摘要：車聯(lián)網(wǎng)應用是典型的關聯(lián)系統(tǒng)應用，智能汽車不僅其內部組件之間有網(wǎng)絡連接，而且通過道路單元和其他汽車與外部世界也發(fā)生著關系。在很多場景下，內部網(wǎng)絡和外部網(wǎng)絡的數(shù)據(jù)包會經(jīng)過相同的硬件，僅僅通過軟件定義的規(guī)則進行隔離，任何錯誤的配置都可能將汽車內部組件暴露給黑客從而導致災難性的后果。提出巡航控制場景下的兩種隱蔽攻擊方法，研究智能汽車的自適應巡航控制系統(tǒng)在隱蔽攻擊下的安全性，并提出一種新穎的入侵檢測和補償機制來發(fā)現(xiàn)和處理這些攻擊。入侵檢測系統(tǒng)引擎使用神經(jīng)網(wǎng)絡識別器去動態(tài)估算系統(tǒng)輸出，并與巡航系統(tǒng)的輸出進行比對。如果監(jiān)測到任何異常，內置的補償控制器將會激活并接管系統(tǒng)控制權。大量的模擬仿真實驗表明：新方案反應快速且有效。

　　關鍵詞：車聯(lián)網(wǎng);自適應巡航控制;入侵檢測系統(tǒng);神經(jīng)網(wǎng)絡;信息物理系統(tǒng);軟件定義網(wǎng)絡;車載自組網(wǎng)

　　在信息世界里，入侵檢測系統(tǒng)(IntrusionDetectionSystems，IDS)的經(jīng)典定義便是監(jiān)控流量進出網(wǎng)絡的安全系統(tǒng)[1]。但是隨著系統(tǒng)變得越來越復雜和越來越連通，越來越多復雜巧妙的入侵行為被發(fā)現(xiàn)，并且已不僅僅局限于信息世界。信息物理系統(tǒng)(CyberPhysicalSystems，CPS)便是信息世界和物理世界相遇的地方，它們通常是IT系統(tǒng)或網(wǎng)絡與電子機械部件的混合物，典型的例子有各種車聯(lián)網(wǎng)系統(tǒng)2]，遠程手術機器人3][4]和智能電網(wǎng)5][6]。針對信息物理系統(tǒng)的攻擊可以損害到真實世界，并且將成為未來世界的一個重大安全隱患。

　　工業(yè)技術論文范例：電信運營商如何融入智能汽車市場

　　隨著工業(yè)的逐步實現(xiàn)而威脅日益變大。針對信息物理系統(tǒng)的簡單網(wǎng)絡攻擊都可能在復雜互聯(lián)互通的系統(tǒng)里產(chǎn)生一連串故障。包括計算機網(wǎng)絡[7]在內的所有已知攻擊手段，都可能被用于攻擊網(wǎng)絡控制類型的信息物理系統(tǒng)，生活中有諸多這類系統(tǒng)的例子，比如，新車包括智能汽車，都使用控制器局域網(wǎng)絡(ControllerAreaNetwork，CAN)總線來連接不同的微控制器以管控汽車的物理零部件。隨著車聯(lián)網(wǎng)(InternetofVehicles，IoV)和汽車自組網(wǎng)8](VehicularAdhocNetworks，VANET)的出現(xiàn)，汽車與外界的連接愈發(fā)普遍，如OTA(OverTheAir)軟件更新和信息收集，這種安全挑戰(zhàn)就變得更有壓力[9]。

　　兩名黑客演示了如何遠程侵入和控制一輛014款Jeep自由光，利用連接移動數(shù)據(jù)網(wǎng)絡的車載娛樂系統(tǒng)Uconnect的漏洞10][11]，他們成功給汽車刷入帶病毒的固件，并向控制器局域網(wǎng)絡總線發(fā)送指令控制汽車，最終迫使菲亞特克萊斯勒集團之后宣布召回40萬輛汽車返廠升級系統(tǒng)。此類事件提醒研究人員要多關注車聯(lián)網(wǎng)的安全性[12]。越來越多的汽車正在依賴于網(wǎng)絡化控制系統(tǒng)，當其總線或沖突域(CollisionDomains)與連接到互聯(lián)網(wǎng)的部件共享或者有路由進行連通時，安全隱患便隨之而來。通過一些軟件定義網(wǎng)絡(SoftwareDefinedNetwork，SDN)進行隔離是最佳的手段，但是也擴大了遭受攻擊的范圍，任何錯誤的配置信息都可以打開進入智能汽車內部的渠道。

