摘要：車聯(lián)網(wǎng)應(yīng)用是典型的關(guān)聯(lián)系統(tǒng)應(yīng)用，智能汽車不僅其內(nèi)部組件之間有網(wǎng)絡(luò)連接，而且通過(guò)道路單元和其他汽車與外部世界也發(fā)生著關(guān)系。在很多場(chǎng)景下，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的數(shù)據(jù)包會(huì)經(jīng)過(guò)相同的硬件，僅僅通過(guò)軟件定義的規(guī)則進(jìn)行隔離，任何錯(cuò)誤的配置都可能將汽車內(nèi)部組件暴露給黑客從而導(dǎo)致災(zāi)難性的后果。提出巡航控制場(chǎng)景下的兩種隱蔽攻擊方法，研究智能汽車的自適應(yīng)巡航控制系統(tǒng)在隱蔽攻擊下的安全性，并提出一種新穎的入侵檢測(cè)和補(bǔ)償機(jī)制來(lái)發(fā)現(xiàn)和處理這些攻擊。入侵檢測(cè)系統(tǒng)引擎使用神經(jīng)網(wǎng)絡(luò)識(shí)別器去動(dòng)態(tài)估算系統(tǒng)輸出，并與巡航系統(tǒng)的輸出進(jìn)行比對(duì)。如果監(jiān)測(cè)到任何異常，內(nèi)置的補(bǔ)償控制器將會(huì)激活并接管系統(tǒng)控制權(quán)。大量的模擬仿真實(shí)驗(yàn)表明：新方案反應(yīng)快速且有效。

　　關(guān)鍵詞：車聯(lián)網(wǎng);自適應(yīng)巡航控制;入侵檢測(cè)系統(tǒng);神經(jīng)網(wǎng)絡(luò);信息物理系統(tǒng);軟件定義網(wǎng)絡(luò);車載自組網(wǎng)

　　在信息世界里，入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystems，IDS)的經(jīng)典定義便是監(jiān)控流量進(jìn)出網(wǎng)絡(luò)的安全系統(tǒng)[1]。但是隨著系統(tǒng)變得越來(lái)越復(fù)雜和越來(lái)越連通，越來(lái)越多復(fù)雜巧妙的入侵行為被發(fā)現(xiàn)，并且已不僅僅局限于信息世界。信息物理系統(tǒng)(CyberPhysicalSystems，CPS)便是信息世界和物理世界相遇的地方，它們通常是IT系統(tǒng)或網(wǎng)絡(luò)與電子機(jī)械部件的混合物，典型的例子有各種車聯(lián)網(wǎng)系統(tǒng)2]，遠(yuǎn)程手術(shù)機(jī)器人3][4]和智能電網(wǎng)5][6]。針對(duì)信息物理系統(tǒng)的攻擊可以損害到真實(shí)世界，并且將成為未來(lái)世界的一個(gè)重大安全隱患。

　　工業(yè)技術(shù)論文范例：電信運(yùn)營(yíng)商如何融入智能汽車市場(chǎng)

　　隨著工業(yè)的逐步實(shí)現(xiàn)而威脅日益變大。針對(duì)信息物理系統(tǒng)的簡(jiǎn)單網(wǎng)絡(luò)攻擊都可能在復(fù)雜互聯(lián)互通的系統(tǒng)里產(chǎn)生一連串故障。包括計(jì)算機(jī)網(wǎng)絡(luò)[7]在內(nèi)的所有已知攻擊手段，都可能被用于攻擊網(wǎng)絡(luò)控制類型的信息物理系統(tǒng)，生活中有諸多這類系統(tǒng)的例子，比如，新車包括智能汽車，都使用控制器局域網(wǎng)絡(luò)(ControllerAreaNetwork，CAN)總線來(lái)連接不同的微控制器以管控汽車的物理零部件。隨著車聯(lián)網(wǎng)(InternetofVehicles，IoV)和汽車自組網(wǎng)8](VehicularAdhocNetworks，VANET)的出現(xiàn)，汽車與外界的連接愈發(fā)普遍，如OTA(OverTheAir)軟件更新和信息收集，這種安全挑戰(zhàn)就變得更有壓力[9]。

