作者 |喬琪上?？匕部尚跑浖?chuàng)新研究院工控網絡安全組

來源 |鑒源實驗室

社群 |添加微信號“TICPShanghai”加入“上海控安51fusa安全社區(qū)”

摘要：隨著智能網聯(lián)汽車的快速發(fā)展，其協(xié)議安全性和穩(wěn)定性成為了關注焦點。智能網聯(lián)汽車協(xié)議特點主要表現(xiàn)為：數(shù)據格式不統(tǒng)一、傳輸速率不統(tǒng)一、通信協(xié)議復雜以及通信內容不確定等。這些特點對智能網聯(lián)汽車的安全性能提出了更高要求，同時也給協(xié)議安全性測試帶來了更大挑戰(zhàn)。模糊測試技術因其高效發(fā)現(xiàn)協(xié)議漏洞和缺陷的特性，在智能網聯(lián)汽車領域備受關注。本文旨在對智能網聯(lián)汽車協(xié)議模糊測試技術進行綜述，探討其原理、方法和應用，以期為智能網聯(lián)汽車協(xié)議安全研究提供參考。

01

引 言

在“智慧交通”初具模型的大背景下，智能網聯(lián)汽車作為汽車產業(yè)的重要發(fā)展方向，其基于網絡通信的協(xié)議安全問題日益受到重視。智能網聯(lián)汽車是指由車載傳感器、控制器、執(zhí)行器等車載組件以及云平臺等基礎設施，融合互聯(lián)網、云計算、大數(shù)據和人工智能等新興技術形成的一種新型汽車。智能網聯(lián)汽車是未來汽車發(fā)展的必然趨勢，但是由于其具有“智能”和“網聯(lián)”兩大特點，在其實際運行過程中，系統(tǒng)與系統(tǒng)之間的通信安全問題成為制約其發(fā)展的重要因素。

近年來，汽車網絡安全攻擊事件層出不窮。例如2013年研究人員通過OBD-II（第二代車載自動診斷系統(tǒng)）成功入侵車載CAN（控制器局域網）總線，從而控制了福特翼虎、豐田普銳斯的方向盤、剎車、油門、儀表盤等汽車組件。2015年研究人員證明可以通過軟件漏洞無線侵入Jeep切諾基系統(tǒng)，導致該公司召回了一大批汽車?，F(xiàn)代智能汽車巨頭之一的特斯拉也曾被科恩實驗室通過遠程方式入侵，實現(xiàn)了解鎖車輛、打開天窗及轉向燈、調節(jié)座椅等多項汽車功能的控制。

傳統(tǒng)的功能測試如協(xié)議一致性測試等，通常無法評估系統(tǒng)在非預期輸入下的行為表現(xiàn)，不能有效保障智能網聯(lián)汽車的安全目標實現(xiàn)與其設計的符合性。目前國內外對于智能網聯(lián)汽車協(xié)議棧的安全保障主要通過對其進行全面的網絡安全測試來實現(xiàn)，具體包括滲透測試、模糊測試和合規(guī)性測試三大類。其中，滲透測試通過模擬攻擊者的行為來發(fā)現(xiàn)系統(tǒng)中的漏洞和弱點，重點關注協(xié)議和系統(tǒng)的安全漏洞以及脆弱性；模糊測試通過向系統(tǒng)輸入隨機、異?；蛘邿o效的數(shù)據來發(fā)現(xiàn)協(xié)議棧在處理非預期輸入時可能出現(xiàn)的崩潰和安全漏洞，測試重點是協(xié)議棧實施的正確性以及協(xié)議本身的漏洞，相對滲透測試更為全面；合規(guī)性測試則側重于確認系統(tǒng)是否符合特定的安全標準、行業(yè)規(guī)范或者法規(guī)要求。因此，本文將模糊測試與傳統(tǒng)安全測試進行比較，重點闡述模糊測試在智能網聯(lián)汽車協(xié)議安全保障方面的應用情況和研究現(xiàn)狀，為開展智能網聯(lián)汽車協(xié)議安全測試提供參考。

02

模糊測試原理

模糊測試（Fuzzing Test）是一種通過將隨機數(shù)據（非預期輸入）輸入到目標系統(tǒng)以評估是否會出現(xiàn)非預期行為的測試方法，已經在計算機網絡安全測試領域獲得了廣泛應用，在自動化漏洞挖掘方面具備優(yōu)異表現(xiàn)。

按照測試者對于被測系統(tǒng)的了解程度，模糊測試可以分為三種類型：黑盒測試、白盒測試和灰盒測試。這三種測試方式同時也會影響對于測試結果的分析。

· 黑盒測試（Black Box Testing）

不了解系統(tǒng)內部工作原理時可以采用黑盒測試。測試者只需關注系統(tǒng)的輸入和輸出，而不用考慮系統(tǒng)的內部邏輯或實現(xiàn)細節(jié)。黑盒測試是最接近真實世界攻擊事件的方式，因為它的假設條件與真實攻擊者能力一致，即只能觀察系統(tǒng)的外部行為，而無法獲取系統(tǒng)的內部信息。對測試結果的監(jiān)控也只能通過黑盒方式來觀測被測件的外部變化，例如協(xié)議連接中斷、硬件耗能異常、設備斷電等。

