信息熵的異常檢測機(jī)制中的時(shí)間窗口改為數(shù)據(jù)窗口，改善了前者無法檢測非周期數(shù)據(jù)幀異常的缺陷。在某型號(hào)福特車輛上的實(shí)驗(yàn)結(jié)果表明，基于相對(duì)熵的車載CAN總線異常檢測機(jī)制不僅可以檢測出外部攻擊造成的車載CAN總線流量異常及異常數(shù)據(jù)幀CAN ID，還可以進(jìn)一步區(qū)分DoS攻擊、重放攻擊等外部攻擊的具體類型。未來，本課題將結(jié)合數(shù)據(jù)挖掘技術(shù)進(jìn)一步完善數(shù)據(jù)窗口的參數(shù)選取機(jī)制，基于不同車輛的CAN總線流量特征自動(dòng)設(shè)置數(shù)據(jù)窗口大小以適應(yīng)不同車輛，增大本文異常檢測機(jī)制的適用范圍。