GB/T×××××—××××

車聯(lián)網(wǎng)網(wǎng)絡(luò)安全異常行為檢測機制

1范圍

本文件提供了一種針對車聯(lián)網(wǎng)網(wǎng)絡(luò)安全異常行為的檢測機制的建議。該機制包括以下步驟：

本文件適用于車聯(lián)網(wǎng)，目的是方便設(shè)計人員和安全解決方案提供方檢測網(wǎng)絡(luò)安全異常行為。數(shù)據(jù)

獲取的方法和程序及通知模塊的使用不在本文件的范圍內(nèi)。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

異常行為misbehaviour

提供虛假或誤導性數(shù)據(jù)的行為，以妨礙其他服務(wù)接受者或超出其授權(quán)范圍的方式運作。異常行為

可能來自車輛系統(tǒng)的內(nèi)部或外部組件。

[來源：ISO/TR17427-4:2015]

注：異常行為包括有意或無意的錯誤消息類型或頻次、無效登錄和未經(jīng)授權(quán)的訪問，或不正確的簽名或加密消息

等可疑行為。

3.2

數(shù)據(jù)采集datacapture

從不同來源采集用于網(wǎng)絡(luò)安全異常行為檢測的不同類型數(shù)據(jù)，數(shù)據(jù)源包括汽車、基礎(chǔ)設(shè)施、OEM及

其供應商。

3.3

檢測detection

基于采集到的數(shù)據(jù)進行網(wǎng)絡(luò)安全異常行為發(fā)現(xiàn)。

4縮略語

下列縮略語適用于本文件。

ABS：防滑制動系統(tǒng)（Anti-skidBrakingSystem）

ADAS：先進駕駛輔助系統(tǒng)（AdvancedDriver-AssistanceSystems）

AEB：自動緊急制動（AutonomousEmergencyBraking）

API：應用程序編程接口（ApplicationProgrammingInterface）

1

GB/T×××××—××××

CAN：控制器局域網(wǎng)（ControllerAreaNetwork）

CVE：通用漏洞披露（CommonVulnerabilitiesandExposures）

GNSS：全球?qū)Ш叫l(wèi)星系統(tǒng)（GlobalNavigationSatelliteSystem）

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

ITS：智能交通系統(tǒng)（IntelligentTransportationSystem）

LiDAR：光探測和測距（LightDetectionandRanging）

MCU：微控制單元（MicrocontrollerUnit）

OEM：原始設(shè)備制造商（OriginalEquipmentManufacturer）

TCU：遠程信息處理控制單元（TelematicsControlUnit）

URL：統(tǒng)一資源定位符（UniformResourceLocator）

5網(wǎng)絡(luò)安全異常行為檢測機制模型

圖1給出了車聯(lián)網(wǎng)的網(wǎng)絡(luò)安全異常行為檢測機制模型。該機制包括數(shù)據(jù)采集和檢測兩個步驟，這兩

個步驟由兩個系統(tǒng)實現(xiàn)。

圖1網(wǎng)絡(luò)安全異常行為檢測機制模型

由于數(shù)據(jù)獲取方法和程序（例如：數(shù)據(jù)過濾和數(shù)據(jù)清理）不在本文件的范圍內(nèi)，因此圖1中的數(shù)據(jù)

采集系統(tǒng)只是網(wǎng)絡(luò)安全異常行為檢測實際實施的參考示例。

來自數(shù)據(jù)采集系統(tǒng)的數(shù)據(jù)被發(fā)送至檢測系統(tǒng)，且采集到的數(shù)據(jù)根據(jù)第6章中描述的類型進行處理。

