黃國鈞，郝允志，楊頌華，藍 天，梁新成

車載CAN總線的安全防護技術(shù)分析

黃國鈞1，郝允志1，楊頌華1，藍 天2，梁新成2

（1.西南大學(xué) 人工智能學(xué)院，重慶 400715；2.西南大學(xué) 工程技術(shù)學(xué)院，重慶 400715）

控制器局域網(wǎng)（CAN）絡(luò)總線因成本低、抗干擾性強及支持分布式串行通信等優(yōu)點成為應(yīng)用最廣泛的車載總線，相對應(yīng)地CAN總線協(xié)議又因存在無認(rèn)證、無加密及多個遠程連接端口等安全漏洞，成為黑客攻擊的主要焦點。文章首先回顧了近期汽車網(wǎng)絡(luò)安全事故，并列舉了主要的入侵類型，其中重放和丟棄為最常見的攻擊方式，然后分析了CAN總線脆弱的原因并給出了對應(yīng)的解決策略，最后應(yīng)用信息熵和相對熵進行了入侵檢測，并利用CANoe軟件進行仿真分析，結(jié)果表明該方法較為有效，考慮到消除網(wǎng)絡(luò)非法入侵的艱巨性，以及滿足安全性和實時性等更高要求，未來還需要在基于可變速率（CAN-FD）等新構(gòu)架下進行更加深入地研究。

車載CAN總線；網(wǎng)絡(luò)安全；安全防護技術(shù)；相對熵；機器學(xué)習(xí)

近年來，電子設(shè)備廣泛應(yīng)用于汽車領(lǐng)域，據(jù)統(tǒng)計一輛低端汽車上安裝了大約70個電子控制單元（Electronic Control Unit, ECU），而一輛豪華汽車上通常將使用上百個ECU和傳感器，預(yù)計未來這個數(shù)字還將持續(xù)增加。因此，汽車不再是由發(fā)動機、變速器等部件組成的簡單機械設(shè)備。

ECU通常有兩種連接方式，分別為點對點和總線連接，其中總線連接方式能夠避免因使用大量線束而增加車重，并克服維修困難的不足，已成為主流的連接方式[1]。目前應(yīng)用在汽車上的總線主要有控制器局域網(wǎng)（Controller Area Network, CAN）、局域互聯(lián)網(wǎng)（Local Interconnect Network, LIN）、FlexRay、媒體導(dǎo)向系統(tǒng)傳輸（Media Oriented System Transport, MOST）、低壓差信號傳輸（Low Voltage Differential Signaling, LVDS）等。與其他總線相比，CAN總線在成本、開發(fā)周期、抗干擾性等方面具有優(yōu)勢，因而目前應(yīng)用最為廣泛[2]。因CAN總線最初為工業(yè)控制領(lǐng)域所設(shè)計，故只規(guī)定了模塊間的通信內(nèi)容和格式，未考慮信息安全問題，此外，CAN總線上的數(shù)據(jù)以明文形式傳輸，缺乏身份驗證機制，任何接入CAN總線的設(shè)備都能隨意發(fā)送數(shù)據(jù)，極易被監(jiān)聽和攻擊[3]。隨著汽車智能化程度的不斷提高，在提升駕駛體驗的同時面臨的安全風(fēng)險也在顯著增加，尤其是智能汽車實現(xiàn)車與網(wǎng)的深度融合，為黑客攻擊提供了更多的路徑，近年來部分汽車網(wǎng)絡(luò)攻擊事件如表1所示。

表1 汽車的網(wǎng)絡(luò)攻擊事件

時間事件 2010年2013年偽造胎壓傳感器信號，干擾輪胎壓力監(jiān)測系統(tǒng)通過OBD遠程破解Prius 2014年Benz汽車的門鎖被遠程破解 2015年遠程攻擊Jeep切諾基并強制關(guān)閉引擎 2016年遠程無接觸式破解Tesla 2016年破解Tesla車載中控，實現(xiàn)長距離遠程控制 2017年通過破解實現(xiàn)對Tesla的遠程任意操作 2018年通過遠程攻擊破解了BMW的控制權(quán) 2019年通過漏洞獲取汽車駕駛權(quán)，從而操縱車輛 2020年通過密鑰克隆中繼攻擊，Tesla被遠程開走 2022年破解Tesla的雙重認(rèn)證，實現(xiàn)遠程操縱

