劉少勛，張 震,2，張金鋒，程章龍，張躍中

（1.網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室，江蘇 南京 211111；2.國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002）

0 引 言

近年來(lái)，隨著人工智能、大數(shù)據(jù)和汽車電子等技術(shù)的快速發(fā)展，具有智能化和網(wǎng)聯(lián)化特征的智能網(wǎng)聯(lián)汽車成為汽車產(chǎn)業(yè)新形態(tài)。智能網(wǎng)聯(lián)汽車通過(guò)搭載先進(jìn)的車載傳感器與智能控制系統(tǒng)，實(shí)現(xiàn)了車與車、路、云、人之間的信息交互與共享，為人們的交通出行帶來(lái)了極大便利。但同時(shí)智能網(wǎng)聯(lián)汽車對(duì)外通信接口的增加和系統(tǒng)復(fù)雜化使車載網(wǎng)絡(luò)更容易受到網(wǎng)絡(luò)攻擊，針對(duì)車載網(wǎng)絡(luò)的攻擊事件也不斷被爆出[1-2]。這不僅會(huì)造成個(gè)人隱私泄露問(wèn)題，也會(huì)引發(fā)社會(huì)公共安全問(wèn)題。

智能網(wǎng)聯(lián)汽車CAN 網(wǎng)絡(luò)是智能網(wǎng)聯(lián)汽車應(yīng)用最廣泛的車載通信網(wǎng)絡(luò)，由于CAN 在初始設(shè)計(jì)時(shí)缺乏信息安全機(jī)制，使得作為車載網(wǎng)絡(luò)重要媒介的CAN 極易受到嗅探、偽造、修改和重放等攻擊[3-4]。如何通過(guò)關(guān)鍵影響因素分析，使得在有限車載資源下準(zhǔn)確快速地檢測(cè)出CAN 網(wǎng)絡(luò)異常狀態(tài)，成為當(dāng)前汽車產(chǎn)業(yè)重點(diǎn)關(guān)注的問(wèn)題。

目前，對(duì)于智能網(wǎng)聯(lián)汽車CAN 網(wǎng)絡(luò)異常檢測(cè)，學(xué)術(shù)界已開(kāi)展了不少研究工作。其中，基于信息統(tǒng)計(jì)分析的異常檢測(cè)方法[5-7]充分利用了CAN 網(wǎng)絡(luò)實(shí)時(shí)傳輸大量消息的數(shù)據(jù)資源，通過(guò)統(tǒng)計(jì)分析消息傳輸信息熵[8-9]等方式，實(shí)現(xiàn)對(duì)CAN網(wǎng)絡(luò)狀態(tài)的高效檢測(cè)?，F(xiàn)有基于信息統(tǒng)計(jì)分析的主要檢測(cè)方法的研究如下：Muter 等人[8]首次將信息熵的概念用于車載網(wǎng)絡(luò)的入侵檢測(cè)，提出了基于CAN 報(bào)文標(biāo)識(shí)ID 信息熵的異常檢測(cè)方法，通過(guò)計(jì)算設(shè)定時(shí)間內(nèi)CAN 報(bào)文ID 信息熵來(lái)獲取正常信息熵閾值，并將實(shí)時(shí)采集計(jì)算得到的CAN 報(bào)文ID 信息熵與該信息熵閾值比對(duì)；在此基礎(chǔ)上，Virmani 等人[9]提出了一種基于信息熵偏差的CAN 網(wǎng)絡(luò)入侵分析的算法；Zhao 等人[10]提出了一種針對(duì)DDoS 攻擊的CAN 網(wǎng)絡(luò)流量熵方法。此外，于赫等人[11]采用單位時(shí)間窗口內(nèi)報(bào)文信息熵的波動(dòng)來(lái)檢測(cè)泛洪攻擊和報(bào)文重放攻擊；Wu 等人[12]采用固定消息數(shù)量窗口來(lái)計(jì)算CAN 報(bào)文ID 信息熵的分析方法。這些研究方法采用多種方式計(jì)算CAN 報(bào)文信息熵，能夠有效檢測(cè)出CAN 報(bào)文網(wǎng)絡(luò)異常。然而，這些研究缺乏對(duì)CAN 報(bào)文信息熵異常檢測(cè)影響因素的深入分析，難以為考慮檢測(cè)準(zhǔn)確性、時(shí)效性等目標(biāo)的CAN 網(wǎng)絡(luò)異常檢測(cè)優(yōu)化研究提供更有效的支撐。