數(shù)據(jù)采集系統(tǒng)包含以下模塊：

a）數(shù)據(jù)獲取：獲取不同來源（如服務(wù)提供方、車身系統(tǒng)和傳感器）的檢測數(shù)據(jù)；

b）數(shù)據(jù)過濾：根據(jù)數(shù)據(jù)分類過濾采集到的數(shù)據(jù)；

c）數(shù)據(jù)清洗：對采集到的數(shù)據(jù)進行重復數(shù)據(jù)刪除和降噪處理。

檢測系統(tǒng)包含以下模塊：

a）數(shù)據(jù)選擇：基于不同的網(wǎng)絡(luò)安全異常行為檢測方法選擇數(shù)據(jù)集，再將其發(fā)送至檢測引擎；

b）檢測引擎：根據(jù)檢測方法檢測網(wǎng)絡(luò)安全異常行為，再將決策結(jié)果發(fā)送至優(yōu)化和通知模塊；

c）優(yōu)化：使用來自檢測引擎的檢測結(jié)果改進數(shù)據(jù)選擇、檢測引擎和數(shù)據(jù)獲取模塊。

通知模塊將檢測引擎的輸出信息發(fā)送給關(guān)聯(lián)方，該模塊不在本文件的范圍內(nèi)。

2

GB/T×××××—××××

6數(shù)據(jù)采集

數(shù)據(jù)采集通常包含數(shù)據(jù)獲取、數(shù)據(jù)過濾和數(shù)據(jù)清洗。本文件僅對檢測程序中使用的數(shù)據(jù)類型進行

規(guī)定，數(shù)據(jù)獲取的方法和程序均不在本文件的描述范圍內(nèi)，任何應對個人敏感信息數(shù)據(jù)采用的加密保

護、脫敏處理技術(shù)或手段，如匿名化等，也不在本文件的描述范圍內(nèi)。

基于從不同來源采集的數(shù)據(jù)和信息，本章對網(wǎng)絡(luò)安全異常行為檢測機制中使用的數(shù)據(jù)類型進行了

定義，包括：狀態(tài)數(shù)據(jù)、控制數(shù)據(jù)和情報數(shù)據(jù)，具體內(nèi)容見表1。

表1數(shù)據(jù)類型

類型子類型數(shù)據(jù)來源數(shù)據(jù)示例

內(nèi)容提供方或服務(wù)提供方信息數(shù)據(jù)

應用/服務(wù)數(shù)據(jù)地圖服務(wù)數(shù)據(jù)導航、定位

移動應用數(shù)據(jù)應用相關(guān)數(shù)據(jù)

安全系統(tǒng)ABS、安全氣囊、AEB、ADAS

車身系統(tǒng)門、窗、雨刷

車輛狀態(tài)

狀態(tài)數(shù)據(jù)a底盤系統(tǒng)扭矩，拐角

動力系統(tǒng)速度、轉(zhuǎn)速、節(jié)流閥、檔位

雷達毫米波雷達

LiDAR點云

環(huán)境傳感器超聲傳感器距離

攝像頭周圍環(huán)境圖像

ITS傳感器路邊設(shè)施標志

本地控制車輛內(nèi)控制器開門、關(guān)門

控制數(shù)據(jù)b

遠程控制自動化、遠程信息處理遠程診斷

內(nèi)部情報數(shù)據(jù)安全性研究、測試結(jié)果漏洞、缺陷、內(nèi)部網(wǎng)絡(luò)安全事件

情報數(shù)據(jù)c客戶、供應商、社區(qū)、會議/文

外部共享情報數(shù)據(jù)IP地址、哈希值、URL、域名、CVE等。

獻、網(wǎng)絡(luò)

a與智能交通系統(tǒng)中的車輛、應用、服務(wù)、傳感器和其他設(shè)施的狀態(tài)相關(guān)的數(shù)據(jù)和信息。

b用于控制智能交通系統(tǒng)中車輛、應用、服務(wù)、傳感器和其他設(shè)施的數(shù)據(jù)和信息。

c從智能交通系統(tǒng)外部獲得的與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)和信息。假設(shè)數(shù)據(jù)源的完整性適當。

