标准搜索结果: 'GB/T 45181-2024'
| 标准编号 | GB/T 45181-2024 (GB/T45181-2024) | | 中文名称 | 车联网网络安全异常行为检测机制 | | 英文名称 | Security-related misbehavior detection mechanism for connected vehicles | | 行业 | 国家标准 (推荐) | | 中标分类 | L67 | | 国际标准分类 | 35.240 | | 字数估计 | 18,115 | | 发布日期 | 2024-12-31 | | 实施日期 | 2025-04-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 45181-2024: 车联网网络安全异常行为检测机制
ICS 35.240
CCSL67
中华人民共和国国家标准
车联网网络安全异常行为检测机制
2024-12-31发布
2025-04-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 惯例 2
6 网络安全异常行为检测机制模型 2
7 数据采集 3
8 检测 3
8.1 数据选择 4
8.2 检测引擎 4
8.3 优化 7
附录A(资料性) 不同检测方法的使用案例 9
A.1 状态链检测案例 9
A.2 控制流检测案例 10
A.3 时间序列检测案例 10
A.4 关联情报检测案例 11
参考文献 13
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件等同采用ITU-TX.1376:2021《利用大数据针对与联网车辆安全相关的不当行为开展检测
的机制》。
本文件做了下列最小限度的编辑性改动:
---将标准名称改为《车联网网络安全异常行为检测机制》;
---图4、图5、图6、图7及图8增加了后续节点的连线和图形;
---针对图4、图6及图8中的字母意义,改为注进行解释。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国通信标准化技术委员会(SAC/TC485)归口。
本文件起草单位:北京奇虎科技有限公司、中国信息通信研究院、国家计算机网络应急技术处理协
调中心、中国信息通信科技集团有限公司、中国移动通信集团有限公司、中国电信集团有限公司广东研
究院、中国联合网络通信集团有限公司、中国科学院信息工程研究所、国家广播电视总局广播电视规划
院、中国第一汽车股份有限公司、重庆长安汽车股份有限公司、东风汽车有限公司东风日产乘用车公司、
北京天融信网络安全技术有限公司、北京百度网讯科技有限公司、北京神州绿盟科技有限公司、腾讯云
计算(北京)有限责任公司、北京东方通网信科技有限公司、新华三技术有限公司、郑州信大捷安信息技
术股份有限公司、西安邮电大学、深圳大学、广州大学、北京数字认证股份有限公司、OPPO广东移动通
信有限公司。
本文件主要起草人:严敏睿、张屹、葛雨明、吕欣鸿、张西如、姚一楠、于润东、房骥、王卫东、舒敏、
王晖、金华敏、汪来富、张勇、王文磊、刘伟、阎军智、邓逸凡、于乐、肖辉、杨木伟、崔婷婷、张永强、刘为华、
梁承志、张祺琪、汪向阳、谭成宇、李木犀、彭镇、王龑、孙科、马多贺、李克鹏、万晓兰、刘伟丽、李树栋、
贺景锋、刘大鹏、殷丽华、李根。
车联网网络安全异常行为检测机制
1 范围
本文件提供了一种针对车联网网络安全异常行为的检测机制的建议。该机制包括以下步骤。
a) 数据采集:详细描述了从不同来源获取到的数据和信息类型用于异常行为检测,来源包括汽
车、基础设施、原始设备制造商(OEMs)和供应商。数据采集方法和程序不属于本文件的
范围。
b) 检测:使用采集到的数据监测异常行为。
本文件适用于车联网,目的是方便设计人员和安全解决方案提供方检测网络安全异常行为。数据
获取的方法和程序及通知模块的使用不在本文件的范围内。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
异常行为 misbehavior
提供虚假或误导性数据的行为,以妨碍其他服务接受者或超出其授权范围的方式运作。该行为可
