基于拓扑的信任评级实现的车载异常检测框架

抽象

现代车辆配备了许多车载组件，这些组件通过远程通信和服务（例如蓝牙和车辆到基础设施的通信）与外部环境进行交互。这些组件形成一个网络，交换信息以确保车辆的正常运行。但是，虚假或捏造信息的存在可能会破坏车辆的性能。鉴于这些组件是互连的，错误数据可以在整个网络中传播，从而可能影响其他组件并导致灾难性后果。为了解决这个问题，我们提出了 TrustConnect，这是一个框架，旨在通过评估各种网络配置下各个组件的信任级别来评估车辆车载网络的可信度。所提出的框架利用车辆所有组件的相互依赖关系，以及它们值的相关性，以及基于每个组件的外部暴露的远程喷射漏洞，来确定车载网络的可靠性。所提出的框架的有效性已经通过在各种场景中进行的编程模拟得到了验证，使用由 Python 中的 Networkx 包生成的车载网络图的随机分布。

索引术语：

当今的现代车辆配备了许多电子控制单元 （ECU），用于管理和执行对车辆运行至关重要的各种功能[1].这些 ECU 监督自动驾驶、信息娱乐、安全功能和驾驶员辅助等基本系统，这些系统对乘客的整体舒适度和安全性做出了重大贡献。车辆内的 ECU 形成一个复杂的网络，通常称为车载网络，它通过控制器局域网 （CAN） 总线等协议促进通信和信息交换。 由于其稳定性而成为车载通信的标准 和成本效益[2].

许多 ECU 通过蓝牙、5G 和其他互联网服务暴露在远程连接中，这增加了恶意行为者远程注入攻击的风险[3][4].这些攻击利用了车辆系统中的漏洞[5]，正如几位研究人员所证明的那样，具有产生重大影响的潜力[6][7].2020 年的一份报告揭示了几个可能允许远程控制梅赛德斯-奔驰汽车的漏洞[8].导致远程注入攻击成功的一个主要因素是缺乏通过 CAN 总线传输的信息的身份验证机制[9].鉴于现代车辆的广泛连接性，包括众多传感器、执行器和 ECU，确保每个组件数据的可靠性至关重要。任何单个 ECU 中的故障或安全漏洞都可能传播到整个网络中，可能会影响其他组件并导致灾难性故障。随着车辆越来越依赖复杂的互连系统，评估和维护这些网络内交换的数据的完整性和可信度至关重要，以防止此类漏洞损害车辆的安全性和功能。

在这个方向上，研究人员投入了大量精力来开发框架来检测车载网络内的入侵或异常。常见方法包括机器学习/深度学习模型[10]、基于签名/序列系统[11][12]、基于频率/时间的系统[13]，所有这些都旨在过滤掉异常数据或检测入侵。这些方法还可用于创建一个框架，以评估网络内各种 ECU 的可信度。但是，这些方法中的每一种都有其局限性。基于机器学习的模型的一个主要缺点是资源消耗高，这对于车载网络来说通常是不可行的。基于签名的系统面临的问题是 ECU 具有一组固定的输出，但不考虑这些输出的时间，这使得它们在远程注入期间容易受到攻击者的重放攻击。同样，基于频率和时间的系统侧重于 ECU 生成消息的时间间隔，但攻击者可以利用这些时间间隔来欺骗系统。

在本文中，我们介绍了 TrustConnect，这是一个框架，旨在通过评估单个 ECU（电子控制单元）的信任来评估车载网络的可信度。ECU 表示为有向图，可以根据每个 ECU 与网络中其他 ECU 的关系来评估每个 ECU 的信任度。此外，考虑到远程注入攻击的影响，我们考虑了与远程暴露相关的潜在风险，这些攻击可能会破坏单个 ECU 的信任并损害网络的整体完整性。本文的主要贡献如下：

• • 

  提出了一种新的信任框架，通过计算网络内各种 ECU 的单个信任级别来确定车载网络的可信度。所提出的模型不依赖于预定义的规则或签名来识别 ECU 中的异常数据。相反，网络的信任基于不同 ECU 在特定时间点生成的数据的快照。

大量研究致力于通过基于各种策略设计入侵检测系统 （IDS） 来过滤异常数据。Jin 等人提出了一种基于签名的 IDS[14]，它利用消息 ID、时间、关联、上下文和值范围等因素。尽管相关方法考虑了不同组件之间的关系，但它不考虑每个组件的相对权重或重要性。此限制允许攻击者利用更易受攻击的系统来欺骗防御者，使其认为不易受攻击的系统已受到威胁。当来自较不易受攻击的 ECU 的数据与来自更易受攻击的 ECU 的数据相关联时，可能会发生这种情况，从而误导检测系统。