7檢測

7.1概述

檢測模塊主要由數(shù)據(jù)選擇、檢測引擎和優(yōu)化子模塊組成，如圖2所示。基于數(shù)據(jù)和信息的不同來源，

檢測引擎使用大數(shù)據(jù)分析識別網(wǎng)絡(luò)安全異常行為。優(yōu)化模塊通過異常行為數(shù)據(jù)來優(yōu)化數(shù)據(jù)選擇并使檢

測引擎模塊的異常行為檢測更加準確和高效。

3

GB/T×××××—××××

圖2檢測程序

7.2數(shù)據(jù)選擇

數(shù)據(jù)選擇模塊根據(jù)檢測方法的要求將數(shù)據(jù)分為不同的數(shù)據(jù)集，見圖3。數(shù)據(jù)選擇模塊的輸入是來自

數(shù)據(jù)采集系統(tǒng)的數(shù)據(jù)。

圖3數(shù)據(jù)選擇程序

7.3檢測引擎

7.3.1概述

檢測引擎由兩個子模塊組成：檢測方法和決策。當數(shù)據(jù)集進入檢測方法子模塊時，檢測方法會將

其轉(zhuǎn)化為行為特征。決策子模塊基于行為特征做出決策。有三種不同類型的決策結(jié)果：異常、可疑、

4

GB/T×××××—××××

正常。異常是指檢測到明確的異常行為；可疑是指無法確定數(shù)據(jù)是異常的還是安全的；正常是指沒有

從數(shù)據(jù)中檢測到任何異常行為。

7.3.2檢測方法

概述

檢測方法子模塊內(nèi)可包含了多個不同的檢測方法。基于第6章中分類的數(shù)據(jù)類型，本文件列出了四

種方法進行網(wǎng)絡(luò)安全異常行為檢測。這些方法的使用案例見附錄A。

狀態(tài)鏈檢測

狀態(tài)鏈包含一系列相關(guān)聯(lián)的狀態(tài)數(shù)據(jù)。在狀態(tài)鏈中，一個數(shù)據(jù)的改變會導致其他數(shù)據(jù)同時改變。

描述狀態(tài)變化的狀態(tài)流特點如下：

——節(jié)點：智能交通系統(tǒng)中與某一動作相關(guān)的服務(wù)或應用；

——流程：一個動作所產(chǎn)生的數(shù)據(jù)變化的方向和路徑。

狀態(tài)數(shù)據(jù)在智能交通系統(tǒng)中生成，可用這些數(shù)據(jù)創(chuàng)建上下文。數(shù)據(jù)值也遵循一定的趨勢，并在一

定范圍內(nèi)波動。

狀態(tài)鏈可分為單鏈和分支兩種模式。這兩種模式如下：

——單鏈模式：每個節(jié)點只有一個接收其信號的節(jié)點；

——分支模式：一個節(jié)點同時生成兩個或多個狀態(tài)數(shù)據(jù)，再將其發(fā)送到不同的節(jié)點。

在狀態(tài)鏈的單鏈模式中，節(jié)點只有單向連接。見圖4。

圖4狀態(tài)鏈的單鏈模式

在狀態(tài)鏈的分支模式中，節(jié)點可以分為兩個或多個相關(guān)的單鏈模式。見圖5.

