基于在環(huán)車輛仿真的汽車網(wǎng)絡安全評估框架
摘要
隨著網(wǎng)聯(lián)和自動駕駛汽車技術的發(fā)展,車載通信網(wǎng)絡因與外部環(huán)境互聯(lián)互通,遭受網(wǎng)絡安全威脅的風險日益增加。對此,UNR.155、ISO/SAE 21434等國際法規(guī)和標準不斷完善,凸顯了開展系統(tǒng)化、嚴格化安全評估的必要性。然而,在公共道路上開展網(wǎng)絡安全實驗存在重大安全隱患,而傳統(tǒng)測試平臺和純軟件仿真往往無法捕捉實際車輛的動態(tài)行為。為解決上述問題,本研究提出一種基于在環(huán)車輛仿真(VILS)的評估框架,實現(xiàn)物理車輛與虛擬駕駛環(huán)境的實時融合。該框架通過同步控制輸入與狀態(tài)反饋,能夠在真實工況下對各類網(wǎng)絡攻擊場景進行安全、可重復的測試。實驗結果表明,在環(huán)車輛仿真技術可捕捉不同攻擊類型下車輛的物理響應和網(wǎng)絡層面異常,支持開展全面的定量和定性評估,且在多次重復試驗中展現(xiàn)出高度的一致性和分析精度。研究結果驗證了在環(huán)車輛仿真可作為一種實用、可靠的技術方案,有效提升實車網(wǎng)絡安全評估的準確性和可靠性。
一、引言
在網(wǎng)聯(lián)汽車和自動駕駛技術的推動下,汽車行業(yè)正快速向車內(nèi)、車外通信網(wǎng)絡深度融合的方向發(fā)展。在此背景下,控制器局域網(wǎng)(CAN)、汽車以太網(wǎng)等車載網(wǎng)絡遭受網(wǎng)絡攻擊的概率大幅增加,對車輛安全和用戶隱私構成嚴重威脅。2015 年發(fā)生的一起知名事件中,Jeep 切諾基車型遭遠程黑客攻擊,車輛發(fā)動機啟停和制動系統(tǒng)被非法操控。該事件凸顯了汽車網(wǎng)絡安全的重要性,也推動全球加快制定完善的安全法規(guī)和標準。其中,聯(lián)合國歐洲經(jīng)濟委員會第 29 工作組于 2020 年推出的UN R155強制要求車企建立網(wǎng)絡安全管理體系,對未滿足網(wǎng)絡安全要求的車輛禁止銷售,以此確保法規(guī)的嚴格執(zhí)行。與之互補的是,ISO/SAE 21434為車輛全生命周期提供了全面的安全分析和測試框架。因此,行業(yè)對系統(tǒng)化、實用化的網(wǎng)絡安全驗證方法的需求持續(xù)增長。
保障車輛網(wǎng)絡安全需要開展全面的測試與驗證,但在公共道路上開展網(wǎng)絡攻擊實驗存在極大的安全風險,難以作為常規(guī)評估手段。盡管已有部分研究嘗試在實車上開展受控攻擊實驗,但這類實地測試的可復現(xiàn)性低、操作風險高,無法作為標準化測試方法推廣應用。基于仿真的測試方法,如在環(huán)軟件仿真(SILS)和在環(huán)硬件仿真(HILS),能夠在受控環(huán)境下模擬攻擊行為,提供了更安全的測試選擇。
然而,這些方法往往無法充分捕捉車輛行駛過程中各子系統(tǒng)的動態(tài)行為和復雜交互關系。例如,在靜止車輛上注入攻擊數(shù)據(jù)包時,會忽略車輛運動帶來的傳感器輸入變化以及電子控制單元(ECU)間的通信交互,導致評估結果失真或與實際情況不符。目前公開的多數(shù)控制器局域網(wǎng)攻擊數(shù)據(jù)集均在靜態(tài)條件下采集,信號模式過于簡化,且這些數(shù)據(jù)集報告的入侵檢測準確率普遍超過 99%,該結果具有誤導性,并不適用于入侵檢測系統(tǒng)(IDS)的評估。這一問題表明,行業(yè)亟需一個能夠復現(xiàn)真實駕駛工況、安全且可重復的測試環(huán)境。在環(huán)車輛仿真框架成為極具潛力的解決方案,該技術通過將實車與虛擬駕駛環(huán)境融合,彌補了虛擬仿真與實車道路測試之間的差距。
在環(huán)車輛仿真框架通過底盤測功機或部分硬件集成的方式,將車輛與可模擬環(huán)境和道路工況的高保真仿真器相連接。其核心優(yōu)勢在于兼顧了測試的真實性和可復現(xiàn)性,既能讓車輛物理部件做出真實的響應,又能對測試場景進行一致的重復執(zhí)行,支持針對各類威脅場景開展受控實驗。該技術為實車道路測試提供了經(jīng)濟、高效的替代方案,已廣泛應用于自動駕駛驗證等多個領域。
但現(xiàn)有在環(huán)車輛仿真相關研究主要聚焦于高級駕駛輔助系統(tǒng)(ADAS)或自動駕駛性能的驗證,對網(wǎng)絡安全驗證的關注較少。目前多數(shù)車輛網(wǎng)絡安全仿真均為純軟件仿真,或僅局限于安全評估工具的開發(fā),尚未在真實駕駛場景下開展全面的驗證。
本研究提出并通過實驗實現(xiàn)了一種基于在環(huán)車輛仿真的網(wǎng)絡安全評估框架,該框架專為真實、可重復的攻擊場景測試設計。本文的主要研究貢獻如下:
1. 分析了在環(huán)車輛仿真應用于汽車網(wǎng)絡安全評估的設計考量與實施挑戰(zhàn):研究剖析了將在環(huán)車輛仿真技術應用于汽車網(wǎng)絡安全評估所需的關鍵設計要素,包括實車與仿真器的融合、實時數(shù)據(jù)同步以及傳感器 / 執(zhí)行器仿真精度,并基于分析結果提出了適用于網(wǎng)絡安全測試的在環(huán)車輛仿真架構和方法。
2. 驗證了在環(huán)車輛仿真中網(wǎng)絡攻擊場景的復現(xiàn)效果:將所提框架應用于實車,在駕駛環(huán)境中模擬嗅探、消息注入、拒絕服務(DoS)和模糊測試等網(wǎng)絡攻擊場景,驗證了該在環(huán)車輛仿真平臺能夠復現(xiàn)并評估車輛實際運行過程中網(wǎng)絡入侵和干擾造成的影響。
3. 驗證了在環(huán)車輛仿真技術在網(wǎng)絡安全評估中的有效性:通過實驗驗證,該在環(huán)車輛仿真框架能夠在多種威脅場景下,對車輛動力學特性和網(wǎng)絡層面異常進行一致、準確的分析。研究采用定量指標和可視化分析方法,證明相較于傳統(tǒng)評估方法,在環(huán)車輛仿真能更可靠、真實地評估網(wǎng)絡安全風險。
本文后續(xù)結構安排如下:第二部分綜述當前車輛網(wǎng)絡安全測試方法及其局限性,闡明采用在環(huán)車輛仿真方案的必要性;第三部分詳細介紹所提出的基于在環(huán)車輛仿真的網(wǎng)絡安全評估框架的架構和工作原理;第四部分描述實驗平臺,包括測試臺配置和攻擊場景設計;第五部分分析實驗結果,對比在環(huán)車輛仿真環(huán)境和靜態(tài)條件下的測試結果;第六部分總結主要研究結論,并展望未來研究方向。
二、相關研究
汽車網(wǎng)絡安全測試相關研究主要可分為三類:基于傳統(tǒng)測試平臺的方法、基于虛擬仿真的方法,以及以在環(huán)車輛仿真為代表的混合現(xiàn)實方法。傳統(tǒng)車輛安全測試依托集成在環(huán)硬件仿真設備或實車部件的測試平臺開展,測試時車輛通常處于靜止狀態(tài)。典型研究包括研究人員向控制器局域網(wǎng)總線注入隨機數(shù)據(jù)包、修改電子控制單元固件以挖掘安全漏洞等實驗。在工業(yè)界,利用統(tǒng)一診斷服務協(xié)議和控制器局域網(wǎng)模糊測試工具開展評估已成為標準流程。但這類基于測試平臺的方法難以復現(xiàn)車輛實際行駛過程中的動態(tài)復雜場景,如車速變化、傳感器實時輸入以及駕駛員交互等。例如,人機協(xié)作機器人實驗室發(fā)布的數(shù)據(jù)集和近期入侵檢測系統(tǒng)開發(fā)相關研究均表明,在靜態(tài)條件下采集的網(wǎng)絡安全測試數(shù)據(jù),無法反映真實駕駛過程中的行為復雜性。過于簡化的信號模式讓入侵檢測變得異常容易,導致檢測性能被不切實際地高估。為提高攻擊檢測和影響評估的可靠性,需在車輛實際行駛過程中采集正常和惡意行為數(shù)據(jù)。