Xiao 等人提出了一种类似的基于相关性的异常检测系统。[15]，它利用了 Graph Neural Networks。他们的系统有效地利用流量字节变化与其他流量字节状态之间的关联来识别异常。但是，与早期方法一样，该系统不考虑每个组件的不同脆弱性，这可能会限制其在某些情况下的有效性。

Tahsin 等人提出了一种异常检测系统[16]它根据车载网络内的消息序列检测异常数据。虽然这种方法在某些情况下有效，但在多点注入攻击的情况下却很困难。在这种情况下，攻击者可以同时注入模拟来自多个 ECU 的数据的消息，在插入捏造数据的同时保留序列，从而逃避检测。

与一些常用策略不同，我们提出的框架 TrustConnect 利用车载网络中不同 ECU 的相互依赖关系以及每个 ECU 的脆弱性因素来评估整个网络的整体稳健性。TrustConnect 增强了系统的抵御能力，当攻击者以最易受攻击的组件为目标时，攻击者会传播攻击，使不太易受攻击的组件看起来受到威胁。此外，该框架非常重视每个 ECU 的外部暴露，以确定其可信度。这意味着，即使一个高度连接且风险最小且与网络内易受攻击的 ECU 相关联，也不会因为其组件中注入的数据而自动标记为异常。

在我们提出的模型中，我们假设某些 ECU 比其他 ECU 更容易受到外部环境的影响。与外部世界的连接越遥远，远程注入攻击的可能性就越高。此可能性由一个值表示，表示为ε⁢i，对于给定的 ECUℰ⁢i.较高的ε⁢i表示与外界的联系更强，从而增加了受到远程注入攻击的漏洞。

在所提出的框架中，由各种 ECU 组成的车载网络表示为有向图，如图 2 所示。此图形是有序对，表示为(𝒱,ℰ)哪里𝒱是车载网络中所有 ECU 的集合，而ℰ连接任意两个 ECU 的边集，ℰ⁢i和ℰ⁢j.边 /ℰ⁢i→ℰ⁢j表示ℰ⁢i可以通过以下方式推断ℰ⁢j;换句话说，ℰ⁢i取决于ℰ⁢j.随后，我们利用车载网络内 ECU 之间的这些依赖关系来计算每个 ECU 的信任分数，以及整个网络的总体信任分数。 weight 参数

适用于任何边缘ℰ⁢i→ℰ⁢j、ℰ⁢j为ℰ⁢i分别在方程 1 和 2 中给出。

根据等式 1，𝒟⁢i,j表示从ℰ⁢i以及ℰ⁢j计算ℰ⁢i应该在给定的时间点。主要目标𝒟⁢i,j是量化给定 ECU 之间读数的偏差，ℰ⁢i、其相邻的 ECU、ℰ⁢j在哪个ℰ⁢i取决于。k被认为是一个降低ℰ⁢j上ℰ⁢i根据值偏差，如方程 1 中计算。

weight 参数𝒲⁢i,j表示计算值的变化ℰ⁢j为ℰ⁢i当边缘ℰ⁢i→ℰ⁢j存在。的作用𝒲⁢i,j是为了增强对ℰ⁢i相对于所有其他ℰ⁢js，同时也会放大可能存在的任何偏差。在以下情况下可能会出现这些偏差ℰ⁢j计算ℰ⁢i根据其推断值，进一步影响 Weight 参数的影响。

每个ℰ⁢i，表示为𝒯⁢E(i)使用方程 3 计算。根据这个方程，对于每个ℰ⁢j哪里ℰ⁢i→ℰ⁢j存在，则ε⁢j与常数α，这给远程注射的可能性提供了更大的权重。此外，术语𝒞⁢(ℰ⁢j)包含在等式中。当ℰ⁢j可用，𝒞⁢(ℰ⁢j)替换为𝒯⁢(ℰ⁢j).因此，信任分数𝒯⁢(ℰ⁢i)为ℰ⁢i使用公式 2 中确定的每种ℰ⁢i→ℰ⁢j关系。

所提出的框架的性能已经使用 python 在不同场景中进行了测试。 我们使用了 NetworkX 软件包[17]随机生成车载网络的依赖图。使用具有 20 个节点的图表对所提出的框架进行评估，其中每个节点代表一个 ECU，并建立随机连接，如图 1 所示。

