導(dǎo)讀：汽車產(chǎn)業(yè)為追求更佳的舒適性、便捷性、安全性等其他特性，正不斷向智能化和網(wǎng)聯(lián)化快速轉(zhuǎn)變。車聯(lián)網(wǎng)高速發(fā)展的同時，其自身的安全問題也日漸突出。本文闡述了車聯(lián)網(wǎng)安全架構(gòu)，并分析架構(gòu)各層級面臨的主要安全威脅。針對主要安全威脅，總結(jié)國內(nèi)外車聯(lián)網(wǎng)入侵檢測技術(shù)的研究現(xiàn)狀。最后，分析了當(dāng)前入侵檢測的關(guān)鍵技術(shù)，提出了未來研究方向和思路，為我國車聯(lián)網(wǎng)安全的發(fā)展提供理論和技術(shù)參考。

1引言

當(dāng)前，物聯(lián)網(wǎng)被視作繼互聯(lián)網(wǎng)之后的又一次信息技術(shù)革命浪潮，萬物互聯(lián)將是未來社會的發(fā)展趨勢。汽車產(chǎn)業(yè)作為“萬物互聯(lián)”中的重要板塊，為追求更佳的舒適性、便捷性、安全性等其他特性，正不斷向智能化、網(wǎng)聯(lián)化、數(shù)字化快速轉(zhuǎn)變。汽車互聯(lián)網(wǎng)的誕生，借助了新一代移動通信技術(shù)，實現(xiàn)車與人、車與車、車與路、車與云等全方位的網(wǎng)絡(luò)連接，提升用戶駕駛體驗的同時，極大地提高交通運行效率及交通服務(wù)的智能化水平。日本早在20世紀(jì)60年代，首先開啟了車內(nèi)網(wǎng)絡(luò)的研究。美國在2010年發(fā)布了《智能交通戰(zhàn)略研究計劃》，為車聯(lián)網(wǎng)技術(shù)的發(fā)展進行了詳細的規(guī)劃和部署。如今，我國的智能網(wǎng)聯(lián)汽車的發(fā)展也已提升至國家戰(zhàn)略高度，國務(wù)院和工業(yè)信息化部、交通運輸部、科學(xué)技術(shù)部、發(fā)展改革委、公安部等部委均出臺一系列規(guī)劃及政策推動我國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展。在車聯(lián)網(wǎng)高速發(fā)展的同時，車載網(wǎng)絡(luò)開放性不斷提高，面臨的信息安全威脅也隨之增大，車聯(lián)網(wǎng)安全事故不斷涌現(xiàn)。本文介紹了車載網(wǎng)絡(luò)安全的架構(gòu)，從架構(gòu)出發(fā)，分析各結(jié)構(gòu)主要安全威脅?？偨Y(jié)了國內(nèi)外車聯(lián)網(wǎng)入侵檢測的研究現(xiàn)狀，并結(jié)合前沿技術(shù)，指出車聯(lián)網(wǎng)入侵檢測關(guān)鍵技術(shù)創(chuàng)新點，為我國車聯(lián)網(wǎng)安全的發(fā)展提供理論和技術(shù)參考。

2車聯(lián)網(wǎng)架構(gòu)