與之相對,研究人員也探索了不依賴實車、完全基于軟件仿真的純虛擬方法。這類方法通常借助在環(huán)軟件仿真環(huán)境或網(wǎng)絡仿真器復現(xiàn)車載通信過程,通過注入模擬攻擊數(shù)據(jù)包開展威脅分析。例如,Lee 等人基于虛擬機搭建了真實駕駛環(huán)境的仿真系統(tǒng),并與 Vector CANoe 等商用工具融合,開展車路云一體化(V2X)通信安全測試。盡管純軟件仿真無需實車即可安全開展各類攻擊場景測試,但其存在顯著局限性:仿真中的車輛節(jié)點均以軟件實體形式存在,難以準確復現(xiàn)攻擊向量,也無法反映外部入侵相關的物理世界約束。例如,虛擬電子控制單元的計算資源不受限制,時序特性也與實車存在差異,會導致攻擊效果和系統(tǒng)行為的仿真結果出現(xiàn)偏差。這些局限性使得行業(yè)亟需在貼近真實工況的環(huán)境中開展網(wǎng)絡安全驗證,而在環(huán)車輛仿真技術憑借其兼具仿真靈活性和物理真實性的優(yōu)勢,成為極具吸引力的替代方案—— 該技術將實車部件融入虛擬駕駛環(huán)境,實現(xiàn)了二者的平衡。
在環(huán)車輛仿真測試技術將整臺物理車輛納入高保真仿真回路中。該技術最初為自動駕駛研究中的可靠性驗證而開發(fā),目前已應用于感知驗證、控制系統(tǒng)測試、能耗優(yōu)化等多個領域。美國阿貢國家實驗室等多家機構已開展相關實驗:將實車置于底盤測功機上,并與三維虛擬環(huán)境連接,模擬復雜駕駛場景,實現(xiàn)實車與虛擬交通流的融合。與傳統(tǒng)的孤立測試子系統(tǒng)的在環(huán)硬件仿真平臺不同,在環(huán)車輛仿真能夠在動態(tài)、可控的環(huán)境中對車輛進行全系統(tǒng)評估,涵蓋傳感器、控制單元和動力總成等所有部件,大幅提升了測試的真實性和系統(tǒng)交互保真度。例如,在高級駕駛輔助系統(tǒng)驗證中,可在虛擬調整道路和交通工況的同時,驗證實車的轉向、制動和加速響應;在能效測試中,可精準重復虛擬駕駛循環(huán),評估油耗、電池性能等各項參數(shù)。在環(huán)車輛仿真的一大重要優(yōu)勢是,能夠安全、重復地測試緊急制動、預碰撞等危險場景,且不會引發(fā)實際交通事故。這一特性有助于采集高可復現(xiàn)性、高代表性的數(shù)據(jù),為車輛安全和性能分析提供支撐。
但在環(huán)車輛仿真的實施面臨諸多技術挑戰(zhàn)。Acharya 等人指出了搭建在環(huán)車輛仿真測試臺的多個難點,包括系統(tǒng)集成與兼容性、網(wǎng)絡連通性(含車路云一體化通信)、實時處理、數(shù)據(jù)采集與管理、可擴展性與靈活性、高精度傳感器仿真、混合現(xiàn)實與沉浸感,以及缺乏標準化的測試協(xié)議和基準。綜上,要獲取有效的測試結果,需將實車、仿真器、控制設備和傳感器模型進行持續(xù)的連接與協(xié)調,實現(xiàn)車輛與虛擬環(huán)境的實時同步,同時對各類傳感器和道路工況進行高保真建模。此外,軟硬件部件間的接口兼容性、支持重復測試的自動化場景控制,以及評估性能的標準化指標也同樣重要。目前,在環(huán)車輛仿真在網(wǎng)絡安全測試中的應用仍處于起步階段,本研究借鑒現(xiàn)有研究成果,搭建了基于在環(huán)車輛仿真的車輛安全評估框架,并驗證了其有效性。
三、研究方法
3.1 搭建在環(huán)車輛仿真框架的關鍵技術挑戰(zhàn)
在開發(fā)面向網(wǎng)絡安全評估的混合式在環(huán)車輛仿真框架過程中,研究人員遇到了多項技術挑戰(zhàn),包括保障測試過程的安全性、復現(xiàn)真實的車輛行為以及實現(xiàn)評估流程的系統(tǒng)化。本部分闡述應對這些挑戰(zhàn)的核心考量和解決方案。
首先,在實車上開展網(wǎng)絡安全實驗時,保障操作人員的安全是首要前提。研究需要搭建一套能讓車輛在靜止狀態(tài)下運行的測試平臺,從而在無需車輛駛入公共道路的前提下,安全開展網(wǎng)絡攻擊測試。本研究采用實車模式,將車輛置于舉升機上,車輪懸空。該布置方式能讓發(fā)動機和傳動系統(tǒng)在接近真實的工況下運行,實現(xiàn)駕駛場景的安全仿真。但當車速超過 60km/h 時,輪胎傳感器會檢測到車輪未接觸地面,并在儀表盤觸發(fā)報警信息,因此該模式下的實驗車速限制在 50km/h 及以下。研究同時設計了鍵盤模式,以支持高速場景測試或無舉升機的實驗環(huán)境。在該模式下,車輛保持駐車狀態(tài),仿真器通過鍵盤輸入獨立控制換擋,僅將轉向、油門、制動等控制信號從車輛傳輸至仿真器,擋位狀態(tài)則由虛擬系統(tǒng)管理。這種雙模式架構在堅持安全優(yōu)先設計原則的同時,支持包括高速場景在內(nèi)的各類模擬駕駛工況。
其次,在復現(xiàn)實車行為和復雜駕駛場景方面,要準確評估車輛網(wǎng)絡安全,需真實復現(xiàn)車輛動力學特性和電子控制單元層面的交互關系,而這是純軟件仿真難以實現(xiàn)的。傳統(tǒng)的在環(huán)軟件仿真或在環(huán)硬件仿真方法往往無法復現(xiàn)車輛各物理部件的響應以及多個電子控制單元的協(xié)同行為。為克服這一局限性,本研究搭建了混合式在環(huán)車輛仿真架構,將實車與虛擬駕駛環(huán)境進行實時融合。該配置能夠在高速公路、城市交叉口、自動駕駛等多種場景下,開展貼近真實的網(wǎng)絡攻擊實驗,同時捕捉實車的傳感器實時響應和電子控制單元通信數(shù)據(jù)。將物理車輛納入虛擬場景的仿真回路中,相比純虛擬仿真,測試的真實性更高;相比傳統(tǒng)測試平臺,系統(tǒng)交互的豐富度也更強,從而提升了攻擊分析的可靠性。同時,通過對不同工況進行重復測試,能夠詳細分析車輛遭受攻擊后的行為特征。
第三,在評估流程系統(tǒng)化和保障可擴展性方面,本研究的核心目標之一是搭建一個能夠實時、系統(tǒng)化分析網(wǎng)絡攻擊對車輛行駛穩(wěn)定性和控制系統(tǒng)影響的測試環(huán)境。與以往多為孤立、一次性的攻擊演示研究不同,本研究提出的基于在環(huán)車輛仿真的框架支持開展可重復、可量化的實驗。每次測試過程中,系統(tǒng)會采集車輛和仿真環(huán)境的同步數(shù)據(jù),并能對相同場景進行重復執(zhí)行,便于直接對比車輛遭受攻擊前后的行為差異。該設計也為入侵檢測系統(tǒng)或其他安全防護措施的性能驗證等后續(xù)研究提供了支撐。
此外,研究將可擴展性作為核心設計考量,以確保框架與各類攻擊場景的兼容性。為此,研究對在環(huán)車輛仿真環(huán)境進行模塊化設計,實現(xiàn)配置的靈活調整和功能擴展,能夠對車載網(wǎng)絡各部件開展嗅探、欺騙、拒絕服務、模糊測試等多種類型的攻擊測試。
