基于在環車輛仿真的汽車網絡安全評估框架
摘要
隨著網聯和自動駕駛汽車技術的發展,車載通信網絡因與外部環境互聯互通,遭受網絡安全威脅的風險日益增加。對此,UNR.155、ISO/SAE 21434等國際法規和標準不斷完善,凸顯了開展系統化、嚴格化安全評估的必要性。然而,在公共道路上開展網絡安全實驗存在重大安全隱患,而傳統測試平臺和純軟件仿真往往無法捕捉實際車輛的動態行為。為解決上述問題,本研究提出一種基于在環車輛仿真(VILS)的評估框架,實現物理車輛與虛擬駕駛環境的實時融合。該框架通過同步控制輸入與狀態反饋,能夠在真實工況下對各類網絡攻擊場景進行安全、可重復的測試。實驗結果表明,在環車輛仿真技術可捕捉不同攻擊類型下車輛的物理響應和網絡層面異常,支持開展全面的定量和定性評估,且在多次重復試驗中展現出高度的一致性和分析精度。研究結果驗證了在環車輛仿真可作為一種實用、可靠的技術方案,有效提升實車網絡安全評估的準確性和可靠性。
一、引言
在網聯汽車和自動駕駛技術的推動下,汽車行業正快速向車內、車外通信網絡深度融合的方向發展。在此背景下,控制器局域網(CAN)、汽車以太網等車載網絡遭受網絡攻擊的概率大幅增加,對車輛安全和用戶隱私構成嚴重威脅。2015 年發生的一起知名事件中,Jeep 切諾基車型遭遠程黑客攻擊,車輛發動機啟停和制動系統被非法操控。該事件凸顯了汽車網絡安全的重要性,也推動全球加快制定完善的安全法規和標準。其中,聯合國歐洲經濟委員會第 29 工作組于 2020 年推出的UN R155強制要求車企建立網絡安全管理體系,對未滿足網絡安全要求的車輛禁止銷售,以此確保法規的嚴格執行。與之互補的是,ISO/SAE 21434為車輛全生命周期提供了全面的安全分析和測試框架。因此,行業對系統化、實用化的網絡安全驗證方法的需求持續增長。
保障車輛網絡安全需要開展全面的測試與驗證,但在公共道路上開展網絡攻擊實驗存在極大的安全風險,難以作為常規評估手段。盡管已有部分研究嘗試在實車上開展受控攻擊實驗,但這類實地測試的可復現性低、操作風險高,無法作為標準化測試方法推廣應用。基于仿真的測試方法,如在環軟件仿真(SILS)和在環硬件仿真(HILS),能夠在受控環境下模擬攻擊行為,提供了更安全的測試選擇。
然而,這些方法往往無法充分捕捉車輛行駛過程中各子系統的動態行為和復雜交互關系。例如,在靜止車輛上注入攻擊數據包時,會忽略車輛運動帶來的傳感器輸入變化以及電子控制單元(ECU)間的通信交互,導致評估結果失真或與實際情況不符。目前公開的多數控制器局域網攻擊數據集均在靜態條件下采集,信號模式過于簡化,且這些數據集報告的入侵檢測準確率普遍超過 99%,該結果具有誤導性,并不適用于入侵檢測系統(IDS)的評估。這一問題表明,行業亟需一個能夠復現真實駕駛工況、安全且可重復的測試環境。在環車輛仿真框架成為極具潛力的解決方案,該技術通過將實車與虛擬駕駛環境融合,彌補了虛擬仿真與實車道路測試之間的差距。
在環車輛仿真框架通過底盤測功機或部分硬件集成的方式,將車輛與可模擬環境和道路工況的高保真仿真器相連接。其核心優勢在于兼顧了測試的真實性和可復現性,既能讓車輛物理部件做出真實的響應,又能對測試場景進行一致的重復執行,支持針對各類威脅場景開展受控實驗。該技術為實車道路測試提供了經濟、高效的替代方案,已廣泛應用于自動駕駛驗證等多個領域。
但現有在環車輛仿真相關研究主要聚焦于高級駕駛輔助系統(ADAS)或自動駕駛性能的驗證,對網絡安全驗證的關注較少。目前多數車輛網絡安全仿真均為純軟件仿真,或僅局限于安全評估工具的開發,尚未在真實駕駛場景下開展全面的驗證。
本研究提出并通過實驗實現了一種基于在環車輛仿真的網絡安全評估框架,該框架專為真實、可重復的攻擊場景測試設計。本文的主要研究貢獻如下:
1. 分析了在環車輛仿真應用于汽車網絡安全評估的設計考量與實施挑戰:研究剖析了將在環車輛仿真技術應用于汽車網絡安全評估所需的關鍵設計要素,包括實車與仿真器的融合、實時數據同步以及傳感器 / 執行器仿真精度,并基于分析結果提出了適用于網絡安全測試的在環車輛仿真架構和方法。
2. 驗證了在環車輛仿真中網絡攻擊場景的復現效果:將所提框架應用于實車,在駕駛環境中模擬嗅探、消息注入、拒絕服務(DoS)和模糊測試等網絡攻擊場景,驗證了該在環車輛仿真平臺能夠復現并評估車輛實際運行過程中網絡入侵和干擾造成的影響。
3. 驗證了在環車輛仿真技術在網絡安全評估中的有效性:通過實驗驗證,該在環車輛仿真框架能夠在多種威脅場景下,對車輛動力學特性和網絡層面異常進行一致、準確的分析。研究采用定量指標和可視化分析方法,證明相較于傳統評估方法,在環車輛仿真能更可靠、真實地評估網絡安全風險。
本文后續結構安排如下:第二部分綜述當前車輛網絡安全測試方法及其局限性,闡明采用在環車輛仿真方案的必要性;第三部分詳細介紹所提出的基于在環車輛仿真的網絡安全評估框架的架構和工作原理;第四部分描述實驗平臺,包括測試臺配置和攻擊場景設計;第五部分分析實驗結果,對比在環車輛仿真環境和靜態條件下的測試結果;第六部分總結主要研究結論,并展望未來研究方向。
二、相關研究
汽車網絡安全測試相關研究主要可分為三類:基于傳統測試平臺的方法、基于虛擬仿真的方法,以及以在環車輛仿真為代表的混合現實方法。傳統車輛安全測試依托集成在環硬件仿真設備或實車部件的測試平臺開展,測試時車輛通常處于靜止狀態。典型研究包括研究人員向控制器局域網總線注入隨機數據包、修改電子控制單元固件以挖掘安全漏洞等實驗。在工業界,利用統一診斷服務協議和控制器局域網模糊測試工具開展評估已成為標準流程。但這類基于測試平臺的方法難以復現車輛實際行駛過程中的動態復雜場景,如車速變化、傳感器實時輸入以及駕駛員交互等。例如,人機協作機器人實驗室發布的數據集和近期入侵檢測系統開發相關研究均表明,在靜態條件下采集的網絡安全測試數據,無法反映真實駕駛過程中的行為復雜性。過于簡化的信號模式讓入侵檢測變得異常容易,導致檢測性能被不切實際地高估。為提高攻擊檢測和影響評估的可靠性,需在車輛實際行駛過程中采集正常和惡意行為數據。