注：車載診斷系統(tǒng)（On Board Diagnostic,）。

網(wǎng)絡(luò)攻擊使得汽車企業(yè)不得不進行數(shù)百萬輛汽車產(chǎn)品的召回，對消費者人身及財產(chǎn)安全也造成巨大的潛在威脅，因此，預(yù)防和消除汽車網(wǎng)絡(luò)的非法入侵迫在眉睫。國外大規(guī)模的汽車網(wǎng)絡(luò)安全研究始于2006年，國內(nèi)相關(guān)的研究始于2014年，STEPHANIE[4]提出了一類車輛控制系統(tǒng)漏洞評價方法，并給出了評價標(biāo)準(zhǔn)；NISHIMURA[5]提出了一種基于CAN總線的模糊測試方法，并對信息傳輸?shù)娜N情況進行了測試，在此基礎(chǔ)上演繹出一種基于智能互聯(lián)汽車的模型，并給出了一些解決安全隱患的方法。CRAIG[6]提出了一種針對CAN總線攻擊和防御的檢測技術(shù)；章意等[7]提出一種基于板端加密通訊（Security Onboard Comm- unication,）的車載網(wǎng)絡(luò)安全模型，實現(xiàn)ECU及網(wǎng)絡(luò)消息的加密和認(rèn)證，測試表明其可使網(wǎng)絡(luò)更加安全和高效；羅峰等[8]建立了基于可變速率控制器局域網(wǎng)（Controller Area Network with Flexible Data-rate, CAN-FD）的信息安全方法，通過完善協(xié)議提升了總線的安全性和可用性；王棟等[9]提出了一種基于變量公鑰密碼的消息加密傳輸及認(rèn)證協(xié)議，能夠在網(wǎng)絡(luò)繁忙時提升處理效率。此外，還有一些關(guān)于車輛網(wǎng)絡(luò)安全的研究成果[10-11]，其對解決車載網(wǎng)絡(luò)安全至關(guān)重要。

上述研究成果對于抵御車載網(wǎng)絡(luò)的非法入侵具有重要意義，但考慮到相關(guān)控制器的計算能力和存儲資源限制，以及車輛對實時性和安全性有更高得要求，相關(guān)研究還應(yīng)該更加深入。

1 CAN總線的發(fā)展歷史和脆弱性分析

1.1 CAN總線的歷史及現(xiàn)狀

在20世紀(jì)80年代初期，德國Bosch的工程師評估已有的串行總線系統(tǒng)，以探討其在汽車中的可能用途。由于沒有可用的網(wǎng)絡(luò)協(xié)議能夠滿足汽車工程師的要求，工程師Uwe Kiencke于1983年開始開發(fā)新的串行總線系統(tǒng)。1986年2月，在底特律的汽車工程師學(xué)會（Society of Automotive Engineers, SAE）的大會上，將新CAN總線系統(tǒng)稱為汽車串行控制器局域網(wǎng)（Automotive Serial Controller Area Netork, ASCAN）。在1987年，英特爾交付了第一款CAN控制器芯片82526，標(biāo)志著CAN協(xié)議首次通過硬件得以實現(xiàn)。此后，11位標(biāo)識符的CAN2.0A和29位標(biāo)識符的CAN2.0B相繼推出。為了進一步提高總線比特率，Bosch在2012年發(fā)布了CAN-FD1.0，該規(guī)范使用不同的幀格式，允許不同的數(shù)據(jù)長度以及在仲裁決定后可選地切換至更快得比特率。CAN-FD與現(xiàn)有的CAN2.0網(wǎng)絡(luò)兼容，故CAN-FD設(shè)備可以與現(xiàn)有的CAN 設(shè)備共存于同一網(wǎng)絡(luò)中。2018年第三代基于CAN 的數(shù)據(jù)鏈路層協(xié)議（Controller Area Network eXtra Long, CANXL）正在開發(fā)中，其目的是將CAN的帶寬速率提升至10 Mbit/s。