3.2 在環(huán)車輛仿真框架概述
為解決上述挑戰(zhàn),實現(xiàn)車輛運行工況下網(wǎng)絡安全的有效評估,本研究提出一套集成化的基于在環(huán)車輛仿真的評估框架,其核心設計原則為安全和可擴展。如圖 1 所示,該框架構建了一個混合式環(huán)境,實現(xiàn)實車與虛擬駕駛仿真器的實時同步,通過該測試臺架構可評估車載系統(tǒng)的性能和安全漏洞。
圖1、所提出的在環(huán)車輛仿真(VILS)框架整體架構圖
該在環(huán)車輛仿真框架的核心特性在于,能夠直接觀測實車的動態(tài)行為,同時通過虛擬環(huán)境靈活模擬各類駕駛工況,從而能夠在高速公路、城市交叉口、自動駕駛等復雜場景下,全面測試安全威脅,且不會讓物理車輛面臨不必要的運行風險或機械損耗。與實車道路測試相比,在環(huán)車輛仿真大幅降低了測試成本、風險和后勤保障復雜度,適用于大規(guī)模、可重復的場景評估。
下文將詳細闡述該框架的四大核心模塊:測試車輛、虛擬仿真器、控制器局域網(wǎng) - 用戶數(shù)據(jù)報協(xié)議(CAN-UDP)網(wǎng)關和故障注入模塊,說明各模塊的功能及交互關系,全面解析系統(tǒng)架構。
3.2.1 測試車輛模塊
測試車輛模塊是在環(huán)車輛仿真框架的核心組件,以實車作為網(wǎng)絡安全實驗的物理測試臺,實現(xiàn)實車與虛擬駕駛環(huán)境的融合,便于研究人員觀測和評估網(wǎng)絡攻擊對實際車輛系統(tǒng)的影響。該模塊中,車輛被固定在舉升機上或保持駐車靜止狀態(tài),確保機械系統(tǒng)正常運行的同時,車輛不會發(fā)生物理移動,保障測試安全。發(fā)動機、變速器、轉向、制動系統(tǒng)等所有核心行駛部件均保持全功能運行,復現(xiàn)真實的車輛行為。操作人員可在駕駛位通過油門踏板、制動踏板和方向盤進行操作,與正常駕駛無異,這些控制信號會從車輛的控制器局域網(wǎng)總線采集并以數(shù)字形式傳輸。測試車輛模塊中安裝了專用的控制器局域網(wǎng)數(shù)據(jù)采集器,用于提取相關實時信號并轉發(fā)至外部系統(tǒng)。
綜上,測試車輛模塊持續(xù)采集車輛的控制輸入和狀態(tài)信息,并將數(shù)據(jù)傳輸至仿真器,實現(xiàn)了物理車輛與數(shù)字虛擬環(huán)境的高保真對接,準確反映車輛的真實動態(tài)特性。該配置能夠深入分析網(wǎng)絡攻擊對實車響應的影響,同時通過將車輛的物理移動限制在受控環(huán)境中,保障測試的安全、穩(wěn)定和可重復。
為降低向實車注入網(wǎng)絡攻擊時發(fā)生人身傷害或安全事故的風險,框架中設置了以下防護機制:
1. 車速管理:在舉升機測試配置下,車輪懸空轉動會導致輪胎速度傳感器出現(xiàn)誤差。為避免觸發(fā)該類誤差并保障運行安全,舉升機模式下的實驗車速需控制在 60km/h 以下。
2. 電子控制單元故障狀態(tài)管理:診斷故障碼的累積會導致仿真器與車輛的接口失穩(wěn),因此需定期重置仿真器與車輛之間的通信,以保持系統(tǒng)穩(wěn)定性。此外,當報警指示燈數(shù)量超過預設閾值時,車輛實際行駛約 50 米后,這些指示燈將被自動清除。
3. 怠速轉速控制:長時間實驗會對發(fā)動機造成熱負荷和機械負荷,因此怠速轉速需保持在廠商推薦的 600 至 1000 轉 / 分鐘范圍內(nèi),以維持發(fā)動機的潤滑和熱平衡。在鍵盤模式下,仿真器將控制器局域網(wǎng)上的踏板值 - 油門值(PV_AV_CAN)放大 10 倍,使虛擬車輛產(chǎn)生真實的加速響應,同時保證實車的怠速狀態(tài)穩(wěn)定。
3.2.2 虛擬仿真器模塊
虛擬仿真器模塊通過構建虛擬道路和駕駛環(huán)境,復現(xiàn)車輛在各類駕駛場景下的行為。其核心功能是利用物理車輛的輸入信號,實時控制仿真車輛,實現(xiàn)基于實車的虛擬駕駛。例如,當仿真器從測試車輛模塊接收到油門踏板位置、制動壓力、轉向角度等數(shù)據(jù)后,虛擬車輛會做出相應的加速、減速和轉向動作,沿虛擬道路網(wǎng)絡行駛。仿真核心模塊負責仿真時序和控制,包括場景加載、初始化和數(shù)據(jù)同步;核心模塊中的場景編輯器提供基于圖形用戶界面的操作界面,研究人員可通過該界面創(chuàng)建或編輯道路配置、行駛路徑、交通事件和環(huán)境條件。轉向、油門、制動、擋位等輸入信號通過控制器局域網(wǎng)輸入 / 輸出(I/O)插件接收,并傳輸至數(shù)據(jù)采集子模塊;這些信號經(jīng)過預處理和記錄后,被轉發(fā)至車輛動力學引擎,該引擎基于物理車輛模型計算車速、轉向響應、加速度等運動特性,計算得到的狀態(tài)數(shù)據(jù)會發(fā)送至控制器局域網(wǎng)控制插件,該插件可將反饋信息融入系統(tǒng),或觸發(fā)其他仿真器事件。
虛擬仿真器模塊的次要功能是構建真實、可交互的環(huán)境模型。場景 / 環(huán)境引擎通過道路建模工具生成高速公路、交叉口、城市道路等道路拓撲結構,交通生成器則對實時交通流進行建模;環(huán)境仿真器逐幀渲染場景工況,包括天氣、時段和能見度等。研究人員可通過仿真核心模塊配置這些場景,分析不同場景下車輛行為和攻擊效果的變化。值得注意的是,仿真器中還包含周邊車輛、行人、交通信號燈等交通基礎設施等虛擬實體,便于評估網(wǎng)絡攻擊對自車以外的其他交通參與者的影響。
這種模塊化配置能夠實現(xiàn)網(wǎng)絡安全測試結果的實時可視化。通過與物理車輛的控制信號同步,即使在危險或可能引發(fā)碰撞的場景下,仿真器也能在安全、受控的環(huán)境中展示網(wǎng)絡攻擊的影響。可視化渲染由三維物理引擎完成,該引擎與道路網(wǎng)絡和車輛動力學數(shù)據(jù)緊密耦合,確保數(shù)字孿生體的行為準確。虛擬仿真器模塊作為高保真的數(shù)字測試臺,通過在全虛擬化環(huán)境中復現(xiàn)實車行為,實現(xiàn)了各類駕駛場景下網(wǎng)絡攻擊影響的評估。
為保障實驗的可靠性和可重復性,系統(tǒng)設置了以下機制:
1. 模型驗證與校準:定期將虛擬車輛參數(shù)(如質量、轉動慣量、輪胎剛度)與實車的記錄數(shù)據(jù)進行交叉驗證;當均方根誤差(RMSE)、平均絕對百分比誤差(MAPE)等關鍵誤差指標超過閾值時,對模型進行重新校準。
2. 實時性能監(jiān)控:系統(tǒng)通過跟蹤 CPU 幀時間與默認仿真時間步長(10 毫秒)的比值,持續(xù)監(jiān)控仿真性能;若延遲超過 5%,將自動降低圖形細節(jié)和渲染對象數(shù)量,在保證物理保真度的前提下,維持系統(tǒng)的實時運行。
3. 異常輸入 / 輸出過濾:當控制器局域網(wǎng)信號超出物理合理范圍時(如轉向角速度超過 1000°/ 秒),將觸發(fā)安全機制,暫停仿真幀并記錄警告信息,避免虛擬環(huán)境出現(xiàn)失穩(wěn)或錯誤響應。
3.2.3 控制器局域網(wǎng) - 用戶數(shù)據(jù)報協(xié)議網(wǎng)關模塊
