陳正 李斌斌 王文揚 陳祥威

[摘 要]隨著汽車智能化、網(wǎng)聯(lián)化程度的不斷提高，智能網(wǎng)聯(lián)汽車信息安全問題日益嚴峻，面向智能網(wǎng)聯(lián)汽車的滲透測試方法已成為當前的重要研究方向。本文介紹了攻擊樹模型和針對于智能網(wǎng)聯(lián)汽車的攻擊知識庫，提出了一種基于攻擊樹的智能網(wǎng)聯(lián)汽車滲透測試方法。該方法有助于生產(chǎn)廠商找到智能網(wǎng)聯(lián)汽車的信息安全薄弱環(huán)節(jié)和有可能被攻擊者利用的攻擊路徑和方式，從而重點采取防御措施。

[關鍵詞]智能網(wǎng)聯(lián)汽車；信息安全；滲透測試；攻擊樹

中圖分類號：S496 文獻標識碼：A 文章編號：1009-914X（2018）10-0069-01

1.引言

機制匱乏等問題。因此，對智能網(wǎng)聯(lián)汽車進行滲透測試和安全評估十分重要。

智能網(wǎng)聯(lián)汽車滲透測試的目的是模擬黑客接入網(wǎng)聯(lián)汽車通信網(wǎng)絡，依照黑客思路和專家自身經(jīng)驗，從攻擊者的角度對汽車安全進行檢測，包括對聯(lián)網(wǎng)系統(tǒng)的任何弱點、技術缺陷或漏洞的主動分析。傳統(tǒng)的滲透測試方法一般是通過掃描器對系統(tǒng)進行掃描攻擊，然后根據(jù)掃描結(jié)果得出評估報告，這種掃描器一般具有針對性強的特點，但缺乏攻擊策略分析能力，不具備靈活性。基于這種滲透測試方法的不足，本文提出一種基于攻擊樹的智能網(wǎng)聯(lián)汽車滲透測試方法，這種方法可以根據(jù)智能網(wǎng)聯(lián)汽車的實際情況制定出攻擊策略，實施攻擊。

2.攻擊樹模型

攻擊樹模型是Schneider在1999年提出的一種描述系統(tǒng)可能受到的多種攻擊的方法。它采用樹型結(jié)構來表示針對系統(tǒng)的各種攻擊行為。在一棵攻擊樹中，樹的根節(jié)點表示攻擊者的最終攻擊目標，葉節(jié)點表示具體的攻擊事件，即攻擊者可能采取的各種攻擊手段，其他為中間節(jié)點。攻擊樹的各個分支表示為達到最終攻擊目標可能采取的各種攻擊序列。除了葉節(jié)點以外，攻擊樹的各節(jié)點分為與節(jié)點、或節(jié)點兩類。如圖1所示，與節(jié)點表示必須全部完成此節(jié)點下的各分支才能到達該節(jié)點；或節(jié)點表示只要完成此節(jié)點下的一個分支即可到達該節(jié)點。任何一條從葉節(jié)點到根節(jié)點的路徑表示實現(xiàn)這個攻擊目標而進行的一次完整的攻擊過程。遍歷整個攻擊樹可以生成實現(xiàn)以根節(jié)點為攻擊目標的所有網(wǎng)絡攻擊路徑。

3.基于攻擊樹的智能網(wǎng)聯(lián)汽車滲透測試方法

智能網(wǎng)聯(lián)汽車本身是一個完整的生態(tài)系統(tǒng)，與傳統(tǒng)信息安全相比，針對智能網(wǎng)聯(lián)汽車的各類入侵攻擊需要利用其自身的各個維度、層面的安全漏洞方可實施。然而智能網(wǎng)聯(lián)汽車典型的智能終端屬性特征，又使得對其的滲透攻擊不能采用傳統(tǒng)的傳統(tǒng)的滲透測試方案，需要依照智能網(wǎng)聯(lián)汽車的系統(tǒng)架構特性，實施更具針對性的滲透測試方案。本文設計的智能網(wǎng)聯(lián)汽車滲透測試方法基于攻擊知識庫和攻擊序列。

3.1 構建攻擊知識庫

智能網(wǎng)聯(lián)汽車擁有諸多功能模塊，這些功能模塊按照功能屬性可劃分為車載終端節(jié)點，云平臺，外部互聯(lián)節(jié)點三部分，根據(jù)這三部分分別面臨的安全威脅和自身屬性特點，構建有針對性的攻擊知識庫。

其中車載終端節(jié)點包括車載信息娛樂系統(tǒng)、T-Box等智能聯(lián)網(wǎng)終端，它們集成了車輛信息監(jiān)控、車身控制、無線通信等功能，極大提升了車輛電子化、網(wǎng)絡化和智能化水平，但同時車載終端節(jié)點的所有接口都有可能成為黑客的攻擊節(jié)點。攻擊者可以將終端從車上拆下來，通過對電路、調(diào)試引腳、Wi-Fi系統(tǒng)、CAN總線數(shù)據(jù)、接口進行分析，從而攻破硬件的安全防護。

智能網(wǎng)聯(lián)汽車的云平臺除了需要病毒防護、中間件安全防護以及訪問控制防護外，還需要重視數(shù)據(jù)安全防護問題，防止車主云端隱私數(shù)據(jù)意外丟失，或被黑客竊取利用。

