摘要：自動駕駛汽車具有智能功能（許多功能是使用基于人工智能的解決方案開發的）、自主性和與外部環境的高度連接性。自動駕駛汽車的高度連接性帶來了許多潛在的攻擊面，引發了相關的網絡安全問題。由于車輛的高度自動化和自主性，網絡安全攻擊對自動駕駛汽車的影響也可能決定功能安全方面的嚴重風險。自動駕駛汽車的功能安全保障與網絡安全問題的分析和處理密不可分。在本文中，我們定義了一種稱為ISCA（綜合功能安全和網絡安全保障）的方法，旨在以系統的方式將網絡安全問題整合到基于人工智能的自動駕駛汽車功能的功能安全保障過程中。ISCA方法側重于新興的基于場景的測試人工智能車輛功能的方法，并基于創建用于功能安全測試的場景變體。這些變體源自原始場景，這些場景受到場景執行期間可能發生的高風險網絡攻擊的影響而修改。網絡攻擊的風險評估基于模糊邏輯機制。ISCA代表了一種通過整合網絡安全問題來加強基于場景的AI車輛功能功能安全保障的可能方法。

01.簡介

新一代自動駕駛汽車(AV)有望在安全性、環境影響、用戶舒適度和弱勢群體包容性方面取得實質性進展。然而，它也帶來了前所未有的工程、法律和道德挑戰。最具挑戰性的未決問題之一是通過人工智能(AI)解決方案實現的AV車輛功能的功能安全保障。由于開發和驗證基于AI的系統的范式與傳統范式不同，現有的功能安全保障標準ISO 26262 (2018)、ISO 21448 (2022)基本上是為傳統道路車輛設計的，僅適用于基于AI的車輛功能。此外，鑒于AV的高連通性，網絡安全問題急劇增加，并可能影響車輛的功能安全。人們普遍認識到，AV功能安全保障不能與網絡安全考慮脫節。因此，需要采用功能安全和網絡安全保障的綜合方法來完成從AV原型設計到大規模生產的過渡。

為了以統計確定性證明AV的功能安全性，在進行真實駕駛測試時，需要在道路交通中行駛數十億公里。出于時間和經濟原因，這是不可行的。此外，為了證明道路交通中的安全行為，即使是罕見和苛刻的場景也必須由駕駛功能掌握，而不會發生任何事故。因此，自動駕駛汽車測試的重點正從基于駕駛距離的方法轉向基于場景的方法。

基于場景的測試方法，依賴于選擇代表相關測試用例的精心設計的交通場景來測試自動駕駛系統的功能。駕駛場景通常由靜態、動態和臨時元素組成。需要以文本、圖形或兩者的形式描述和指定此類場景。現在有各種場景描述語言和系統(SDLS)，它們要么依賴于模擬平臺，要么獨立于模擬平臺。

本文介紹了一種方法，該方法從基于場景的AI車輛功能安全保障功能測試方法開始，提供了一種系統的方式來涵蓋網絡安全問題。這種方法稱為綜合功能安全和網絡安全保障(ISCA)，代表了一種通過整合網絡安全方面來加強基于場景的AI車輛功能功能安全保障的可能方法。

本文的結構如下：第2節概述了部署基于場景的測試的現有技術和方法。第3節討論了安全漏洞對功能安全的影響。第4節描述了當前執行基于場景的測試的方式。第5節詳細描述了ISCA方法，最后，第6節給出了結論以及下一步研究步驟的指示。

02.背景

盡管人工智能(AI)越來越多地被視為在汽車中提供高級功能的有效軟件實現技術，但基于AI的汽車系統的功能安全保障仍然是一個懸而未決的問題。道路車輛功能安全的ISO 26262標準提供了全面的指南，以減輕與已知組件失效相關的已知不合理風險。但是，它沒有解決基于AI的車輛功能的特殊性。因此，ISO 26262的許多要求不適用于它們。基于AI的車輛功能的功能安全保障的主要懸而未決的問題是，為獲得足夠安全功能的信心而運行的測試里程數受到限制。為解決這一懸而未決的問題而定義的方法可分為兩個領域：應用形式化方法來證明功能安全和選擇高價值駕駛場景以減少為確保功能安全而需要進行的測試里程數。在本文中，我們重點關注第二個領域。