控制器局域網(wǎng) - 用戶數(shù)據(jù)報協(xié)議網(wǎng)關模塊是實車與虛擬仿真器之間的實時數(shù)據(jù)中繼站,作為通信樞紐,連接實車的物理控制器局域網(wǎng)網(wǎng)絡和軟件化的虛擬仿真環(huán)境。控制器局域網(wǎng)信號解碼器利用數(shù)據(jù)庫(DBC)文件解析車輛的原始控制器局域網(wǎng)報文,控制器局域網(wǎng)信號轉換器 / 接口則將這些信號轉換為用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包并傳輸至仿真器;必要時,該網(wǎng)關可實現(xiàn)雙向通信(如將控制指令或模擬環(huán)境反饋傳輸至車輛端)。網(wǎng)關以軟件形式部署在高性能嵌入式板卡或筆記本電腦上,通過調取車輛的控制器局域網(wǎng)協(xié)議定義,對每個控制器局域網(wǎng)標識符和信號進行解碼,并將數(shù)據(jù)重新格式化后傳輸至仿真器。車輛的車速、發(fā)動機轉速、轉向角度、制動壓力等關鍵信號被提取并編碼為用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包,轉發(fā)至仿真系統(tǒng)。由于實驗對實時性要求較高,本研究采用用戶數(shù)據(jù)報協(xié)議而非傳輸控制協(xié)議,以最大限度降低延遲,確保系統(tǒng)始終根據(jù)最新數(shù)據(jù)完成更新,即使出現(xiàn)偶爾的數(shù)據(jù)包丟失也不受影響。
該模塊可根據(jù)實車模式或鍵盤模式這兩種不同的主動控制模式,動態(tài)調整運行方式。在實車模式下,實車的所有控制輸入(如踏板位置、轉向角度、制動壓力、擋位)均通過控制器局域網(wǎng)總線采集,經(jīng)最小化處理后轉發(fā)至仿真器,該模式適用于研究人員直接操控實車的場景(如車輛置于舉升機或底盤測功機上)。相反,當受空間限制或安全考量,無法直接操控車輛時,將采用鍵盤模式;該模式下,車輛保持駐車鎖定狀態(tài),仿真器通過鍵盤輸入覆蓋擋位位置,車輛的制動、轉向、加速等其他所有控制信號保持有效并正常傳輸。值得注意的是,為避免油門踏板小開度輸入的信號被低估,并保證發(fā)動機怠速穩(wěn)定,油門信號 PV_AV_CAN 會被放大 10 倍(詳見 3.2.1 節(jié))。這種靈活的控制模式設計,在保證物理系統(tǒng)與虛擬系統(tǒng)數(shù)據(jù)一致性的同時,實現(xiàn)了廣泛的實驗覆蓋。
除核心功能外,控制器局域網(wǎng) - 用戶數(shù)據(jù)報協(xié)議網(wǎng)關還是保障端到端數(shù)據(jù)管道完整性的核心組件,涵蓋語義完整性和時間一致性。數(shù)據(jù)處理流程分為四個階段:(1)從車輛控制器局域網(wǎng)總線采集原始數(shù)據(jù);(2)利用數(shù)據(jù)庫文件解析信號,將原始數(shù)據(jù)準確轉換為度數(shù)、壓力等有意義的工程單位,保障語義完整性;(3)將數(shù)據(jù)轉換為低延遲的用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包進行傳輸;(4)在仿真器的車輛動力學模型中完成數(shù)據(jù)融合。
在高頻攻擊壓力下,使用易丟失數(shù)據(jù)的用戶數(shù)據(jù)報協(xié)議時,維持這一多階段流程的時間一致性是一項關鍵挑戰(zhàn)。本研究的框架采用雙重策略解決該問題,既保證實驗后分析的保真度,又維持系統(tǒng)的實時運行穩(wěn)定性。
第一,為保障分析保真度和時間一致性,框架依托統(tǒng)一、高精度的時間戳系統(tǒng)。在環(huán)車輛仿真系統(tǒng)中的所有數(shù)據(jù)點 —— 包括車輛的控制器局域網(wǎng)報文、仿真器事件、故障注入日志 —— 均添加該統(tǒng)一時間戳。該方法能讓所有記錄數(shù)據(jù)在實驗后分析中實現(xiàn)完美的時間對齊,因此即使在高頻攻擊過程中出現(xiàn)部分用戶數(shù)據(jù)報協(xié)議數(shù)據(jù)包丟失,也能準確還原攻擊注入與車輛響應之間的因果關系,這也是本框架數(shù)據(jù)可靠性的核心所在。
第二,為維持實時運行穩(wěn)定性,系統(tǒng)集成了動態(tài)性能監(jiān)控機制,防止仿真滯后于實車時間。框架持續(xù)跟蹤仿真的 CPU 幀時間與 10 毫秒基準值的比值,若延遲超過預設閾值(如 5%),系統(tǒng)將自動減少非核心計算負荷(如圖形細節(jié)渲染),以保證核心物理保真度,確保仿真回路的響應性。
綜上,本研究提出的控制器局域網(wǎng) - 用戶數(shù)據(jù)報協(xié)議網(wǎng)關是支撐在環(huán)車輛仿真框架安全性、可擴展性和數(shù)據(jù)驅動評估能力的核心組件。除上述核心的完整性和同步機制外,該網(wǎng)關還具備以下功能:
1. 車輛健康監(jiān)控:通過車載診斷 Ⅱ(OBD-Ⅱ)接口定期采集車輛動力學數(shù)據(jù)和電子控制單元診斷數(shù)據(jù),實現(xiàn)實時異常檢測,并支持定量對比車輛遭受網(wǎng)絡攻擊前后的行為差異。
2. 網(wǎng)絡流量記錄:采集所有控制器局域網(wǎng)流量數(shù)據(jù),并與攻擊生成器的日志進行關聯(lián);通過時間戳系統(tǒng)精準對齊的歸檔數(shù)據(jù),能夠對攻擊數(shù)據(jù)包和對應的車輛響應開展詳細的批量分析。
3. 模式切換熱插拔(實車模式?鍵盤模式):在控制模式切換過程中,系統(tǒng)將設置 100 毫秒的緩沖期,暫停控制器局域網(wǎng)數(shù)據(jù)傳輸,并重新加載相關的字段映射表,避免數(shù)據(jù)解析出現(xiàn)不一致。
3.2.4 故障注入模塊
故障注入模塊是框架的最后一個組件,作為攻擊節(jié)點,負責向車載網(wǎng)絡注入惡意報文。該模塊通過與車輛接線盒相連的硬件接口,接入車輛內(nèi)部的控制器局域網(wǎng)總線,可發(fā)送或接收任意的控制器局域網(wǎng)幀。所有攻擊報文均由攻擊注入器控制的定制程序管理,該程序按照預設場景以迭代、系統(tǒng)化的方式執(zhí)行攻擊。
該模塊具備兩大核心功能:第一,嗅探功能通過場景解析器 / 故障庫實時采集車輛的合法控制器局域網(wǎng)流量數(shù)據(jù),這些數(shù)據(jù)能夠揭示目標標識符、報文頻率和典型有效載荷結構,為攻擊設計提供依據(jù);第二,主動攻擊功能根據(jù)腳本配置向網(wǎng)絡注入惡意報文,每個攻擊場景均通過可自定義的腳本配置文件進行設定,文件中定義了以下場景參數(shù):
· 故障類型:攻擊類型(如欺騙、拒絕服務、模糊測試);
· 故障時間:執(zhí)行開始時間、觸發(fā)條件和持續(xù)時長;
· 故障位置:目標控制器局域網(wǎng)標識符和有效載荷內(nèi)容。
研究人員可通過圖形用戶界面直觀地編輯和保存場景參數(shù),配置完成后,場景信息將被傳輸至場景腳本模塊,由調度器 / 事件觸發(fā)器確定攻擊執(zhí)行時序為基于時間觸發(fā)(如仿真開始后 N 秒)或基于事件觸發(fā)(如制動踏板踩下后)。每個腳本還會定義有效載荷生成規(guī)則、報文重復頻率和幀格式,攻擊注入器通過控制器局域網(wǎng)應用程序編程接口 / 驅動層,將抽象的場景定義轉換為控制器局域網(wǎng)幀,并發(fā)送至車輛的控制器局域網(wǎng)總線。例如,可將拒絕服務攻擊定義為 “仿真開始后 5 至 30 秒內(nèi),以 1 毫秒的間隔發(fā)送控制器局域網(wǎng)標識符 0×123 的報文”。