與之相對,研究人員也探索了不依賴實車、完全基于軟件仿真的純虛擬方法。這類方法通常借助在環軟件仿真環境或網絡仿真器復現車載通信過程,通過注入模擬攻擊數據包開展威脅分析。例如,Lee 等人基于虛擬機搭建了真實駕駛環境的仿真系統,并與 Vector CANoe 等商用工具融合,開展車路云一體化(V2X)通信安全測試。盡管純軟件仿真無需實車即可安全開展各類攻擊場景測試,但其存在顯著局限性:仿真中的車輛節點均以軟件實體形式存在,難以準確復現攻擊向量,也無法反映外部入侵相關的物理世界約束。例如,虛擬電子控制單元的計算資源不受限制,時序特性也與實車存在差異,會導致攻擊效果和系統行為的仿真結果出現偏差。這些局限性使得行業亟需在貼近真實工況的環境中開展網絡安全驗證,而在環車輛仿真技術憑借其兼具仿真靈活性和物理真實性的優勢,成為極具吸引力的替代方案—— 該技術將實車部件融入虛擬駕駛環境,實現了二者的平衡。
在環車輛仿真測試技術將整臺物理車輛納入高保真仿真回路中。該技術最初為自動駕駛研究中的可靠性驗證而開發,目前已應用于感知驗證、控制系統測試、能耗優化等多個領域。美國阿貢國家實驗室等多家機構已開展相關實驗:將實車置于底盤測功機上,并與三維虛擬環境連接,模擬復雜駕駛場景,實現實車與虛擬交通流的融合。與傳統的孤立測試子系統的在環硬件仿真平臺不同,在環車輛仿真能夠在動態、可控的環境中對車輛進行全系統評估,涵蓋傳感器、控制單元和動力總成等所有部件,大幅提升了測試的真實性和系統交互保真度。例如,在高級駕駛輔助系統驗證中,可在虛擬調整道路和交通工況的同時,驗證實車的轉向、制動和加速響應;在能效測試中,可精準重復虛擬駕駛循環,評估油耗、電池性能等各項參數。在環車輛仿真的一大重要優勢是,能夠安全、重復地測試緊急制動、預碰撞等危險場景,且不會引發實際交通事故。這一特性有助于采集高可復現性、高代表性的數據,為車輛安全和性能分析提供支撐。
但在環車輛仿真的實施面臨諸多技術挑戰。Acharya 等人指出了搭建在環車輛仿真測試臺的多個難點,包括系統集成與兼容性、網絡連通性(含車路云一體化通信)、實時處理、數據采集與管理、可擴展性與靈活性、高精度傳感器仿真、混合現實與沉浸感,以及缺乏標準化的測試協議和基準。綜上,要獲取有效的測試結果,需將實車、仿真器、控制設備和傳感器模型進行持續的連接與協調,實現車輛與虛擬環境的實時同步,同時對各類傳感器和道路工況進行高保真建模。此外,軟硬件部件間的接口兼容性、支持重復測試的自動化場景控制,以及評估性能的標準化指標也同樣重要。目前,在環車輛仿真在網絡安全測試中的應用仍處于起步階段,本研究借鑒現有研究成果,搭建了基于在環車輛仿真的車輛安全評估框架,并驗證了其有效性。
三、研究方法
3.1 搭建在環車輛仿真框架的關鍵技術挑戰
在開發面向網絡安全評估的混合式在環車輛仿真框架過程中,研究人員遇到了多項技術挑戰,包括保障測試過程的安全性、復現真實的車輛行為以及實現評估流程的系統化。本部分闡述應對這些挑戰的核心考量和解決方案。
首先,在實車上開展網絡安全實驗時,保障操作人員的安全是首要前提。研究需要搭建一套能讓車輛在靜止狀態下運行的測試平臺,從而在無需車輛駛入公共道路的前提下,安全開展網絡攻擊測試。本研究采用實車模式,將車輛置于舉升機上,車輪懸空。該布置方式能讓發動機和傳動系統在接近真實的工況下運行,實現駕駛場景的安全仿真。但當車速超過 60km/h 時,輪胎傳感器會檢測到車輪未接觸地面,并在儀表盤觸發報警信息,因此該模式下的實驗車速限制在 50km/h 及以下。研究同時設計了鍵盤模式,以支持高速場景測試或無舉升機的實驗環境。在該模式下,車輛保持駐車狀態,仿真器通過鍵盤輸入獨立控制換擋,僅將轉向、油門、制動等控制信號從車輛傳輸至仿真器,擋位狀態則由虛擬系統管理。這種雙模式架構在堅持安全優先設計原則的同時,支持包括高速場景在內的各類模擬駕駛工況。
其次,在復現實車行為和復雜駕駛場景方面,要準確評估車輛網絡安全,需真實復現車輛動力學特性和電子控制單元層面的交互關系,而這是純軟件仿真難以實現的。傳統的在環軟件仿真或在環硬件仿真方法往往無法復現車輛各物理部件的響應以及多個電子控制單元的協同行為。為克服這一局限性,本研究搭建了混合式在環車輛仿真架構,將實車與虛擬駕駛環境進行實時融合。該配置能夠在高速公路、城市交叉口、自動駕駛等多種場景下,開展貼近真實的網絡攻擊實驗,同時捕捉實車的傳感器實時響應和電子控制單元通信數據。將物理車輛納入虛擬場景的仿真回路中,相比純虛擬仿真,測試的真實性更高;相比傳統測試平臺,系統交互的豐富度也更強,從而提升了攻擊分析的可靠性。同時,通過對不同工況進行重復測試,能夠詳細分析車輛遭受攻擊后的行為特征。
第三,在評估流程系統化和保障可擴展性方面,本研究的核心目標之一是搭建一個能夠實時、系統化分析網絡攻擊對車輛行駛穩定性和控制系統影響的測試環境。與以往多為孤立、一次性的攻擊演示研究不同,本研究提出的基于在環車輛仿真的框架支持開展可重復、可量化的實驗。每次測試過程中,系統會采集車輛和仿真環境的同步數據,并能對相同場景進行重復執行,便于直接對比車輛遭受攻擊前后的行為差異。該設計也為入侵檢測系統或其他安全防護措施的性能驗證等后續研究提供了支撐。
此外,研究將可擴展性作為核心設計考量,以確保框架與各類攻擊場景的兼容性。為此,研究對在環車輛仿真環境進行模塊化設計,實現配置的靈活調整和功能擴展,能夠對車載網絡各部件開展嗅探、欺騙、拒絕服務、模糊測試等多種類型的攻擊測試。
3.2 在環車輛仿真框架概述