1.2 CAN總線的入侵類型

車載ECU通過直接或間接的方式接入CAN總線，當(dāng)某一個ECU接口被黑客控制后，則可向車內(nèi)總線讀寫數(shù)據(jù)包并對別的ECU展開持續(xù)攻擊。常見的攻擊方法如下：

1）重放：黑客獲取的信息會被不斷回放攻擊總線，同時控制器可能會授予更高級的權(quán)限，導(dǎo)致更大的安全風(fēng)險。

2）丟棄：如果黑客入侵總線，應(yīng)用層與底層設(shè)備之間的通信，將無法實現(xiàn)接收或發(fā)送數(shù)據(jù)的功能。

3）監(jiān)控：這是最常見的攻擊模式，黑客入侵CAN總線后大量的信息被捕獲和分析，如果用戶密碼和位置等有價值的消息被泄露，總線可能會遭受更嚴(yán)重的攻擊。

4）篡改：當(dāng)黑客入侵總線時，可以在發(fā)送之前修改消息，從而干擾控制器。

5）注入：當(dāng)黑客獲得發(fā)送消息的權(quán)限時，可以將大量偽造的消息注入CAN總線中，其危險度的大小由對公共汽車的許可和了解程度決定。

6）拒絕服務(wù)：如果具有最高優(yōu)先級的消息在總線中傳輸，那么其他沒有優(yōu)先級的數(shù)據(jù)包就不能被傳輸。高優(yōu)先級消息一直發(fā)送將干擾總線工作，甚至?xí)斐煽偩€的崩潰。

1.3 CAN總線的脆弱性分析

CAN總線設(shè)計初衷是應(yīng)用于閉環(huán)的工業(yè)控制領(lǐng)域，而OBD-II、光盤（Compact Disc, CD）、通用串行總線（Universal Serial Bus, USB）等接口使得CAN總線成為一個開放的網(wǎng)絡(luò)，因而存在脆弱性，其主要表現(xiàn)在以下幾個方面：

1.無加密信道

CAN沒有固有的加密方法，故以明文的形式傳播。黑客可以非常容易地對CAN總線進行偽造、重放等攻擊。由于CAN控制器的計算能力有限，復(fù)雜的加密算法會造成總線實時性變差甚至?xí)a(chǎn)生網(wǎng)絡(luò)堵塞，故加密算法的應(yīng)用還將面臨挑戰(zhàn)。

2.缺乏消息認(rèn)證

CAN協(xié)議中沒有源頭的標(biāo)識符等相關(guān)信息，其任何節(jié)點都可以發(fā)送報文，且接收方無法識別是否為真實節(jié)點所發(fā)。此外，CAN總線的報文沒有消息驗證碼和數(shù)字簽名，攻擊者會非常容易地偽造節(jié)點發(fā)起攻擊。

3.基于ID優(yōu)先級傳輸

CAN總線傳輸多個報文時，僅通過ID仲裁是否優(yōu)先傳輸，標(biāo)識符越小，則優(yōu)先級別越高。網(wǎng)絡(luò)入侵時，僅通過修改標(biāo)識符實現(xiàn)拒絕服務(wù)（Denial Of Service, DOS）攻擊，導(dǎo)致低優(yōu)先級的消息無法傳輸。

4.廣播通信

報文將以廣播的形式發(fā)送到總線上，由于報文內(nèi)容不包括源地址和目的地址，故任意節(jié)點都可以接收。廣播通信方便了黑客偽造節(jié)點發(fā)送非法信息，因此，帶來了較大的風(fēng)險。