綜上,該模塊通過對控制器局域網(wǎng)實時流量的分析來配置目標場景,能夠對嗅探、注入、欺騙、拒絕服務、模糊測試等多種網(wǎng)絡攻擊類型開展結構化評估。每個場景均明確了目標電子控制單元、報文標識符、注入頻率和攻擊時序,便于開展可重復的實驗。該模塊支持單階段和多階段鏈式攻擊,為全面評估車輛行為受攻擊的影響提供了靈活性。
3.3 框架的可擴展性和可配置性
本研究提出的在環(huán)車輛仿真框架的核心設計原則為模塊化架構,該設計旨在確保框架的可擴展性和通用性,避免過度適配單一車輛模型或網(wǎng)絡拓撲。框架的靈活性主要體現(xiàn)在網(wǎng)絡可擴展性和車輛可配置性兩個方面。
3.3.1 網(wǎng)絡拓撲可擴展性
首先,在網(wǎng)絡拓撲可擴展性方面,控制器局域網(wǎng) - 用戶數(shù)據(jù)報協(xié)議網(wǎng)關模塊是物理車載網(wǎng)絡與虛擬仿真器之間的關鍵抽象層。盡管本研究聚焦于傳統(tǒng)的控制器局域網(wǎng)總線,但框架具備良好的可擴展能力:如需支持控制器局域網(wǎng)靈活數(shù)據(jù)速率(CAN-FD)、汽車以太網(wǎng)等新型網(wǎng)絡架構,僅需對網(wǎng)關模塊進行局部修改。例如,要支持汽車以太網(wǎng),只需為網(wǎng)關添加以太網(wǎng)接口,并擴展解碼器以解析面向服務的車載以太網(wǎng)中間件(SOME/IP)等協(xié)議,而非控制器局域網(wǎng)幀。虛擬仿真器、故障注入模塊等其他主要模塊均基于抽象數(shù)據(jù)信號(如 “轉向角度”“轉速”)運行,基本不受底層網(wǎng)絡技術的影響,僅需少量修改即可實現(xiàn)兼容。
3.3.2 車輛模型可配置性
其次,在車輛模型可配置性方面,框架集成了多項功能,以適配不同廠商的各類車輛模型:
1. 基于數(shù)據(jù)庫文件的信號解析:網(wǎng)關采用行業(yè)標準的控制器局域網(wǎng)數(shù)據(jù)庫文件解析控制器局域網(wǎng)報文,如需測試不同車輛,僅需加載對應的數(shù)據(jù)庫文件,系統(tǒng)即可自動支持新的控制器局域網(wǎng)標識符、有效載荷結構和信號定義,無需修改軟件。
2. 基于腳本的攻擊場景:所有攻擊場景均在外部的用戶可自定義腳本文件中定義,文件包含目標標識符、注入頻率、有效載荷等參數(shù),研究人員可根據(jù)不同車輛的專屬報文集,輕松設計和修改攻擊方案,無需改變框架的核心邏輯。
3. 可校準的車輛動力學模型:仿真器中的虛擬車輛模型采用參數(shù)化設計,可通過重新校準車輛質量、轉動慣量、輪胎剛度等物理屬性,匹配被測實車的動力學特性。
這些設計讓該框架成為一個通用平臺,能夠支持對各類車輛和網(wǎng)絡架構開展對比性安全測試。
四、實驗平臺
本研究利用所提出的在環(huán)車輛仿真框架開展實驗,在實車上執(zhí)行并評估各類網(wǎng)絡攻擊場景。本部分描述實驗環(huán)境,包括測試車輛、硬件組件、場景配置、系統(tǒng)集成架構和評估指標。圖 1 為所提在環(huán)車輛仿真框架的整體架構,圖 2 為各模塊在實際實驗平臺中的實現(xiàn)方式,表 1 匯總了實車和實驗設備的詳細規(guī)格參數(shù)。
圖2、基于在環(huán)車輛仿真(VILS)的網(wǎng)絡安全實驗一體化硬件搭建方案
表1、測試車輛、仿真器及儀器設備的集成規(guī)格
4.1 測試車輛與實驗設備
4.1.1 測試車輛
圖 2(a)為實車模式的實驗布置,測試車輛被固定在舉升機上,車輛保持靜止,但發(fā)動機和各電子控制單元正常運行,在貼近實際駕駛的工況下真實復現(xiàn)網(wǎng)絡攻擊場景。在無舉升機或底盤測功機的環(huán)境中,實驗將采用鍵盤模式,車輛保持駐車狀態(tài),仿真器在內(nèi)部切換至行駛模式以模擬駕駛場景,確保實驗在無車輛物理移動的情況下持續(xù)開展。
4.1.2 攻擊與監(jiān)控設備
圖 3 顯示,為保障實驗安全和測試保真度,實驗平臺將車輛控制輸入路徑與攻擊路徑進行了物理分離。用于與仿真器交互的動力總成(P)- 控制器局域網(wǎng)線路從車輛接線盒外部引出,與仿真器連接以實現(xiàn)實時同步;攻擊注入則通過后攝像頭模塊接入底盤(C)- 控制器局域網(wǎng)線路,通過部分暴露副駕駛車門線束接入車身(B)- 控制器局域網(wǎng)線路。該配置最大限度地減少了對車輛的物理改動,同時真實模擬了實際滲透測試中可能出現(xiàn)的攻擊面。網(wǎng)絡攻擊通過圖 1 中的故障注入模塊執(zhí)行,由一臺專用攻擊計算機連接至底盤 - 控制器局域網(wǎng)和車身 - 控制器局域網(wǎng)線路,該計算機搭載 Ubuntu Linux 系統(tǒng),通過 Kvaser CANUSB 適配器與車載網(wǎng)絡交互,預加載了場景腳本,負責執(zhí)行攻擊、觸發(fā)相關條件并確保實驗的可重復性。
圖3、測試車輛的控制器局域網(wǎng)(CAN)線路配置:用于仿真器集成與攻擊注入的 P-CAN、C-CAN 及 B-CAN 引出點
車輛狀態(tài)監(jiān)控由圖 1 中的監(jiān)控與記錄系統(tǒng)完成,該功能由一臺連接至動力總成 - 控制器局域網(wǎng)線路的主計算機實現(xiàn),同時通過基于微控制器的傳感器記錄儀與車載診斷 Ⅱ 接口連接。記錄儀通過向電子控制單元發(fā)送標準參數(shù)標識符查詢指令,以 100 毫秒的間隔采集車速、發(fā)動機轉速、節(jié)氣門位置等關鍵傳感器數(shù)據(jù)。傳感器數(shù)據(jù)與控制器局域網(wǎng)流量數(shù)據(jù)獨立存儲,后續(xù)通過同步時間戳進行對齊,便于開展準確的攻擊后分析和場景間對比。
4.1.3 虛擬仿真器
如圖 2(b)所示,研究人員坐在車內(nèi),通過前方顯示屏觀察路況并駕駛,獲得沉浸式的仿真體驗;副駕駛位的研究助理通過專用顯示器、鼠標和鍵盤實時管理仿真器系統(tǒng),實現(xiàn)實驗過程中場景的無縫控制和狀態(tài)監(jiān)控。圖 2(c)為虛擬仿真器模塊的內(nèi)部組件,包括仿真核心、車輛動力學引擎和控制器局域網(wǎng)輸入 / 輸出插件。如圖 2(d)所示,為提升便攜性,仿真器部署在一臺移動主計算機上。車輛與仿真器之間通過控制器局域網(wǎng) - 用戶數(shù)據(jù)報協(xié)議網(wǎng)關實現(xiàn)通信同步,通信周期保持在 10 毫秒及以下,以保障實時響應性。本研究以平坦道路場景(坡度 0%)為基準,排除地形因素對網(wǎng)絡攻擊效果觀測的干擾。未來實驗將進一步納入不同道路坡度、彎曲路徑和自動控制干預等工況,驗證復雜駕駛條件下的攻擊效果。
4.1.4 虛擬環(huán)境與數(shù)字孿生建模
為保證虛擬組件的保真度,本研究基于商用仿真軟件 SCANeR Studio 搭建在環(huán)車輛仿真框架,并針對研究需求開發(fā)和校準了專用模型,實現(xiàn)工作主要聚焦于以下四個方面:
1. 虛擬環(huán)境模型:利用 SCANeR Studio 的地形模塊構建駕駛環(huán)境,基于直線、圓弧、回旋線等數(shù)學模型設計邏輯道路網(wǎng)絡,生成 RoadXML 文件;該邏輯網(wǎng)絡與基于測試區(qū)域地理信息系統(tǒng)(GIS)數(shù)據(jù)和衛(wèi)星影像精準建模的三維地形(.ive)文件、物理路面(.sol)文件相融合。該模型的局限性在于源地理信息系統(tǒng)數(shù)據(jù)的保真度,以及為維持實時性能對非關鍵環(huán)境對象進行的簡化處理。
2. 物理車輛行為模型(數(shù)字孿生):利用 SCANeR Studio 的高保真 Callas 動力學引擎構建車輛數(shù)字孿生體,該物理模型基于實車規(guī)格、臺架測試數(shù)據(jù)(如發(fā)動機扭矩圖、懸架特性)和輪胎數(shù)據(jù)(帕塞卡模型)進行參數(shù)化設計,并通過對比仿真輸出結果與實車標準化駕駛測試數(shù)據(jù),完成模型的驗證和校準。該模型的主要局限性在于保真度,無法完全捕捉物理車輛中所有復雜的非線性動力學特性和傳感器噪聲特征。
3. 通信接口模型:負責實車與仿真器之間實時數(shù)據(jù)中繼的控制器局域網(wǎng) - 用戶數(shù)據(jù)報協(xié)議網(wǎng)關,基于 SCANeR Studio 提供的 C++ 和 Matlab Simulink 應用程序編程接口開發(fā),詳細設計見 3.2.3 節(jié)。
4. 要素交互與集成:上述各模型的交互形成了完整的在環(huán)車輛仿真回路,與圖 1 中的架構一致。實車中人類駕駛員的控制輸入通過網(wǎng)關傳輸至虛擬仿真器,仿真器計算車輛在虛擬環(huán)境中的運動狀態(tài),輪胎與物理路面發(fā)生交互,將受力反饋至動力學計算過程;故障注入模塊通過向實車的控制器局域網(wǎng)總線注入惡意數(shù)據(jù),直接干預該仿真回路,整個回路中產(chǎn)生的異常行為均被實時觀測和記錄。
4.2 實驗場景設計
本研究設計了一組標準化的網(wǎng)絡攻擊場景,并在一致的條件下開展對比實驗,驗證所提出的基于在環(huán)車輛仿真的評估環(huán)境的有效性。實驗選取嗅探、注入、欺騙、拒絕服務、篡改五種典型攻擊類型,利用實車和仿真數(shù)據(jù)評估其對車輛系統(tǒng)的影響。所有測試均統(tǒng)一采用相同的場景參數(shù),且每個場景均結合實車的控制邏輯和控制器局域網(wǎng)信號特性進行設計,確保實驗結果的真實性。實驗選取的攻擊類型均為近期汽車網(wǎng)絡安全相關文獻中最常提及的類型,圖 4 的現(xiàn)有研究調研結果顯示,嗅探 / 竊聽、注入、欺騙、拒絕服務和篡改是相關研究中分析最多的攻擊類別。因此,本研究的實驗設計選取這些攻擊類型,驗證在環(huán)車輛仿真框架能夠全面支持真實、多樣的攻擊場景測試。
圖4、按攻擊類型劃分的汽車網(wǎng)絡安全研究分布(僅包含至少有 4 篇論文的攻擊類型)
表 2 匯總了各攻擊場景的主要配置參數(shù),如目標控制器局域網(wǎng)標識符、注入時序、有效載荷結構和頻率。此外,本研究為每個場景定義了 1-9 級的定量風險等級,以結構化評估網(wǎng)絡安全威脅。表 3 為這些核心風險評估指標的通用定義,為保證客觀性和可重復性,最終風險暴露度(E)由影響程度(I)和發(fā)生概率(L)的乘積計算得出,二者均采用 1-3 級評分標準,表 4 詳細列出了基于汽車安全評估原則制定的評分標準。
表2、攻擊場景參數(shù)
表3、核心指標與評估標準
表4、影響程度與發(fā)生概率評估評分細則
五、實驗評估
要使在環(huán)車輛仿真技術成功成為汽車網(wǎng)絡安全評估的框架,一致性、準確性和有效性這三個要素必不可少且相互關聯(lián),若其中任意一個方面存在不足,框架的可靠性和價值都會大打折扣。因此,本研究基于這三個標準驗證在環(huán)車輛仿真技術的有效性。研究選取控制器局域網(wǎng)標識符 0×2B0(對應轉向控制)為目標,開展拒絕服務攻擊實驗,以評估框架的一致性和準確性。轉向信號在車輛行駛過程中持續(xù)生成,且對傳感器響應敏感,是評估報文周期性和信號準確性的理想對象;同時,轉向信號能讓仿真中攻擊的影響實現(xiàn)清晰的可視化,也是分析信號失真模式的最優(yōu)控制信號。此外,拒絕服務攻擊會直接破壞信號的周期性,能有效驗證系統(tǒng)的一致性以及物理車輛與仿真器之間的跨域準確性。
5.1 研究問題
本研究圍繞以下研究問題展開:問題 1:在正常和攻擊工況下,在環(huán)車輛仿真技術能否高精度、可重復地復現(xiàn)車輛動力學特性和控制器局域網(wǎng)流量?本研究將在 5.2 節(jié)通過多次重復實驗的變異系數(shù)(CV)分析,以及 5.3 節(jié)通過變異系數(shù)、均方根誤差、歸一化均方根誤差等誤差指標,解答該問題。問題 2:基于在環(huán)車輛仿真的網(wǎng)絡安全評估如何識別出靜態(tài)或在環(huán)硬件仿真實驗中無法觀測的威脅?該方法在分析不同駕駛條件下的攻擊效果方面具有哪些優(yōu)勢?本研究將在 5.4 節(jié)通過場景專屬風險檢測和車輛響應可視化,通過實驗驗證解答該問題。
5.2 一致性評估
為驗證框架的一致性,研究在在環(huán)車輛仿真環(huán)境中開展重復實驗,選取控制器局域網(wǎng)標識符 0×2B0 轉向角度傳感器(SAS11)為測試目標,設計了拒絕服務攻擊注入次數(shù)不同的三個場景:場景 1(10 次注入)、場景 2(5 次注入)、場景 3(3 次注入)。實驗采用變異系數(shù)和中位數(shù)絕對偏差(MAD)兩個指標,評估控制器局域網(wǎng)報文的到達間隔時間。報文周期性是區(qū)分車輛控制系統(tǒng)正常行為和攻擊誘導行為的關鍵指標,為評估網(wǎng)絡安全實驗的可重復性和實時性能提供了依據(jù)。
變異系數(shù)的定義如下:
其中,μ為均值,σ為到達間隔時間的標準差。
中位數(shù)絕對偏差是基于中位數(shù)的變異性指標,相比基于均值的變異系數(shù),對異常值的敏感度更低,其定義如下:
其中,Xi為各到達間隔時間樣本,median(X)為整個數(shù)據(jù)集的中位數(shù)。中位數(shù)絕對偏差能對數(shù)據(jù)的集中趨勢進行穩(wěn)健估計,在數(shù)據(jù)分布非正態(tài)或包含異常值時效果尤為顯著。
變異系數(shù)值越低,表明報文間隔的變異性越小,反映出實驗的可重復性和系統(tǒng)穩(wěn)定性越高;反之,變異系數(shù)值越高,表明報文周期性被破壞,或網(wǎng)絡流量模式出現(xiàn)異常。基于這一原理,研究以控制器局域網(wǎng)標識符 0×2B0 為目標開展三組實驗,從控制器局域網(wǎng)日志中提取報文到達間隔時間,為每次實驗計算均值μ、標準差σ、變異系數(shù)(%)和中位數(shù)絕對偏差,并將正常流量的變異系數(shù)參考閾值設定為CVref≤5%。表 5 匯總了三個場景的實驗結果,包括均值、標準差、變異系數(shù)和中位數(shù)絕對偏差(單位均為毫秒);若中位數(shù)絕對偏差低于 0.0001 毫秒,記為 “<0.0001”。
