智能汽车的入侵检测系统安全研究

　　摘要：车联网应用是典型的关联系统应用，智能汽车不仅其内部组件之间有网络连接，而且通过道路单元和其他汽车与外部世界也发生着关系。在很多场景下，内部网络和外部网络的数据包会经过相同的硬件，仅仅通过软件定义的规则进行隔离，任何错误的配置都可能将汽车内部组件暴露给黑客从而导致灾难性的后果。提出巡航控制场景下的两种隐蔽攻击方法，研究智能汽车的自适应巡航控制系统在隐蔽攻击下的安全性，并提出一种新颖的入侵检测和补偿机制来发现和处理这些攻击。入侵检测系统引擎使用神经网络识别器去动态估算系统输出，并与巡航系统的输出进行比对。如果监测到任何异常，内置的补偿控制器将会激活并接管系统控制权。大量的模拟仿真实验表明：新方案反应快速且有效。

　　关键词：车联网;自适应巡航控制;入侵检测系统;神经网络;信息物理系统;软件定义网络;车载自组网

　　在信息世界里，入侵检测系统(IntrusionDetectionSystems，IDS)的经典定义便是监控流量进出网络的安全系统[1]。但是随着系统变得越来越复杂和越来越连通，越来越多复杂巧妙的入侵行为被发现，并且已不仅仅局限于信息世界。信息物理系统(CyberPhysicalSystems，CPS)便是信息世界和物理世界相遇的地方，它们通常是IT系统或网络与电子机械部件的混合物，典型的例子有各种车联网系统2]，远程手术机器人3][4]和智能电网5][6]。针对信息物理系统的攻击可以损害到真实世界，并且将成为未来世界的一个重大安全隐患。

　　工业技术论文范例：电信运营商如何融入智能汽车市场

　　随着工业的逐步实现而威胁日益变大。针对信息物理系统的简单网络攻击都可能在复杂互联互通的系统里产生一连串故障。包括计算机网络[7]在内的所有已知攻击手段，都可能被用于攻击网络控制类型的信息物理系统，生活中有诸多这类系统的例子，比如，新车包括智能汽车，都使用控制器局域网络(ControllerAreaNetwork，CAN)总线来连接不同的微控制器以管控汽车的物理零部件。随着车联网(InternetofVehicles，IoV)和汽车自组网8](VehicularAdhocNetworks，VANET)的出现，汽车与外界的连接愈发普遍，如OTA(OverTheAir)软件更新和信息收集，这种安全挑战就变得更有压力[9]。

　　两名黑客演示了如何远程侵入和控制一辆014款Jeep自由光，利用连接移动数据网络的车载娱乐系统Uconnect的漏洞10][11]，他们成功给汽车刷入带病毒的固件，并向控制器局域网络总线发送指令控制汽车，最终迫使菲亚特克莱斯勒集团之后宣布召回40万辆汽车返厂升级系统。此类事件提醒研究人员要多关注车联网的安全性[12]。越来越多的汽车正在依赖于网络化控制系统，当其总线或冲突域(CollisionDomains)与连接到互联网的部件共享或者有路由进行连通时，安全隐患便随之而来。通过一些软件定义网络(SoftwareDefinedNetwork，SDN)进行隔离是最佳的手段，但是也扩大了遭受攻击的范围，任何错误的配置信息都可以打开进入智能汽车内部的渠道。

　　传统的入侵检测系统用于发现发现计算机网络的异常行为，但是在信息物理系统中，单纯分析流量而不清楚每个数据包作用于物理系统的实际效果，是不能判别其恶意的。文献[13]将信息物理系统安全风险进行分类并定义了隐蔽攻击(CovertAttacks)这一新类型。隐蔽攻击是欺骗攻击(DeceptionAttacks)的子集，攻击者获取信息物理系统部分组件的控制权，同时试图让攻击影响足够小从而让人无法观察到异常。隐蔽攻击分为两种，一种是试图让物理部件产生持续平稳的错误输出，随着时间逐步消耗系统的服务性能;另一种则是短暂的影响系统输出，间隔一段时间重复发生以达到相同的效果。

　　假定自适应巡航控制(AdaptiveCruiseControl，ACC)系统是易于遭受攻击的，笔者提出两种针对自适应巡航控制系统的隐蔽攻击：第种攻击里，当实验汽车降低车速时，攻击者立刻操作巡航控制器使汽车产生突然加速，试图产生事故或者增大事故概率;第种攻击则是攻击者接管控制权，让巡航控制器不断产生控制信号，降低实验汽车与前车的安全车距，从而增大事故风险。然后，设计一套尽可能准确地模拟巡航控制系统响应的观察方法，利用其所训练的参考模型，提出针对这两种隐蔽攻击的入侵检测机制。当检测到与预期行为偏差巨大的情况时，入侵检测系统便触发警告并切换到内置于补偿系统的故障安全控制器(FailsafeController)。

　　为了评估检测和补偿机制的效果，笔者在MATLABSimulink平台上进行了广泛的模拟实验，结果表明，检测机制可以成功地发现对自适应巡航控制系统的隐蔽攻击，而相较于没有采用任何保护机制，由控制器(controller)所构成的补偿器也很明显地减低了攻击对系统所造成的影响。自适应巡航控制自适应巡航控制根据控制目标不同，其相应的模型也不同。假设有汽车和汽车行驶于同一车道，汽车安装有自适应巡航控制系统，同时也安装有雷达可以测量与前车汽车的距离。另外，两车相对速度也可以由传感器和雷达测量所得。自适应巡航控制系统的控制目标便是让车辆以驾驶者设定的速度行驶且与前车保持安全车距。 自适应巡航控制系统有两种模式控制汽车。

　　汽车的速度被设置为驾驶者预设值，同时与前车保持系统认定的最小距离。自适应巡航控制会动态调整汽车的速度以控制两车之间的距离，确保车距不小于安全值。根据实时测试，自适应巡航控制系统可以根据条件自行激活某一模式，如果相对车距明显减少，则自适应巡航控制系统会从模式切换到模式;反之，如果相对车距大于某个阈值，自适应巡航控制系统便从模式切换为模式。所以自适应巡航控制系统会根据下述规则设定其执行模式：如果≥，速度控制模式被激活，保持巡航设定速度是控制目标。如果<，距离控制模式则被激活，保持与前车的安全距离是其控制目标。

　　2入侵检测和补偿.

