随着互联网、5G 网络和车用无线通信技术（V2X）等科技的兴起，智能网联汽车成为汽车行业未来的发展主流趋势和方向。智能网联汽车通过互联网、以太网、V2X 技术将人、道路、云、App 之间构成了复杂的车联网，而车联网作为互联网的一部分，必然也会面临各种复杂的信息安全威胁和风险。为有效应对车联网安全风险，需构建一个具备大规模数据的实时异常检测和分析、智能化安全分析、用户异常行为分析、安全可视化、风险预警、威胁情报共享和安全态势感知等功能的车联网安全综合管理平台。

　　一、背景概述

　　ISO 21434《道路车辆网络安全工程》是替代SAE J3061 的推荐性汽车网络安全实践标准。该标准规定了道路车辆、部件和接口在整个阶段（如概念、设计、开发、生产、运行、维护和报废）的网络安全风险管理要求。根据 IOS 21434 以及 WP29 中的相关内容，可将威胁梳理归类为十大类，分别包括硬件安全威胁、固件安全威胁、总线安全威胁、系统安全威胁、无线安全威胁、网络安全威胁、WEB 安全威胁、移动端 App 安全威胁、隐私安全威胁、传感器安全威胁。下文简单介绍其中一些类别的威胁。

　　1. 硬件安全威胁

　　由于针对电路板的物理攻击方法较多，能够直接造成泄露接口信息、协议信息、芯片信息等风险。当芯片等硬件存在安全风险时，黑客能够直接根据芯片自身的安全漏洞对车辆硬件进行攻击，进而造成财产的损失。因此，针对硬件攻击的防护显得尤为重要。

　　2. 系统安全威胁

　　黑客能够针对访问控制漏洞、系统漏洞、OTA升级漏洞的安全风险进行渗透，针对车载操作系统进行攻击。

　　3. 无线安全威胁

　　由于伪基站等技术的逐渐成熟，仿冒 Wi-Fi、仿冒基站等攻击手段层出不穷。进而黑客能够在车主无感知的情况下针对汽车进行攻击，抓取车云、车、车路等交流的数据，窃取车主隐私信息。而针对管端通道传输的安全隐患，目前可以使用商用密码算法等方式对传输数据进行加密，进而解决信息泄露等问题。

　　4. 网络安全威胁

　　由于车云通信、总线通信、车内设备通信、V2X通信等通信需求愈加频繁，带来的风险点也逐渐增多。通过协议漏洞、重放攻击等手段，黑客也能够对车辆信息进行窃取，破坏车内操作系统。

　　基于以上分析，传统的车载安全防护体系并不适用智能车联网的特点和需求。对于车联网的安全防护，只有达到“主动防御，快速响应”的效果才能够应对复杂的车联网安全威胁。做到事前防御全面化、事中响应快速化、事后追溯可信化才能够确保在当前的网络环境下，车联网安全产品的有效性。所以，建设一套行之有效的车联网态势感知平台值得探讨和研究。

　　二、理想条件下的平台架构

　　1. 平台架构具备的特点

　　面对复杂的网络攻击，车联网态势感知平台应能够通过数据采集、机器学习、语义网络、关联分析、情报分析、数据挖掘等大数据分析技术手段，在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势，并在一定条件下对网络安全态势的发展趋势进行预测。融合所有可获取的信息实时评估网络的安全态势，在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面将发挥重要作用，为企业信息化管理部门的决策分析提供依据，将不安全因素带来的风险和损失降到最低。

　　车联网态势感知平台应具备大数据存储、大数据分析等基础服务。同时，根据需求，提供数据采集、风险管理、安全监测、安全处置、安全分析等功能。在基础服务之上，应具备认证、负载均衡等安全性、可靠性功能，确保平台的安全稳定运行。在安全功能上，应为用户提供 WEB、App 等管理手段，减轻运维压力。

