前言：

隨著現(xiàn)代電子、通信和傳感器技術(shù)的快速進(jìn)步，汽車的電子電氣化程度變得越來(lái)越高，但這同時(shí)也引入了信息安全風(fēng)險(xiǎn)。HEAVENS被認(rèn)為是汽車行業(yè)內(nèi)出色的信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型，但是其評(píng)估工作量較大，依賴于足夠長(zhǎng)的時(shí)間和足夠強(qiáng)的專業(yè)能力。為了解決此問(wèn)題，本文提出采用BP神經(jīng)網(wǎng)絡(luò)來(lái)生成神經(jīng)網(wǎng)絡(luò)模型，用該模型來(lái)改進(jìn)HEAVENS評(píng)估計(jì)算方法，以實(shí)現(xiàn)節(jié)約時(shí)間和人力的目標(biāo)。經(jīng)仿真實(shí)驗(yàn)，采用本文提出的方法可以高效地實(shí)現(xiàn)安全風(fēng)險(xiǎn)評(píng)估。

01  介紹

伴隨著通信技術(shù)和移動(dòng)互聯(lián)網(wǎng)應(yīng)用的發(fā)展趨勢(shì)，車輛無(wú)線通信引入到汽車行業(yè)，帶來(lái)了智能汽車、聯(lián)網(wǎng)汽車的出現(xiàn)，給汽車行業(yè)帶來(lái)大量技術(shù)創(chuàng)新的同時(shí)，也使得汽車系統(tǒng)日趨復(fù)雜[1]。

復(fù)雜意味著脆弱。近年發(fā)生了很多汽車信息安全漏洞導(dǎo)致的事件，如2015年Jeep被黑客遠(yuǎn)程控制[2]，2016年日產(chǎn)汽車被發(fā)現(xiàn)可以通過(guò)缺陷的API來(lái)控制車輛的一些重要功能[3]，2017年騰訊KeenLabs通過(guò)診斷接口遠(yuǎn)程控制Tesla的制動(dòng)系統(tǒng)[4]，等等不贅述。

為了克服汽車面臨的信息安全問(wèn)題，汽車業(yè)界內(nèi)投入了越來(lái)越多的精力。2018年底發(fā)布的ISO-26262第二版提出了功能安全（Safety）與信息安全（Cybersecurity）交互的指導(dǎo)意見(jiàn)[5]；2020年發(fā)布的ISO-21434在SAE J3061的基礎(chǔ)上從實(shí)施層面進(jìn)行了指導(dǎo)，從風(fēng)險(xiǎn)評(píng)估管理、產(chǎn)品開(kāi)發(fā)、生產(chǎn)/運(yùn)行/維護(hù)、流程審核等四個(gè)方面來(lái)保障汽車信息安全工程實(shí)施，要求汽車及附屬產(chǎn)品的信息安全在產(chǎn)品開(kāi)發(fā)和整個(gè)供應(yīng)鏈的設(shè)計(jì)中都要實(shí)現(xiàn)對(duì)安全性的共同理解[6]。

風(fēng)險(xiǎn)評(píng)估管理在汽車信息安全中作用十分關(guān)鍵，影響到后續(xù)的工作開(kāi)展。“HEAVENS”是HEAling Vulnerabilities to ENhance Software Security and Safety project的簡(jiǎn)稱，是歐洲提出的一種針對(duì)車輛電子電氣（E/E）系統(tǒng)的信息安全威脅分析和風(fēng)險(xiǎn)評(píng)估的方法、流程及工具支持[7]，可結(jié)構(gòu)化和系統(tǒng)化的方法發(fā)現(xiàn)潛在威脅。但HEAVENS有一個(gè)不足之處，在進(jìn)行TARA（Threat Analysis & Risk Assessment）時(shí)需要大量的評(píng)估和計(jì)算，耗費(fèi)的時(shí)間和人力比較多。

為了解決此問(wèn)題，本文提出應(yīng)用BP神經(jīng)網(wǎng)絡(luò)的方法生成神經(jīng)網(wǎng)絡(luò)模型參數(shù)，然后用生成的模型對(duì)HEAVENS的風(fēng)險(xiǎn)評(píng)估算法進(jìn)行改進(jìn)的方法。這種方法可以實(shí)現(xiàn)高效的風(fēng)險(xiǎn)評(píng)估結(jié)果，節(jié)約評(píng)估需要花費(fèi)的時(shí)間和人力。經(jīng)過(guò)仿真實(shí)驗(yàn)，本文提出的方法可靠有效。