基于場景的驗證是一種新方法，它正在迅速普及，因為它提供了只關注有意義的測試用例的機會，從而大大減少了功能安全評估過程所需的工作量。為了更好地分析這種方法，我們首先闡明一個場景及其表示方式。根據Ulbrich等人的說法，場景是場景的時間序列，以參與元素的動作和事件為特征。根據此定義，可以為場景表示確定三個抽象級別：

·功能場景：在此抽象級別，使用自然語言描述場景，確保人類專家能夠很好地理解。此表示適合開發生命周期的概念階段（由ISO 26262標準確定）。

·邏輯場景：通過狀態空間內的一組參數范圍（或分布）描述邏輯場景。這種表示通常在系統開發階段和驗證測試規范階段采用。

·具體場景：通過分配給每個參數的一組精確值來描述具體場景，這些值在相應邏輯場景指定的范圍內。這種表示適合測試和驗證。

根據Riedmaier等人提出的分類法，基于場景的驗證過程，首先要確定要從中提取/生成要運行的測試場景的來源，并構建適用場景（具體場景）的參考特定數據庫。數據庫可用后，選擇場景并在真實或模擬環境中執行，最后評估結果以確定測試是否完成。圖1以圖形方式表示了該過程。

圖 1.組成基于場景的驗證流程的階段

在文獻中，大多數關于該主題的文章僅關注一個或一組有限的階段。例如，Langner等人專注于使用自動編碼器直接從駕駛數據中提取獨特的具體場景。他們將場景的時間信號作為輸入，輸入到自動編碼器，并使用再現誤差作為場景新穎性的指標。Kruber等人提出了一種基于隨機森林算法的無監督聚類技術，用于從測量數據中識別場景并將它們分組為具有相似性的元素簇。Bagschik等人對場景生成階段提出了不同的看法，因為他們使用本體來支持基于專家知識的場景創建。

在PEGASUS項目（2019）中，開發了一種方法來構建結構化場景數據庫。所提出的解決方案旨在支持不同的提取/生成技術，因為它提供了一個標準化的輸入接口，能夠處理從現實世界測量到專家知識的各種數據類型，以及允許以機器可讀格式存儲的處理鏈。關于具體場景選擇階段，Rocklage等人提出了一個自動化的回歸測試框架，該框架結合了道路、天氣條件以及靜態和動態對象的參數變化。該方法可用于從功能場景中派生出一組具體場景，從而提供對參數空間的良好覆蓋。另一方面，So等人提出了一種基于證偽的方法，旨在尋找具有挑戰性的極端情況，在這些極端情況下，被測系統違反了安全要求，而不是覆蓋參數空間。作者使用基于大數據技術的方法來調查廣泛的碰撞數據數據庫，并從中選擇潛在的危險場景。Li等人也遵循了證偽路徑，通過在不斷變化的交通場景中擾亂參與者的駕駛動作來創造可能導致被測系統違反安全規定的環境。

無論如何，基于場景的驗證過程的關鍵方面在于要使用的場景的定義。無論采用何種選擇策略，確定要用于驗證的場景都應以在場景的代表性（即提供具有高能力重現安全相關情況的操作環境的場景）和相關成本之間實現最佳權衡為目標。

03.網絡安全問題以強制執行功能安全驗證

隨著汽車連通性的提高，網絡攻擊成為影響車輛功能安全的主要因素，因為它們代表了一種在其功能中引入不可預測的干擾的方式。之前發布的ISO標準ISO/SAE 21434 (2021)證實了這一主題的相關性，該標準專門針對汽車網絡安全。網絡安全威脅可能直接影響車輛的整體功能安全，因此是安全保證過程中的關鍵因素。在文獻中可以找到幾篇關于安全漏洞對安全影響的研究。Miller和Valasek提供了一個眾所周知的安全漏洞直接影響功能安全的例子，因為他們能夠對吉普切諾基進行完全遠程攻擊。通過車輛信息娛樂系統中的漏洞，他們設法遠程連接到該系統，最終甚至獲得了對CAN總線的訪問權限，從而控制了車輛的每個組件。在接下來的幾年里，進行了幾次成功的攻擊性安全研究，暴露了使目標車輛易于被遠程操縱的漏洞。其中包括Argus研究團隊對Bosch Drivelog Connector OBD-II Dongle進行的遠程攻擊、KeenLab發現的BMW汽車漏洞集，以及Weinmann和Schmoztle對特斯拉Model 3進行的攻擊。最近，Matteucci和Costantino對起亞汽車主機進行了逆向工程，以識別漏洞并演示了如何使用這些漏洞來控制IVI（車載信息娛樂系統）并將CAN幀注入總線以改變車輛的行為。