典型的車聯(lián)網(wǎng)定義是指汽車結(jié)合高精度、高可靠性且低時延的傳感器技術(shù)與新一代的移動通信技術(shù)，實現(xiàn)車輛內(nèi)部與車輛外部人、車、路、云、端全方位的網(wǎng)絡(luò)連接。從車聯(lián)網(wǎng)安全威脅角度，李興華等人在《車聯(lián)網(wǎng)安全綜述》中將車聯(lián)網(wǎng)架構(gòu)劃分為車外網(wǎng)通信層、車內(nèi)平臺網(wǎng)絡(luò)層和車內(nèi)組件層。（1）車外網(wǎng)通信層：由車-車、車-人、車-路、車-云之間通信組成的網(wǎng)絡(luò)層。其中包括了智能網(wǎng)聯(lián)汽車相互之間通過LTE-V2X、DSRC（DedicatedShortRangeCommunication）的通信，車與路基設(shè)施之間通過LTE-V2X、DSRC、射頻技術(shù)的通信，以及車與人之間通過Wi-Fi、藍牙或蜂窩網(wǎng)的通信。V2X網(wǎng)絡(luò)通信中，首先T-BOX作為無線網(wǎng)關(guān)，通過4G遠程無線通訊、GPS衛(wèi)星定位、加速度傳感和CAN（ControllerAreaNetwork）通訊等功能，為整車提供遠程通訊接口，包括了行車數(shù)據(jù)采集、行駛軌跡記錄、車輛故障監(jiān)控、車輛遠程查詢和控制、駕駛行為分析等服務(wù)。其次，車輛可以通過IVI從車外網(wǎng)中獲取娛樂信息服務(wù)，包括三維導(dǎo)航、實時路況、IPTV、輔助駕駛、無線通訊等一系列應(yīng)用。最后，車輛還可以通過OBDII系統(tǒng)直接與汽車故障診斷儀器相接通，進行信息交換。故T-BOX、IVI或網(wǎng)關(guān)作為車內(nèi)網(wǎng)與車外網(wǎng)通信的關(guān)鍵節(jié)點。（2）車內(nèi)平臺網(wǎng)絡(luò)層：車內(nèi)平臺的網(wǎng)絡(luò)架構(gòu)是通過總線通訊協(xié)議將ECU（ElectronicControlUnit）節(jié)點連接起來，從而構(gòu)成車內(nèi)總線網(wǎng)絡(luò)。ECU作為智能網(wǎng)聯(lián)汽車的核心電子元件，也是車內(nèi)基本通訊單元，相互之間通過總線協(xié)議連接。車內(nèi)總線協(xié)議主要包括CAN、LIN、FlexRay、MOST等，如圖1所示。而在眾多總線協(xié)議中，CAN作為目前運用最廣泛的車內(nèi)總線協(xié)議，是車聯(lián)網(wǎng)安全領(lǐng)域研究的重點。圖1車內(nèi)總線協(xié)議（3）車內(nèi)組件層：隨著車輛智能化程度越來越高，智能網(wǎng)聯(lián)汽車內(nèi)部部署的高性能傳感器和ECU數(shù)量也隨之不斷增長。ECU作為汽車每個子系統(tǒng)的“大腦”，通過獨有的軟硬件系統(tǒng)，單獨或多個ECU組合控制著不同的功能。而車內(nèi)數(shù)量龐大的傳感器和ECU共同構(gòu)成了車內(nèi)的組件層，通過實時通信控制著整車。

3車聯(lián)網(wǎng)威脅分析

具有典型性和先進性的車聯(lián)網(wǎng)相較于傳統(tǒng)的互聯(lián)網(wǎng)，應(yīng)用環(huán)境相較特殊，組網(wǎng)更加復(fù)雜，管理更具困難，安全威脅也更為嚴峻。存在車輛被遠程攻擊、惡意控制、個人信息泄露等威脅。其影響程度從車內(nèi)娛樂系統(tǒng)的播放到車輛被惡意操控造成重大交通安全事故，甚至到泄露出行信息、道路信息、地圖信息等對國家安全造成威脅。本文從車外網(wǎng)通信層、車內(nèi)平臺網(wǎng)絡(luò)層、車內(nèi)組件層三個方面分析車聯(lián)網(wǎng)存在的主要信息安全威脅。（1）車外網(wǎng)通信層威脅

