TWI814555B

TWI814555B - 車聯網訊息流分析惡意行為之偵測系統與其方法

Info

Publication number: TWI814555B
Application number: TW111132539A
Authority: TW
Inventors: 林孝忠; 王平; 陳佳鴻
Original assignee: 崑山科技大學
Priority date: 2022-08-29
Filing date: 2022-08-29
Publication date: 2023-09-01

Abstract

本發明揭露一種車聯網訊息流分析惡意行為之偵測系統與其方法，其結合車聯網訊息數據收集模組、威脅識別模組、訊息流特徵分析模組與風險評估警示模組，可清楚識別所有可能的威脅來源與個別威脅類別，以利電子控制單元快速找到對應的資安緩解措施。當新網路威脅產生，使用者針對電子控制單元系統之弱點與曝險進行風險估算，以確認此一威脅之風險等級以利警示電子控制單元進行適當的防護措施，以維護車聯網的資訊安全。

Description

車聯網訊息流分析惡意行為之偵測系統與其方法

本發明是關於一種車聯網訊息流分析惡意行為之偵測系統與其方法，特別是關於一種透過整合車聯網訊息數據收集模組、威脅識別模組、訊息流特徵分析模組與風險評估模組，改進現有網路入侵監控方法的缺失的偵測系統與其方法。

發展電池電動車(Battery Electric Vehicle,BEV)或氫氣燃料的汽車以降低空汙已是政府與業界的共識，電動車核心技術項目如電池、感知系統升級、自駕技術與車聯網(Internet of Vehicles,IoV)技術等，隨著電動車技術快速發展。通過車聯網可提供車輛設備連上網際網路服務，提供軟體即時更新與自動尋車等服務，但連接網路也引發駭客網路入侵與遠端遙控等安全及隱私問題。隨著入侵車聯網攻擊手法更新，車輛安全將迎來巨大挑戰。

現有的車聯網以兩端一雲為主體，如何保護車聯網各實體間的傳輸與資訊儲存管理，成為目前車聯網資安防護的重點。進一步，如何確保在下列四個實體介面間的安全聯繫，包括車與車互連(Vehicle-to-Vehicle,V2V)、車與網路互連(Vehicle-to-Network,V2N)、車內各裝置互連(Vehicle-to-Device,V2D)、車與人互連(Vehicle-to-Pedestrian,V2P)以及車與雲互連(Vehicle-to-Cloud,V2C)當中的通訊安全無慮，並快速辨識各種惡意連線攻擊行為，成為車聯網資安研究的重點。

目前車聯網網路入侵的偵測技術是透過電子控制單元(Electronic Control Unit,ECU)的網關裝置(Gate-way Device)來針對威脅來源執行封包監測，將網路連線行為，搭配封包蒐集、過濾與精確特徵比對檢視，來判斷網路威脅。現有的技術需要大量資安專家進行人工研判，無法即時判斷網路威脅，或者可能會誤認新型態的網路威脅。面對多樣化的攻擊與勒索，現有技術已無法支援車聯網即時資安監控的需求。

有鑑於此，本發明之發明人思索並設計一種車聯網訊息流分析惡意行為之偵測系統與其方法，針對現有技術之缺失加以改善，進而增進產業上之實施利用。

有鑑於上述習知技術之問題，本發明之目的就是在提供一種車聯網訊息流分析惡意行為之偵測系統與其方法，以解決習知之網路威脅來源風險評估不足的問題。

根據本發明之一目的，提出一種車聯網訊息流分析惡意行為之偵測系統，係適用於車輛的車聯網裝置，車聯網裝置包含電子控制單元(Electronic Control Unit,ECU)，偵測系統包含記憶體以及處理器。其中，記憶體儲存複數個演算法。處理器連接於記憶體，處理器執行控制指令以存取記憶體來執行車聯網訊息數據收集模組、威脅識別模組、訊息流特徵分析模組以及風險評估警示模組。車聯網訊息數據收集模組通過控制器區域網路(Controller Area Network,CAN Bus)收集車輛的訊息流(Message Flow)，並將訊息流儲存於記憶體。威脅識別模組通過統計分析演算法分析訊息流，判斷訊息流的良善群集。訊息流特徵分析模組通過機器學習演算法偵測惡意行為特徵並分析惡意行為特徵的網路威脅類別。風險評估警示模組計算網路威脅類別的攻擊發生機率、系統衝擊及風險等級。