針對(duì)上述方法存在的不足，本文研究分析了基于信息熵的CAN 網(wǎng)絡(luò)異常檢測(cè)關(guān)鍵因素影響。首先給出了CAN 報(bào)文信息熵概念內(nèi)涵及計(jì)算方式；在此基礎(chǔ)上，建立了CAN 網(wǎng)絡(luò)異常檢測(cè)的準(zhǔn)確度和時(shí)效性量化指標(biāo)，然后通過(guò)大量實(shí)驗(yàn)和數(shù)據(jù)統(tǒng)計(jì)，分析了窗口大小、滑動(dòng)尺度和靈敏度三項(xiàng)關(guān)鍵因素的變化對(duì)CAN 報(bào)文信息熵、檢測(cè)準(zhǔn)確度和響應(yīng)及時(shí)性的影響。

1 量化指標(biāo)

為了能夠量化表征關(guān)鍵因素對(duì)CAN 報(bào)文信息熵異常檢測(cè)的精確度和響應(yīng)及時(shí)性的影響，本節(jié)首先闡述了CAN 報(bào)文信息熵定義，以及窗口大小、滑動(dòng)尺度和靈敏度三項(xiàng)關(guān)鍵因素；然后給出了異常檢測(cè)準(zhǔn)確性、響應(yīng)及時(shí)性兩個(gè)指標(biāo)的計(jì)算方法。

（1）CAN 報(bào)文信息熵

CAN 報(bào)文數(shù)據(jù)幀結(jié)構(gòu)包括ID、數(shù)據(jù)區(qū)和校驗(yàn)等部分，各部分占用字節(jié)情況如圖1 所示。其中，ID 用于表明發(fā)送數(shù)據(jù)的類型標(biāo)識(shí)和優(yōu)先級(jí)，ID 越小則該報(bào)文傳輸優(yōu)先級(jí)越高。提取出CAN 報(bào)文中的ID，并對(duì)一定時(shí)間內(nèi)或一定數(shù)量的ID信息進(jìn)行統(tǒng)計(jì)分析，能夠反映CAN 網(wǎng)絡(luò)傳輸報(bào)文消息的運(yùn)行狀態(tài)。本文通過(guò)統(tǒng)計(jì)一定報(bào)文數(shù)量窗口內(nèi)的不同ID 類型分布概率來(lái)計(jì)算CAN 報(bào)文信息熵，公式如下：

圖1 CAN 報(bào)文數(shù)據(jù)結(jié)構(gòu)

式中：H(IDS)為采集窗口內(nèi)所有報(bào)文標(biāo)識(shí)ID 集IDS 的信息熵；numkid為采集窗口內(nèi)第k種ID 報(bào)文出現(xiàn)的次數(shù)；ekid為采集窗口內(nèi)第k種ID 報(bào)文的信息熵；n為采集窗口內(nèi)出現(xiàn)的不同ID 報(bào)文數(shù)量。

（2）正常信息熵閾值

為了準(zhǔn)確度量CAN 報(bào)文信息熵，通過(guò)計(jì)算大量窗口的CAN 報(bào)文信息熵均值和方差，建立CAN 報(bào)文正常的信息熵閾值區(qū)間。在設(shè)定采集窗口大小sizewin和滑動(dòng)尺度slidewin基礎(chǔ)上，計(jì)算大量采集窗口信息熵H(IDS)的平均值μ和標(biāo)準(zhǔn)差s，設(shè)定信息熵閾值區(qū)間如下：

將[μ-η×s,μ+η×s]作為判斷CAN 網(wǎng)絡(luò)是否處于攻擊狀態(tài)的信息熵閾值區(qū)間，η為標(biāo)準(zhǔn)差s的靈敏度。當(dāng)采集窗口的信息熵不超出閾值區(qū)間，則認(rèn)為CAN 報(bào)文傳輸異常。

（3）檢測(cè)準(zhǔn)確度

已有CAN 網(wǎng)絡(luò)信息熵異常檢測(cè)通常采用檢測(cè)過(guò)程中正確預(yù)測(cè)出的消息窗口數(shù)量與窗口總量的比例來(lái)評(píng)估檢測(cè)的準(zhǔn)確度，沒(méi)有考慮因滑動(dòng)尺度設(shè)置過(guò)大導(dǎo)致部分攻擊信息跳過(guò)檢測(cè)的情況。在窗口滑動(dòng)過(guò)程中，被攻擊報(bào)文恰處于相鄰兩個(gè)檢測(cè)窗口中的不檢測(cè)區(qū)域，成功逃避了檢測(cè)，如圖2所示。