由于V2X通信網(wǎng)絡(luò)采用無線通信方式，故通信過程中存在網(wǎng)絡(luò)入侵，消息篡改、偽造，通信協(xié)議破解，身份認證等威脅。車與人或云端之間傳遞的信息往往蘊含大量駕駛?cè)藛T隱私，車輛注冊、狀態(tài)、軌跡信息等，因此車外網(wǎng)絡(luò)通信層中數(shù)據(jù)的安全尤為重要。李馥娟等人在《車聯(lián)網(wǎng)安全威脅綜述》中提出，車輛通信數(shù)據(jù)具有體量大、模態(tài)多和實時性高的特點。數(shù)據(jù)內(nèi)容本身具有敏感性，同時必須保障通信數(shù)據(jù)的實時性與真實性。在確保網(wǎng)絡(luò)通信質(zhì)量的前提下，謹防數(shù)據(jù)被篡改。入侵者攻擊通信層的方式多種多樣，車外網(wǎng)通信層主要存在的攻擊面有：藍牙車鑰匙、OBD口、Wi-Fi、TSP、移動端應(yīng)用App、車聯(lián)網(wǎng)云端及相互通信的信道等。攻擊手段主要通過對通信協(xié)議的先驗知識，偽造報文對車輛進行入侵。而高效且匿名的身份認證技術(shù)是關(guān)鍵，但由于實時性、算力的限制，傳統(tǒng)基于橢圓曲線公鑰密碼學(xué)認證等方法應(yīng)用于車聯(lián)網(wǎng)存在較大困難。此外，由于車輛的高速移動，其網(wǎng)絡(luò)拓撲結(jié)構(gòu)為動態(tài)變化，車外網(wǎng)絡(luò)中未知攻擊的入侵檢測亦面臨較大困難。（2）車內(nèi)平臺網(wǎng)絡(luò)層威脅分析

CAN總線是由國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization，ISO）定義的串行通信總線，是一種廣播式車輛總線，用高總線和低總線連接電子控制單元。近年隨著車輛上的聯(lián)網(wǎng)設(shè)備越來越豐富，CAN總線規(guī)模不斷擴大，車內(nèi)平臺網(wǎng)絡(luò)層的入侵主要集中在CAN總線上。但是，在最初設(shè)計CAN總線時，汽車是一個獨立的工具，沒有考慮到車與車、車與路、車與云之間的連接與通訊，故CAN總線的設(shè)計并沒有信息安全方面的防御設(shè)計，因此CAN總線具有如下特性：明文傳輸：CAN總線在通訊時是采用明文傳輸?shù)?，使得攻擊者能夠較容易獲取CAN總線上傳輸?shù)臄?shù)據(jù)，并且較容易地讀懂其內(nèi)所包含的信息，借此可以對CAN總線進行消息注入甚至從而控制車輛。無認證機制：CAN總線的消息幀數(shù)據(jù)量很小，缺乏幀溯源，消息幀內(nèi)不含任何發(fā)送節(jié)點的相關(guān)信息亦不存在任何簽名機制，故在接收到CAN總線傳來的數(shù)據(jù)時，無法對消息幀進行溯源，即使知道某段消息是惡意注入的，也沒法因此判斷出攻擊在何處發(fā)生。

廣播傳輸：CAN總線采用廣播傳輸?shù)姆绞竭M行通信，即假若攻擊者對其中一個節(jié)點進行入侵，便可輕松獲取全部的CAN總線信息。消息優(yōu)先級仲裁機制：當(dāng)多個ECU發(fā)送消息到CAN總線時，CAN總線會對其優(yōu)先級進行判斷，優(yōu)先執(zhí)行優(yōu)先級更高的指令。所以攻擊者可以通過向CAN總線發(fā)送大量高優(yōu)先級的消息，使原本的系統(tǒng)功能完全癱瘓。（3）車內(nèi)組件層威脅分析