較佳地，訊息流可為電子控制單元的網關裝置(Gate-way Device)訊息。

較佳地，車聯網訊息數據收集模組的統計分析方法可為訊息流統計分析方法及熵值法(Entropy Method)。

較佳地，機器學習演算法可為啟發式分析法，輸入可疑訊息數據，擷取其中的惡意行為特徵，再以關聯分析法計算集群相似度來取得網路威脅類別。

較佳地，風險評估警示模組可將攻擊發生機率、系統衝擊及風險等級傳送至電子控制單元，由電子控制單元評估及選取對應之防護措施。

根據本發明之一目的，提供一種車聯網訊息流分析惡意行為之偵測方法，係適用於車輛的車聯網裝置，車聯網裝置包含電子控制單元(Electronic Control Unit,ECU)，偵測方法包含以下步驟：設置記憶體及處理器，記憶體儲存複數個演算法，處理器連接於記憶體，執行控制指令以存取記憶體來執行車聯網訊息數據收集模組、威脅識別模組、訊息流特徵分析模組及風險評估警示模組；車聯網訊息數據收集模組通過控制器區域網路(Controller Area Network,CAN Bus)收集車輛的訊息流(Message Flow)，並將訊息流儲存於記憶體；威脅識別模組通過統計分析演算法分析訊息流，判斷訊息流的良善群集；訊息流特徵分析模組通過機器學習演算法偵測惡意行為特徵並分析惡意行為特徵的網路威脅類別；風險評估警示模組計算網路威脅類別的攻擊發生機率、系統衝擊及風險等級。

承上所述，依本發明之車聯網訊息流分析惡意行為之偵測系統與其方法，其可具有一或多個下述優點：

(1)此車聯網訊息流分析惡意行為之偵測系統與其方法能結合控制器區域網路協定之網關與即時監控工具，執行電子控制單元的訊息流數據蒐集，以運用訊息流統計分析與熵值法執行威脅良善識別，再以啟發式分析法比對惡意訊息行為特徵以判定威脅來源之威脅類別，最後運用失效樹分析可能的攻擊路徑之風險值與所需攻擊成本，讓電子控制單元可參考可能的攻擊路徑之發生機率、產生衝擊及風險值，以利於量化分析評估與採取系統修補方案。

(2)此車聯網訊息流分析惡意行為之偵測系統與其方法能確保車資產內各裝置互連通訊的安全，例如電子控制單元、致動器、感測器等元件安全運作，降低使用者的電動汽車資產遭受資安威脅來源攻擊之機率。

(3)此車聯網訊息流分析惡意行為之偵測系統與其方法能確保車資產與使用者間實體通訊安全，確保車資產與車資產間互連通訊的實體與遠端安全，確保車資產與雲互連行動服務安全，包括遠端無線更新管理，提高使用者的車資產之可用性與完整性。

10:電子控制單元

11:記憶體

111:演算法

112:訊息流

12:處理器

121:車聯網訊息數據收集模組

122:威脅識別模組

123:訊息流特徵分析模組

124:風險評估警示模組

13:控制器區域網路

20:電子控制單元偵測模式

21:車聯網訊息數據收集

22:威脅識別

23:訊息流特徵分析

24:風險評估警示

S1~S5,S11~S12,S21~S22,S31~S33,S41~S45:步驟

為使本發明之技術特徵、內容與優點及其所能達成之功效更為顯而易見，茲將本發明配合附圖，並以實施例之表達形式詳細說明如下：第1圖係為本發明實施例之車聯網訊息流分析惡意行為之偵測系統之方塊圖。

第2圖係為本發明實施例之車聯網訊息流分析惡意行為之偵測模式之功能架構圖。

第3圖係為本發明實施例之車聯網訊息流分析惡意行為之偵測方法之流程圖。

第4圖係為本發明實施例之車聯網訊息流分析惡意行為之偵測方法之流程架構圖。

為利於瞭解本發明之技術特徵、內容與優點及其所能達成之功效，茲將本發明配合附圖，並以實施例之表達形式詳細說明如下，而其中所使用之圖式，其主旨僅為示意及輔助說明書之用，未必為本發明實施後之真實比例與精準配置，故不應就所附之圖式的比例與配置關係解讀、侷限本發明於實際實施上的權利範圍，合先敘明。

請參閱第1圖，其係為本發明實施例之車聯網訊息流分析惡意行為之偵測系統之方塊圖。如圖所示，車聯網訊息流分析惡意行為之偵測系統包含適用於車輛的車聯網裝置，車聯網裝置包含電子控制單元10，電子控制單元10可為包含記憶體11及處理器12的運算控制裝置。記憶體11儲存複數個演算法111，處理器12連接於記憶體11，處理器12執行控制指令以存取記憶體11來執行車聯網訊息數據收集模組121、威脅識別模組122、訊息流特徵分析模組123以及風險評估警示模組124的分析偵測模型，進而分析車聯網裝置訊息流的狀況。記憶體11可為電腦裝置的唯讀記憶體、快閃記憶體或是磁碟等儲存媒體，處理器12包含電腦裝置中的中央處理器、微處理器、圖像運算處理器等。