　　兩名黑客演示了如何遠(yuǎn)程侵入和控制一輛014款Jeep自由光，利用連接移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)的車載娛樂(lè)系統(tǒng)Uconnect的漏洞10][11]，他們成功給汽車刷入帶病毒的固件，并向控制器局域網(wǎng)絡(luò)總線發(fā)送指令控制汽車，最終迫使菲亞特克萊斯勒集團(tuán)之后宣布召回40萬(wàn)輛汽車返廠升級(jí)系統(tǒng)。此類事件提醒研究人員要多關(guān)注車聯(lián)網(wǎng)的安全性[12]。越來(lái)越多的汽車正在依賴于網(wǎng)絡(luò)化控制系統(tǒng)，當(dāng)其總線或沖突域(CollisionDomains)與連接到互聯(lián)網(wǎng)的部件共享或者有路由進(jìn)行連通時(shí)，安全隱患便隨之而來(lái)。通過(guò)一些軟件定義網(wǎng)絡(luò)(SoftwareDefinedNetwork，SDN)進(jìn)行隔離是最佳的手段，但是也擴(kuò)大了遭受攻擊的范圍，任何錯(cuò)誤的配置信息都可以打開(kāi)進(jìn)入智能汽車內(nèi)部的渠道。

　　傳統(tǒng)的入侵檢測(cè)系統(tǒng)用于發(fā)現(xiàn)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的異常行為，但是在信息物理系統(tǒng)中，單純分析流量而不清楚每個(gè)數(shù)據(jù)包作用于物理系統(tǒng)的實(shí)際效果，是不能判別其惡意的。文獻(xiàn)[13]將信息物理系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行分類并定義了隱蔽攻擊(CovertAttacks)這一新類型。隱蔽攻擊是欺騙攻擊(DeceptionAttacks)的子集，攻擊者獲取信息物理系統(tǒng)部分組件的控制權(quán)，同時(shí)試圖讓攻擊影響足夠小從而讓人無(wú)法觀察到異常。隱蔽攻擊分為兩種，一種是試圖讓物理部件產(chǎn)生持續(xù)平穩(wěn)的錯(cuò)誤輸出，隨著時(shí)間逐步消耗系統(tǒng)的服務(wù)性能;另一種則是短暫的影響系統(tǒng)輸出，間隔一段時(shí)間重復(fù)發(fā)生以達(dá)到相同的效果。

　　假定自適應(yīng)巡航控制(AdaptiveCruiseControl，ACC)系統(tǒng)是易于遭受攻擊的，筆者提出兩種針對(duì)自適應(yīng)巡航控制系統(tǒng)的隱蔽攻擊：第種攻擊里，當(dāng)實(shí)驗(yàn)汽車降低車速時(shí)，攻擊者立刻操作巡航控制器使汽車產(chǎn)生突然加速，試圖產(chǎn)生事故或者增大事故概率;第種攻擊則是攻擊者接管控制權(quán)，讓巡航控制器不斷產(chǎn)生控制信號(hào)，降低實(shí)驗(yàn)汽車與前車的安全車距，從而增大事故風(fēng)險(xiǎn)。然后，設(shè)計(jì)一套盡可能準(zhǔn)確地模擬巡航控制系統(tǒng)響應(yīng)的觀察方法，利用其所訓(xùn)練的參考模型，提出針對(duì)這兩種隱蔽攻擊的入侵檢測(cè)機(jī)制。當(dāng)檢測(cè)到與預(yù)期行為偏差巨大的情況時(shí)，入侵檢測(cè)系統(tǒng)便觸發(fā)警告并切換到內(nèi)置于補(bǔ)償系統(tǒng)的故障安全控制器(FailsafeController)。

　　為了評(píng)估檢測(cè)和補(bǔ)償機(jī)制的效果，筆者在MATLABSimulink平臺(tái)上進(jìn)行了廣泛的模擬實(shí)驗(yàn)，結(jié)果表明，檢測(cè)機(jī)制可以成功地發(fā)現(xiàn)對(duì)自適應(yīng)巡航控制系統(tǒng)的隱蔽攻擊，而相較于沒(méi)有采用任何保護(hù)機(jī)制，由控制器(controller)所構(gòu)成的補(bǔ)償器也很明顯地減低了攻擊對(duì)系統(tǒng)所造成的影響。自適應(yīng)巡航控制自適應(yīng)巡航控制根據(jù)控制目標(biāo)不同，其相應(yīng)的模型也不同。假設(shè)有汽車和汽車行駛于同一車道，汽車安裝有自適應(yīng)巡航控制系統(tǒng)，同時(shí)也安裝有雷達(dá)可以測(cè)量與前車汽車的距離。另外，兩車相對(duì)速度也可以由傳感器和雷達(dá)測(cè)量所得。自適應(yīng)巡航控制系統(tǒng)的控制目標(biāo)便是讓車輛以駕駛者設(shè)定的速度行駛且與前車保持安全車距。 自適應(yīng)巡航控制系統(tǒng)有兩種模式控制汽車。