車內(nèi)組件層的威脅主要來自于ECU的安全漏洞，ECU中的漏洞包括軟件漏洞和固件漏洞。ECU的軟件漏洞可以導(dǎo)致系統(tǒng)崩潰、重啟或執(zhí)行非預(yù)期功能。其中一些漏洞提供了緩沖區(qū)溢出攻擊的機會。攻擊者利用這些軟件漏洞，干擾ECU的正常工作，導(dǎo)致ECU崩潰或者執(zhí)行攻擊者提供的惡意代碼，打亂系統(tǒng)的執(zhí)行流程。對于固件漏洞來說，攻擊者可以通過外部設(shè)備對ECU的固件進行逆向分析，獲得其指令集代碼、更改ECU相關(guān)參數(shù)、挖掘ECU固件漏洞。當(dāng)讀取固件時，可以通過二進制數(shù)據(jù)中的字符串得到ECU的類型，進而知道ECU采用的指令集類型。通過一些工具如banal、Windows等可以得到一些關(guān)鍵函數(shù)和MAP表，并實現(xiàn)MAP數(shù)據(jù)的編輯和校驗。不同種類的ECU會帶來不同的漏洞安全問題。4國內(nèi)外車聯(lián)網(wǎng)入侵檢測技術(shù)研究（1）車外網(wǎng)通信層入侵檢測技術(shù)研究現(xiàn)狀

車外網(wǎng)的通信與傳統(tǒng)無線通信較為相似，但由于車輛的高速移動，網(wǎng)絡(luò)拓撲存在動態(tài)變化的特點。車輛與外部車輛、TSP、路基設(shè)備等需要不斷建立網(wǎng)絡(luò)、離開網(wǎng)絡(luò)，分組網(wǎng)絡(luò)中具備強信任關(guān)系的同時保障不受組內(nèi)攻擊。故基于傳統(tǒng)互聯(lián)網(wǎng)的入侵檢測技術(shù)應(yīng)用于車聯(lián)網(wǎng)時需針對性改進。當(dāng)前主要思想仍是基于深度學(xué)習(xí)的算法對網(wǎng)絡(luò)中各節(jié)點的流量特征進行分析，基于大量訓(xùn)練集監(jiān)控當(dāng)前網(wǎng)絡(luò)流量，判斷入侵行為。通過采用不同的機器學(xué)習(xí)模型，以建立可靠的入侵檢測模型。Aburomman等人在文獻中提出對常用基于機器學(xué)習(xí)入侵檢測的集成、混合技術(shù)?？紤]同質(zhì)與異構(gòu)類型的集成方法，同時訓(xùn)練多個分類器來解決相同的問題，然后結(jié)合它們的輸出來提高準(zhǔn)確率。而Ashfaq等人在文獻中提出基于模糊半監(jiān)督學(xué)習(xí)的入侵檢測系統(tǒng)，以解決少量數(shù)據(jù)的問題。其主要思想為利用無標(biāo)記樣本輔助監(jiān)督學(xué)習(xí)算法來提高IDS分類器的性能。訓(xùn)練單隱層前饋神經(jīng)網(wǎng)絡(luò)輸出模糊隸屬度向量，利用模糊量對未標(biāo)記樣本進行分類（低、中、高模糊類別）。分類器在將每個類別分別合并到原始訓(xùn)練集中后再進行訓(xùn)練。將此技術(shù)運用至車聯(lián)網(wǎng)當(dāng)中，亦能顯著提高入侵檢測結(jié)果。（2）車內(nèi)平臺網(wǎng)絡(luò)層入侵檢測技術(shù)研究現(xiàn)狀