能来自车辆系统的内部或外部组件。
注1:来源于ISO/T R17427-4。
注2:异常行为包括有意或无意的错误消息类型或频次、无效登录和未经授权的访问,或不正确的签名或加密消息
等可疑行为。
4 缩略语
下列缩略语适用于本文件。
ABS:防滑制动系统(Anti-skidBrakingSystem)
IP:互联网协议(InternetProtocol)
5 惯例
本文件没有惯例。
6 网络安全异常行为检测机制模型
图1给出了车联网的网络安全异常行为检测机制模型。该机制包括数据采集和检测两个步骤,这
两个步骤由两个系统实现。
图1 网络安全异常行为检测机制模型
由于数据获取方法和程序(例如:数据过滤和数据清理)不在本文件的范围内,因此图1中的数据采
集系统只是网络安全异常行为检测实际实施的参考示例。
来自数据采集系统的数据被发送至检测系统,且采集到的数据根据第7章中描述的类型进行处理。
数据采集系统包含以下模块。
a) 数据获取:获取不同来源(如服务提供方、车身系统和传感器)的检测数据。
b) 数据过滤:根据数据分类过滤采集到的数据。
c) 数据清洗:对采集到的数据进行重复数据删除和降噪处理。
检测系统包含以下模块。
a) 数据选择:基于不同的网络安全异常行为检测方法选择数据集,再将其发送至检测引擎。
b) 检测引擎:根据检测方法检测网络安全异常行为,再将决策结果发送至优化和通知模块。
c) 优化:使用来自检测引擎的检测结果改进数据选择、检测引擎和数据获取模块。
通知模块将检测引擎的输出信息发送给关联方,该模块不在本文件的范围内。
7 数据采集
数据采集通常包含数据获取、数据过滤和数据清洗。本文件仅对检测程序中使用的数据类型进行
规定,数据获取的方法和程序均不在本文件的描述范围内,任何对个人敏感信息数据采用的加密保护、
脱敏处理技术或手段,如匿名化等,也不在本文件的描述范围内。
基于从不同来源采集的数据和信息,本章对网络安全异常行为检测机制中使用的数据类型进行了
定义,包括状态数据、控制数据和情报数据,具体内容见表1。
表1 数据类型
类型 子类型 数据来源 数据示例
状态数据a
应用/服务数据
车辆状态
环境传感器
内容提供方或服务提供方 信息数据
地图服务数据 导航、定位
移动应用数据 应用相关数据
安全系统 ABS、安全气囊、AEB、ADAS
车身系统 门、窗、雨刷
底盘系统 扭矩,拐角
动力系统 速度、转速、节流阀、档位
雷达 毫米波雷达
LiDAR 点云
超声传感器 距离
摄像头 周围环境图像
ITS传感器 路边设施标志
控制数据b
本地控制 车辆内控制器 开门、关门
远程控制 自动化、远程信息处理 远程诊断
情报数据c
内部情报数据 安全性研究、测试结果 漏洞、缺陷、内部网络安全事件
外部共享情报数据 客户、供应商、社区、会议/文献、网络 IP地址、哈希值、URL、域名、CVE等
a 与智能交通系统中的车辆、应用、服务、传感器和其他设施的状态相关的数据和信息。
b 用于控制智能交通系统中车辆、应用、服务、传感器和其他设施的数据和信息。
c 从智能交通系统外部获得的与网络安全相关的数据和信息。假设数据源的完整性适当。
8 检测
检测模块主要由数据选择、检测引擎和优化子模块组成,如图2所示。基于数据和信息的不同来
源,检测引擎使用大数据分析识别网络安全异常行为。优化模块通过异常行为数据来优化数据选择并
使检测引擎模块的异常行为检测更加准确和高效。
图2 检测程序
8.1 数据选择
数据选择模块根据检测方法的要求将数据分为不同的数据集,见图3。数据选择模块的输入是来
自数据采集系统的数据。
图3 数据选择程序
8.2 检测引擎
检测引擎由两个子模块组成:检测方法和决策。当数据集进入检测方法子模块时,检测方法会将其
转化为行为特征。决策子模块基于行为特征做出决策。有三种不同类型的决策结果:异常、可疑、正常。
异常是指检测到明确的异常行为;可疑是指无法确定数据是异常的还是安全的;正常是指没有从数据中
检测到任何异常行为。
8.2.1 检测方法
检测方法子模块内可包含了多个不同的检测方法。基于第7章中分类的数据类型,本文件列出了
四种方法进行网络安全异常行为检测。这些方法的使用案例见附录A。
8.2.1.1 状态链检测