5.多個外接端口

CAN總線中的OBD-II、USB、無線網(wǎng)絡(luò)（WIreless FIdelity, WIFI）及CD等接口已經(jīng)成為標(biāo)配，用以診斷車輛狀態(tài)和刷新車輛的相關(guān)程序，但是接口也方便黑客監(jiān)聽CAN通信信息，偽造報文并發(fā)送到總線。

盡管網(wǎng)絡(luò)攻擊的方式不盡相同，但是大致的汽車網(wǎng)絡(luò)攻擊流程如圖1所示[12]。

圖1 汽車網(wǎng)絡(luò)攻擊流程

2 CAN總線威脅的檢測及消除

鑒于CAN總線的入侵會導(dǎo)致嚴(yán)重的后果，因而有效預(yù)防就非常重要，綜合現(xiàn)有的研究成果，CAN總線威脅的消除主要有網(wǎng)絡(luò)異常檢測、消息認(rèn)證和數(shù)據(jù)加密等策略。

2.1 網(wǎng)絡(luò)異常檢測

網(wǎng)絡(luò)異常檢測假定入侵者的活動與正常情況下主體的活動存在一定程度的差異，且在正常工作模式下主體工作情況相對穩(wěn)定。基于該種穩(wěn)定狀況去學(xué)習(xí)掌握被保護主體正常的工作模式，從而實現(xiàn)當(dāng)存在入侵者進行活動時可以檢測出系統(tǒng)存在異常的功能[13]?；诖思僭O(shè)，為實現(xiàn)異常檢測首先需要建立起主體在正常工作模式下的行為系統(tǒng)，并經(jīng)過長時間的統(tǒng)計、學(xué)習(xí)，進而訓(xùn)練出一個或多個用于評價系統(tǒng)的指標(biāo)，以用于判斷系統(tǒng)處于正常工作的狀態(tài)還是存在入侵的情況。

2.1.1基于統(tǒng)計的異常檢測方案

一般選取一個車載網(wǎng)絡(luò)的流量特征，如：總線信息熵、消息時間間隔、消息的出現(xiàn)順序等，再通過觀察、訓(xùn)練正常網(wǎng)絡(luò)流量模型，最終確定模型的參數(shù)。建成模型之后，使用檢測模型對網(wǎng)絡(luò)流量進行實時監(jiān)控，通過模型提取出其流量特征并判斷，如果當(dāng)前網(wǎng)絡(luò)流量特征超出閾值，模型就會給出異常警報。該方案的優(yōu)點是不需要對攻擊行為有先驗知識，但其只能處理一些比較簡單的異常行為，如：泛洪攻擊、重放攻擊以及丟棄攻擊等。同時，其對高維數(shù)據(jù)檢測效果和正常時序進行的攻擊行為檢測效果欠佳。

2.1.2基于機器學(xué)習(xí)的異常檢測方案

該方法通過機器學(xué)習(xí)對歷史信息建立一個映射關(guān)系，利用循環(huán)神經(jīng)網(wǎng)絡(luò)（Recurrent Neural Network, RNN）、長短期記憶（Long Short-Term Memory, LSTM）等預(yù)測模型得到下一個狀態(tài)的信息，如果預(yù)測狀態(tài)和真實狀態(tài)存在較大差異則斷定發(fā)生了異常。該方法可以對大部分異常行為進行檢測，尤其當(dāng)數(shù)據(jù)特征不易提取時，計算機運用該模型可以自己尋找分類特征。該方案適用于對CAN數(shù)據(jù)域的篡改類攻擊，其缺點是模型訓(xùn)練比較耗時。

2.1.3引入新硬件的異常檢測方案

此類方案一般給車內(nèi)網(wǎng)絡(luò)引入新的設(shè)備，由新硬件執(zhí)行車載網(wǎng)絡(luò)的異常檢測，如引入一組異常檢測傳感器來檢測總線異常幀，包括位置檢測傳感器、頻率檢測傳感器及格式檢測傳感器等，最后綜合傳感器的檢測結(jié)果判斷是否有異常發(fā)生。