智能網(wǎng)聯(lián)汽車的外部互聯(lián)節(jié)點包括遠程控制APP、充電樁等。目前市場上絕大多數(shù)遠程控制APP存在安全漏洞，有些APP甚至不具備最基礎的軟件防護和安全保障。攻擊者只需對未進行保護的APP進行逆向挖掘，就可以找到云平臺的接口、參數(shù)、用戶賬號等敏感數(shù)據(jù)。

攻擊知識庫由各種類型的攻擊程序和方法組成，分別構建車載終端節(jié)點攻擊知識庫、云平臺攻擊知識庫和外部互聯(lián)節(jié)點攻擊知識庫。其中車載終端節(jié)點知識庫包括固件程序提取、制造車內(nèi)通信虛假信息、車內(nèi)網(wǎng)關攻擊、對通信單元進行DOS攻擊等；云平臺攻擊知識庫包括拒絕服務攻擊、SQL注入、DOS攻擊、漏洞掃描、暴力破解、權限提升等攻擊方法；外部互聯(lián)節(jié)點攻擊知識庫包括移動APP程序反編譯、程序逆向挖掘分析、拒絕服務滲透、ARP欺騙滲透等針對移動互聯(lián)產(chǎn)品的滲透測試方法。

3.2 生成攻擊序列

黑客在攻擊的時候，選擇的攻擊方式和攻擊手段各不相同。例如，DDoS攻擊主要采用遠距離攻擊方式；通過無線通訊滲透到車載網(wǎng)絡，則需采用近距離攻擊方式。從攻擊入口來看，智能網(wǎng)聯(lián)汽車的攻擊面很多，典型的黑客都是先花費大量時間，對某個或多個攻擊點進行研究，掌握其漏洞利用方法，這時一般采用物理攻擊及近場攻擊，當單點滲透實現(xiàn)后，再以遠程攻擊的方式從車輛外部開始實現(xiàn)對車的控制。

建立智能網(wǎng)聯(lián)汽車攻擊樹時，首先由相關技術人員對網(wǎng)聯(lián)系統(tǒng)進行細致分析，將最終攻擊目標作為攻擊樹的根節(jié)點，從攻擊知識庫提取可能的攻擊方式表示為攻擊樹的葉節(jié)點，這樣可以得到一棵或者多棵確定的攻擊樹。通過細致地對整個網(wǎng)聯(lián)系統(tǒng)的攻擊事件進行實例化，可以得到由多棵攻擊樹組成的攻擊森林，森林中每一棵攻擊樹的根節(jié)點表示針對智能網(wǎng)聯(lián)汽車的一個攻擊目標，葉節(jié)點表示從攻擊知識庫中提取出的能引起具體攻擊目標安全事件發(fā)生的攻擊事件，每條從葉節(jié)點到根節(jié)點穿過整棵攻擊樹的路徑表示對網(wǎng)聯(lián)系統(tǒng)的一次具體攻擊過程，即一個攻擊序列。

3.3 滲透測試方案

滲透測試方案是根據(jù)攻擊知識庫和攻擊序列產(chǎn)生的攻擊樹對智能網(wǎng)聯(lián)汽車進行滲透攻擊的具體過程。以通過車載終端節(jié)點竊取智能網(wǎng)聯(lián)汽車遠程控制指令為例，根據(jù)本文提供的方法得出攻擊樹。

4.結(jié)束語

本文根據(jù)智能網(wǎng)聯(lián)汽車的系統(tǒng)架構特性，從車載終端節(jié)點，云平臺，外部互聯(lián)節(jié)點三個維度對智能網(wǎng)聯(lián)汽車面臨的安全威脅進行分析，并據(jù)此構建了針對于智能網(wǎng)聯(lián)汽車的攻擊知識庫，然后基于攻擊知識庫和攻擊樹模型設計了智能網(wǎng)聯(lián)汽車滲透測試方法，該方法針對性強，可以有效提高滲透測試效率。

參考文獻

[1] 張鳳荔，馮波.基于關聯(lián)性的漏洞評估方法[J].計算機應用研究，2014，31（3）：811-814.

[2] 馮濤.車聯(lián)網(wǎng)技術中的信息安全研究[J].信息安全與技術，2011.

[3] 周偉，王麗娜，張煥國，一種基于樹結(jié)構的網(wǎng)絡滲透測試系統(tǒng)[J]，計算機與數(shù)字工程，2006，34（12）：15-18.

[4] Kordy B，Mauw S，Radomirovice S，et al.Foundations of attack-defense trees[M]//Formal aspects of security and trust .Berlin Heidelberg：Springer，2011：80-95.

[5] 王華忠，顏秉勇，夏春明.基于攻擊樹模型的工業(yè)控制系統(tǒng)信息安全分析[J].化工自動化與儀表，2012，40（2）：219-222.

[6] 李慧，張茹，劉建毅，等.基于攻擊樹模型的數(shù)傳電臺傳輸安全性評估[J].信息網(wǎng)絡安全，2014（8）：71-76.

[7] 黃宏偉，趙成芳，計算機網(wǎng)絡信息安全防護[J]，商場現(xiàn)代化，2007（11）：208～209.