面向示范區(qū)車聯(lián)網(wǎng)安全的態(tài)勢感知關(guān)鍵技術(shù)

左少雄

畢業(yè)于武漢理工大學，工學碩士學位，現(xiàn)就職于襄陽達安汽車檢測中心有限公司，任大數(shù)據(jù)分析及應用技術(shù)工程師，主要從事智能網(wǎng)聯(lián)信息安全、數(shù)據(jù)分析等工作。

摘" 要：本文通過對示范區(qū)車聯(lián)網(wǎng)安全威脅進行分析，指出它在四個維度上面臨的安全威脅，并基于此構(gòu)建了面向示范區(qū)車聯(lián)網(wǎng)的態(tài)勢感知平臺模型，同時建立了基于多元聚合的雙重關(guān)聯(lián)分析模型，能夠為示范區(qū)車聯(lián)網(wǎng)態(tài)勢感知建設工作提供依據(jù)。

關(guān)鍵詞：車聯(lián)網(wǎng);態(tài)勢感知;關(guān)聯(lián)分析

中圖分類號：U467.5" " " 文獻標識碼：A" " " 文章編號：1005-2550（2022）04-0080-04

Key Technologies of Situational Awareness for Internet of Vehicles Security in Demonstration Areas

ZUO Shao-xiong， WANG Tao， LIN Kai， YU Lei

（ Xiangyang Da An Automobile Test Center， Xiangyang 441004， China ）

Abstract： In this paper， we have analyzed the security threats of the Internet of vehicles in the demonstration area， and we have pointed out the security threats it faces in four dimensions， based on this， a situational awareness platform model for the network of vehicles in the demonstration area is constructed， also a double correlation analysis model is established based on multivariate aggregation to provide a basis for the situation awareness construction of Internet of vehicles in demonstration areas.

Key Words：" Internet Of Vehicles; Situation Awareness; Correlation Analysis

為滿足智能網(wǎng)聯(lián)道路測試的需求，我國已建成多個智能網(wǎng)聯(lián)示范區(qū)，功能涵蓋封閉測試、開放道路測試、城市交通場景測試等應用場景[1]。在示范區(qū)車聯(lián)網(wǎng)環(huán)境中，車端感知系統(tǒng)、路側(cè)感知系統(tǒng)、智慧交通設施、高精定位、云端控制決策平臺等系統(tǒng)深度融合，形成“車路網(wǎng)云一體化”[2]。

深度融合的技術(shù)形態(tài)帶來的是復雜多樣的安全風險。2021年9月正式施行的《數(shù)據(jù)安全法》，以及2021年10月開始施行的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》都對數(shù)據(jù)安全提出了嚴格要求，因此安全建設成為示范區(qū)建設過程中的核心關(guān)注要素。其中，態(tài)勢感知技術(shù)能綜合利用數(shù)據(jù)融合、智能分析、數(shù)據(jù)挖掘等技術(shù)手段，直觀地展現(xiàn)示范區(qū)的安全狀況，是示范區(qū)安全建設的重要技術(shù)支撐[3]。

1" nbsp; 示范區(qū)安全威脅分析

某示范區(qū)車聯(lián)網(wǎng)體系以“車端—路端—云控”為主體，通過路側(cè)邊緣節(jié)點、車輛邊緣節(jié)點以及邊緣設備，實現(xiàn)了車—云通信、車—車通信、車—人通信、車—路通信四個通信場景，如圖1所示：

通過分析可知，示范區(qū)車聯(lián)網(wǎng)面臨的安全威脅主要來源于四個維度：設備終端、通信傳輸、云端平臺、系統(tǒng)應用[4-5];

（1）設備終端：車聯(lián)網(wǎng)通過設備終端采集、處理各類數(shù)據(jù)，終端的安全風險主要來源于因漏洞、網(wǎng)絡攻擊導致的數(shù)據(jù)篡改、設備越權(quán)、設備失效等安全事件導致的危害。

