前言
前文已经介绍了入侵检测与防御系统(IDPS)在车辆安全方面的重要作用。在车辆内部,IDPS被编译和整合为一个安全组件,然后嵌入到主要的车辆零部件中,用来拦截明显的攻击行为,并通过各种安全事件告警生成安全数据。
在云端,车企对智能网联汽车运行过程中的信息安全保障是通过车辆安全运营中心(VSOC)完成的,为确保智能网联汽车的信息安全,车辆安全运营中心(VSOC)必须整合并利用多个不同来源、具有不同特性的安全数据如各类IDPS告警数据、威胁情报数据、车辆的脆弱性数据以及车辆零部件的硬件和软件清单数据(HBOM和SBOM)等。
这些数据被多个子系统整合到一起,结合不同的安全分析场景被用于在线和离线的关联分析,构建起以资产、威胁、脆弱性与单一和复杂攻击事件为点和边的知识图谱可视化应用,同时结合大数据预测技术,从而实现对车辆安全的态势感知。
这种综合方法有助于提高安全运营中心(VSOC)对车辆安全事件和潜在威胁的监测、分析和应对能力。以下是这些关键技术的应用介绍。
1.多源异构的汽车安全数据融合
通过整合来自多个数据源的信息,包括网络入侵检测系统(网络IDPS)、控制器区域网络(CAN)入侵检测系统(CAN IDPS)、主机入侵检测系统(主机IDPS)、威胁情报数据、车辆零部件HBOM和SBOM数据等,来确保数据源的数据格式具备一致性和互操作性,以便进行后续处理,这些操作包括:
数据标准化:将不同数据源的信息转化为一致的数据格式和结构,以便更易于进行比较和整合。这可能包括将数据转换为通用标准,如JSON或XML。
数据清洗:对各类告警、资产及威胁数据进行数据清洗,排除掉时间错乱及非标准化数据,并对数据做再处理,以保证数据清洗效果并及时进行预处理,去除错误、不一致或重复的信息,确保了数据的质量和准确性。
数据映射:建立数据源之间的映射关系,如资产与告警、漏洞、脆弱性、攻击事件等,以确保数据之间相关性的准确度,这有助于建立知识图谱与进行关联分析。
数据集成:将清洗和标准化的数据合并为一个整体数据集,以供后续分析和处理使用。
数据存储:根据数据的性质和规模,选择合适的存储系统,如关系型数据库、NoSQL数据库、数据仓库或分布式存储系统。不同类型的数据源可能需要不同的存储方案。应该考虑建立规模更大、保存时间更久的数据仓库或数据湖,这样可以在同一位置集中存储所有数据源的信息。数据仓库通常用于结构化数据,而数据库适用于各种类型的数据,包括半结构化和非结构化数据。通过合理分区和索引数据可以有效提高查询性能。数据的分区可以根据时间、地理位置、数据类型等单位进行划分,以缩小查询的范围。同时需要确保数据的冗余备份,以防数据丢失或损坏。因此制定适当的数据备份和恢复策略,可以确保数据的可靠性和持久性。
2.关联分析技术
通过分析不同数据源之间的相关性,可以识别出跨层面的攻击和威胁事件,以应用于单步攻击和多步复杂攻击的检测。
单步攻击的关联分析
单步攻击通常指的是攻击者采取一次攻击行为来达到其目标,例如恶意软件感染、篡改信号和配置文件、注入和缓冲区溢出等。在单步攻击中,关联分析的目标是识别出与攻击相关的事件或活动,包括监视系统日志、网络流量和安全告警,以查找出异常或恶意行为。关联分析可以用于确定攻击者的攻击路径,例如从入侵到数据泄漏的整个过程。基于机器学习的方法可以训练模型来识别已知的攻击模式,从而自动检测并报警。
多步复杂攻击的关联分析
多步复杂攻击通常指的是攻击者采取一系列有组织、有计划的攻击行为,以达到绕过安全措施并实现长期监视与持续性数据窃取为目标。这可能包括多个攻击阶段、横向移动、隐蔽驻留、数据窃取等。
在多步复杂攻击中,关联分析的挑战更大,因为攻击行为可能涉及多个系统、多个攻击向量与多个阶段。安全团队可以使用大数据关联分析来建立攻击链,即通过将多源异构的安全数据用以画像攻击者的攻击路径,以便更好地理解攻击全貌。利用大数据关联分析技术处理海量多源异构数据再结合机器学习与威胁情报数据,可以帮助安全管理者识别复杂攻击中的模式和异常行为,以识别隐藏的攻击模式和潜在的威胁趋势,这可以帮助网络安全管理者识别新型攻击、零日漏洞和未知的威胁。
3.实时计算技术
为了实现实时的态势感知,需要对车端数据进行实时分析处理,统计并在前端展示统计结果,首先需要对车端传入的告警事件进行数据清洗,排除掉时间错乱及非标准化数据,并且对数据做再处理,保证其化为标准化数据,随后在实时计算模块中做分批统计处理。