車聯網訊息數據收集模組121通過控制器區域網路13收集車輛的訊息流112，並將訊息流112儲存於記憶體11。控制器區域網路13可將車輛的不同系統相互連接在一起，例如動力系統、電力系統、車聯網系統等，通過控制器區域網路13的傳輸協定，可將網關裝置的訊息收集起來，也就是將網路傳輸資料相關的資料、封包、指令等收集成為車聯網的訊息流112，通過分析訊息流112的內容來判斷網路連線、傳輸是否受到威脅或攻擊。

分析的方式是通過威脅識別模組122以統計分析演算法分析訊息流112，判斷訊息流112的良善群集。統計分析方法可為訊息流統計分析方法及熵值法(Entropy Method)，計算訊息流112的熵值，以利於進行威脅來源的群集分析，進而將訊息流112分為良善群集及惡意群集，良善群集指訊息流112的資訊不具威脅性，惡意群集則是具有威脅及攻擊的屬性。接著再利用訊息流特徵分析模組123，以機器學習演算法偵測惡意行為特徵並分析惡意行為特徵的網路威脅類別。機器學習演算法可為啟發式分析法，輸入可疑訊息數據，擷取其中的惡意行為特徵，再以關聯分析法計算集群相似度來取得網路威脅類別。通過將訊息流112的資訊進行訓練及測試，取得惡意行為特徵的偵測準則，建立偵測模型，使得後續收集到的訊息流112能自動預測是否屬於惡意威脅的群集。

最後，當分析惡意威脅的群集後，風險評估警示模組124計算網路威脅類別的攻擊發生機率、系統衝擊及風險等級。依據不同惡意程式的分類，可以對應不同威脅程度的機率，藉由分析訊息流112屬於何種風險威脅機率的比例，判斷訊息的威脅程度，並對應到對於車聯網系統的系統衝擊程度。由於車聯網的訊息處理包含車輛的啟動、運轉、電力、導航等各種操作，若威脅程度足以影響上述操作，將對行車安全造成衝擊，使得駕駛員或乘客產生不同的風險等級。對此，風險評估警示模組124可將攻擊發生機率、系統衝擊及風險等級傳送至電子控制單元10，由電子控制單元10評估及選取對應之防護措施，防護措施的選擇標準可儲存於記憶體11中。

請參閱第2圖，其係為本發明實施例之車聯網訊息流分析惡意行為之偵測模式之功能架構圖。請同時參閱第1圖，當電子控制單元10執行電子控制單元偵測模式20時，處理器12會存取記憶體11相關的演算法111來執行各個模組，進而達到預期的功能。

首先，車聯網訊息數據收集模組121通過控制器區域網路13收集車輛的訊息流112，並將訊息流112儲存於記憶體11，使得系統能進行車聯網訊息數據收集21的功能，讓車聯網裝置的訊息數據能得到監控。接著，威脅識別模組122通過統計分析演算法分析訊息流112，對各威脅來源之訊息流資訊執行熵值計算，以利威脅來源之群集分析，進而判斷訊息流112的良善群集。當群集分析判斷訊息流112的訊息數據不屬於良善群集，則判斷屬於惡意群集，藉此達到威脅識別22的功能。當識別出具有威脅性的訊息數據後，訊息流特徵分析模組123通過機器學習演算法執行訊息流特徵分析23的功能，偵測惡意行為特徵，分析惡意行為特徵的網路威脅類別。藉由特徵分析可自動預測對應訊息數據屬於不同網路威脅類別的機率，藉此判斷取得的訊息流112是否具有威脅性。當確認訊息流112具有威脅性後，可通過風險評估警示模組124運用失效樹分析可能的攻擊路徑之風險值與所需攻擊成本，計算網路威脅類別的攻擊發生機率、系統衝擊及風險等級，讓電子控制單元10可參考可能的攻擊路徑之發生機率、產生衝擊及風險值，以進行風險評估警示24的功能。當攻擊發生機率、系統衝擊及風險等級傳送至電子控制單元10，電子控制單元10可以評估及選取對應之防護措施，進而避免惡意攻擊產生而影響車聯網相關操作。

請參閱第3圖，其係為本發明實施例之車聯網訊息流分析惡意行為之偵測方法之流程圖。同樣參照第1圖，偵測方法適用於車輛的車聯網裝置，車聯網裝置包含電子控制單元10，其操作包含以下步驟(S1~S5)：

