GB/T 英文版 車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全異常行為檢測(cè)機(jī)制
GB/T 車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全異常行為檢測(cè)機(jī)制 英語(yǔ)版
Security-related misbehavior detection mechanism for connected vehicles

1 范圍

本文件提供了一種針對(duì)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全異常行為的檢測(cè)機(jī)制的建議。該機(jī)制包括以下步驟： 本文件適用于車(chē)聯(lián)網(wǎng)，目的是方便設(shè)計(jì)人員和安全解決方案提供方檢測(cè)網(wǎng)絡(luò)安全異常行為。數(shù)據(jù)
獲取的方法和程序及通知模塊的使用不在本文件的范圍內(nèi)。

2 規(guī)范性引用文件

本文件沒(méi)有規(guī)范性引用文件。

3 術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。
3.1
異常行為 misbehaviour 提供虛假或誤導(dǎo)性數(shù)據(jù)的行為，以妨礙其他服務(wù)接受者或超出其授權(quán)范圍的方式運(yùn)作。異常行為
可能來(lái)自車(chē)輛系統(tǒng)的內(nèi)部或外部組件。 [來(lái)源：ISO/TR 17427-4:2015]
注：異常行為包括有意或無(wú)意的錯(cuò)誤消息類(lèi)型或頻次、無(wú)效登錄和未經(jīng)授權(quán)的訪問(wèn)，或不正確的簽名或加密消息 等可疑行為。
3.2
數(shù)據(jù)采集 data capture 從不同來(lái)源采集用于網(wǎng)絡(luò)安全異常行為檢測(cè)的不同類(lèi)型數(shù)據(jù)，數(shù)據(jù)源包括汽車(chē)、基礎(chǔ)設(shè)施、OEM及
其供應(yīng)商。
3.3
檢測(cè) detection 基于采集到的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全異常行為發(fā)現(xiàn)。

4 縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。
ABS：防滑制動(dòng)系統(tǒng)（Anti-skid Braking System）
ADAS：先進(jìn)駕駛輔助系統(tǒng)（Advanced Driver-Assistance Systems）
AEB：自動(dòng)緊急制動(dòng)（Autonomous Emergency Braking）
API：應(yīng)用程序編程接口（Application Programming Interface）
CAN：控制器局域網(wǎng)（Controller Area Network）
CVE：通用漏洞披露（Common Vulnerabilities and Exposures）
GNSS：全球?qū)Ш叫l(wèi)星系統(tǒng)（Global Navigation Satellite System）
IP：互聯(lián)網(wǎng)協(xié)議（Internet Protocol）
ITS：智能交通系統(tǒng)（Intelligent Transportation System）
LiDAR：光探測(cè)和測(cè)距（Light Detection and Ranging） MCU：微控制單元（Microcontroller Unit）
OEM：原始設(shè)備制造商（Original Equipment Manufacturer）
TCU：遠(yuǎn)程信息處理控制單元（Telematics Control Unit）
URL：統(tǒng)一資源定位符（Uniform Resource Locator）