顯然，攻擊者可以通過終端發起網絡攻擊，擾亂汽車嵌入式系統的正常運行，從而導致系統失效，甚至危及駕駛員、乘客和周圍行人的死亡、受傷和傷害。就連ISO 26262標準也指出，最好建立功能安全和網絡安全之間的關系，從而清楚地分析彼此的影響。

在這種情況下，單獨處理基于人工智能的車輛功能的功能安全和網絡安全保障是非常無效的，也不再現實。在本文的其余部分，我們將描述一種將網絡安全問題集成到基于場景的人工智能車輛功能功能保障流程中的方法。業界和學術界普遍承認需要成熟、全面的功能安全與網絡安全協同工程方法，覆蓋整個產品生命周期。然而，在開發和驗證汽車系統時，增加功能安全與網絡安全之間集成度的可用方法的成熟度仍有待鞏固。對于基于人工智能的汽車系統，情況更加悲觀，因為健全、完整和適用的方法還遠遠沒有出現。

本文旨在解決該主題，并有助于回答以下研究問題：

- 如何通過解決網絡安全問題來加強基于人工智能的車輛的功能安全保障？

04.基于場景的功能安全保障

在第3節中，我們討論了當網絡安全問題的影響沒有得到充分考慮時，影響基于人工智能的汽車系統功能安全保障的偏見。為了應對相關挑戰，我們定義了一種基于人工智能的汽車系統保障的原始方法，旨在將網絡安全方面和問題與基于場景的功能安全保障相結合。這種方法稱為ISCA（綜合功能安全和網絡安全保障），第5節將詳細介紹。

ISCA旨在提供一種系統、規范和可評估的方法，來解決基于人工智能的汽車系統的保障問題。基本思想是通過注入基于風險的機制來創建場景變體，從而豐富典型的基于場景的功能安全保障流程，每個場景變體都包括高風險網絡安全攻擊的影響。

在介紹ISCA方法之前，我們首先提供當前參考流程的模型，用于定義、選擇、執行和報告基于場景的功能安全保障（如圖2所示）。然后，我們描述其主要階段。建模的參考流程與Riedmaier等人提供的分類法一致，足夠抽象，可以代表大多數當前應用的方法。

在本節的其余部分，我們將描述圖2中建模的流程的各個階段。

圖2.基于場景的功能安全保障流程模型

4.1 定義測試策略

該流程的初始步驟包括為被測項目(IUT)定義基于場景的測試策略。一般來說，測試策略規定了要遵循的測試方法。測試方法驅動測試活動，因為它定義了測試范圍（即要測試的功能）、測試數據選擇標準、要使用的測試環境和方法、測試進入和退出標準以及可能的覆蓋目標。在基于場景的安全保證測試的情況下，測試策略應根據安全要求確定被測功能（即要考慮的功能場景）、要使用的測試數據的格式（即邏輯和具體場景的格式）、邏輯場景的選擇標準、測試環境（可以是虛擬的、物理的或現實世界的）以及評估測試結果的驗收標準，以確定IUT可能存在的不安全行為。

4.2 選擇功能和邏輯場景

此步驟旨在確定用于功能安全保證目的的場景樣本。

場景通常由靜態、動態和臨時元素組成。這些元素包括環境，例如道路寬度、車道數、道路曲率、道路標志、人行道、一組車輛（自動駕駛或人工駕駛）及其初始狀態（位置、方向、速度等）、行人、交通信號燈，以及具有初始狀態和最終目標的自我自動駕駛汽車（被測AV）。這些場景理想地將安全要求和測試用例聯系起來，最初可以用自然語言句子來表達，并逐漸詳細化以包括在測試時模擬或重現的所有必要信息。在這個意義上，Zhu等人將功能場景（旨在通過抽象語言描述生成）與邏輯場景（旨在以狀態空間的形式表示功能場景，包括參數定義和概率分布）分開。

根據這種場景分類法，功能場景需要以文本（自然語言）或圖形方式（或兩者兼有）進行描述和指定。相反，邏輯場景需要用特定的場景描述語言（SDL）來表達，這些語言可以依賴于或獨立于模擬平臺。Ma等人提供了幾種SDL的描述以及相關特征和功能的系統分析。

