左少雄

畢業(yè)于武漢理工大學(xué)，工學(xué)碩士學(xué)位，現(xiàn)就職于襄陽達(dá)安汽車檢測中心有限公司，任大數(shù)據(jù)分析及應(yīng)用技術(shù)工程師，主要從事智能網(wǎng)聯(lián)信息安全、數(shù)據(jù)分析等工作。

摘" 要：本文通過對示范區(qū)車聯(lián)網(wǎng)安全威脅進(jìn)行分析，指出它在四個(gè)維度上面臨的安全威脅，并基于此構(gòu)建了面向示范區(qū)車聯(lián)網(wǎng)的態(tài)勢感知平臺模型，同時(shí)建立了基于多元聚合的雙重關(guān)聯(lián)分析模型，能夠?yàn)槭痉秴^(qū)車聯(lián)網(wǎng)態(tài)勢感知建設(shè)工作提供依據(jù)。

關(guān)鍵詞：車聯(lián)網(wǎng);態(tài)勢感知;關(guān)聯(lián)分析

中圖分類號：U467.5" " " 文獻(xiàn)標(biāo)識碼：A" " " 文章編號：1005-2550（2022）04-0080-04

Key Technologies of Situational Awareness for Internet of Vehicles Security in Demonstration Areas

ZUO Shao-xiong， WANG Tao， LIN Kai， YU Lei

（ Xiangyang Da An Automobile Test Center， Xiangyang 441004， China ）

Abstract： In this paper， we have analyzed the security threats of the Internet of vehicles in the demonstration area， and we have pointed out the security threats it faces in four dimensions， based on this， a situational awareness platform model for the network of vehicles in the demonstration area is constructed， also a double correlation analysis model is established based on multivariate aggregation to provide a basis for the situation awareness construction of Internet of vehicles in demonstration areas.

Key Words：" Internet Of Vehicles; Situation Awareness; Correlation Analysis

為滿足智能網(wǎng)聯(lián)道路測試的需求，我國已建成多個(gè)智能網(wǎng)聯(lián)示范區(qū)，功能涵蓋封閉測試、開放道路測試、城市交通場景測試等應(yīng)用場景[1]。在示范區(qū)車聯(lián)網(wǎng)環(huán)境中，車端感知系統(tǒng)、路側(cè)感知系統(tǒng)、智慧交通設(shè)施、高精定位、云端控制決策平臺等系統(tǒng)深度融合，形成“車路網(wǎng)云一體化”[2]。

深度融合的技術(shù)形態(tài)帶來的是復(fù)雜多樣的安全風(fēng)險(xiǎn)。2021年9月正式施行的《數(shù)據(jù)安全法》，以及2021年10月開始施行的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》都對數(shù)據(jù)安全提出了嚴(yán)格要求，因此安全建設(shè)成為示范區(qū)建設(shè)過程中的核心關(guān)注要素。其中，態(tài)勢感知技術(shù)能綜合利用數(shù)據(jù)融合、智能分析、數(shù)據(jù)挖掘等技術(shù)手段，直觀地展現(xiàn)示范區(qū)的安全狀況，是示范區(qū)安全建設(shè)的重要技術(shù)支撐[3]。

1" nbsp; 示范區(qū)安全威脅分析

某示范區(qū)車聯(lián)網(wǎng)體系以“車端—路端—云控”為主體，通過路側(cè)邊緣節(jié)點(diǎn)、車輛邊緣節(jié)點(diǎn)以及邊緣設(shè)備，實(shí)現(xiàn)了車—云通信、車—車通信、車—人通信、車—路通信四個(gè)通信場景，如圖1所示：

通過分析可知，示范區(qū)車聯(lián)網(wǎng)面臨的安全威脅主要來源于四個(gè)維度：設(shè)備終端、通信傳輸、云端平臺、系統(tǒng)應(yīng)用[4-5];

（1）設(shè)備終端：車聯(lián)網(wǎng)通過設(shè)備終端采集、處理各類數(shù)據(jù)，終端的安全風(fēng)險(xiǎn)主要來源于因漏洞、網(wǎng)絡(luò)攻擊導(dǎo)致的數(shù)據(jù)篡改、設(shè)備越權(quán)、設(shè)備失效等安全事件導(dǎo)致的危害。