2.2 消息的認(rèn)證與加密

消息認(rèn)證是指通過對消息或者消息有關(guān)的信息進行加密或簽名變換進行的認(rèn)證，其目的是防止傳輸和存儲的消息被有意無意地篡改，包括消息內(nèi)容的完整性認(rèn)證、消息源和消息宿認(rèn)證、消息序號和操作時間認(rèn)證等。中央網(wǎng)關(guān)連接著整個車載網(wǎng)絡(luò)，實現(xiàn)不同網(wǎng)絡(luò)之間的協(xié)議轉(zhuǎn)換，因此，其能夠?qū)崿F(xiàn)對整個車載網(wǎng)絡(luò)的監(jiān)控。為實現(xiàn)對車載ECU的身份認(rèn)證，在汽車開機自檢時，中央網(wǎng)關(guān)必須通過與ECU進行會話，從而實現(xiàn)對ECU的身份認(rèn)證。消息認(rèn)證主要是防止消息被篡改，從而確保消息的完整性和準(zhǔn)確性。

消息加密就是通過密碼算術(shù)對數(shù)據(jù)進行轉(zhuǎn)化，使之成為沒有正確密鑰，且任何人都無法讀懂的密文。在汽車的生命周期當(dāng)中，若車載ECU的通信密鑰固定不變，網(wǎng)絡(luò)攻擊者可以通過分析大量的加密數(shù)據(jù)，從而破譯出車載ECU的通信密鑰。而采用非固定式加密算法為車載ECU的通信傳輸對稱加密所需的通信密鑰，能有效抵抗暴力破解和分析。

實際上，應(yīng)用單一的策略防范網(wǎng)絡(luò)入侵較為困難，而通過多種策略構(gòu)建自適應(yīng)的安全機制將更為有效。盡管多策略的防范功能更強大，但同時會引發(fā)安全防護策略的高資源消耗與汽車組件高實時響應(yīng)需求之間的矛盾，以及加密算法的高安全加密強度和低算法運行時間之間的矛盾。因此，已有算法還需要進一步地減少資源消耗并提高算法的智能性。

3 基于信息熵的防護仿真分析

考慮到CAN數(shù)據(jù)幀中ID消息標(biāo)識符和數(shù)據(jù)域信息是網(wǎng)絡(luò)攻擊的焦點，將基于ID標(biāo)識符和數(shù)據(jù)域作為檢測特征。汽車消息可分為時間觸發(fā)類和事件觸發(fā)類，針對這兩種類型的消息特點，分別選取檢測策略以保證CAN網(wǎng)絡(luò)信息安全。對于時間觸發(fā)類消息而言，發(fā)送周期固定其通信熵值也固定，工況的改變會導(dǎo)致該周期產(chǎn)生微小變化。重放、拒絕服務(wù)、丟棄等攻擊將明顯改變時間觸發(fā)類消息的周期及發(fā)送順序，導(dǎo)致其通信熵值出現(xiàn)較大波動。而事件觸發(fā)類消息的數(shù)據(jù)域攜帶重要的控制信息或狀態(tài)信息，只有當(dāng)汽車出現(xiàn)某種狀況才會觸發(fā)該類消息?；谥С窒蛄繖C-數(shù)據(jù)關(guān)聯(lián)性（Support Vector Machine-Data Relation, SVM- DR）等策略可以有效檢測入侵的該類報文[13-14]。本文重點對周期性報文的攻擊展開研究，其結(jié)論對于后一類報文具有參考意義。

3.1 信息熵的相關(guān)理論

信息學(xué)領(lǐng)域中，熵是用來衡量一個系統(tǒng)的不確定性，一個系統(tǒng)越是有序，其不確定性越小，信息熵就越低；反之信息熵就越高。因此，信息熵是對狀態(tài)不可預(yù)測性的一種度量，也是信息的期望值。隨機變量的信息熵可定義為

