基于零日漏洞的自动驾驶
预期功能安全风险评估方法
上海控安信息安全轩辕实验室提出基于零日漏洞的自动驾驶预期功能安全危害和风险评估方法,该方法涉及自动驾驶技术和高级驾驶辅助技术安全领域,借鉴零日漏洞的分析评估方法,为自动驾驶预期功能安全危害和风险评估提供参考。
01、 背景
随着自动驾驶技术高级驾驶辅助系统的发展,对道路车辆的安全性要求也越来越全面和具体。道路车辆可接受的安全级别除了信息安全和功能安全之外,还应满足预期功能安全。ISO 21448标准中将预期功能安全(SOTIF)定义为不存在由于预期功能不足或人为的合理可预见的误用所引起的危害而由此危害造成的不合理风险。
道路车辆主要由三层组成:感知,思考和动作。在外部环境影响方面,存在极端或特定天气条件影响传感器,传感器受到某些设备的干扰等风险。在内部系统的局限性方面,执行系统的局限性存在风险,在人为因素影响方面,在车辆行驶过程中会出现驾驶员操作失误或在车辆自动驾驶出现错误时驾乘人员无所作为等情况。这些都是可能会威胁到道路车辆预期功能安全的原因。这些因素可以看作是威胁道路车辆预期功能安全的触发事件。
该方法提出了基于零日漏洞的自动驾驶预期功能安全风险评估方法,基于零日漏洞安全评估方法,建立预期功能安全系统的零日漏洞模型并以风险图的形式表示模型。
02、建模
· 简易模型
该方法将情景作为一个整体进行建模,在建模过程中将其划分为多个场景,场景之间的转移便是触发事件。
图1:每一个节点便是一个场景,每一个连接线便是一个触发事件。蓝色路径视为真正造成危害的风险路径
· 详细模型
在详细模型中,我们以三元组的形式表示一个触发事件,即触发事件t,源场景sc1和目标场景sc2。g1表示场景sc1所具备的功能,是作用在sc1上的触发事件的前置条件c_pre。v1是场景sc1执行后的输出值,是作用在sc1上的触发事件的后置条件c_post。
图2:不同的触发事件之间可以是“先后顺序”的关系,可以是“或”的关系,也可以是“与”的关系
03、风险评估流程
该方法提出的基于零日漏洞的自动驾驶预期功能安全风险评估方法,具体包括以下五个步骤:
图3:评估方案流程
步骤一:对预期功能安全系统进行分析,针对特定的情景S基于零日漏洞的攻击图创建风险图模型HG;
步骤二:基于风险图模型HG依次找出所有场景sc0, sc1, …, scn的风险路径。风险路径需要经过可达性验证后才视为是成立的,风险路径是由一系列的已知和未知的触发事件依次组成;
图4:基于图2生成的风险路径
步骤三:分别计算已知触发事件的安全值SK和未知触发事件的安全值SUK,已知触发事件和未知触发事件安全值的计算采用不同的算法,旨在将定性的安全问题转换为定量的安全值,以实现对预期功能安全评估的量化;
步骤四:基于动态权重的方式,计算预期功能安全系统的安全值svs,实现对预期功能安全系统的整体安全评估;
步骤五:基于步骤四所得预期功能安全系统的安全值svs,对预期功能安全系统架构进行动态调整,并对调整后的预期功能安全系统进行再次评估,直到所得已知触发事件安全值SK、未知触发事件安全值SUK和预期功能安全系统安全值svs全部小于所设定的对应阈值,即全部符合设定的安全要求。
04、结论
该方法提出的基于零日漏洞的自动驾驶预期功能安全危害和风险评估方法,可以对已知的触发事件和未知的触发事件进行量化,以确定在给定系统安全性阈值svs的情况下,道路车辆的系统设计(尤其是自动驾驶系统设计)是否可以接受。本评估方案主要通过研究已知和未知漏洞来提高公路车辆的安全性,并提出通过动态调整将已知触发事件和未知触发事件对SOTIF的影响降至最低。