表5、三組重復實驗的可重復性統(tǒng)計結果
5.2.1 一致性分析結果
表 5 顯示,未遭受攻擊的控制器局域網(wǎng)標識符(如 0×220、0×316、0×329)的變異系數(shù)在所有測試中均保持在 0.5% 至 2.4% 的范圍內(nèi),表明在環(huán)車輛仿真環(huán)境在多次重復實驗中,具有較高的信號可復現(xiàn)性和時間對齊精度。相反,遭受拒絕服務攻擊的目標控制器局域網(wǎng)標識符 0×2B0 的變異系數(shù)在各次實驗中均驟升至 140% 以上,對應的中位數(shù)絕對偏差也較正常工況大幅增加。該結果表明,拒絕服務攻擊嚴重破壞了控制器局域網(wǎng)報文的周期性傳輸間隔,驗證了在環(huán)車輛仿真環(huán)境能夠定量復現(xiàn)此類攻擊典型的異常流量模式。
值得注意的是,變異系數(shù)是區(qū)分正常和攻擊誘導報文模式的有效統(tǒng)計指標,但由于其計算依賴標準差,當均值μ極小時(如 < 2 毫秒),變異系數(shù)的敏感度會過高。因此,本研究在分析中重點關注同一控制器局域網(wǎng)標識符在多次重復實驗中的一致趨勢,并輔以中位數(shù)絕對偏差指標,以降低敏感度問題帶來的影響。
這些結果證實,在環(huán)車輛仿真環(huán)境不僅是一種簡單的仿真工具,更可作為一個穩(wěn)健的實驗測試臺,在多次重復試驗中維持時間精度和物理可復現(xiàn)性。此外,變異系數(shù)與中位數(shù)絕對偏差結合的分析方法,即使在控制器局域網(wǎng)標識符 0×2B0 這類高頻報文場景中(均值較小易導致變異系數(shù)響應被夸大),也能實現(xiàn)精準的可重復性分析。
5.3 準確性評估
為評估所提出的在環(huán)車輛仿真框架在網(wǎng)絡攻擊下復現(xiàn)實車行為的準確性,研究選取轉向相關的控制器局域網(wǎng)標識符為目標,開展拒絕服務攻擊實驗,將實車測量的轉向角度(yreal)與在環(huán)車輛仿真的模擬測量值(ysim)進行對比。分析分為三個區(qū)間:全量程(±540°)、拒絕服務攻擊窗口和正常駕駛工況,并采用以下誤差指標開展定量評估:均方根誤差、以滿量程百分比(% FS)表示的歸一化均方根誤差、平均絕對百分比誤差、皮爾遜相關系數(shù)(r)和線性回歸系數(shù)(α,β)。
各指標定義如下:
這些指標為評估不同駕駛和攻擊工況下,仿真信號跟蹤實車行為的精度提供了定量依據(jù)。圖 5 為在環(huán)車輛仿真與實車轉向角度的對比可視化結果,表 6 為數(shù)值結果匯總。
圖5、在環(huán)車輛仿真與實車之間的轉向角度信號對比
表6、轉向角對比精度指標:實車與車輛在環(huán)仿真對比
5.3.1 準確性分析結果
根據(jù) Moriasiet 等人提出的評估標準和澳大利亞交通評估與規(guī)劃(ATAP)T1 模型驗證指南,當回歸斜率0.95≤β≤1.05、截距∣α∣≤滿量程的 2%(即 10.8°)時,認為仿真結果與實車實現(xiàn) “良好匹配”。
在全量程區(qū)間,實驗結果為β=1.049、α=?6.74°,符合推薦閾值,相關系數(shù)r=0.9701證實實車數(shù)據(jù)與仿真數(shù)據(jù)之間存在強線性相關性。
在拒絕服務攻擊區(qū)間,盡管轉向角度達到 ±540° 的飽和值,導致誤差顯著(均方根誤差 = 161°,平均絕對百分比誤差 = 980%),但回歸結果β=0.801、α=?136°表明,在環(huán)車輛仿真準確復現(xiàn)了實車遭受攻擊時出現(xiàn)的飽和效應,驗證了仿真在網(wǎng)絡攻擊工況下復現(xiàn)車輛行為的保真度。
在正常駕駛區(qū)間,實驗結果為β=1.013、α=?1.66°、r=0.9977,滿足 “高精度” 標準,證實在環(huán)車輛仿真能夠在無攻擊場景下準確復現(xiàn)車輛的動力學特性。
5.4 有效性評估
本部分通過實驗驗證所提出的基于在環(huán)車輛仿真的網(wǎng)絡安全評估框架的實際有效性,從該系統(tǒng)在實際安全測試和技術開發(fā)中的適用性出發(fā),圍繞可復現(xiàn)性、可視化能力和場景可擴展性三個維度開展評估。本研究在在環(huán)車輛仿真環(huán)境中,以安全、可控的方式執(zhí)行了嗅探、注入、欺騙、拒絕服務、篡改、模糊測試等難以在實車上安全復現(xiàn)的網(wǎng)絡攻擊類型。該在環(huán)車輛仿真框架能夠模擬車輛行駛過程中的動態(tài)行為(如加速、轉向、減速、車道保持),為定量分析攻擊效果的物理表現(xiàn)提供了平臺。
5.4.1 鏈式延遲分析
如圖 6(a)所示,受拒絕服務攻擊的目標控制器局域網(wǎng)標識符 0×2B0(SAS11),其報文到達間隔時間因高頻數(shù)據(jù)包注入,從 10 毫秒大幅縮短至 1 毫秒。值得注意的是,此次拒絕服務攻擊還引發(fā)了電子駐車制動(EPB11,0×490)和自適應巡航控制 11(SCC11,0×420,自適應巡航控制目標距離)的鏈式延遲(溢出效應),如圖 6(b)-6(c)所示。傳統(tǒng)的基于在環(huán)硬件仿真的網(wǎng)絡安全評估往往聚焦于孤立的電子控制單元目標,容易忽略此類相互關聯(lián)的鏈式效應。相反,該實驗結果證實,在環(huán)車輛仿真環(huán)境不僅能檢測信號干擾,還可作為實用的評估工具,可視化車輛控制模塊之間的系統(tǒng)級交互。在此次針對轉向系統(tǒng)的拒絕服務攻擊中,延遲效應從轉向角度傳感器 11 信號擴散至電子駐車制動 11、自適應巡航控制 11 等模塊,驗證了單一攻擊可能影響多個控制功能。這一發(fā)現(xiàn)凸顯了在環(huán)車輛仿真技術的優(yōu)勢,能夠發(fā)現(xiàn)傳統(tǒng)測試平臺中未被檢測到的多個電子控制單元漏洞和網(wǎng)絡實時副作用。
圖6、針對 CAN ID 0×2B0(SAS11)實施 1 ms 拒絕服務攻擊后,控制器局域網(wǎng)(CAN)信號的報文到達間隔時間變化(以 3 ms 攻擊閾值可視化呈現(xiàn))
5.4.2 攻擊場景覆蓋與風險評估
表 7 全面匯總了兩個方面的內(nèi)容:(1)在環(huán)車輛仿真環(huán)境中 9 類攻擊場景下觀測到的車輛 / 系統(tǒng)響應;(2)對比風險分析,展示靜態(tài)工況和在環(huán)車輛仿真駕駛工況下,攻擊的影響程度、發(fā)生概率和暴露度等級的差異。
表7、攻擊場景、在環(huán)車輛仿真(VILS)效果及風險暴露度對比(I:影響程度,L:發(fā)生概率,E:暴露度)
配對 t 檢驗結果顯示,攻擊的平均風險暴露度顯著增加,ΔE=+3.4(p<0.01),且效應量較大(科恩 d 值 = 1.18)。該結果證實,在環(huán)車輛仿真提供的駕駛場景背景,可將攻擊的評估風險等級提升至多兩個等級(如從低風險提升至高風險)。值得注意的是,在靜態(tài)條件下最初被劃分為低風險的 9 類攻擊中,有 8 類在基于在環(huán)車輛仿真的評估中被重新劃分為中風險及以上,表明在環(huán)車輛仿真技術能夠可視化靜態(tài)測試環(huán)境中被忽略的動態(tài)威脅。
5.4.3 攻擊影響的可視化呈現(xiàn)