式中，(X)為信息出現(xiàn)X的概率；取2或其他值，當(dāng)=2時信息熵的單位為bit。此外，相對熵能夠有針對性地計算CAN網(wǎng)絡(luò)通信變量在某些狀態(tài)下發(fā)生的情況，其計算公式為

基于熵的檢測方案分為模型訓(xùn)練和異常檢測兩個過程，模型訓(xùn)練階段是對CAN網(wǎng)絡(luò)正常發(fā)送數(shù)據(jù)情況進行分析，標(biāo)定出信息熵和相對熵的合理閾值；異常檢測階段是通過制造異常報文并導(dǎo)入模型中進行計算得出檢測結(jié)果，然后通過分析檢測結(jié)果找出異常的發(fā)生原因，結(jié)合數(shù)據(jù)驗證判斷其正確性。

3.2 模型搭建和仿真分析

本次仿真的環(huán)境為Windows11操作系統(tǒng)和CANoe8.2demo。通過CANoe軟件搭建ECU模塊進行報文發(fā)送并制造異常報文數(shù)據(jù)流，然后應(yīng)用Python3.9.0軟件編寫算法進行閾值標(biāo)定和異常檢測，分析此方案重放、丟棄等攻擊的入侵檢測能力。在CANoe中的Simulation Setup界面完成CAN總線建模，如圖2所示。

圖2 CAN總線建模

在建立ID熵入侵檢測模型的過程中，必須確定檢測窗口大小和ID熵閾值。為避免CAN總線傳輸速率和非周期報文對于滑動窗口內(nèi)熵值的計算的影響，本文采用固定報文數(shù)量的滑動窗口。當(dāng)滑動窗口內(nèi)的報文數(shù)量到達預(yù)先設(shè)定值時，檢測模型會計算滑動窗口內(nèi)的相對熵值并判斷是否有異常發(fā)生，同時，滑動窗口向后滑動并開啟下一輪的檢測。此外，檢測窗口大小要適中，太大則實時性欠佳，太小則波動比較大，閾值難以確定。先后設(shè)置窗口大小為200、400、600及800個報文，比較網(wǎng)絡(luò)ID熵值的波動情況，最終確定窗口的報文數(shù)為600個，信息熵閾值和相對熵閾值（ID=0x101與0x105），具體如表2、圖3所示。

表2 不同窗口寬度及相關(guān)閾值比較

報文數(shù)/個信息熵閾值相對熵閾值 2002.279 8～2.284 80.205 9～0.232 3 4002.279 9～2.282 40.212 9～0.226 1 6002.279 9～2.281 60.219 3～0.228 2 8002.279 9～2.281 20.219 5～0.226 1

圖3 窗口大小為600時的熵值波動

在報文發(fā)送一段時間后，重放一段ID為0x 101的報文。由于報文ID越小其優(yōu)先級越高，當(dāng)重放ID=0x101報文時，其余四種報文則被0x101報文覆蓋，會出現(xiàn)一段只有0x101的報文流。再模擬ID=0x104的報文重放情況，運行一段時間后重放ID=0x104的報文，由于其優(yōu)先級僅高于0x105而低于其他三種報文，因此，會出現(xiàn)一段0x105報文被0x104報文覆蓋的報文流。利用熵的計算公式可得不同窗口序列的仿真值，具體如圖4所示。從圖4中不難看出發(fā)生異常的是第11次和第27次報文，再對結(jié)果進行整理，如表3所示。

