ChinaAutoRegs|GB/T英文版翻译 车联网网络安全异常行为检测机制(英语版)
Security-related misbehavior detection mechanism for connected vehicles
1 范围
本文件提供了一种针对车联网网络安全异常行为的检测机制的建议。该机制包括以下步骤: 本文件适用于车联网,目的是方便设计人员和安全解决方案提供方检测网络安全异常行为。数据
获取的方法和程序及通知模块的使用不在本文件的范围内。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
异常行为 misbehaviour 提供虚假或误导性数据的行为,以妨碍其他服务接受者或超出其授权范围的方式运作。异常行为
可能来自车辆系统的内部或外部组件。 [来源:ISO/TR 17427-4:2015]
注:异常行为包括有意或无意的错误消息类型或频次、无效登录和未经授权的访问,或不正确的签名或加密消息 等可疑行为。
3.2
数据采集 data capture 从不同来源采集用于网络安全异常行为检测的不同类型数据,数据源包括汽车、基础设施、OEM及
其供应商。
3.3
检测 detection 基于采集到的数据进行网络安全异常行为发现。
4 缩略语
下列缩略语适用于本文件。
ABS:防滑制动系统(Anti-skid Braking System)
ADAS:先进驾驶辅助系统(Advanced Driver-Assistance Systems)
AEB:自动紧急制动(Autonomous Emergency Braking)
API:应用程序编程接口(Application Programming Interface)
CAN:控制器局域网(Controller Area Network)
CVE:通用漏洞披露(Common Vulnerabilities and Exposures)
GNSS:全球导航卫星系统(Global Navigation Satellite System)
IP:互联网协议(Internet Protocol)
ITS:智能交通系统(Intelligent Transportation System)
LiDAR:光探测和测距(Light Detection and Ranging) MCU:微控制单元(Microcontroller Unit)
OEM:原始设备制造商(Original Equipment Manufacturer)
TCU:远程信息处理控制单元(Telematics Control Unit)
URL:统一资源定位符(Uniform Resource Locator)
5 网络安全异常行为检测机制模型
图1给出了车联网的网络安全异常行为检测机制模型。该机制包括数据采集和检测两个步骤,这两 个步骤由两个系统实现。
由于数据获取方法和程序(例如:数据过滤和数据清理)不在本文件的范围内,因此图1中的数据 采集系统只是网络安全异常行为检测实际实施的参考示例。
来自数据采集系统的数据被发送至检测系统,且采集到的数据根据第6章中描述的类型进行处理。 数据采集系统包含以下模块:
a) 数据获取:获取不同来源(如服务提供方、车身系统和传感器)的检测数据; b) 数据过滤:根据数据分类过滤采集到的数据;
c) 数据清洗:对采集到的数据进行重复数据删除和降噪处理。 检测系统包含以下模块:
a) 数据选择:基于不同的网络安全异常行为检测方法选择数据集,再将其发送至检测引擎; b) 检测引擎:根据检测方法检测网络安全异常行为,再将决策结果发送至优化和通知模块; c) 优化:使用来自检测引擎的检测结果改进数据选择、检测引擎和数据获取模块。 通知模块将检测引擎的输出信息发送给关联方,该模块不在本文件的范围内。
6 数据采集
数据采集通常包含数据获取、数据过滤和数据清洗。本文件仅对检测程序中使用的数据类型进行 规定,数据获取的方法和程序均不在本文件的描述范围内,任何应对个人敏感信息数据采用的加密保 护、脱敏处理技术或手段,如匿名化等,也不在本文件的描述范围内。