　　平台应侧重于“日志+流量”大数据分析威胁发现能力，特别是已有数据系统的对接，包括终端安全、网络安全、边界安全、安全自查和审计系统、应用安全等，具备全方位的网络设备、安全设备、数据库、服务器、虚拟终端、中间件等的日志采集能力；侧重于各级安全设备监控、管理；侧重于内部安全管理，对服务器、工作站运维管理、配置管理及管理监控；侧重于与运维处置系统联动自动化处置，实现“威胁感知+响应+管理”三位一体的安全管理中心。

　　2. 平台架构的功能组件

　　车联网态势感知平台主要包括信息采集、数据处理、展示/报警/处置，共 3 个主要功能组件。

　　信息采集主要是收集车载安全类资产设备、以及云端安全类资产运行过程中产生的各种日志信息，将需要收集日志上的不同厂商、不同类型设备、不同协议标准的海量各类被监控系统或设备的日志信息（如 Syslog 日志、SNMP 日志、JDBC/ODBC 数据日志、Web 服务日志、TCP/UDP 网络数据包等），通过 Netflow、DNS Flow、HTTP Flow、SMTP Flow 等多种接口协议进行数据采集。

　　数据处理首先要对所收集到的日志数据的格式分析、过滤，对敏感数据信息格式的统一和标准化，结合数据关联和标签等预处理操作，以预处理方式提取日志关键字信息，将所收集信息进行“数据清洗”后的数据存储在 ElasticSearch 中。根据系统预定义的、用户自定义的、外部扩展的规则库、特殊库，利用Flink 大数据流处理技术对数据进行关联、分析、匹配，从而获得结果信息并生成分析结果。

　　平台将报警、处置的分析结果进行展示，并对其中安全威胁等级较高的事件进行突出展示的同时，根据预先拟定的安全事件策略规则，通过防火墙、IPS、EDR 等安全防护设备或系统的对接，进行 IP地址或端口封禁操作半自动或全自动操作，从而实现联动响应。

　　三、态势感知的核心功能

　　为实现“主动防御，快速响应”，应建立一套基于态势感知技术的安全平台解决方案。态势感知层基于系统下层安全要素的采集和分析，负责向用户呈现态势感知能力，根据安全防护的重点和影响安全态势的几个重要方面，分为车联网探针态势、漏洞态势、威胁态势和风险态势。

　　1. 车联网探针态势

　　车联网探针态势是车联网态势感知平台的基础，首先它将车辆核心元器件，如 T-BOX、CAN 网关、ECU 中的防火墙、入侵检测系统所产生的日志收集起来，将所获得并维护的被防护对象的信息，在整个态势分析呈现过程中，被其他维度的感知所利用，成为面向安全对象安全态势分析的数据基础。在车联网探针态势的安全日志收集基础上，车联网探针态势也会融合平台所收集的各类攻击威胁信息和脆弱性信息，形成被保护车辆及业务对象视角的安全态势。

　　保护车辆及业务视角的安全态势将从车辆信息、地理位置、驾驶习惯、车辆类型角度、地理区域角度和业务系统角度来审视在网车辆的整体安全防护状态。从每个视角维度都可以提供车辆受危害概览、车辆弱点情况、车辆受攻击情况以及车辆风险的相关态势信息，具体如下。

　　各车辆类型的概要信息：车辆类型、车辆型号。

　　安全组件类型统计：车载防火墙、车载 IDS、车载以太网防护墙、车载 EDR。

　　车辆可用性情况：展现车辆使用年限、保养频率展示、车况分析。

　　车主风险分析：驾驶行为异常分析、地点异常分析。

　　2. 弱点分析

　　综合漏洞扫描、基线核查所扫描的全网在网车辆漏洞弱点进行弱点态势呈现，使用户统一把控全网车辆的弱点暴露。所呈现的态势包括漏洞的级别统计、分类统计、地理区域漏洞发生和处理情况、资产漏洞发生和处理情况等。