5 網(wǎng)絡(luò)安全異常行為檢測(cè)機(jī)制模型

圖1給出了車(chē)聯(lián)網(wǎng)的網(wǎng)絡(luò)安全異常行為檢測(cè)機(jī)制模型。該機(jī)制包括數(shù)據(jù)采集和檢測(cè)兩個(gè)步驟，這兩 個(gè)步驟由兩個(gè)系統(tǒng)實(shí)現(xiàn)。
由于數(shù)據(jù)獲取方法和程序（例如：數(shù)據(jù)過(guò)濾和數(shù)據(jù)清理）不在本文件的范圍內(nèi)，因此圖1中的數(shù)據(jù) 采集系統(tǒng)只是網(wǎng)絡(luò)安全異常行為檢測(cè)實(shí)際實(shí)施的參考示例。
來(lái)自數(shù)據(jù)采集系統(tǒng)的數(shù)據(jù)被發(fā)送至檢測(cè)系統(tǒng)，且采集到的數(shù)據(jù)根據(jù)第6章中描述的類(lèi)型進(jìn)行處理。 數(shù)據(jù)采集系統(tǒng)包含以下模塊：
a） 數(shù)據(jù)獲取：獲取不同來(lái)源（如服務(wù)提供方、車(chē)身系統(tǒng)和傳感器）的檢測(cè)數(shù)據(jù)； b） 數(shù)據(jù)過(guò)濾：根據(jù)數(shù)據(jù)分類(lèi)過(guò)濾采集到的數(shù)據(jù)；
c） 數(shù)據(jù)清洗：對(duì)采集到的數(shù)據(jù)進(jìn)行重復(fù)數(shù)據(jù)刪除和降噪處理。 檢測(cè)系統(tǒng)包含以下模塊：
a） 數(shù)據(jù)選擇：基于不同的網(wǎng)絡(luò)安全異常行為檢測(cè)方法選擇數(shù)據(jù)集，再將其發(fā)送至檢測(cè)引擎； b） 檢測(cè)引擎：根據(jù)檢測(cè)方法檢測(cè)網(wǎng)絡(luò)安全異常行為，再將決策結(jié)果發(fā)送至優(yōu)化和通知模塊； c） 優(yōu)化：使用來(lái)自檢測(cè)引擎的檢測(cè)結(jié)果改進(jìn)數(shù)據(jù)選擇、檢測(cè)引擎和數(shù)據(jù)獲取模塊。 通知模塊將檢測(cè)引擎的輸出信息發(fā)送給關(guān)聯(lián)方，該模塊不在本文件的范圍內(nèi)。

6 數(shù)據(jù)采集

數(shù)據(jù)采集通常包含數(shù)據(jù)獲取、數(shù)據(jù)過(guò)濾和數(shù)據(jù)清洗。本文件僅對(duì)檢測(cè)程序中使用的數(shù)據(jù)類(lèi)型進(jìn)行 規(guī)定，數(shù)據(jù)獲取的方法和程序均不在本文件的描述范圍內(nèi)，任何應(yīng)對(duì)個(gè)人敏感信息數(shù)據(jù)采用的加密保 護(hù)、脫敏處理技術(shù)或手段，如匿名化等，也不在本文件的描述范圍內(nèi)。
基于從不同來(lái)源采集的數(shù)據(jù)和信息，本章對(duì)網(wǎng)絡(luò)安全異常行為檢測(cè)機(jī)制中使用的數(shù)據(jù)類(lèi)型進(jìn)行了 定義，包括：狀態(tài)數(shù)據(jù)、控制數(shù)據(jù)和情報(bào)數(shù)據(jù)，具體內(nèi)容見(jiàn)表1。

7 檢測(cè)

7.1 概述

檢測(cè)模塊主要由數(shù)據(jù)選擇、檢測(cè)引擎和優(yōu)化子模塊組成，如圖2所示?；跀?shù)據(jù)和信息的不同來(lái)源， 檢測(cè)引擎使用大數(shù)據(jù)分析識(shí)別網(wǎng)絡(luò)安全異常行為。優(yōu)化模塊通過(guò)異常行為數(shù)據(jù)來(lái)優(yōu)化數(shù)據(jù)選擇并使檢 測(cè)引擎模塊的異常行為檢測(cè)更加準(zhǔn)確和高效。
7.2 數(shù)據(jù)選擇

數(shù)據(jù)選擇模塊根據(jù)檢測(cè)方法的要求將數(shù)據(jù)分為不同的數(shù)據(jù)集，見(jiàn)圖3。數(shù)據(jù)選擇模塊的輸入是來(lái)自 數(shù)據(jù)采集系統(tǒng)的數(shù)據(jù)。
7.3 檢測(cè)引擎

7.3.1 概述

檢測(cè)引擎由兩個(gè)子模塊組成：檢測(cè)方法和決策。當(dāng)數(shù)據(jù)集進(jìn)入檢測(cè)方法子模塊時(shí)，檢測(cè)方法會(huì)將 其轉(zhuǎn)化為行為特征。決策子模塊基于行為特征做出決策。有三種不同類(lèi)型的決策結(jié)果：異常、可疑、

正常。異常是指檢測(cè)到明確的異常行為；可疑是指無(wú)法確定數(shù)據(jù)是異常的還是安全的；正常是指沒(méi)有 從數(shù)據(jù)中檢測(cè)到任何異常行為。
7.3.2 檢測(cè)方法