為解決上述挑戰,實現車輛運行工況下網絡安全的有效評估,本研究提出一套集成化的基于在環車輛仿真的評估框架,其核心設計原則為安全和可擴展。如圖 1 所示,該框架構建了一個混合式環境,實現實車與虛擬駕駛仿真器的實時同步,通過該測試臺架構可評估車載系統的性能和安全漏洞。
圖1、所提出的在環車輛仿真(VILS)框架整體架構圖
該在環車輛仿真框架的核心特性在于,能夠直接觀測實車的動態行為,同時通過虛擬環境靈活模擬各類駕駛工況,從而能夠在高速公路、城市交叉口、自動駕駛等復雜場景下,全面測試安全威脅,且不會讓物理車輛面臨不必要的運行風險或機械損耗。與實車道路測試相比,在環車輛仿真大幅降低了測試成本、風險和后勤保障復雜度,適用于大規模、可重復的場景評估。
下文將詳細闡述該框架的四大核心模塊:測試車輛、虛擬仿真器、控制器局域網 - 用戶數據報協議(CAN-UDP)網關和故障注入模塊,說明各模塊的功能及交互關系,全面解析系統架構。
3.2.1 測試車輛模塊
測試車輛模塊是在環車輛仿真框架的核心組件,以實車作為網絡安全實驗的物理測試臺,實現實車與虛擬駕駛環境的融合,便于研究人員觀測和評估網絡攻擊對實際車輛系統的影響。該模塊中,車輛被固定在舉升機上或保持駐車靜止狀態,確保機械系統正常運行的同時,車輛不會發生物理移動,保障測試安全。發動機、變速器、轉向、制動系統等所有核心行駛部件均保持全功能運行,復現真實的車輛行為。操作人員可在駕駛位通過油門踏板、制動踏板和方向盤進行操作,與正常駕駛無異,這些控制信號會從車輛的控制器局域網總線采集并以數字形式傳輸。測試車輛模塊中安裝了專用的控制器局域網數據采集器,用于提取相關實時信號并轉發至外部系統。
綜上,測試車輛模塊持續采集車輛的控制輸入和狀態信息,并將數據傳輸至仿真器,實現了物理車輛與數字虛擬環境的高保真對接,準確反映車輛的真實動態特性。該配置能夠深入分析網絡攻擊對實車響應的影響,同時通過將車輛的物理移動限制在受控環境中,保障測試的安全、穩定和可重復。
為降低向實車注入網絡攻擊時發生人身傷害或安全事故的風險,框架中設置了以下防護機制:
1. 車速管理:在舉升機測試配置下,車輪懸空轉動會導致輪胎速度傳感器出現誤差。為避免觸發該類誤差并保障運行安全,舉升機模式下的實驗車速需控制在 60km/h 以下。
2. 電子控制單元故障狀態管理:診斷故障碼的累積會導致仿真器與車輛的接口失穩,因此需定期重置仿真器與車輛之間的通信,以保持系統穩定性。此外,當報警指示燈數量超過預設閾值時,車輛實際行駛約 50 米后,這些指示燈將被自動清除。
3. 怠速轉速控制:長時間實驗會對發動機造成熱負荷和機械負荷,因此怠速轉速需保持在廠商推薦的 600 至 1000 轉 / 分鐘范圍內,以維持發動機的潤滑和熱平衡。在鍵盤模式下,仿真器將控制器局域網上的踏板值 - 油門值(PV_AV_CAN)放大 10 倍,使虛擬車輛產生真實的加速響應,同時保證實車的怠速狀態穩定。
3.2.2 虛擬仿真器模塊
虛擬仿真器模塊通過構建虛擬道路和駕駛環境,復現車輛在各類駕駛場景下的行為。其核心功能是利用物理車輛的輸入信號,實時控制仿真車輛,實現基于實車的虛擬駕駛。例如,當仿真器從測試車輛模塊接收到油門踏板位置、制動壓力、轉向角度等數據后,虛擬車輛會做出相應的加速、減速和轉向動作,沿虛擬道路網絡行駛。仿真核心模塊負責仿真時序和控制,包括場景加載、初始化和數據同步;核心模塊中的場景編輯器提供基于圖形用戶界面的操作界面,研究人員可通過該界面創建或編輯道路配置、行駛路徑、交通事件和環境條件。轉向、油門、制動、擋位等輸入信號通過控制器局域網輸入 / 輸出(I/O)插件接收,并傳輸至數據采集子模塊;這些信號經過預處理和記錄后,被轉發至車輛動力學引擎,該引擎基于物理車輛模型計算車速、轉向響應、加速度等運動特性,計算得到的狀態數據會發送至控制器局域網控制插件,該插件可將反饋信息融入系統,或觸發其他仿真器事件。
虛擬仿真器模塊的次要功能是構建真實、可交互的環境模型。場景 / 環境引擎通過道路建模工具生成高速公路、交叉口、城市道路等道路拓撲結構,交通生成器則對實時交通流進行建模;環境仿真器逐幀渲染場景工況,包括天氣、時段和能見度等。研究人員可通過仿真核心模塊配置這些場景,分析不同場景下車輛行為和攻擊效果的變化。值得注意的是,仿真器中還包含周邊車輛、行人、交通信號燈等交通基礎設施等虛擬實體,便于評估網絡攻擊對自車以外的其他交通參與者的影響。
這種模塊化配置能夠實現網絡安全測試結果的實時可視化。通過與物理車輛的控制信號同步,即使在危險或可能引發碰撞的場景下,仿真器也能在安全、受控的環境中展示網絡攻擊的影響。可視化渲染由三維物理引擎完成,該引擎與道路網絡和車輛動力學數據緊密耦合,確保數字孿生體的行為準確。虛擬仿真器模塊作為高保真的數字測試臺,通過在全虛擬化環境中復現實車行為,實現了各類駕駛場景下網絡攻擊影響的評估。
為保障實驗的可靠性和可重復性,系統設置了以下機制:
1. 模型驗證與校準:定期將虛擬車輛參數(如質量、轉動慣量、輪胎剛度)與實車的記錄數據進行交叉驗證;當均方根誤差(RMSE)、平均絕對百分比誤差(MAPE)等關鍵誤差指標超過閾值時,對模型進行重新校準。
2. 實時性能監控:系統通過跟蹤 CPU 幀時間與默認仿真時間步長(10 毫秒)的比值,持續監控仿真性能;若延遲超過 5%,將自動降低圖形細節和渲染對象數量,在保證物理保真度的前提下,維持系統的實時運行。
3. 異常輸入 / 輸出過濾:當控制器局域網信號超出物理合理范圍時(如轉向角速度超過 1000°/ 秒),將觸發安全機制,暫停仿真幀并記錄警告信息,避免虛擬環境出現失穩或錯誤響應。
3.2.3 控制器局域網 - 用戶數據報協議網關模塊
