前言：

隨著現(xiàn)代電子、通信和傳感器技術(shù)的快速進步，汽車的電子電氣化程度變得越來越高，但這同時也引入了信息安全風險。HEAVENS被認為是汽車行業(yè)內(nèi)出色的信息安全風險評價模型，但是其評估工作量較大，依賴于足夠長的時間和足夠強的專業(yè)能力。為了解決此問題，本文提出采用BP神經(jīng)網(wǎng)絡(luò)來生成神經(jīng)網(wǎng)絡(luò)模型，用該模型來改進HEAVENS評估計算方法，以實現(xiàn)節(jié)約時間和人力的目標。經(jīng)仿真實驗，采用本文提出的方法可以高效地實現(xiàn)安全風險評估。

01  介紹

伴隨著通信技術(shù)和移動互聯(lián)網(wǎng)應用的發(fā)展趨勢，車輛無線通信引入到汽車行業(yè)，帶來了智能汽車、聯(lián)網(wǎng)汽車的出現(xiàn)，給汽車行業(yè)帶來大量技術(shù)創(chuàng)新的同時，也使得汽車系統(tǒng)日趨復雜[1]。

復雜意味著脆弱。近年發(fā)生了很多汽車信息安全漏洞導致的事件，如2015年Jeep被黑客遠程控制[2]，2016年日產(chǎn)汽車被發(fā)現(xiàn)可以通過缺陷的API來控制車輛的一些重要功能[3]，2017年騰訊KeenLabs通過診斷接口遠程控制Tesla的制動系統(tǒng)[4]，等等不贅述。

為了克服汽車面臨的信息安全問題，汽車業(yè)界內(nèi)投入了越來越多的精力。2018年底發(fā)布的ISO-26262第二版提出了功能安全（Safety）與信息安全（Cybersecurity）交互的指導意見[5]；2020年發(fā)布的ISO-21434在SAE J3061的基礎(chǔ)上從實施層面進行了指導，從風險評估管理、產(chǎn)品開發(fā)、生產(chǎn)/運行/維護、流程審核等四個方面來保障汽車信息安全工程實施，要求汽車及附屬產(chǎn)品的信息安全在產(chǎn)品開發(fā)和整個供應鏈的設(shè)計中都要實現(xiàn)對安全性的共同理解[6]。

風險評估管理在汽車信息安全中作用十分關(guān)鍵，影響到后續(xù)的工作開展。“HEAVENS”是HEAling Vulnerabilities to ENhance Software Security and Safety project的簡稱，是歐洲提出的一種針對車輛電子電氣（E/E）系統(tǒng)的信息安全威脅分析和風險評估的方法、流程及工具支持[7]，可結(jié)構(gòu)化和系統(tǒng)化的方法發(fā)現(xiàn)潛在威脅。但HEAVENS有一個不足之處，在進行TARA（Threat Analysis & Risk Assessment）時需要大量的評估和計算，耗費的時間和人力比較多。

為了解決此問題，本文提出應用BP神經(jīng)網(wǎng)絡(luò)的方法生成神經(jīng)網(wǎng)絡(luò)模型參數(shù)，然后用生成的模型對HEAVENS的風險評估算法進行改進的方法。這種方法可以實現(xiàn)高效的風險評估結(jié)果，節(jié)約評估需要花費的時間和人力。經(jīng)過仿真實驗，本文提出的方法可靠有效。

02  HEAVENS安全模型評估安全風險

HEAVENS安全模型提出了一種系統(tǒng)的方法來推導汽車E/E系統(tǒng)的信息安全要求?？紤]了目前最先進的威脅分析和風險評估方法，采用3個步驟來分析安全需求，如下圖所示：


圖1 HEAVENS模型使用步驟

•  威脅分析

HEAVENS安全模型使用微軟提出的STRIDE方法[8]來進行威脅分析。

STRIDE是一種結(jié)構(gòu)化和定性的安全方法，用于發(fā)現(xiàn)和枚舉軟件系統(tǒng)中存在的威脅，但是STRIDE方法的適用性已經(jīng)擴展到汽車電子電氣系統(tǒng)。可以使用微軟提供的Microsoft Threat Modeling Tool來進行數(shù)據(jù)流圖繪制以及STRIDE威脅分析自動化。

•  風險評估

在基于STRIDE方法分析出 “威脅-資產(chǎn)”（Threat-Asset）對之后，為每個TA對評定安全級別。風險評估包括三個步驟：

1、威脅等級的確定(Threat Level，TL)：針對威脅“可能性”來估計威脅的等級；主要由Expertise，Knowledge of TOE，Window of Opportunity和Equipment參數(shù)決定，每個參數(shù)取值范圍根據(jù)可能性由高到低為{ 圖片 }。計算時將每個參數(shù)值進行累加，按照表1進行評價：


表1 HEAVENS安全模型計算威脅級別

2、測定的影響水平(Impact Level，IL)：指的是發(fā)生安全問題后產(chǎn)生的“影響”嚴重程度；主要由Safety，F(xiàn)inancial，Operational和Privacy & Legislation參數(shù)決定，每個參數(shù)的取值范圍根據(jù)影響程度由低到高為{ 圖片 }。計算時將每個參數(shù)值進行累加，按照表2進行評價：


