*相關(guān)內(nèi)容節(jié)選自本實驗室盧葦?shù)牟糠盅芯抗ぷ?br />
作為聯(lián)網(wǎng)智能體，自動駕駛汽車需要頻繁與內(nèi)外界發(fā)生信息交互，以提供智能駕駛服務(wù)。聯(lián)網(wǎng)通信使得汽車不再封閉，眾多開放的接口增大了攻擊面。惡意攻擊對汽車來說影響巨大，甚至可能造成人員傷亡。所以在自動駕駛應(yīng)用真正投入使用前，研究有效的車載信息安全防護方案意義重大。本次探究聚焦于自動駕駛車載網(wǎng)絡(luò)安全，主要工作包括提出異常檢測模型，設(shè)計并仿真實現(xiàn)了一種基于信息熵的自動駕駛場景車載網(wǎng)絡(luò)流量異常檢測算法。

1. 理論概要

1.1 自動駕駛車載網(wǎng)絡(luò)架構(gòu)

自動駕駛車載網(wǎng)絡(luò)是一種基于域控制器的混合架構(gòu)，是傳統(tǒng)CAN總線與新型網(wǎng)絡(luò)架構(gòu)車載以太網(wǎng)的結(jié)合。在自動駕駛汽車中，車載以太網(wǎng)將作為主干網(wǎng)絡(luò)，而CAN總線等服務(wù)于低容量通信場景。針對自動駕駛車載網(wǎng)絡(luò)流量的異常檢測應(yīng)當(dāng)包含對CAN總線和車載以太網(wǎng)兩種網(wǎng)絡(luò)結(jié)構(gòu)的檢測。

1.2 網(wǎng)絡(luò)流量異常檢測技術(shù)

網(wǎng)絡(luò)流量異常檢測屬于入侵檢測。異常檢測可從系統(tǒng)檢測方式角度細分為基于統(tǒng)計，基于知識和基于機器學(xué)習(xí)三種方式。其中，基于知識的方法檢測效率隨規(guī)則復(fù)雜度升高而降低，基于機器學(xué)習(xí)的方法算力消耗較大，結(jié)合車載信息安全中高實時性、高準確率要求以及車端算力限制，最終本次探究選定基于熵值理論的統(tǒng)計方式進行算法設(shè)計。

1.3 信息熵

異常網(wǎng)絡(luò)流量的出現(xiàn)會導(dǎo)致系統(tǒng)的熵發(fā)生相應(yīng)變化，因此可以通過熵值表示系統(tǒng)的統(tǒng)計特性檢測異常。為描述熵值的計算，先定義自信息（self-information）這一概念，其表示離散隨機變量的某個取值發(fā)生時所帶來的信息量，定義如下：

其中，x為隨機變量的某一取值，表示其發(fā)生概率。對數(shù)的底數(shù)b取不同值代表自信息不同的度量單位，當(dāng)(自然對數(shù))時自信息單位為nat（納特）,當(dāng)b=2時自信息單位為bit(比特)。某取值的發(fā)生概率越小，信息熵越大，
信息熵是對隨機變量不確定性的度量，表示為離散隨機變量的所有可能取值的自信息的期望。通過概率加權(quán)，可以得到離散隨機變量的信息熵定義如下：



2. 提出的方法

2.1 攻擊模型

攻擊者可以通過入侵車內(nèi)電子控制單元（ElectronicControl Unit，ECU）對車輛進行攻擊，最典型的是注入攻擊，所以本次探究考慮一種攻擊者模型：惡意攻擊者成功劫持一個車內(nèi)ECU，然后控制該ECU發(fā)送特定報文實現(xiàn)DoS攻擊和重放攻擊。

2.2 檢測模型與算法設(shè)計

檢測模型包括流量采集和流量分析兩個模塊，采集模塊負責(zé)采集網(wǎng)絡(luò)流量并加入到滑動窗口中，分析模塊負責(zé)在滑動窗口滿時計算信息熵，進行異常檢測。