控制器局域網 - 用戶數據報協議網關模塊是實車與虛擬仿真器之間的實時數據中繼站,作為通信樞紐,連接實車的物理控制器局域網網絡和軟件化的虛擬仿真環境。控制器局域網信號解碼器利用數據庫(DBC)文件解析車輛的原始控制器局域網報文,控制器局域網信號轉換器 / 接口則將這些信號轉換為用戶數據報協議數據包并傳輸至仿真器;必要時,該網關可實現雙向通信(如將控制指令或模擬環境反饋傳輸至車輛端)。網關以軟件形式部署在高性能嵌入式板卡或筆記本電腦上,通過調取車輛的控制器局域網協議定義,對每個控制器局域網標識符和信號進行解碼,并將數據重新格式化后傳輸至仿真器。車輛的車速、發動機轉速、轉向角度、制動壓力等關鍵信號被提取并編碼為用戶數據報協議數據包,轉發至仿真系統。由于實驗對實時性要求較高,本研究采用用戶數據報協議而非傳輸控制協議,以最大限度降低延遲,確保系統始終根據最新數據完成更新,即使出現偶爾的數據包丟失也不受影響。
該模塊可根據實車模式或鍵盤模式這兩種不同的主動控制模式,動態調整運行方式。在實車模式下,實車的所有控制輸入(如踏板位置、轉向角度、制動壓力、擋位)均通過控制器局域網總線采集,經最小化處理后轉發至仿真器,該模式適用于研究人員直接操控實車的場景(如車輛置于舉升機或底盤測功機上)。相反,當受空間限制或安全考量,無法直接操控車輛時,將采用鍵盤模式;該模式下,車輛保持駐車鎖定狀態,仿真器通過鍵盤輸入覆蓋擋位位置,車輛的制動、轉向、加速等其他所有控制信號保持有效并正常傳輸。值得注意的是,為避免油門踏板小開度輸入的信號被低估,并保證發動機怠速穩定,油門信號 PV_AV_CAN 會被放大 10 倍(詳見 3.2.1 節)。這種靈活的控制模式設計,在保證物理系統與虛擬系統數據一致性的同時,實現了廣泛的實驗覆蓋。
除核心功能外,控制器局域網 - 用戶數據報協議網關還是保障端到端數據管道完整性的核心組件,涵蓋語義完整性和時間一致性。數據處理流程分為四個階段:(1)從車輛控制器局域網總線采集原始數據;(2)利用數據庫文件解析信號,將原始數據準確轉換為度數、壓力等有意義的工程單位,保障語義完整性;(3)將數據轉換為低延遲的用戶數據報協議數據包進行傳輸;(4)在仿真器的車輛動力學模型中完成數據融合。
在高頻攻擊壓力下,使用易丟失數據的用戶數據報協議時,維持這一多階段流程的時間一致性是一項關鍵挑戰。本研究的框架采用雙重策略解決該問題,既保證實驗后分析的保真度,又維持系統的實時運行穩定性。
第一,為保障分析保真度和時間一致性,框架依托統一、高精度的時間戳系統。在環車輛仿真系統中的所有數據點 —— 包括車輛的控制器局域網報文、仿真器事件、故障注入日志 —— 均添加該統一時間戳。該方法能讓所有記錄數據在實驗后分析中實現完美的時間對齊,因此即使在高頻攻擊過程中出現部分用戶數據報協議數據包丟失,也能準確還原攻擊注入與車輛響應之間的因果關系,這也是本框架數據可靠性的核心所在。
第二,為維持實時運行穩定性,系統集成了動態性能監控機制,防止仿真滯后于實車時間。框架持續跟蹤仿真的 CPU 幀時間與 10 毫秒基準值的比值,若延遲超過預設閾值(如 5%),系統將自動減少非核心計算負荷(如圖形細節渲染),以保證核心物理保真度,確保仿真回路的響應性。
綜上,本研究提出的控制器局域網 - 用戶數據報協議網關是支撐在環車輛仿真框架安全性、可擴展性和數據驅動評估能力的核心組件。除上述核心的完整性和同步機制外,該網關還具備以下功能:
1. 車輛健康監控:通過車載診斷 Ⅱ(OBD-Ⅱ)接口定期采集車輛動力學數據和電子控制單元診斷數據,實現實時異常檢測,并支持定量對比車輛遭受網絡攻擊前后的行為差異。
2. 網絡流量記錄:采集所有控制器局域網流量數據,并與攻擊生成器的日志進行關聯;通過時間戳系統精準對齊的歸檔數據,能夠對攻擊數據包和對應的車輛響應開展詳細的批量分析。
3. 模式切換熱插拔(實車模式?鍵盤模式):在控制模式切換過程中,系統將設置 100 毫秒的緩沖期,暫停控制器局域網數據傳輸,并重新加載相關的字段映射表,避免數據解析出現不一致。
3.2.4 故障注入模塊
故障注入模塊是框架的最后一個組件,作為攻擊節點,負責向車載網絡注入惡意報文。該模塊通過與車輛接線盒相連的硬件接口,接入車輛內部的控制器局域網總線,可發送或接收任意的控制器局域網幀。所有攻擊報文均由攻擊注入器控制的定制程序管理,該程序按照預設場景以迭代、系統化的方式執行攻擊。
該模塊具備兩大核心功能:第一,嗅探功能通過場景解析器 / 故障庫實時采集車輛的合法控制器局域網流量數據,這些數據能夠揭示目標標識符、報文頻率和典型有效載荷結構,為攻擊設計提供依據;第二,主動攻擊功能根據腳本配置向網絡注入惡意報文,每個攻擊場景均通過可自定義的腳本配置文件進行設定,文件中定義了以下場景參數:
· 故障類型:攻擊類型(如欺騙、拒絕服務、模糊測試);
· 故障時間:執行開始時間、觸發條件和持續時長;
· 故障位置:目標控制器局域網標識符和有效載荷內容。
研究人員可通過圖形用戶界面直觀地編輯和保存場景參數,配置完成后,場景信息將被傳輸至場景腳本模塊,由調度器 / 事件觸發器確定攻擊執行時序為基于時間觸發(如仿真開始后 N 秒)或基于事件觸發(如制動踏板踩下后)。每個腳本還會定義有效載荷生成規則、報文重復頻率和幀格式,攻擊注入器通過控制器局域網應用程序編程接口 / 驅動層,將抽象的場景定義轉換為控制器局域網幀,并發送至車輛的控制器局域網總線。例如,可將拒絕服務攻擊定義為 “仿真開始后 5 至 30 秒內,以 1 毫秒的間隔發送控制器局域網標識符 0×123 的報文”。
綜上,該模塊通過對控制器局域網實時流量的分析來配置目標場景,能夠對嗅探、注入、欺騙、拒絕服務、模糊測試等多種網絡攻擊類型開展結構化評估。每個場景均明確了目標電子控制單元、報文標識符、注入頻率和攻擊時序,便于開展可重復的實驗。該模塊支持單階段和多階段鏈式攻擊,為全面評估車輛行為受攻擊的影響提供了靈活性。