· 白盒測試（White Box Testing）

在獲得了系統(tǒng)內部工作原理的情況下，可以采取白盒測試。測試者可以通過訪問系統(tǒng)的源代碼、設計文檔等內部信息，設計更具針對性的測試用例，以覆蓋系統(tǒng)的各個路徑和邏輯分支，發(fā)現(xiàn)潛在的漏洞和錯誤。白盒測試的實施通常對設計者的技術能力和專業(yè)知識有一定的考驗。白盒測試的結果監(jiān)控則較為清晰明確，可以通過源代碼/二進制插樁等方法獲取系統(tǒng)信息反饋，以及測試覆蓋率、效率等關鍵指標參數(shù)。

· 灰盒測試（Gray Box Testing）

灰盒測試介于黑盒測試和白盒測試之間，測試者在一定程度上了解系統(tǒng)的內部工作原理，但并不具備完整的系統(tǒng)信息。灰盒測試在測試效率和覆蓋范圍之間取得了平衡，可以更全面地發(fā)現(xiàn)系統(tǒng)的漏洞和弱點，同時又不需要測試者完全了解系統(tǒng)的所有細節(jié)。通常的灰盒測試是從一個黑盒被測件開始，由專業(yè)測試人員利用逆向工程獲取系統(tǒng)的內部知識，具有較高的復雜性和技術門檻。

協(xié)議模糊測試通過模擬通信節(jié)點與被測件建立通信信道，通過發(fā)送對應協(xié)議模糊報文、觀察系統(tǒng)的響應情況，來發(fā)現(xiàn)潛在的漏洞和異常行為。協(xié)議模糊測試雖然已經獲得了廣泛應用，但是在智能網聯(lián)汽車安全評估中的應用相對較少。這主要是因為智能網聯(lián)汽車在通信過程中使用了復雜的協(xié)議棧，不僅包括以太網類型的協(xié)議（例如SOME/IP協(xié)議）還包括現(xiàn)場總線類型的協(xié)議（例如CAN總線協(xié)議），這些協(xié)議在數(shù)據格式、傳輸速率、通信內容等方面具有較大差異，對模糊測試工具的設計提出了較大挑戰(zhàn)。但很明顯地，協(xié)議模糊測試在自動化漏洞挖掘方面具有巨大潛能，具備較高的研究價值。

03

模糊測試方法

按數(shù)據產生方式不同，模糊測試數(shù)據的生成可以分為生成式（Generation）和變異式（Mutation）兩種主要方式：

1. 生成（Generation）

生成是一種從頭開始創(chuàng)建測試數(shù)據的方法。在生成過程中，測試者根據目標系統(tǒng)的特征和預期的輸入格式，使用各種算法和技術生成符合條件的測試數(shù)據。這種方法可能包括使用隨機生成器、模型驅動生成、語法驅動生成等技術來生成測試數(shù)據。測試者可以根據系統(tǒng)的需求和特性，設計出具有特定結構和屬性的測試數(shù)據。生成的測試數(shù)據可能更具有代表性，因為它們是根據系統(tǒng)的特征和預期的輸入格式精心設計和生成的。然而，生成測試數(shù)據可能需要更多的時間和資源來創(chuàng)建。

2. 變異（Mutation）

變異是一種在現(xiàn)有測試數(shù)據的基礎上進行修改和變化，生成新的測試數(shù)據的方法。在變異過程中，測試者會對現(xiàn)有的測試數(shù)據進行一系列的隨機或有針對性的變換操作，以生成新的測試數(shù)據。這種方法通常包括對測試數(shù)據進行隨機變換、替換、刪除、添加等操作，以創(chuàng)建與原始測試數(shù)據相似但又稍有不同的新測試數(shù)據。變異可以快速生成大量的測試數(shù)據，因為它利用了現(xiàn)有測試數(shù)據的信息和結構。然而，由于變異過程是基于現(xiàn)有數(shù)據進行修改的，因此生成的測試數(shù)據可能不夠多樣化，可能無法覆蓋所有可能的邊界情況。

生成和變異是兩種常見的模糊測試數(shù)據生成方式。生成方法從頭開始創(chuàng)建測試數(shù)據，可能更具代表性但需要更多時間和資源；而變異方法則是基于現(xiàn)有數(shù)據進行修改，可以快速生成大量測試數(shù)據，但可能缺乏多樣性。在實際應用中，可以根據具體的測試需求和情況選擇合適的生成方式，更廣泛使用的方式可能是采用兩種方法的結合。