圖 7 可視化了轉向角度傳感器 11 報文遭受欺騙攻擊的效果。圖上半部分的仿真場景顯示,車輛在正常行駛過程中遭受攻擊后,立即出現(xiàn)車道偏離,表明車輛喪失轉向控制能力,這在實際駕駛中會引發(fā)嚴重的安全風險。盡管控制器局域網(wǎng)報文注入在任何工況下均可實現(xiàn),但靜態(tài)測試無法全面評估此類攻擊在車輛行駛過程中的實際風險。在環(huán)車輛仿真框架通過實時觀測動態(tài)駕駛工況下網(wǎng)絡攻擊造成的物理后果,彌補了這一局限性。
圖7、行駛過程中轉向角度傳感器(SAS11)遭受欺騙攻擊的可視化結果:(上)SAS 系列信號的時序變化特征 (下)車道偏離的仿真場景(含轉向角度、轉向速度、校驗和信號)
圖下半部分為轉向角度傳感器相關信號的時間序列行為,攻擊發(fā)生后,轉向角度傳感器角度信號在 ±200° 附近出現(xiàn)不穩(wěn)定振蕩,轉向角度傳感器速度信號驟增,表明車輛出現(xiàn)快速、過度的轉向動作。值得注意的是,校驗和信號在攻擊后方差大幅下降,意味著偽造數(shù)據(jù)包掩蓋了合法報文。多個信號的此類異常變化,定量可視化了攻擊引發(fā)的系統(tǒng)級效應,充分證明在環(huán)車輛仿真技術能夠挖掘車輛控制系統(tǒng)的潛在漏洞和物理影響。
5.5 討論
本研究提出的基于在環(huán)車輛仿真的框架,能夠在實時駕駛仿真環(huán)境中,對實車安全開展網(wǎng)絡攻擊場景測試,實現(xiàn)了對車輛動力學特性和控制系統(tǒng)交互關系的實證觀測 —— 而這些都是傳統(tǒng)靜態(tài)測試平臺無法分析的因素。拒絕服務攻擊實驗結果表明,單一電子控制單元遭受攻擊后,延遲和干擾會擴散至其他電子控制單元,這種溢出效應是靜態(tài)測試中常被忽略的關鍵漏洞。高頻報文注入會導致控制器局域網(wǎng)總線出現(xiàn)仲裁延遲,破壞低優(yōu)先級報文的傳輸。本研究中,這一現(xiàn)象使得攻擊的影響范圍擴大至制動和自適應巡航控制系統(tǒng)。此類鏈式延遲表明,安全評估需充分考慮車輛各子系統(tǒng)之間的功能依賴關系,而在環(huán)車輛仿真技術為捕捉這些動態(tài)特性提供了可量化的方法。這一研究發(fā)現(xiàn)不僅具有學術價值,也為系統(tǒng)級風險分析提供了實踐指導。
在欺騙和注入攻擊場景中,對發(fā)動機轉速和轉向角度信號的篡改引發(fā)了可觀測的物理后果,如發(fā)動機輸出功率下降、轉向控制失效、非預期緊急制動等,表明這些攻擊不僅會造成信號干擾,還會帶來真實的安全隱患。具體而言,轉向角度傳感器角度的不穩(wěn)定振蕩、校驗和方差的驟降等多種異常現(xiàn)象,可作為攻擊檢測的定量指標,這些指標或可進一步發(fā)展為評估入侵檢測系統(tǒng)性能的基準指標。
此外,該基準的質量對入侵檢測系統(tǒng)的穩(wěn)健驗證至關重要,尤其是在區(qū)分真實威脅和良性的異常駕駛模式方面。傳統(tǒng)的入侵檢測系統(tǒng)驗證往往依賴靜態(tài)車輛數(shù)據(jù),而這些數(shù)據(jù)缺乏實際駕駛中常見的 “無害駕駛異常”(如緊急制動、急轉彎),這會導致入侵檢測系統(tǒng)的性能指標被過度高估,且實際部署后出現(xiàn)較高的誤報率。在環(huán)車輛仿真框架通過生成包含此類非惡意異常的高保真動態(tài)數(shù)據(jù),彌補了這一缺陷。同時,框架的故障注入模塊能夠對所有攻擊進行精準控制和記錄,可生成標注完美的真實數(shù)據(jù)集。這種獨特的能力 —— 既能提供包含復雜駕駛動態(tài)的真實基準,又能清晰區(qū)分正常和惡意狀態(tài) —— 是訓練和驗證入侵檢測系統(tǒng)、降低誤報率的關鍵,也是系統(tǒng)實際部署的核心要求。
實驗結果證實,在環(huán)車輛仿真技術能以高保真度復現(xiàn)車輛的物理響應,是一種可擴展、可靠的汽車網(wǎng)絡安全評估工具。該發(fā)現(xiàn)與聯(lián)合國歐洲經(jīng)濟委員會第 155 號法規(guī)、ISO/SAE 21434 標準等國際標準提出的實車測試和評估要求相契合。如圖 8 所示,將實車納入測試流程,既能捕捉真實的動力學特性和駕駛行為,又能保障測試安全和廣泛的攻擊場景覆蓋。
此外,本研究中的在環(huán)車輛仿真場景集成了靈活的攻擊觸發(fā)機制、多電子控制單元目標定位,以及車身 - 控制器局域網(wǎng)、底盤 - 控制器局域網(wǎng)、動力總成 - 控制器局域網(wǎng)線路的總線專屬效應區(qū)分,這些場景可進一步擴展,以模擬更復雜的環(huán)境(如交通感知攻擊、道路基礎設施交互、傳感器欺騙場景)。本研究提出的分階段測試策略 —— 先對高風險場景開展靜態(tài)或低速仿真測試,再進行全駕駛工況驗證 —— 提升了在環(huán)車輛仿真中網(wǎng)絡安全評估的安全性和實用性。
綜上,實驗結果表明,在環(huán)車輛仿真技術支持開展超越靜態(tài)評估方法的動態(tài)、集成化威脅分析,為攻擊評估、實時威脅檢測和車載網(wǎng)絡安全響應系統(tǒng)的先進方法開發(fā)奠定了堅實基礎。
六、結論
本文提出了一種基于在環(huán)車輛仿真(VILS)的汽車網(wǎng)絡安全系統(tǒng)化評估框架,并通過實車實驗驗證了該框架的有效性。該框架將物理車輛與虛擬駕駛環(huán)境融合,能夠安全、可重復、真實地執(zhí)行各類網(wǎng)絡攻擊場景測試。研究在在環(huán)車輛仿真環(huán)境中開展了嗅探、注入、欺騙、拒絕服務、篡改和模糊測試等典型攻擊實驗,結果表明,該技術能有效捕捉靜態(tài)測試中無法觀測的車輛行為變化和系統(tǒng)漏洞,且具備高度的可復現(xiàn)性和準確性。
對比評估結果顯示,與靜態(tài)測試方法相比,基于在環(huán)車輛仿真的評估能更準確地反映真實場景下的威脅動態(tài),是在實際駕駛工況中驗證安全防護措施有效性的優(yōu)質平臺。上述研究成果可為車企和安全工程師完善汽車網(wǎng)絡安全評估工作提供參考,在環(huán)車輛仿真框架能夠在車輛設計階段對新型攻擊向量開展早期測試,主動挖掘安全漏洞,同時為車企滿足聯(lián)合國歐洲經(jīng)濟委員會第 29 工作組、ISO/SAE 21434 等各類標準的測試驗證要求提供實用方法,在保障安全性的同時縮短開發(fā)周期。
未來的研究將圍繞三個方向對本研究進行拓展:第一,將入侵檢測系統(tǒng)(IDS)和防護響應機制融入在環(huán)車輛仿真回路,評估實時威脅檢測與緩解策略的有效性;第二,將框架的應用范圍從車載內(nèi)部通信拓展至車路云一體化(V2X)、車云交互等端到端安全場景的評估;第三,構建標準化的場景套件,并在包括控制器局域網(wǎng)靈活數(shù)據(jù)速率(CAN-FD)、汽車以太網(wǎng)、柔性射線網(wǎng)絡(FlexRay)在內(nèi)的各類車輛模型和網(wǎng)絡拓撲中開展嚴格的交叉驗證,充分驗證在環(huán)車輛仿真技術的通用性和適用性。
本研究提出的基于在環(huán)車輛仿真的評估方法,通過融合實車與仿真環(huán)境,打造了一個真實、可擴展的安全測試平臺,可作為驗證下一代軟件定義汽車的核心工具,兼具科學嚴謹性和實際應用價值。
(添加微信號NewCarRen咨詢)
相關文章