圖2 CAN 報(bào)文逃避檢測(cè)示意圖

為了全面準(zhǔn)確評(píng)估檢測(cè)精度，本文綜合考慮了檢測(cè)過(guò)程中的檢測(cè)正確率和未被列入檢測(cè)窗口的正常消息比例來(lái)度量基于信息熵檢測(cè)CAN 報(bào)文的準(zhǔn)確度。

式中：sum 為整個(gè)檢測(cè)過(guò)程中窗口滑動(dòng)的總次數(shù)；α1、α2為權(quán)重系數(shù)，且滿足α1+α2=1；當(dāng)窗口滑過(guò)的CAN 報(bào)文集合Ij中存在攻擊消息時(shí)，f(Ij)為0，否則為1；滑動(dòng)尺度slidewin表示未檢測(cè)的CAN 報(bào)文集合Ij大小，即slidewin=||Ij||。

（4）檢測(cè)響應(yīng)及時(shí)性

檢測(cè)響應(yīng)及時(shí)性反映了網(wǎng)絡(luò)異常檢測(cè)的反應(yīng)速度和活躍程度。由于CAN 報(bào)文傳輸?shù)臅r(shí)間周期具有不確定性，本文采用更具穩(wěn)定特征的滑動(dòng)尺度與滑動(dòng)窗口大小的比值來(lái)評(píng)估CAN 報(bào)文異常檢測(cè)的及時(shí)性，并忽略檢測(cè)算法的執(zhí)行時(shí)延，建立如下計(jì)算模型：

2 實(shí)驗(yàn)分析

2.1 實(shí)驗(yàn)數(shù)據(jù)

本文使用韓國(guó)高麗大學(xué)HCR 實(shí)驗(yàn)室的CAN 報(bào)文數(shù)據(jù)庫(kù)，并從數(shù)據(jù)庫(kù)中采集了汽車在正常行駛狀態(tài)下的30 000條數(shù)據(jù)集，報(bào)文ID 范圍為0X001 ～0X7ff。該數(shù)據(jù)集能夠反映現(xiàn)實(shí)生活中車載網(wǎng)絡(luò)通信數(shù)據(jù)的基本特征，見(jiàn)表1 所列。同時(shí)，模擬了DoS 和注入兩種攻擊場(chǎng)景下的數(shù)據(jù)集。在模擬DoS攻擊中，將優(yōu)先級(jí)最高的CAN 報(bào)文（ID=0x000）塊插入到正常數(shù)據(jù)集中來(lái)生成DoS 攻擊數(shù)據(jù)集。在注入攻擊模擬中，采用了重放攻擊，將合法CAN 報(bào)文中的消息塊復(fù)制到正常的車輛數(shù)據(jù)集。

表1 CAN 報(bào)文實(shí)驗(yàn)數(shù)據(jù)集

2.2 參數(shù)對(duì)檢測(cè)模型的影響

利用上述CAN 報(bào)文實(shí)驗(yàn)數(shù)據(jù)集，本文首先分析了窗口大小、滑動(dòng)尺度和靈敏度對(duì)CAN 報(bào)文信息熵和檢測(cè)準(zhǔn)確度的影響。

在設(shè)定窗口滑動(dòng)尺度為5、信息熵閾值區(qū)間靈敏度為1.2的前提下，設(shè)置采集窗口大小初始值為37，并按照間隔為5遞增至177，計(jì)算不同窗口大小下的正常信息熵閾值區(qū)間，結(jié)果如圖3 所示。圖中顯示，CAN 報(bào)文采集窗口越大，信息熵閾值區(qū)間越小并趨于穩(wěn)定。

圖3 不同采集窗口大小下的CAN 報(bào)文信息熵變化趨勢(shì)

（1）采集窗口大小對(duì)信息熵和準(zhǔn)確度的影響

在上述參數(shù)同等設(shè)置條件下，隨著采集窗口的逐步增大，CAN 報(bào)文信息熵異常檢測(cè)準(zhǔn)確度從0.933 逐步提升至1，如圖4 所示。圖中變化趨勢(shì)顯示，檢測(cè)準(zhǔn)確度在遞增過(guò)程中出現(xiàn)波動(dòng)，這種波動(dòng)現(xiàn)象主要是由于CAN 報(bào)文傳輸沖突等不確定性因素產(chǎn)生。