為了更好地解釋上述概念（將在本文的其余部分中使用），我們在圖3中提供了一個示例簡化的功能場景以及相關的邏輯場景。

圖3.功能場景描述及其圖形表示的示例

我們假設有一個功能場景和相關邏輯場景的數據庫（每個場景都由參考SDL表示），我們根據隱含的標準從中提取一組場景。從數據庫中選擇場景的標準對功能安全保證活動的有效性有很大影響，通常在測試策略中建立。事實上，從功能安全保證的角度來看，最有趣的場景是那些代表危害駕駛情況的場景（危害場景）。

此過程步驟的結果是功能場景列表，并附有相關的邏輯場景，代表用于確保IUT功能安全的測試數據。

圖3中的功能場景僅代表第一階段，應將其細化為邏輯場景以定義參數空間，從而消除任何可能的歧義和矛盾。從這個意義上講，參考(Bagschik et al., 2018)提出的5層模型，我們可以定義一個參數空間，以便更清楚地轉到相關的邏輯場景：

·第1層（道路模型）：

△幾何形狀：直線

△車道數：2

△右車道寬度：[2.5, 3.75]m

△左車道寬度：[2.5, 3.75]m

·第2層（基礎設施）：

△道路左右路肩均設有護欄

·第3層（臨時修改）：

△無

·第4層（物體）：

△自我車輛：

■在右車道行駛

■初始速度v1：[30, 50]km/h

△車輛V1：

■在右車道行駛，領先于自我車輛

■距離自我車輛d：[5, 15]m

■初始速度v2：[30, 50]km/h

■剎車，每秒減速15km/h

·第5層（環境）：

△天氣：晴天

△路面：干燥

指定為間隔的參數可以選擇通過概率分布來描述，最終將實例化為固定值以在下一步中生成具體場景。5層邏輯場景描述可以轉換為特定的SDL，用于隨后派生具體場景。

4.3 運行派生的具體場景并評估結果

具體場景從邏輯場景開始，為每個參數指定范圍/分布中的固定值，以使邏輯場景可由IUT重現。一些場景描述語言適合直接由模擬系統使用。這代表了一種能夠顯著提高場景定義和模擬效率的工具鏈。然而，一般來說，功能場景需要轉換成狀態空間表示，并轉換成可以與相應的虛擬、物理或現實世界測試方法一起使用的數據格式。這個場景轉換步驟可能具有相當高的復雜性和成本。

最后一步是評估基于場景的測試結果。一旦執行了測試場景并記錄了結果，就需要根據安全要求對其進行評估。為了促進這種評估活動，安全要求可以用定義的關鍵性指標的閾值來表示，在具體場景的演變過程中使用有限的測量序列進行評估。

05.ISCA（綜合功能安全和網絡安全保障）方法

以第4節中描述的基于場景的AI汽車功能保障流程為起點，在本節中，我們將描述ISCA（綜合功能安全和網絡安全保障）方法。ISCA旨在解決如何在選擇用于保障自動駕駛汽車中基于AI的系統的場景時引入網絡安全考慮和關注的問題。基本思想是提供一種方法來創建場景的變體，其中包括由于網絡安全攻擊而導致的現實和高風險擾動。

ISCA方法包含第4節中描述的基于場景的自動駕駛汽車中基于AI的系統安全驗證流程的一些附加組件。這些附加組件是指根據可能發生的網絡安全攻擊的風險分析來創建場景變體。

一旦選擇了功能場景，就會識別并優先考慮所選場景的高風險網絡安全攻擊。然后，一旦得出具體場景，最高優先級網絡安全攻擊的影響就會轉化為具體場景的變體。圖4表示了ISCA流程（黃色元素是相對于圖3中的參考流程的附加組件）。下面將更詳細地描述ISCA流程附加組件。

圖4.ISCA流程模型

5.1 相關網絡安全攻擊評估

此階段旨在根據基于風險的評級機制評估一組網絡攻擊的相關性。如果網絡攻擊可能影響場景中涉及的一個或多個參數，則認為該網絡攻擊與特定場景相關。我們假設有一個網絡攻擊描述數據庫，可以從中提取與場景相關的描述以用于功能安全保障。

