基于BP神经网络改进HEAVENS安全模型风险评估方法

前言：

随着现代电子、通信和传感器技术的快速进步，汽车的电子电气化程度变得越来越高，但这同时也引入了信息安全风险。HEAVENS被认为是汽车行业内出色的信息安全风险评价模型，但是其评估工作量较大，依赖于足够长的时间和足够强的专业能力。为了解决此问题，本文提出采用BP神经网络来生成神经网络模型，用该模型来改进HEAVENS评估计算方法，以实现节约时间和人力的目标。经仿真实验，采用本文提出的方法可以高效地实现安全风险评估。

01  介绍

伴随着通信技术和移动互联网应用的发展趋势，车辆无线通信引入到汽车行业，带来了智能汽车、联网汽车的出现，给汽车行业带来大量技术创新的同时，也使得汽车系统日趋复杂[1]。

复杂意味着脆弱。近年发生了很多汽车信息安全漏洞导致的事件，如2015年Jeep被黑客远程控制[2]，2016年日产汽车被发现可以通过缺陷的API来控制车辆的一些重要功能[3]，2017年腾讯KeenLabs通过诊断接口远程控制Tesla的制动系统[4]，等等不赘述。

为了克服汽车面临的信息安全问题，汽车业界内投入了越来越多的精力。2018年底发布的ISO-26262第二版提出了功能安全（Safety）与信息安全（Cybersecurity）交互的指导意见[5]；2020年发布的ISO-21434在SAE J3061的基础上从实施层面进行了指导，从风险评估管理、产品开发、生产/运行/维护、流程审核等四个方面来保障汽车信息安全工程实施，要求汽车及附属产品的信息安全在产品开发和整个供应链的设计中都要实现对安全性的共同理解[6]。

风险评估管理在汽车信息安全中作用十分关键，影响到后续的工作开展。“HEAVENS”是HEAling Vulnerabilities to ENhance Software Security and Safety project的简称，是欧洲提出的一种针对车辆电子电气（E/E）系统的信息安全威胁分析和风险评估的方法、流程及工具支持[7]，可结构化和系统化的方法发现潜在威胁。但HEAVENS有一个不足之处，在进行TARA（Threat Analysis & Risk Assessment）时需要大量的评估和计算，耗费的时间和人力比较多。

为了解决此问题，本文提出应用BP神经网络的方法生成神经网络模型参数，然后用生成的模型对HEAVENS的风险评估算法进行改进的方法。这种方法可以实现高效的风险评估结果，节约评估需要花费的时间和人力。经过仿真实验，本文提出的方法可靠有效。

02  HEAVENS安全模型评估安全风险

HEAVENS安全模型提出了一种系统的方法来推导汽车E/E系统的信息安全要求。考虑了目前最先进的威胁分析和风险评估方法，采用3个步骤来分析安全需求，如下图所示：


图1 HEAVENS模型使用步骤

•  威胁分析

HEAVENS安全模型使用微软提出的STRIDE方法[8]来进行威胁分析。

STRIDE是一种结构化和定性的安全方法，用于发现和枚举软件系统中存在的威胁，但是STRIDE方法的适用性已经扩展到汽车电子电气系统。可以使用微软提供的Microsoft Threat Modeling Tool来进行数据流图绘制以及STRIDE威胁分析自动化。

•  风险评估

在基于STRIDE方法分析出 “威胁-资产”（Threat-Asset）对之后，为每个TA对评定安全级别。风险评估包括三个步骤：

1、威胁等级的确定(Threat Level，TL)：针对威胁“可能性”来估计威胁的等级；主要由Expertise，Knowledge of TOE，Window of Opportunity和Equipment参数决定，每个参数取值范围根据可能性由高到低为{ 图片 }。计算时将每个参数值进行累加，按照表1进行评价：