（2）通信傳輸：車聯(lián)網(wǎng)通信的主要安全風(fēng)險(xiǎn)是消息篡改、消息重放、身份偽造等，攻擊者通過對傳輸數(shù)據(jù)進(jìn)行篡改從而控制車輛。

（3）云端平臺：云端平臺的定位是匯聚數(shù)據(jù)、處理數(shù)據(jù)、下達(dá)指令，因此云端平臺的主要安全風(fēng)險(xiǎn)是網(wǎng)絡(luò)攻擊、越權(quán)訪問、遠(yuǎn)程控制等;

（4）系統(tǒng)應(yīng)用：車聯(lián)網(wǎng)的所有決策指令都由云端平臺下達(dá)，因此其主要安全風(fēng)險(xiǎn)來源于指令篡改引發(fā)的安全事故。

2" " 示范區(qū)態(tài)勢感知體系

通過對示范區(qū)車聯(lián)網(wǎng)安全威脅進(jìn)行分析，本文提出面向示范區(qū)車聯(lián)網(wǎng)的態(tài)勢感知模型，如圖2所示。

模型由四部分組成，即云端、路端、車端組成的數(shù)據(jù)采集層;由身份認(rèn)證、OTA升級功能、數(shù)據(jù)采集模塊等組成的保障機(jī)制;由漏洞管理、入侵檢測、威脅預(yù)警等組成的態(tài)勢平臺;由漏洞庫、情報(bào)庫、規(guī)則庫等組成的外部信息庫;

（1）數(shù)據(jù)采集層：系統(tǒng)在路側(cè)設(shè)備（RSU、MECE）、車端設(shè)備（OBU、IVI、GW、T-BOX等）、云端服務(wù)器（網(wǎng)絡(luò)行為感知）中部署IDPS探針，實(shí)時(shí)收集設(shè)備的日志信息、流量信息、進(jìn)程信息、狀態(tài)信息等，并通過傳輸機(jī)制上報(bào)給態(tài)勢平臺;

（2）保障機(jī)制：通過OTA升級機(jī)制保障規(guī)則庫信息、補(bǔ)丁包下發(fā)至設(shè)備;通過身份認(rèn)證機(jī)制、傳輸加密機(jī)制保障通信安全，并將認(rèn)證日志上傳至態(tài)勢平臺;

（3）態(tài)勢安全運(yùn)營平臺：作為態(tài)勢感知平臺的核心，通過對探針上傳數(shù)據(jù)進(jìn)行分析，將其與漏洞庫、規(guī)則/情報(bào)庫的信息進(jìn)行對比，從而得到示范區(qū)態(tài)勢情況;通過態(tài)勢呈現(xiàn)、威脅預(yù)警機(jī)制使運(yùn)營人員全面管理示范區(qū)安全;

（4）信息庫：通過同步CNNVD、CNVD等公開漏洞庫的信息，以及自身掃描得到的漏洞信息建立漏洞庫;通過收集情報(bào)中的組織信息、攻擊手段、攻擊工具等形成情報(bào)庫;通過建立信息管理規(guī)則，形成檢測規(guī)則庫，支撐威脅檢測;

模型中的核心部分是關(guān)聯(lián)規(guī)則的建立，其工作流程如圖3所示：

3" " 關(guān)聯(lián)分析模型

關(guān)聯(lián)分析是態(tài)勢感知平臺的核心能力，常見的有：基于設(shè)定規(guī)則的關(guān)聯(lián)分析、基于統(tǒng)計(jì)的關(guān)聯(lián)分析、基于大數(shù)據(jù)的關(guān)聯(lián)分析、基于威脅情報(bào)的關(guān)聯(lián)分析等。

本文基于上述研究，結(jié)合示范區(qū)車聯(lián)網(wǎng)實(shí)際情況，提出一種基于聚合算法的雙重關(guān)聯(lián)分析模型，具體內(nèi)容如下：

（1）關(guān)聯(lián)規(guī)則分析

第一重關(guān)聯(lián)分析流程如圖4所示，即通過對探針采集的網(wǎng)絡(luò)流量信息、系統(tǒng)資源日志信息、進(jìn)程行為事件等進(jìn)行過濾、數(shù)據(jù)統(tǒng)計(jì)，通過場景邏輯關(guān)聯(lián)形成有效告警，如：“在一段時(shí)間內(nèi)，多個(gè)事件中某屬性值不同的次數(shù)滿足條件”、“某事件A發(fā)生之后的一段時(shí)間內(nèi)發(fā)生了事件B”等。