04

智能網聯(lián)汽車協(xié)議模糊測試應用

智能網聯(lián)汽車融合使用車載總線與車載以太網已經成為了下一代車載網絡架構的發(fā)展趨勢。以典型車載診斷協(xié)議DoIP為例，其下層傳輸協(xié)議可以為CAN總線，也可以為TCP或者UDP等標準以太網協(xié)議。車載協(xié)議種類的多樣性使得開發(fā)人員在實現(xiàn)汽車通信協(xié)議棧時，可能因為直接使用了開源代碼或者個人疏忽導致軟件代碼存在漏洞，需要對其進行詳盡的模糊測試。由于汽車領域存在激烈的行業(yè)競爭，為保護自身企業(yè)的利益和知識產權，仍有相當一部分廠商在委托第三方安全測試時不愿意提供源代碼。因此黑盒測試是目前智能網聯(lián)汽車領域最適用的模糊測試方法。

車載通信協(xié)議通常運行在汽車行業(yè)專有的嵌入式設備，很難在進行測試時提取被測程序或者事先進行插樁，因此基于協(xié)議字段規(guī)則變異的黑盒模糊測試格外適用于智能網聯(lián)汽車協(xié)議安全測試。測試人員只需要通過某種方法獲取協(xié)議知識并設置合適的監(jiān)控組件，就能通過分析測試的輸入輸出來獲取測試結果反饋。

獲取協(xié)議知識的方法目前大致可以分為3類：①利用領域專家經驗或者分析協(xié)議標準文本；②利用機器學習方法；③利用協(xié)議逆向工程方法。第一種方法主要適用于公開協(xié)議，通過梳理協(xié)議報文格式等信息來定義協(xié)議報文數(shù)據模型以及狀態(tài)轉換模型，然后可以利用Peach、Sulley、Boofuzz等知名模糊測試框架進行測試。

第二種方法主要針對協(xié)議信息未公開的情況。針對單條協(xié)議報文，對抗神經網絡GAN能夠從截獲的協(xié)議通信流量數(shù)據中學習協(xié)議知識并構造符合協(xié)議報文結構分布特征的測試數(shù)據。而長短期記憶網絡LSTM能夠學習序列報文的內置關系，可以有效描述協(xié)議狀態(tài)的轉移?；跈C器學習的協(xié)議知識獲取可以在未知協(xié)議結構的情況下提高生成模糊測試用例的效率。

第三種方法與前兩種不同，需要前期針對某個特定協(xié)議進行大量分析工作，不具備普適性，但能大幅提高對特定協(xié)議的測試效率。研究者曾通過模式識別的方式分析某私有通信協(xié)議的報文格式，并通過報文相似性對比重建該協(xié)議握手過程。然后使用學習到的協(xié)議知識構建模糊測試原型系統(tǒng)，發(fā)現(xiàn)了該協(xié)議多個嚴重漏洞。可用的私有協(xié)議逆向工程包括基于報文序列對齊分析Netzob、Discoverer等和基于程序執(zhí)行的分析Dispatcher、Replayer等。

除了獲取協(xié)議知識，如何監(jiān)控黑盒模糊測試結果也是車載協(xié)議棧測試一大重點。常見的黑盒監(jiān)控包括連接檢查、主機存活檢查等，發(fā)現(xiàn)漏洞能力極其有限，還可能存在大量誤報。目前出現(xiàn)了一些基于電量波動或者報文信號誤差的監(jiān)測方式，相較于存活檢查等更為精確，但需要硬件分析工具的支持。

05

結論與展望

目前，智能網聯(lián)汽車協(xié)議安全測試還處于發(fā)展中期，測試場景還不夠豐富，測試技術還比較欠缺，同時，隨著新技術的應用，協(xié)議安全測試面臨著更多的挑戰(zhàn)。未來智能網聯(lián)汽車協(xié)議安全測試研究應從以下幾個方面開展：

（1）提升模糊測試的自動化程度。當前模糊測試工具大多只支持單步和單步的執(zhí)行，未支持多步執(zhí)行。未來可以引入多步執(zhí)行模型來提升模糊測試的自動化程度，同時也可以結合深度學習來提高模糊測試效率。

（2）提高模糊測試的覆蓋率。當前的模糊測試技術大多基于機器學習算法對協(xié)議進行分析，但是由于機器學習算法的訓練數(shù)據集較大，導致其結果準確率較低。未來可以研究基于深度學習算法進行協(xié)議分析，提升模糊測試結果準確率。

（3）增強協(xié)議安全模型。隨著汽車功能的增多以及更多新技術的應用，協(xié)議安全模型需要進行持續(xù)更新。目前已有許多公司在進行相關研究，但是這些公司大多為傳統(tǒng)汽車廠商，未來可以考慮和互聯(lián)網企業(yè)合作，開發(fā)新的協(xié)議安全模型來提高協(xié)議安全性能。

智能網聯(lián)汽車協(xié)議模糊測試技術是保障智能網聯(lián)汽車安全的重要手段之一。隨著智能網聯(lián)汽車技術的不斷發(fā)展和演進，模糊測試技術也將不斷完善和改進，以應對日益復雜和多樣化的安全威脅。未來，我們可以期待模糊測試技術在智能網聯(lián)汽車領域的更廣泛應用，為汽車行業(yè)的安全發(fā)展貢獻力量。

審核編輯 黃宇