7.3.2.1 概述

檢測(cè)方法子模塊內(nèi)可包含了多個(gè)不同的檢測(cè)方法?；诘?章中分類(lèi)的數(shù)據(jù)類(lèi)型，本文件列出了四 種方法進(jìn)行網(wǎng)絡(luò)安全異常行為檢測(cè)。這些方法的使用案例見(jiàn)附錄A。
7.3.2.2 狀態(tài)鏈檢測(cè)

狀態(tài)鏈包含一系列相關(guān)聯(lián)的狀態(tài)數(shù)據(jù)。在狀態(tài)鏈中，一個(gè)數(shù)據(jù)的改變會(huì)導(dǎo)致其他數(shù)據(jù)同時(shí)改變。 描述狀態(tài)變化的狀態(tài)流特點(diǎn)如下：
——節(jié)點(diǎn)：智能交通系統(tǒng)中與某一動(dòng)作相關(guān)的服務(wù)或應(yīng)用；
——流程：一個(gè)動(dòng)作所產(chǎn)生的數(shù)據(jù)變化的方向和路徑。 狀態(tài)數(shù)據(jù)在智能交通系統(tǒng)中生成，可用這些數(shù)據(jù)創(chuàng)建上下文。數(shù)據(jù)值也遵循一定的趨勢(shì)，并在一
定范圍內(nèi)波動(dòng)。 狀態(tài)鏈可分為單鏈和分支兩種模式。這兩種模式如下：
——單鏈模式：每個(gè)節(jié)點(diǎn)只有一個(gè)接收其信號(hào)的節(jié)點(diǎn)；
——分支模式：一個(gè)節(jié)點(diǎn)同時(shí)生成兩個(gè)或多個(gè)狀態(tài)數(shù)據(jù)，再將其發(fā)送到不同的節(jié)點(diǎn)。 在狀態(tài)鏈的單鏈模式中，節(jié)點(diǎn)只有單向連接。見(jiàn)圖4。
7.3.2.3 控制流檢測(cè)

控制流包含一系列相關(guān)的控制數(shù)據(jù)。在控制流中，一個(gè)控制命令可由多個(gè)子控制命令組成，影響 多個(gè)系統(tǒng)。
描述控制命令執(zhí)行的控制流特點(diǎn)如下：
——節(jié)點(diǎn)：智能交通系統(tǒng)中與某一動(dòng)作相關(guān)的服務(wù)或應(yīng)用；
——流程：一個(gè)動(dòng)作所產(chǎn)生的數(shù)據(jù)變化的方向和路徑。 當(dāng)一個(gè)控制動(dòng)作進(jìn)行時(shí)，與控制相關(guān)的數(shù)據(jù)將通過(guò)相關(guān)的節(jié)點(diǎn)并形成一個(gè)控制流。 智能交通系統(tǒng)中的每個(gè)控制節(jié)點(diǎn)都穩(wěn)定而有規(guī)律地工作。當(dāng)許多節(jié)點(diǎn)一起工作時(shí)，由于規(guī)定的周
期、確定的消息類(lèi)型和數(shù)量，所以控制流的行為也是穩(wěn)定的。 控制流可分為單鏈和分支兩種模式，具體如下：
——單鏈模式：每個(gè)節(jié)點(diǎn)只有一個(gè)接收其信號(hào)的節(jié)點(diǎn)；
——分支模式：一個(gè)節(jié)點(diǎn)同時(shí)生成兩個(gè)或多個(gè)控制數(shù)據(jù)，然后將其發(fā)送到不同的節(jié)點(diǎn)。 在控制流的單鏈模式中，節(jié)點(diǎn)只有單向連接。見(jiàn)圖6。
7.3.2.4 時(shí)間序列檢測(cè)