状态链包含一系列相关联的状态数据。在状态链中,一个数据的改变会导致其他数据同时改变。
描述状态变化的状态流特点如下。
a) 节点:智能交通系统中与某一动作相关的服务或应用。
b) 流程:一个动作所产生的数据变化的方向和路径。
状态数据在智能交通系统中生成,可用这些数据创建上下文。数据值也遵循一定的趋势,并在一定
范围内波动。
状态链可分为单链和分支两种模式。这两种模式如下。
1) 单链模式:该链上节点生成的状态数据只会被另一个节点接收。
2) 分支模式:一个节点同时生成两个或多个状态数据,再将其发送到不同的节点。
在状态链的单链模式中,节点只有单向连接。见图4。
注:S为状态。
图4 状态链的单链模式
在状态链的分支模式中,节点可分为两个或多个相关的单链模式。见图5。
图5 状态链的分支模式
因此,每个节点的特征包括:
---状态链中的上下文;
---每个节点的值和趋势。
从状态链中的节点获取特征,然后将其发送到决策模块。
8.2.1.2 控制流检测
控制流包含一系列相关的控制数据。在控制流中,一个控制命令多个子控制命令组成,影响多个
系统。
描述控制命令执行的控制流特点如下。
a) 节点:智能交通系统中与某一动作相关的服务或应用。
b) 流程:一个动作所产生的数据变化的方向和路径。
当一个控制动作进行时,与控制相关的数据将通过相关的节点并形成一个控制流。
智能交通系统中的每个控制节点都稳定而有规律地工作。当许多节点一起工作时,由于规定的周
期、确定的消息类型和数量,所以控制流的行为也是稳定的。
控制流为单链和分支两种模式,具体如下。
1) 单链模式:该链上节点生成的控制数据只会被另一个节点接收。
2) 分支模式:一个节点同时生成两个或多个控制数据,然后将其发送到不同的节点。
在控制流的单链模式中,节点只有单向连接。见图6。
注:C为控制。
图6 控制流的单链模式
在控制流的分支模式中,节点可分为两个或多个相关的单链模式。见图7。
图7 控制流的分支模式
8.2.1.3 时间序列检测
时间序列数据是指随某种时间规律而变化的数据,例如CAN消息。这样的数据可用时间序列
检测。
时间序列数据的变化趋势有四种类型。
a) 趋势:数据随时间或自变量变化,表现出相对缓慢和长期的趋势,具有连续上升、下降或保持不
变的性质,但变化幅度可能不相等。
b) 周期性:一个因素随着时间的推移逐渐显示出重复的特性,包括波峰和波谷。
c) 随机性:数据是随机变化的,但总体情况是可统计的。
d) 叠加:实际变化是多个变化的叠合或组合。
时间序列行为的特点如下。
1) 节点:智能交通系统中与时间序列数据相关的服务或应用。
2) 流程:表示时间顺序。
可用一种或多种类型的时间序列数据来建立数据模式,用于发现网络安全异常行为。时间序列的
单链模式见图8。
注:T为时间。
图8 时间序列的单链模式
8.2.1.4 关联情报检测
对于关联情报检测方法,能直接或间接检测网络安全异常行为,因此,关联情报数据可分为两类:直
接关联情报和间接关联情报。
直接关联情报:可基于该情报直接检测网络安全异常行为,例如外部漏洞报告、内部网络安全研究
和常见漏洞披露。
间接关联情报:基于这种情报不能直接检测到网络安全异常行为,因为这种情报用于描述正常事
件,例如,错误修复、新功能发布、软件更新和芯片更换。将间接关联情报与采集到的其他数据相结
合,检测出网络安全异常行为。
8.2.2 决策
决策模块中的决策程序见图9。
图9 决策程序
决策子模块用于确定检测方法的结果,包括两个功能:评分和人工分析。评分功能通过行为特征确
定数据类型,然后对其进行评分。如果网络安全异常行为(如劫持或篡改攻击)发生,它就会偏离稳定基
准线。如果分数不能达到正常或异常的阈值,则被归类为可疑。然后,分析人员将介入并帮助做出决
定,直到分数达到正常或异常数据的阈值。
8.3 优化
优化是一个反馈模块,它从检测引擎接收数据,并使用这些数据来优化检测引擎模块、数据选择模
块和数据采集模块。见图10。
图10 优化程序
8.3.1 优化检测引擎
特征是流程中被传输数据的关键值。在网络安全异常行为检测开始时,稳定基准线是由正常环境
中的正常特征生成的,稳定基准线可用来进行评分功能的初始化。
检测引擎通过优化模块输出的结果进行自我。增加、修改或删除检测方法,以提高检测效率;评分