流量分析模塊中使用了基于信息熵的異常檢測算法。首先通過正常流量訓(xùn)練得到閾值，然后固定好滑動窗口大小，算法的主要思想是通過對滑動窗口中的流量數(shù)據(jù)計算信息熵,將信息熵值與預(yù)先設(shè)定的閾值對比,從而檢測是否有異常發(fā)生。如果低于閾值，則有異常發(fā)生，發(fā)出合適警報；反之，流量正常。

2.3 實驗過程

1.實驗前先探究滑動窗口對熵值計算的影響。利用控制變量法，固定窗口大小為200，滑動距離分別設(shè)置為150、100和50，探究不同滑動距離是否對熵值的影響。由實驗可知，滑動距離不影響熵值計算，只影響窗口滑動次數(shù)。

將滑動距離固定為滑動窗口的1/2，窗口大小分別取200、150和100。由實驗可知，窗口大小雖影響熵值大小，但由于是用閾值判斷的，所以只要選取合理的閾值，檢測方案仍具有一定可行性。根據(jù)可容忍延遲時間和消息報文速率設(shè)定窗口大?。篊AN總線中滑動窗口大小設(shè)為200，車載以太網(wǎng)設(shè)為50，滑動距離均為滑動窗口大小的1/2。



2.實驗過程中，CAN總線和車載以太網(wǎng)中分別選取了滑動窗口中報文標識符ID的頻次和滑動窗口中數(shù)據(jù)包協(xié)議類型的頻次作為離散隨機變量用于計算信息熵。

處理數(shù)據(jù)集，由于需要正常數(shù)據(jù)訓(xùn)練閾值和異常數(shù)據(jù)模擬攻擊，所以一共需要6種數(shù)據(jù)集。已收集到離線真實的CAN DoS數(shù)據(jù)集和車載以太網(wǎng)正常流量的數(shù)據(jù)包，所以還需要模擬出另外4種數(shù)據(jù)集。關(guān)于CAN總線，正常數(shù)據(jù)集是從DoS數(shù)據(jù)集中剔除異常數(shù)據(jù)得到，重放數(shù)據(jù)集是對正常數(shù)據(jù)集重放最高優(yōu)先級報文構(gòu)造而得。關(guān)于車載以太網(wǎng)，DoS數(shù)據(jù)集采用UDP泛洪構(gòu)造。重放數(shù)據(jù)集直接大量重放某條車載以太網(wǎng)的流量數(shù)據(jù)構(gòu)造得到。

2.4 實驗結(jié)果及結(jié)論

實驗中對自動駕駛中CAN總線和車載以太網(wǎng)兩種網(wǎng)絡(luò)結(jié)構(gòu)分別發(fā)起DoS攻擊和重放攻擊，每次實驗修改閾值重復(fù)3次，共12次實驗。實驗中幾乎很少出現(xiàn)誤報的情況，存在一定漏報的情況，說明異常數(shù)據(jù)會使信息熵降低而非上下波動，閾值方法有效。12次實驗成功檢測率在87%以上，9次達95%以上。實驗可以得出結(jié)論：本文提出的檢測方法有較好的檢測效果，但檢測效果受閾值影響大，選取合理的閾值能提高成功檢測率，降低誤報率和漏報率。



3. 思考

本次探究是一次對自動駕駛車載網(wǎng)絡(luò)異常流量檢測的初探，意在尋求一種有效防護自動駕駛汽車的車載信息安全的辦法。對本次探究復(fù)盤思考，仍發(fā)現(xiàn)一些局限性：第一，所設(shè)計方案是一種粗粒度的檢測方式，無法在確定發(fā)生攻擊后定位到具體的惡意節(jié)點,根除攻擊源?？赡苄枰Y(jié)合身份認證機制解決。第二，閾值大小對檢測結(jié)果的影響較大，且閾值的確定不能直接由正常流量決定?，F(xiàn)有一個想法是，對標準差等計算角度設(shè)定閾值，通過檢測熵值偏離當(dāng)前均值的離散程度進行異常判斷。