陳正 李斌斌 王文揚(yáng) 陳祥威

[摘 要]隨著汽車智能化、網(wǎng)聯(lián)化程度的不斷提高，智能網(wǎng)聯(lián)汽車信息安全問題日益嚴(yán)峻，面向智能網(wǎng)聯(lián)汽車的滲透測(cè)試方法已成為當(dāng)前的重要研究方向。本文介紹了攻擊樹模型和針對(duì)于智能網(wǎng)聯(lián)汽車的攻擊知識(shí)庫(kù)，提出了一種基于攻擊樹的智能網(wǎng)聯(lián)汽車滲透測(cè)試方法。該方法有助于生產(chǎn)廠商找到智能網(wǎng)聯(lián)汽車的信息安全薄弱環(huán)節(jié)和有可能被攻擊者利用的攻擊路徑和方式，從而重點(diǎn)采取防御措施。

[關(guān)鍵詞]智能網(wǎng)聯(lián)汽車；信息安全；滲透測(cè)試；攻擊樹

中圖分類號(hào)：S496 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2018）10-0069-01

1.引言

機(jī)制匱乏等問題。因此，對(duì)智能網(wǎng)聯(lián)汽車進(jìn)行滲透測(cè)試和安全評(píng)估十分重要。

智能網(wǎng)聯(lián)汽車滲透測(cè)試的目的是模擬黑客接入網(wǎng)聯(lián)汽車通信網(wǎng)絡(luò)，依照黑客思路和專家自身經(jīng)驗(yàn)，從攻擊者的角度對(duì)汽車安全進(jìn)行檢測(cè)，包括對(duì)聯(lián)網(wǎng)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析。傳統(tǒng)的滲透測(cè)試方法一般是通過掃描器對(duì)系統(tǒng)進(jìn)行掃描攻擊，然后根據(jù)掃描結(jié)果得出評(píng)估報(bào)告，這種掃描器一般具有針對(duì)性強(qiáng)的特點(diǎn)，但缺乏攻擊策略分析能力，不具備靈活性?；谶@種滲透測(cè)試方法的不足，本文提出一種基于攻擊樹的智能網(wǎng)聯(lián)汽車滲透測(cè)試方法，這種方法可以根據(jù)智能網(wǎng)聯(lián)汽車的實(shí)際情況制定出攻擊策略，實(shí)施攻擊。

2.攻擊樹模型

攻擊樹模型是Schneider在1999年提出的一種描述系統(tǒng)可能受到的多種攻擊的方法。它采用樹型結(jié)構(gòu)來表示針對(duì)系統(tǒng)的各種攻擊行為。在一棵攻擊樹中，樹的根節(jié)點(diǎn)表示攻擊者的最終攻擊目標(biāo)，葉節(jié)點(diǎn)表示具體的攻擊事件，即攻擊者可能采取的各種攻擊手段，其他為中間節(jié)點(diǎn)。攻擊樹的各個(gè)分支表示為達(dá)到最終攻擊目標(biāo)可能采取的各種攻擊序列。除了葉節(jié)點(diǎn)以外，攻擊樹的各節(jié)點(diǎn)分為與節(jié)點(diǎn)、或節(jié)點(diǎn)兩類。如圖1所示，與節(jié)點(diǎn)表示必須全部完成此節(jié)點(diǎn)下的各分支才能到達(dá)該節(jié)點(diǎn)；或節(jié)點(diǎn)表示只要完成此節(jié)點(diǎn)下的一個(gè)分支即可到達(dá)該節(jié)點(diǎn)。任何一條從葉節(jié)點(diǎn)到根節(jié)點(diǎn)的路徑表示實(shí)現(xiàn)這個(gè)攻擊目標(biāo)而進(jìn)行的一次完整的攻擊過程。遍歷整個(gè)攻擊樹可以生成實(shí)現(xiàn)以根節(jié)點(diǎn)為攻擊目標(biāo)的所有網(wǎng)絡(luò)攻擊路徑。