對于CAN總線的入侵檢測，一些研究者嘗試通過修改CAN總線的協(xié)議來增加相對應(yīng)的校驗機制或?qū)AN總線傳輸?shù)南⑦M行加密處理。但是由于CAN總線消息中數(shù)據(jù)字段的長度不足，會大大增加計算負載，而車輛通信對速率要求極高。如果入侵檢測系統(tǒng)過于復(fù)雜就會帶來很大的時間延遲，對行車安全造成威脅，甚至造成車毀人亡的后果，所以基于車輛的入侵檢測系統(tǒng)不宜設(shè)計得過于復(fù)雜。基于此，Song等人提出了一種基于CAN報文時間間隔分析的車載網(wǎng)絡(luò)輕量級入侵檢測算法，雖然能很好地發(fā)現(xiàn)CAN中某些周期報文的異常，但是不能檢測報文中數(shù)據(jù)被修改的情況。提出基于典型車輛網(wǎng)絡(luò)CAN的特性，引入了一組異常檢測傳感器，允許在車輛運行期間識別攻擊而不會導(dǎo)致誤報，但是沒有具體實施，只是做了算法上的研究。張子健提出了一種可以檢測異常幀的CAN總線的異常檢測算法，但是這種單獨對每條報文的檢測無法檢測出不同數(shù)據(jù)報文間的關(guān)系。例如修改左右車輪的轉(zhuǎn)速使其不一致且都處在正常的范圍內(nèi)，雖然不會發(fā)生警報但會對行車安全造成巨大危害。Taylor等人提出了一種基于長短時記憶神經(jīng)網(wǎng)絡(luò)的異常檢測器來檢測CAN總線攻擊。檢測器通過學(xué)習(xí)，預(yù)測來自總線上每個發(fā)送器的下一個數(shù)據(jù)來工作，實際下一個數(shù)據(jù)中與正常情況偏差較大的部分被標(biāo)記為異常。近年來興起許多基于機器學(xué)習(xí)的入侵檢測方案。將遞歸神經(jīng)網(wǎng)絡(luò)和深度神經(jīng)網(wǎng)絡(luò)用于入侵檢測系統(tǒng)中，使用了四個隱藏層、四十一層輸入和兩層輸出，共有100次迭代。對四種常用的缺陷檢測模型架構(gòu)進行比較，得出DNN3算法性能最佳，使用了三層長短時記憶法（LongShort-TermMemory，LSTM），最后顯示三層LSTM有著較高的性能。Wang等人提出了一種基于深度學(xué)習(xí)的高效網(wǎng)絡(luò)入侵檢測方法，即基于稀疏自動編碼器（SAE）和隨機森林（RF）的有效網(wǎng)絡(luò)入侵檢測方法，將SAE的特征提取能力與隨機森林的分類檢測能力相結(jié)合，提高了檢測效率和準(zhǔn)確性。同時為了解決基準(zhǔn)數(shù)據(jù)集的不規(guī)則性和不平衡性，采用了ANASYN過采樣技術(shù)，所提出的SAE-RF模型比傳統(tǒng)的方法具有更好的性能。提出了一種基于混合核函數(shù)極限學(xué)習(xí)機（HKELM）的新型準(zhǔn)確有效的誤用入侵檢測系統(tǒng)。該系統(tǒng)依賴于特定的攻擊特征來區(qū)分正常和惡意活動，使用了主成分分析（PrincipalComponentAnalysis，PCA）算法，能夠?qū)⒂嬎懔看蟠罂s減，很好地處理線性關(guān)系，但對于一些非線性關(guān)系不太適應(yīng)。因此又引入了核主成分分析（KernalPrincipalComponentAnalysis，KPCA）算法，首先通過核函數(shù)將原始數(shù)據(jù)映射到高維空間，將一些不可分離的數(shù)據(jù)分離開來，然后再利用PCA算法進行降維和特征提取。提出了一種基于改進遺傳算法（GA）和深度信任網(wǎng)絡(luò)（DBN）的入侵檢測模型。針對不同類型的攻擊，通過遺傳算法的多次迭代，自適應(yīng)地生成最優(yōu)的隱層數(shù)和每層神經(jīng)元數(shù)，使得基于DBN的入侵檢測模型具有結(jié)構(gòu)緊湊、檢測率高的特點，可以有效提高入侵攻擊的識別率，降低神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜度。提出了一種新的SDRK（SSMLDFNNRRS-K-means）機器學(xué)習(xí)算法來檢測入侵。SDRK利用有監(jiān)督的深層神經(jīng)網(wǎng)絡(luò)（DNN）和無監(jiān)督聚類技術(shù)，較大提高了算法的準(zhǔn)確率。（3）車內(nèi)組件層入侵檢測技術(shù)研究現(xiàn)狀