　　汽車的速度被設(shè)置為駕駛者預(yù)設(shè)值，同時(shí)與前車保持系統(tǒng)認(rèn)定的最小距離。自適應(yīng)巡航控制會(huì)動(dòng)態(tài)調(diào)整汽車的速度以控制兩車之間的距離，確保車距不小于安全值。根據(jù)實(shí)時(shí)測(cè)試，自適應(yīng)巡航控制系統(tǒng)可以根據(jù)條件自行激活某一模式，如果相對(duì)車距明顯減少，則自適應(yīng)巡航控制系統(tǒng)會(huì)從模式切換到模式;反之，如果相對(duì)車距大于某個(gè)閾值，自適應(yīng)巡航控制系統(tǒng)便從模式切換為模式。所以自適應(yīng)巡航控制系統(tǒng)會(huì)根據(jù)下述規(guī)則設(shè)定其執(zhí)行模式：如果≥，速度控制模式被激活，保持巡航設(shè)定速度是控制目標(biāo)。如果<，距離控制模式則被激活，保持與前車的安全距離是其控制目標(biāo)。

　　2入侵檢測(cè)和補(bǔ)償.

　　1隱蔽攻擊場(chǎng)景本文將研究?jī)煞N針對(duì)自適應(yīng)巡航控制系統(tǒng)的攻擊場(chǎng)景，對(duì)其兩種模式不同的控制目標(biāo)所造成的影響。根據(jù)定義，這些攻擊都會(huì)是隱蔽的。攻擊會(huì)擾亂自適應(yīng)巡航控制系統(tǒng)并更改其輸出，換言之，攻擊者可以擾亂車輛的加速度，改變車輛的正常運(yùn)行。攻擊場(chǎng)景：第種隱秘攻擊從破壞自適應(yīng)巡航控制單元開(kāi)始。攻擊者保持靜默等候，讓自適應(yīng)巡航控制系統(tǒng)正常工作，并密切監(jiān)控車輛與前車的距離。當(dāng)該距離達(dá)到最低點(diǎn)(大約接近最小安全距離)時(shí)，攻擊者控制自適應(yīng)巡航控制單元在控制信號(hào)中產(chǎn)生一個(gè)波峰，使車輛突然加速，試圖通過(guò)臨時(shí)將車距降低至低于標(biāo)準(zhǔn)，或?qū)④囁偬嵘�到超過(guò)上限，使得事故發(fā)生的可能性增加。當(dāng)前車突然剎車且受損的自適應(yīng)巡航控制拒絕降低車速時(shí)，也可能發(fā)生類似的事故。

　　攻擊場(chǎng)景：跟第種攻擊類似，攻擊者一樣會(huì)破壞自適應(yīng)巡航控制單元，不同的是攻擊者不會(huì)像第一種場(chǎng)景里伺機(jī)而動(dòng)打伏擊，而是細(xì)微地降低自適應(yīng)巡航控制的參考距離即安全車距。因此，在自適應(yīng)巡航控制處于模式并試圖保持安全距離時(shí)，它實(shí)際上是在遵循一個(gè)錯(cuò)誤的參考，使得車輛事實(shí)上更接近前車。然而這種差異對(duì)于駕駛者而言是微不足道難以發(fā)現(xiàn)的，因此攻擊仍然是隱蔽的，不過(guò)，所導(dǎo)致的結(jié)果卻并非微不足道。從統(tǒng)計(jì)上講，還得取決于路況(濕的或干的路面)，前后車輛的制動(dòng)力以及駕駛者的反應(yīng)時(shí)間，無(wú)論如何，這種攻擊都讓事故發(fā)生的機(jī)會(huì)大大增加。