3.3 框架的可擴展性和可配置性
本研究提出的在環車輛仿真框架的核心設計原則為模塊化架構,該設計旨在確保框架的可擴展性和通用性,避免過度適配單一車輛模型或網絡拓撲。框架的靈活性主要體現在網絡可擴展性和車輛可配置性兩個方面。
3.3.1 網絡拓撲可擴展性
首先,在網絡拓撲可擴展性方面,控制器局域網 - 用戶數據報協議網關模塊是物理車載網絡與虛擬仿真器之間的關鍵抽象層。盡管本研究聚焦于傳統的控制器局域網總線,但框架具備良好的可擴展能力:如需支持控制器局域網靈活數據速率(CAN-FD)、汽車以太網等新型網絡架構,僅需對網關模塊進行局部修改。例如,要支持汽車以太網,只需為網關添加以太網接口,并擴展解碼器以解析面向服務的車載以太網中間件(SOME/IP)等協議,而非控制器局域網幀。虛擬仿真器、故障注入模塊等其他主要模塊均基于抽象數據信號(如 “轉向角度”“轉速”)運行,基本不受底層網絡技術的影響,僅需少量修改即可實現兼容。
3.3.2 車輛模型可配置性
其次,在車輛模型可配置性方面,框架集成了多項功能,以適配不同廠商的各類車輛模型:
1. 基于數據庫文件的信號解析:網關采用行業標準的控制器局域網數據庫文件解析控制器局域網報文,如需測試不同車輛,僅需加載對應的數據庫文件,系統即可自動支持新的控制器局域網標識符、有效載荷結構和信號定義,無需修改軟件。
2. 基于腳本的攻擊場景:所有攻擊場景均在外部的用戶可自定義腳本文件中定義,文件包含目標標識符、注入頻率、有效載荷等參數,研究人員可根據不同車輛的專屬報文集,輕松設計和修改攻擊方案,無需改變框架的核心邏輯。
3. 可校準的車輛動力學模型:仿真器中的虛擬車輛模型采用參數化設計,可通過重新校準車輛質量、轉動慣量、輪胎剛度等物理屬性,匹配被測實車的動力學特性。
這些設計讓該框架成為一個通用平臺,能夠支持對各類車輛和網絡架構開展對比性安全測試。
四、實驗平臺
本研究利用所提出的在環車輛仿真框架開展實驗,在實車上執行并評估各類網絡攻擊場景。本部分描述實驗環境,包括測試車輛、硬件組件、場景配置、系統集成架構和評估指標。圖 1 為所提在環車輛仿真框架的整體架構,圖 2 為各模塊在實際實驗平臺中的實現方式,表 1 匯總了實車和實驗設備的詳細規格參數。
圖2、基于在環車輛仿真(VILS)的網絡安全實驗一體化硬件搭建方案
表1、測試車輛、仿真器及儀器設備的集成規格
4.1 測試車輛與實驗設備
4.1.1 測試車輛
圖 2(a)為實車模式的實驗布置,測試車輛被固定在舉升機上,車輛保持靜止,但發動機和各電子控制單元正常運行,在貼近實際駕駛的工況下真實復現網絡攻擊場景。在無舉升機或底盤測功機的環境中,實驗將采用鍵盤模式,車輛保持駐車狀態,仿真器在內部切換至行駛模式以模擬駕駛場景,確保實驗在無車輛物理移動的情況下持續開展。
4.1.2 攻擊與監控設備
圖 3 顯示,為保障實驗安全和測試保真度,實驗平臺將車輛控制輸入路徑與攻擊路徑進行了物理分離。用于與仿真器交互的動力總成(P)- 控制器局域網線路從車輛接線盒外部引出,與仿真器連接以實現實時同步;攻擊注入則通過后攝像頭模塊接入底盤(C)- 控制器局域網線路,通過部分暴露副駕駛車門線束接入車身(B)- 控制器局域網線路。該配置最大限度地減少了對車輛的物理改動,同時真實模擬了實際滲透測試中可能出現的攻擊面。網絡攻擊通過圖 1 中的故障注入模塊執行,由一臺專用攻擊計算機連接至底盤 - 控制器局域網和車身 - 控制器局域網線路,該計算機搭載 Ubuntu Linux 系統,通過 Kvaser CANUSB 適配器與車載網絡交互,預加載了場景腳本,負責執行攻擊、觸發相關條件并確保實驗的可重復性。
圖3、測試車輛的控制器局域網(CAN)線路配置:用于仿真器集成與攻擊注入的 P-CAN、C-CAN 及 B-CAN 引出點
車輛狀態監控由圖 1 中的監控與記錄系統完成,該功能由一臺連接至動力總成 - 控制器局域網線路的主計算機實現,同時通過基于微控制器的傳感器記錄儀與車載診斷 Ⅱ 接口連接。記錄儀通過向電子控制單元發送標準參數標識符查詢指令,以 100 毫秒的間隔采集車速、發動機轉速、節氣門位置等關鍵傳感器數據。傳感器數據與控制器局域網流量數據獨立存儲,后續通過同步時間戳進行對齊,便于開展準確的攻擊后分析和場景間對比。
4.1.3 虛擬仿真器
如圖 2(b)所示,研究人員坐在車內,通過前方顯示屏觀察路況并駕駛,獲得沉浸式的仿真體驗;副駕駛位的研究助理通過專用顯示器、鼠標和鍵盤實時管理仿真器系統,實現實驗過程中場景的無縫控制和狀態監控。圖 2(c)為虛擬仿真器模塊的內部組件,包括仿真核心、車輛動力學引擎和控制器局域網輸入 / 輸出插件。如圖 2(d)所示,為提升便攜性,仿真器部署在一臺移動主計算機上。車輛與仿真器之間通過控制器局域網 - 用戶數據報協議網關實現通信同步,通信周期保持在 10 毫秒及以下,以保障實時響應性。本研究以平坦道路場景(坡度 0%)為基準,排除地形因素對網絡攻擊效果觀測的干擾。未來實驗將進一步納入不同道路坡度、彎曲路徑和自動控制干預等工況,驗證復雜駕駛條件下的攻擊效果。
4.1.4 虛擬環境與數字孿生建模
為保證虛擬組件的保真度,本研究基于商用仿真軟件 SCANeR Studio 搭建在環車輛仿真框架,并針對研究需求開發和校準了專用模型,實現工作主要聚焦于以下四個方面:
1. 虛擬環境模型:利用 SCANeR Studio 的地形模塊構建駕駛環境,基于直線、圓弧、回旋線等數學模型設計邏輯道路網絡,生成 RoadXML 文件;該邏輯網絡與基于測試區域地理信息系統(GIS)數據和衛星影像精準建模的三維地形(.ive)文件、物理路面(.sol)文件相融合。該模型的局限性在于源地理信息系統數據的保真度,以及為維持實時性能對非關鍵環境對象進行的簡化處理。