步驟S1：設置記憶體及處理器，記憶體儲存複數個演算法，處理器連接於記憶體，執行控制指令以存取記憶體來執行車聯網訊息數據收集模組、威脅識別模組、訊息流特徵分析模組及風險評估警示模組。車聯網裝置包含電子控制單元10，電子控制單元10設置記憶體11及處理器12，記憶體11儲存複數個演算法111，處理器12連接於記憶體11，處理器12執行控制指令以存取記憶體11來執行車聯網訊息數據收集模組121、威脅識別模組122、訊息流特徵分析模組123以及風險評估警示模組124的分析偵測模型。

步驟S2：車聯網訊息數據收集模組通過控制器區域網路收集車輛的訊息流，並將訊息流儲存於記憶體。車聯網訊息數據收集模組121通過控制器區域網路13收集車輛的訊息流112，也就是將網路傳輸資料相關的資料、封包、指令等收集成為車聯網的訊息流112，並將訊息流112儲存於記憶體11。

步驟S3：威脅識別模組通過統計分析演算法分析訊息流，判斷訊息流的良善群集。通過威脅識別模組122以統計分析演算法分析訊息流112，判斷訊息流112的良善群集。統計分析方法可為訊息流統計分析方法及熵值法，計算訊息流112的熵值，以利於進行威脅來源的群集分析，進而將訊息流112分為良善群集及惡意群集。

步驟S4：訊息流特徵分析模組通過機器學習演算法偵測惡意行為特徵並分析惡意行為特徵的網路威脅類別。利用訊息流特徵分析模組123，以機器學習演算法偵測惡意行為特徵並分析惡意行為特徵的網路威脅類別。機器學習演算法可為啟發式分析法，輸入可疑訊息數據，擷取其中的惡意行為特徵，再以關聯分析法計算集群相似度來取得網路威脅類別。

步驟S5：風險評估警示模組計算網路威脅類別的攻擊發生機率、系統衝擊及風險等級。風險評估警示模組124運用失效樹分析可能的攻擊路徑之風險值與所需攻擊成本，計算網路威脅類別的攻擊發生機率、系統衝擊及風險等級，讓電子控制單元10可參考可能的攻擊路徑之發生機率、產生衝擊及風險值，以依據不同惡意程式的分類，對應不同威脅程度，並對應到對於車聯網系統的系統衝擊程度，不同衝擊程度則對應不同風險等級。

風險評估警示模組124可將攻擊發生機率、系統衝擊及風險等級傳送至電子控制單元10，由電子控制單元10評估及選取對應之防護措施，避免訊息流112影響車聯網裝置的操作。

請參閱第4圖，其係為本發明實施例之車聯網訊息流分析惡意行為之偵測模式之流程架構圖。請參照第1圖，車聯網裝置包含電子控制單元10，電子控制單元10可為包含記憶體11及處理器12的運算控制裝置。記憶體11儲存複數個演算法111，處理器12連接於記憶體11，處理器12執行控制指令以存取記憶體11來執行車聯網訊息數據收集模組121、威脅識別模組122、訊息流特徵分析模組123以及風險評估警示模組124的不同分析偵測模型。

在車聯網訊息數據收集模組121當中，其操作模式包含步驟S11：網關設定功能及步驟S12：車聯網訊息數據收集。

在威脅識別模組122當中，其操作模式包含步驟S21：熵值計算及步驟S22：良善群集分析。

在訊息流特徵分析模組123當中，其操作模式包含步驟S31：惡意訊息行為特徵擷取、步驟S32：關聯分析及步驟S33：產出偵測準則。

在風險評估警示模組124當中，其操作模式包含步驟S41：系統弱點威脅分析、步驟S42：計算風險威脅機率、步驟S43：估算系統衝擊、步驟S44：計算攻擊成本及步驟S45：判斷風險等級。

假設防護的車聯網車內裝置受到惡意訊息威脅，啟動車聯網訊息數據收集模組121，透過控制器區域網路13收集網關設定功能(步驟S11)及車聯網訊息數據蒐集(步驟S12)以取得訊息流資訊。接下來，威脅識別模組122執行威脅識別分析，分別執行熵值計算(步驟S21)與良善群集分析(步驟S22)。再接下來，訊息流特徵分析模組123進行訊息流特徵分析，包括惡意訊息行為特徵擷取(步驟S31)、關聯分析(步驟S32)及產出偵測準則(步驟S33)。最後，風險評估警示模組124依據惡意訊息特徵進行風險評估與警示功能，透過系統弱點威脅分析(步驟S41)及計算風險威脅機率(步驟S42)，估算系統衝擊(步驟S43)、計算攻擊成本(步驟S44)及判斷風險等級(步驟S45)，協助電子控制單元10選取適當的防護措施。

以上所述僅為舉例性，而非為限制性者。任何未脫離本發明之精神與範疇，而對其進行之等效修改或變更，均應包含於後附之申請專利範圍中。