時(shí)間序列數(shù)據(jù)是指隨某種時(shí)間規(guī)律而變化的數(shù)據(jù)，例如CAN消息。這樣的數(shù)據(jù)可以使用時(shí)間序列檢 測(cè)。
時(shí)間序列數(shù)據(jù)的變化趨勢(shì)有四種類(lèi)型：
——趨勢(shì)：數(shù)據(jù)隨時(shí)間或自變量變化，表現(xiàn)出相對(duì)緩慢和長(zhǎng)期的趨勢(shì)，具有連續(xù)上升、下降或保 持不變的性質(zhì)，但變化幅度可能不相等；
——周期性：一個(gè)因素隨著時(shí)間的推移逐漸顯示出重復(fù)的特性，包括波峰和波谷；
——隨機(jī)性：數(shù)據(jù)是隨機(jī)變化的，但總體情況是可統(tǒng)計(jì)的；
——疊加：實(shí)際變化是多個(gè)變化的疊合或組合。
時(shí)間序列行為的特點(diǎn)如下：
——節(jié)點(diǎn)：智能交通系統(tǒng)中與時(shí)間序列數(shù)據(jù)相關(guān)的服務(wù)或應(yīng)用；
——流程：表示時(shí)間順序。 可以用一種或多種類(lèi)型的時(shí)間序列數(shù)據(jù)來(lái)建立數(shù)據(jù)模式，用于發(fā)現(xiàn)網(wǎng)絡(luò)安全異常行為。時(shí)間序列的單鏈模式見(jiàn)圖8。
7.3.2.5 關(guān)聯(lián)情報(bào)檢測(cè)

對(duì)于關(guān)聯(lián)情報(bào)檢測(cè)方法，可以直接或間接檢測(cè)網(wǎng)絡(luò)安全異常行為，因此，關(guān)聯(lián)情報(bào)數(shù)據(jù)可以分為 兩類(lèi)：直接關(guān)聯(lián)情報(bào)和間接關(guān)聯(lián)情報(bào)。
直接關(guān)聯(lián)情報(bào)：可基于該情報(bào)直接檢測(cè)網(wǎng)絡(luò)安全異常行為，例如外部漏洞報(bào)告、內(nèi)部網(wǎng)絡(luò)安全研 究和常見(jiàn)漏洞披露。
間接關(guān)聯(lián)情報(bào)：基于這種情報(bào)不能直接檢測(cè)到網(wǎng)絡(luò)安全異常行為，因?yàn)檫@種情報(bào)用于描述正常事 件，例如，錯(cuò)誤修復(fù)、新功能發(fā)布、軟件更新和芯片更換。將間接關(guān)聯(lián)情報(bào)與采集到的其他數(shù)據(jù)相結(jié) 合，可以檢測(cè)出網(wǎng)絡(luò)安全異常行為。
7.3.3 決策

決策模塊中的決策程序見(jiàn)圖9。
決策子模塊用于確定檢測(cè)方法的結(jié)果，包括兩個(gè)功能：評(píng)分和人工分析。評(píng)分功能通過(guò)行為特征 確定數(shù)據(jù)類(lèi)型，然后對(duì)其進(jìn)行評(píng)分。如果網(wǎng)絡(luò)安全異常行為（如劫持或篡改攻擊）發(fā)生，它就會(huì)偏離

穩(wěn)定基準(zhǔn)線。如果分?jǐn)?shù)不能達(dá)到正?；虍惓５拈撝?，則被歸類(lèi)為可疑。然后，分析人員將介入并幫助 做出決定，直到分?jǐn)?shù)達(dá)到正常或異常數(shù)據(jù)的閾值。
7.4 優(yōu)化

7.4.1 概述

優(yōu)化是一個(gè)反饋模塊，它從檢測(cè)引擎接收數(shù)據(jù)，并使用這些數(shù)據(jù)來(lái)優(yōu)化檢測(cè)引擎模塊、數(shù)據(jù)選擇 模塊和數(shù)據(jù)采集模塊。見(jiàn)圖10。
7.4.2 優(yōu)化檢測(cè)引擎

特征是流程中被傳輸數(shù)據(jù)的關(guān)鍵值。在網(wǎng)絡(luò)安全異常行為檢測(cè)開(kāi)始時(shí)，穩(wěn)定基準(zhǔn)線是由正常環(huán)境 中的正常特征生成的，穩(wěn)定基準(zhǔn)線可用來(lái)進(jìn)行評(píng)分功能的初始化。
檢測(cè)引擎通過(guò)優(yōu)化模塊輸出的結(jié)果進(jìn)行自我。增加、修改或刪除檢測(cè)方法，以提高檢測(cè)效率；評(píng) 分功能也通過(guò)增加從人工分析中獲得的新知識(shí)得到優(yōu)化。
7.4.3 優(yōu)化數(shù)據(jù)選擇