　　弱点态势的信息来源自各类脆弱性扫描器的扫描结果信息，包括系统漏洞扫描器、应用漏洞扫描器、配置核查扫描器以及外部的漏洞情报信息。经过对各类脆弱性信息的分析处理，结合安全对象信息，弱点态势可以从车辆类型、分布地域和业务系统维度进行漏洞态势的呈现。基于不同的维度可以展现如下的漏洞态势信息。

　　漏洞概要统计信息：包括当前发现漏洞的总数量、高危漏洞数量、新增漏洞数、长期未处理的漏洞情况。

　　漏洞总体安全态势：以漏洞风险矩阵的形式，分别从资产类型、分布地域、业务系统的视角呈现漏洞的整体安全态势。

　　漏洞分布态势：包括漏洞和配置弱点在资产类型上的分布态势，漏洞和配置弱点在地理区域上的分布态势，漏洞和配置弱点在业务系统上的分布态势。

　　漏洞数量趋势：反映一定时间范围内全网安全漏洞的数量变化趋势，也可以展示不同等级漏洞的数量变化趋势。

　　漏洞处置态势：从漏洞扫描、处置过程中各漏洞状态视角呈现漏洞的处置态势，包括漏洞消除的态势、新发现漏洞的态势、遗留未处理漏洞的态势和复现漏洞的态势。

　　3. 攻击态势

　　攻击态势基于汇总全网相关的攻击行为信息，通过统计分析、关联融合等手段对攻击信息进行处理，从而获得全景式的攻击态势监视。攻击态势从遭受攻击、攻击的类型、分布、攻击关系、趋势、攻击结果等维度进行攻击态势的呈现。包括分别从内部和外部的视角监视受攻击和发起攻击的态势，攻击在网络、车机、车载应用、数据层面上的分布和趋势，攻击的源目关系态势，攻击类型在不同地理区域及业务系统或资产类型上的分布，攻击成功与否的结果态势等。

　　攻击态势通过对全网攻击相关信息的整合分析，可以从 6 个基础的维度来感知攻击行为，这 6 个维度分别是发起攻击维度、遭受攻击维度、攻击关系维度、攻击类型维度、攻击结果维度和攻击趋势维度。

　　发起攻击维度：感知攻击来源的分布，包括外部发起的攻击或是内部云端发起的攻击。

　　遭受攻击维度：感知攻击目标在地理区域的分布。

　　攻击关系维度：感知攻击来源和目的之间的关系，感知攻击类型与车端的关系。

　　攻击类型维度：感知攻击类型在地理区域的分布，在业务系统的分布和在资产类型的分布。

　　攻击结果维度：从被阻断和未被阻断的角度感知攻击结果。

　　攻击趋势维度：感知网络层、系统层、网络层和数据层的攻击趋势。

　　通过这几个维度的攻击相关信息的感知，可以进一步了解获取全网范围内的攻击态势情况，所获得的攻击态势可以划分为 4 个方面，分别为攻击来源态势、遭受攻击分布态势、攻击规律和趋势态势以及攻击结果态势。

　　攻击来源态势：通过攻击来源态势，用户首先可以了解车联网络中所遭受的攻击哪些来自内网，哪些来自外网。对于来自外网的攻击，用户可进一步了解哪些是被监测到的具体攻击行为，而哪些是基于威胁情报感知到的外部攻击威胁。对于来自内网的攻击，用户可进一步了解发起的攻击在地理区域或具体车辆型号上的分布。

　　遭受攻击分布态势：在遭受攻击分布态势中，用户可以从多个维度了解掌握各类攻击行为所针对目标对象的分布。从对象集合的维度来看，可以呈现被攻击目标在地理区域、车辆类型和业务系统上的分布；从网络分层的维度来看，可以呈现被攻击目标在网络层、主机层、业务层以及数据层的分布。