在实现实时计算态势感知的过程中,通过采用Kafka、Flink构建实时计算系统架构。Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者在网站中的所有动作流数据。Flink是一个流式数据处理引擎,是一个高度可扩展的系统,能够处理规模庞大的数据集和高吞吐量的数据流。依托Kafka、Flink特有的高实时特性,可以对车辆的资产、安全事件、漏洞等信息实现总体、品牌、车型、攻击类型、零部件等不同维度的实时计算统计,将统计数据值作为结构化的数据将存入MySQL等数据库中,从数据库中获取统计数据为安全人员提供不同层级的安全态势感知大屏。
4.知识图谱构建
建立车辆安全知识图谱,其中包括车辆组件、软件、联网模组、威胁情报等的关系图。收集并记录基于不同车型的HBOM和SBOM数据,包括硬件、软件、控制器、EDC、总线设备、各类网络模组设备、嵌入式操作系统内核版本、二进制库、插件和应用程序等。对每个资产进行分类和标识,以建立清晰的资产库。
持续监测与资产相关的漏洞和脆弱性信息,以获取最新的漏洞信息。记录每个漏洞的详细信息,包括其描述、严重性评分、CVE编号等。
收集来自各种威胁情报源的信息,包括已知的威胁行为、攻击者活动、恶意IP地址等。确保及时更新和整合这些威胁情报数据。
利用知识图谱技术将资产、漏洞和威胁之间的关系进行可视化展示。每个资产可以与其上运行的软件、已知的漏洞和潜在的威胁相关联。使用自动化算法或手动方法来确定资产和漏洞之间的关联。通过可视化技术将知识图谱中各种数据源的信息整合到一个更易于理解的框架中,以便更直观地理解车辆的安全情况。
利用知识图谱、关联分析和大数据分析的结果生成安全报告,可以使安全团队和决策者更加清晰的了解当前安全态势。可视化工具能够更直观的传达复杂的安全信息,有助于用户进行更好地理解,其中,知识图谱是一种用于组织知识并进行图形化展示的图形数据结构,而Neo4j是一种用于存储和查询图形数据的数据库管理系统。笔者参与过的项目就采用了该开源项目,Neo4j为知识图谱的构建、存储和查询提供了优秀的数据管理能力,使知识图谱更容易构建,并能被利用的更加充分,这种综合方法可以在汽车领域提高对安全事件和威胁的监测与应对能力,确保车辆系统的整体安全性和可靠性。这对于日益智能化和互联化的智能网联汽车来说尤为关键,可以有效保护车辆和驾驶者的安全。
5.机器学习辅助入侵检测
机器学习在信息安全领域也得到了广泛的尝试和应用,该技术有助于实时监测、检测安全威胁。现阶段机器学习模型还需要不断更新和改进,以适应不断变化的威胁和攻击技巧。
笔者所在企业的技术研究团队也在尝试利用机器学习技术,即通过模型压缩在车载信息系统中部署了一个检测插件,基于流量进行网络攻击入侵检测。这种方法通过实时监控汽车网络流量,自动检测潜在的网络入侵攻击,然后通过TSP通道将攻击告警回传至云端VSOC系统,进而让安全运维人员采取相应的防护措施。
采用机器学习技术来增强汽车IDPS的网络入侵检测能力过程如下:
在数据收集与准备阶段,首先对车辆通信网络的数据流量进行收集和记录,这需要单独开发流量采集插件,包括CAN总线数据、车载以太网数据、车辆WIFI通信数据、车辆Tbox通信数据等。然后对收集到的数据进行预处理,包括数据清洗、特征提取和标记(例如,正常流量和攻击流量的标记)。
在特征工程阶段,主要是为机器学习模型构建特征集,这些特征可以描述流量的特定特征,通过公司安全测试团队,长期对大量网络攻击数据的特征进行积累,并对主流网络攻击的记录,如数据包大小、频率、通信模式、特征端口、间隔周期等,进行异常流量和攻击模式的识别标注。
在机器学习模型选择阶段充分考虑到了车载信息系统硬件资源限制的客观条件,需要选择适当的机器学习算法,采用集成云端GAN和车端CNN的方法,用于训练入侵检测模型。由于考虑到了车载信息系统硬件资源问题,我们还使用知识蒸馏方案降低了模型的运算量,进而让机器学习能够以更精巧的方式运行。
在模型的训练和验证过程中,我们根据已经带有标签的数据集进行大量的训练工作。这些数据集用于培训模型,使其能够识别不同的模式和特征。同时,我们将数据集分为两部分,一部分用于模型的培训,另一部分用于验证和评估模型的性能。这个验证过程帮助我们了解模型的准确性和效果,并且我们还进行了参数调整,以最大程度地提高模型的性能。
通过台架测试和实车验证,机器学习针对某些知名网络攻击工具发起的基于TCP/UDP的网络攻击识别率能够达到很高的置信度。
尽管机器学习在入侵检测中具有显著的效果,但也存在一些挑战,如对大量训练数据的需求、模型的可解释性、对抗性攻击和性能开销等还需要不断地探索和完善,尤其是模型对某些负责攻击的泛化性不高,需要通过人工完善训练集数据。因此,现阶段的最佳的入侵检测防御方法还是将机器学习结合基于规则的技术,以平衡以上优点与挑战,从而更全面的提高入侵检测和防御能力。
Copyright © 2005-2021 网信安全世界版权所有