02  HEAVENS安全模型評(píng)估安全風(fēng)險(xiǎn)

HEAVENS安全模型提出了一種系統(tǒng)的方法來(lái)推導(dǎo)汽車E/E系統(tǒng)的信息安全要求。考慮了目前最先進(jìn)的威脅分析和風(fēng)險(xiǎn)評(píng)估方法，采用3個(gè)步驟來(lái)分析安全需求，如下圖所示：


圖1 HEAVENS模型使用步驟

•  威脅分析

HEAVENS安全模型使用微軟提出的STRIDE方法[8]來(lái)進(jìn)行威脅分析。

STRIDE是一種結(jié)構(gòu)化和定性的安全方法，用于發(fā)現(xiàn)和枚舉軟件系統(tǒng)中存在的威脅，但是STRIDE方法的適用性已經(jīng)擴(kuò)展到汽車電子電氣系統(tǒng)。可以使用微軟提供的Microsoft Threat Modeling Tool來(lái)進(jìn)行數(shù)據(jù)流圖繪制以及STRIDE威脅分析自動(dòng)化。

•  風(fēng)險(xiǎn)評(píng)估

在基于STRIDE方法分析出 “威脅-資產(chǎn)”（Threat-Asset）對(duì)之后，為每個(gè)TA對(duì)評(píng)定安全級(jí)別。風(fēng)險(xiǎn)評(píng)估包括三個(gè)步驟：

1、威脅等級(jí)的確定(Threat Level，TL)：針對(duì)威脅“可能性”來(lái)估計(jì)威脅的等級(jí)；主要由Expertise，Knowledge of TOE，Window of Opportunity和Equipment參數(shù)決定，每個(gè)參數(shù)取值范圍根據(jù)可能性由高到低為{ 圖片 }。計(jì)算時(shí)將每個(gè)參數(shù)值進(jìn)行累加，按照表1進(jìn)行評(píng)價(jià)：


表1 HEAVENS安全模型計(jì)算威脅級(jí)別

2、測(cè)定的影響水平(Impact Level，IL)：指的是發(fā)生安全問(wèn)題后產(chǎn)生的“影響”嚴(yán)重程度；主要由Safety，F(xiàn)inancial，Operational和Privacy & Legislation參數(shù)決定，每個(gè)參數(shù)的取值范圍根據(jù)影響程度由低到高為{ 圖片 }。計(jì)算時(shí)將每個(gè)參數(shù)值進(jìn)行累加，按照表2進(jìn)行評(píng)價(jià)：


表2 HEAVENS安全模型計(jì)算影響級(jí)別

3、測(cè)定安全級(jí)別(Security Level，SL)：這對(duì)應(yīng)于最后的風(fēng)險(xiǎn)評(píng)級(jí)，由TL和IL共同確定。


表3 HEAVENS安全模型計(jì)算安全級(jí)別

•  安全需求

最后一步是基于Asset、Threat、安全屬性和SL來(lái)推導(dǎo)安全需求。當(dāng)一個(gè)Asset具有安全級(jí)別“QM”，它[有]可能不[有]需要為其制定額外的信息安全要求；如果不是“QM”，就應(yīng)針對(duì)其他兩種情況制定信息安全要求。

HEAVENS受益于STRIDE的步驟和方法，使得其可以結(jié)構(gòu)化和系統(tǒng)化地發(fā)現(xiàn)潛在威脅，但帶來(lái)的是需要大量的工作來(lái)分析和確定單個(gè)威脅的IL和TL因子，進(jìn)而確定SL。其計(jì)算方法可用圖2來(lái)表示。



由上述對(duì)HEAVENS的分析可以看出，由于參數(shù)眾多，且依賴于專家的評(píng)定，因此帶來(lái)的工作量非常大。


圖2 HEAVENS模型的風(fēng)險(xiǎn)評(píng)估方法

03  使用BP神經(jīng)網(wǎng)絡(luò)方法改進(jìn)HEAVENS評(píng)估計(jì)算

BP神經(jīng)網(wǎng)絡(luò)是一種利用信息和數(shù)據(jù)來(lái)進(jìn)行計(jì)算、分析、預(yù)測(cè)的方法。神經(jīng)網(wǎng)絡(luò)對(duì)于數(shù)據(jù)的特征提取能力是非常強(qiáng)的，因此目前結(jié)合BP神經(jīng)網(wǎng)絡(luò)的神經(jīng)網(wǎng)絡(luò)應(yīng)用已經(jīng)在語(yǔ)音/圖像/文字識(shí)別、機(jī)器人、生物醫(yī)藥等多個(gè)領(lǐng)域取得了重大突破，這證明“數(shù)據(jù)+神經(jīng)網(wǎng)絡(luò)”適應(yīng)性是非常強(qiáng)的。