功能也通过增加从人工分析中获得的新知识得到优化。
8.3.2 优化数据选择
通过增加、修改或删除数据集以提高检测准确度。
8.3.3 优化数据采集
通过增加、修改或删除采集到的数据以提高检测准确度。
附 录 A
(资料性)
不同检测方法的使用案例
本附录提供按照8.2.1中的不同检测方法检测网络安全异常行为的使用案例。
A.1 状态链检测案例
以下是8.2.1.1所述的状态链检测案例。
车辆配有一个TCU,用于访问互联网。TCU不是一直在运行,它在车辆发动机停止后会切换到低
功耗模式以节省功耗。在进入低功耗模式之前,它将车辆状态发送到后端服务的车辆网关,车辆网关将
该状态同步到TCU状态缓存。命令服务从TCU状态缓存中获取该状态。当用户向其车辆发送命令
时,命令服务根据TCU状态做出反应。如果 TCU处于低功耗模式,命令服务会向唤醒服务发送请
求,唤醒服务则会唤醒TCU。图A.1为正常行为的状态链。表A.1列出了该案例所涉及的状态数据。
图A.1 正常行为的状态链
攻击者尝试修改TCU状态,观察命令服务表现出来的不同行为,这时TCU状态缓存和车辆网关
之间将会出现差异。
在这种情况下,状态链检测可通过比较车辆网关中的车辆状态和TCU状态缓存中的TCU状态来
检测网络安全异常行为。如果其状态不同,这即是一种网络安全异常行为。车辆行驶时TCU不可能
处于低功耗模式。
表A.1 车辆驾驶状态数据
节点 数据
车辆网关 车辆状态
TCU状态缓存 TCU状态
命令服务 TCU状态
A.2 控制流检测案例
以下是8.2.1.2的控制流检测案例。
当用户通过安装在智能手机上的移动端应用程序触发远程车辆控制功能时,移动端应用程序将生
成一条操作日志,并向后端API服务发送请求,API服务将在访问日志中记录这一请求。API服务预
处理该请求,并将其转发至车辆终端,例如:TCU。TCU将会调用 MCU的收发器向相关执行器发送命
令。最后,执行器将执行来自用户侧的控制命令。见图A.2。表A.2列出了该案例涉及的控制数据。
图A.2 正常行为控制流
在本案例中,只有当 API服务发出请求时,TCU才会向 MCU发送消息。如果从异常路径调用
MCU,则移动端应用程序和API服务中不会有操作日志,这样就可检测到网络安全异常行为。
表A.2 远程信息处理控制数据
节点 数据
移动端应用程序 操作日志数据
API服务 访问日志数据
TCU 已接收数据
MCU 调用日志数据
执行器 执行器日志数据
A.3 时间序列检测案例
以下是8.2.1.3的时间序列检测案例。
在这种情况下,TCU定期向后端服务发送车辆的位置。见图A.3。
纬度/(°) 时间间隔/s
39.9558 10.55986025
39.9575 10.31913323
39.9584 10.43919862
39.9544 10.30746466
39.9575 10.32827192
39.9512 10.57980698
39.9521 10.46973964
39.9508 10.19287634
39.9539 10.10935587
39.9585 10.11003779
图A.3 位置的正常时间序列
如果GNSS传感器受到了欺骗干扰,位置信息和时间间隔将与此前数据有明显的差异。见图A.4。
纬度/(°) 时间间隔/s
39.9558 10.55986025
39.9575 10.31913323
39.9584 10.43919862
39.9544 10.30746466
45.9575 5.32827192
39.9512 5.57980698
39.9521 10.46973964
39.9508 10.19287634
39.9539 10.10935587
39.9585 10.11003779
图A.4 位置的网络安全异常行为时间序列
表A.3列出了该案例涉及的时间序列数据。
表A.3 传感器时间序列数据
节点 数据
后端服务 纬度、时间间隔
A.4 关联情报检测案例
8.2.1.4提供了两种关联情报的检测方法,此处各提供了一个关联情报检测案例。
A.4.1 直接关联情报检测案例
基于直接关联情报检测网络安全异常行为是最简单的。所有形式的直接关联情报都直接指向网络
安全异常行为......
|