　　傳統(tǒng)的入侵檢測系統(tǒng)用于發(fā)現(xiàn)發(fā)現(xiàn)計算機網(wǎng)絡的異常行為，但是在信息物理系統(tǒng)中，單純分析流量而不清楚每個數(shù)據(jù)包作用于物理系統(tǒng)的實際效果，是不能判別其惡意的。文獻[13]將信息物理系統(tǒng)安全風險進行分類并定義了隱蔽攻擊(CovertAttacks)這一新類型。隱蔽攻擊是欺騙攻擊(DeceptionAttacks)的子集，攻擊者獲取信息物理系統(tǒng)部分組件的控制權，同時試圖讓攻擊影響足夠小從而讓人無法觀察到異常。隱蔽攻擊分為兩種，一種是試圖讓物理部件產(chǎn)生持續(xù)平穩(wěn)的錯誤輸出，隨著時間逐步消耗系統(tǒng)的服務性能;另一種則是短暫的影響系統(tǒng)輸出，間隔一段時間重復發(fā)生以達到相同的效果。

　　假定自適應巡航控制(AdaptiveCruiseControl，ACC)系統(tǒng)是易于遭受攻擊的，筆者提出兩種針對自適應巡航控制系統(tǒng)的隱蔽攻擊：第種攻擊里，當實驗汽車降低車速時，攻擊者立刻操作巡航控制器使汽車產(chǎn)生突然加速，試圖產(chǎn)生事故或者增大事故概率;第種攻擊則是攻擊者接管控制權，讓巡航控制器不斷產(chǎn)生控制信號，降低實驗汽車與前車的安全車距，從而增大事故風險。然后，設計一套盡可能準確地模擬巡航控制系統(tǒng)響應的觀察方法，利用其所訓練的參考模型，提出針對這兩種隱蔽攻擊的入侵檢測機制。當檢測到與預期行為偏差巨大的情況時，入侵檢測系統(tǒng)便觸發(fā)警告并切換到內置于補償系統(tǒng)的故障安全控制器(FailsafeController)。

　　為了評估檢測和補償機制的效果，筆者在MATLABSimulink平臺上進行了廣泛的模擬實驗，結果表明，檢測機制可以成功地發(fā)現(xiàn)對自適應巡航控制系統(tǒng)的隱蔽攻擊，而相較于沒有采用任何保護機制，由控制器(controller)所構成的補償器也很明顯地減低了攻擊對系統(tǒng)所造成的影響。自適應巡航控制自適應巡航控制根據(jù)控制目標不同，其相應的模型也不同。假設有汽車和汽車行駛于同一車道，汽車安裝有自適應巡航控制系統(tǒng)，同時也安裝有雷達可以測量與前車汽車的距離。另外，兩車相對速度也可以由傳感器和雷達測量所得。自適應巡航控制系統(tǒng)的控制目標便是讓車輛以駕駛者設定的速度行駛且與前車保持安全車距。 自適應巡航控制系統(tǒng)有兩種模式控制汽車。

　　汽車的速度被設置為駕駛者預設值，同時與前車保持系統(tǒng)認定的最小距離。自適應巡航控制會動態(tài)調整汽車的速度以控制兩車之間的距離，確保車距不小于安全值。根據(jù)實時測試，自適應巡航控制系統(tǒng)可以根據(jù)條件自行激活某一模式，如果相對車距明顯減少，則自適應巡航控制系統(tǒng)會從模式切換到模式;反之，如果相對車距大于某個閾值，自適應巡航控制系統(tǒng)便從模式切換為模式。所以自適應巡航控制系統(tǒng)會根據(jù)下述規(guī)則設定其執(zhí)行模式：如果≥，速度控制模式被激活，保持巡航設定速度是控制目標。如果<，距離控制模式則被激活，保持與前車的安全距離是其控制目標。

　　2入侵檢測和補償.

　　1隱蔽攻擊場景本文將研究兩種針對自適應巡航控制系統(tǒng)的攻擊場景，對其兩種模式不同的控制目標所造成的影響。根據(jù)定義，這些攻擊都會是隱蔽的。攻擊會擾亂自適應巡航控制系統(tǒng)并更改其輸出，換言之，攻擊者可以擾亂車輛的加速度，改變車輛的正常運行。攻擊場景：第種隱秘攻擊從破壞自適應巡航控制單元開始。攻擊者保持靜默等候，讓自適應巡航控制系統(tǒng)正常工作，并密切監(jiān)控車輛與前車的距離。當該距離達到最低點(大約接近最小安全距離)時，攻擊者控制自適應巡航控制單元在控制信號中產(chǎn)生一個波峰，使車輛突然加速，試圖通過臨時將車距降低至低于標準，或將車速提升到超過上限，使得事故發(fā)生的可能性增加。當前車突然剎車且受損的自適應巡航控制拒絕降低車速時，也可能發(fā)生類似的事故。