　　1隐蔽攻击场景本文将研究两种针对自适应巡航控制系统的攻击场景，对其两种模式不同的控制目标所造成的影响。根据定义，这些攻击都会是隐蔽的。攻击会扰乱自适应巡航控制系统并更改其输出，换言之，攻击者可以扰乱车辆的加速度，改变车辆的正常运行。攻击场景：第种隐秘攻击从破坏自适应巡航控制单元开始。攻击者保持静默等候，让自适应巡航控制系统正常工作，并密切监控车辆与前车的距离。当该距离达到最低点(大约接近最小安全距离)时，攻击者控制自适应巡航控制单元在控制信号中产生一个波峰，使车辆突然加速，试图通过临时将车距降低至低于标准，或将车速提升到超过上限，使得事故发生的可能性增加。当前车突然刹车且受损的自适应巡航控制拒绝降低车速时，也可能发生类似的事故。

　　攻击场景：跟第种攻击类似，攻击者一样会破坏自适应巡航控制单元，不同的是攻击者不会像第一种场景里伺机而动打伏击，而是细微地降低自适应巡航控制的参考距离即安全车距。因此，在自适应巡航控制处于模式并试图保持安全距离时，它实际上是在遵循一个错误的参考，使得车辆事实上更接近前车。然而这种差异对于驾驶者而言是微不足道难以发现的，因此攻击仍然是隐蔽的，不过，所导致的结果却并非微不足道。从统计上讲，还得取决于路况(湿的或干的路面)，前后车辆的制动力以及驾驶者的反应时间，无论如何，这种攻击都让事故发生的机会大大增加。

　　隐蔽攻击的补偿–攻击场景第种隐蔽攻击中，攻击者试图扰乱自适应巡航控制系统的参考体系(如作为系统参照对比的安全距离)，尤其是自适应巡航控制工作于模式，以便让车间距保持低于安全距离。由于是隐蔽攻击，驾驶者很难察觉到加速度的细微波动，然而两车之间的相对距离却在逐渐变小，大约后车间距缩小了近5m。与相较而言，这个变化对驾驶者来说可能不明显，但明显增加了事故几率，特别是前车急刹车时。与之前场景类似，如果补偿器在收到IDS信号后激活介入控制，便能设法克服攻击带来的恶劣影响。攻击在不到00ms内再次被检测到，在一小瞬间的扰动后，车辆恢复良好的运行状态，系统控制目标得以实现。

　　4结束语

　　笔者对智能汽车自适应巡航控制系统中隐蔽攻击的检测方法和补偿机制进行了研究，介绍了两种攻击场景下导致的巡航系统无法正常工作，不能满足智能汽车对速度和车距控制的要求。提出了人工神经网络识别器用于学习自适应巡航控制系统并预测其输出。本文提出的新型IDS将会对比实际自适应巡航控制的输出和识别器的预测输出，进而判断自适应巡航控制行为是否异常。异常由统计度量捕获，IDS对此产生警告，并切换MPC系统至内置PID控制器。仿真模拟结果证实了本文方法的有效，它不仅实现了隐蔽攻击的探测识别，而且也能减轻攻击对测试车辆性能的影响。

　　由于车联网是多行业深度融合的新型产业形态，是全球创新的热点和未来发展的制高点，可以预见到其未来的广阔应用空间。随着汽车电子化水平越来越高和5G的推广应用，越来越多的汽车子系统将会接入网络，都可能遭受入侵威胁，安全挑战压力巨大，未来研究重点将会放在提升入侵检测和补偿机制的普适性，使其可以应用到更多的汽车组成系统和场景。同时，性能更优秀的神经网络识别器模型也是研究一大方向。

　　参考文献：

　　[1]F.Farivar,S.Barchinezhad,M.SayadHaghighi,andA.Jolfaei,Detectionandcompensationofcovertservicedegradingintrusionsincyberphysicalsystemsthroughintelligentadaptivecontrol[C]/TheIEEEInternationalConferenceonIndustrialTechnology,2019.

　　[2]常玲,赵蓓,薛姗等.车联网信息安全威胁分析及防护思路[J].移动通信,2019(11).

　　[3]王晨希,孟祥峰,王浩等.医用机器人网络安全问题研究与探讨[J].中国医疗设备2020年35卷期,1317,25页,ISTIC,2020.

　　[4]WangZ,MaP,ZouX,etal.SecurityofMedicalCyberphysicalSystems:AnEmpiricalStudyonImagingDevices[C]//IEEEINFOCOM2020IEEEConferenceonComputerCommunicationsWorkshops(INFOCOMWKSHPS).IEEE,2020.

　　[5]邹洪.智能电网信息安全防御体系架构与关键技术研究[J].网络安全技术与应用,2020.

　　作者：柴艳娜，李坤伦，宋焕生