2. 物理車輛行為模型(數字孿生):利用 SCANeR Studio 的高保真 Callas 動力學引擎構建車輛數字孿生體,該物理模型基于實車規格、臺架測試數據(如發動機扭矩圖、懸架特性)和輪胎數據(帕塞卡模型)進行參數化設計,并通過對比仿真輸出結果與實車標準化駕駛測試數據,完成模型的驗證和校準。該模型的主要局限性在于保真度,無法完全捕捉物理車輛中所有復雜的非線性動力學特性和傳感器噪聲特征。
3. 通信接口模型:負責實車與仿真器之間實時數據中繼的控制器局域網 - 用戶數據報協議網關,基于 SCANeR Studio 提供的 C++ 和 Matlab Simulink 應用程序編程接口開發,詳細設計見 3.2.3 節。
4. 要素交互與集成:上述各模型的交互形成了完整的在環車輛仿真回路,與圖 1 中的架構一致。實車中人類駕駛員的控制輸入通過網關傳輸至虛擬仿真器,仿真器計算車輛在虛擬環境中的運動狀態,輪胎與物理路面發生交互,將受力反饋至動力學計算過程;故障注入模塊通過向實車的控制器局域網總線注入惡意數據,直接干預該仿真回路,整個回路中產生的異常行為均被實時觀測和記錄。
4.2 實驗場景設計
本研究設計了一組標準化的網絡攻擊場景,并在一致的條件下開展對比實驗,驗證所提出的基于在環車輛仿真的評估環境的有效性。實驗選取嗅探、注入、欺騙、拒絕服務、篡改五種典型攻擊類型,利用實車和仿真數據評估其對車輛系統的影響。所有測試均統一采用相同的場景參數,且每個場景均結合實車的控制邏輯和控制器局域網信號特性進行設計,確保實驗結果的真實性。實驗選取的攻擊類型均為近期汽車網絡安全相關文獻中最常提及的類型,圖 4 的現有研究調研結果顯示,嗅探 / 竊聽、注入、欺騙、拒絕服務和篡改是相關研究中分析最多的攻擊類別。因此,本研究的實驗設計選取這些攻擊類型,驗證在環車輛仿真框架能夠全面支持真實、多樣的攻擊場景測試。
圖4、按攻擊類型劃分的汽車網絡安全研究分布(僅包含至少有 4 篇論文的攻擊類型)
表 2 匯總了各攻擊場景的主要配置參數,如目標控制器局域網標識符、注入時序、有效載荷結構和頻率。此外,本研究為每個場景定義了 1-9 級的定量風險等級,以結構化評估網絡安全威脅。表 3 為這些核心風險評估指標的通用定義,為保證客觀性和可重復性,最終風險暴露度(E)由影響程度(I)和發生概率(L)的乘積計算得出,二者均采用 1-3 級評分標準,表 4 詳細列出了基于汽車安全評估原則制定的評分標準。
表2、攻擊場景參數
表3、核心指標與評估標準
表4、影響程度與發生概率評估評分細則
五、實驗評估
要使在環車輛仿真技術成功成為汽車網絡安全評估的框架,一致性、準確性和有效性這三個要素必不可少且相互關聯,若其中任意一個方面存在不足,框架的可靠性和價值都會大打折扣。因此,本研究基于這三個標準驗證在環車輛仿真技術的有效性。研究選取控制器局域網標識符 0×2B0(對應轉向控制)為目標,開展拒絕服務攻擊實驗,以評估框架的一致性和準確性。轉向信號在車輛行駛過程中持續生成,且對傳感器響應敏感,是評估報文周期性和信號準確性的理想對象;同時,轉向信號能讓仿真中攻擊的影響實現清晰的可視化,也是分析信號失真模式的最優控制信號。此外,拒絕服務攻擊會直接破壞信號的周期性,能有效驗證系統的一致性以及物理車輛與仿真器之間的跨域準確性。
5.1 研究問題
本研究圍繞以下研究問題展開:問題 1:在正常和攻擊工況下,在環車輛仿真技術能否高精度、可重復地復現車輛動力學特性和控制器局域網流量?本研究將在 5.2 節通過多次重復實驗的變異系數(CV)分析,以及 5.3 節通過變異系數、均方根誤差、歸一化均方根誤差等誤差指標,解答該問題。問題 2:基于在環車輛仿真的網絡安全評估如何識別出靜態或在環硬件仿真實驗中無法觀測的威脅?該方法在分析不同駕駛條件下的攻擊效果方面具有哪些優勢?本研究將在 5.4 節通過場景專屬風險檢測和車輛響應可視化,通過實驗驗證解答該問題。
5.2 一致性評估
為驗證框架的一致性,研究在在環車輛仿真環境中開展重復實驗,選取控制器局域網標識符 0×2B0 轉向角度傳感器(SAS11)為測試目標,設計了拒絕服務攻擊注入次數不同的三個場景:場景 1(10 次注入)、場景 2(5 次注入)、場景 3(3 次注入)。實驗采用變異系數和中位數絕對偏差(MAD)兩個指標,評估控制器局域網報文的到達間隔時間。報文周期性是區分車輛控制系統正常行為和攻擊誘導行為的關鍵指標,為評估網絡安全實驗的可重復性和實時性能提供了依據。
變異系數的定義如下:
其中,μ為均值,σ為到達間隔時間的標準差。
中位數絕對偏差是基于中位數的變異性指標,相比基于均值的變異系數,對異常值的敏感度更低,其定義如下:
其中,Xi為各到達間隔時間樣本,median(X)為整個數據集的中位數。中位數絕對偏差能對數據的集中趨勢進行穩健估計,在數據分布非正態或包含異常值時效果尤為顯著。
變異系數值越低,表明報文間隔的變異性越小,反映出實驗的可重復性和系統穩定性越高;反之,變異系數值越高,表明報文周期性被破壞,或網絡流量模式出現異常。基于這一原理,研究以控制器局域網標識符 0×2B0 為目標開展三組實驗,從控制器局域網日志中提取報文到達間隔時間,為每次實驗計算均值μ、標準差σ、變異系數(%)和中位數絕對偏差,并將正常流量的變異系數參考閾值設定為CVref≤5%。表 5 匯總了三個場景的實驗結果,包括均值、標準差、變異系數和中位數絕對偏差(單位均為毫秒);若中位數絕對偏差低于 0.0001 毫秒,記為 “<0.0001”。
表5、三組重復實驗的可重復性統計結果
5.2.1 一致性分析結果