（2）通信傳輸：車聯(lián)網(wǎng)通信的主要安全風險是消息篡改、消息重放、身份偽造等，攻擊者通過對傳輸數(shù)據(jù)進行篡改從而控制車輛。

（3）云端平臺：云端平臺的定位是匯聚數(shù)據(jù)、處理數(shù)據(jù)、下達指令，因此云端平臺的主要安全風險是網(wǎng)絡攻擊、越權(quán)訪問、遠程控制等;

（4）系統(tǒng)應用：車聯(lián)網(wǎng)的所有決策指令都由云端平臺下達，因此其主要安全風險來源于指令篡改引發(fā)的安全事故。

2" " 示范區(qū)態(tài)勢感知體系

通過對示范區(qū)車聯(lián)網(wǎng)安全威脅進行分析，本文提出面向示范區(qū)車聯(lián)網(wǎng)的態(tài)勢感知模型，如圖2所示。

模型由四部分組成，即云端、路端、車端組成的數(shù)據(jù)采集層;由身份認證、OTA升級功能、數(shù)據(jù)采集模塊等組成的保障機制;由漏洞管理、入侵檢測、威脅預警等組成的態(tài)勢平臺;由漏洞庫、情報庫、規(guī)則庫等組成的外部信息庫;

（1）數(shù)據(jù)采集層：系統(tǒng)在路側(cè)設備（RSU、MECE）、車端設備（OBU、IVI、GW、T-BOX等）、云端服務器（網(wǎng)絡行為感知）中部署IDPS探針，實時收集設備的日志信息、流量信息、進程信息、狀態(tài)信息等，并通過傳輸機制上報給態(tài)勢平臺;

（2）保障機制：通過OTA升級機制保障規(guī)則庫信息、補丁包下發(fā)至設備;通過身份認證機制、傳輸加密機制保障通信安全，并將認證日志上傳至態(tài)勢平臺;

（3）態(tài)勢安全運營平臺：作為態(tài)勢感知平臺的核心，通過對探針上傳數(shù)據(jù)進行分析，將其與漏洞庫、規(guī)則/情報庫的信息進行對比，從而得到示范區(qū)態(tài)勢情況;通過態(tài)勢呈現(xiàn)、威脅預警機制使運營人員全面管理示范區(qū)安全;

（4）信息庫：通過同步CNNVD、CNVD等公開漏洞庫的信息，以及自身掃描得到的漏洞信息建立漏洞庫;通過收集情報中的組織信息、攻擊手段、攻擊工具等形成情報庫;通過建立信息管理規(guī)則，形成檢測規(guī)則庫，支撐威脅檢測;

模型中的核心部分是關(guān)聯(lián)規(guī)則的建立，其工作流程如圖3所示：

3" " 關(guān)聯(lián)分析模型

關(guān)聯(lián)分析是態(tài)勢感知平臺的核心能力，常見的有：基于設定規(guī)則的關(guān)聯(lián)分析、基于統(tǒng)計的關(guān)聯(lián)分析、基于大數(shù)據(jù)的關(guān)聯(lián)分析、基于威脅情報的關(guān)聯(lián)分析等。

本文基于上述研究，結(jié)合示范區(qū)車聯(lián)網(wǎng)實際情況，提出一種基于聚合算法的雙重關(guān)聯(lián)分析模型，具體內(nèi)容如下：

（1）關(guān)聯(lián)規(guī)則分析

第一重關(guān)聯(lián)分析流程如圖4所示，即通過對探針采集的網(wǎng)絡流量信息、系統(tǒng)資源日志信息、進程行為事件等進行過濾、數(shù)據(jù)統(tǒng)計，通過場景邏輯關(guān)聯(lián)形成有效告警，如：“在一段時間內(nèi)，多個事件中某屬性值不同的次數(shù)滿足條件”、“某事件A發(fā)生之后的一段時間內(nèi)發(fā)生了事件B”等。