3.基于攻擊樹的智能網(wǎng)聯(lián)汽車滲透測(cè)試方法

智能網(wǎng)聯(lián)汽車本身是一個(gè)完整的生態(tài)系統(tǒng)，與傳統(tǒng)信息安全相比，針對(duì)智能網(wǎng)聯(lián)汽車的各類入侵攻擊需要利用其自身的各個(gè)維度、層面的安全漏洞方可實(shí)施。然而智能網(wǎng)聯(lián)汽車典型的智能終端屬性特征，又使得對(duì)其的滲透攻擊不能采用傳統(tǒng)的傳統(tǒng)的滲透測(cè)試方案，需要依照智能網(wǎng)聯(lián)汽車的系統(tǒng)架構(gòu)特性，實(shí)施更具針對(duì)性的滲透測(cè)試方案。本文設(shè)計(jì)的智能網(wǎng)聯(lián)汽車滲透測(cè)試方法基于攻擊知識(shí)庫(kù)和攻擊序列。

3.1 構(gòu)建攻擊知識(shí)庫(kù)

智能網(wǎng)聯(lián)汽車擁有諸多功能模塊，這些功能模塊按照功能屬性可劃分為車載終端節(jié)點(diǎn)，云平臺(tái)，外部互聯(lián)節(jié)點(diǎn)三部分，根據(jù)這三部分分別面臨的安全威脅和自身屬性特點(diǎn)，構(gòu)建有針對(duì)性的攻擊知識(shí)庫(kù)。

其中車載終端節(jié)點(diǎn)包括車載信息娛樂系統(tǒng)、T-Box等智能聯(lián)網(wǎng)終端，它們集成了車輛信息監(jiān)控、車身控制、無線通信等功能，極大提升了車輛電子化、網(wǎng)絡(luò)化和智能化水平，但同時(shí)車載終端節(jié)點(diǎn)的所有接口都有可能成為黑客的攻擊節(jié)點(diǎn)。攻擊者可以將終端從車上拆下來，通過對(duì)電路、調(diào)試引腳、Wi-Fi系統(tǒng)、CAN總線數(shù)據(jù)、接口進(jìn)行分析，從而攻破硬件的安全防護(hù)。

智能網(wǎng)聯(lián)汽車的云平臺(tái)除了需要病毒防護(hù)、中間件安全防護(hù)以及訪問控制防護(hù)外，還需要重視數(shù)據(jù)安全防護(hù)問題，防止車主云端隱私數(shù)據(jù)意外丟失，或被黑客竊取利用。

智能網(wǎng)聯(lián)汽車的外部互聯(lián)節(jié)點(diǎn)包括遠(yuǎn)程控制APP、充電樁等。目前市場(chǎng)上絕大多數(shù)遠(yuǎn)程控制APP存在安全漏洞，有些APP甚至不具備最基礎(chǔ)的軟件防護(hù)和安全保障。攻擊者只需對(duì)未進(jìn)行保護(hù)的APP進(jìn)行逆向挖掘，就可以找到云平臺(tái)的接口、參數(shù)、用戶賬號(hào)等敏感數(shù)據(jù)。

攻擊知識(shí)庫(kù)由各種類型的攻擊程序和方法組成，分別構(gòu)建車載終端節(jié)點(diǎn)攻擊知識(shí)庫(kù)、云平臺(tái)攻擊知識(shí)庫(kù)和外部互聯(lián)節(jié)點(diǎn)攻擊知識(shí)庫(kù)。其中車載終端節(jié)點(diǎn)知識(shí)庫(kù)包括固件程序提取、制造車內(nèi)通信虛假信息、車內(nèi)網(wǎng)關(guān)攻擊、對(duì)通信單元進(jìn)行DOS攻擊等；云平臺(tái)攻擊知識(shí)庫(kù)包括拒絕服務(wù)攻擊、SQL注入、DOS攻擊、漏洞掃描、暴力破解、權(quán)限提升等攻擊方法；外部互聯(lián)節(jié)點(diǎn)攻擊知識(shí)庫(kù)包括移動(dòng)APP程序反編譯、程序逆向挖掘分析、拒絕服務(wù)滲透、ARP欺騙滲透等針對(duì)移動(dòng)互聯(lián)產(chǎn)品的滲透測(cè)試方法。

3.2 生成攻擊序列

黑客在攻擊的時(shí)候，選擇的攻擊方式和攻擊手段各不相同。例如，DDoS攻擊主要采用遠(yuǎn)距離攻擊方式；通過無線通訊滲透到車載網(wǎng)絡(luò)，則需采用近距離攻擊方式。從攻擊入口來看，智能網(wǎng)聯(lián)汽車的攻擊面很多，典型的黑客都是先花費(fèi)大量時(shí)間，對(duì)某個(gè)或多個(gè)攻擊點(diǎn)進(jìn)行研究，掌握其漏洞利用方法，這時(shí)一般采用物理攻擊及近場(chǎng)攻擊，當(dāng)單點(diǎn)滲透實(shí)現(xiàn)后，再以遠(yuǎn)程攻擊的方式從車輛外部開始實(shí)現(xiàn)對(duì)車的控制。