　　攻击规律和趋势态势：通过攻击规律和趋势态势，用户可以综合各类攻击信息从多个方面了解攻击的攻击规律和趋势情况。攻击规律方面，用户可以了解攻击源与攻击目标的一个汇总抽象关系，监视地理区域、攻击类型、资产类型之间的对应关系及规律，以及掌握当前受攻击最严重的地理区域、资产类型和具体资产等信息。趋势态势方面，用户可以从网络、主机、业务、数据 4 个维度了解攻击数量的发生趋势。

　　攻击结果态势：通过对攻击信息中有关攻击结果信息的抓取和分析，可以为用户呈现攻击结果的态势。这里首先为用户提供两个基本维度的攻击结果监视，分别是被阻断攻击态势和未被阻断的攻击态势。被阻断攻击态势包括各区域被防护的攻击、被防护的针对业务系统的攻击、内部发起被防护的攻击、外部发起被防护的攻击。未阻断攻击态势包括各区域未阻断的攻击、未被阻断的针对业务系统的攻击、内部发起未被阻断的攻击、外部发起未被阻断的攻击。

　　4. 风险态势

　　风险态势综合资产价值、安全属性、脆弱性、攻击威胁等风险要素，基于风险模块内置的风险计算模型，进行全网、各地理区域及各业务系统的风险量化评估和风险赋值。

　　风险态势是从风险的角度来衡量被防护对象的安全态势，在平台的态势呈现过程中，风险态势存在于资产态势、弱点态势和态势总揽当中，通过在各维度中为对应的目标给定风险值来帮助用户把握安全态势，例如在资产态势中，通过风险视图呈现各资产类型、地理区域及业务系统的风险值，在态势总揽中通过风险视图给出全网的风险等级。

　　5. 总体态势

　　集中全部获取的安全信息进行综合安态势呈现，帮助用户从全局的角度把控全网安全状态。包括攻击态势地图，围绕网络中的资产呈现被防护对象的安全态势，安全威胁趋势，全网告警分布，全网漏洞及配置弱点分布以及业务系统的健康态势等。

　　四、探针构成

　　1. 防火墙探针

　　车载终端信息系统的网络是非常重要的攻击层面，是黑客实现远程恶意控车的主要途径。因此，对车载终端信息系统的网络层面进行安全防护，能够极大地提高整个系统的安全性，减少攻击发生的可能。使用防火墙探针能够有效地提升车载终端信息系统网络层面的安全防护能力。

　　防火墙探针基于 IP（源/目的）、端口（源/目的）进行规则匹配，对以太网流量进行过滤，监控车辆联网行为，发现车辆异常联网行为，阻断异常网络访问。

　　通过防火墙探针能够收集网络层的安全事件。

　　2. EDR 探针

　　端点检测与响应（EDR）探针从主机、应用、配置、文件等维度来评估车端系统的未知风险，以日志分析引擎为核心，缩短威胁从发现到处置的时间，有效降低业务损失，增加可见性，提升整体安全能力。产品能够支持 Android、Linux 系统，以适应不同的车机及硬件。

　　通过 EDR 探针能够收集系统层的安全事件。

　　3. 安全接入系统探针

　　为保证车载终端与 TSP 服务器之间通信的数据机密性，建议在 TSP 服务器之前部署安全接入系统探针。安全接入系统探针中的 TLS 安全传输模块，在用户和 TSP 应用系统之间建立起高强度的安全加密连接，保证传输信息的可信和保密，并且提供用户身份机制和级别访问控制机制。

　　通过 EDR 探针能够收集传输层的安全事件。

　　五、总结

　　随着智能网联汽车的逐步应用，针对智能网联汽车的攻击手段愈发多样化，同时由于网络环境的复杂化，导致单点的车载安全模块难以精准识别网络攻击。评估攻击的影响范围，更难以事前预警，防患于未然。搭建一套能够针对“端、管、云”的全流程车联网态势感知平台，能够有效地从海量安全事件中准确识别出真实的攻击行为，一方面，减少误报，提高报警信息的实用性；另一方面，提前预警，增强事件响应的主动性，实现“端、管、云”整体最佳的车联网安全防护效果。