基于从不同来源采集的数据和信息,本章对网络安全异常行为检测机制中使用的数据类型进行了 定义,包括:状态数据、控制数据和情报数据,具体内容见表1。
7 检测
7.1 概述
检测模块主要由数据选择、检测引擎和优化子模块组成,如图2所示。基于数据和信息的不同来源, 检测引擎使用大数据分析识别网络安全异常行为。优化模块通过异常行为数据来优化数据选择并使检 测引擎模块的异常行为检测更加准确和高效。
7.2 数据选择
数据选择模块根据检测方法的要求将数据分为不同的数据集,见图3。数据选择模块的输入是来自 数据采集系统的数据。
7.3 检测引擎
7.3.1 概述
检测引擎由两个子模块组成:检测方法和决策。当数据集进入检测方法子模块时,检测方法会将 其转化为行为特征。决策子模块基于行为特征做出决策。有三种不同类型的决策结果:异常、可疑、
正常。异常是指检测到明确的异常行为;可疑是指无法确定数据是异常的还是安全的;正常是指没有 从数据中检测到任何异常行为。
7.3.2 检测方法
7.3.2.1 概述
检测方法子模块内可包含了多个不同的检测方法。基于第6章中分类的数据类型,本文件列出了四 种方法进行网络安全异常行为检测。这些方法的使用案例见附录A。
7.3.2.2 状态链检测
状态链包含一系列相关联的状态数据。在状态链中,一个数据的改变会导致其他数据同时改变。 描述状态变化的状态流特点如下:
——节点:智能交通系统中与某一动作相关的服务或应用;
——流程:一个动作所产生的数据变化的方向和路径。 状态数据在智能交通系统中生成,可用这些数据创建上下文。数据值也遵循一定的趋势,并在一
定范围内波动。 状态链可分为单链和分支两种模式。这两种模式如下:
——单链模式:每个节点只有一个接收其信号的节点;
——分支模式:一个节点同时生成两个或多个状态数据,再将其发送到不同的节点。 在状态链的单链模式中,节点只有单向连接。见图4。
7.3.2.3 控制流检测
控制流包含一系列相关的控制数据。在控制流中,一个控制命令可由多个子控制命令组成,影响 多个系统。
描述控制命令执行的控制流特点如下:
——节点:智能交通系统中与某一动作相关的服务或应用;
——流程:一个动作所产生的数据变化的方向和路径。 当一个控制动作进行时,与控制相关的数据将通过相关的节点并形成一个控制流。 智能交通系统中的每个控制节点都稳定而有规律地工作。当许多节点一起工作时,由于规定的周
期、确定的消息类型和数量,所以控制流的行为也是稳定的。 控制流可分为单链和分支两种模式,具体如下:
——单链模式:每个节点只有一个接收其信号的节点;
——分支模式:一个节点同时生成两个或多个控制数据,然后将其发送到不同的节点。 在控制流的单链模式中,节点只有单向连接。见图6。
7.3.2.4 时间序列检测
时间序列数据是指随某种时间规律而变化的数据,例如CAN消息。这样的数据可以使用时间序列检 测。
时间序列数据的变化趋势有四种类型:
——趋势:数据随时间或自变量变化,表现出相对缓慢和长期的趋势,具有连续上升、下降或保 持不变的性质,但变化幅度可能不相等;
——周期性:一个因素随着时间的推移逐渐显示出重复的特性,包括波峰和波谷;
——随机性:数据是随机变化的,但总体情况是可统计的;
——叠加:实际变化是多个变化的叠合或组合。
时间序列行为的特点如下:
——节点:智能交通系统中与时间序列数据相关的服务或应用;
——流程:表示时间顺序。 可以用一种或多种类型的时间序列数据来建立数据模式,用于发现网络安全异常行为。时间序列的单链模式见图8。
7.3.2.5 关联情报检测
对于关联情报检测方法,可以直接或间接检测网络安全异常行为,因此,关联情报数据可以分为 两类:直接关联情报和间接关联情报。
直接关联情报:可基于该情报直接检测网络安全异常行为,例如外部漏洞报告、内部网络安全研 究和常见漏洞披露。
间接关联情报:基于这种情报不能直接检测到网络安全异常行为,因为这种情报用于描述正常事 件,例如,错误修复、新功能发布、软件更新和芯片更换。将间接关联情报与采集到的其他数据相结 合,可以检测出网络安全异常行为。