建立智能網(wǎng)聯(lián)汽車攻擊樹時(shí)，首先由相關(guān)技術(shù)人員對(duì)網(wǎng)聯(lián)系統(tǒng)進(jìn)行細(xì)致分析，將最終攻擊目標(biāo)作為攻擊樹的根節(jié)點(diǎn)，從攻擊知識(shí)庫(kù)提取可能的攻擊方式表示為攻擊樹的葉節(jié)點(diǎn)，這樣可以得到一棵或者多棵確定的攻擊樹。通過細(xì)致地對(duì)整個(gè)網(wǎng)聯(lián)系統(tǒng)的攻擊事件進(jìn)行實(shí)例化，可以得到由多棵攻擊樹組成的攻擊森林，森林中每一棵攻擊樹的根節(jié)點(diǎn)表示針對(duì)智能網(wǎng)聯(lián)汽車的一個(gè)攻擊目標(biāo)，葉節(jié)點(diǎn)表示從攻擊知識(shí)庫(kù)中提取出的能引起具體攻擊目標(biāo)安全事件發(fā)生的攻擊事件，每條從葉節(jié)點(diǎn)到根節(jié)點(diǎn)穿過整棵攻擊樹的路徑表示對(duì)網(wǎng)聯(lián)系統(tǒng)的一次具體攻擊過程，即一個(gè)攻擊序列。

3.3 滲透測(cè)試方案

滲透測(cè)試方案是根據(jù)攻擊知識(shí)庫(kù)和攻擊序列產(chǎn)生的攻擊樹對(duì)智能網(wǎng)聯(lián)汽車進(jìn)行滲透攻擊的具體過程。以通過車載終端節(jié)點(diǎn)竊取智能網(wǎng)聯(lián)汽車遠(yuǎn)程控制指令為例，根據(jù)本文提供的方法得出攻擊樹。

4.結(jié)束語(yǔ)

本文根據(jù)智能網(wǎng)聯(lián)汽車的系統(tǒng)架構(gòu)特性，從車載終端節(jié)點(diǎn)，云平臺(tái)，外部互聯(lián)節(jié)點(diǎn)三個(gè)維度對(duì)智能網(wǎng)聯(lián)汽車面臨的安全威脅進(jìn)行分析，并據(jù)此構(gòu)建了針對(duì)于智能網(wǎng)聯(lián)汽車的攻擊知識(shí)庫(kù)，然后基于攻擊知識(shí)庫(kù)和攻擊樹模型設(shè)計(jì)了智能網(wǎng)聯(lián)汽車滲透測(cè)試方法，該方法針對(duì)性強(qiáng)，可以有效提高滲透測(cè)試效率。

參考文獻(xiàn)

[1] 張鳳荔，馮波.基于關(guān)聯(lián)性的漏洞評(píng)估方法[J].計(jì)算機(jī)應(yīng)用研究，2014，31（3）：811-814.

[2] 馮濤.車聯(lián)網(wǎng)技術(shù)中的信息安全研究[J].信息安全與技術(shù)，2011.

[3] 周偉，王麗娜，張煥國(guó)，一種基于樹結(jié)構(gòu)的網(wǎng)絡(luò)滲透測(cè)試系統(tǒng)[J]，計(jì)算機(jī)與數(shù)字工程，2006，34（12）：15-18.

[4] Kordy B，Mauw S，Radomirovice S，et al.Foundations of attack-defense trees[M]//Formal aspects of security and trust .Berlin Heidelberg：Springer，2011：80-95.

[5] 王華忠，顏秉勇，夏春明.基于攻擊樹模型的工業(yè)控制系統(tǒng)信息安全分析[J].化工自動(dòng)化與儀表，2012，40（2）：219-222.

[6] 李慧，張茹，劉建毅，等.基于攻擊樹模型的數(shù)傳電臺(tái)傳輸安全性評(píng)估[J].信息網(wǎng)絡(luò)安全，2014（8）：71-76.

[7] 黃宏偉，趙成芳，計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)[J]，商場(chǎng)現(xiàn)代化，2007（11）：208～209.