（2）關(guān)聯(lián)場景分析

第二重關(guān)聯(lián)分析的流程如圖5所示，通過構(gòu)建場景模型庫對有效告警進(jìn)行事件聚合，從而形成具有實(shí)際意義的安全事件。

（3）基于事件的多元聚合分析

對于多元數(shù)據(jù)的分析，需要針對數(shù)據(jù)、信息、片段之間的多維度以及多粒度，構(gòu)建基于大數(shù)據(jù)融合的數(shù)據(jù)分析[6]，本文針對車聯(lián)網(wǎng)現(xiàn)狀提出一種多元聚合分析方法，具體如下所示：

① 針對車聯(lián)網(wǎng)信息安全的各階段特征，定義事件元素集如A={a1，a2…a8};

② 對于目標(biāo)告警Event，選取最大時(shí)序間隔Δtmin—Δtmax，保證在時(shí)序間隔內(nèi)，告警與Event相同類型的告警信息僅出現(xiàn)一次;

③ 遍歷情報(bào)庫元素，選定某事件特征集Q={q1，q2…q8};

④ 搜索Δtmin—Δtmax中的告警事件，將告警事件與Q中元素做比對，判斷告警事件是否滿足特征;

⑤ 如情報(bào)特征集Q不符合，則更換情報(bào)信息;

⑥ 如情報(bào)特征集Q符合，則輸出安全事件A=Q;

4" " 案例應(yīng)用

基于上述工作內(nèi)容，筆者依托于某項(xiàng)目，開發(fā)了一套面向示范區(qū)車聯(lián)網(wǎng)的態(tài)勢感知平臺，平臺界面如圖6所示。該平臺通過感知車聯(lián)網(wǎng)安全威脅，有效地識別出安全事件，幫助運(yùn)營人員更好地實(shí)現(xiàn)信息安全防護(hù)。

5" " 總結(jié)

本文通過對示范區(qū)車聯(lián)網(wǎng)體系進(jìn)行分析，識別出了潛在的安全威脅，同時(shí)構(gòu)建了態(tài)勢感知體系和關(guān)聯(lián)分析模型，并最終完成了一套面向示范區(qū)車聯(lián)網(wǎng)的態(tài)勢感知平臺，相關(guān)模型和方法對車聯(lián)網(wǎng)環(huán)境下的態(tài)勢感知應(yīng)用具有一定的指導(dǎo)意義。

參考文獻(xiàn)：

[1]郭蓬，戎輝，王文揚(yáng)，高嵩，何佳，蔡聰.中國已建智能網(wǎng)聯(lián)示范區(qū)的發(fā)展現(xiàn)狀研究[J].汽車電器，2018（05）：15-19.

[2]郭志杰，張斌，楊濤，王恩師.智能網(wǎng)聯(lián)汽車與智慧交通應(yīng)用示范區(qū)項(xiàng)目設(shè)計(jì)[J].交通科技，2020（06）：123-127.

[3]陳妍，朱燕，劉玉嶺，劉星材.網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)架構(gòu)設(shè)計(jì)[J].信息安全研究，2021，7（09）：844-848.

[4]潘妍，許智鑫，馬澤宇.車聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)分析與政策研究[J].保密科學(xué)技術(shù)，2021（07）：16-22.

[5]任廣樂，李立安，趙幗娟.智能網(wǎng)聯(lián)汽車聯(lián)網(wǎng)全鏈路分析[J].汽車文摘，2021（09）：55-62.

[6]孟小峰，杜治娟.大數(shù)據(jù)融合研究：問題與挑戰(zhàn)[J].計(jì)算機(jī)研究與發(fā)展，2016，53（02）：231-246.

專家推薦語

盛" "凱

西安電子科技大學(xué) 前沿交叉研究院

信息感知與智能系統(tǒng) 教授

本文提出一種基于聚合算法的雙重關(guān)聯(lián)分析模型進(jìn)行示范區(qū)車聯(lián)網(wǎng)安全的態(tài)勢感知。該模型提出了通過關(guān)聯(lián)規(guī)則分析、關(guān)聯(lián)場景分析、基于事件的多元聚合分析三個(gè)步驟完成示范區(qū)車聯(lián)網(wǎng)安全事件的感知，提案的方法具有實(shí)際意義。