表1 HEAVENS安全模型计算威胁级别

2、测定的影响水平(Impact Level，IL)：指的是发生安全问题后产生的“影响”严重程度；主要由Safety，Financial，Operational和Privacy & Legislation参数决定，每个参数的取值范围根据影响程度由低到高为{ 图片 }。计算时将每个参数值进行累加，按照表2进行评价：


表2 HEAVENS安全模型计算影响级别

3、测定安全级别(Security Level，SL)：这对应于最后的风险评级，由TL和IL共同确定。


表3 HEAVENS安全模型计算安全级别

•  安全需求

最后一步是基于Asset、Threat、安全属性和SL来推导安全需求。当一个Asset具有安全级别“QM”，它[有]可能不[有]需要为其制定额外的信息安全要求；如果不是“QM”，就应针对其他两种情况制定信息安全要求。

HEAVENS受益于STRIDE的步骤和方法，使得其可以结构化和系统化地发现潜在威胁，但带来的是需要大量的工作来分析和确定单个威胁的IL和TL因子，进而确定SL。其计算方法可用图2来表示。



由上述对HEAVENS的分析可以看出，由于参数众多，且依赖于专家的评定，因此带来的工作量非常大。


图2 HEAVENS模型的风险评估方法

03  使用BP神经网络方法改进HEAVENS评估计算

BP神经网络是一种利用信息和数据来进行计算、分析、预测的方法。神经网络对于数据的特征提取能力是非常强的，因此目前结合BP神经网络的神经网络应用已经在语音/图像/文字识别、机器人、生物医药等多个领域取得了重大突破，这证明“数据+神经网络”适应性是非常强的。

由于HEAVENS安全模型在测算汽车系统的面临的众多信息安全威胁时需要大量的工作和专家的逐项评估，导致了效率不高，而且容易出现误判、漏判安全风险的情况。因此应用“BP神经网络+神经网络”来改进HEAVENS的计算方法应该能够很好地解决这种情况，进而提高安全分析效率，提升汽车产品的信息安全水准。

因为TL和IL的取值是由一系列的参数向量所确定，很适于采用BP神经网络的方式来进行处理。本文根据TL和IL分别构建2个多输入、单输出、一个隐含层的BP神经网络来计算，然后再根据获得的TL和IL值来计算最终的SL值。

1、TL的计算




图3 确定隐含节点数目的步骤

Sigmoid函数选取 图片 作为隐含层的输入参数，学习速率设为 图片 ，目标误差为 图片 ，训练次数为1000。

2、IL的计算



3、SL的计算

TL和IL的计算参数会根据大量的数据进行训练，训练完成后将会将TL和IL作为SL的计算参数，根据表3的方法计算获取风险评估数值。

改进后HEAVENS的TL、IL和SL的计算方法可以用图4来表示。


图4 改进HEAVENS模型的安全等级计算方法

04  应用示例

本文的实验数据来源一共有47441个TA对；选取其中一个BCM的安全评估数据，有1035个TA对。

当计算整车的SL时，TL的n和m的取值如下：


计算IL的n和s的取值如下：


下面举例说明一个BCM的TA对的计算情况。下表是原始的安全评价表：



经过训练后的模型，计算TL取n=3，计算IL取s=1，计算结果的小数部分进行四舍五入取整。计算结果如下：



根据表3的映射可以得到SL的值为Medium，符合预期。

以下是根据完成训练后的网络来计算BCM的SL时，TL验证的偏差情况：



IL的验证情况如下：


从以上计算结果来看，当使用大量的训练样本生成网络参数时，根据本文方法改进HEAVENS模型的计算结果与专家的评估结果相对比，一致性很好，具备计算快速、准确性高的优点。

05  结语

本文提出了一种基于BP神经网络生成汽车安全风险评估结果模型参数的方法，对HEAVENS模型的TL和IL参数计算方法进行改进，采用BP神经网络模型计算不同因素的信息安全风险等级。经过仿真验证，此方法自动化程度高，评估结果有效且高效，可以为汽车信息安全风险量化评估提供计算支持。