圖4 重放攻擊時的信息熵和相對熵

表3 重放攻擊的檢測結(jié)果

窗口序列攻擊方式信息熵相對熵 11重放0x101大幅下降大幅上升 27重放0x104輕微下降輕微上升

在導(dǎo)出的csv文件中的異常報文片段中統(tǒng)計各種報文出現(xiàn)的次數(shù)，如圖5所示。從圖5(a)中不難發(fā)現(xiàn)11窗口中報文ID=0x101的報文數(shù)量遠高于0x102、0x103、0x104的報文數(shù)量，而它們理論上的出現(xiàn)頻率應(yīng)該相近；由圖5(b)可知，27窗口中報文0x104的數(shù)量略高于理論上相同頻率的0x101、0x102、0x103，且報文0x105的數(shù)量為322個，其未到達其余報文數(shù)量的1/2。因此，可斷定窗口序列10～15的異常是由于報文0x101的重放；窗口序列25～30的異常則是由報文0x104的重放導(dǎo)致，因為0x104僅優(yōu)先于0x105，所以導(dǎo)致了0x105的數(shù)量減少和0x104數(shù)量增加。

圖5 重放的統(tǒng)計分析

丟棄攻擊的模擬是在某段時間內(nèi)，刪除掉某類ID報文，造成總線數(shù)據(jù)流中無該類報文的記錄。此類攻擊首先會導(dǎo)致丟棄報文攜帶的信息無法傳達，其次也會影響總線信息熵值。在仿真中先模擬丟棄標(biāo)識符為0x101的報文，運行一段時間后再丟棄0x105報文，其對熵值的影響如圖6和表4所示。

圖6 丟棄攻擊時的信息熵和相對熵

表4 丟棄攻擊的檢測結(jié)果

窗口序列攻擊方式信息熵相對熵 16丟棄0x101增大降低 27丟棄0x105降低增大

導(dǎo)出的csv文件在異常報文片段中統(tǒng)計各種報文出現(xiàn)的次數(shù)如圖7所示，其中圖7(a)顯示該段窗口下，報文0x101的數(shù)量下降，明顯少于理論上與其頻率相同的報文0x102、0x103和0x104，并且比報文0x105的兩倍數(shù)量少，即報文0x101被丟棄。圖7(b)中顯示報文0x105的數(shù)量下降，且少于報文0x101數(shù)量的一半，即報文0x105被丟棄。

通過上述研究理論分析與實際計算結(jié)果對比可知，無論是兩次重放攻擊還是兩次丟棄攻擊均被檢測到。因此，基于ID熵值入侵檢測模型可以對重放、丟棄等網(wǎng)絡(luò)攻擊進行檢測，同時可以對異常ID進行定位。

圖7 丟棄的統(tǒng)計分析

4 結(jié)論

CAN總線作為汽車智能化和網(wǎng)聯(lián)化的重要部件，由于其固有的脆弱性使汽車網(wǎng)絡(luò)面臨黑客入侵的嚴(yán)峻風(fēng)險，增加檢測及加密算法的復(fù)雜性會引發(fā)防護策略的高資源消耗和汽車高實時響應(yīng)的矛盾，進而可能造成成本攀升?；贗D熵和數(shù)據(jù)域方法可以對重放和丟棄的攻擊進行有效防御，但隨著黑客攻擊手段的日益增強，在未來應(yīng)在CAN-FD等架構(gòu)下結(jié)合機器學(xué)習(xí)等人工智能方法，應(yīng)重點解決算法的智能性，從而更加有效地應(yīng)對各種網(wǎng)絡(luò)威脅。

[1] WANG H,HUANG G,LIANG X.Research on the Info- rmation Safety of CAN Bus for Vehicle[C]//Interna- tional Conference on Intelligent Automation and Soft Computing.Chicago:USA,2021.

[2] 吳武飛,李仁發(fā),曾剛,等.智能網(wǎng)聯(lián)車網(wǎng)絡(luò)安全研究綜述[J].通信學(xué)報,2020,41(6):161-174.

[3] 賈先鋒,王鵬程,劉天宇.基于智能網(wǎng)聯(lián)汽車車載網(wǎng)絡(luò)防護技術(shù)的研究[J].汽車實用技術(shù),2022,47(1):32- 35.

[4] STEPHANIE B,THOMAS E,OKA KENGO D,et al.Security Crash Test-practical Security Evaluations of Automotive Onboard IT Components[C].Automo- tive Safety & Security 2015.Stuttgart:Germany,2015.