7.3.3 决策
决策模块中的决策程序见图9。
决策子模块用于确定检测方法的结果,包括两个功能:评分和人工分析。评分功能通过行为特征 确定数据类型,然后对其进行评分。如果网络安全异常行为(如劫持或篡改攻击)发生,它就会偏离
稳定基准线。如果分数不能达到正常或异常的阈值,则被归类为可疑。然后,分析人员将介入并帮助 做出决定,直到分数达到正常或异常数据的阈值。
7.4 优化
7.4.1 概述
优化是一个反馈模块,它从检测引擎接收数据,并使用这些数据来优化检测引擎模块、数据选择 模块和数据采集模块。见图10。
7.4.2 优化检测引擎
特征是流程中被传输数据的关键值。在网络安全异常行为检测开始时,稳定基准线是由正常环境 中的正常特征生成的,稳定基准线可用来进行评分功能的初始化。
检测引擎通过优化模块输出的结果进行自我。增加、修改或删除检测方法,以提高检测效率;评 分功能也通过增加从人工分析中获得的新知识得到优化。
7.4.3 优化数据选择
通过增加、修改或删除数据集以提高检测准确度。
7.4.4 优化数据采集
通过增加、修改或删除采集到的数据以提高检测准确度。
附 录 A
(资料性) 不同检测方法的使用案例
本附录提供按照7.3.2中的不同检测方法检测网络安全异常行为的使用案例。
A.1 状态链案例
这是7.3.2.2所述的状态链检测案例。 车辆配有一个TCU,用于访问互联网。TCU不是一直在运行,它在车辆发动机停止后会切换到低功
耗模式以节省功耗。在进入低功耗模式之前,它将车辆状态发送到后端服务的车辆网关,车辆网关将 该状态同步到TCU状态缓存。命令服务从TCU状态缓存中获取该状态。当用户向其车辆发送命令时,命 令服务根据TCU状态做出反应。如果TCU处于低功耗模式,命令服务会向唤醒服务发送请求,唤醒服务 则会唤醒TCU。图A.1为正常行为的状态链。表A.1列出了该案例所涉及的状态数据。
攻击者尝试修改TCU状态,观察命令服务表现出来的不同行为,这时TCU状态缓存和车辆网关之间 将会出现差异。
在这种情况下,状态链检测可通过比较车辆网关中的车辆状态和TCU状态缓存中的TCU状态来检测 网络安全异常行为。如果其状态不同,这即是一种网络安全异常行为。车辆行驶时TCU不可能处于低功 耗模式。
A.2 控制流案例
这是7.3.2.3的控制流检测案例。 当用户通过安装在智能手机上的移动端应用程序触发远程车辆控制功能时,移动端应用程序将生
成一条操作日志,并向后端API服务发送请求,API服务将在访问日志中记录这一请求。API服务预处理 该请求,并将其转发至车辆终端,例如:TCU。TCU将会调用MCU的收发器向相关执行器发送命令。最后, 执行器将执行来自用户侧的控制命令。见图A.2。表A.2列出了该案例涉及的控制数据。
在这个案例中,只有当API服务发出请求时,TCU才会向MCU发送消息。如果从异常路径调用MCU, 则移动端应用程序和API服务中不会有操作日志,这样就可以检测到网络安全异常行为。
现成译文,到款即发。
任取样页验证译文质量。
提供正规增值税电子发票。
请联系手机/微信: 133-0649-6964/Email: standardtrans@foxmail.com 购买完整译文。
专业源于专注|ChinaAutoRegs 始终专注于汽车标准翻译领域!迄今为止已翻译上千个国内外汽车标准法规!独家打造千万级汽车专业术语库和记忆库。
Note:
This document in English is readily available, and delivered immediately upon payment.
You may request for sample pages to your preference before placing an order.
Please contact standardtrans@foxmail.com for the complete PDF in English.