圖4 不同采樣窗口大小下的檢測(cè)準(zhǔn)確度變化情況

（2）窗口滑動(dòng)尺度對(duì)信息熵計(jì)算和檢測(cè)準(zhǔn)確度的影響

在設(shè)定窗口大小為37、信息熵閾值區(qū)間靈敏度為1.2 的前提下，設(shè)置CAN 報(bào)文采樣窗口的滑動(dòng)尺度初始大小為5，并按照間隔為4 遞增至121，計(jì)算不同窗口滑動(dòng)尺度下的正常信息熵閾值區(qū)間。當(dāng)滑動(dòng)尺度小于窗口大小時(shí)，采集窗口的滑動(dòng)尺度變化對(duì)信息熵閾值區(qū)間影響不大；當(dāng)取值大于采集窗口時(shí)，對(duì)信息熵閾值區(qū)間的計(jì)算產(chǎn)生了波動(dòng)，如圖5所示。

圖5 不同滑動(dòng)尺度下的CAN 報(bào)文信息熵變化情況

在同等參數(shù)設(shè)置條件下，隨著窗口滑動(dòng)尺度的逐步增大，入侵檢測(cè)準(zhǔn)確度發(fā)生了較大波動(dòng)，如圖6 所示；同時(shí)，隨著滑動(dòng)尺度的增加，檢測(cè)周期會(huì)明顯變長(zhǎng)，即檢測(cè)的及時(shí)性逐步下降，如圖7 所示。

圖6 不同滑動(dòng)尺度下的檢測(cè)準(zhǔn)確度變化情況

圖7 不同滑動(dòng)尺度下的檢測(cè)響應(yīng)及時(shí)性變化情況

（3）信息熵閾值區(qū)間靈敏度對(duì)準(zhǔn)確度的影響

在設(shè)定窗口大小為37、窗口滑動(dòng)尺度為5 的前提下，設(shè)置靈敏度η初始大小為0.5，并按照間隔為0.1 遞增至2.9，計(jì)算不同信息熵閾值區(qū)間靈敏度下的檢測(cè)準(zhǔn)確度。計(jì)算結(jié)果顯示，當(dāng)信息熵閾值區(qū)間靈敏度增加時(shí)，檢測(cè)準(zhǔn)確度逐步變大，如圖8 所示。

圖8 不同靈敏度下的檢測(cè)準(zhǔn)確度變化趨勢(shì)

從上述實(shí)驗(yàn)結(jié)果可以看出：

（1）采集窗口越大，信息熵越穩(wěn)定，這對(duì)提高檢測(cè)準(zhǔn)確度有促進(jìn)作用。

（2）窗口滑動(dòng)尺度對(duì)信息熵計(jì)算影響不大，但過(guò)小的滑動(dòng)尺度會(huì)導(dǎo)致無(wú)網(wǎng)絡(luò)攻擊情況下非必要的頻繁檢測(cè)計(jì)算；而當(dāng)滑動(dòng)尺度變大時(shí)，能夠節(jié)約車載網(wǎng)絡(luò)計(jì)算與存儲(chǔ)資源，但會(huì)降低檢測(cè)響應(yīng)及時(shí)性。

（3）信息熵閾值區(qū)間靈敏度越大，檢測(cè)準(zhǔn)確度就越大。

3 結(jié) 語(yǔ)

CAN 網(wǎng)絡(luò)安全問(wèn)題是智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全領(lǐng)域關(guān)注的重點(diǎn)，準(zhǔn)確、及時(shí)的異常檢測(cè)是增強(qiáng) CAN 網(wǎng)絡(luò)安全的有力保障。本文闡述了CAN 報(bào)文信息熵概念內(nèi)涵以及計(jì)算方式，重點(diǎn)建立了CAN 網(wǎng)絡(luò)異常檢測(cè)的準(zhǔn)確度和響應(yīng)及時(shí)性量化指標(biāo)，然后通過(guò)大量實(shí)驗(yàn)和數(shù)據(jù)統(tǒng)計(jì)，分析了窗口大小、滑動(dòng)尺度和靈敏度三項(xiàng)關(guān)鍵因素變化情況對(duì)CAN 報(bào)文信息熵、檢測(cè)準(zhǔn)確度和響應(yīng)及時(shí)性的影響，并發(fā)現(xiàn)了采集窗口越大信息熵越穩(wěn)定、滑動(dòng)尺度越小車載資源開(kāi)銷越大、靈敏度越大檢測(cè)準(zhǔn)確度越高等變化趨勢(shì)。本文的研究分析可以為后續(xù)進(jìn)一步開(kāi)展基于信息熵的CAN 網(wǎng)絡(luò)異常檢測(cè)優(yōu)化研究提供借鑒指導(dǎo)。