圖5狀態(tài)鏈的分支模式

因此，每個節(jié)點的特征包括：

——狀態(tài)鏈中的上下文；

——每個節(jié)點的值和趨勢。

從狀態(tài)鏈中的節(jié)點獲取特征，然后將其發(fā)送到?jīng)Q策模塊。

5

GB/T×××××—××××

控制流檢測

控制流包含一系列相關(guān)的控制數(shù)據(jù)。在控制流中，一個控制命令可由多個子控制命令組成，影響

多個系統(tǒng)。

描述控制命令執(zhí)行的控制流特點如下：

——節(jié)點：智能交通系統(tǒng)中與某一動作相關(guān)的服務(wù)或應用；

——流程：一個動作所產(chǎn)生的數(shù)據(jù)變化的方向和路徑。

當一個控制動作進行時，與控制相關(guān)的數(shù)據(jù)將通過相關(guān)的節(jié)點并形成一個控制流。

智能交通系統(tǒng)中的每個控制節(jié)點都穩(wěn)定而有規(guī)律地工作。當許多節(jié)點一起工作時，由于規(guī)定的周

期、確定的消息類型和數(shù)量，所以控制流的行為也是穩(wěn)定的。

控制流可分為單鏈和分支兩種模式，具體如下：

——單鏈模式：每個節(jié)點只有一個接收其信號的節(jié)點；

——分支模式：一個節(jié)點同時生成兩個或多個控制數(shù)據(jù)，然后將其發(fā)送到不同的節(jié)點。

在控制流的單鏈模式中，節(jié)點只有單向連接。見圖6。

圖6控制流的單鏈模式

在控制流的分支模式中，節(jié)點可以分為兩個或多個相關(guān)的單鏈模式。見圖7

圖7控制流的分支模式

時間序列檢測

時間序列數(shù)據(jù)是指隨某種時間規(guī)律而變化的數(shù)據(jù)，例如CAN消息。這樣的數(shù)據(jù)可以使用時間序列檢

測。

時間序列數(shù)據(jù)的變化趨勢有四種類型：

——趨勢：數(shù)據(jù)隨時間或自變量變化，表現(xiàn)出相對緩慢和長期的趨勢，具有連續(xù)上升、下降或保

持不變的性質(zhì)，但變化幅度可能不相等；

——周期性：一個因素隨著時間的推移逐漸顯示出重復的特性，包括波峰和波谷；

——隨機性：數(shù)據(jù)是隨機變化的，但總體情況是可統(tǒng)計的；

——疊加：實際變化是多個變化的疊合或組合。

6

GB/T×××××—××××

時間序列行為的特點如下：

——節(jié)點：智能交通系統(tǒng)中與時間序列數(shù)據(jù)相關(guān)的服務(wù)或應用；

——流程：表示時間順序。

可以用一種或多種類型的時間序列數(shù)據(jù)來建立數(shù)據(jù)模式，用于發(fā)現(xiàn)網(wǎng)絡(luò)安全異常行為。時間序列

的單鏈模式見圖8。

圖8時間序列的單鏈模式

關(guān)聯(lián)情報檢測

對于關(guān)聯(lián)情報檢測方法，可以直接或間接檢測網(wǎng)絡(luò)安全異常行為，因此，關(guān)聯(lián)情報數(shù)據(jù)可以分為

兩類：直接關(guān)聯(lián)情報和間接關(guān)聯(lián)情報。

直接關(guān)聯(lián)情報：可基于該情報直接檢測網(wǎng)絡(luò)安全異常行為，例如外部漏洞報告、內(nèi)部網(wǎng)絡(luò)安全研

究和常見漏洞披露。

間接關(guān)聯(lián)情報：基于這種情報不能直接檢測到網(wǎng)絡(luò)安全異常行為，因為這種情報用于描述正常事

件，例如，錯誤修復、新功能發(fā)布、軟件更新和芯片更換。將間接關(guān)聯(lián)情報與采集到的其他數(shù)據(jù)相結(jié)