[5] NISHIMURA R,KURACHI R,ITO K,et al.Implemen- tation of the CAN-FD Protocol in the Fuzzing Tool be STORM[C].IEEE International Conference on Vehicle Electronics and Safety.Piscataway:IEEE,2016:1-6.

[6] CRAIG S.Car Hacker's Handbook[M].San Francisco: No Starch Press,2016.

[7] 章意,李飛,張森葳.基于SecOC的車載網(wǎng)絡(luò)通信安全模型研究[J].計算機應(yīng)用研究,2022,39(8):2474-2478.

[8] 羅峰,胡強,劉宇.基于CAN-FD總線的車載網(wǎng)絡(luò)安全通信[J].同濟大學(xué)學(xué)報(自然科學(xué)版),2019,47(3):386- 391.

[9] 王棟,岳澤輪.基于多變量密碼的車載網(wǎng)絡(luò)安全數(shù)據(jù) 傳輸協(xié)議[J].指揮與控制學(xué)報,2019,5(2):128-134.

[10] 何意,劉興偉,馬宏亮.車聯(lián)網(wǎng)擬態(tài)防御系統(tǒng)研究[J].信息安全研究,2020,6(3):244-251.

[11] 路鵬飛,鄒博松,李京泰.基于CRITIC法和熵值法的智能網(wǎng)聯(lián)汽車信息安全綜合評價方法研究[J].網(wǎng)絡(luò)空間安全,2020,11(10):98-103.

[12] 鄒博松,朱科屹,王卉捷.智能網(wǎng)聯(lián)汽車信息安全測試及分析[J].智能網(wǎng)聯(lián)汽車,2020(6):56-58.

[13] 趙振堂.車載網(wǎng)絡(luò)異常檢測技術(shù)研究[D].天津:天津理工大學(xué),2018.

[14] 羅峰,胡強,候碩,等.基于支持向量機的CAN-FD網(wǎng)絡(luò)異常檢測[J].同濟大學(xué)學(xué)報(自然科學(xué)版),2020,48 (12):1790-1796.

[15] 彭海德.汽車CAN網(wǎng)絡(luò)的入侵檢測方法研究[D].大連:大連理工大學(xué),2021.

Analysis of the Safety Protection Technology of Vehicle CAN Bus

HUANG Guojun1, HAO Yunzhi1, YANG Songhua1, LAN Tian2, LIANG Xincheng2

( 1.College of Artificial Intelligence, Southwest University, Chongqing 400715,China;2.College of Engineering and Technology, Southwest University, Chongqing 400715, China )

It is well known that controller area network(CAN) is the most widely used bus, whose advantages are low cost, strong anti-interference and supporting distributed serial communication. Unfortunately, the ineradicable security flaws have been investigated such as no authentication, no encryption and multiple remote connection ports, and thus it is the main target of hacker attack. In this paper, the recent automobile network security accidents may be reviewed at first, and relevant intrusion types are listed, in which the replay and discard are the most common attack methods.Then, the causes of CAN bus vulnerability will be analyzed, and the corresponding solutions are offered simultaneously.Finally,the information entropy and relative entropy are applied to detect the illegal intrusion, and the results have been simulated by CANoe software, showing the outstanding validity. In fact, eliminating illegal network intrusion is so tough that further research is needed under controller area network with flexible data-rate(CAN-FD) new frameworks to satisfy higher requirement such as security and real-time performance in future.

Vehicle CAN bus; Cybersecurity; Safety protection technology; Relative entropy; Machine learning

U495

A

1671-7988(2023)11-41-08

黃國鈞（1983－），男，博士，副教授，研究方向為智能制造裝備、動力系統(tǒng)控制、新能源與智能汽車、替代能源控制技術(shù)等，E-mail:huangguojun@swu.edu.cn。

國家重點研發(fā)計劃（2021YFB3101500）。

10.16638/j.cnki.1671-7988.2023.011.008