表 5 顯示,未遭受攻擊的控制器局域網標識符(如 0×220、0×316、0×329)的變異系數在所有測試中均保持在 0.5% 至 2.4% 的范圍內,表明在環車輛仿真環境在多次重復實驗中,具有較高的信號可復現性和時間對齊精度。相反,遭受拒絕服務攻擊的目標控制器局域網標識符 0×2B0 的變異系數在各次實驗中均驟升至 140% 以上,對應的中位數絕對偏差也較正常工況大幅增加。該結果表明,拒絕服務攻擊嚴重破壞了控制器局域網報文的周期性傳輸間隔,驗證了在環車輛仿真環境能夠定量復現此類攻擊典型的異常流量模式。
值得注意的是,變異系數是區分正常和攻擊誘導報文模式的有效統計指標,但由于其計算依賴標準差,當均值μ極小時(如 < 2 毫秒),變異系數的敏感度會過高。因此,本研究在分析中重點關注同一控制器局域網標識符在多次重復實驗中的一致趨勢,并輔以中位數絕對偏差指標,以降低敏感度問題帶來的影響。
這些結果證實,在環車輛仿真環境不僅是一種簡單的仿真工具,更可作為一個穩健的實驗測試臺,在多次重復試驗中維持時間精度和物理可復現性。此外,變異系數與中位數絕對偏差結合的分析方法,即使在控制器局域網標識符 0×2B0 這類高頻報文場景中(均值較小易導致變異系數響應被夸大),也能實現精準的可重復性分析。
5.3 準確性評估
為評估所提出的在環車輛仿真框架在網絡攻擊下復現實車行為的準確性,研究選取轉向相關的控制器局域網標識符為目標,開展拒絕服務攻擊實驗,將實車測量的轉向角度(yreal)與在環車輛仿真的模擬測量值(ysim)進行對比。分析分為三個區間:全量程(±540°)、拒絕服務攻擊窗口和正常駕駛工況,并采用以下誤差指標開展定量評估:均方根誤差、以滿量程百分比(% FS)表示的歸一化均方根誤差、平均絕對百分比誤差、皮爾遜相關系數(r)和線性回歸系數(α,β)。
各指標定義如下:
這些指標為評估不同駕駛和攻擊工況下,仿真信號跟蹤實車行為的精度提供了定量依據。圖 5 為在環車輛仿真與實車轉向角度的對比可視化結果,表 6 為數值結果匯總。
圖5、在環車輛仿真與實車之間的轉向角度信號對比
表6、轉向角對比精度指標:實車與車輛在環仿真對比
5.3.1 準確性分析結果
根據 Moriasiet 等人提出的評估標準和澳大利亞交通評估與規劃(ATAP)T1 模型驗證指南,當回歸斜率0.95≤β≤1.05、截距∣α∣≤滿量程的 2%(即 10.8°)時,認為仿真結果與實車實現 “良好匹配”。
在全量程區間,實驗結果為β=1.049、α=?6.74°,符合推薦閾值,相關系數r=0.9701證實實車數據與仿真數據之間存在強線性相關性。
在拒絕服務攻擊區間,盡管轉向角度達到 ±540° 的飽和值,導致誤差顯著(均方根誤差 = 161°,平均絕對百分比誤差 = 980%),但回歸結果β=0.801、α=?136°表明,在環車輛仿真準確復現了實車遭受攻擊時出現的飽和效應,驗證了仿真在網絡攻擊工況下復現車輛行為的保真度。
在正常駕駛區間,實驗結果為β=1.013、α=?1.66°、r=0.9977,滿足 “高精度” 標準,證實在環車輛仿真能夠在無攻擊場景下準確復現車輛的動力學特性。
5.4 有效性評估
本部分通過實驗驗證所提出的基于在環車輛仿真的網絡安全評估框架的實際有效性,從該系統在實際安全測試和技術開發中的適用性出發,圍繞可復現性、可視化能力和場景可擴展性三個維度開展評估。本研究在在環車輛仿真環境中,以安全、可控的方式執行了嗅探、注入、欺騙、拒絕服務、篡改、模糊測試等難以在實車上安全復現的網絡攻擊類型。該在環車輛仿真框架能夠模擬車輛行駛過程中的動態行為(如加速、轉向、減速、車道保持),為定量分析攻擊效果的物理表現提供了平臺。
5.4.1 鏈式延遲分析
如圖 6(a)所示,受拒絕服務攻擊的目標控制器局域網標識符 0×2B0(SAS11),其報文到達間隔時間因高頻數據包注入,從 10 毫秒大幅縮短至 1 毫秒。值得注意的是,此次拒絕服務攻擊還引發了電子駐車制動(EPB11,0×490)和自適應巡航控制 11(SCC11,0×420,自適應巡航控制目標距離)的鏈式延遲(溢出效應),如圖 6(b)-6(c)所示。傳統的基于在環硬件仿真的網絡安全評估往往聚焦于孤立的電子控制單元目標,容易忽略此類相互關聯的鏈式效應。相反,該實驗結果證實,在環車輛仿真環境不僅能檢測信號干擾,還可作為實用的評估工具,可視化車輛控制模塊之間的系統級交互。在此次針對轉向系統的拒絕服務攻擊中,延遲效應從轉向角度傳感器 11 信號擴散至電子駐車制動 11、自適應巡航控制 11 等模塊,驗證了單一攻擊可能影響多個控制功能。這一發現凸顯了在環車輛仿真技術的優勢,能夠發現傳統測試平臺中未被檢測到的多個電子控制單元漏洞和網絡實時副作用。
圖6、針對 CAN ID 0×2B0(SAS11)實施 1 ms 拒絕服務攻擊后,控制器局域網(CAN)信號的報文到達間隔時間變化(以 3 ms 攻擊閾值可視化呈現)
5.4.2 攻擊場景覆蓋與風險評估
表 7 全面匯總了兩個方面的內容:(1)在環車輛仿真環境中 9 類攻擊場景下觀測到的車輛 / 系統響應;(2)對比風險分析,展示靜態工況和在環車輛仿真駕駛工況下,攻擊的影響程度、發生概率和暴露度等級的差異。
表7、攻擊場景、在環車輛仿真(VILS)效果及風險暴露度對比(I:影響程度,L:發生概率,E:暴露度)
配對 t 檢驗結果顯示,攻擊的平均風險暴露度顯著增加,ΔE=+3.4(p<0.01),且效應量較大(科恩 d 值 = 1.18)。該結果證實,在環車輛仿真提供的駕駛場景背景,可將攻擊的評估風險等級提升至多兩個等級(如從低風險提升至高風險)。值得注意的是,在靜態條件下最初被劃分為低風險的 9 類攻擊中,有 8 類在基于在環車輛仿真的評估中被重新劃分為中風險及以上,表明在環車輛仿真技術能夠可視化靜態測試環境中被忽略的動態威脅。
5.4.3 攻擊影響的可視化呈現