合，可以檢測出網(wǎng)絡(luò)安全異常行為。

7.3.3決策

決策模塊中的決策程序見圖9。

圖9決策程序

決策子模塊用于確定檢測方法的結(jié)果，包括兩個功能：評分和人工分析。評分功能通過行為特征

確定數(shù)據(jù)類型，然后對其進行評分。如果網(wǎng)絡(luò)安全異常行為（如劫持或篡改攻擊）發(fā)生，它就會偏離

7

GB/T×××××—××××

穩(wěn)定基準線。如果分數(shù)不能達到正常或異常的閾值，則被歸類為可疑。然后，分析人員將介入并幫助

做出決定，直到分數(shù)達到正常或異常數(shù)據(jù)的閾值。

7.4優(yōu)化

7.4.1概述

優(yōu)化是一個反饋模塊，它從檢測引擎接收數(shù)據(jù)，并使用這些數(shù)據(jù)來優(yōu)化檢測引擎模塊、數(shù)據(jù)選擇

模塊和數(shù)據(jù)采集模塊。見圖10。

圖10優(yōu)化程序

7.4.2優(yōu)化檢測引擎

特征是流程中被傳輸數(shù)據(jù)的關(guān)鍵值。在網(wǎng)絡(luò)安全異常行為檢測開始時，穩(wěn)定基準線是由正常環(huán)境

中的正常特征生成的，穩(wěn)定基準線可用來進行評分功能的初始化。

檢測引擎通過優(yōu)化模塊輸出的結(jié)果進行自我。增加、修改或刪除檢測方法，以提高檢測效率；評

分功能也通過增加從人工分析中獲得的新知識得到優(yōu)化。

7.4.3優(yōu)化數(shù)據(jù)選擇

通過增加、修改或刪除數(shù)據(jù)集以提高檢測準確度。

7.4.4優(yōu)化數(shù)據(jù)采集

通過增加、修改或刪除采集到的數(shù)據(jù)以提高檢測準確度。

8

GB/T×××××—××××

A

附錄A

（資料性）

不同檢測方法的使用案例

本附錄提供按照7.3.2中的不同檢測方法檢測網(wǎng)絡(luò)安全異常行為的使用案例。

A.1狀態(tài)鏈案例

這是所述的狀態(tài)鏈檢測案例。

車輛配有一個TCU，用于訪問互聯(lián)網(wǎng)。TCU不是一直在運行，它在車輛發(fā)動機停止后會切換到低功

耗模式以節(jié)省功耗。在進入低功耗模式之前，它將車輛狀態(tài)發(fā)送到后端服務(wù)的車輛網(wǎng)關(guān)，車輛網(wǎng)關(guān)將

該狀態(tài)同步到TCU狀態(tài)緩存。命令服務(wù)從TCU狀態(tài)緩存中獲取該狀態(tài)。當用戶向其車輛發(fā)送命令時，命

令服務(wù)根據(jù)TCU狀態(tài)做出反應。如果TCU處于低功耗模式，命令服務(wù)會向喚醒服務(wù)發(fā)送請求，喚醒服務(wù)

則會喚醒TCU。圖A.1為正常行為的狀態(tài)鏈。表A.1列出了該案例所涉及的狀態(tài)數(shù)據(jù)。

圖A.1正常行為的狀態(tài)鏈

攻擊者嘗試修改TCU狀態(tài)，觀察命令服務(wù)表現(xiàn)出來的不同行為，這時TCU狀態(tài)緩存和車輛網(wǎng)關(guān)之間

將會出現(xiàn)差異。

在這種情況下，狀態(tài)鏈檢測可通過比較車輛網(wǎng)關(guān)中的車輛狀態(tài)和TCU狀態(tài)緩存中的TCU狀態(tài)來檢測

網(wǎng)絡(luò)安全異常行為。如果其狀態(tài)不同，這即是一種網(wǎng)絡(luò)安全異常行為。車輛行駛時TCU不可能處于低功

耗模式。

表A.1車輛駕駛狀態(tài)數(shù)據(jù)

節(jié)點數(shù)據(jù)

車輛網(wǎng)關(guān)車輛狀態(tài)

TCU狀態(tài)緩存TCU狀態(tài)

命令服務(wù)TCU狀態(tài)

A.2控制流案例

9

GB/T×××××—××××

這是的控制流檢測案例。

當用戶通過安裝在智能手機上的移動端應用程序觸發(fā)遠程車輛控制功能時，移動端應用程序?qū)⑸?/p>

成一條操作日志，并向后端API服務(wù)發(fā)送請求，API服務(wù)將在訪問日志中記錄這一請求。API服務(wù)預處理

該請求，并將其轉(zhuǎn)發(fā)至車輛終端，例如：TCU。TCU將會調(diào)用MCU的收發(fā)器向相關(guān)執(zhí)行器發(fā)送命令。最后，

