基于攻击树的智能网联汽车渗透测试方法

陈正 李斌斌 王文扬 陈祥威

[摘 要]随着汽车智能化、网联化程度的不断提高，智能网联汽车信息安全问题日益严峻，面向智能网联汽车的渗透测试方法已成为当前的重要研究方向。本文介绍了攻击树模型和针对于智能网联汽车的攻击知识库，提出了一种基于攻击树的智能网联汽车渗透测试方法。该方法有助于生产厂商找到智能网联汽车的信息安全薄弱环节和有可能被攻击者利用的攻击路径和方式，从而重点采取防御措施。

[关键词]智能网联汽车；信息安全；渗透测试；攻击树

中图分类号：S496 文献标识码：A 文章编号：1009-914X（2018）10-0069-01

1.引言

机制匮乏等问题。因此，对智能网联汽车进行渗透测试和安全评估十分重要。

智能网联汽车渗透测试的目的是模拟黑客接入网联汽车通信网络，依照黑客思路和专家自身经验，从攻击者的角度对汽车安全进行检测，包括对联网系统的任何弱点、技术缺陷或漏洞的主动分析。传统的渗透测试方法一般是通过扫描器对系统进行扫描攻击，然后根据扫描结果得出评估报告，这种扫描器一般具有针对性强的特点，但缺乏攻击策略分析能力，不具备灵活性。基于这种渗透测试方法的不足，本文提出一种基于攻击树的智能网联汽车渗透测试方法，这种方法可以根据智能网联汽车的实际情况制定出攻击策略，实施攻击。

2.攻击树模型

攻击树模型是Schneider在1999年提出的一种描述系统可能受到的多种攻击的方法。它采用树型结构来表示针对系统的各种攻击行为。在一棵攻击树中，树的根节点表示攻击者的最终攻击目标，叶节点表示具体的攻击事件，即攻击者可能采取的各种攻击手段，其他为中间节点。攻击树的各个分支表示为达到最终攻击目标可能采取的各种攻击序列。除了叶节点以外，攻击树的各节点分为与节点、或节点两类。如图1所示，与节点表示必须全部完成此节点下的各分支才能到达该节点；或节点表示只要完成此节点下的一个分支即可到达该节点。任何一条从叶节点到根节点的路径表示实现这个攻击目标而进行的一次完整的攻击过程。遍历整个攻击树可以生成实现以根节点为攻击目标的所有网络攻击路径。

3.基于攻击树的智能网联汽车渗透测试方法

智能网联汽车本身是一个完整的生态系统，与传统信息安全相比，针对智能网联汽车的各类入侵攻击需要利用其自身的各个维度、层面的安全漏洞方可实施。然而智能网联汽车典型的智能终端属性特征，又使得对其的渗透攻击不能采用传统的传统的渗透测试方案，需要依照智能网联汽车的系统架构特性，实施更具针对性的渗透测试方案。本文设计的智能网联汽车渗透测试方法基于攻击知识库和攻击序列。

3.1 构建攻击知识库

智能网联汽车拥有诸多功能模块，这些功能模块按照功能属性可划分为车载终端节点，云平台，外部互联节点三部分，根据这三部分分别面临的安全威胁和自身属性特点，构建有针对性的攻击知识库。

其中车载终端节点包括车载信息娱乐系统、T-Box等智能联网终端，它们集成了车辆信息监控、车身控制、无线通信等功能，极大提升了车辆电子化、网络化和智能化水平，但同时车载终端节点的所有接口都有可能成为黑客的攻击节点。攻击者可以将终端从车上拆下来，通过对电路、调试引脚、Wi-Fi系统、CAN总线数据、接口进行分析，从而攻破硬件的安全防护。