　　攻擊場景：跟第種攻擊類似，攻擊者一樣會破壞自適應巡航控制單元，不同的是攻擊者不會像第一種場景里伺機而動打伏擊，而是細微地降低自適應巡航控制的參考距離即安全車距。因此，在自適應巡航控制處于模式并試圖保持安全距離時，它實際上是在遵循一個錯誤的參考，使得車輛事實上更接近前車。然而這種差異對于駕駛者而言是微不足道難以發(fā)現(xiàn)的，因此攻擊仍然是隱蔽的，不過，所導致的結果卻并非微不足道。從統(tǒng)計上講，還得取決于路況(濕的或干的路面)，前后車輛的制動力以及駕駛者的反應時間，無論如何，這種攻擊都讓事故發(fā)生的機會大大增加。

　　隱蔽攻擊的補償–攻擊場景第種隱蔽攻擊中，攻擊者試圖擾亂自適應巡航控制系統(tǒng)的參考體系(如作為系統(tǒng)參照對比的安全距離)，尤其是自適應巡航控制工作于模式，以便讓車間距保持低于安全距離。由于是隱蔽攻擊，駕駛者很難察覺到加速度的細微波動，然而兩車之間的相對距離卻在逐漸變小，大約后車間距縮小了近5m。與相較而言，這個變化對駕駛者來說可能不明顯，但明顯增加了事故幾率，特別是前車急剎車時。與之前場景類似，如果補償器在收到IDS信號后激活介入控制，便能設法克服攻擊帶來的惡劣影響。攻擊在不到00ms內再次被檢測到，在一小瞬間的擾動后，車輛恢復良好的運行狀態(tài)，系統(tǒng)控制目標得以實現(xiàn)。

　　4結束語

　　筆者對智能汽車自適應巡航控制系統(tǒng)中隱蔽攻擊的檢測方法和補償機制進行了研究，介紹了兩種攻擊場景下導致的巡航系統(tǒng)無法正常工作，不能滿足智能汽車對速度和車距控制的要求。提出了人工神經(jīng)網(wǎng)絡識別器用于學習自適應巡航控制系統(tǒng)并預測其輸出。本文提出的新型IDS將會對比實際自適應巡航控制的輸出和識別器的預測輸出，進而判斷自適應巡航控制行為是否異常。異常由統(tǒng)計度量捕獲，IDS對此產(chǎn)生警告，并切換MPC系統(tǒng)至內置PID控制器。仿真模擬結果證實了本文方法的有效，它不僅實現(xiàn)了隱蔽攻擊的探測識別，而且也能減輕攻擊對測試車輛性能的影響。

　　由于車聯(lián)網(wǎng)是多行業(yè)深度融合的新型產(chǎn)業(yè)形態(tài)，是全球創(chuàng)新的熱點和未來發(fā)展的制高點，可以預見到其未來的廣闊應用空間。隨著汽車電子化水平越來越高和5G的推廣應用，越來越多的汽車子系統(tǒng)將會接入網(wǎng)絡，都可能遭受入侵威脅，安全挑戰(zhàn)壓力巨大，未來研究重點將會放在提升入侵檢測和補償機制的普適性，使其可以應用到更多的汽車組成系統(tǒng)和場景。同時，性能更優(yōu)秀的神經(jīng)網(wǎng)絡識別器模型也是研究一大方向。

　　參考文獻：

　　[1]F.Farivar,S.Barchinezhad,M.SayadHaghighi,andA.Jolfaei,Detectionandcompensationofcovertservicedegradingintrusionsincyberphysicalsystemsthroughintelligentadaptivecontrol[C]/TheIEEEInternationalConferenceonIndustrialTechnology,2019.

　　[2]常玲,趙蓓,薛姍等.車聯(lián)網(wǎng)信息安全威脅分析及防護思路[J].移動通信,2019(11).

　　[3]王晨希,孟祥峰,王浩等.醫(yī)用機器人網(wǎng)絡安全問題研究與探討[J].中國醫(yī)療設備2020年35卷期,1317,25頁,ISTIC,2020.

　　[4]WangZ,MaP,ZouX,etal.SecurityofMedicalCyberphysicalSystems:AnEmpiricalStudyonImagingDevices[C]//IEEEINFOCOM2020IEEEConferenceonComputerCommunicationsWorkshops(INFOCOMWKSHPS).IEEE,2020.

　　[5]鄒洪.智能電網(wǎng)信息安全防御體系架構與關鍵技術研究[J].網(wǎng)絡安全技術與應用,2020.

　　作者：柴艷娜，李坤倫，宋煥生