為了根據風險級別評估網絡安全攻擊，我們提出了一個基于模糊邏輯的風險評估框架。模糊邏輯的主要優點是可以對定性和模糊信息進行建模。風險評估通常基于通過專家的預測、估計或評估獲得的輸入，因此本質上是不精確且不可重復的。根據模糊邏輯，變量可以具有真實度或虛假度，這些度由1（真）和0（假）之間的值范圍表示，這使得表示風險變得更容易。

在大多數情況下，與某個危害事件相關的風險值由風險成分的組合決定：嚴重性和發生概率。在網絡攻擊的情況下，確定發生的概率很困難，因為攻擊本身是由人執行（或驅動）的，因此很難預測。為此，從SAHARA中汲取靈感，我們決定用兩個風險成分代替風險成分“發生概率”：所需資源（實施攻擊所需資源的數量和復雜性）和所需專業知識（實施攻擊所需知識的數量和特異性）。這些與嚴重性一起是風險評估的主要指標。

圖5顯示了基于模糊邏輯的程序，用于根據相關風險為網絡攻擊分配評級；然后更詳細地解釋每個程序步驟。

圖5.模糊邏輯風險評估框架

步驟1——模糊化

首先，根據上述三個風險成分（即嚴重性、所需資源和知識）評估所選場景中可能發生的攻擊。評估是根據填充每個因素的尺度的一系列模糊集的隸屬度μ(xi)進行的。每個集合都與一個語言標簽相關聯，隸屬函數（圖6中的梯形或三角形函數）標識與此類標簽相對應的輸入值范圍。

圖6.輸入模糊集

讓我們考慮第4.2節中介紹的示例，假設我們想要計算該場景中與LiDAR中繼欺騙攻擊相關的風險。圖6顯示了此特定攻擊的可能模糊化。在這種情況下，攻擊有可能導致事故；因此，嚴重程度被評估為高和非常高之間。所需資源由商品硬件組成，因此已被評估為標準。最后，所需的知識僅包括有關LiDAR功能的一般概念，但不包含有關受到攻擊的特定設備的詳細信息，該設備被視為黑匣子。因此，知識被評估為無和技術之間。更準確地說，我們得到：μ(severity_is_high)=0.2、μ(severity_is_very_high)=0.8、μ(resources_are_standard) = 1、μ(knowledge_is_none) = 0.5 and μ(knowledge_is_technical) = 0.5。

步驟2——推理

然后將成員值與規則庫進行比較，即一組IF-THEN規則，描述每個輸入標簽組合的攻擊風險。每個規則都由與輸入進行比較的前件和代表結論的結果組成。每個規則的觸發程度取決于其前件與輸入的匹配程度。更準確地說，規則的真值μ(zi)等于輸入相對于前件的最小真值。

W.r.t.示例中，以下規則匹配并觸發輸入組合：

A. 如果嚴重性高且資源是標準且知識為零，則風險高

B. 如果嚴重性高且資源是標準且知識是技術性的，則風險中等

C. 如果嚴重性非常高且資源是標準且知識為零，則風險非常高

D. 如果嚴重性非常高且資源是標準且知識是技術性的，則風險高

這導致以下真值：μ(zA) = 0.2, μ(zB) = 0.2, μ(zC) = 0.5, μ(zD) = 0.5。

步驟3——組合

在組合子過程中，分配給每個輸出變量的所有模糊子集被組合起來，為每個輸出變量形成一個模糊子集。這意味著，如果兩個或多個規則具有相同的后果，則相關變量的真值(yi)是它們中最大的。此步驟的結果是一個模糊結論。

在我們的示例中，規則A和D具有相同的后果，因此我們需要從兩個真值中選出最高的一個，即0.5。結果是：μ(risk_is_moderate) = 0.2，μ(risk_is_high) = 0.5，μ(risk_is_very_high) =0.5。此模糊結論以圖形方式顯示在圖7中。

圖7.輸出模糊集

步驟4——去模糊化

最后，去模糊化從模糊結論集中創建一個清晰的排名，以定量表達與所分析攻擊相關的風險級別。這是通過應用最大值加權平均值(WMoM)函數來實現的

其中n是量化結論的數量，xi是第i個隸屬函數達到最大值的支持值（x軸值），μi是第i個隸屬函數的真實度。

總結一下我們的例子，計算如下：

這個清晰值是風險評估程序的最終輸出，以1到10的等級表示與雷達欺騙攻擊相關的風險等級。

然后計算與每個場景相關的網絡攻擊描述的Z值，以用于功能安全保證過程。

此階段的最終結果是三元組列表 [場景、網絡攻擊、Z]，每個三元組代表應用于相關場景的網絡攻擊的風險等級(Z)。

5.2 具體場景變體的制定

此步驟包括利用根據上一節中描述的機制分配給網絡安全攻擊的評級，根據最高優先級攻擊創建具體的場景變體。變體應包含盡可能接近模仿所選攻擊效果的擾動。通過這種方式，可以將根據功能安全標準選擇的場景與高風險網絡威脅的影響相結合。