（2）關(guān)聯(lián)場景分析

第二重關(guān)聯(lián)分析的流程如圖5所示，通過構(gòu)建場景模型庫對有效告警進行事件聚合，從而形成具有實際意義的安全事件。

（3）基于事件的多元聚合分析

對于多元數(shù)據(jù)的分析，需要針對數(shù)據(jù)、信息、片段之間的多維度以及多粒度，構(gòu)建基于大數(shù)據(jù)融合的數(shù)據(jù)分析[6]，本文針對車聯(lián)網(wǎng)現(xiàn)狀提出一種多元聚合分析方法，具體如下所示：

① 針對車聯(lián)網(wǎng)信息安全的各階段特征，定義事件元素集如A={a1，a2…a8};

② 對于目標告警Event，選取最大時序間隔Δtmin—Δtmax，保證在時序間隔內(nèi)，告警與Event相同類型的告警信息僅出現(xiàn)一次;

③ 遍歷情報庫元素，選定某事件特征集Q={q1，q2…q8};

④ 搜索Δtmin—Δtmax中的告警事件，將告警事件與Q中元素做比對，判斷告警事件是否滿足特征;

⑤ 如情報特征集Q不符合，則更換情報信息;

⑥ 如情報特征集Q符合，則輸出安全事件A=Q;

4" " 案例應用

基于上述工作內(nèi)容，筆者依托于某項目，開發(fā)了一套面向示范區(qū)車聯(lián)網(wǎng)的態(tài)勢感知平臺，平臺界面如圖6所示。該平臺通過感知車聯(lián)網(wǎng)安全威脅，有效地識別出安全事件，幫助運營人員更好地實現(xiàn)信息安全防護。

5" " 總結(jié)

本文通過對示范區(qū)車聯(lián)網(wǎng)體系進行分析，識別出了潛在的安全威脅，同時構(gòu)建了態(tài)勢感知體系和關(guān)聯(lián)分析模型，并最終完成了一套面向示范區(qū)車聯(lián)網(wǎng)的態(tài)勢感知平臺，相關(guān)模型和方法對車聯(lián)網(wǎng)環(huán)境下的態(tài)勢感知應用具有一定的指導意義。

參考文獻：

[1]郭蓬，戎輝，王文揚，高嵩，何佳，蔡聰.中國已建智能網(wǎng)聯(lián)示范區(qū)的發(fā)展現(xiàn)狀研究[J].汽車電器，2018（05）：15-19.

[2]郭志杰，張斌，楊濤，王恩師.智能網(wǎng)聯(lián)汽車與智慧交通應用示范區(qū)項目設計[J].交通科技，2020（06）：123-127.

[3]陳妍，朱燕，劉玉嶺，劉星材.網(wǎng)絡安全態(tài)勢感知標準架構(gòu)設計[J].信息安全研究，2021，7（09）：844-848.

[4]潘妍，許智鑫，馬澤宇.車聯(lián)網(wǎng)數(shù)據(jù)安全風險分析與政策研究[J].保密科學技術(shù)，2021（07）：16-22.

[5]任廣樂，李立安，趙幗娟.智能網(wǎng)聯(lián)汽車聯(lián)網(wǎng)全鏈路分析[J].汽車文摘，2021（09）：55-62.

[6]孟小峰，杜治娟.大數(shù)據(jù)融合研究：問題與挑戰(zhàn)[J].計算機研究與發(fā)展，2016，53（02）：231-246.

專家推薦語

盛" "凱

西安電子科技大學 前沿交叉研究院

信息感知與智能系統(tǒng) 教授

本文提出一種基于聚合算法的雙重關(guān)聯(lián)分析模型進行示范區(qū)車聯(lián)網(wǎng)安全的態(tài)勢感知。該模型提出了通過關(guān)聯(lián)規(guī)則分析、關(guān)聯(lián)場景分析、基于事件的多元聚合分析三個步驟完成示范區(qū)車聯(lián)網(wǎng)安全事件的感知，提案的方法具有實際意義。