表2 HEAVENS安全模型計算影響級別

3、測定安全級別(Security Level，SL)：這對應于最后的風險評級，由TL和IL共同確定。


表3 HEAVENS安全模型計算安全級別

•  安全需求

最后一步是基于Asset、Threat、安全屬性和SL來推導安全需求。當一個Asset具有安全級別“QM”，它[有]可能不[有]需要為其制定額外的信息安全要求；如果不是“QM”，就應針對其他兩種情況制定信息安全要求。

HEAVENS受益于STRIDE的步驟和方法，使得其可以結(jié)構(gòu)化和系統(tǒng)化地發(fā)現(xiàn)潛在威脅，但帶來的是需要大量的工作來分析和確定單個威脅的IL和TL因子，進而確定SL。其計算方法可用圖2來表示。



由上述對HEAVENS的分析可以看出，由于參數(shù)眾多，且依賴于專家的評定，因此帶來的工作量非常大。


圖2 HEAVENS模型的風險評估方法

03  使用BP神經(jīng)網(wǎng)絡(luò)方法改進HEAVENS評估計算

BP神經(jīng)網(wǎng)絡(luò)是一種利用信息和數(shù)據(jù)來進行計算、分析、預測的方法。神經(jīng)網(wǎng)絡(luò)對于數(shù)據(jù)的特征提取能力是非常強的，因此目前結(jié)合BP神經(jīng)網(wǎng)絡(luò)的神經(jīng)網(wǎng)絡(luò)應用已經(jīng)在語音/圖像/文字識別、機器人、生物醫(yī)藥等多個領(lǐng)域取得了重大突破，這證明“數(shù)據(jù)+神經(jīng)網(wǎng)絡(luò)”適應性是非常強的。

由于HEAVENS安全模型在測算汽車系統(tǒng)的面臨的眾多信息安全威脅時需要大量的工作和專家的逐項評估，導致了效率不高，而且容易出現(xiàn)誤判、漏判安全風險的情況。因此應用“BP神經(jīng)網(wǎng)絡(luò)+神經(jīng)網(wǎng)絡(luò)”來改進HEAVENS的計算方法應該能夠很好地解決這種情況，進而提高安全分析效率，提升汽車產(chǎn)品的信息安全水準。

因為TL和IL的取值是由一系列的參數(shù)向量所確定，很適于采用BP神經(jīng)網(wǎng)絡(luò)的方式來進行處理。本文根據(jù)TL和IL分別構(gòu)建2個多輸入、單輸出、一個隱含層的BP神經(jīng)網(wǎng)絡(luò)來計算，然后再根據(jù)獲得的TL和IL值來計算最終的SL值。

1、TL的計算




圖3 確定隱含節(jié)點數(shù)目的步驟

Sigmoid函數(shù)選取 圖片 作為隱含層的輸入?yún)?shù)，學習速率設(shè)為 圖片 ，目標誤差為 圖片 ，訓練次數(shù)為1000。

2、IL的計算



3、SL的計算

TL和IL的計算參數(shù)會根據(jù)大量的數(shù)據(jù)進行訓練，訓練完成后將會將TL和IL作為SL的計算參數(shù)，根據(jù)表3的方法計算獲取風險評估數(shù)值。

改進后HEAVENS的TL、IL和SL的計算方法可以用圖4來表示。


圖4 改進HEAVENS模型的安全等級計算方法

04  應用示例

本文的實驗數(shù)據(jù)來源一共有47441個TA對；選取其中一個BCM的安全評估數(shù)據(jù)，有1035個TA對。

當計算整車的SL時，TL的n和m的取值如下：


計算IL的n和s的取值如下：


下面舉例說明一個BCM的TA對的計算情況。下表是原始的安全評價表：



經(jīng)過訓練后的模型，計算TL取n=3，計算IL取s=1，計算結(jié)果的小數(shù)部分進行四舍五入取整。計算結(jié)果如下：



根據(jù)表3的映射可以得到SL的值為Medium，符合預期。

以下是根據(jù)完成訓練后的網(wǎng)絡(luò)來計算BCM的SL時，TL驗證的偏差情況：



IL的驗證情況如下：


從以上計算結(jié)果來看，當使用大量的訓練樣本生成網(wǎng)絡(luò)參數(shù)時，根據(jù)本文方法改進HEAVENS模型的計算結(jié)果與專家的評估結(jié)果相對比，一致性很好，具備計算快速、準確性高的優(yōu)點。

05  結(jié)語

本文提出了一種基于BP神經(jīng)網(wǎng)絡(luò)生成汽車安全風險評估結(jié)果模型參數(shù)的方法，對HEAVENS模型的TL和IL參數(shù)計算方法進行改進，采用BP神經(jīng)網(wǎng)絡(luò)模型計算不同因素的信息安全風險等級。經(jīng)過仿真驗證，此方法自動化程度高，評估結(jié)果有效且高效，可以為汽車信息安全風險量化評估提供計算支持。