圖 7 可視化了轉向角度傳感器 11 報文遭受欺騙攻擊的效果。圖上半部分的仿真場景顯示,車輛在正常行駛過程中遭受攻擊后,立即出現車道偏離,表明車輛喪失轉向控制能力,這在實際駕駛中會引發嚴重的安全風險。盡管控制器局域網報文注入在任何工況下均可實現,但靜態測試無法全面評估此類攻擊在車輛行駛過程中的實際風險。在環車輛仿真框架通過實時觀測動態駕駛工況下網絡攻擊造成的物理后果,彌補了這一局限性。
圖7、行駛過程中轉向角度傳感器(SAS11)遭受欺騙攻擊的可視化結果:(上)SAS 系列信號的時序變化特征 (下)車道偏離的仿真場景(含轉向角度、轉向速度、校驗和信號)
圖下半部分為轉向角度傳感器相關信號的時間序列行為,攻擊發生后,轉向角度傳感器角度信號在 ±200° 附近出現不穩定振蕩,轉向角度傳感器速度信號驟增,表明車輛出現快速、過度的轉向動作。值得注意的是,校驗和信號在攻擊后方差大幅下降,意味著偽造數據包掩蓋了合法報文。多個信號的此類異常變化,定量可視化了攻擊引發的系統級效應,充分證明在環車輛仿真技術能夠挖掘車輛控制系統的潛在漏洞和物理影響。
5.5 討論
本研究提出的基于在環車輛仿真的框架,能夠在實時駕駛仿真環境中,對實車安全開展網絡攻擊場景測試,實現了對車輛動力學特性和控制系統交互關系的實證觀測 —— 而這些都是傳統靜態測試平臺無法分析的因素。拒絕服務攻擊實驗結果表明,單一電子控制單元遭受攻擊后,延遲和干擾會擴散至其他電子控制單元,這種溢出效應是靜態測試中常被忽略的關鍵漏洞。高頻報文注入會導致控制器局域網總線出現仲裁延遲,破壞低優先級報文的傳輸。本研究中,這一現象使得攻擊的影響范圍擴大至制動和自適應巡航控制系統。此類鏈式延遲表明,安全評估需充分考慮車輛各子系統之間的功能依賴關系,而在環車輛仿真技術為捕捉這些動態特性提供了可量化的方法。這一研究發現不僅具有學術價值,也為系統級風險分析提供了實踐指導。
在欺騙和注入攻擊場景中,對發動機轉速和轉向角度信號的篡改引發了可觀測的物理后果,如發動機輸出功率下降、轉向控制失效、非預期緊急制動等,表明這些攻擊不僅會造成信號干擾,還會帶來真實的安全隱患。具體而言,轉向角度傳感器角度的不穩定振蕩、校驗和方差的驟降等多種異常現象,可作為攻擊檢測的定量指標,這些指標或可進一步發展為評估入侵檢測系統性能的基準指標。
此外,該基準的質量對入侵檢測系統的穩健驗證至關重要,尤其是在區分真實威脅和良性的異常駕駛模式方面。傳統的入侵檢測系統驗證往往依賴靜態車輛數據,而這些數據缺乏實際駕駛中常見的 “無害駕駛異常”(如緊急制動、急轉彎),這會導致入侵檢測系統的性能指標被過度高估,且實際部署后出現較高的誤報率。在環車輛仿真框架通過生成包含此類非惡意異常的高保真動態數據,彌補了這一缺陷。同時,框架的故障注入模塊能夠對所有攻擊進行精準控制和記錄,可生成標注完美的真實數據集。這種獨特的能力 —— 既能提供包含復雜駕駛動態的真實基準,又能清晰區分正常和惡意狀態 —— 是訓練和驗證入侵檢測系統、降低誤報率的關鍵,也是系統實際部署的核心要求。
實驗結果證實,在環車輛仿真技術能以高保真度復現車輛的物理響應,是一種可擴展、可靠的汽車網絡安全評估工具。該發現與聯合國歐洲經濟委員會第 155 號法規、ISO/SAE 21434 標準等國際標準提出的實車測試和評估要求相契合。如圖 8 所示,將實車納入測試流程,既能捕捉真實的動力學特性和駕駛行為,又能保障測試安全和廣泛的攻擊場景覆蓋。
此外,本研究中的在環車輛仿真場景集成了靈活的攻擊觸發機制、多電子控制單元目標定位,以及車身 - 控制器局域網、底盤 - 控制器局域網、動力總成 - 控制器局域網線路的總線專屬效應區分,這些場景可進一步擴展,以模擬更復雜的環境(如交通感知攻擊、道路基礎設施交互、傳感器欺騙場景)。本研究提出的分階段測試策略 —— 先對高風險場景開展靜態或低速仿真測試,再進行全駕駛工況驗證 —— 提升了在環車輛仿真中網絡安全評估的安全性和實用性。
綜上,實驗結果表明,在環車輛仿真技術支持開展超越靜態評估方法的動態、集成化威脅分析,為攻擊評估、實時威脅檢測和車載網絡安全響應系統的先進方法開發奠定了堅實基礎。
六、結論
本文提出了一種基于在環車輛仿真(VILS)的汽車網絡安全系統化評估框架,并通過實車實驗驗證了該框架的有效性。該框架將物理車輛與虛擬駕駛環境融合,能夠安全、可重復、真實地執行各類網絡攻擊場景測試。研究在在環車輛仿真環境中開展了嗅探、注入、欺騙、拒絕服務、篡改和模糊測試等典型攻擊實驗,結果表明,該技術能有效捕捉靜態測試中無法觀測的車輛行為變化和系統漏洞,且具備高度的可復現性和準確性。
對比評估結果顯示,與靜態測試方法相比,基于在環車輛仿真的評估能更準確地反映真實場景下的威脅動態,是在實際駕駛工況中驗證安全防護措施有效性的優質平臺。上述研究成果可為車企和安全工程師完善汽車網絡安全評估工作提供參考,在環車輛仿真框架能夠在車輛設計階段對新型攻擊向量開展早期測試,主動挖掘安全漏洞,同時為車企滿足聯合國歐洲經濟委員會第 29 工作組、ISO/SAE 21434 等各類標準的測試驗證要求提供實用方法,在保障安全性的同時縮短開發周期。
未來的研究將圍繞三個方向對本研究進行拓展:第一,將入侵檢測系統(IDS)和防護響應機制融入在環車輛仿真回路,評估實時威脅檢測與緩解策略的有效性;第二,將框架的應用范圍從車載內部通信拓展至車路云一體化(V2X)、車云交互等端到端安全場景的評估;第三,構建標準化的場景套件,并在包括控制器局域網靈活數據速率(CAN-FD)、汽車以太網、柔性射線網絡(FlexRay)在內的各類車輛模型和網絡拓撲中開展嚴格的交叉驗證,充分驗證在環車輛仿真技術的通用性和適用性。
本研究提出的基于在環車輛仿真的評估方法,通過融合實車與仿真環境,打造了一個真實、可擴展的安全測試平臺,可作為驗證下一代軟件定義汽車的核心工具,兼具科學嚴謹性和實際應用價值。
(添加微信號NewCarRen咨詢)
相關文章