智能网联汽车的云平台除了需要病毒防护、中间件安全防护以及访问控制防护外，还需要重视数据安全防护问题，防止车主云端隐私数据意外丢失，或被黑客窃取利用。

智能网联汽车的外部互联节点包括远程控制APP、充电桩等。目前市场上绝大多数远程控制APP存在安全漏洞，有些APP甚至不具备最基础的软件防护和安全保障。攻击者只需对未进行保护的APP进行逆向挖掘，就可以找到云平台的接口、参数、用户账号等敏感数据。

攻击知识库由各种类型的攻击程序和方法组成，分别构建车载终端节点攻击知识库、云平台攻击知识库和外部互联节点攻击知识库。其中车载终端节点知识库包括固件程序提取、制造车内通信虚假信息、车内网关攻击、对通信单元进行DOS攻击等；云平台攻击知识库包括拒绝服务攻击、SQL注入、DOS攻击、漏洞扫描、暴力破解、权限提升等攻击方法；外部互联节点攻击知识库包括移动APP程序反编译、程序逆向挖掘分析、拒绝服务渗透、ARP欺骗渗透等针对移动互联产品的渗透测试方法。

3.2 生成攻击序列

黑客在攻击的时候，选择的攻击方式和攻击手段各不相同。例如，DDoS攻击主要采用远距离攻击方式；通过无线通讯渗透到车载网络，则需采用近距离攻击方式。从攻击入口来看，智能网联汽车的攻击面很多，典型的黑客都是先花费大量时间，对某个或多个攻击点进行研究，掌握其漏洞利用方法，这时一般采用物理攻击及近场攻击，当单点渗透实现后，再以远程攻击的方式从车辆外部开始实现对车的控制。

建立智能网联汽车攻击树时，首先由相关技术人员对网联系统进行细致分析，将最终攻击目标作为攻击树的根节点，从攻击知识库提取可能的攻击方式表示为攻击树的叶节点，这样可以得到一棵或者多棵确定的攻击树。通过细致地对整个网联系统的攻击事件进行实例化，可以得到由多棵攻击树组成的攻击森林，森林中每一棵攻击树的根节点表示针对智能网联汽车的一个攻击目标，叶节点表示从攻击知识库中提取出的能引起具体攻击目标安全事件发生的攻击事件，每条从叶节点到根节点穿过整棵攻击树的路径表示对网联系统的一次具体攻击过程，即一个攻击序列。

3.3 渗透测试方案

渗透测试方案是根据攻击知识库和攻击序列产生的攻击树对智能网联汽车进行渗透攻击的具体过程。以通过车载终端节点窃取智能网联汽车远程控制指令为例，根据本文提供的方法得出攻击树。

4.结束语

本文根据智能网联汽车的系统架构特性，从车载终端节点，云平台，外部互联节点三个维度对智能网联汽车面临的安全威胁进行分析，并据此构建了针对于智能网联汽车的攻击知识库，然后基于攻击知识库和攻击树模型设计了智能网联汽车渗透测试方法，该方法针对性强，可以有效提高渗透测试效率。

参考文献

[1] 张凤荔，冯波.基于关联性的漏洞评估方法[J].计算机应用研究，2014，31（3）：811-814.

[2] 冯涛.车联网技术中的信息安全研究[J].信息安全与技术，2011.

[3] 周伟，王丽娜，张焕国，一种基于树结构的网络渗透测试系统[J]，计算机与数字工程，2006，34（12）：15-18.

[4] Kordy B，Mauw S，Radomirovice S，et al.Foundations of attack-defense trees[M]//Formal aspects of security and trust .Berlin Heidelberg：Springer，2011：80-95.

[5] 王华忠，颜秉勇，夏春明.基于攻击树模型的工业控制系统信息安全分析[J].化工自动化与仪表，2012，40（2）：219-222.

[6] 李慧，張茹，刘建毅，等.基于攻击树模型的数传电台传输安全性评估[J].信息网络安全，2014（8）：71-76.

[7] 黄宏伟，赵成芳，计算机网络信息安全防护[J]，商场现代化，2007（11）：208～209.