由于HEAVENS安全模型在測(cè)算汽車系統(tǒng)的面臨的眾多信息安全威脅時(shí)需要大量的工作和專家的逐項(xiàng)評(píng)估，導(dǎo)致了效率不高，而且容易出現(xiàn)誤判、漏判安全風(fēng)險(xiǎn)的情況。因此應(yīng)用“BP神經(jīng)網(wǎng)絡(luò)+神經(jīng)網(wǎng)絡(luò)”來(lái)改進(jìn)HEAVENS的計(jì)算方法應(yīng)該能夠很好地解決這種情況，進(jìn)而提高安全分析效率，提升汽車產(chǎn)品的信息安全水準(zhǔn)。

因?yàn)門L和IL的取值是由一系列的參數(shù)向量所確定，很適于采用BP神經(jīng)網(wǎng)絡(luò)的方式來(lái)進(jìn)行處理。本文根據(jù)TL和IL分別構(gòu)建2個(gè)多輸入、單輸出、一個(gè)隱含層的BP神經(jīng)網(wǎng)絡(luò)來(lái)計(jì)算，然后再根據(jù)獲得的TL和IL值來(lái)計(jì)算最終的SL值。

1、TL的計(jì)算




圖3 確定隱含節(jié)點(diǎn)數(shù)目的步驟

Sigmoid函數(shù)選取 圖片 作為隱含層的輸入?yún)?shù)，學(xué)習(xí)速率設(shè)為 圖片 ，目標(biāo)誤差為 圖片 ，訓(xùn)練次數(shù)為1000。

2、IL的計(jì)算



3、SL的計(jì)算

TL和IL的計(jì)算參數(shù)會(huì)根據(jù)大量的數(shù)據(jù)進(jìn)行訓(xùn)練，訓(xùn)練完成后將會(huì)將TL和IL作為SL的計(jì)算參數(shù)，根據(jù)表3的方法計(jì)算獲取風(fēng)險(xiǎn)評(píng)估數(shù)值。

改進(jìn)后HEAVENS的TL、IL和SL的計(jì)算方法可以用圖4來(lái)表示。


圖4 改進(jìn)HEAVENS模型的安全等級(jí)計(jì)算方法

04  應(yīng)用示例

本文的實(shí)驗(yàn)數(shù)據(jù)來(lái)源一共有47441個(gè)TA對(duì)；選取其中一個(gè)BCM的安全評(píng)估數(shù)據(jù)，有1035個(gè)TA對(duì)。

當(dāng)計(jì)算整車的SL時(shí)，TL的n和m的取值如下：


計(jì)算IL的n和s的取值如下：


下面舉例說(shuō)明一個(gè)BCM的TA對(duì)的計(jì)算情況。下表是原始的安全評(píng)價(jià)表：



經(jīng)過(guò)訓(xùn)練后的模型，計(jì)算TL取n=3，計(jì)算IL取s=1，計(jì)算結(jié)果的小數(shù)部分進(jìn)行四舍五入取整。計(jì)算結(jié)果如下：



根據(jù)表3的映射可以得到SL的值為Medium，符合預(yù)期。

以下是根據(jù)完成訓(xùn)練后的網(wǎng)絡(luò)來(lái)計(jì)算BCM的SL時(shí)，TL驗(yàn)證的偏差情況：



IL的驗(yàn)證情況如下：


從以上計(jì)算結(jié)果來(lái)看，當(dāng)使用大量的訓(xùn)練樣本生成網(wǎng)絡(luò)參數(shù)時(shí)，根據(jù)本文方法改進(jìn)HEAVENS模型的計(jì)算結(jié)果與專家的評(píng)估結(jié)果相對(duì)比，一致性很好，具備計(jì)算快速、準(zhǔn)確性高的優(yōu)點(diǎn)。

05  結(jié)語(yǔ)

本文提出了一種基于BP神經(jīng)網(wǎng)絡(luò)生成汽車安全風(fēng)險(xiǎn)評(píng)估結(jié)果模型參數(shù)的方法，對(duì)HEAVENS模型的TL和IL參數(shù)計(jì)算方法進(jìn)行改進(jìn)，采用BP神經(jīng)網(wǎng)絡(luò)模型計(jì)算不同因素的信息安全風(fēng)險(xiǎn)等級(jí)。經(jīng)過(guò)仿真驗(yàn)證，此方法自動(dòng)化程度高，評(píng)估結(jié)果有效且高效，可以為汽車信息安全風(fēng)險(xiǎn)量化評(píng)估提供計(jì)算支持。