高度自動化和聯網車輛的攻擊面非常廣泛，因為攻擊者可以通過直接攻擊其傳感器或利用其網絡通信來影響自車的正確駕駛能力，也可以通過改變道路信號等地面真實環境元素來間接影響自車的正確駕駛能力。此外，如前所述，具體場景的定義與所選的測試方法密切相關，因為不同的測試環境（無論是真實世界還是模擬環境）都需要不同的數據格式。出于這些原因，為這一步驟提供全面而結構化的指南非常困難，超出了本文的范圍。但是，我們可以就第5.1節中介紹的LiDAR欺騙攻擊如何影響第4.2節中介紹的示例駕駛場景提供一些想法。對于此類攻擊，我們獲得了8.125分（滿分10分）的風險評級（參見第5.1節），因此可以合理地假設它將被列入生成場景變體的最高優先級候選者之列。正如Petit和Shin等人所解釋的那樣，LiDAR中繼欺騙攻擊可以在傳感器輸出中引起錯覺，導致其檢測到真實物體的假復制品，而這些物體的位置可以被攻擊者操縱。在我們的示例場景中，這種技術可用于欺騙自車，使其認為遠程汽車V1比實際更近，這可能會導致不必要的突然和危險的操作。另一種選擇是強制LiDAR檢測左車道上的假物體（否則為空）。這會影響自車的規劃能力，在最壞的情況下甚至會阻止它考慮變道。根據場景參數（例如車輛的速度和距離）在具體場景中的固定方式，這兩種變體都可能導致碰撞（即，進入一種不安全的狀態，僅通過考慮其基本形式的場景是無法檢測到的）。

06.結論和下一步

自動駕駛汽車技術將在未來得到大規模部署。自動駕駛汽車的特點是智能功能（許多是使用基于人工智能的解決方案開發的）、自主性以及與外部環境（車輛和基礎設施）的高度連接。這種技術創新趨勢決定了多項技術、法律和道德挑戰。

現有的處理功能安全保障的汽車標準部分適用于自動駕駛汽車，因為它們基本上反映了傳統汽車的開發和驗證范式。具體來說，它們只部分適合基于人工智能的車輛功能。

此外，自動駕駛汽車的高連接性帶來了相關的網絡安全問題，因為有許多潛在的攻擊面。由于車輛的高度自動化和自主性，網絡安全攻擊對自動駕駛汽車的影響也可能決定功能安全方面的嚴重風險。在這種情況下，功能安全保障不能與網絡安全問題的分析和處理脫節。雖然將網絡安全問題與自動駕駛汽車的功能安全保障相結合是汽車行業的迫切需求，但仍有一些系統的方法來應對這種需求。

在本文中，我們定義了一種方法，旨在將網絡安全問題系統地整合到基于AI的AV功能的功能安全保障流程中。我們專注于基于場景的AI車輛功能測試方法，這是一種有效結合測試效率和相關成本的新興方法。

本文提出的方法稱為ISCA（綜合功能安全和網絡安全保障），基于創建用于功能安全保障的場景變體。這些變體代表原始場景，這些場景受場景執行期間可能發生的高風險網絡攻擊的影響而修改。換句話說，一旦選擇了一組場景進行功能安全保障，就會根據可能發生的最危險的網絡攻擊的可能影響對這些場景進行修改。

ISCE方法的一個關鍵點是評估和評估特定測試場景中與網絡攻擊相關的風險的機制。為了解決這個問題，ISCA提供了一種基于模糊邏輯的機制來評估網絡攻擊的風險，并根據特定評級對其進行優先排序。這種機制使我們能夠僅考慮風險最高的攻擊，然后限制生成的變體數量。

ICSA代表了一種方法框架，能夠為回答本文所基于的研究問題提供原創貢獻。然而，它需要通過實驗驗證來評估它在工業環境中可以提供的實際附加值，并可能根據實驗反饋對其進行改進。