　　隱蔽攻擊的補(bǔ)償–攻擊場(chǎng)景第種隱蔽攻擊中，攻擊者試圖擾亂自適應(yīng)巡航控制系統(tǒng)的參考體系(如作為系統(tǒng)參照對(duì)比的安全距離)，尤其是自適應(yīng)巡航控制工作于模式，以便讓車間距保持低于安全距離。由于是隱蔽攻擊，駕駛者很難察覺(jué)到加速度的細(xì)微波動(dòng)，然而兩車之間的相對(duì)距離卻在逐漸變小，大約后車間距縮小了近5m。與相較而言，這個(gè)變化對(duì)駕駛者來(lái)說(shuō)可能不明顯，但明顯增加了事故幾率，特別是前車急剎車時(shí)。與之前場(chǎng)景類似，如果補(bǔ)償器在收到IDS信號(hào)后激活介入控制，便能設(shè)法克服攻擊帶來(lái)的惡劣影響。攻擊在不到00ms內(nèi)再次被檢測(cè)到，在一小瞬間的擾動(dòng)后，車輛恢復(fù)良好的運(yùn)行狀態(tài)，系統(tǒng)控制目標(biāo)得以實(shí)現(xiàn)。

　　4結(jié)束語(yǔ)

　　筆者對(duì)智能汽車自適應(yīng)巡航控制系統(tǒng)中隱蔽攻擊的檢測(cè)方法和補(bǔ)償機(jī)制進(jìn)行了研究，介紹了兩種攻擊場(chǎng)景下導(dǎo)致的巡航系統(tǒng)無(wú)法正常工作，不能滿足智能汽車對(duì)速度和車距控制的要求。提出了人工神經(jīng)網(wǎng)絡(luò)識(shí)別器用于學(xué)習(xí)自適應(yīng)巡航控制系統(tǒng)并預(yù)測(cè)其輸出。本文提出的新型IDS將會(huì)對(duì)比實(shí)際自適應(yīng)巡航控制的輸出和識(shí)別器的預(yù)測(cè)輸出，進(jìn)而判斷自適應(yīng)巡航控制行為是否異常。異常由統(tǒng)計(jì)度量捕獲，IDS對(duì)此產(chǎn)生警告，并切換MPC系統(tǒng)至內(nèi)置PID控制器。仿真模擬結(jié)果證實(shí)了本文方法的有效，它不僅實(shí)現(xiàn)了隱蔽攻擊的探測(cè)識(shí)別，而且也能減輕攻擊對(duì)測(cè)試車輛性能的影響。

　　由于車聯(lián)網(wǎng)是多行業(yè)深度融合的新型產(chǎn)業(yè)形態(tài)，是全球創(chuàng)新的熱點(diǎn)和未來(lái)發(fā)展的制高點(diǎn)，可以預(yù)見(jiàn)到其未來(lái)的廣闊應(yīng)用空間。隨著汽車電子化水平越來(lái)越高和5G的推廣應(yīng)用，越來(lái)越多的汽車子系統(tǒng)將會(huì)接入網(wǎng)絡(luò)，都可能遭受入侵威脅，安全挑戰(zhàn)壓力巨大，未來(lái)研究重點(diǎn)將會(huì)放在提升入侵檢測(cè)和補(bǔ)償機(jī)制的普適性，使其可以應(yīng)用到更多的汽車組成系統(tǒng)和場(chǎng)景。同時(shí)，性能更優(yōu)秀的神經(jīng)網(wǎng)絡(luò)識(shí)別器模型也是研究一大方向。

　　參考文獻(xiàn)：

　　[1]F.Farivar,S.Barchinezhad,M.SayadHaghighi,andA.Jolfaei,Detectionandcompensationofcovertservicedegradingintrusionsincyberphysicalsystemsthroughintelligentadaptivecontrol[C]/TheIEEEInternationalConferenceonIndustrialTechnology,2019.

　　[2]常玲,趙蓓,薛姍等.車聯(lián)網(wǎng)信息安全威脅分析及防護(hù)思路[J].移動(dòng)通信,2019(11).

　　[3]王晨希,孟祥峰,王浩等.醫(yī)用機(jī)器人網(wǎng)絡(luò)安全問(wèn)題研究與探討[J].中國(guó)醫(yī)療設(shè)備2020年35卷期,1317,25頁(yè),ISTIC,2020.

　　[4]WangZ,MaP,ZouX,etal.SecurityofMedicalCyberphysicalSystems:AnEmpiricalStudyonImagingDevices[C]//IEEEINFOCOM2020IEEEConferenceonComputerCommunicationsWorkshops(INFOCOMWKSHPS).IEEE,2020.

　　[5]鄒洪.智能電網(wǎng)信息安全防御體系架構(gòu)與關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020.

　　作者：柴艷娜，李坤倫，宋煥生