通過(guò)增加、修改或刪除數(shù)據(jù)集以提高檢測(cè)準(zhǔn)確度。

7.4.4 優(yōu)化數(shù)據(jù)采集

通過(guò)增加、修改或刪除采集到的數(shù)據(jù)以提高檢測(cè)準(zhǔn)確度。

附 錄 A
（資料性） 不同檢測(cè)方法的使用案例

本附錄提供按照7.3.2中的不同檢測(cè)方法檢測(cè)網(wǎng)絡(luò)安全異常行為的使用案例。

A.1 狀態(tài)鏈案例

這是7.3.2.2所述的狀態(tài)鏈檢測(cè)案例。 車(chē)輛配有一個(gè)TCU，用于訪問(wèn)互聯(lián)網(wǎng)。TCU不是一直在運(yùn)行，它在車(chē)輛發(fā)動(dòng)機(jī)停止后會(huì)切換到低功
耗模式以節(jié)省功耗。在進(jìn)入低功耗模式之前，它將車(chē)輛狀態(tài)發(fā)送到后端服務(wù)的車(chē)輛網(wǎng)關(guān)，車(chē)輛網(wǎng)關(guān)將 該狀態(tài)同步到TCU狀態(tài)緩存。命令服務(wù)從TCU狀態(tài)緩存中獲取該狀態(tài)。當(dāng)用戶向其車(chē)輛發(fā)送命令時(shí)，命 令服務(wù)根據(jù)TCU狀態(tài)做出反應(yīng)。如果TCU處于低功耗模式，命令服務(wù)會(huì)向喚醒服務(wù)發(fā)送請(qǐng)求，喚醒服務(wù) 則會(huì)喚醒TCU。圖A.1為正常行為的狀態(tài)鏈。表A.1列出了該案例所涉及的狀態(tài)數(shù)據(jù)。
攻擊者嘗試修改TCU狀態(tài)，觀察命令服務(wù)表現(xiàn)出來(lái)的不同行為，這時(shí)TCU狀態(tài)緩存和車(chē)輛網(wǎng)關(guān)之間 將會(huì)出現(xiàn)差異。
在這種情況下，狀態(tài)鏈檢測(cè)可通過(guò)比較車(chē)輛網(wǎng)關(guān)中的車(chē)輛狀態(tài)和TCU狀態(tài)緩存中的TCU狀態(tài)來(lái)檢測(cè) 網(wǎng)絡(luò)安全異常行為。如果其狀態(tài)不同，這即是一種網(wǎng)絡(luò)安全異常行為。車(chē)輛行駛時(shí)TCU不可能處于低功 耗模式。
A.2 控制流案例

這是7.3.2.3的控制流檢測(cè)案例。 當(dāng)用戶通過(guò)安裝在智能手機(jī)上的移動(dòng)端應(yīng)用程序觸發(fā)遠(yuǎn)程車(chē)輛控制功能時(shí)，移動(dòng)端應(yīng)用程序?qū)⑸?br>成一條操作日志，并向后端API服務(wù)發(fā)送請(qǐng)求，API服務(wù)將在訪問(wèn)日志中記錄這一請(qǐng)求。API服務(wù)預(yù)處理 該請(qǐng)求，并將其轉(zhuǎn)發(fā)至車(chē)輛終端，例如：TCU。TCU將會(huì)調(diào)用MCU的收發(fā)器向相關(guān)執(zhí)行器發(fā)送命令。最后， 執(zhí)行器將執(zhí)行來(lái)自用戶側(cè)的控制命令。見(jiàn)圖A.2。表A.2列出了該案例涉及的控制數(shù)據(jù)。
在這個(gè)案例中，只有當(dāng)API服務(wù)發(fā)出請(qǐng)求時(shí)，TCU才會(huì)向MCU發(fā)送消息。如果從異常路徑調(diào)用MCU， 則移動(dòng)端應(yīng)用程序和API服務(wù)中不會(huì)有操作日志，這樣就可以檢測(cè)到網(wǎng)絡(luò)安全異常行為。