在我们对各种值组合的实验中，我们建立了三个关键评估指标：基线信任值、信任值和 ECU 调整后的信任值。的基准信任值ℰ⁢i表示网络中没有远程注入，并且从ℰ⁢i和计算方式ℰ⁢j为ℰ⁢i在任何ℰ⁢i→ℰ⁢j连接。的 Trust 值ℰ⁢i是 other 计算的值之和ℰ⁢js，其中ℰ⁢i→ℰ⁢j连接存在于车载网络图中，如公式 3 所示。ECU 调整后的信任值为ℰ⁢i表示调整后的信任分数，如公式 4 所示，该分数是在考虑了 ECU 远程喷射的可行性后计算得出的，由参数ε⁢i（在我们的评估中考虑了随机分布，如图 2 所示。3） 和等式 3 中计算的信任分数。

哪里E⁢一个⁢T⁢V,B⁢T⁢V是基准信任值和 ECU 调整后的信任值ℰ⁢i分别。

上一节中讨论的评估指标的不同组合以及k如等式 2 和α（表示为 a）中的公式 3 如图 3 所示。4.

从图3，很明显，ECU、E5、E13 和 E18 被攻击的可能性很低，或者换句话说，它们对远程注入表现出更大的弹性。此外，E5、E13 和 E18 的连接性相对较低，分别有 3、4 和 4 个边沿，如图 2 中的车载网络所示。由于这种相对较低的连接性，这些节点的基准信任值（在所有k和α（在图 4 中以“a”表示）仍然相对较低。在图 4 中的所有各种组合中也可以观察到，E5、E13 和 E18 的 ECU 调整后信任值与它们的基线信任值几乎相同，尽管基于其他连接 ECU 的信任值较低。之所以会出现这种结果，是因为与每个 ECU 相连的 ECU 表现出远程注入攻击的可能性要高得多，与攻击可能性较低的 ECU 相比，这降低了来自更容易受到注入攻击的 ECU 的信息的可靠性。因此，通过使用等式 4，ECU 调整后的信任值仍然相对接近基线信任值。相比之下，E2 和 E9 的基线信任值和 ECU 调整后的信任值之间的差异明显更大（如图 4 所示）。这种差异归因于 E2 和 E9 上远程注入攻击的可能性相对较高（如图 3 所示）。E2 连接到 E5、E17、E1、E11、E4 和 E13，其中 E5、E13 和 E17 远程注入的几率要低得多。因此，如果数据计算存在任何差异，拟议的框架可以将 E2 标记为潜在的攻击源，从而保证进一步调查以识别系统中的任何其他漏洞。 因此，从拟议的框架中可以注意到，即使是不同的 ECU 暴露在外界，在决定是否有远程注入的机会方面也起着重要作用。如果多个易受攻击的组件连接到一个弹性组件，如上面的 E18、E13 和 E5 示例所示，则可能不需要立即进行调查。在攻击者可能故意试图通过编造一个虚假场景来欺骗系统的情况下，这增强了框架的弹性，在该场景中，弹性组件似乎受到了攻击，而连接到弹性组件的实际受损组件却被忽略了。但是，需要注意的是，如果有足够数量的 ECU 与其读数相矛盾，或者如果高弹性 ECU 彼此相矛盾，系统可能会降低弹性 ECU 的分数。在这种情况下，可以设计入侵检测系统 （IDS） 来触发调查。这样的 IDS 可以设计为在矛盾 ECU 的阈值或频率超过一定水平时触发调查。IDS 将同时考虑相互矛盾的 ECU 的数量以及相互矛盾的 ECU 对远程注入攻击的弹性，从而能够更全面地评估整个车载网络的数据完整性。

从图 4 中的结果中还可以观察到，衰减率k，在等式 2 中定义的信任计算中，对信任值的影响最小。这是因为k在实验中相对较小，因此对它的任何更改都只会导致对整体信任值产生很小的影响。此限制的一个潜在解决方案可能是考虑k或者将对方程 1 应用对数函数以放大距离，尽管这种方法超出了本研究的范围。此外，α（在图 4 中通过子图 a-p 表示为“a”）会显著影响每个 ECU 的信任值。这是由于远程注入概率的放大，ε，对于等式 3 中每个连接的 ECU，这反过来又会导致所有相关 ECU 的 3 个值发生变化。

在本文中，我们提出了一个信任框架，该框架根据车载网络中各个 ECU 与外部世界的连接性来评估它们的可信度。通过利用车载网络内 ECU 的互连性，该框架可以确定 ECU 容易受到攻击的脆弱性，同时考虑其所连接的 ECU 的连接性。考虑到 ECU 在网络内的连接性，该框架对于分析和研究远程注入攻击的范围和传播非常有效。此外，所提出的框架可用于设计高效的入侵检测系统 （IDS），该系统不依赖于统计数据、从 ECU 接收的信息频率或任何可能被攻击者利用来重放或纵网络内通信的数据签名。该框架还可以帮助识别车载系统中的可靠性问题，即使攻击者利用来自特定 ECU 的数据模式或纵注入数据的频率。