執(zhí)行器將執(zhí)行來自用戶側(cè)的控制命令。見圖A.2。表A.2列出了該案例涉及的控制數(shù)據(jù)。

圖A.2正常行為控制流

在這個案例中，只有當API服務(wù)發(fā)出請求時，TCU才會向MCU發(fā)送消息。如果從異常路徑調(diào)用MCU，

則移動端應用程序和API服務(wù)中不會有操作日志，這樣就可以檢測到網(wǎng)絡(luò)安全異常行為。

表A.2遠程信息處理控制數(shù)據(jù)

節(jié)點數(shù)據(jù)

移動端應用程序操作日志數(shù)據(jù)

API服務(wù)訪問日志數(shù)據(jù)

TCU已接收數(shù)據(jù)

MCU調(diào)用日志數(shù)據(jù)

執(zhí)行器執(zhí)行器日志數(shù)據(jù)

A.3時間序列案例

這是的時間序列檢測案例。

在這種情況下，TCU定期向后端服務(wù)發(fā)送車輛的位置。見表A.3。

表A.3位置的正常時間序列

緯度(°)時間間隔(s)

39.955810.55986025

39.957510.31913323

39.958410.43919862

39.954410.30746466

39.957510.32827192

39.951210.57980698

39.952110.46973964

39.950810.19287634

39.953910.10935587

39.958510.11003779

10

GB/T×××××—××××

如果GNSS傳感器受到了欺騙干擾，位置信息和間隔將與此前數(shù)據(jù)有明顯的差異。見表A.4。

表A.4位置的網(wǎng)絡(luò)安全異常行為時間序列

緯度(°)時間間隔(s)

39.955810.55986025

39.957510.31913323

39.958410.43919862

39.954410.30746466

45.95755.32827192

39.95125.57980698

39.952110.46973964

39.950810.19287634

39.953910.10935587

39.958510.11003779

表A.5列出了該案例涉及的時間序列數(shù)據(jù)。

表A.5傳感器時間序列數(shù)據(jù)

節(jié)點數(shù)據(jù)

經(jīng)緯度

后端服務(wù)

時間間隔

A.4關(guān)聯(lián)情報檢測案例

提供了兩種關(guān)聯(lián)情報的檢測方法，此處各提供了一個關(guān)聯(lián)情報檢測案例。

A.4.1直接關(guān)聯(lián)情報檢測案例

基于直接關(guān)聯(lián)情報檢測網(wǎng)絡(luò)安全異常行為是最簡單的。所有形式的直接關(guān)聯(lián)情報都直接指向網(wǎng)絡(luò)

安全異常行為，例如，IP地址、域名、URL、內(nèi)部網(wǎng)絡(luò)安全研究和外部漏洞報告。這些數(shù)據(jù)中的任何一

個都包含檢測網(wǎng)絡(luò)安全異常行為的直接特征。

表A.6列出了該案例涉及的直接關(guān)聯(lián)情報數(shù)據(jù)。

表A.6直接關(guān)聯(lián)情報檢測數(shù)據(jù)

節(jié)點數(shù)據(jù)

IP地址

車載信息娛樂系統(tǒng)URL

域名

外部漏洞報告

情報數(shù)據(jù)庫

內(nèi)部網(wǎng)絡(luò)安全研究

A.4.2間接關(guān)聯(lián)情報檢測案例

間接關(guān)聯(lián)情報不能獨立用于網(wǎng)絡(luò)安全異常行為檢測，但可以與其他情報來源結(jié)合使用。在某些情

況下，單個漏洞無法被利用，但攻擊者可使用多個漏洞構(gòu)建攻擊鏈來實現(xiàn)利用。例如，并不是每個供

應商都修復漏洞以防止其被利用。當檢測引擎收到關(guān)于[b-CVE-2017-1