對ECU的攻擊一般可以分為針對ECU之間通信的攻擊，即通過OBD-II接口的攻擊，以及針對MCU內(nèi)部內(nèi)存與外部內(nèi)存之間數(shù)據(jù)傳輸?shù)墓簟Ｔ谖墨I中針對這兩種形式的攻擊提出了不同的對策。通過OBD-II接口進行代碼認證：為了防止代碼被篡改，需要通過身份驗證來保證數(shù)據(jù)的完整性。例如，當(dāng)一個ECU系統(tǒng)向遠程主機發(fā)送一個請求移動代碼的請求時。主機在傳輸?shù)拇a中包含一個身份驗證器，可用于同時驗證代碼的真實性和完整性。身份驗證器結(jié)合了加密和加密哈希函數(shù)。對代碼應(yīng)用密碼哈希函數(shù)會輸出一個短值，該值包含關(guān)于代碼的足夠冗余信息，以顯示任何篡改，稱為摘要。然后，可以通過使用主機的私鑰加密摘要來獲得身份驗證器。主機加密的連接使用ECU接收器的公鑰的代碼和身份驗證器的國家，并將其發(fā)送給目標(biāo)ECU。在接收端，ECU計算消息的代碼摘要，并將其與解密的消息摘要進行比較。如果它們是平等的，那么該消息確實來自其所謂的主機，并且沒有被篡改。實時解密：在單片機內(nèi)部內(nèi)存和外部存儲器之間。但是，MCU不能直接解釋加密的數(shù)據(jù)，實時解密從加密的代碼中提取程序。在將代碼加載到主存中時，就會進行解密。要實現(xiàn)實時解密，解密器必須以明文的形式存儲在內(nèi)部內(nèi)存中。必須使用鎖位、硬件硬化和溫度保護進行保護。主程序被加密并存儲在一組外部內(nèi)存塊中，因為它通常比內(nèi)部內(nèi)存大得多。對稱加密用于程序的機密性。使用加密和實時解密的ECU重編程過程。

5車聯(lián)網(wǎng)安全新思路

隨著“萬物互聯(lián)”時代的到來，車內(nèi)暴露面數(shù)量激增，車聯(lián)網(wǎng)行業(yè)迅猛發(fā)展的同時攻擊手段愈發(fā)復(fù)雜多樣，多步攻擊已成為當(dāng)前網(wǎng)絡(luò)攻擊行為的主要特征之一。多步攻擊的威脅已引起廣泛關(guān)注，防范多步攻擊迫在眉睫。傳統(tǒng)的無線網(wǎng)絡(luò)入侵檢測系統(tǒng)在建立模型時，往往只考慮了當(dāng)前攻擊行為所涉及的網(wǎng)絡(luò)節(jié)點的路徑，因此無法詳細分析網(wǎng)絡(luò)的脆弱性。對攻擊意圖、路徑的預(yù)測以及對攻擊事件實時監(jiān)控、分析將是進一步的研究方向。目前追蹤和發(fā)現(xiàn)攻擊行為的主要方法包括直接基于網(wǎng)絡(luò)流量進行特征建模和基于樣本代碼特征進行建模，但原始流量數(shù)據(jù)量往往過大，噪聲特征占據(jù)非常大比例，導(dǎo)致直接基于原始流量構(gòu)建的特征模型的魯棒性欠佳，且此類方法通常需要耗費較多的人工成本，某些情況只能基于離線的歷史數(shù)據(jù)進行分析，無法滿足實時分析和追蹤的需求。當(dāng)前，許多研究者將知識圖譜技術(shù)與網(wǎng)絡(luò)安全相結(jié)合，以面對網(wǎng)絡(luò)攻擊形勢的復(fù)雜多變。安全知識圖譜技術(shù)可有效解決動態(tài)攻擊類型的監(jiān)控與預(yù)測問題?！栋踩R圖譜技術(shù)白皮書》中提出運用安全知識圖譜基于上下文感知計算框架的